某银行数据中心系统-信息安全体系-安全架构部分教学文案

1、数据中心项目（一期）技术体系架构设计方案安全架构部分版本 V0.9本文档及其里面所包含的信息为机密材料并且由 / 共同拥有。本文档中的任何部分都不得以任何手段任何形式进行复制与传播。未经 / 书面授权，不得将材料泄露给第三方。Copyright ? 2005 /版权 保留所有的权利。文档信息编与名编写日期审核者审核日期批准人批准日期变更历史日期变更描述批准1. 前言 31.1 安全体系的设计目标 31.2 需求与风险分析 31.3 安全体系总体架构 41.4 安全体系框架模型设计41.5 术语定义 62. 用户安全策略82.1 统一身份管理和访问控制82.1.1 身份管理系统 102.1.2

2、应用安全 112.1.3 身份管理的技术架构 122.2 用户、用户组及角色 142.3 用户、用户组划分 152.3.1 用户/用户组分配172.4 用户的授权管理 212.4.1 用户授权 222.4.2 功能授权 222.4.3 数据授权 233. 数据安全策略 243.1 系统安全 243.1.1 高可用结构 243.1.2 系统加固 243.1.3 操作系统安全 253.2 网络安全 253.2.1 网络结构安全 253.2.2 端口安全 263.2.3 加强访问控制 283.2.4 防火墙 283.2.5 入侵检测 283.2.6 漏洞扫描 293.2.7 病毒防护 293.3 数

3、据存储安全293.3.1 元数据存储安全 303.3.2 Teradat数据存储安全303.3.3 Weblogic应用服务器存储安全313.3.4 报表及多维立方体存储安全 333.4 系统的备份与恢复343.4.1 数据保护和恢复技术343.4.2 备份与恢复的范围 343.4.3 备份工具说明 353.4.4 备份策略 363.4.5 恢复处理 361. 前言1.1 安全体系的设计目标在本文中，所谓的安全体系是指在此体系框架下，系统能够使正确的用户在正确的时间访问到正确的数据，主要包括用户安全和数据安全两部分。数据中心安全体系的设计目标是要保证系统的机密性、完整性和可用性。具体描述如下：

4、机密性Confidentiality保护信息，防止未经授权的访问完整性Integrity保护信息不会被有意或无意地修改和破坏可用性 .Availability确保系统性能与可靠性，保证授权用户在需要的时候可以访问到信息和相关的资产。1.2 需求与风险分析根据我们对总行信息管理系统项目的了解，结合银行业务的多种信息种类、不同开放程度和安全级别等情况，数据中心系统在安全方面面临的主要威胁有以下几个方面：需要建立统一的、完整的安全策略，以符合政府和行业规范的要求、满足自身业务发展的需要。银行业务信息量大，应用复杂，不同种类、不同级别的信息对不同的用户有不同程度的保密需求（无密级、秘密、机密、绝密）。

5、来自内部或外部的黑客针对网络基础设施、主机系统和应用服务的各种攻击，造成网络或系统服务不可用、信息泄密、数据被篡改等破坏。内部人员（合法用户）滥用权力，有意犯罪，越权访问机密信息，或者恶意篡改数据。恶意软件和数据（如病毒等）的传播。系统软硬件故障造成的服务不可用或者数据丢失。自然灾害或恐怖事件的物理破坏。1.3 安全体系总体架构数据中心系统的信息安全建设包括三个方面 安全策略、安全技术和安全管理。安全策略：包括各种策略、法律法规、规章制度、技术标准、管理标准等，是信息安全的最核心问题，是整个信息安全建设的依据；安全技术：包含工具、产品和服务等，是实现信息安全的有力保证。安全管理：主要是人员、组

6、织和流程的管理，是实现信息安全的落实手段；根据上述三个方面，安全解决方案不仅仅包含各种安全产品和技术，而是要建立一个策略、技术和管理三位一体、目标一致的信息安全体系。信息安全体系的建立，可以对数据中心系统中的所有信息资产进行安全管理并从安全技术层面进行保护，通过多层次、多角度的安全服务和产品，覆盖从物理环境、网络层、系统层、数据库层、应用层和组织管理信息安全的所有方面。需要指出的是，完整的信息安全体系的建设是无法在数据中心系统项目中完成的，因为它所涉及的范围要比数据中心系统大得多；而这一信息安全体系的建立对保障数据中心系统的顺利运行意义重大，建议在条件成熟的情况下，与总行专门的信息安全项目UA

7、AP 集成在一起，进行数据中心信息安全体系的建设。1.4 安全体系框架模型设计根据安全领域的最佳实践和银行业务的需求，我们设计出如下数据中心安全体系框架模型。安全运行中心安全管理制度、安全策略和安全管理机构安全评估3业务连续性计划税务 噩警报表行政ALM外部会计决策,支持P KI体 系安全集中管理应用安全内容安全操作系统安全网络层安全物理层安全图1安全体系框架模型图建设安全管理框架，包括安全管理机构、安全管理规定和制度，制定安全策略； 建立安全运行中心，对全网进行全面管理、分析和故障支持响应；进行全网安全评估， 建立内部评估规范，形成安全评估体系；有针对性地制定业务连续性计划策略， 建设 数据

8、备份中心和灾难恢复中心；建立覆盖全网的安全技术体系，包括：物理层安全、 网络层安全、操作系统安全、应用安全、内容安全。整个体系框架的构成如下：安全管理框架1安全管理制度和安 全策略制廿系列安全策略和规范，指导安全建设， 保障安全规范的执行2安全管理机构必须有专业安全人员，关注安全建设，将各相 关部门的人结合在形成完整的安全管理机构3安全评估在外部专家帮助下，建立安全的风险评估体系， 定期对系统进行安全评估4业务连续性计划考虑事故、灾害对业务可用性的冲击和影响， 选择投资和容灾的最佳结合点5安全运行中心建立专门的女全运仃中心专注安全状况，收集 资料并提供决策支持安全技术框架6物理层安全保证设备放

9、置环境、电源、物理访问控制均符合统一规范7网络层安全提供网络访问控制和入侵检测，在系统边界和 核心全面实施保护8操作系统安全通过对安全操作系统的选择、扫描和加固保证基本的主机操作系统安全9内容安全建立集中的防病毒体系和完善的内容过滤机制10应用安全通用应用和应用开发的安全11PKI公用密钥体系提供了完整的认证和加密机制， 可以嵌入到各个应用系统，保证机密性、完整性和 /、可抵赖性12安全集中管理对分布在全网各处的安全子系统通过统一的管 理界面，实施统一的监控和日志、事件的收集和分 析。1.5 术语定义LDAP:轻量级目录访问协议SSO:单点登陆CA: certificate authority

10、PKI:公钥基础结构SSL:安全套接层CSR:证书签名申请文件SSH:DES:数据加密标准DSA:数字签名算法SIT:系统集成测试UAT:用户应用测试2 .用户安全策略2.1 统一身份管理和访问控制为了适应大量用户使用多种数据集市应用、满足复杂的权限控制的需求，数据中 心需要建立全网统一的身份认证、管理手段及访问控制系统。统一身份认证、管理及 访问控制涉及到数据中心所有数据集市应用和用户，涉及面相当大，不建议在数据中心系统中实施，而是将来通过与 UAAP集成来实现。但从安全角度来看，数据中心 一期需要在此方面进行规划。在传统的应用中，用户身份信息一般都放置在本地目录或数据库中 （即身份岛”）,

11、 而这些目录或数据库都只是被单独应用程序所使用， 由此产生了大量孤立、分散的身 份和访问管理系统，从而带来了繁重的管理负担和高昂的成本。在数据中心系统中随 着数据集市的增加，管理和维护多个身份库及其相关访问权限的成本将会增加， 而确 保数据中心系统被安全访问的能力却会下降。数据集市州麻序数据集市图1统一身份管理框架图为此，在数据中心系统中需要有统一的身份认证、管理及访问控制系统。其中，身份认证子系统支持包括动态口令和证书等多种认证手段的统一的身份认证服务，正确地识别访问操作的主体的身份，提供合适身份信息；身份管理子系统管理用户的身 份信息，提供自动的基于工作流管理的用户身份信息更新和同步，实现

12、用户的自服务 功能和分级用户管理功能；访问控制子系统定义访问控制的规则， 通过策略服务器进 行统一的规则定义管理和实时的执行引擎。在cognos中，身份认证是通过第三方的认证提供者来完成的， 每个第三方的 认证提供者被称为名空间。第三方的认证提供者定义了用于认证的用户、 用户组及角 色。在cognos中用户、用户组及角色三者之间的关系如上图所示。其中用户组与角色的主要差别在于用户组是用户的基本标识的一部分，而角色却不是。角色主要用于运行报表和作业。在cognos名空间是缺省的名空间，它不能被修改。在一期中，建议不使用这个 缺省的名空间，而是建立一个 dwmis名空间，以方便将来的管理。Cogn

13、os在默认安装配置下没有启用任何安全设置，因为 Cognos的设计思想是 要与企业现有的身份认证基础设施相集成。对于数据中心项目，我们将实现SunOne LDAP来集成数据中心目前的用户身份管理设施。因此， Cognos的用户信息和数据 中心的用户信息共享同一份数据，并使用 SunOne LDAP来实现Cognos使用组和角色来进行授权管理和访问控制。组和角色信息定义在Cognos 内部，又称为Cognos Group和Cognos Role。组和角色都代表了执行一系列相同任 务，拥有相同的权限的用户。组成员关系是用户身份的一部分， 每次登陆时都是用户 从属组中获得全部权限。角色成员关系是不属

14、于用户身份的一部分，用户可以选择每次登陆时使用的角色列表。Cognos包括下列内建的（无法删除）安全条目：Anonymous用户，这是所有不需要身份认证的用户的共享帐号；All Authenticated Users 组，代表所有非Anonymous 用户；Everyone 组，代表所有Anonynmous 用户和 All Authenticed Users 组的用户；System Administrators 角色， 代表具有Cognos 服务器全部管理权限的超级用户。Cognos 默认还设置了下列六个预定义的（可以删除）安全条目：Consumers 角色，具有查看和执行公共内容的权限；Qu

15、ery Users 角色，具有Consumers 角色的权限，并且可以使用QueryStudio；Authors 角色， 具有 Query Users 角色的权限，并且可以使用Report Studio来发布公共内容；Report Administrators 角色，具有管理公共内容和访问Query Studio 及Report Studio 的权限；Server Administrators 角色，具有管理服务器、调度器、作业的权限；Directory Administrators 角色，具有管理命名空间，包括组、角色数据源等 对象的权限。对Cognos安装的默认配置进行下列修改提高安全性：

16、配置数据中心项目的SunOne LDAP ，并且禁用内建的Anonymous 用户帐号；Everyone 组是 System Administrators ， Consumers ， QueryUsers ，和 Authors 角色的成员，必须立即删除，并根据需要设置Cognos 的 SystemAdministratiors 角色的成员。2.1.1 身份管理系统身份管理系统负责对用户身份的管理、验证、授权和私密性保护。管理涉及到如何创建、修改和取消身份。好的管理能够显著降低成本和提高生产力。它还可以大大缩短业务经理填写相关文件的时间，并可减少财务、人力资源以及IT 人员审批和实施访问请求的时

17、间。验证是证实访问网络、应用程序或资源的身份的操作。验证技术包括基于用户 ID 的简单登录、密码，以及令牌、公匙证书和指纹验证等更为强大的机制。在 Web 环境中，用户可以在一个站点甚至多个站点内跨多个Web 服务器访问多个应用程序。有效的身份管理和访问管理策略可以部署集中的验证框架，以便简化用户体验和降低管理工作量。授权是确定是否允许数字身份执行所请求操作的流程。授权过程出现在验证之后，它可以使用与数字身份相关的属性或权限，以确定数字身份可以访问的资源。例如，一旦用户通过验证，即可授权获得与其数字身份权利对应的限制信息访问权限。身份和访问管理技术可以使组织降低因扩大对其信息系统的访问而产生的

18、风险。由于可以对访问权限及特权进行精确控制，从而可以确保数字信息的私密性。 修改权限和/或终止访问的能力可以进一步增强这种保护的灵活性和一致性。在本设计中，我们采用SunOne LDAP 作为第三方认证提供着，用于存储不同来源的用户信息、资源信息和策略信息，实现统一的用户身份管理，统一的访问资源各类和统一的访问策略信息管理；目录服务构成了身份和访问管理框架的核心，该目录服务将多个数据源（如目录、文本文件、数据库）结合在一起，从而为数字身份信息提供单一来源。在 SunOne LDAP 的实现中可以有多个管理服务器和多个目录服务器，及多种组织形态。在数据中心一期实现中，应用相对简单，建议使用单一的

19、管理服务器和目录服务器来完成对用户目录和配置目录的管理。具体实现方式详见实施工艺手册。2.1.2 应用安全作为数字身份的最终使用者以及该身份权限的强制执行者，应用程序在所有身份管理解决方案中都扮演着重要角色。应用程序必须与组织的身份管理基础结构兼容， 对于应用程序开发而言，最重要的一点在于应用程序不应建立和实施其自身的身份库、安全协议或数据保护机制，而应依赖身份管理基础结构所提供的解决方案。对于应用访问的安全，其主要设计体现在统一单点登录入口即Portal门户入口以及统一的用户安全认证与权限分配管理。在数据中心一期实现中，典型的前端应用程序包括：元数据管理应用程序监管报表应用程序ALM应用程序

20、多维立方体生成应用程序报表生成应用程序2.1.3 身份管理的技术架构下图是一个典型的身份管理的技术架构:Web Server Portal Java App Server Application Web ServicesPolicy Server Directory Server Secure Audit ServerAdmin Server图32身份管理技术架构图其中，Plug-in安装在Web服务器端，接到前端用户对安全内容的请求之后，它 会将请求送到Policy Server进行用户身份认证，Policy Server则到目录服务器检索 用户信息。认证成功后，Policy Server向

21、Plug-in返回用户的授权信息，使该用户可 以访问授权范围之内的内容。Policy Server返回的用户信息（包括用户的角色）可以以环境变量的形式通过Plug-in传递给应用程序，以完成页面的个性化，给不同的用户显示不同的操作界面。Admin Server负责管理访问控制策略的制定，使不同的用户对不同的资源有不 同的访问权限。在本设计中，通过 Cognos Series 7禾用SunOne LDAP服务实现了 ReportNet 和PowerPlay的统一用户、安全管理，SSO模块的主要作用是实现 Cognos Custom Authentication Provider ,以支持UAAP

22、安全认证服务。下面以系统管理员维护为：数据仓库系统管理员登录数据中心门户系统(Cognos Connect。：门户系统通过目录服务(Sun One Directory Server认证管理员。门户系统认证成功后将用户名、口令和 TokenID写入Oracle 9i数据库供Cognos ReportNet透明登录使用。:数据仓库系统管理员登录成功后点击 CRN链接。此链接指向Web Server(Apache 2.0.53)。画：用户组管理、模块授权管理均须操纵 Cognos Content Manager。由于Cognos ReportNet提供了 Java SDK,因此这个模块使用JSP开发

23、，运 行在 Weblogic Application Server 上。频：数据安全管理是在Teradata中建立用户组和机构的对应关系，并在多维数据库的机构维建立过滤定义。这个模块使用J2EE 开发，程序分为两部分，一部分在 Web Server上运行，访问Teradata数据库，建立用户组和机构的对应关系，同时作为客户端提交建立维度过滤的请求至ij OLAP Server 上的 Cognos ReportNet；另一部分在 OLAP Server 上 运行，接受客户端（运行在 Web Server上的JSP应用）请求，调用 DSO 建立维度过滤。领）：Cognos ReportNet通过J

24、DBC将用户组、模块授权信息写入 Oracle 9i000 上的 Content Manager中。）: OLAP Server通过JDBC将维度过滤信息写入 Cognos PPES上的Oracle 9i Repository 中。2.2 用户、用户组及角色前端用户管理包括两个部分，用户（User）和用户组（Group）信息管理。用户（User）管理用户（User）管理包括用户信息的维护、用户组的分配以及用户特殊功能的权限分配等。一般来讲，在创建一个Portal 用户的信息时，将同时要在Cognos 服务器、Weblogic 服务器、以及其他需要集成在Portal 内的子系统中建立相应的用户信

25、息；即在本系统中，用户信息时进行统一维护的。角色（Role）管理在对用户进行权限分配时，将引入角色（Role） 的概念，所谓角色，就是一个权限集合的定义，一个Portal 用户可以赋予多个Portal 角色，每个Portal 角色都与之对应的 Weblogic 角色、 Cognos 用户类，用于定义对应用和数据的访问权限。用户组（Group）管理用户组管理包括用户组创建、用户组修改、用户组权限分配等。用户组是一组具有使用相同角色的用户群。用户和用户组的关系是一个用户组可以包括多个用户，一 个用户只可以属于一个用户组。在 cognos 中用户可以拥有的权限如下：读 (read)浏览一个条目的所有

26、属性；为一个条目创建快捷方式。写 (write)修改一个条目的属性；删除一个条目；在包或文件夹等容器中建立一个条目；修改一个报表的定义；为一个报表创建新的输出。执行 (excute) 运行报表；在数据源中检索数据。设置策略(set policy)读或修改一个条目的安全设置。遍历 (traverse) 浏览包或容器中一个条目的内容；浏览容器本身的一般属性。在Teradata数据库中用户可以拥有的权限 Teradat瞰据库可以针对不同的用户， 在不同级别的 Teradata Objects(如 Database User、Table View 和 Macro 等)上进行 多种类型的权限设定。可以设

27、定的权限包括：Select, Update, 执行权 , 所有权等等。2.3 用户、用户组划分在本系统中，用户层包括各种最终用户。主要分为技术用户、业务用户及管理用户三类：? 技术用户技术用户主要是数据中心系统的管理者以及信息的管理者，他们的主要职责是完成数据中心系统的管理和信息的组织。首先为业务用户提供最便捷的数据访问途经，其次为业务用户访问数据的正确性作出保障。应用开发人员(Application developers) ：对数据转换和信息访问层都需要应用开发人员。Teradata DBA:管理数据仓库的RDBMSS,维护物理数据模型，开发和 维护备份与恢复过程，承担性能调整和负载管理工作

28、以及容量的规划。ETL管理员(ETL Administrator):监控数据加载流程。数据建模员(Data Modeler) ：开发和维护数据仓库的逻辑数据模型。? 业务用户按照用户使用数据中心系统的方式和特点，可以划分为业务人员、业务分析人员、决策人员和知识工作者。业务人员主要指总行各业务部门、各分行的业务用户，包括客户经理。该类人员直接使用模块化的应用界面访问数据中心系统，访问预定义报表，进行相对固定的查询和较为简单的分析。业务分析人员是指总行各业务部门、各分行的较为高级的用户。除能够执行一般业务人员进行的操作外，可以对指定的主题、指标进行自定义的灵活分析和比较。分析的方式包括自定义查询、

29、自定义报表、多维旋转和钻取等等。决策人员主要包括各部门的领导和行领导。数据中心系统为决策人员分配专门的系统资源，建立最为直观和方便的存取界面，为决策人员赋予最大的信息访问权限，实现决策人员对信息的自由访问。同时，信息资源系统将决策人员最为关心的信息主动发布到决策人员的访问界面上，简化信息访问的方式，使得决策人员在第一时间获得经营管理的各种重要信息和指标。知识工作者：是最为高级的分析人员。该类人员能够自由使用各种报表、查询、分析和挖掘工具，对银行业务和数据都由较为深刻的认识，特别是理解数据中心系统的数据模型，能够回答各种突发和复杂的业务问题，使用复杂的工具进行业务模型的建立和验证。在进行复杂的业

30、务分析或者进行数据挖掘的过程中，可能使用一些专业的工具，这类工具通常需要数据仓库系统导出大量数据供它们分析，这会耗费数据仓库系统大量资源，因此我们不建议知识工作者自己提交 SQL请求给数据库，而是应 首先经过管控的审批流程，提交请求给系统的DBA DBA艮据用户请求下 载数据并提交到指定的目标位置。对于普通用户来说，在经过数据管控流程的审批之后，通过相关的工具分析 DBA#出的数据完成处理。? 管理用户为每个业务单位(总行、分行)建立管理角色，管理角色具有 Cognos的组织管理员和内容发布者角色，负责维护组织机构、发布文档。如：管理角色BJ（北京分行管理员），应被授予组织管理员和内容发布者双

31、重角色，以便维护本行用户、组和发布文档。总行管理员将各业务单位管理员授予第一步设定的管理角色。总行管理员授予本分行用户访问数据中心系统的权限。分行管理员授予本分行用户访问数据中心系统的权限。2.3.1 用户/用户组分配前端用户分配：使用浏览器访问数据仓库的前端用户是通过 Web Server访问数据库的。共有四 种类型的用户：用户类型登录 webserver用户数据库用户名前端管理员用户FrontadmFrontadm （/、口以访问业务数据）部门管理员用户Department 缩写+adm不可以访问数据仓库监管报表访问用户由各个部门管理员设定dmBuserALM访问用户由各个部门管理员设定d

32、mBuserPower User由数据仓库管理员设定（每人一个）前端管理员用户和各个部门管理员用户不可以访问数据仓库业务数据， 他们的权 利是通过前端安全管理页面设定各个部门的查询功能分配以及建立用户、 岗位并进行 用户的岗位分配和岗位功能指定。部门管理员用户需要访问数据仓库时， 必须重新建 立前端用户，并接受审计。数据库用户分配:用户ID描述权限定义数据库类型dwDBA数据库管理员系统管理员，是dwAdm 的备份用户。TeradatadwITUserIT技本人贝，包括所有参IT部门用户组。对Teradata加到数据转换，前端应用的 用户.一M加百，他们有权 存取执行开发工作所在的 测试环境d

33、wJOBdwSDATA dwPDATA勺 ETL加载任务的执行用户dwTData、 dwttemp、 dwTMacro有创建、修改 和删除权限。没有 dwPDATA,dw PVIEW, dwBVIEW, dwPMACRG 口 dwBMACRO任何存取权 限。批处理作业用户组。DWJob寸 DWPLogt全部 权限(ALL)DWJob 对 DWTLog有全部权限 (ALL)。DWJob寸 DWPDat 有创建表和Select, Update, Insert和Delete 权限。DWJob对 DWTData有创建表和 Select, Update, Insert 和 Delete 权限。DWJob

34、 对DWTempt全部权限 (ALL)DWJob 对 DWPView 有 Select,Update,Insert 和 Delete 权限。 DWJob 对 DWTView 有 Select, Update, Insert 和 Delete 权限。DWJob 对 DWBView有 Select, Update, Insert和Delete 权限。DWJob对 DWPMacrot创建宏、删3)TeradataM)除宏、执行宏以及创建存 储过程、删除存储过程、 执行存储过程的权限。DWJob寸 DWTMacrot仓I 建宏、删除宏、执行宏以 及创建存储过程、删除存 储过程、执行存储过程的 权Bg0

35、 DWJob寸 DWBMacr 有创建宏、删除宏、执行 宏以及创建存储过程、删 除存储过程、执行存储过 程的权限odwJobOlapdwPDATA dwPMart 的 ETL加载任务的执行用户IT用户，该组用户只对 dwPDATAT SELECTS限。该组用户只对dwPMart 有 select、update 权限。对存储过程有执行权限TeradatadwJobAlmdwPDATA dwPAlm勺 ETL加载任务的执行用户IT用户，该组用户只对 dwPDATAT SELECTS限。 该组用户只对dwPAlm有 select、update 权限。对存储过程有执行权限TeradatadwJobCm

36、dwSDATA dwPCMart的 ETL加载任务的执行用户IT用户，该组用户只对 dwSDATAT SELECTS限。 该组用户只对 dwPCMart 有 select、update 权限。对存储过程有执行权限TeradatadwARC备份用户TeradatadwDQUser定义数据质量稽核规则的用户TeradatadmAdminOracle数据库管理员AllOracledmContentCognos内容管理用户对Cognos儿数据具有 delete、insert、update、 select权限OracledmBuser监管报表应用管理用户对Cognos儿数据具有 delete、inser

37、t、update、 select权限OracledmBuserALM应用管理用户对Cognos儿数据具有 delete、insert、update、 select权限Oracle系统级用户用户ID描述属组操作系统类型admin主机管理员DwmisMP-RASEtladminETL服务器管理员EtlgrpHP-UnixAppadmin应用服务器管理员AppgrpHP-UnixAppacheWeb服务器管理员AdministratorWindows2003Advanced ServerMetaadmin元数据管理用户AdministratorWindows2003Advanced ServerCr

38、nadminCognosReportNet 管理用户CognosHP-UnixOlapadminCognos立力体生成用户CognosHP-UnixHausrHA系统用户UsrHP-UnixBakusr备份用户UsrHP-UnixALM_usrALM数据交付用户AlmHP-UnixcmoraCognos内咨存储用户Oracle9iHP-UnixOracle9iOracle数据库管理用户CognosHP-UnixwliadminWeblogic管理员WeblogicHP-UnixIdapadminLDAP管理员CognosHP-Unixcrndev报表生成用户CognosHP-Unix2.4 用

39、户的授权管理统一授权是数据中心安全体系需要实现的业务目标之一，是将统一的授权管理和规范与分权、分级的授权委托管理相结合的管理方式，在满足统一、规范的原则下， 使授权管理更灵活高效。分权、分级管理实际上是数据中心系统管理员将管理权委托给分支机构和业务部 门在其辖内完成数据中心系统的授权管理。为了保证在分权、分级管理的方式下，满足统一授权的规范化，以及资源信息、 用户信息的安全性，需要建立一个完整的授权管理流程和管理模型。一方面在授权管 理流程上确定各级管理员的职责，另一方面对被授权管理的用户和资源采用授权委托 管理域和访问控制安全管理域的形式进行委托管理。委托授权的形式包括以下类型:分级委托指数

40、据中心系统管理员遵循企业的组织结构，按照总行、分行、 二级分行、支行、储蓄所，将授权权限逐级委托到下级管理员。下级管理员可以进一步进行委托授权。分权委托指数据中心系统管理员按照数据中心数据集市系统的划分，将各个数据集市系统的授权权限分别委托到对应的数据集市系统管理员。数据集市系统管理员可以进一步进行委托授权。上述委托的类型将同时存在数据中心系统的日常管理中，数据中心系统中各级、各系统用户管理员应当根据具体业务需求制订委托授权的规划，灵活采用平台提供的各种委托授权方式将拥有的权限委托到最贴近用户的管理员手中。通过工作流管理，数据中心系统管理员可以保留对委托下去的授权的控制，并跟踪授权情况。另外，

41、从授权内容上看主要包括用户授权、功能授权、及数据授权三个方面。2.4.1 用户授权数据中心系统包含了目前所有有效用户（可以登录到门户、且有有效岗位的用户） ，缺省状态下用户没有权限登录系统，用户授权就是机构管理员授予本机构用户相应的角色，以允许他们登录本系统。2.4.2 功能授权各机构管理员使用“模块授权管理”对所属用户组或用户授权，由于用户会发生岗位变更，为避免重新授权，建议授权针对用户组进行。数据中心一期实现中包括监管报表和ALM 两个数据集市，这两个数据集市又由若干个功能模块构成，不同用户可以访问的模块也不同，规则如下：由于用户数量较大，因此采用分布式权限管理，每个分行设定管理员，授予内

42、容发布角色，为本分行用户组授权。所有功能授权都基于用户组（岗位） ， 这样即使用户有任何变更（如部门调动）也不用重新授权。对用户组的授权分为以下三类：无需访问数据中心系统的用户组，取消访问授权。需要访问数据中心系统的用户组，根据其工作内容授予适当权限。需要访问数据中心系统，但是权限与其他用户组重合的用户组，分行管理员在具有相同权限的用户组上建立更高层的用户组，根据其工作内容授予适当权限。2.4.3 数据授权数据授权在数据中心一期中主要是指用户对数据的访问必须被限定在一定的范围之中。 一般来讲，一个用户在一个数据集市中仅能访问本机构及其下属机构的数据，但也有一些特殊情况，如可以对他进行授权，使其

43、可以访问其上级或同级的数据，这时就需要对其进行数据授权。在数据中心系统使用Cognos ReportNet 实现报表及Cognos PowerPlay 实现多维分析，因此对于用户的数据授权应结合这两个产品实现。3 . 数据安全策略3.1 系统安全3.1.1 高可用结构为了保证系统的可用性，核心系统的主机、存储设备、网络设备（包括防火墙）都应当采用硬件冗余的高可用结构，以最大限度地提高系统可用性，降低宕机时间。数据库服务器的高可用有两种实现方式，包括传统的双机热备，和现代的负载均衡集群技术。负载均衡集群技术提供了良好的伸缩性，同时又能充分利用设备投资来改善应用的性能。数据库服务器在提供容错和负载

44、均很时，必须使用统一的数据存储。在架构设计中，数据存储使用了Server farm 网络环境中的存储区域网。3.1.2 系统加固不论是 Unix 还是 Windows ，默认安装的系统都安装了各种网络服务，容易暴露漏洞，对于核心系统应当对操作系统进行加固，增强其安全性。在 SRF 中部署了如下安全组件：Firewall 防火墙IDS 入侵检测VPN 集线器网关防病毒服务器网关内容过滤RADIUS 服务器3.1.3 操作系统安全在操作系统的级别，无论是 Windows操作系统，还是 MP-RAS for MPP ,都有着严密的系统安全认证与用户权限管理体系，并具备登录、审核以及资源访问的审计与跟

45、踪。各操作系统的用户必须有统一的管理和授权机制。此外，操作系统的安全还可通过一定的辅助性措施和管理措施来保证：1 .完善的病毒防范措施，采用统一的病毒防范体系，在PC服务器上安装；2在所有服务器上不安装拨号上网设备、不装刻录光盘设备；3不安装与数据处理无关的软件；4关闭服务器上所有未使用的、不需要的服务，这些服务需要满足以下条件：i. 对操作系统不是必要的；ii. 服务器上所有应用未使用到的；iii. 对系统资源占用较高（如CPU,I/O,内存，网络等）；iv. 易受病毒攻击的服务等；通过数据仓库监控工具，可以对数据仓库的MPP 主机群以及各应用服务器的操作系统运行状况和资源的使用情况进行实时

46、的监控，以及时捕获各平台操作系统的异常。3.2 网络安全3.2.1 网络结构安全网络安全的内容包括例如子网、防火墙和操作系统锁定等物理组件。目前 ServerFarm 已经制定了一套完整的网络安全防范措施，生产环境被划分为三个区域，区域内部的服务器之间或跨区域的服务器之间的访问都需要通过企业级防火墙，只允许指定的 IP 通过指定的端口访问。下面分别对三个区域加以说明：1集成区该区域不直接对外提供服务，只有超级用户或系统管理员才能从ServerFarm管理区访问本区域。集成区分为 WEBAP、DB三层，其中数据仓库服务器在 DB 层，只有内网区指定的应用服务器和本区 AP层的ETL服务器可以直接

47、访问数据 仓库服务器，外部用户只能通过内网区指定服务器访问；ETL服务器在AP层，外 部用户禁止访问ETL服务器，ETL服务器可以同时访问UDI服务器和数据仓库服 务器，从而实现数据加载。2 .内网区该区域通过路由器和防火墙等设备对外提供有控制的对数据仓库数据的访问，同时超级用户或系统管理员也可以从 ServerFarm管理区访问本区域。内网 区划分为WEBAR DB三层，数据中心系统的 Web服务器位于 WEEg,这一层是 最终用户访问的第一层； AP层部署了 Cognos PPES ReportNet、Weblogic等应 用服务器，最终用户对数据仓库服务器的访问通过这一层完成。3 .管理

48、区该区域是管理区域，需要在此区域部署数据库、ETL应用服务器的管理终端， 根 据SRF规范项目组成员禁止通过FTP上传任何文件到集成区或内网区服务器， 程序发 布或版本更新统一由生产环境的运行维护人员通过指定终端上传到指定目录，项目组人员在通过SSH Telnet工具如：securitycrt 登录到服务器上执行部署。1.1.2 端口安全依照SRF项目规范，如无特定需求，应关闭如下端口：IP地址服务端口类型端口号TFTP DaemonUDP69LinkTCP87SUN RPCTCP & UDP111LPDTCP515UUCPDTCP540NFSTCP & UDP2049X Wi

49、ndowsTCP & UDP6000 -6255Small servicesTCP & UDP20 and belowFTPTCP & UDP21SSHTCP22TelnetTCP23SMTPTCP25NTPTCP & UDP37FingerTCP79HTTPTCP80POPTCP109 &110NNTPTCP119NTPTCP123IMAPTCP143SNMPTCP161 &162BGPTCP179LDAPTCP&UDP389SSLTCP443SyslogUDP514SOCKSTCP1080Common HTTPTCP8000,8080

50、,88881.1.3 加强访问控制安全信道的目的是对网络上传输的敏感数据进行加密保护， 并对传输信道的两端 进行身份认证。目前 Web应用常用的安全信道技术是 SSL, SSL已经被绝大多数的 浏览器和Web服务器支持。SSL支持的加密算法包括DES, RC4等；支持的密钥交 换协议包括RSA, DSS等；支持的完整性检查算法包括 SHA, MD5等。SSL支持在 客户端和服务器端动态的协商会话采用的具体算法。SSL对服务器端来讲是一种巨大的开销，因为必须要同时处理几千个客户端 的通信流量的加密解密负载。安全信道的启用会对终端用户的性能产生显著 的负面影响，因此数据中心项目建议仅在进行系统管理

51、，如用户信息的传输 使用SSL机制，在正常业务处理不采用 SSL。1.1.4 防火墙Server Farm已经在Intranet Zone中布置了两道防火墙，并实现了由状态的故障 转移技术，满足数据中心的要求。1.1.5 入侵检测由于防火墙等安全控制系统都属于静态防护安全体系，但对于一些允许通过防火墙的访问而导致的攻击行为、内部网的攻击行业，防火墙是无能为力的。因此，还必 须配备入侵检测系统，该系统可以安装在局域网络的共享网络设备上，它的功能是实时分析进出网络数据流，对网络违规事件跟踪、实时报警、阻断连接并做日志。它既 可以对付内部人员的攻击，也可以对付来自外部网络的攻击行为。目前Server

52、 Farm已经在使用入侵检测系统，部署在Internet入口和合作伙伴网入口1.1.6 漏洞扫描黑客（包括内部和外部）攻击成功的案例中，大多数都是利用网络或系统存在的安全漏洞，实现攻击的。网络安全性扫描分析系统通过实践性的方法扫描分析网络系统， 检查报告系统存在的弱点和漏洞，建议补救措施和安全策略，根据扫描结果配置或修改网络系统，达到增强网络安全性的目的。操作系统安全扫描系统是从操作系统的角度， 以管理员的身份对独立的系统主机的安全性进行评估分析，找出用户系统配置、用户配置的安全弱点，建议补救措施。为了保证数据中心系统的安全，有必要成立专门的技术安全小组，其中一项重要的工作就是使用漏洞扫描工具

53、（推荐使用ISS 的 Internet Scanner） ，定期对内部网络进行扫描，定期向管理层汇报内部网络安全状况。1.1.7 病毒防护病毒侵害小的引起死机降低工作效率影响客户满意度、大的可能引起系统瘫痪（彻底摧毁数据）。病毒的防护必须通过防病毒系统来实现，数据中心系统中业务网络操作系统一般都采用UNIX 操作系统，而办公网络都为Windows 系统。为防范病毒的入侵，应该根据具体的系统类型，配置相应的、最新的防病毒系统。从单机到网络实现全网的病毒安全防护体系，病毒无论从外部网络还是从内部网络中的某台主机进入网络系统，通过防病毒软件的实时检测功能，将会把病毒扼杀在发起处，防止病毒的扩散。目前已经在使用MaCfee 防病毒系统，并且在实际运行中起到良好的效果，在过去几次大的病毒攻击都基本没有对的业务造成影响。今后进一步的工作如下：完善防病毒安全策略，并纳入到整体的安全策略当中进一步加强最终用户的安全意识建立安全补丁自动分发机制3.3 数据存储安全对数据中心系统主要是数据库的安全，由于系统采用C/S 和 B/S 模式， 数据都集中存在 Teradata 数据库系统中，因此数据库的安全尤其重要。保护数据库最安