admin管理员组文章数量:1565277
2024年7月30日发(作者:)
软件信息系统安全设计
内容摘要
1、物理安全设计
2、网络安全设计
3、主机安全设计
4、应用安全设计
5、数据安全设计
一、
物理安全设计
1.
设计规范
GB 50174-2008电子信息系统机房设计规范
GB/T2887-2000电子计算机场地通用规范
GB6650-86计算机机房活动地板技术条件
GB50016—2006建筑设计防火规范
GB 50343-2004建筑物电子信息系统防雷技术规范
GB 50054-95低压配电设计规范
GB 50057-2000建筑物防雷设计规范
GB50169-2006电气装置安装工程接地施工及验收规范
GB50210-2001建筑装饰工程施工及验收规范
GB50052-95供配电系统设计规范;
GB50034-2004建筑照明设计标准;
GB50169-2006电气装置安装工程接地装置施工及验收规范;
2.
物理位置的选择
a)
b)
c)
d)
机房选择在具有防6级地震、防8级风和防橙色大雨等能力的建筑内;
机房场地选择在2-4层建筑内;以及避开用水设备的下层或隔壁..
水管安装;不得穿过机房屋顶和活动地板下;
防止雨水通过机房窗户、屋顶和墙壁渗透;
3.
物理访问控制
a)
机房出入口安排专人值守配置门卡式电子门禁系统;控制、鉴别和
记录进入的人员;做到人手一卡;不混用;不借用;
b)
进入机房的来访人员需要经过申请和审批流程;并限制和监控其活
动范围;来访人员在机房内需要有持卡人全程陪同;
c)
进入机房之前需带鞋套等;防尘;防静电措施;
d)
机房采用防火门为不锈钢材质;提拉式向外开启;
4.
照明系统
a)
照度选择
机房按电子计算机机房设计规范要求;照度为400Lx;电源室及其它
辅助功能间照度不小于300Lx;机房疏散指示灯、安全出口标志灯
照度大于1Lx;应急备用照明照度不小于30Lx;
b)
照明系统
机房照明采用2种:普通照明、断电应急照明..普通照明采用
336W嵌入式格栅灯盘6001200;功率108W;应急照明主要作用是停电
后;可以让室内人员看清道路及时疏散、借以维修电气设备;应急照
明灯功率9W/个..灯具正常照明电源由市电供给;由照明配电箱中
的断路器、房间区域安装于墙面上的跷板开关控制..
5.
防盗窃和防破坏
c)
主要设备放置在主机房内;
d)
设备或主要部件进行固定在地板上;并在机器的左上角标贴资产编
号;
e)
通信线缆铺设在地下;
f)
设置机房电子防盗报警系统;
g)
机房设置全景监控报警系统;做到无死角监控..
6.
防雷击及电磁
a)
电源线和通信线缆隔离铺设;避免互相干扰;
b)
机房接地防雷及电磁
机房采用440mm2紫铜排沿墙设一周闭合带的均压环;成“田”字
状..整个机房铺设网格地线等电位接地母排;网格网眼尺寸与防静
电地板尺寸一致;交叉点使用线卡接在一起必须牢靠..抗静电地板
按放射状多点连接;通过多股铜芯线接于铜排上..将各电子设备外
壳接地端通过4mm2纯铜多股导线与铜排连接..
从样板带综合接地网采用95 mm2多股铜芯接地线;加套金属屏蔽管;
固定在外墙;连接在300806 mm2铜排制作的接地端子上;将均压环
铜排用60mm2与样板带综合接地网相连..
c)
线路防雷
防雷系统设计为四级防雷:大楼配电室为第一级防雷此级防雷
在建设时大楼机电方完成;ATS配电柜进线端为第二级防浪涌保护;
一层UPS输出柜进线端为第三级防浪涌保护;二层机房设备前端设
计第四级防浪涌保护..这种防雷系统设计;可有效保护设备免遭雷
电电磁感应高电压的破坏;防止因线路过长而感应出过电压和因线
路过长而感应出过电压;对保证机房网络设备及后端计算机信息系
统设备的稳定、安全运行有重要作用..
7.
防火
机房设置火灾自动消防系统;可以自动检测火情、自动报警;并
自动灭火;机房灭火系统使用气体灭火剂;对于其它无重要电子设
备的区域;可以使用灭火系统..灭火剂为FM200气体;无色、无味、
不导电、无二次污染;并且对臭氧层的耗损值为零;符合环保要求;
该灭火剂灭火效能高、对设备无污染、电绝缘性好、灭火迅速..
防护区内的气体灭火喷头要求分两层布置;即在工作间内、吊顶各
布置一层喷头;当对某一防护区实施灭火时;该防护区内两层喷头
同时喷射灭火剂..所有气体灭火保护区域围护结构承受内压的允
许压强;不低于1.2Kpa ;防护区围护结构及门窗的耐火极限均不低
于0.5h
8.
防静电
机房采用防静电地板;
机房铺设活动地板主要有两个作用:首先;在活动地板下形成隐
蔽空间;可以在地板下铺设电源线管、线槽、综合布线、消防管线
等以及一些电气设施插座、插座箱等;其次;活动地板的抗静电功
能也为计算机及网络设备的安全运行提供了保证..
机房采用抗静电全钢活动地板整体静电电阻率大于109欧姆;地
板规格60060035mm..强度高;耐冲击力强;集中载荷≥34KG;耐磨性
优于1000转..防静电地板铺设高度为0.3米;安装过程中;地板与墙
面交界处;活动地板需精确切割下料..切割边需封胶处理后安装..
地板安装后;地板与墙体交界处用不锈钢踢脚板封边..活动地板必
须牢固;稳定;紧密..不能有响动、摇摆和噪音..
防静电地板主要由两部分组成..A抗静电活动地板板面;B地板
支承系统;主要为横梁支角支角分成上、下托;螺杆可以调节;以调
整地板面水平..易于更换;用吸板器可以取下任何一块地板;方便
地板下面的管线及设备的维护保养及修理..
9.
温湿度控制
空调功能:主机房内要维持正压;与室外压差大于9.8帕;送风速
度不小于3米/秒;空气含尘浓度在静态条件下测试为每升空气中大
于或等于0.5微米的尘粒数小于10000粒;并且具有新风调节系统..
机房的空调设备采用机房专用精密空调机组风冷、下送风;确保724
小时机房的环境温湿度在规定的范围内;新风调节系统按照机房大
小满足机房的空气调节需要..
为保证空调的可靠运行;要采用市电和发电机双回路的供电方
式..
数据中心机房空气环境设计参数:
夏季温度 23±2℃ 冬季温度 20±2℃
夏季湿度 55±10% 冬季湿度 55±10%
10.
电力供应
设计为“市电+柴油发电机+UPS”的高可靠性的供电方式..此
设计既可保证给设备提供纯净的电源;减少对电网的污染;延长设
备的使用寿命;又可保证在市电停电后的正常工作;从而更充分地
保障服务器的正常运行..
UPS不间断电源..包括UPS主机和免维护电池两组;此设备是
设计先进、技术成熟的国际知名品牌EMERSON产品..UPS选用纯在线、
双变换式;内置输出隔离变压器..电池选用国际知名品牌非凡牌;
为铅酸免维护型;使用寿命长达10年以上..
柴油发电机..本项目选用的柴油发电机机组额定功率为
250KW..主要用于保证所有UPS负荷;包括机房的计算机设备、数据
设备、应急照明及部分PC机等..以备市电中断时使用..
二、
网络安全设计
1.
结构安全
为保证网络设备的业务处理能力具备冗余空间;满足业务高峰
期需要;网络各个部分的带宽满足业务高峰期需要;设计采用三线
百兆光纤双路由接入分别为联通、电信、铁通..接入后按实际当前
运行情况绘制相符的网络拓扑结构图;通过vlan或协议隔离将重要
网段与其他网段之间隔离;重要网段在网络边界处添加防火墙设备;
按照对业务服务的重要次序来指定带宽分配优先级别做出网络均
衡;保证在网络发生拥堵的时候优先保护重要主机..
采用协议SSL;SSL协议位于和之间;由SSL记录协议、SSL和SSL
警报协议组成的..
SSL握手协议用来在客户与服务器真正传输应用层数据之前建
立安全机制..当客户与服务器第一次通信时;双方通过握手协议在、
密钥交换算法、数据加密算法和上达成一致;然后互相验证对方身
份;最后使用协商好的密钥交换算法产生一个只有双方知道的秘密
信息;客户和服务器各自根据此秘密信息产生数据加密算法和Hash
算法..
SSL记录协议根据SSL握手协议协商的参数;对应用层送来的数
据进行加密、压缩、计算MAC;然后经网络传输层发送给对方..
SSL警报协议用来在客户和服务器之间传递SSL出错信息..
2.
网络设备与访问控制
在网络边界部署访问控制设备;采用分级管理;启用访问控制功
能;对登录网络设备的用户进行身份鉴别;必要对网络设备的管理
员登录地址进行限制;对口令设置必须在8位以上且为字母和数字
组合;每月定期更换口令;登录失败采取结束会话方式;限制非法登
录次数为6次;当网络登录连接超时自动退出等;必要时采取加密措
施防止鉴别信息在网络传输过程中被窃听;
3.
安全审计
对网络系统采用;对网络设备运行状况、网络流量、用户行为等
进行日志记录;记录包括:事件的日期和时间、用户、事件类型、
事件是否成功等审计相关的信息;可以根据记录数据进行分析;并
生成审计报表;系统对审计记录进行保护;避免受到未预期的删除、
修改或覆盖等;
4.
入侵防范
网络边界处采用入侵检测和防火墙产品监视攻击行为;包括端
口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻
击、IP碎片攻击和网络蠕虫攻击等;当检测到攻击行为时;记录攻
击源IP、攻击类型、攻击目的、攻击时间;在发生严重入侵事件时
产生报警..
能力是衡量一个防御体系是否完整有效的重要因素;强大完整
的入侵检测体系可以弥补相对静态防御的不足..对来自和内部的
各种行为进行实时检测;及时发现各种可能的攻击企图;并采取相
应的措施..将入侵检测引擎接入上..入侵检测系统集入侵检测、和
网络监视功能于一身;能实时捕获内外网之间传输的所有数据;利
用内置的攻击特征库;使用模式匹配和的方法;检测网络上发生的
入侵行为和异常现象;并在数据库中记录有关事件;作为网络管理
员事后分析的依据;如果情况严重;系统可以发出实时报警..
5.
系统
采用目前最先进的漏洞扫描系统定期对、服务器、交换机
等进行安全检查;并根据检查结果向提供详细可靠的安全性分析报
告;为提高网络安全整体水平产生重要依据..
三、
主机安全设计
1.
身份鉴别
采用;对登录操作系统和数据库系统的用户进行身份标识和鉴
别;操作系统和数据库口令设置必须在8位以上且为字母和数字组
合;每月定期更换口令;登录失败采取结束会话方式;限制非法登录
次数为6次;当网络登录连接超时自动退出等;必要时采取加密措施
防止鉴别信息在网络传输过程中被窃听;当对服务器进行远程管理
时;使用vpn或加密机技术接入防止鉴别信息在网络传输过程中被
窃听;设置操作系统和数据库系统的不同用户分配不同的用户名;
确保用户名具有唯一性;
2.
访问控制
根据管理用户的角色分配权限;实现管理用户的权限分离;仅授
予管理用户所需的最小权限;严格限制默认帐户的访问权限;重命
名系统默认帐户;修改这些帐户的默认口令;及时删除多余的、过
期的帐户;避免共享帐户的存在;安全策略设置登录终端的操作超
时锁定;设定终端接入方式、网络地址范围等条件限制终端登录..
3.
安全审计
采用;审计范围覆盖到服务器的每个操作系统用户和数据库用
户;审计内容包括用户行为、系统资源的异常使用和重要系统命令
的使用等系统内重要的安全相关事件;对服务器进行监视;包括监
视服务器的CPU、硬盘、内存、网络等资源的使用情况;审计记录
包括日期和时间、类型、主体标识、客体标识、事件的结果等;根
据记录数据进行分析;并生成审计报表;审计进程服务器独立;权限
级别高;不会受到未预期的中断;审计记录权限仅由审计管理员操
作;不会受到未预期的删除、修改或覆盖等;
4.
入侵防范和防病毒
采用防病毒、入侵检测和防火墙产品监视攻击行为;检测对重要
服务器进行入侵的行为;记录入侵的源IP、攻击的类型、攻击的目
的、攻击的时间;并在发生严重入侵事件时产生报警; 每周必须更
新病毒库;及时更新防病毒软件版本;主机病毒库产品具有与网络
病毒库产品不同的病毒库;支持病毒库的统一管理;操作系统遵循
最小安装的原则;仅安装需要的组件和应用程序;并通过设置升级
服务器等方式保持系统补丁及时得到更新..
四、
应用安全设计
1.
身份鉴别和访问控制
采用专用的登录控制模块及UBSKey对登录用户进行身份标识和
鉴别;具有用户身份标识唯一和鉴别信息复杂度检查功能;保证应
用系统中不存在重复用户身份标识;身份鉴别信息不易被冒用;登
录失败采取结束会话方式;限制非法登录次数为6次;当网络登录连
接超时自动退出等; 具有自主访问控制功能;依据安全策略控制用
户对文件、数据库表等客体的访问;由主机配置访问控制策略;并
禁止默认帐户的访问..
2.
应用安全措施
后台管理系统安全设计
所有后台管理系统使用程序强制要求用户密码满足相应的用户
密码复杂度策略..
密码超过40天没有修改就自动冻结帐户;登陆时强制用户修改
密码;并不能和上次密码一样..
密码连续三次输入错误就冻结帐户十分钟;同时记录登陆IP..
用户登陆成功时提示上次登陆IP和登陆时间;如果上次登陆IP
和本次登陆IP不同则提示用户..
有密码输入错误记录;用户登陆成功后提示用户上次密码输入
错误时间和连续输入错误次数及尝试用错误密码登陆的IP..
程序失败了保证程序正常终止;在出错提示中不包含任何系统
信息;配置信息等错误信息..全部给出“服务器忙请稍候再试”的
统一错误信息..
登陆错误提示信息全部一样;不显示“不存在该用户”或“密码
不对”这样的提示;防止利用错误提示获取用户名列表..统一给出
“用户名或密码错误”的错误提示..
设计统一的Apache或者IIS的错误页面;来替换现在的401 403
404 500等Apache或IIS自带的错误页面;让所有的错误返回的信息
都完全一样;提交页面返回的错误信息可以给入侵者提供丰富的信
息;例如探测后台管理目录时;如果返回的是403错误;就说明该目
录存在..
3.
安全审计
采用;覆盖到每个用户的安全审计功能;对应用系统重要安全事
件进行审计;用户无法单独中断审计进程;无法删除、修改或覆盖
审计记录;审计记录的内容包括事件的日期、时间、发起者信息、
类型、描述和结果等;审计记录数据具有统计、查询、分析及生成
审计报表的功能;
4.
通信完整性和保密性
采用密码机或者VPN保证通信过程中数据的完整性..在通信双
方建立连接之前;应用系统利用密码机技术进行会话初始化验证;
对通信过程中的整个报文或会话过程进行加密..也可以使用
javascript加密编码: 用户请求登陆页面;返回的登陆页面中调用
一个javascript文件;该javascript里面包含服务器
上的时间戳;每五分钟自动发布一次;也就是每五分
钟更新一次js文件中的时间戳..
用户在登陆页面中手工输入用户名和密码;单击“登陆”的时候;
利用javascript将网页用户输入的Password结合时间戳timestamp
进行hash运算..
设hash运算后密码为passwd1 passwd1=calcSHA1timestamp +
password 然后连同加密的密码和明文时间戳与明文用户名一起
提交给login程序
Login程序接到用户输入后;首先比较当前时间和用户提交的时
间戳timestamp是否超过一小时;如果超过一小时就返回“登陆超时;
请重新登陆”的错误信息.. 使用用户登陆策略判断登陆请求是否
合法.. 然后通过用户输入的用户名找到数据库中的密码;使用用
户提交时间戳timestamp和数据库中的密码进行运算;运算出的密
码设为passwd2..
Passwd2=calcSHA1timestamp + passwordDB 判断用户提交
的Passwd1 和运算出来的 Passwd2 是否相等;如果相等;就认为登
陆成功
5.
抗抵赖
在请求的情况下保留USBKey数据原发者原发证据信息;在请求
的情况下保留USBKey数据接收者接收证据信息..USBKey内存有加
密证书和签名证书;对应于加密密钥对和签名密钥对..加密密钥对
在密钥管理中心产生;由密钥管理中心负责密钥的生成、存储、备
份、恢复等密钥管理工作;签名密钥对在USBKey硬件设备内产生;
私钥不会读出硬件;私钥通常是以加密文件的方式存在;文件加密
的标准采用PKCS5等规范;CA中心不会有用户的私钥;因此能够实现
抗抵赖性
6.
资源控制
当系统中的通信双方中的一方在5分钟未作任何响应;另一方自
动结束会话;对系统的最大并发会话连接数进行限制;可以手工参
数配置;禁止单个帐户的多重并发会话..
五、
数据安全设计
1.
数据完整性和保密性
采用数据传输加密技术;对传输中的;以防止上的窃听、泄漏、
篡改和破坏..数据传输的完整性通过数字签名的方式来实现;数据
的发送方在发送数据的同时利用单向的不可逆加密算法Hash函数
或者其它信息文摘算法计算出所传输数据的消息文摘;并把该消息
文摘作为数字签名随数据一同发送..接收方在收到数据的同时也
收到该数据的数字签名;接收方使用相同的算法计算出接收到的数
据的数字签名;并把该数字签名和接收到的数字签名进行比较;若
二者相同;则说明数据在传输过程中未被修改;得到了保证..
在数据交换的过程中;严格的加密机制以及用户身份验证机制
保证数据交换的安全..包括:
系统层面上的安全:采用USBKey操作系统保证系统对于用户口
令、权限的验证..
网络层面上的安全:对主机进行IP地址的访问列表限制;细化到
每个协议的资料包程度..
数字证书层面的安全:采用CA认证;保证与资料中心进行资料交
换的主机身份都是经过认证的..
交换层面上的安全:采用加密以及用户身份认证机制..
核心数据加密保证数据即使被窃取之后;也无法了解数据的内
容..采用对数据的保密和安全要求极为严格;因此除了在数据通过
网络传输过程的保密和安全采取有效措施外;还要对数据库中的静
态数据如账号、密码、签名信息和财务数据等和系统配置信息等核
心数据进行加密;在显示时通过用户程序进行解密..这样;防止有
人直接读取数据库表数据;获知核心数据的内容;功能甚至可以防
止站点管理员、数据库管理员对数据的窥视..
2.
备份和恢复
采取两地三中心的方式;建立异地灾难备份中心;配备灾难恢复
所需的通信线路、网络设备和数据处理设备;实现业务应用的实时
无缝切换;本地第二中心实具有时备份功能;利用通信网络将数据
实时备份至灾难备份中心;数据本地备份与恢复功能;增量数据每
日备份;增量备份保存两个版本;每个备份保存两个全备周期;完全
数据备份每周一次;备份介质场外存放;数据库的完整备份保存2个
版本;每个备份保存两个备份周;备份网络采用冗余技术设计网络
拓扑结构;避免存在网络单点故障;加强主要网络设备、通信线路
和数据处理系统的硬件冗余;保证系统的高可用性..
零停机备份与恢复方案;通过采用全面的数据镜像-分割备份;
操作允许将生产环境与备份和恢复环境分开;从而为最关键的业务
应用提供了停机时间为零且不影响操作的数据保护..零停机时间
备份与恢复方案为关键业务应用和数据库提供了安全的自动实时
备份;在备份进行过程中;应用将保持不间断运行;而且性能丝毫不
受影响;有效地保护数据;无论出现何种灾难;至少能有效地恢复数
据;极大降低业务在备份操作时性能的下降;保证业务系统的7x24
小时运转..备份时无须关闭数据库;也不会因为备份而降低系统的
响应时间;最大限度地保护数据的完整性..
3.
数据库监控
数据库的良好运行对数据中心系统来说;更有着至关重要的作
用..方案将对数据库的以下这些重要方面进行监控..
数据库可用性监控:监控数据库引擎的关键参数:数据库系统设
计的文件存储空间、系统资源的使用率、配置情况、数据库当前的
各种锁资源情况、监控数据库进程的状态、进程所占内存空间等..
在参数到达门限值时通过事件管理机制发出警告;报告给数据库管
理员;以便及时采取措施..
数据库文件系统监控:对数据库设备或其敏感文件所在的文件
系统进行监控..
表空间使用情况:可以对数据库中的表空间进行监控;包括该表
空间的分配空间、已用空间;和表记录数的情况..
事物日志空间的使用情况:事物日志文件是数据库对每一个数
据库所发生事务的记录..日志只有在事务完成后;才能够删除
dump..当一个数据库的日志文件满了以后;对此数据库的任何操作
都不能进行..
数据库死锁:为避免死锁的发生;该模块可以自动监控可用的锁
资源;同时也对多个应用企图修改同一信息引起的锁冲突进行监
控..
数据库进程的监控:监控数据库进程的状态;在数据库进程关闭
时;给出严重警告..
数据库存储分配情况---包括表、索引、clusters、回滚段、表
空间等等..
SGA区使用---包括Database buffer Cache;Dictionary
Cache;Library Cache和Redo Log Buffer Cache..
数据库I/O---包括数据库级、表空间级和数据文件级的Disk
I/O.. 数据库资源竞争---包括数据块竞争;Latch
Contention;Redo Log竞争;锁竞争等..
用户Session---数据库登录的用户数;占用资源多的Session的进程等..
版权声明:本文标题:信息系统软件安全设计 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/xitong/1722276225a923502.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论