《系统安全和备份方案》由会员分享,可在线阅读,更多相关《系统安全和备份方案(19页珍藏版)》请在金锄头文库上搜索。
1、1.1 系统安全方案1.1.1认证与授权认证与授权是系统安全防范和保护的主要策略,它的主要任务是 保证信息资源不被非法使用和非法访问,它是维护网络系统安全、保 护信息资源的重要手段。本部分主要从用户身份管理、认证管理和授 权管理三个部分描述认证与授权的控制措施。身份管理业务运营管理系统内的用户身份信息需要进行统一管理,制定相 应的管理规范和命名规则,确保用户与身份标识的维一性。 认证管理业务管理系统对于内部用户和外部用户本系统采用了不同的认 证方式。 对于内部用户可以采取传统的用户名口令的认证方式,系统提供灵 活的口令维护和配置功能,包括对弱口令的识别、口令定期更改的提 示等。 对于外部用户可
2、以采用数字签名技术,服务器端和客户端证书采用CA中心颁发的证书。服务器采用Web服务器证书,安装在Web服务 器上;而个人使用个人证书,存放在较为安全的存储介质(如 USB Key) 上。安全代理服务器是用于服务器端的建立安全通信信道的软件,通过数 字证书实现用户与服务器之间的通信与交易安全,可以满足用户对于 信息传输的安全性及身份认证的需要。数字签名系统为客户提供了基于Web浏览器和Web服务器的数字 签名解决方案,可以实现对Web页面中的指定内容和文件进行数字签 名和验证。安全代理产品及数字签名产品,其主要工作原理如下图所示:CA认证工作流程WEB证书通过与客户端个人证书的结合,可以实现用
3、户的安全登 录,通过证书检验身份,其作用相当于一串1024位密码,这样就避 免了因简单的用户名、密码被猜到、试到或黑客破解的风险。访问管理通常访问控制模式主要分为自主访问控制(DAC)、强制访问控制 (MAC)和基于角色的访问控制(RBAC)。航空安全管理平台需要支持 基于角色的访问控制模式,如下图所示:用户群组角色权限角色访问控制模式角色的定义应反映标准化管理的业务流程和组织结构的要求,并 根据航空安全管理平台决定每一角色应具有的系统访问权限。通过给 用户群组指派相应的角色,并给用户指派相应的用户群组决定每个用 户所具有的操作权限。1.1.1.1 加密加密的主要目的是提高信息和信息系统的机密
4、性、完整性和抗抵赖性,即保证航空安全管理平台在进行处理时提供以下的保护:数据的机密性保护当客户在网上传递敏感数据时,比如信用卡号码、金额等,就可 以通过安全套接层(SSL),实现文件和信息的加密传递,为客户的机 密数据提供安全保障。 保证信息传递完整性开展电子交易的一大障碍即是如何保证电子版的文件不被对方 (或第三方)篡改,无论网上网下,在涉及双方责任权利义务的时候, 必然会出现责任书、章程、合同、协议等文件。可以通过证书对电子 版文件进行数字摘要和数字签名等技术处理,保证了电子版文件的完 整性和不可抵赖性。1.1.1.2 审计跟踪审计跟踪是指通过日志等手段对各类业务和系统操作进行记录 和跟踪
5、的安全机制。审计跟踪工具主要功能应包括:应用层、系统层审计跟踪记录, 在应用层、系统层实现对必要信息的保留。对于需要进行审计跟踪的内容、采用的保护措施、保留的时间应 当提供灵活的定制功能,以便对不同敏感特性的数据采取相应的审计 跟踪策略。在系统管理中所有系统中发生的操作,都有相应的日志可以审计 跟踪。1.1.1.3 PKI 体系PKI(Public Key Infrastructure 的缩写)即“公开密钥体系”, 是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加 密和数字签名等密码服务及所必需的密钥和证书管理体系。原有的单密钥加密技术采用特定加密密钥加密数据,而解密时用 于解密的
6、密钥与加密密钥相同,这称之为对称型加密算法。采用此加 密技术的理论基础的加密方法如果用于网络传输数据加密,则不可避 免地出现安全漏洞。因为在发送加密数据的同时,也需要将密钥通过 网络传输通知接收者,第三方在截获加密数据的同时,只需再截取相 应密钥即可将数据解密使用或进行非法篡改。区别于原有的单密钥加密技术,PKI采用非对称的加密算法,即 由原文加密成密文的密钥不同于由密文解密为原文的密钥,以避免第 三方获取密钥后将密文解密。通常来说,CA是证书的签发机构,它是PKI的核心。众所周知, 构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到 一对密钥(即私钥和公钥),私钥只由用户独立掌握,
7、无须在网上传 输,而公钥则是公开的,需要在网上传送,故公钥体制的密钥管理主 要是针对公钥的管理问题,目前较好的解决方案是数字证书机制。数字证书是公开密钥体系的一种密钥管理媒介。它是一种权威性 的电子文档,形同网络计算环境中的一种身份证,用于证明某一主体 (如人、服务器等)的身份以及其公开密钥的合法性,又称为数字 ID。数字证书由一对密钥及用户信息等数据共同组成,并写入一定的 存储介质内,确保用户信息不被非法读取及篡改。智能卡(IC卡)和电子钥匙UKey具备便于携带、抗复制、低成 本及不易损坏等特征,是目前较为理想的证书存储介质。还为它们配 备了一系列的功能组件,包括登录控制、文件加密、安全拨号
8、等,实 现了较为全面的应用。PKI 使用方法现在,我们将讲述 PKI 加密/签名体系是如何实现数据安全传输 的。加密密钥对:发送者欲将加密数据发送给接收者,首先要获取接 收者的公开的公钥,并用此公钥加密要发送的数据,即可发送;接收 者在收到数据后,只需使用自己的私钥即可将数据解密。此过程中, 假如发送的数据被非法截获,由于私钥并未上网传输,非法用户将无 法将数据解密,更无法对文件做任何修改,从而确保了文件的机密性 和完整性。签名密钥对:此过程与加密过程的对应。接收者收到数据后,使 用私钥对其签名并通过网络传输给发送者,发送者用公钥解开签名, 由于私钥具有唯一性,可证实此签名信息确实为由接收者发
9、出。此过 程中,任何人都没有私钥,因此无法伪造接收方的的签名或对其作任 何形式的篡改,从而达到数据真实性和不可抵赖性的要求。PKI 的基本组成完整的PKI系统必须具有权威认证机关(CA)、数字证书库、密钥 备份及恢复系统、证书作废系统、应用接口等基本构成部分,构建 PKI 也将围绕着这五大系统来着手构建。认证机关(CA):即数字证书的申请及签发机关,CA必须具备 权威性的特征; 数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥; 密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥 ,则数据将无法被解密,这将造成合法数据丢失。为避免这种情 况的,PKI提供备
10、份与恢复密钥的机制。但须注意,密钥的备 份与恢复必须由可信的机构来完成。并且,密钥备份与恢复 只能针对解密密钥,签名私钥为确保其唯一性而不能够作备 份。 证书作废系统:证书作废处理系统是 PKI 的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能 需要作废,原因可能是密钥介质丢失或用户身份变更等。为 实现这一点,PKI必须提供作废证书的一系列机制。应用接口: PKI的价值在于使用户能够方便地使用加密、数字 签名等安全服务,因此一个完整的 PKI 必须提供良好的应用 接口系统,使得各种各样的应用能够以安全、一致、可信的方式与 PKI 交互,确保安全网络环境的完整性和易用性。1
11、.1.2系统网络安全所处网络环境复杂,因此网络安全对于整个标准化系统的正常运 行显得尤为重要。建议采用主动被动相结合的方式来保护网络安全。安全操作系统安全的操作系统是安全保障体系中不可缺少的部分。特别是在重 要服务器中,应该依据信息的内容进行分级保护,采用安全性高的操 作系统。 关键主机系统加固操作系统作为计算机系统的基础软件是用来管理计算机资源的, 它直接利用计算机硬件并为用户提供使用和编程接口。各种应用软件 均建立在操作系统提供的系统软件平台之上,上层的应用软件要想获 得运行的高可靠性和信息的完整性、保密性,必须依赖于操作系统提 供的系统软件基础。在网络环境中,网络系统的安全性依赖于网络中
12、 各主机系统的安全性,而主机系统的安全性正是由其操作系统的安全 性所决定的,没有安全的操作系统的支持,网络安全也毫无根基可言。所以,操作系统安全是计算机网络系统安全的基础。而服务器及 其上的业务数据又是被攻击的最终目标。因此,部署安全产品,加强 对关键服务器的安全控制,是增强系统总体安全性和核心一环。通常,因为客户的应用和需求不同,默认安装的 Unix 操作系统 没有使用Unix系统本身的很多安全机制,这样的默认配置是不够安全的。但是使用这些安全机制需要和应用系统的要求相吻合,否则会 影响应用系统的正常运行。由于操作系统本身设计的原因,他的安全机制和应用系统的实际需求具有很大的差距。例如,超级
13、用户的存在是主机安全的重要威胁, 超级用户的口令是不法分子梦寐以求的钥匙。因此,为了提高系统主 机的安全性,必须采用有效的安全机制来满足用户的实际安全需求。首先应该对日常的业务流程进行细致的分析,区分不同的人员具 有的不同权限。在这一过程中要遵循应该有的权限一个也不能少,不 该有的权限一个也不能多的原则。同时限制超级用户的口令,将它的权限分给不同的人来管理,改 变超级用户权限过大的状况,这样既提高了系统的安全,又能免除原 来计算机维护人员的嫌疑,减轻了工作中承担的责任压力。根据系统的实际情况,列出应该保护的重要文件和目录,进行特 别的保护,只给相关的人员赋予相应的访问权限。建议在核心服务器(数
14、据库服务器,应用服务器等)上实施主机 安全服务。基于主机的入侵检测系统基于主机的入侵检测系统保留了一种有力的工具,以理解以前的 攻击形式,并选择合适的方法去抵御未来的攻击。基于主机的IDS使 用验证记录,自动化程度大大提高,并发展了精密的可迅速做出响应 的检测技术。通常,基于主机的IDS可监探系统、事件和Window NT 下的安全记录以及 UNIX 环境下的系统记录。当有文件发生变化时, IDS 将新的记录条目与攻击标记相比较,看它们是否匹配。如果匹配, 系统就会向管理员报警并向别的目标报告,以采取措施。基于主机的IDS通过定期检查校验关键系统文件和可执行文件, 来进行系统级的入侵检测,用以
15、发现意外的变化。该方式反应的快慢 与轮询间隔的频率有直接的关系。同时,基于主机的IDS 一直监听端 口的活动,并在特定端口被访问时向管理员报警。这类检测方法将基 于网络的入侵检测的基本方法融入到基于主机的检测环境中。漏洞扫描系统漏洞扫描能对网络中设备进行自动的安全漏洞检测和分析,模拟 漏洞分析专家及安全专家的技术,提供基于策略的安全风险管理。它 可以在任何基于 TCP/IP 的网络上应用,我们采用目前主流的漏洞扫 描系统对网络及各种系统进行定期或不定期的扫描监测,并向安全管 理员提供系统最新的漏洞报告,使管理员能够随时了解网络系统当前 存在的漏洞并及时采取相应的措施进行修补。 防病毒系统防病毒
16、主要包括管理和技术两方面。管理方面:管理上应制定一套有关的规章制度,从日常管理上堵 住病毒流入和导出的途径。技术方面:安全管理信息系统平台涉及面广,各种应用服务器操 作系统并存,系统运行中一般不允许中断的特点。建议采用在两个不 同网络信任域接入路由器的网络联接处,设置高速防病毒过滤网关; 为中央网管中心的邮件系统设置专门的高速硬件邮件防病毒网关;为 中央网管中心和各接入局域网配置网络防病毒软件相结合的方式,及 时将病毒清除或者阻断。同时,应该在网管中心设置一个防病毒主控 制中心,在各地设置防病毒控制分中心。根据病毒和恶意代码的最新 发展动态,及时通过各地的防病毒控制分中心,进行统一的病毒特征 码的自动升级和防毒策略的统一制订和修改。为了使这三部分
