信息系统(软件)安全设计

1、仅供个人参考For personal use only in study andresearch; not for commercial use软件信息系统安全设计内容摘要i物理安全设计2、网络安全设计3、主机安全设计4、应用安全设计5、数据安全设计一、物理安全设计1. 设计规范GB 50174-2008电子信息系统机房设计规范GB/T2887-2000电子计算机场地通用规范GB6650-86计算机机房活动地板技术条件GB5001 2006建筑设计防火规范GB 50343-2004建筑物电子信息系统防雷技术规范GB 50054-95低压配电设计规范GB 50057-2000建筑物防雷设计规范G

2、B50169-2006电气装置安装工程接地施工及验收规范GB50210-2001建筑装饰工程施工及验收规范GB50052-95供配电系统设计规范；GB50034-2004建筑照明设计标准；GB50169-2006电气装置安装工程接地装置施工及验收规范；2. 物理位置的选择a）机房选择在具有防6级地震、防8级风和防橙色大雨等能力的建筑内;b）机房场地选择在2-4层建筑内，以及避开用水设备的下层或隔壁。c）水管安装，不得穿过机房屋顶和活动地板下；d）防止雨水通过机房窗户、屋顶和墙壁渗透；3. 物理访问控制a) 机房出入口安排专人值守配置门卡式电子门禁系统，控制、鉴别和记录 进入的人员，做到人手一卡

3、，不混用，不借用；b) 进入机房的来访人员需要经过申请和审批流程，并限制和监控其活动范 围，来访人员在机房内需要有持卡人全程陪同；c) 进入机房之前需带鞋套等，防尘，防静电措施；d) 机房采用防火门为不锈钢材质，提拉式向外开启；4. 照明系统a) 照度选择机房按电子计算机机房设计规范要求，照度为 400LX;电源室及其它 辅助功能间照度不小于300LX；机房疏散指示灯、安全出口标志灯照度大 于1Lx;应急备用照明照度不小于30Lx；b) 照明系统机房照明采用 2种：普通照明、断电应急照明。普通照明采用 3*36W 嵌入式格栅灯盘(600*1200)，功率108W应急照明主要作用是停电后， 可以

4、让室内人员看清道路及时疏散、借以维修电气设备，应急照明灯功 率9W个。灯具正常照明电源由市电供给，由照明配电箱中的断路器、房 间区域安装于墙面上的跷板开关控制。5. 防盗窃和防破坏c) 主要设备放置在主机房内；d) 设备或主要部件进行固定在地板上，并在机器的左上角标贴资产编号；e) 通信线缆铺设在地下；f) 设置机房电子防盗报警系统；g) 机房设置全景监控报警系统，做到无死角监控。6. 防雷击及电磁a) 电源线和通信线缆隔离铺设，避免互相干扰；b) 机房接地防雷及电磁机房采用4*40mm紫铜排沿墙设一周闭合带的均压环，成“田”字状。整个机房铺设网格地线(等电位接地母排)，网格网眼尺寸与防静电地

5、 板尺寸一致，交叉点使用线卡接在一起(必须牢靠)。抗静电地板按放 射状多点连接，通过多股铜芯线接于铜排上。将各电子设备外壳接地端 通过4mm纯铜多股导线与铜排连接。从样板带综合接地网采用95 mm多股铜芯接地线，加套金属屏蔽管，固 定在外墙，连接在300*80*6 mm2铜排制作的接地端子上，将均压环铜排 用60mm与样板带综合接地网相连。c）线路防雷防雷系统设计为四级防雷： 大楼配电室为第一级防雷 （ 此级防雷在建 设时大楼机电方完成）,ATS配电柜进线端为第二级防浪涌保护， 一层UPS 输出柜进线端为第三级防浪涌保护，二层机房设备前端设计第四级防浪 涌保护。这种防雷系统设计，可有效保护设备

6、免遭雷电电磁感应高电压 的破坏，防止因线路过长而感应出过电压和因线路过长而感应出过电压， 对保证机房网络设备及后端计算机信息系统设备的稳定、安全运行有重 要作用。 ?7. 防火机房设置火灾自动消防系统，可以自动检测火情、自动报警，并自 动灭火；机房灭火系统使用气体灭火剂；对于其它无重要电子设备的区 域，可以使用灭火系统。灭火剂为FM20气体，无色、无味、不导电、无 二次污染，并且对臭氧层的耗损值为零，符合环保要求，该灭火剂灭火 效能高、对设备无污染、电绝缘性好、灭火迅速。防护区内的气体灭火 喷头要求分两层布置，即在工作间内、吊顶各布置一层喷头，当对某一 防护区实施灭火时，该防护区内两层喷头同时

7、喷射灭火剂。所有气体灭 火保护区域围护结构承受内压的允许压强， 不低于 1.2Kpa ；防护区围护 结构及门窗的耐火极限均不低于 0.5h8. 防静电机房采用防静电地板；机房铺设活动地板主要有两个作用：首先，在活动地板下形成隐蔽 空间，可以在地板下铺设电源线管、线槽、综合布线、消防管线等以及 一些电气设施（插座、插座箱等）；其次，活动地板的抗静电功能也为 计算机及网络设备的安全运行提供了保证。机房采用抗静电全钢活动地板（整体静电电阻率大于 109欧姆），地 板规格600*600*35mm强度高，耐冲击力强，集中载荷 34KG耐磨性 优于1000转。防静电地板铺设高度为 0.3米，安装过程中，

8、地板与墙面交 界处，活动地板需精确切割下料。切割边需封胶处理后安装。地板安装 后，地板与墙体交界处用不锈钢踢脚板封边。 活动地板必须牢固， 稳定， 紧密。不能有响动、摇摆和噪音。防静电地板主要由两部分组成。 A）抗静电活动地板板面；B）地板 支承系统，主要为横梁支角（支角分成上、下托，螺杆可以调节，以调 整地板面水平）。易于更换，用吸板器可以取下任何一块地板，方便地 板下面的管线及设备的维护保养及修理。9. 温湿度控制空调功能：主机房内要维持正压，与室外压差大于 9.8 帕，送风速度 不小于 3米/秒，空气含尘浓度在静态条件下测试为每升空气中大于或等 于0.5 微米的尘粒数小于 10000粒，

9、并且具有新风调节系统。机房的空调 设备采用机房专用精密空调机组（风冷、下送风），确保 7*24小时机房 的环境温湿度在规定的范围内；新风调节系统按照机房大小满足机房的 空气调节需要。为保证空调的可靠运行，要采用市电和发电机双回路的供电方式。 数据中心机房空气环境设计参数： 夏季温度23吃C 冬季温度20坐C 夏季湿度 55 10% 冬季湿度 55 10%10. 电力供应设计为 市电+柴油发电机+UPS的高可靠性的供电方式。此设计既可 保证给设备提供纯净的电源， 减少对电网的污染，延长设备的使用寿命， 又可保证在市电停电后的正常工作，从而更充分地保障服务器的正常运 行。? ? UPSf间断电源。

10、包括UPSt机和免维护电池两组，此设备是设计先 进、技术成熟的国际知名品牌EMERSON。UP笑用纯在线、双变换式， 内置输出隔离变压器。 电池选用国际知名品牌非凡牌， 为铅酸免维护型， 使用寿命长达 10年以上。柴油发电机。本项目选用的柴油发电机机组额定功率为 250KW主 要用于保证所有UPSft荷，包括机房的计算机设备、数据设备、应急照 明及部分P（机等。以备市电中断时使用。二、网络安全设计1. 结构安全为保证网络设备的业务处理能力具备冗余空间，满足业务高峰期需 要；网络各个部分的带宽满足业务高峰期需要；设计采用三线百兆光纤 双路由接入分别为联通、电信、铁通。接入后按实际当前运行情况绘制

11、 相符的网络拓扑结构图；通过 vlan 或协议隔离将重要网段与其他网段之 间隔离；重要网段在网络边界处添加防火墙设备，按照对业务服务的重 要次序来指定带宽分配优先级别做出网络均衡，保证在网络发生拥堵的 时候优先保护重要主机。采用协议SSL SSI协议位于和之间，由SSL记录协议、SSL和SSL警报 协议组成的。SSL!手协议用来在客户与服务器真正传输应用层数据之前建立安 全机制。当客户与服务器第一次通信时，双方通过握手协议在、密钥交 换算法、数据加密算法和上达成一致，然后互相验证对方身份，最后使 用协商好的密钥交换算法产生一个只有双方知道的秘密信息，客户和服 务器各自根据此秘密信息产生数据加密

12、算法和 Hash算法。SSLS录协议根据SSL握手协议协商的参数，对应用层送来的数据进 行加密、压缩、计算MAC然后经网络传输层发送给对方。SSI警报协议用来在客户和服务器之间传递 SSL出错信息。2. 网络设备与访问控制在网络边界部署访问控制设备，采用分级管理，启用访问控制功能； 对登录网络设备的用户进行身份鉴别；必要对网络设备的管理员登录地 址进行限制；对口令设置必须在8位以上且为字母和数字组合，每月定期 更换口令；登录失败采取结束会话方式，限制非法登录次数为6次，当网 络登录连接超时自动退出等；必要时采取加密措施防止鉴别信息在网络 传输过程中被窃听；3. 安全审计对网络系统采用，对网络设

13、备运行状况、网络流量、用户行为等进 行日志记录；记录包括：事件的日期和时间、用户、事件类型、事件是 否成功等审计相关的信息；可以根据记录数据进行分析，并生成审计报 表；系统对审计记录进行保护，避免受到未预期的删除、修改或覆盖等；4. 入侵防范网络边界处采用入侵检测和防火墙产品监视攻击行为，包括端口扫 描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时产生报警。能力是衡量一个防御体系是否完整有效的重要因素，强大完整的入 侵检测体系可以弥补相对静态防御的不足。对来自和内部的各

14、种行为进 行实时检测，及时发现各种可能的攻击企图，并采取相应的措施。将入 侵检测引擎接入上。入侵检测系统集入侵检测、和网络监视功能于一身， 能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用 模式匹配和的方法，检测网络上发生的入侵行为和异常现象，并在数据 库中记录有关事件，作为网络管理员事后分析的依据；如果情况严重， 系统可以发出实时报警。5. 系统采用目前最先进的漏洞扫描系统定期对、服务器、交换机等进 行安全检查，并根据检查结果向提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。三、主机安全设计1. 身份鉴别采用，对登录操作系统和数据库系统的用户进行身份标识和鉴别

15、； 操作系统和数据库口令设置必须在8位以上且为字母和数字组合，每月定 期更换口令；登录失败采取结束会话方式，限制非法登录次数为6次，当 网络登录连接超时自动退出等；必要时采取加密措施防止鉴别信息在网 络传输过程中被窃听；当对服务器进行远程管理时，使用vpn或加密机技 术接入防止鉴别信息在网络传输过程中被窃听；设置操作系统和数据库 系统的不同用户分配不同的用户名，确保用户名具有唯一性；2. 访问控制根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予 管理用户所需的最小权限；严格限制默认帐户的访问权限，重命名系统 默认帐户，修改这些帐户的默认口令；及时删除多余的、过期的帐户， 避免共享帐户

16、的存在，安全策略设置登录终端的操作超时锁定；设定终 端接入方式、网络地址范围等条件限制终端登录。3. 安全审计采用，审计范围覆盖到服务器的每个操作系统用户和数据库用户； 审计内容包括用户行为、系统资源的异常使用和重要系统命令的使用等 系统内重要的安全相关事件；对服务器进行监视，包括监视服务器的CPU 硬盘、内存、网络等资源的使用情况；审计记录包括日期和时间、类型、 主体标识、客体标识、事件的结果等；根据记录数据进行分析，并生成 审计报表；审计进程服务器独立，权限级别高，不会受到未预期的中断； 审计记录权限仅由审计管理员操作，不会受到未预期的删除、修改或覆盖等；4. 入侵防范和防病毒采用防病毒、

17、入侵检测和防火墙产品监视攻击行为，检测对重要服 务器进行入侵的行为，记录入侵的源IP、攻击的类型、攻击的目的、攻 击的时间，并在发生严重入侵事件时产生报警；每周必须更新病毒库，及时更新防病毒软件版本，主机病毒库产品具有与网络病毒库产品不同 的病毒库，支持病毒库的统一管理；操作系统遵循最小安装的原则，仅 安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补 丁及时得到更新。四、应用安全设计1. 身份鉴别和访问控制采用专用的登录控制模块及 UBSKe对登录用户进行身份标识和鉴别； 具有用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不 存在重复用户身份标识，身份鉴别信息不易被冒用

18、；登录失败采取结束 会话方式，限制非法登录次数为 6次，当网络登录连接超时自动退出等； 具有自主访问控制功能，依据安全策略控制用户对文件、数据库表等客 体的访问；由主机配置访问控制策略，并禁止默认帐户的访问。2. 应用安全措施后台管理系统安全设计 所有后台管理系统使用程序强制要求用户密码满足相应的用户密码 复杂度策略。密码超过 40天没有修改就自动冻结帐户， 登陆时强制用户修改密码， 并不能和上次密码一样。密码连续三次输入错误就冻结帐户十分钟，同时记录登陆 IP。用户登陆成功时提示上次登陆IP和登陆时间，如果上次登陆IP和本 次登陆IP不同则提示用户。有密码输入错误记录，用户登陆成功后提示用户

19、上次密码输入错误 时间和连续输入错误次数及尝试用错误密码登陆的 IP。程序失败了保证程序正常终止， 在出错提示中不包含任何系统信息， 配置信息等错误信息。全部给出“服务器忙请稍候再试”的统一错误信 息。登陆错误提示信息全部一样，不显示“不存在该用户”或“密码不 对”这样的提示，防止利用错误提示获取用户名列表。统一给出“用户 名或密码错误”的错误提示。设计统一的Apache或者IIS的错误页面，来替换现在的401 403 404 500等Apache或IIS自带的错误页面，让所有的错误返回的信息都完全一 样，提交页面返回的错误信息可以给入侵者提供丰富的信息，例如探测 后台管理目录时，如果返回的是

20、 403错误，就说明该目录存在。3. 安全审计采用，覆盖到每个用户的安全审计功能，对应用系统重要安全事件 进行审计；用户无法单独中断审计进程，无法删除、修改或覆盖审计记 录；审计记录的内容包括事件的日期、时间、发起者信息、类型、描述 和结果等；审计记录数据具有统计、 查询、分析及生成审计报表的功能；4. 通信完整性和保密性采用密码机或者VPNS证通信过程中数据的完整性。在通信双方建立 连接之前，应用系统利用密码机技术进行会话初始化验证；对通信过程 中的整个报文或会话过程进行加密。也可以使用 javascript 加密编码： 用户请求登陆页面,返回的登陆页面中调用一个javascript文件 t

21、imestamp.js，该javascript里面包含服务器上的时间戳,每五分钟自动 发布一次 timestamp.js ，也就是每五分钟更新一次 js 文件中的时间戳。用户在登陆页面中手工输入用户名和密码，单击“登陆”的时候，利用javascript将网页用户输入的Password结合时间戳timestamp进行 hash运算。设 hash 运算后密码为 passwdl passwd1=calcSHA1(timestamp + password) 然后连同加密的密码和明文时间戳与明文用户名一起提交 给login程序Login 程序接到用户输入后， 首先比较当前时间和用户提交的时间戳 time

22、stamp 是否超过一小时， 如果超过一小时就返回 “登陆超时， 请重新 登陆”的错误信息。 使用用户登陆策略判断登陆请求是否合法。 然 后通过用户输入的用户名找到数据库中的密码，使用用户提交时间戳 timestamp 和数据库中的密码进行运算，运算出的密码设为 passwd2。Passwd2=calcSHA1(timestamp + passwordDB) 判断用户提交的Passwd1 和运算出来的 Passwd2 是否相等，如果相等，就认为登陆成功 5. 抗抵赖在请求的情况下保留USBKe数据原发者原发证据信息；在请求的情 况下保留USBKe数据接收者接收证据信息。USBKe内存有加密证书

23、和签 名证书，对应于加密密钥对和签名密钥对。加密密钥对在密钥管理中心 产生，由密钥管理中心负责密钥的生成、存储、备份、恢复等密钥管理 工作，签名密钥对在USBKe硬件设备内产生，私钥不会读出硬件，私钥 通常是以加密文件的方式存在，文件加密的标准采用PKCS等规范，CA中心不会有用户的私钥，因此能够实现抗抵赖性6. 资源控制当系统中的通信双方中的一方在 5分钟未作任何响应， 另一方自动结 束会话；对系统的最大并发会话连接数进行限制，可以手工参数配置； 禁止单个帐户的多重并发会话。五、数据安全设计1. 数据完整性和保密性采用数据传输加密技术，对传输中的，以防止上的窃听、泄漏、篡 改和破坏。数据传输

24、的完整性通过数字签名的方式来实现，数据的发送 方在发送数据的同时利用单向的不可逆加密算法 Hash函数或者其它信息 文摘算法计算出所传输数据的消息文摘，并把该消息文摘作为数字签名 随数据一同发送。接收方在收到数据的同时也收到该数据的数字签名， 接收方使用相同的算法计算出接收到的数据的数字签名，并把该数字签 名和接收到的数字签名进行比较，若二者相同，则说明数据在传输过程 中未被修改，得到了保证。在数据交换的过程中，严格的加密机制以及用户身份验证机制保证 数据交换的安全。包括：系统层面上的安全：采用USBKe操作系统保证系统对于用户口令、 权限的验证。网络层面上的安全：对主机进行IP地址的访问列表

25、限制，细化到每 个协议的资料包程度。数字证书层面的安全：采用 CA认证，保证与资料中心进行资料交换 的主机身份都是经过认证的。交换层面上的安全：采用加密以及用户身份认证机制。 核心数据加密保证数据即使被窃取之后，也无法了解数据的内容。 采用对数据的保密和安全要求极为严格，因此除了在数据通过网络传输 过程的保密和安全采取有效措施外，还要对数据库中的静态数据（如账 号、密码、签名信息和财务数据等）和系统配置信息等核心数据进行加 密，在显示时通过用户程序进行解密。这样，防止有人直接读取数据库 表数据，获知核心数据的内容，功能甚至可以防止站点管理员、数据库 管理员对数据的窥视。2. 备份和恢复采取两地

26、三中心的方式，建立异地灾难备份中心，配备灾难恢复所 需的通信线路、网络设备和数据处理设备，实现业务应用的实时无缝切 换；本地第二中心实具有时备份功能，利用通信网络将数据实时备份至 灾难备份中心；数据本地备份与恢复功能，增量数据每日备份，增量备 份保存两个版本，每个备份保存两个全备周期； 完全数据备份每周一次， 备份介质场外存放， 数据库的完整备份保存 2个版本，每个备份保存两个 备份周，备份网络采用冗余技术设计网络拓扑结构，避免存在网络单点 故障；加强主要网络设备、通信线路和数据处理系统的硬件冗余，保证 系统的高可用性。零停机备份与恢复方案，通过采用全面的数据镜像 -分割备份，操作 允许将生产

27、环境与备份和恢复环境分开，从而为最关键的业务应用提供 了停机时间为零且不影响操作的数据保护。零停机时间备份与恢复方案 为关键业务应用和数据库提供了安全的自动实时备份，在备份进行过程 中，应用将保持不间断运行，而且性能丝毫不受影响，有效地保护数据， 无论出现何种灾难，至少能有效地恢复数据；极大降低业务在备份操作 时性能的下降，保证业务系统的7x24小时运转。备份时无须关闭数据库， 也不会因为备份而降低系统的响应时间；最大限度地保护数据的完整性。3. 数据库监控数据库的良好运行对数据中心系统来说，更有着至关重要的作用。 方案将对数据库的以下这些重要方面进行监控。数据库可用性监控：监控数据库引擎的关键参数：数据库系统设计的 文件存储空间、系统资源的使用率、配置情况、数据库当前的各种锁资 源情况、监控数据库进程的状态、进程所占内存空间等。在参数到达门 限值时通过事件管理机制发出警告，报告给数据库管理员，以便及时采 取措施。数据库文件