应用系统安全防护方案建议书

1、应用系统安全防护方案建议书目 录 TOC o 1-2 h z u HYPERLINK l _Toc3301620 第1章应用系统安全防护解决方案 PAGEREF _Toc3301620 h 2 HYPERLINK l _Toc3301621 1.1安全风险分析 PAGEREF _Toc3301621 h 2 HYPERLINK l _Toc3301622 1.2安全解决方案 PAGEREF _Toc3301622 h 2应用系统安全防护解决方案安全风险分析8.1.1物理安全风险物理安全风险主要包括环境安全风险、设备安全风险、记录介质安全风险等。环境安全风险主要指物理设备所处环境的安全风险，例如

2、：机房周边环境的安全风险、机房火险、机房水险、供配电异常、空调系统失灵、电磁干扰、地震、雷击、静电等等。设备安全风险主要是指设备的被盗、被损和不可用的安全风险。记录介质安全风险主要是指各类记录介质被盗、被损、非法拷贝等等。这些安全隐患都可能导致系统崩溃、数据丢失、信息泄漏等等，造成无法挽回的损失。8.1.2网络安全风险由于我们搭建在内部网络上，这里的风险主要是指内部网络用户基于内部的局域网环境，非法访问主机系统和业务应用系统引起的系统工作异常甚至崩溃、信息数据泄密和破坏等风险。8.1.3系统安全风险操作系统本身的漏洞和缺陷、用户权限设置不合理、一些不安全协议的使用等等这些因素都构成对系统的威胁

3、；应用系统漏洞及其设计缺陷等等也会引起系统的安全风险问题；病毒是威胁系统安全的一个主要方面；此外，系统备份认识不足也是系统安全隐患。8.1.4数据安全风险数据安全风险主要包括防止数据被破坏、窃取和非法使用等。数据安全风险和系统安全风险往往具有相关性。8.1.5管理安全风险安全意识淡薄、管理制度不健全等等都可能构成安全隐患。种种事件表明，多数公司机密泄漏事件是由于公司内部相关人员对个人密码的保护上重视程度不够，甚至在利益的驱使下直接将内部信息泄漏出去。安全解决方案8.2.1完善强大的系统管理功能系统管理是整个系统运行的基础，提供了操作员管理、用户组管理、权限管理、上机日志管理、系统维护等功能。可

4、以建立一个或多个系统管理员，按照分工或者职责的不同，对系统的不同的部分进行维护。可以针对一个单位增加操作员，也可以先增加操作员后与各单位建立关联。这样一个操作员就可以对多个单位的数据进行操作，并且只能对被赋予权限的单位的数据进行操作。用户组的建立为操作员的管理和权限分配带来很大方便。上机日志记载了每个操作员每一次操作的时间、操作的内容等数据。完整的上机日志为系统安全的管理提供了保证。8.2.2高度的安全性应用1）系统软件安全保障数据传递采用RSA+DES算法，并且可以在传输层绑定各种协议。客户认证，全部在服务器上认证。并且每个用户的密码在数据库内加密存放。密码存放对一般用户不是透明的。系统从功

5、能权限、数据权限、字段权限三个层次管理使用者，保证机密数据的安全。系统数据是放在数据库中的，大型的数据库本身有一套比较完善的安全体系。产品代码全部放于服务器上，只有服务器管理人员才能更改代码。客户端的代码是动态地下载到客户端的，动态下载意味着谁也无法在客户端修改客户端的运行代码。数据库的管理只在服务器上，数据库的访问权控制在系统管理员手中。数据库不用放在WEB服务器上，减少了服务器被攻击的可能。系统采用三层结构，运行在服务器上的代码可以直接访问数据库，客户端不能直接访问。有访问权限的用户也只能访问WEB和应用服务器，而不能直接看到数据库服务器。2）分级的权限管理机制功能权限：根据功能的划分来为

6、操作员设置权限。功能的权限不仅能够设置到最末的一级菜单功能，而且能够设置到每个功能中的各个按钮。由于可以将权限明细到功能按钮级，保证了功能权限的最明细化。数据权限：在功能权限的基础上，针对具体的业务对象或者数据内容提供了更进一步的权限设置。数据权限又可以进一步细分为三类：数据对象权限：数据对象就是各个系统的所操作的主要业务对象，例如人员信息等内容。针对哪些数据对象设置权限可以进行自由设置，并且可以设置某个操作员对这些数据对象的使用权，没有被赋予权限的数据对象不能被当前的操作员操作。在功能权限的基础上，通过数据对象权限的进一步控制，可以满足企事业更加严密、精细的权限要求。业务字段权限：针对某页面

7、上的各个字段，或者信息查询与统计分析所输出的各个字段，设置更加明细的操作权限，没有被赋予权限的字段不能被当前操作员操作。字段范围权限：针对某页面上各个字段，或者查询与统计分析所输出的各个字段，按照取值范围设置权限，只有在被赋予权限的取值范围内，操作员才能操作。业务权限：功能权限和数据权限全部是针对操作员进行设置的，而业务权限则是针对两个业务对象来进行设置的，通过设置两个业务对象之间的关系，来完成相应的业务约束。3）安全认证方案通过INTERNET进行网上在线结算，不仅需要保证用户身份的保密性，而且还要保证从客户端到服务器的通信传输链路的安全。要实现这一点，就要利用PKI技术并结合身份认证、访问

8、控制、数据加密以及数字签名技术来构建一个完整的安全体系。（注：该方案只适用于B/S结构。）安全认证总体构架首先，需要为每个客户颁发不同的CA证书。可以通过自建CA中心或使用第三方CA证书管理中心（如CFCA）提供的证书服务。CA中心的职能是为用户进行数字证书的签发、生成和注销，建立系统中的相互认证体系和用户管理办法。其次，用户的证书保存在硬件的加密模块里（如IC卡，USB电子钥匙），传输中的加密通过硬件加密模块实现，并通过密码进行保护。建议对关键用户采用USB电子钥匙。然后，WEB服务器和客户端之间通过证书身份认证后，在公共网络上建立SSL/TLS安全通信通道，对所有通信数据进行加密传输。最后

9、，采用身份控制的登录方式访问被授权的网页（不同的用户登录不同的网页），建立加密的安全通道，用户需要在表单上做数字签名操作，然后返回数字签名是否被验证成功的结果。CA认证及密钥管理利用数字证书进行用户身份认证和信息加密是网络结算系统的安全基石。证书的作用：证书是由CA中心颁发的，包含拥有者的信息及秘钥的数字文件。它的作用简而言之就是数字签名和加密（解密），来保证信息的完整性、机密性和不可抵赖性。用户端证书的存放：为了保证证书的安全，证书通常存放于专用硬件中，如IC卡、电子钥匙。（注：采用电子钥匙，需要用户端计算机带有USB接口。）智能卡技术的应用智能卡或电子钥匙与浏览器直接相结合的方法是当前世界

10、上公认的商业网络安全通信中最好的客户端解决方案，它具有一些其他方法所不具备的独特优点：把用户的重要信息，包括证书、密钥、口令、个人信息等，存放于智能卡内安全保管。卡内产生密钥，加密处理在卡内完成，密钥等信息是不允许从卡中读出的，从而最大限度地保障安全。每张智能卡存放的内容都是独特的，是不可替代的，具有代表使用者身份的意义，提供对安全责任的可管理性。智能卡的拥有者可以方便地携带它，可以到任何地点的计算机上去完成电子商务操作，不仅安全而且比其它方法更方便。此外，它还有同一张卡片支持多种应用、可以与多种通信软件和卡片应用设备配合使用等显著优点。数字签名及验证系统利用密码学的原理，数字签名及验证系统可

11、以保证信息传输的完整性和抗抵赖性。在客户端，使用智能卡安全通信套件配合数字签名模块，可以对Web网页所携带的表单和交易信息进行数字签名。在服务器端，使用数字签名验证服务器对数字签名进行验证，以保证交易数据的正确性和交易的抗否认性。实现数字签名需要对WEB应用程序进行少量修改，使得用户提交的表单和交易信息经过数字签名认证后再存入数据库中。数字签名验证服务器提供相关API接口，供应用程序调用。（注：实现数字签名需要一台专用的数字签名验证服务器。）采用SSL安全通信通道安全套接层（SSL）是在WEB服务器与用户浏览器之间的安全通道，它通过客户端与服务器端的双向身份认证及密钥协商功能，来保证数据传输的

12、安全，目前，大多数Web服务器（如微软IIS、Oracle Web logic）都支持SSL技术。4）审计与监控审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集与积累并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，以便对发现或可能产生的破坏性行为提供有力的证据。在ECM系统中，主要是通过以下几个方面满足企业审计与监控的需

13、求：1、系统内的日志管理能够记录用户进入某个功能节点的时间和用户退出某个功能节点的时间，并提供用户对日志的管理功能。上机日志使用户对系统的使用情况有了详细的了解，同时增强了系统的安全性。在系统中单击【客户化】-【系统维护】的子菜单【上机日志】，输入查询条件后，系统将弹出上机日志的主窗口。该窗口分左右两个部分,左侧是日志类型树状列表(登录NC日志，进入节点日志，点击按钮日志，业务日志以及管理员日记)，右侧是左侧选中日志类型所对应的上机日志。如下图：2、NC中间件提供专门的日志服务：以文本方式存取。对系统所有操作以及ECM系统发生问题的错误记录。如下图:3、ECM系统提供专门的监控记录管理，人员信

14、息发生变化后，都可以在系统中查询出人员变化前后的信息。如下图：5）网络安全方案公司提供的安全方案来搭建网络安全体系。系统建立好之后，用户的访问先经过防火墙过滤、身份验证，防止非法用户访问公司数据。有访问权限的用户也只能访问WEB和应用服务器，WEB和应用服务器上面安装两块网卡并禁止IP转发，一块连接公司内部网络，另一块单独连接数据库服务器。保证没有用户能直接访问到数据库服务器。本系统采用四层保密机制：1通过防火墙及其他安全措施，保证网络、WEB服务器的安全。将WEB服务器与应用服务器安装于一台物理服务器，将数据库服务器安装为一台服务器。数据库服务器放在防火墙后面，外界无法知道数据库服务器的IP

15、，无法直接访问数据库服务器，保障了数据库服务器的安全。因为所有的数据都存放在数据库服务器中，因而，数据库服务器是系统中最重要的机器。其安全性也最为重要。应用服务器与数据库服务器通过标准的JDBC连接相连。而工作站无法直接连接到数据库服务器，只能连接到应用服务器，通过中间件操作，因此应用服务器的安全也比较关键。首先，可以通过应用服务器的配置限制IP访问，对于远程用户，可以通过设置电话回拔限制远程电话拔号访问。以此控制非系统内人员的访问，对系统内人员的访问，则主要通过应用程序的权限设置。这便要求其系统管理员的口令高度保密。而对于一般操作人员，绝对不要赋予其不必要的权限。另外，如有异常，可通过操作日

16、志了解操作员的操作情况。进行事后的追踪。2、JAVA语言在安全方面做了严格的限制，保证浏览器操作的安全。登录到系统的客户无法利用象C语言的指针类似的后门来进行破坏，因为JAVA语言取消了容易产生安全问题的指针操作。另外，JAVA语言取消了直接对存储器的存取操作，也保证了工作站不能破坏服务器的硬盘。3、大型关系型数据库具有良好的安全性，保证数据的安全。数据库将操作系统和数据库的权限相结合，可对用户授予数据库级或表级的权限，表的授权可由一般用户和超级用户代理。严格避免前台直接对数据库操作。可以通过数据库权限设置、操作系统权限设置，让一般用户不能直接访问服务器，而只能登录到软件来访问，如此，可将操作

17、人员的范围界定在财务操作人员，他们只能通过软件来访问服务器，而财务操作人员的口令一般只有局部权限，不会对系统造成破坏。4、用软件提供了多层次的安全控制功能。包括用户权限管理（模块权限、功能权限、科目权限），操作日志监控，数据的联机备份、复制与恢复、数据传输加密等数据在网络上传输时，进行了核心数据的加密设置（如凭证内容），系统采用DES算法，64位加密。加密算法在中间件实现。备份与恢复方案数据库备份备份范围1）基础数据2）系统数据3）数据库元数据4）系统/应用的配置信息备份方式数据库的备份应保证系统的基础数据以及用户信息等资料不丢失，能够在基础数据系统遭到破坏时迅速恢复，尽量避免或减少数据的丢失

18、，将损失降低到最小程度。通常数据库备份有以下三种：1）物理备份指在数据库关闭的情况下对数据文件、控制文件等的备份。物理备份的特点是基本与数据库操作无关，通常可以利用现成的操作系统工具（如UNIX中的TAR命令）很方便地实现。2）逻辑备份在数据库正常使用的情况下对数据库对象进行的备份。日常进行逻辑备份的意义在于必要时可以进行“对象或行恢复”。例如如果有人误删除一个表或表中若干行时，很难从物理备份中恢复这个表或这些行，这时一个逻辑备份就是有益的和必要的。3）联机备份在数据库打开并且对用户开放时对数据库文件、控制文件等的备份，备份时数据库可以继续正常操作。采用灵活的备份方式，保证能够将系统恢复到故障

19、点之前的状态。应用软件备份应用软件的备份是为了保证在应用系统瘫痪时迅速恢复。应用软件的备份可通过操作系统和内置磁带机设备完成。考虑到应用软件版本更新、升级频繁，各部分程序模块经常会有程度不同的修改，需要保留以前的旧软件版本来保证应用软件的安全性和高可恢复性，因此，在每次版本更新升级后都需要进行备份。同时，可以考虑配置版本管理软件对软件进行管理。备份周期备份周期指隔多长时间进行备份，即备份的频率。若采取每天全备份，系统资源开销较大，每天备份的时间长。可以对备份内容进行分类，不同类型采用不同的备份周期和备份方式。对于数据加载服务器上的数据文件，每天全备份当天传输来的数据文件。对于数据库中的数据，建

20、议至少每周全备份。当出现意外时，使用上周的数据备份恢复，再重复本周的数据加载操作。对于WEB服务器和应用服务器上的数据备份，推荐每周全备份，每天增量备份。当出现意外时，使用最近一次数据全备份和每天的增量备份恢复。对于系统/应用的配置文件的备份，建议在有变动时每月分别做一次全备份，在没有变动时无须备份。备份时间备份时间应该避开最终用户访问时间、数据加载和处理时间。每天的备份与晚上的批处理操作对应；每周备份建议放在周末。备份实现方法数据备份应包含两个部分，即应用程序代码的备份和日常业务数据的备份。应用程序代码的备份比较简单，一般在应用程序代码安装完成后做一次备份，以后在代码更新或升级前做一次备份。可将备份的文件刻成光盘存放或存放到异地磁盘。为保障人力资源系统7*24小时工作，我们在硬件上可以通过RAC，磁盘阵列RAID的方式进行处理，但对于误删表空间或者数据等错误我们无法通过硬件冗余的方式解决。因此，必须为数据库制定一个方便可靠的备份策略。备份恢复的要求：快速，不影响系统响应，备份结果集小，可靠。对应的备份策略：RMAN联机增量热备。每半年做一个数据库的全备份（包括所有的数据和只读表空间） 每一个月做一次零级备份（不包含只读表空间）每个星期做一次一级备份、每天做一次二级备份按照以上备份策略，则每天的所需要备份