系统安全和备份方案.doc

1.1 系统安全方案1.1.1 认证与授权 认证与授权是系统安全防范和保护的主要策略，它的主要任务是保证信息资源不被非法使用和非法访问，它是维护网络系统安全、保护信息资源的重要手段。本部分主要从用户身份管理、认证管理和授权管理三个部分描述认证与授权的控制措施。l 身份管理业务运营管理系统内的用户身份信息需要进行统一管理，制定相应的管理规范和命名规则，确保用户与身份标识的维一性。 l 认证管理 业务管理系统对于内部用户和外部用户本系统采用了不同的认证方式。对于内部用户可以采取传统的用户名口令的认证方式，系统提供灵活的口令维护和配置功能，包括对弱口令的识别、口令定期更改的提示等。对于外部用户可以采用数字签名技术，服务器端和客户端证书采用CA中心颁发的证书。服务器采用Web服务器证书，安装在Web服务器上；而个人使用个人证书，存放在较为安全的存储介质（如USB Key）上。安全代理服务器是用于服务器端的建立安全通信信道的软件，通过数字证书实现用户与服务器之间的通信与交易安全，可以满足用户对于信息传输的安全性及身份认证的需要。 数字签名系统为客户提供了基于Web浏览器和Web服务器的数字签名解决方案，可以实现对Web页面中的指定内容和文件进行数字签名和验证。 安全代理产品及数字签名产品，其主要工作原理如下图所示： CA认证工作流程 WEB证书通过与客户端个人证书的结合，可以实现用户的安全登录，通过证书检验身份，其作用相当于一串1024位密码，这样就避免了因简单的用户名、密码被猜到、试到或黑客破解的风险。l 访问管理 通常访问控制模式主要分为自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控制（RBAC）。航空安全管理平台需要支持基于角色的访问控制模式，如下图所示： 角色访问控制模式角色的定义应反映标准化管理的业务流程和组织结构的要求，并根据航空安全管理平台决定每一角色应具有的系统访问权限。通过给用户群组指派相应的角色，并给用户指派相应的用户群组决定每个用户所具有的操作权限。1.1.1.1 加密 加密的主要目的是提高信息和信息系统的机密性、完整性和抗抵赖性，即保证航空安全管理平台在进行处理时提供以下的保护：l 数据的机密性保护 当客户在网上传递敏感数据时，比如信用卡号码、金额等，就可以通过安全套接层（SSL），实现文件和信息的加密传递，为客户的机密数据提供安全保障。l 保证信息传递完整性 开展电子交易的一大障碍即是如何保证电子版的文件不被对方（或第三方）篡改，无论网上网下，在涉及双方责任权利义务的时候，必然会出现责任书、章程、合同、协议等文件。可以通过证书对电子版文件进行数字摘要和数字签名等技术处理，保证了电子版文件的完整性和不可抵赖性。1.1.1.2 审计跟踪 审计跟踪是指通过日志等手段对各类业务和系统操作进行记录和跟踪的安全机制。 审计跟踪工具主要功能应包括：应用层、系统层审计跟踪记录，在应用层、系统层实现对必要信息的保留。 对于需要进行审计跟踪的内容、采用的保护措施、保留的时间应当提供灵活的定制功能，以便对不同敏感特性的数据采取相应的审计跟踪策略。 在系统管理中所有系统中发生的操作，都有相应的日志可以审计跟踪。1.1.1.3 PKI体系PKI（Public Key Infrastructure 的缩写）即“公开密钥体系”，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。原有的单密钥加密技术采用特定加密密钥加密数据，而解密时用于解密的密钥与加密密钥相同，这称之为对称型加密算法。采用此加密技术的理论基础的加密方法如果用于网络传输数据加密，则不可避免地出现安全漏洞。因为在发送加密数据的同时，也需要将密钥通过网络传输通知接收者，第三方在截获加密数据的同时，只需再截取相应密钥即可将数据解密使用或进行非法篡改。区别于原有的单密钥加密技术，PKI采用非对称的加密算法，即由原文加密成密文的密钥不同于由密文解密为原文的密钥，以避免第三方获取密钥后将密文解密。通常来说，CA是证书的签发机构,它是PKI的核心。众所周知，构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥（即私钥和公钥），私钥只由用户独立掌握，无须在网上传输，而公钥则是公开的，需要在网上传送，故公钥体制的密钥管理主要是针对公钥的管理问题，目前较好的解决方案是数字证书机制。数字证书是公开密钥体系的一种密钥管理媒介。它是一种权威性的电子文档，形同网络计算环境中的一种身份证，用于证明某一主体（如人、服务器等）的身份以及其公开密钥的合法性，又称为数字ID。数字证书由一对密钥及用户信息等数据共同组成，并写入一定的存储介质内，确保用户信息不被非法读取及篡改。智能卡（IC卡）和电子钥匙UKey具备便于携带、抗复制、低成本及不易损坏等特征，是目前较为理想的证书存储介质。还为它们配备了一系列的功能组件，包括登录控制、文件加密、安全拨号等，实现了较为全面的应用。PKI使用方法现在，我们将讲述PKI加密/签名体系是如何实现数据安全传输的。加密密钥对：发送者欲将加密数据发送给接收者，首先要获取接收者的公开的公钥，并用此公钥加密要发送的数据，即可发送；接收者在收到数据后，只需使用自己的私钥即可将数据解密。此过程中，假如发送的数据被非法截获，由于私钥并未上网传输，非法用户将无法将数据解密，更无法对文件做任何修改，从而确保了文件的机密性和完整性。签名密钥对：此过程与加密过程的对应。接收者收到数据后，使用私钥对其签名并通过网络传输给发送者，发送者用公钥解开签名，由于私钥具有唯一性，可证实此签名信息确实为由接收者发出。此过程中，任何人都没有私钥，因此无法伪造接收方的的签名或对其作任何形式的篡改，从而达到数据真实性和不可抵赖性的要求。PKI的基本组成完整的PKI系统必须具有权威认证机关(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。l 认证机关（CA）：即数字证书的申请及签发机关，CA必须具备权威性的特征；l 数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥；l 密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况的,PKI提供备份与恢复密钥的机制。但须注意，密钥的备份与恢复必须由可信的机构来完成。并且，密钥备份与恢复只能针对解密密钥，签名私钥为确保其唯一性而不能够作备份。l 证书作废系统：证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。l 应用接口：PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性。1.1.2 系统网络安全所处网络环境复杂，因此网络安全对于整个标准化系统的正常运行显得尤为重要。建议采用主动被动相结合的方式来保护网络安全。l 安全操作系统安全的操作系统是安全保障体系中不可缺少的部分。特别是在重要服务器中，应该依据信息的内容进行分级保护，采用安全性高的操作系统。l 关键主机系统加固操作系统作为计算机系统的基础软件是用来管理计算机资源的，它直接利用计算机硬件并为用户提供使用和编程接口。各种应用软件均建立在操作系统提供的系统软件平台之上，上层的应用软件要想获得运行的高可靠性和信息的完整性、保密性，必须依赖于操作系统提供的系统软件基础。在网络环境中，网络系统的安全性依赖于网络中各主机系统的安全性，而主机系统的安全性正是由其操作系统的安全性所决定的，没有安全的操作系统的支持，网络安全也毫无根基可言。所以，操作系统安全是计算机网络系统安全的基础。而服务器及其上的业务数据又是被攻击的最终目标。因此，部署安全产品，加强对关键服务器的安全控制，是增强系统总体安全性和核心一环。通常，因为客户的应用和需求不同，默认安装的Unix操作系统没有使用Unix系统本身的很多安全机制，这样的默认配置是不够安全的。但是使用这些安全机制需要和应用系统的要求相吻合，否则会影响应用系统的正常运行。由于操作系统本身设计的原因，他的安全机制和应用系统的实际需求具有很大的差距。例如，超级用户的存在是主机安全的重要威胁，超级用户的口令是不法分子梦寐以求的钥匙。因此，为了提高系统主机的安全性，必须采用有效的安全机制来满足用户的实际安全需求。首先应该对日常的业务流程进行细致的分析，区分不同的人员具有的不同权限。在这一过程中要遵循应该有的权限一个也不能少，不该有的权限一个也不能多的原则。同时限制超级用户的口令，将它的权限分给不同的人来管理，改变超级用户权限过大的状况，这样既提高了系统的安全，又能免除原来计算机维护人员的嫌疑，减轻了工作中承担的责任压力。根据系统的实际情况，列出应该保护的重要文件和目录，进行特别的保护，只给相关的人员赋予相应的访问权限。建议在核心服务器（数据库服务器，应用服务器等）上实施主机安全服务。l 基于主机的入侵检测系统基于主机的入侵检测系统保留了一种有力的工具，以理解以前的攻击形式，并选择合适的方法去抵御未来的攻击。基于主机的IDS使用验证记录，自动化程度大大提高，并发展了精密的可迅速做出响应的检测技术。通常，基于主机的IDS可监探系统、事件和Window NT下的安全记录以及UNIX环境下的系统记录。当有文件发生变化时，IDS将新的记录条目与攻击标记相比较，看它们是否匹配。如果匹配，系统就会向管理员报警并向别的目标报告，以采取措施。基于主机的IDS通过定期检查校验关键系统文件和可执行文件，来进行系统级的入侵检测，用以发现意外的变化。该方式反应的快慢与轮询间隔的频率有直接的关系。同时，基于主机的IDS一直监听端口的活动，并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中。l 漏洞扫描系统漏洞扫描能对网络中设备进行自动的安全漏洞检测和分析，模拟漏洞分析专家及安全专家的技术，提供基于策略的安全风险管理。它可以在任何基于TCP/IP 的网络上应用，我们采用目前主流的漏洞扫描系统对网络及各种系统进行定期或不定期的扫描监测，并向安全管理员提供系统最新的漏洞报告，使管理员能够随时了解网络系统当前存在的漏洞并及时采取相应的措施进行修补。l 防病毒系统防病毒主要包括管理和技术两方面。管理方面：管理上应制定一套有关的规章制度，从日常管理上堵住病毒流入和导出的途径。技术方面：安全管理信息系统平台涉及面广，各种应用服务器操作系统并存，系统运行中一般不允许中断的特点。建议采用在两个不同网络信任域接入路由器的网络联接处，设置高速防病毒过滤网关；为中央网管中心的邮件系统设置专门的高速硬件邮件防病毒网关；为中央网管中心和各接入局域网配置网络防病毒软件相结合的方式，及时将病毒清除或者阻断。同时，应该在网管中心设置一个防病毒主控制中心，在各地设置防病毒控制分中心。根据病毒和恶意代码的最新发展动态，及时通过各地的防病毒控制分中心，进行统一的病毒特征码的自动升级和防毒策略的统一制订和修改。为了使这三部分的防病毒设备和软件达到最佳的结合效果，应具备以下特点：l 能对全网的防病毒设备和软件进行统一的病毒特征码的升级。l 基于策略的中央控制分级管理模式，策略以从上至下的方式执行。l 资源占用低，性能优越。l 自动适用增量升级方式。l 支持跨平台的统一控制台管理。l 安装、升级后无需重新启动计算机系统。l 对自身的通讯加密及对病毒的免疫防护功能。 同时，在内部还应建立一支应急响应和技术支持队伍，及时有效地对重大突发事件做出响应。1.1.3 日志监控系统应提供日志和工具，定期监控（审查）系统平台，包括：事件日志、WEB服务日志、安全配置和分析。为保证访问权限根据站点策略只可用于有授权的人，必须定期审查管理员、组和服务帐户。1.2 备份恢复服务1.2.1 备份 备份是最普遍的用于保证数据可用性的方法。在进行备份时要考虑到以下几个因素：设备的协同工作能力，存储的容量，介质的寿命，所选用的备份软件。目前主要可以采用的手段有：磁盘、磁带驱动器、大容量移动存储介质、CD盘、网络备份（包括使用网络存储设备和网络磁盘）、复制和同步以及INTERNET在线备份。 同时还有一种特殊的备份方式镜像。通过该种备份方式可以将计算机中所安装的系统、应用软件和相关设置存储成一个镜像文件，以便以后能完整恢复数据、系统和相关的设置。对于镜像备份的恢复会将计算机完全恢复成镜像的情况，因此镜像备份对于恢复大量的标准化配置的计算机方面有一定的优势。 另外，还有一种备份的辅助手段远程日志备份，该技术通过将对数据的各种操作的日志记录通过网络通讯线路远程的备份到异地的存储设备上，一旦发生故障，可以通过存储在远程的日志信息对数据进行恢复处理。对于服务器的备份相比终端要更为频繁。通常情况下对于服务器的备份可以采用以下几种手段：l 完全备份：对于服务器上所有的数据和文件进行备份l 增量备份：只备份自从上次备份以来创建的或是经过修改的文件l 差异备份：只备份自从上次完全备份以来创建的或是经过修改的文件 当然在具体使用时可以考虑多种备份手段结合起来使用，每种手段使用的频率各不相同。同时，在使用备份技术时还应当考虑以下安全相关问题：备份媒介的选择，明确应当尽量采用存储时间长的存储介质，或者采用两种以上的存储介质对重要数据进行保存，以防止由于存储介质失效而导致的数据丢失。备份介质存放地点的选择，对于备份介质的存放地点应当尽量保存在一个安全的环境中。以防止由于一些环境因素造成存储介质的提前实效或损坏。同时，对于一些存储了非常重要信息的介质可以考虑采用异地保存的方式，就是将该数据的另一个副本存储在地理上不同的地域。以防止由于意外事故造成的数据丢失。鼓励个人用户对其电脑上的重要数据进行备份，具体采用的备份介质和备份方式可以由用户自行选择。可以让用户自发的将重要数据进行备份。 尽量采用标准化的硬件、软件和周边设备，从而加快系统的备份和恢复。对于各类系统或硬件的设置和相关厂商信息进行有效的备份保护。这样也可以在系统一旦出现问题后，加快系统恢复的进程。 对重要的信息或系统的备份建立有效的备份策略和备份管理机制。确保安全等级不同的各类信息或系统都得到了有效的恰当的备份保护。在确定备份的指导思想和备份方案之后，就要选择安全的存储媒介和技术进行数据备份，有“冷备份”和“热备份”两种。 热备份是指“在线”的备份，即下载备份的数据还在整个计算机系统和网络中，只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放。冷备份是指“不在线”的备份，下载的备份存放到安全的存储媒介中，而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系，在系统恢复时重新安装，有一部分原始的数据长期保存并作为查询使用。热备份的优点是投资大，但调用快，使用方便，在系统恢复中需要反复调试时更显优势。冷备份弥补了热备份的一些不足，二者优势互补，相辅相成，因为冷备份在回避风险中还具有便于保管的特殊优点。 在本项目中，我们可以考虑使用全盘备份和增量备份结合的方式，考虑到数据库数据量有快速增长的趋势，建议每周做一次全备份，每天做一次增量备份。考虑到备份和恢复的复杂程度和数据的重要程度，我们考虑可采用冷备和热备结合的方式。在作全备份的时候使用冷备份方式，管理员必须关闭数据库。平时的增量备份则可以在数据库在线的情况下进行（即热备）。实现方式可使用专用备份服务器结合备份软件，将数据通过磁带机备份到磁盘即可。 建议业务管理系统数据备份应通过一台专门的备份服务器，利用专业的备份软件按照所制定的正确的备份策略将数据备份到磁带机的磁带中。同时恢复数据也通过此套系统及时快速的进行数据恢复。此方案所涉及设备如下：（以IBM设备为例）No.项目配置数量1备份服务器IBM System X3250： Intel PD 3.4GHz, 2GB, 2160GB, SATA 12磁带库IBM TS3100（22个磁带槽位,10数据带,1清洁带）13备份软件Galaxy（备份服务器端、介质管理器、SQL数据库热备模块、Oracle数据库热备模块、Domino热备模块、Winodws文件系统备份模块）1当备份系统建立起来后，我们需要对此套备份系统所产生的磁带进行合理规划和管理。建议的IT管理人员将每周和每月的全备份磁带安全的，妥善的保存。总体上说，备份机制的灾难恢复时间较长，也存在一定的数据恢复失败的风险。尽管大多数情况下用户原有数据没有丢失，但是当本地应用出问题时，业务会被迫中断。但这种级别的方案花费较低，构建简单。在本次的备份方案中，我们建议采用CommVault Systems公司的备份软件产品QiNetix平台并结合IBM TS3100带库来对我们的数据进行有效的备份保护。CommVault Systems是1996年从AT&T贝尔实验室分立出来发展成独立的软件公司，致力于备份和恢复性能的创新。2000年，公司发表了旗舰产品：CommVault Galaxy备份和恢复软件，该软件4次荣获存储业界的嘉奖。自2000年，CommVault Systems与全球顶级的软件和硬件厂商建立了稳固的联盟来增强软件的功能并创造了杰出的数据管理方案组件，这些厂商包括：DELL、EMC、HP、HDS、Microsoft和Network Appliance等等。在2002年，CommVault发表了QiNetix平台来提供统一的数据管理。QiNetix对Galaxy稳健的数据保护和通用技术平台作了新的扩展，创造性地实现了交互和集成的解决方案。这样，数据备份和恢复、数据迁移、数据可用性、存储资源管理和存储架构管理被有机地结合在一起。QiNetix在极大地扩展了现有功能的同时，确保了异构企业环境中的文件、关键业务应用程序和当今被广泛使用的数据库的可靠性和快速恢复。至今，QiNetix软件被安装在许多全球2000强企业中。1.2.2 冗余 虽然各类备份技术可以保证当信息丢失或系统出现故障之后，可以通过预先设置的备份机制有效的及时地将原有的信息或系统加以恢复。但无法很好的解决在数据丢失损坏过程中对数据或系统实时的保护。因此，备份策略需要通过冗余机制加以辅助，从而在灾害或事故发生的过程中对数据或系统进行实时的保护。目前主要的冗余技术和安全机制主要有四类：l RAID技术 RAID为数据的存储提供了冗余和容错的功能。RAID主要用于保护磁盘驱动器和磁盘控制器出错的情况。此外，RAID还通过将数据存储在多个磁盘驱动器上增进了系统的性能和可靠性。RAID可以通过软件或是硬件手段来实