信息系統(tǒng)(軟件)安全設(shè)計(jì)

1、軟件信息系統(tǒng)安全設(shè)計(jì)內(nèi)容摘要1、物理安全設(shè)計(jì)2、網(wǎng)絡(luò)安全設(shè)計(jì)3、主機(jī)安全設(shè)計(jì)4、應(yīng)用安全設(shè)計(jì)5、數(shù)據(jù)安全設(shè)計(jì)一、 物理安全設(shè)計(jì)1. 設(shè)計(jì)規(guī)范GB 50174-2008電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范GB/T2887-2000電子計(jì)算機(jī)場(chǎng)地通用規(guī)范GB6650-86計(jì)算機(jī)機(jī)房活動(dòng)地板技術(shù)條件GB500162006建筑設(shè)計(jì)防火規(guī)范GB 50343-2004建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范GB 50054-95低壓配電設(shè)計(jì)規(guī)范GB 50057-2000建筑物防雷設(shè)計(jì)規(guī)范ITU.TS.K21：1998用戶終端耐過電壓和過電流能力GB50169-2006電氣裝置安裝工程接地施工及驗(yàn)收規(guī)范GB50210-2001建

2、筑裝飾工程施工及驗(yàn)收規(guī)范GB50052-95供配電系統(tǒng)設(shè)計(jì)規(guī)范；GB50034-2004建筑照明設(shè)計(jì)標(biāo)準(zhǔn)；GB50169-2006電氣裝置安裝工程接地裝置施工及驗(yàn)收規(guī)范；2. 物理位置的選擇a) 機(jī)房選擇在具有防6級(jí)地震、防8級(jí)風(fēng)和防橙色大雨等能力的建筑內(nèi)；b) 機(jī)房場(chǎng)地選擇在2-4層建筑內(nèi)，以及避開用水設(shè)備的下層或隔壁。c) 水管安裝，不得穿過機(jī)房屋頂和活動(dòng)地板下；d) 防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透；3. 物理訪問控制a) 機(jī)房出入口安排專人值守配置門卡式電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員，做到人手一卡，不混用，不借用；b) 進(jìn)入機(jī)房的來訪人員需要經(jīng)過申請(qǐng)和審批流程，并限制和監(jiān)

3、控其活動(dòng)范圍，來訪人員在機(jī)房?jī)?nèi)需要有持卡人全程陪同；c) 進(jìn)入機(jī)房之前需帶鞋套等，防塵，防靜電措施；d) 機(jī)房采用防火門為不銹鋼材質(zhì)，提拉式向外開啟；4. 照明系統(tǒng)a) 照度選擇機(jī)房按電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范要求，照度為400Lx；電源室及其它輔助功能間照度不小于300Lx；機(jī)房疏散指示燈、安全出口標(biāo)志燈照度大于1Lx；應(yīng)急備用照明照度不小于30Lx；b) 照明系統(tǒng)機(jī)房照明采用2種：普通照明、斷電應(yīng)急照明。普通照明采用3*36W嵌入式格柵燈盤（600*1200），功率108W；應(yīng)急照明主要作用是停電后，可以讓室內(nèi)人員看清道路及時(shí)疏散、借以維修電氣設(shè)備，應(yīng)急照明燈功率9W/個(gè)。燈具正常照明電源由市

4、電供給，由照明配電箱中的斷路器、房間區(qū)域安裝于墻面上的蹺板開關(guān)控制。5. 防盜竊和防破壞c) 主要設(shè)備放置在主機(jī)房?jī)?nèi)；d) 設(shè)備或主要部件進(jìn)行固定在地板上，并在機(jī)器的左上角標(biāo)貼資產(chǎn)編號(hào)；e) 通信線纜鋪設(shè)在地下；f) 設(shè)置機(jī)房電子防盜報(bào)警系統(tǒng)；g) 機(jī)房設(shè)置全景監(jiān)控報(bào)警系統(tǒng)，做到無死角監(jiān)控。6. 防雷擊及電磁a) 電源線和通信線纜隔離鋪設(shè)，避免互相干擾；b) 機(jī)房接地防雷及電磁機(jī)房采用4*40mm2紫銅排沿墻設(shè)一周閉合帶的均壓環(huán)，成“田”字狀。整個(gè)機(jī)房鋪設(shè)網(wǎng)格地線（等電位接地母排），網(wǎng)格網(wǎng)眼尺寸與防靜電地板尺寸一致，交叉點(diǎn)使用線卡接在一起（必須牢靠）。抗靜電地板按放射狀多點(diǎn)連接，通過多股銅芯線

5、接于銅排上。將各電子設(shè)備外殼接地端通過4mm2純銅多股導(dǎo)線與銅排連接。從樣板帶綜合接地網(wǎng)采用95 mm2多股銅芯接地線，加套金屬屏蔽管，固定在外墻，連接在300*80*6 mm2銅排制作的接地端子上，將均壓環(huán)銅排用60mm2與樣板帶綜合接地網(wǎng)相連。c) 線路防雷防雷系統(tǒng)設(shè)計(jì)為四級(jí)防雷：大樓配電室為第一級(jí)防雷(此級(jí)防雷在建設(shè)時(shí)大樓機(jī)電方完成)，ATS配電柜進(jìn)線端為第二級(jí)防浪涌保護(hù)，一層UPS輸出柜進(jìn)線端為第三級(jí)防浪涌保護(hù)，二層機(jī)房設(shè)備前端設(shè)計(jì)第四級(jí)防浪涌保護(hù)。這種防雷系統(tǒng)設(shè)計(jì)，可有效保護(hù)設(shè)備免遭雷電電磁感應(yīng)高電壓的破壞，防止因線路過長(zhǎng)而感應(yīng)出過電壓和因線路過長(zhǎng)而感應(yīng)出過電壓，對(duì)保證機(jī)房網(wǎng)絡(luò)設(shè)備及

6、后端計(jì)算機(jī)信息系統(tǒng)設(shè)備的穩(wěn)定、安全運(yùn)行有重要作用。 7. 防火機(jī)房設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，可以自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；機(jī)房滅火系統(tǒng)使用氣體滅火劑；對(duì)于其它無重要電子設(shè)備的區(qū)域，可以使用滅火系統(tǒng)。滅火劑為FM200氣體，無色、無味、不導(dǎo)電、無二次污染，并且對(duì)臭氧層的耗損值為零，符合環(huán)保要求，該滅火劑滅火效能高、對(duì)設(shè)備無污染、電絕緣性好、滅火迅速。防護(hù)區(qū)內(nèi)的氣體滅火噴頭要求分兩層布置，即在工作間內(nèi)、吊頂各布置一層噴頭，當(dāng)對(duì)某一防護(hù)區(qū)實(shí)施滅火時(shí)，該防護(hù)區(qū)內(nèi)兩層噴頭同時(shí)噴射滅火劑。所有氣體滅火保護(hù)區(qū)域圍護(hù)結(jié)構(gòu)承受內(nèi)壓的允許壓強(qiáng)，不低于1.2Kpa ；防護(hù)區(qū)圍護(hù)結(jié)構(gòu)及門窗的耐火極限均

7、不低于0.5h8. 防靜電機(jī)房采用防靜電地板；機(jī)房鋪設(shè)活動(dòng)地板主要有兩個(gè)作用：首先，在活動(dòng)地板下形成隱蔽空間，可以在地板下鋪設(shè)電源線管、線槽、綜合布線、消防管線等以及一些電氣設(shè)施（插座、插座箱等）；其次，活動(dòng)地板的抗靜電功能也為計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的安全運(yùn)行提供了保證。機(jī)房采用抗靜電全鋼活動(dòng)地板（整體靜電電阻率大于109歐姆），地板規(guī)格600*600*35mm。強(qiáng)度高，耐沖擊力強(qiáng)，集中載荷34KG，耐磨性優(yōu)于1000轉(zhuǎn)。防靜電地板鋪設(shè)高度為0.3米，安裝過程中，地板與墻面交界處，活動(dòng)地板需精確切割下料。切割邊需封膠處理后安裝。地板安裝后，地板與墻體交界處用不銹鋼踢腳板封邊?；顒?dòng)地板必須牢固，穩(wěn)定，

8、緊密。不能有響動(dòng)、搖擺和噪音。防靜電地板主要由兩部分組成。A）抗靜電活動(dòng)地板板面；B）地板支承系統(tǒng)，主要為橫梁支角（支角分成上、下托，螺桿可以調(diào)節(jié)，以調(diào)整地板面水平）。易于更換，用吸板器可以取下任何一塊地板，方便地板下面的管線及設(shè)備的維護(hù)保養(yǎng)及修理。9. 溫濕度控制空調(diào)功能：主機(jī)房?jī)?nèi)要維持正壓，與室外壓差大于9.8帕，送風(fēng)速度不小于3米/秒，空氣含塵濃度在靜態(tài)條件下測(cè)試為每升空氣中大于或等于0.5微米的塵粒數(shù)小于10000粒，并且具有新風(fēng)調(diào)節(jié)系統(tǒng)。機(jī)房的空調(diào)設(shè)備采用機(jī)房專用精密空調(diào)機(jī)組（風(fēng)冷、下送風(fēng)），確保7*24小時(shí)機(jī)房的環(huán)境溫濕度在規(guī)定的范圍內(nèi)；新風(fēng)調(diào)節(jié)系統(tǒng)按照機(jī)房大小滿足機(jī)房的空氣調(diào)節(jié)需

9、要。為保證空調(diào)的可靠運(yùn)行，要采用市電和發(fā)電機(jī)雙回路的供電方式。數(shù)據(jù)中心機(jī)房空氣環(huán)境設(shè)計(jì)參數(shù)：夏季溫度 23±2 冬季溫度 20±2夏季濕度 55±10% 冬季濕度 55±10%10. 電力供應(yīng)設(shè)計(jì)為“市電+柴油發(fā)電機(jī)+UPS”的高可靠性的供電方式。此設(shè)計(jì)既可保證給設(shè)備提供純凈的電源，減少對(duì)電網(wǎng)的污染，延長(zhǎng)設(shè)備的使用壽命，又可保證在市電停電后的正常工作，從而更充分地保障服務(wù)器的正常運(yùn)行。      UPS不間斷電源。包括UPS主機(jī)和免維護(hù)電池兩組，此設(shè)備是設(shè)計(jì)先進(jìn)、技術(shù)成熟的國(guó)際知名品牌EMERSON產(chǎn)品。UPS選用純?cè)诰€、雙

10、變換式，內(nèi)置輸出隔離變壓器。電池選用國(guó)際知名品牌非凡牌，為鉛酸免維護(hù)型，使用壽命長(zhǎng)達(dá)10年以上。 柴油發(fā)電機(jī)。本項(xiàng)目選用的柴油發(fā)電機(jī)機(jī)組額定功率為250KW。主要用于保證所有UPS負(fù)荷，包括機(jī)房的計(jì)算機(jī)設(shè)備、數(shù)據(jù)設(shè)備、應(yīng)急照明及部分PC機(jī)等。以備市電中斷時(shí)使用。二、 網(wǎng)絡(luò)安全設(shè)計(jì)1. 結(jié)構(gòu)安全為保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；設(shè)計(jì)采用三線百兆光纖雙路由接入分別為聯(lián)通、電信、鐵通。接入后按實(shí)際當(dāng)前運(yùn)行情況繪制相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；通過vlan或協(xié)議隔離將重要網(wǎng)段與其他網(wǎng)段之間隔離；重要網(wǎng)段在網(wǎng)絡(luò)邊界處添加防火墻設(shè)備，按照對(duì)業(yè)務(wù)服務(wù)

11、的重要次序來指定帶寬分配優(yōu)先級(jí)別做出網(wǎng)絡(luò)均衡，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。采用安全套接層協(xié)議SSL，SSL協(xié)議位于傳輸層和應(yīng)用層之間，由SSL記錄協(xié)議、SSL握手協(xié)議和SSL警報(bào)協(xié)議組成的。SSL握手協(xié)議用來在客戶與服務(wù)器真正傳輸應(yīng)用層數(shù)據(jù)之前建立安全機(jī)制。當(dāng)客戶與服務(wù)器第一次通信時(shí)，雙方通過握手協(xié)議在版本號(hào)、密鑰交換算法、數(shù)據(jù)加密算法和Hash算法上達(dá)成一致，然后互相驗(yàn)證對(duì)方身份，最后使用協(xié)商好的密鑰交換算法產(chǎn)生一個(gè)只有雙方知道的秘密信息，客戶和服務(wù)器各自根據(jù)此秘密信息產(chǎn)生數(shù)據(jù)加密算法和Hash算法參數(shù)。SSL記錄協(xié)議根據(jù)SSL握手協(xié)議協(xié)商的參數(shù)，對(duì)應(yīng)用層送來的數(shù)據(jù)進(jìn)行加密、壓

12、縮、計(jì)算消息鑒別碼MAC，然后經(jīng)網(wǎng)絡(luò)傳輸層發(fā)送給對(duì)方。SSL警報(bào)協(xié)議用來在客戶和服務(wù)器之間傳遞SSL出錯(cuò)信息。2. 網(wǎng)絡(luò)設(shè)備與訪問控制在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，采用分級(jí)管理，啟用訪問控制功能；對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；必要對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；對(duì)口令設(shè)置必須在8位以上且為字母和數(shù)字組合，每月定期更換口令；登錄失敗采取結(jié)束會(huì)話方式，限制非法登錄次數(shù)為6次，當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等；必要時(shí)采取加密措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；3. 安全審計(jì)對(duì)網(wǎng)絡(luò)系統(tǒng)采用網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；記錄包括：事件的日期和時(shí)間、用戶、事

13、件類型、事件是否成功等審計(jì)相關(guān)的信息；可以根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；系統(tǒng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等；4. 入侵防范網(wǎng)絡(luò)邊界處采用入侵檢測(cè)和防火墻產(chǎn)品監(jiān)視攻擊行為，包括端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)產(chǎn)生報(bào)警。入侵檢測(cè)能力是衡量一個(gè)防御體系是否完整有效的重要因素，強(qiáng)大完整的入侵檢測(cè)體系可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足。對(duì)來自外部網(wǎng)和內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè)，及時(shí)發(fā)現(xiàn)各種可能的攻擊企圖，并采取相應(yīng)的措施。將入侵

14、檢測(cè)引擎接入中心交換機(jī)上。入侵檢測(cè)系統(tǒng)集入侵檢測(cè)、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測(cè)網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，作為網(wǎng)絡(luò)管理員事后分析的依據(jù)；如果情況嚴(yán)重，系統(tǒng)可以發(fā)出實(shí)時(shí)報(bào)警。5. 漏洞掃描系統(tǒng) 采用目前最先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。三、 主機(jī)安全設(shè)計(jì)1. 身份鑒別采用網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；操作系統(tǒng)和數(shù)據(jù)

15、庫口令設(shè)置必須在8位以上且為字母和數(shù)字組合，每月定期更換口令；登錄失敗采取結(jié)束會(huì)話方式，限制非法登錄次數(shù)為6次，當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等；必要時(shí)采取加密措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，使用vpn或加密機(jī)技術(shù)接入防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；設(shè)置操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性；2. 訪問控制根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在，安全策略設(shè)置登錄終端的操作

16、超時(shí)鎖定；設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄。3. 安全審計(jì)采用網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，審計(jì)范圍覆蓋到服務(wù)器的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；審計(jì)內(nèi)容包括用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；對(duì)服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；審計(jì)記錄包括日期和時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)、事件的結(jié)果等；根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；審計(jì)進(jìn)程服務(wù)器獨(dú)立，權(quán)限級(jí)別高，不會(huì)受到未預(yù)期的中斷；審計(jì)記錄權(quán)限僅由審計(jì)管理員操作，不會(huì)受到未預(yù)期的刪除、修改或覆蓋等；4. 入侵防范和防病毒采用防病毒、入侵檢測(cè)和防火墻產(chǎn)品監(jiān)視攻擊行

17、為，檢測(cè)對(duì)重要服務(wù)器進(jìn)行入侵的行為，記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)產(chǎn)生報(bào)警； 每周必須更新病毒庫，及時(shí)更新防病毒軟件版本，主機(jī)病毒庫產(chǎn)品具有與網(wǎng)絡(luò)病毒庫產(chǎn)品不同的病毒庫，支持病毒庫的統(tǒng)一管理；操作系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。四、 應(yīng)用安全設(shè)計(jì)1. 身份鑒別和訪問控制采用專用的登錄控制模塊及UBSKey對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別；具有用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用；登錄失敗采取結(jié)束會(huì)話方式，限制非法登錄

18、次數(shù)為6次，當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等； 具有自主訪問控制功能，依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫表等客體的訪問；由主機(jī)配置訪問控制策略，并禁止默認(rèn)帳戶的訪問。 2. 應(yīng)用安全措施后臺(tái)管理系統(tǒng)安全設(shè)計(jì)所有后臺(tái)管理系統(tǒng)使用程序強(qiáng)制要求用戶密碼滿足相應(yīng)的用戶密碼復(fù)雜度策略。密碼超過40天沒有修改就自動(dòng)凍結(jié)帳戶，登陸時(shí)強(qiáng)制用戶修改密碼，并不能和上次密碼一樣。密碼連續(xù)三次輸入錯(cuò)誤就凍結(jié)帳戶十分鐘，同時(shí)記錄登陸IP。用戶登陸成功時(shí)提示上次登陸IP和登陸時(shí)間，如果上次登陸IP和本次登陸IP不同則提示用戶。有密碼輸入錯(cuò)誤記錄，用戶登陸成功后提示用戶上次密碼輸入錯(cuò)誤時(shí)間和連續(xù)輸入錯(cuò)誤次數(shù)及嘗試用錯(cuò)誤密碼登陸

19、的IP。程序失敗了保證程序正常終止，在出錯(cuò)提示中不包含任何系統(tǒng)信息，配置信息等錯(cuò)誤信息。全部給出“服務(wù)器忙請(qǐng)稍候再試”的統(tǒng)一錯(cuò)誤信息。登陸錯(cuò)誤提示信息全部一樣，不顯示“不存在該用戶”或“密碼不對(duì)”這樣的提示，防止利用錯(cuò)誤提示獲取用戶名列表。統(tǒng)一給出“用戶名或密碼錯(cuò)誤”的錯(cuò)誤提示。設(shè)計(jì)統(tǒng)一的Apache或者IIS的錯(cuò)誤頁面，來替換現(xiàn)在的401 403 404 500等Apache或IIS自帶的錯(cuò)誤頁面，讓所有的錯(cuò)誤返回的信息都完全一樣，提交頁面返回的錯(cuò)誤信息可以給入侵者提供豐富的信息，例如探測(cè)后臺(tái)管理目錄時(shí)，如果返回的是403錯(cuò)誤，就說明該目錄存在。 3. 安全審計(jì)采用網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，覆蓋到每

20、個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；用戶無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記錄；審計(jì)記錄的內(nèi)容包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等；審計(jì)記錄數(shù)據(jù)具有統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能；4. 通信完整性和保密性采用密碼機(jī)或者VPN保證通信過程中數(shù)據(jù)的完整性。在通信雙方建立連接之前，應(yīng)用系統(tǒng)利用密碼機(jī)技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；對(duì)通信過程中的整個(gè)報(bào)文或會(huì)話過程進(jìn)行加密。也可以使用javascript加密編碼： 用戶請(qǐng)求登陸頁面,返回的登陸頁面中調(diào)用一個(gè)javascript文件timestamp.js，該javascript里面包含服務(wù)器上的時(shí)間戳,每五分

21、鐘自動(dòng)發(fā)布一次timestamp.js，也就是每五分鐘更新一次js文件中的時(shí)間戳。用戶在登陸頁面中手工輸入用戶名和密碼，單擊“登陸”的時(shí)候，利用javascript將網(wǎng)頁用戶輸入的Password結(jié)合時(shí)間戳timestamp進(jìn)行hash運(yùn)算。 設(shè)hash運(yùn)算后密碼為passwd1 passwd1=calcSHA1(timestamp + password) 然后連同加密的密碼和明文時(shí)間戳與明文用戶名一起提交給login程序 Login程序接到用戶輸入后，首先比較當(dāng)前時(shí)間和用戶提交的時(shí)間戳timestamp是否超過一小時(shí)，如果超過一小時(shí)就返回“登陸超時(shí)，請(qǐng)重新登陸”的錯(cuò)誤信息。 使用用戶登陸策略

22、判斷登陸請(qǐng)求是否合法。 然后通過用戶輸入的用戶名找到數(shù)據(jù)庫中的密碼，使用用戶提交時(shí)間戳timestamp和數(shù)據(jù)庫中的密碼進(jìn)行運(yùn)算，運(yùn)算出的密碼設(shè)為passwd2。 Passwd2=calcSHA1(timestamp + passwordDB) 判斷用戶提交的Passwd1 和運(yùn)算出來的 Passwd2 是否相等，如果相等，就認(rèn)為登陸成功5. 抗抵賴在請(qǐng)求的情況下保留USBKey數(shù)據(jù)原發(fā)者原發(fā)證據(jù)信息；在請(qǐng)求的情況下保留USBKey數(shù)據(jù)接收者接收證據(jù)信息。USBKey內(nèi)存有加密證書和簽名證書，對(duì)應(yīng)于加密密鑰對(duì)和簽名密鑰對(duì)。加密密鑰對(duì)在密鑰管理中心產(chǎn)生，由密鑰管理中心負(fù)責(zé)密鑰的生成、存儲(chǔ)、備份、

23、恢復(fù)等密鑰管理工作，簽名密鑰對(duì)在USBKey硬件設(shè)備內(nèi)產(chǎn)生，私鑰不會(huì)讀出硬件，私鑰通常是以加密文件的方式存在，文件加密的標(biāo)準(zhǔn)采用PKCS5等規(guī)范，CA中心不會(huì)有用戶的私鑰，因此能夠?qū)崿F(xiàn)抗抵賴性6. 資源控制當(dāng)系統(tǒng)中的通信雙方中的一方在5分鐘未作任何響應(yīng)，另一方自動(dòng)結(jié)束會(huì)話；對(duì)系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制，可以手工參數(shù)配置；禁止單個(gè)帳戶的多重并發(fā)會(huì)話。五、 數(shù)據(jù)安全設(shè)計(jì)1. 數(shù)據(jù)完整性和保密性采用數(shù)據(jù)傳輸加密技術(shù)，對(duì)傳輸中的數(shù)據(jù)流加密，以防止通信線路上的竊聽、泄漏、篡改和破壞。數(shù)據(jù)傳輸?shù)耐暾酝ㄟ^數(shù)字簽名的方式來實(shí)現(xiàn)，數(shù)據(jù)的發(fā)送方在發(fā)送數(shù)據(jù)的同時(shí)利用單向的不可逆加密算法Hash函數(shù)或者其它信

24、息文摘算法計(jì)算出所傳輸數(shù)據(jù)的消息文摘，并把該消息文摘作為數(shù)字簽名隨數(shù)據(jù)一同發(fā)送。接收方在收到數(shù)據(jù)的同時(shí)也收到該數(shù)據(jù)的數(shù)字簽名，接收方使用相同的算法計(jì)算出接收到的數(shù)據(jù)的數(shù)字簽名，并把該數(shù)字簽名和接收到的數(shù)字簽名進(jìn)行比較，若二者相同，則說明數(shù)據(jù)在傳輸過程中未被修改，數(shù)據(jù)完整性得到了保證。在數(shù)據(jù)交換的過程中，嚴(yán)格的加密機(jī)制以及用戶身份驗(yàn)證機(jī)制保證數(shù)據(jù)交換的安全。包括：系統(tǒng)層面上的安全：采用USBKey操作系統(tǒng)保證系統(tǒng)對(duì)于用戶口令、權(quán)限的驗(yàn)證。網(wǎng)絡(luò)層面上的安全：對(duì)主機(jī)進(jìn)行IP地址的訪問列表限制，細(xì)化到每個(gè)協(xié)議的資料包程度。數(shù)字證書層面的安全：采用CA認(rèn)證，保證與資料中心進(jìn)行資料交換的主機(jī)身份都是經(jīng)過認(rèn)

25、證的。交換層面上的安全：采用加密以及用戶身份認(rèn)證機(jī)制。核心數(shù)據(jù)加密保證數(shù)據(jù)即使被竊取之后，也無法了解數(shù)據(jù)的內(nèi)容。采用對(duì)數(shù)據(jù)的保密和安全要求極為嚴(yán)格，因此除了在數(shù)據(jù)通過網(wǎng)絡(luò)傳輸過程的保密和安全采取有效措施外，還要對(duì)數(shù)據(jù)庫中的靜態(tài)數(shù)據(jù)（如賬號(hào)、密碼、簽名信息和財(cái)務(wù)數(shù)據(jù)等）和系統(tǒng)配置信息等核心數(shù)據(jù)進(jìn)行加密，在顯示時(shí)通過用戶程序進(jìn)行解密。這樣，防止有人直接讀取數(shù)據(jù)庫表數(shù)據(jù)，獲知核心數(shù)據(jù)的內(nèi)容，功能甚至可以防止站點(diǎn)管理員、數(shù)據(jù)庫管理員對(duì)數(shù)據(jù)的窺視。2. 備份和恢復(fù)采取兩地三中心的方式，建立異地災(zāi)難備份中心，配備災(zāi)難恢復(fù)所需的通信線路、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)處理設(shè)備，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用的實(shí)時(shí)無縫切換；本地第二中心實(shí)具有時(shí)備份功能，利用通信網(wǎng)絡(luò)將數(shù)據(jù)實(shí)時(shí)備份至災(zāi)難備份中心；數(shù)據(jù)本地備份與恢復(fù)功能，增量數(shù)據(jù)每日備份，增量備份保存兩個(gè)版本，每個(gè)備份保存兩個(gè)全備周期；完全數(shù)據(jù)備份每周一次，備份介質(zhì)場(chǎng)外存放，數(shù)據(jù)庫的完整備份保存2個(gè)版本，每個(gè)備份保存兩個(gè)備份周，備份網(wǎng)絡(luò)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免存在網(wǎng)絡(luò)單點(diǎn)故障；加強(qiáng)主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。零停機(jī)備份與恢復(fù)方案，通過采用全面的數(shù)據(jù)鏡像-分割備份，操作允許將生產(chǎn)環(huán)境與備份和恢復(fù)環(huán)境分開，從而為最關(guān)鍵的業(yè)務(wù)應(yīng)用提供了停機(jī)時(shí)間為零且不影響操作的數(shù)據(jù)保護(hù)。零停機(jī)時(shí)間備份與恢復(fù)方案為關(guān)鍵業(yè)務(wù)應(yīng)