1.1 安全设计
数据资源整合服务平台的安全性十分重要,需要采取相应的安全措施给予防护。
1.1.1 设计目标、原则及策略
根据影响系统安全的因素,系统安全设计的主要目标和任务包括:
1、禁止非法用户进入系统。非法用户是指那些没有通过认证的用户,他们没有合法的用户ID和密码,要进入系统必须通过非法手段。系统在安全设计时要重点防范这些非法用户的入侵。
2、未授权用户不能越权使用系统和资源。未授权用户是指不具有对数据或资源进行某项操作的用户。
3、数据要有严格的备份机制和故障恢复机制。数据备份要从制度上明确下来,做到有专人负责,系统要提供独立的数据备份子系统和备份工具。数据备份要定期进行。一旦因自然原因或人为原因造成系统崩溃或不能正常服务,系统要能够及时启动故障恢复机制和应急预案。
4、系统要保证全天候不间断运行,各种服务不能停止。非灾难原因,系统要保证7*24小时不间断运行,各种系统服务不能停止或服务质量不能下降。对于出现的灾难,系统具有符合国家规定的相应灾难处理能力,及时恢复运行。
5、保证业务连续性,利于今后的扩展,避免重复建设。
系统安全设计的基本原则是:符合规范,安全可靠,预防为主,备份周全,恢复及时。
符合规范是指系统的安全设计在政策上要符合国家有关法律、法规、条例的规定,技术上要符合国家有关建设重要信息系统对安全的要求。
安全可靠是指在安全设计时,采用的安全技术要具有高性能,高效率,能够针对具体的安全问题,提供切实有效的安全保障,做到在技术上先进,方法上有效。
预防为主是指充分考虑系统可能遇到的安全问题,针对这些安全问题事先制定相应的预防措施和解决办法,使系统在安全问题上具有前瞻性、稳定性和完整性。
备份周全是指为恢复系统正常运行所需要的数据、软件及环境都要定期备份,保证系统可以正常回退到最近的业务状态。
恢复及时是指当系统出现故障时,能够根据备份的数据以及运行环境,及时恢复到正常工作状态。
针对上述安全目标,系统在制度、硬件、软件、业务等多个层面采取下列具体的安全策略,确保系统安全可靠。
1、严格的机房安全措施,确定安全责任人和检查人,在行政管理上明确系统安全的重要性,保证各项安全措施的有效执行。
2、制定明确的灾害应急预案,系统出现问题时能够及时处理。
3、根据业务分类,对用户进行分组。根据用户需求策略,确定用户及用户组的授权范
围。
4、用户使用系统需要通过身份认证,对资源和服务的操作需要通过授权审核。
5、重要数据在网络中传输通过加密方式进行。实现数据加密的同时,保证对系统内数据资源的方便使用,以及与其他系统之间的通讯。
6、针对不同业务划分网段和子网,保证子网之间在逻辑上的隔离。
7、子网之间通过路由器连接,通过路由策略阻止不相关数据跨业务部门之间的传播。
8、系统与外界互联网及其他专用系统之间通过高性能防火墙相连,严格控制系统的出入通道,在底层通讯协议上阻止外界非法用户、病毒进入系统。
9、对大数据量和密集型计算采用集群系统设计,同一份数据被存储在多台机器上,保证任何一台机器损坏或数据丢失都不影响整个数据系统的完整性,实现数据的热备份。
10、定期将系统中的数据存储到磁盘阵列或磁带机中,保存系统操作日志,制定完善的系统灾难恢复机制。
1.1.2 安全保障系统概述
根据系统安全需求分析和系统安全建设的目标要求,安全系统将在以下几方面采取技术和管理措施,以保证系统的安全运行。
根据系统安全需求分析和系统安全建设的目标要求,在本项目中需建立的的安全功能
如图所示,针对这些安全功能和需求,将建立相应的安全子系统和管理措施。
网络安全应贯穿于整个OSI的7层模型,而针对网络实际运行的TCP/IP协议,网络安全应贯穿于信息系统的4个层次。本安全系统即是从物理安全、网络安全、信息安全、安全管理四个方面针对信息系统的4个层次给出解决方案。安全系统及其子系统可实现以下功能:
物理安全
采取相应措施对系统所处物理环境、所应用的硬件设备、数据传输链路、数据存储介质等进行安全防护。
网络安全
采用相关网络安全技术和安全产品可实现对访问系统用户的身份鉴别和边界访问控制和远程访问控制功能;可实时监测和分析网络中的数据流并从中发现针对系统的攻击行为和违规操作;预防计算机病毒的感染和传播;并对网络中的相关行为进行审计,净化网络并提高安全管理力度。
信息安全
保证应用系统和系统平台的安全,包括:防止数据和信息被篡改或丢失;避免系统遭病毒破坏;主机平台加固;系统操作和访问行为的审计;对应用系统访问行为的访问控制以及访问行为的防抵赖等等。
安全管理
建立安全管理机构,制定严格的管理制度,规范网内用户的操作;建立安全预警和应急响应机制,进行事后追踪和灾难恢复。
1.1.3 安全保障系统设计
1.1.3.1 物理安全
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,没有物理安全,网络安全、系统安全等根本无从谈起。
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事
故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:
环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50174-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》)。
设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。
介质安全:包括媒体数据的安全及媒体本身的安全。
物理安全设计也主要是从以上三个方面进行的:
环境安全
(1)建立机房监管系统,对人员、设备、场地进行全面24小时的监管。加强保安和防火措施,制订应付突发事件的预案。
(2)对重要设备采取冗余热备的双机备份方案,避免单点故障。
(3)对机房须提供双路供电,并分别接入重要设备的两路电源上。
(4)在机房配备不间断电源系统,保证系统正常工作的电力供应。
设备安全
(1)建立机房管理制度,严格规定人员进出尤其是携物外出流程,防止设备被盗、被毁。
(2)对主机房及重要信息存储、收发部门进行屏蔽处理,以防止磁鼓,磁带与高辐射设备等的信号外泄。机房与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风波导,门的关启等。
(3)对本地网、局域网传输线路传导辐射进行抑制,由于电缆传输辐射信息的不可避免性,现均采用了光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出机房外进行传输。
(4)采取措施屏蔽终端设备的辐射:在订购设备上尽量选取低辐射产品;采取主动式的干扰设备如干扰机来破坏对应信息的窃复。
介质安全
(1)对重要数据进行数据备份,建立数据备份系统。
(2)完善定期备份制度和技术方案。
(3)备份介质妥善保存,并建立介质维护制度以及介质使用制度,保证介质不被损坏,介质中存储数据不被非法读取。
(4)最好锁定移动介质的存放位置并建立使用记录文档。
1.1.3.2 网络安全
为保证系统物理环境和设备的安全、系统和应用程序安全、网络通讯安全、系统数据安全和业务连接性的安全,除了在机房建设、安全制度等环境制度方面要有严格的规定以外,还应建设完善的网络和信息安全管理体系,至少应包括以下有关安全的子系统:防火墙系统、入侵检测系统、漏洞扫描工具、病毒防护系统、身份认证与权限管理系统、访问控制系统、安全审计系统等。
防火墙的主要作用是对流经它的网络通信进行扫描,对外来的恶意攻击、病毒以及未授权访问进行过滤,防止它们进入系统。
入侵检测系统的作用是对外来的访问进行分析和跟踪,检查这些访问对系统资源和服务的使用情况,一旦发现不良访问,及时报警。
漏洞扫描工具是按照设定的任务计划,定期扫描系统中开放的各服务端口和使用情况,以发现系统中可能存在的漏洞。
病毒防护系统的作用是对软件病毒进行防范,防止病毒进入系统。
身份认证和权限管理系统实现对用户资格的认证,资源服务的授权,以及网络数据的加密和解密等功能。
访问控制系统的作用是根据用户的身份认证和资源的授权情况,对用户的请求和访问进行审核,确保所有访问都在限定范围内。
安全审计系统的作用是根据使用日志和网络数据流,对系统的使用情况进行安全审计,发现不良访问和系统中的安全漏洞。
1.1.3.3 信息安全
一方面系统中的数据不能被非授权人员非法修改或盗取,另一方面非法修改的对象数据(电子文件)可以被方便地识别或由系统自动报警;为保证系统中电子文件的真实性,需要采用数字签名等类似的技术,该技术能够在系统中上传(或发布)电子文件到文件服务器时自动地实现;为防止电子文件被非法修改和盗取,需要采用相关的加密保护技术,该技术的采用不要对用户利用电子文件造成不利影响(如打开电子文件时等待时间明显增加等),加密与解密需要在系统中利用电子文件时自动完成。
需要对系统中的数据采取相应的备份机制,在发生不可预见的数据毁坏灾难后,能够完整地恢复到灾难发生前10分钟的数据;数据的恢复操作流程需制作成一个操作包,可在不借助系统开发人员的情况下由系统管理员安全地进行。
1.1.3.4 安全管理
通常情况下,信息网络系统的安全,除了安全技术方面的安全保障措施外,必须健全相应管理措施,管理机构依据管理制度和管理流程对日常操作、运行维护、审计监督、文档管理进行统一管理。由于网络新漏洞的出现与新威胁的增加,要求通过网络安全管理实现系统审计信息的综合分析结合贴切、到位的安全服务,在运行中不断调整安全策略、完善安全设计,使安全策略更符合实际、安全设计更趋合理。另外,要求建立各项应急响应措施与应急制度,提高系统抗攻击或抗灾难响应能力。本方案的安全管理体系主要从三个方面设计:
1、安全管理
安全管理包括管理组织、管理制度、人员管理、技术管理等。
管理组织
首先建立安全管理组织机构,负责提供资源支持、审批安全策略,并落实安全管理制度的建立及完善工作,坚持对制度执行的检查。
管理制度
安全管理制度应贯穿于整个安全管理体系中,将安全管理中的工作制度化,提高工作效率的同时,确保整个安全管理体系的正常、有效、稳定地运行。安全管理制度应涵盖如下方面:
(1)组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高工作人员的维护网络安全的警惕性和自觉性。
(2)负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。
(3)加强对信源单位的信息发布和公告系统的信息发布的审核管理工作,杜绝违反《计算机信息网络国际互联网安全保护管理办法》的内容出现。
人员管理
常言道“三分技术,七分管理”。安全方案的实现离不开管理,人员是管理的核心。人员管理除了技术层次的要求(比如:学历、个人技能、工作经验等),还应有安全性要求,
保证从事网络信息工作的人员都应有良好的品质和可靠的工作动机,不能有任何犯罪记录和不良嗜好。对工作人员要有一套完整的管理措施,它包括人员筛选录用政策、上网和离职控制、安全教育、安全检查等一系列制度。
(1)明确组织结构和责任人:要求各部门必须明确政策制定和实施中的相关人员的责任与义务。其中最重要的是设置由有关部门领导组成的信息安全组织,该组织会具体负责信息系统的筹划,包括人事、会计及宣传等。为保证有关政策的顺利实施,各部门应任命一位最高信息安全负责人,负责日常工作。
(2)强化人员管理:各部门应加强工作人员的日常教育和岗位培训,坚决杜绝内部泄密事件的发生。各部门应强化临时人员管理,使他们充分了解信息安全的有关规定,并要求他们签订安全协议书。同时还规定了系统故障及缺陷的报告制度。
技术管理
技术管理也是安全管理体系的重要组成部分,它的主要作用是执行整体安全策略,在安全策略指导下协调发挥各产品和技术的功能,它主要包括:
(1)各安全产品的安全配置以及随时调整。
(2)各系统产生的数据维护和定期备份。
(3)定期对业务应用设备进行安全检查,防患于未然。
(4)严格控制服务权限的开放,实行多权分治。
(5)审计和综合分析各类数据,为安全策略调整提供依据。
(6)定期进行安全评估,了解网络运行状况和目前安全状况。
2、应急管理
对于信息安全来说,没有绝对的安全,只有相对安全(包括现实物理环境),可见发生安全事故在所难免,关键是将事故损失降到最低程度,这样需要从技术上、软硬件上、组织机构上、管理制度上建立应急与求援机制,通过培训与预防、应急与求援等扎实的基础工作才能消除安全隐患。
应急指挥调度系统是防范和化解信息安全危机的重要手段,也是应对信息安全危机的一个必不可少的手段。构建应急指挥调度系统是一个复杂的系统工程,重要的也许不在于能否马上建成,而是现在就需要考虑,并列入行动计划。
从应急管理设计的角度来看,应急指挥调度系统包括如下内容:
系统目标:总的目标是针对不同信息安全危机来定制有效的应急方案,尽快地化解危机和结束信息安全危机。
应急管理:由安全管理与运行管理机构负责,主要负责为安全管理与运行执行机构提出信息安全危机应急方案,并配合安全管理与运行执行机构付诸实施。
应急决策:由安全管理与运行决策机构负责,主要负责审核安全管理与运行管理机构提交的信息安全危机应急方案,并对难以决定的复杂情况进行决策,下达重要指令。
应急反馈:由安全管理与运行执行机构负责,主要负责对安全管理与运行执行机构提出的信息安全危机应急方案的事实结果和成效进行及时反馈,为整个应急系统的下一步决策提供重要依据。
1.1.4 安全性
保证整个平台和数据的高安全性,从设备和技术上采取必要的防范措施(物理隔离、防火墙、防攻击技术),使整个系统在受到有意、无意的非法侵入时,被破坏的可能达到最小程度。
制定出合理的安全策略,以有效保障系统安全。系统安全设计的主要目标和任务包括:
1、禁止非法用户进入系统。非法用户是指那些没有通过认证的用户,他们没有合法的用户ID和密码,要进入系统必须通过非法手段。系统在安全设计时要重点防范这些非法用户的入侵;
2、未授权用户不能越权使用系统和资源。未授权用户是指不具有对数据或资源进行某项操作的用户;
3、数据要有严格的备份机制和故障恢复机制。数据备份要从制度上明确下来,做到有专人负责,系统要提供独立的数据备份子系统和备份工具。数据备份要定期进行。一旦因自然原因或人为原因造成系统崩溃或不能正常服务,系统要能够及时启动故障恢复机制和应急预案;
4、系统要保证全天候不间断运行,各种服务不能停止。非灾难原因,系统要保证7*24
小时不间断运行,各种系统服务不能停止或服务质量不能下降。对于出现的灾难,系统具有符合国家规定的相应灾难处理能力,及时恢复运行;
5、保证业务连续性,利于今后的扩展,避免重复建设。
因篇幅问题不能全部显示,请点此查看更多更全内容