信息系统软件安全设计

admin管理员组

文章数量:1565277

2024年7月30日发(作者：)

软件信息系统安全设计

内容摘要

1、物理安全设计

2、网络安全设计

3、主机安全设计

4、应用安全设计

5、数据安全设计

一、

物理安全设计

1.

设计规范

GB 50174-2008电子信息系统机房设计规范

GB/T2887-2000电子计算机场地通用规范

GB6650-86计算机机房活动地板技术条件

GB50016—2006建筑设计防火规范

GB 50343-2004建筑物电子信息系统防雷技术规范

GB 50054-95低压配电设计规范

GB 50057-2000建筑物防雷设计规范

GB50169-2006电气装置安装工程接地施工及验收规范

GB50210-2001建筑装饰工程施工及验收规范

GB50052-95供配电系统设计规范；

GB50034-2004建筑照明设计标准；

GB50169-2006电气装置安装工程接地装置施工及验收规范；

2.

物理位置的选择

a)

b)

c)

d)

机房选择在具有防6级地震、防8级风和防橙色大雨等能力的建筑内；

机房场地选择在2-4层建筑内;以及避开用水设备的下层或隔壁..

水管安装;不得穿过机房屋顶和活动地板下；

防止雨水通过机房窗户、屋顶和墙壁渗透；

3.

物理访问控制

a)

机房出入口安排专人值守配置门卡式电子门禁系统;控制、鉴别和

记录进入的人员;做到人手一卡;不混用;不借用；

b)

进入机房的来访人员需要经过申请和审批流程;并限制和监控其活

动范围;来访人员在机房内需要有持卡人全程陪同；

c)

进入机房之前需带鞋套等;防尘;防静电措施；

d)

机房采用防火门为不锈钢材质;提拉式向外开启；

4.

照明系统

a)

照度选择

机房按电子计算机机房设计规范要求;照度为400Lx；电源室及其它

辅助功能间照度不小于300Lx；机房疏散指示灯、安全出口标志灯

照度大于1Lx；应急备用照明照度不小于30Lx；

b)

照明系统

机房照明采用2种：普通照明、断电应急照明..普通照明采用

336W嵌入式格栅灯盘6001200;功率108W；应急照明主要作用是停电

后;可以让室内人员看清道路及时疏散、借以维修电气设备;应急照

明灯功率9W/个..灯具正常照明电源由市电供给;由照明配电箱中

的断路器、房间区域安装于墙面上的跷板开关控制..

5.

防盗窃和防破坏

c)

主要设备放置在主机房内；

d)

设备或主要部件进行固定在地板上;并在机器的左上角标贴资产编

号；

e)

通信线缆铺设在地下；

f)

设置机房电子防盗报警系统；

g)

机房设置全景监控报警系统;做到无死角监控..

6.

防雷击及电磁

a)

电源线和通信线缆隔离铺设;避免互相干扰；

b)

机房接地防雷及电磁

机房采用440mm2紫铜排沿墙设一周闭合带的均压环;成“田”字

状..整个机房铺设网格地线等电位接地母排;网格网眼尺寸与防静

电地板尺寸一致;交叉点使用线卡接在一起必须牢靠..抗静电地板

按放射状多点连接;通过多股铜芯线接于铜排上..将各电子设备外

壳接地端通过4mm2纯铜多股导线与铜排连接..

从样板带综合接地网采用95 mm2多股铜芯接地线;加套金属屏蔽管;

固定在外墙;连接在300806 mm2铜排制作的接地端子上;将均压环

铜排用60mm2与样板带综合接地网相连..

c)

线路防雷

防雷系统设计为四级防雷：大楼配电室为第一级防雷此级防雷

在建设时大楼机电方完成;ATS配电柜进线端为第二级防浪涌保护;

一层UPS输出柜进线端为第三级防浪涌保护;二层机房设备前端设

计第四级防浪涌保护..这种防雷系统设计;可有效保护设备免遭雷

电电磁感应高电压的破坏;防止因线路过长而感应出过电压和因线

路过长而感应出过电压;对保证机房网络设备及后端计算机信息系

统设备的稳定、安全运行有重要作用..

7.

防火

机房设置火灾自动消防系统;可以自动检测火情、自动报警;并

自动灭火；机房灭火系统使用气体灭火剂；对于其它无重要电子设

备的区域;可以使用灭火系统..灭火剂为FM200气体;无色、无味、

不导电、无二次污染;并且对臭氧层的耗损值为零;符合环保要求;

该灭火剂灭火效能高、对设备无污染、电绝缘性好、灭火迅速..

防护区内的气体灭火喷头要求分两层布置;即在工作间内、吊顶各

布置一层喷头;当对某一防护区实施灭火时;该防护区内两层喷头

同时喷射灭火剂..所有气体灭火保护区域围护结构承受内压的允

许压强;不低于1.2Kpa ；防护区围护结构及门窗的耐火极限均不低

于0.5h

8.

防静电

机房采用防静电地板；

机房铺设活动地板主要有两个作用：首先;在活动地板下形成隐

蔽空间;可以在地板下铺设电源线管、线槽、综合布线、消防管线

等以及一些电气设施插座、插座箱等；其次;活动地板的抗静电功

能也为计算机及网络设备的安全运行提供了保证..

机房采用抗静电全钢活动地板整体静电电阻率大于109欧姆;地

板规格60060035mm..强度高;耐冲击力强;集中载荷≥34KG;耐磨性

优于1000转..防静电地板铺设高度为0.3米;安装过程中;地板与墙

面交界处;活动地板需精确切割下料..切割边需封胶处理后安装..

地板安装后;地板与墙体交界处用不锈钢踢脚板封边..活动地板必

须牢固;稳定;紧密..不能有响动、摇摆和噪音..

防静电地板主要由两部分组成..A抗静电活动地板板面；B地板

支承系统;主要为横梁支角支角分成上、下托;螺杆可以调节;以调

整地板面水平..易于更换;用吸板器可以取下任何一块地板;方便

地板下面的管线及设备的维护保养及修理..

9.

温湿度控制

空调功能：主机房内要维持正压;与室外压差大于9.8帕;送风速

度不小于3米/秒;空气含尘浓度在静态条件下测试为每升空气中大

于或等于0.5微米的尘粒数小于10000粒;并且具有新风调节系统..

机房的空调设备采用机房专用精密空调机组风冷、下送风;确保724

小时机房的环境温湿度在规定的范围内；新风调节系统按照机房大

小满足机房的空气调节需要..

为保证空调的可靠运行;要采用市电和发电机双回路的供电方

式..

数据中心机房空气环境设计参数：

夏季温度 23±2℃ 冬季温度 20±2℃

夏季湿度 55±10% 冬季湿度 55±10%

10.

电力供应

设计为“市电+柴油发电机+UPS”的高可靠性的供电方式..此

设计既可保证给设备提供纯净的电源;减少对电网的污染;延长设

备的使用寿命;又可保证在市电停电后的正常工作;从而更充分地

保障服务器的正常运行..

UPS不间断电源..包括UPS主机和免维护电池两组;此设备是

设计先进、技术成熟的国际知名品牌EMERSON产品..UPS选用纯在线、

双变换式;内置输出隔离变压器..电池选用国际知名品牌非凡牌;

为铅酸免维护型;使用寿命长达10年以上..

柴油发电机..本项目选用的柴油发电机机组额定功率为

250KW..主要用于保证所有UPS负荷;包括机房的计算机设备、数据

设备、应急照明及部分PC机等..以备市电中断时使用..

二、

网络安全设计

1.

结构安全

为保证网络设备的业务处理能力具备冗余空间;满足业务高峰

期需要；网络各个部分的带宽满足业务高峰期需要；设计采用三线

百兆光纤双路由接入分别为联通、电信、铁通..接入后按实际当前

运行情况绘制相符的网络拓扑结构图；通过vlan或协议隔离将重要

网段与其他网段之间隔离；重要网段在网络边界处添加防火墙设备;

按照对业务服务的重要次序来指定带宽分配优先级别做出网络均

衡;保证在网络发生拥堵的时候优先保护重要主机..

采用协议SSL;SSL协议位于和之间;由SSL记录协议、SSL和SSL

警报协议组成的..

SSL握手协议用来在客户与服务器真正传输应用层数据之前建

立安全机制..当客户与服务器第一次通信时;双方通过握手协议在、

密钥交换算法、数据加密算法和上达成一致;然后互相验证对方身

份;最后使用协商好的密钥交换算法产生一个只有双方知道的秘密

信息;客户和服务器各自根据此秘密信息产生数据加密算法和Hash

算法..

SSL记录协议根据SSL握手协议协商的参数;对应用层送来的数

据进行加密、压缩、计算MAC;然后经网络传输层发送给对方..

SSL警报协议用来在客户和服务器之间传递SSL出错信息..

2.

网络设备与访问控制

在网络边界部署访问控制设备;采用分级管理;启用访问控制功

能；对登录网络设备的用户进行身份鉴别；必要对网络设备的管理

员登录地址进行限制；对口令设置必须在8位以上且为字母和数字

组合;每月定期更换口令；登录失败采取结束会话方式;限制非法登

录次数为6次;当网络登录连接超时自动退出等；必要时采取加密措

施防止鉴别信息在网络传输过程中被窃听；

3.

安全审计

对网络系统采用;对网络设备运行状况、网络流量、用户行为等

进行日志记录；记录包括：事件的日期和时间、用户、事件类型、

事件是否成功等审计相关的信息；可以根据记录数据进行分析;并

生成审计报表；系统对审计记录进行保护;避免受到未预期的删除、

修改或覆盖等；

4.

入侵防范

网络边界处采用入侵检测和防火墙产品监视攻击行为;包括端

口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻

击、IP碎片攻击和网络蠕虫攻击等；当检测到攻击行为时;记录攻

击源IP、攻击类型、攻击目的、攻击时间;在发生严重入侵事件时

产生报警..

能力是衡量一个防御体系是否完整有效的重要因素;强大完整

的入侵检测体系可以弥补相对静态防御的不足..对来自和内部的

各种行为进行实时检测;及时发现各种可能的攻击企图;并采取相

应的措施..将入侵检测引擎接入上..入侵检测系统集入侵检测、和

网络监视功能于一身;能实时捕获内外网之间传输的所有数据;利

用内置的攻击特征库;使用模式匹配和的方法;检测网络上发生的

入侵行为和异常现象;并在数据库中记录有关事件;作为网络管理

员事后分析的依据；如果情况严重;系统可以发出实时报警..

5.

系统

采用目前最先进的漏洞扫描系统定期对、服务器、交换机

等进行安全检查;并根据检查结果向提供详细可靠的安全性分析报

告;为提高网络安全整体水平产生重要依据..

三、

主机安全设计

1.

身份鉴别

采用;对登录操作系统和数据库系统的用户进行身份标识和鉴

别；操作系统和数据库口令设置必须在8位以上且为字母和数字组

合;每月定期更换口令；登录失败采取结束会话方式;限制非法登录

次数为6次;当网络登录连接超时自动退出等；必要时采取加密措施

防止鉴别信息在网络传输过程中被窃听；当对服务器进行远程管理

时;使用vpn或加密机技术接入防止鉴别信息在网络传输过程中被

窃听；设置操作系统和数据库系统的不同用户分配不同的用户名;

确保用户名具有唯一性；

2.

访问控制

根据管理用户的角色分配权限;实现管理用户的权限分离;仅授

予管理用户所需的最小权限；严格限制默认帐户的访问权限;重命

名系统默认帐户;修改这些帐户的默认口令；及时删除多余的、过

期的帐户;避免共享帐户的存在;安全策略设置登录终端的操作超

时锁定；设定终端接入方式、网络地址范围等条件限制终端登录..

3.

安全审计

采用;审计范围覆盖到服务器的每个操作系统用户和数据库用

户；审计内容包括用户行为、系统资源的异常使用和重要系统命令

的使用等系统内重要的安全相关事件；对服务器进行监视;包括监

视服务器的CPU、硬盘、内存、网络等资源的使用情况；审计记录

包括日期和时间、类型、主体标识、客体标识、事件的结果等；根

据记录数据进行分析;并生成审计报表；审计进程服务器独立;权限

级别高;不会受到未预期的中断；审计记录权限仅由审计管理员操

作;不会受到未预期的删除、修改或覆盖等；

4.

入侵防范和防病毒

采用防病毒、入侵检测和防火墙产品监视攻击行为;检测对重要

服务器进行入侵的行为;记录入侵的源IP、攻击的类型、攻击的目

的、攻击的时间;并在发生严重入侵事件时产生报警； 每周必须更

新病毒库;及时更新防病毒软件版本;主机病毒库产品具有与网络

病毒库产品不同的病毒库;支持病毒库的统一管理；操作系统遵循

最小安装的原则;仅安装需要的组件和应用程序;并通过设置升级

服务器等方式保持系统补丁及时得到更新..

四、

应用安全设计

1.

身份鉴别和访问控制

采用专用的登录控制模块及UBSKey对登录用户进行身份标识和

鉴别；具有用户身份标识唯一和鉴别信息复杂度检查功能;保证应

用系统中不存在重复用户身份标识;身份鉴别信息不易被冒用；登

录失败采取结束会话方式;限制非法登录次数为6次;当网络登录连

接超时自动退出等； 具有自主访问控制功能;依据安全策略控制用

户对文件、数据库表等客体的访问；由主机配置访问控制策略;并

禁止默认帐户的访问..

2.

应用安全措施

后台管理系统安全设计

所有后台管理系统使用程序强制要求用户密码满足相应的用户

密码复杂度策略..

密码超过40天没有修改就自动冻结帐户;登陆时强制用户修改

密码;并不能和上次密码一样..

密码连续三次输入错误就冻结帐户十分钟;同时记录登陆IP..

用户登陆成功时提示上次登陆IP和登陆时间;如果上次登陆IP

和本次登陆IP不同则提示用户..

有密码输入错误记录;用户登陆成功后提示用户上次密码输入

错误时间和连续输入错误次数及尝试用错误密码登陆的IP..

程序失败了保证程序正常终止;在出错提示中不包含任何系统

信息;配置信息等错误信息..全部给出“服务器忙请稍候再试”的

统一错误信息..

登陆错误提示信息全部一样;不显示“不存在该用户”或“密码

不对”这样的提示;防止利用错误提示获取用户名列表..统一给出

“用户名或密码错误”的错误提示..

设计统一的Apache或者IIS的错误页面;来替换现在的401 403

404 500等Apache或IIS自带的错误页面;让所有的错误返回的信息

都完全一样;提交页面返回的错误信息可以给入侵者提供丰富的信

息;例如探测后台管理目录时;如果返回的是403错误;就说明该目

录存在..

3.

安全审计

采用;覆盖到每个用户的安全审计功能;对应用系统重要安全事

件进行审计；用户无法单独中断审计进程;无法删除、修改或覆盖

审计记录；审计记录的内容包括事件的日期、时间、发起者信息、

类型、描述和结果等；审计记录数据具有统计、查询、分析及生成

审计报表的功能；

4.

通信完整性和保密性

采用密码机或者VPN保证通信过程中数据的完整性..在通信双

方建立连接之前;应用系统利用密码机技术进行会话初始化验证；

对通信过程中的整个报文或会话过程进行加密..也可以使用

javascript加密编码： 用户请求登陆页面;返回的登陆页面中调用

一个javascript文件;该javascript里面包含服务器

上的时间戳;每五分钟自动发布一次;也就是每五分

钟更新一次js文件中的时间戳..

用户在登陆页面中手工输入用户名和密码;单击“登陆”的时候;

利用javascript将网页用户输入的Password结合时间戳timestamp

进行hash运算..

设hash运算后密码为passwd1 passwd1=calcSHA1timestamp +

password 然后连同加密的密码和明文时间戳与明文用户名一起

提交给login程序

Login程序接到用户输入后;首先比较当前时间和用户提交的时

间戳timestamp是否超过一小时;如果超过一小时就返回“登陆超时;

请重新登陆”的错误信息.. 使用用户登陆策略判断登陆请求是否

合法.. 然后通过用户输入的用户名找到数据库中的密码;使用用

户提交时间戳timestamp和数据库中的密码进行运算;运算出的密

码设为passwd2..

Passwd2=calcSHA1timestamp + passwordDB 判断用户提交

的Passwd1 和运算出来的 Passwd2 是否相等;如果相等;就认为登

陆成功

5.

抗抵赖

在请求的情况下保留USBKey数据原发者原发证据信息；在请求

的情况下保留USBKey数据接收者接收证据信息..USBKey内存有加

密证书和签名证书;对应于加密密钥对和签名密钥对..加密密钥对

在密钥管理中心产生;由密钥管理中心负责密钥的生成、存储、备

份、恢复等密钥管理工作;签名密钥对在USBKey硬件设备内产生;

私钥不会读出硬件;私钥通常是以加密文件的方式存在;文件加密

的标准采用PKCS5等规范;CA中心不会有用户的私钥;因此能够实现

抗抵赖性

6.

资源控制

当系统中的通信双方中的一方在5分钟未作任何响应;另一方自

动结束会话；对系统的最大并发会话连接数进行限制;可以手工参

数配置；禁止单个帐户的多重并发会话..

五、

数据安全设计

1.

数据完整性和保密性

采用数据传输加密技术;对传输中的;以防止上的窃听、泄漏、

篡改和破坏..数据传输的完整性通过数字签名的方式来实现;数据

的发送方在发送数据的同时利用单向的不可逆加密算法Hash函数

或者其它信息文摘算法计算出所传输数据的消息文摘;并把该消息

文摘作为数字签名随数据一同发送..接收方在收到数据的同时也

收到该数据的数字签名;接收方使用相同的算法计算出接收到的数

据的数字签名;并把该数字签名和接收到的数字签名进行比较;若

二者相同;则说明数据在传输过程中未被修改;得到了保证..

在数据交换的过程中;严格的加密机制以及用户身份验证机制

保证数据交换的安全..包括：

系统层面上的安全：采用USBKey操作系统保证系统对于用户口

令、权限的验证..

网络层面上的安全：对主机进行IP地址的访问列表限制;细化到

每个协议的资料包程度..

数字证书层面的安全：采用CA认证;保证与资料中心进行资料交

换的主机身份都是经过认证的..

交换层面上的安全：采用加密以及用户身份认证机制..

核心数据加密保证数据即使被窃取之后;也无法了解数据的内

容..采用对数据的保密和安全要求极为严格;因此除了在数据通过

网络传输过程的保密和安全采取有效措施外;还要对数据库中的静

态数据如账号、密码、签名信息和财务数据等和系统配置信息等核

心数据进行加密;在显示时通过用户程序进行解密..这样;防止有

人直接读取数据库表数据;获知核心数据的内容;功能甚至可以防

止站点管理员、数据库管理员对数据的窥视..

2.

备份和恢复

采取两地三中心的方式;建立异地灾难备份中心;配备灾难恢复

所需的通信线路、网络设备和数据处理设备;实现业务应用的实时

无缝切换；本地第二中心实具有时备份功能;利用通信网络将数据

实时备份至灾难备份中心；数据本地备份与恢复功能;增量数据每

日备份;增量备份保存两个版本;每个备份保存两个全备周期；完全

数据备份每周一次;备份介质场外存放;数据库的完整备份保存2个

版本;每个备份保存两个备份周;备份网络采用冗余技术设计网络

拓扑结构;避免存在网络单点故障；加强主要网络设备、通信线路

和数据处理系统的硬件冗余;保证系统的高可用性..

零停机备份与恢复方案;通过采用全面的数据镜像-分割备份;

操作允许将生产环境与备份和恢复环境分开;从而为最关键的业务

应用提供了停机时间为零且不影响操作的数据保护..零停机时间

备份与恢复方案为关键业务应用和数据库提供了安全的自动实时

备份;在备份进行过程中;应用将保持不间断运行;而且性能丝毫不

受影响;有效地保护数据;无论出现何种灾难;至少能有效地恢复数

据；极大降低业务在备份操作时性能的下降;保证业务系统的7x24

小时运转..备份时无须关闭数据库;也不会因为备份而降低系统的

响应时间；最大限度地保护数据的完整性..

3.

数据库监控

数据库的良好运行对数据中心系统来说;更有着至关重要的作

用..方案将对数据库的以下这些重要方面进行监控..

数据库可用性监控:监控数据库引擎的关键参数：数据库系统设

计的文件存储空间、系统资源的使用率、配置情况、数据库当前的

各种锁资源情况、监控数据库进程的状态、进程所占内存空间等..

在参数到达门限值时通过事件管理机制发出警告;报告给数据库管

理员;以便及时采取措施..

数据库文件系统监控:对数据库设备或其敏感文件所在的文件

系统进行监控..

表空间使用情况:可以对数据库中的表空间进行监控;包括该表

空间的分配空间、已用空间;和表记录数的情况..

事物日志空间的使用情况:事物日志文件是数据库对每一个数

据库所发生事务的记录..日志只有在事务完成后;才能够删除

dump..当一个数据库的日志文件满了以后;对此数据库的任何操作

都不能进行..

数据库死锁:为避免死锁的发生;该模块可以自动监控可用的锁

资源;同时也对多个应用企图修改同一信息引起的锁冲突进行监

控..

数据库进程的监控:监控数据库进程的状态;在数据库进程关闭

时;给出严重警告..

数据库存储分配情况---包括表、索引、clusters、回滚段、表

空间等等..

SGA区使用---包括Database buffer Cache;Dictionary

Cache;Library Cache和Redo Log Buffer Cache..

数据库I/O---包括数据库级、表空间级和数据文件级的Disk

I/O.. 数据库资源竞争---包括数据块竞争;Latch

Contention;Redo Log竞争;锁竞争等..

用户Session---数据库登录的用户数;占用资源多的Session的进程等..

本文标签： 机房用户数据采用系统