信息系统(软件)安全设计x

1、软件信息系统安全设计内容摘要物理安全设计2、网络安全设计3、主机安全设计4、应用安全设计5、数据安全设计一、 物理安全设计设计规范GB50174-20R电子信息系统机房设计规范GB/T2887-20RR电子计算机场地通用规范GB6650-86计算机机房活动地板技术条件GB5001 20RR建筑设计防火规范GB50343-20R建筑物电子信息系统防雷技术规范GB50054-95低压配电设计规范GB50057-20R建筑物防雷设计规范用户终端耐过电压和过电流能力GB50169-20R电气装置安装工程接地施工及验收规范GB50210-20R建筑装饰工程施工及验收规范GB50052-95供配电系统设计

2、规范；GB50034-20R建筑照明设计标准 ；GB50169-20R电气装置安装工程接地装置施工及验收规范；2.物理位置的选择a） 机房选择在具有防 6 级地震、防 8 级风和防橙色大雨等能力的建筑内；b） 机房场地选择在 2-4 层建筑内，以及避开用水设备的下层或隔壁。c） 水管安装，不得穿过机房屋顶和活动地板下；d） 防止雨水通过机房窗户、屋顶和墙壁渗透；3.物理访问控制a） 机房出入口安排专人值守配置门卡式电子门禁系统，控制、鉴别和记录进入的人员，做到人手一卡，不混用，不借用；b） 进入机房的来访人员需要经过申请和审批流程，并限制和监控其活动范围，来访人员在机房内需要有持卡人全程陪同；

3、c） 进入机房之前需带鞋套等，防尘，防静电措施；d） 机房采用防火门为不锈钢材质，提拉式向外开启；4?照明系统a） 照度选择机房按电子计算机机房设计规范要求，照度为400LR 电源室及其它辅助功能间照度不小于300LR机房疏散指示灯、安全出口标志灯照度大于 1LR应急备用照明照度不小于30LRb） 照明系统机房照明采用 2 种：普通照明、断电应急照明。普通照明采用3R36W嵌入式格栅灯盘（ 600R1200，功率 108V；应急照明主要作用是停电后，可以让室内人员看清道路及时疏散、借以维修电气设备，应急照明灯功率 9W个。灯具正常照明电源由市电供给，由照明配电箱中的断路器、房间区域安装于墙面上

4、的跷板开关控制。0.5h防盗窃和防破坏c） 主要设备放置在主机房内；d） 设备或主要部件进行固定在地板上，并在机器的左上角标贴资产编号；e） 通信线缆铺设在地下；f ） 设置机房电子防盗报警系统；g） 机房设置全景监控报警系统，做到无死角监控。防雷击及电磁a） 电源线和通信线缆隔离铺设，避免互相干扰；b） 机房接地防雷及电磁机房采用 4R40mm紫铜排沿墙设一周闭合带的均压环，成“田”字状。整个机房铺设网格地线（等电位接地母排），网格网眼尺寸与防静电地板尺寸一致，交叉点使用线卡接在一起（必须牢靠）。抗静电地板按放射状多点连接，通过多股铜芯线接于铜排上。将各电子设备外壳接地端 通过 4mm纯铜多

5、股导线与铜排连接。从样板带综合接地网采用 95mm多股铜芯接地线，加套金属屏蔽管，固定 在外墙，连接在 300R80R6mn铜排制作的接地端子上，将均压环铜排用 60mm与样板带综合接地网相连。c） 线路防雷防雷系统设计为四级防雷：大楼配电室为第一级防雷 （此级防雷在建 设时大楼机电方完成 ），ATS配电柜进线端为第二级防浪涌保护， 一层 UPS输出柜进线端为第三级防浪涌保护，二层机房设备前端设计第四级防浪涌保护。这种防雷系统设计，可有效保护设备免遭雷电电磁感应高电压 的破坏，防止因线路过长而感应出过电压和因线路过长而感应出过电压， 对保证机房网络设备及后端计算机信息系统设备的稳定、安全运行有

6、重要作用。防火机房设置火灾自动消防系统， 可以自动检测火情、 自动报警，并自 动灭火；机房灭火系统使用气体灭火剂；对于其它无重要电子设备的区 域，可以使用灭火系统。灭火剂为 FM20气体，无色、无味、不导电、无 二次污染，并且对臭氧层的耗损值为零，符合环保要求，该灭火剂灭火 效能高、对设备无污染、电绝缘性好、灭火迅速。防护区内的气体灭火 喷头要求分两层布置，即在工作间内、吊顶各布置一层喷头，当对某一 防护区实施灭火时，该防护区内两层喷头同时喷射灭火剂。所有气体灭 火保护区域围护结构承受内压的允许压强，不低于1.2Kpa; 防护区围护结构及门窗的耐火极限均不低于防静电机房采用防静电地板；机房铺设

7、活动地板主要有两个作用：首先，在活动地板下形成隐蔽空间，可以在地板下铺设电源线管、线槽、综合布线、消防管线等以及一些电气设施（插座、插座箱等）；其次，活动地板的抗静电功能也为 计算机及网络设备的安全运行提供了保证。机房采用抗静电全钢活动地板（整体静电电阻率大于 109 欧姆），地 板规格 600R600R35mm强度高，耐冲击力强， 集中载荷 34KG耐磨性 优于 1000 转。防静电地板铺设高度为 0.3 米，安装过程中，地板与墙面交 界处，活动地板需精确切割下料。切割边需封胶处理后安装。地板安装 后，地板与墙体交界处用不锈钢踢脚板封边。 活动地板必须牢固，稳定， 紧密。不能有响动、摇摆和噪

8、音。防静电地板主要由两部分组成。A）抗静电活动地板板面；B）地板支承系统，主要为横梁支角（支角分成上、下托，螺杆可以调节，以调整地板面水平）。易于更换，用吸板器可以取下任何一块地板，方便地板下面的管线及设备的维护保养及修理。9.温湿度控制空调功能：主机房内要维持正压，与室外压差大于 9.8 帕，送风速度 不小于 3 米/ 秒，空气含尘浓度在静态条件下测试为每升空气中大于或等 于 0.5 微米的尘粒数小于 10000 粒，并且具有新风调节系统。机房的空调 设备采用机房专用精密空调机组（风冷、下送风），确保 7R24、时机房的环境温湿度在规定的范围内；新风调节系统按照机房大小满足机房的 空气调节需

9、要。为保证空调的可靠运行，要采用市电和发电机双回路的供电方式。数据中夏季温度夏季湿度23 吃 C 冬季温度55 0%冬季湿度20吃C55 0%10. 电力供应设计为 市电 +柴油发电机 +UPS的高可靠性的供电方式。此设计既可保证给设备提供纯净的电源，减少对电网的污染，延长设备的使用寿命，又可保证在市电停电后的正常工作，从而更充分地保障服务器的正常运行。UP不间断电源。包括UPSt机和免维护电池两组，此设备是设计先进、技术成熟的国际知名品牌EMERSON品。 UP笑用纯在线、双变换式，内置输出隔离变压器。电池选用国际知名品牌非凡牌，为铅酸免维护型，使用寿命长达 10 年以上。柴油发电机。本项目

10、选用的柴油发电机机组额定功率为250KW主要用于保证所有UPSft 荷，包括机房的计算机设备、数据设备、应急照明及部分 P（机等。以备市电中断时使用。网络安全设计结构安全为保证网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；网络各个部分的带宽满足业务高峰期需要；设计采用三线百兆光纤双路由接入分别为联通、电信、铁通。接入后按实际当前运行情况绘制相符的网络拓扑结构图；通过 vian 或协议隔离将重要网段与其他网段之 间隔离；重要网段在网络边界处添加防火墙设备，按照对业务服务的重 要次序来指定带宽分配优先级别做出网络均衡，保证在网络发生拥堵的 时候优先保护重要主机。采用安全套接层协议 SSL

11、 SSI 协议位于传输层和应用层之间，由 SSL 记录协议、 SSLS 手协议和 SSL警报协议组成的。SSLB 手协议用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时，双方通过握手协议在版本号、 密钥交换算法、数据加密算法和 Hash 算法上达成一致，然后互相验证对 方身份，最后使用协商好的密钥交换算法产生一个只有双方知道的秘密 信息，客户和服务器各自根据此秘密信息产生数据加密算法和 Hash算法参数。SSL记录协议根据 SSLS 手协议协商的参数，对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC然后经网络传输层发送给对方。SSL警报协议用来在客户和服务

12、器之间传递SSL 出错信息。网络设备与访问控制在网络边界部署访问控制设备，采用分级管理，启用访问控制功能；对登录网络设备的用户进行身份鉴别；必要对网络设备的管理员登录地 址进行限制；对口令设置必须在 8 位以上且为字母和数字组合，每月定期 更换口令；登录失败采取结束会话方式，限制非法登录次数为 6 次，当网 络登录连接超时自动退出等；必要时采取加密措施防止鉴别信息在网络传输过程中被窃听；安全审计对网络系统采用网络安全审计系统，对网络设备运行状况、网络流量、用户行为等进行日志记录；记录包括：事件的日期和时间、用户、 事件类型、事件是否成功等审计相关的信息； 可以根据记录数据进行分 析，并生成审计

13、报表；系统对审计记录进行保护，避免受到未预期的删除、修改或覆盖等；4.入侵防范网络边界处采用入侵检测和防火墙产品监视攻击行为，包括端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等；当检测到攻击行为时，记录攻击源IP 、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时产生报警。入侵检测能力是衡量一个防御体系是否完整有效的重要因素，强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。对来自外部网和内部的各种行为进行实时检测，及时发现各种可能的攻击企图，并采取相应的措施。将入侵检测引擎接入中心交换机上。入侵检测系统集 入侵检测、网络管理和网络监视功

14、能于一身，能实时捕获内外网之间传 输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方 法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事 件，作为网络管理员事后分析的依据；如果情况严重，系统可以发出实 时报警。漏洞扫描系统采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全 性分析报告，为提高网络安全整体水平产生重要依据。三、主机安全设计身份鉴别采用网络安全审计系统，对登录操作系统和数据库系统的用户进行 身份标识和鉴别；操作系统和数据库口令设置必须在 8 位以上且为字母和 数字组合，每月定期更换口令；登录失

15、败采取结束会话方式，限制非法 登录次数为 6 次，当网络登录连接超时自动退出等；必要时采取加密措施 防止鉴别信息在网络传输过程中被窃听；当对服务器进行远程管理时， 使用 vpn 或加密机技术接入防止鉴别信息在网络传输过程中被窃听；设置 操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有 唯一性；访问控制根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；严格限制默认帐户的访问权限，重命名系统 默认帐户，修改这些帐户的默认口令； 及时删除多余的、过期的帐户， 避免共享帐户的存在，安全策略设置登录终端的操作超时锁定；设定终 端接入方式、网络地址范围等条件限

16、制终端登录。安全审计采用网络安全审计系统，审计范围覆盖到服务器的每个操作系统用户和数据库用户；审计内容包括用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；对服务器进行监视，包 括监视服务器的 CPU 硬盘、内存、网络等资源的使用情况；审计记录包 括日期和时间、类型、主体标识、客体标识、事件的结果等；根据记录 数据进行分析，并生成审计报表；审计进程服务器独立，权限级别高，不会受到未预期的中断；审计记录权限仅由审计管理员操作，不会受到 未预期的删除、修改或覆盖等；入侵防范和防病毒采用防病毒、入侵检测和防火墙产品监视攻击行为，检测对重要服 务器进行入侵的行为，记录入侵的源

17、 IP 、攻击的类型、攻击的目的、攻 击的时间，并在发生严重入侵事件时产生报警；每周必须更新病毒库， 及时更新防病毒软件版本，主机病毒库产品具有与网络病毒库产品不同 的病毒库，支持病毒库的统一管理；操作系统遵循最小安装的原则，仅 安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补 丁及时得到更新。四、应用安全设计身份鉴别和访问控制采用专用的登录控制模块及UBSKe对登录用户进行身份标识和鉴别；具有用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；登录失败采取结束 会话方式，限制非法登录次数为 6 次，当网络登录连接超时自动退出等

18、； 具有自主访问控制功能，依据安全策略控制用户对文件、数据库表等客 体的访问；由主机配置访问控制策略，并禁止默认帐户的访问。2.应用安全措施后台管理系统安全设计所有后台管理系统使用程序强制要求用户密码满足相应的用户密码策略。密码超过 40 天没有修改就自动冻结帐户，登陆时强制用户修改密码，不能和上次密码一样。密码连续三次输入错误就冻结帐户十分钟，同时记录登陆IP 。复杂度并用户登陆成功时提示上次登陆IP 和登陆时间，如果上次登陆IP 和本 次登陆 IP 不同则提示用户。有密码输入错误记录，用户登陆成功后提示用户上次密码输入错误时间和连续输入错误次数及尝试用错误密码登陆的IP 。程序失败了保证程

19、序正常终止，在出错提示中不包含任何系统信息，配置信息等错误信息。全部给出“服务器忙请稍候再试”的统一错误信息。登陆错误提示信息全部一样，不显示“不存在该用户”或“密码不对”这样的提示，防止利用错误提示获取用户名列表。统一给出“用户 名或密码错误”的错误提示。设计统一的 Apache或者 IIS 的错误页面，来替换现在的 401403404500 等Apache或 IIS 自带的错误页面， 让所有的错误返回的信息都完全一样， 提交页面返回的错误信息可以给入侵者提供丰富的信息，例如探测后台 管理目录时，如果返回的是 403 错误，就说明该目录存在。安全审计采用网络安全审计系统，覆盖到每个用户的安全

20、审计功能，对应用系统重要安全事件进行审计；用户无法单独中断审计进程，无法删除、修改或覆盖审计记录；审计记录的内容包括事件的日期、时间、发起者信息、类型、描述和结果等；审计记录数据具有统计、查询、分析及生成审计报表的功能；通信完整性和保密性采用密码机或者VPNS证通信过程中数据的完整性。在通信双方建立连接之前，应用系统利用密码机技术进行会话初始化验证；对通信过程中的整个报文或会话过程进行加密。也可以使用javascript加密编码：用户请求登陆页面 , 返回的登陆页面中调用一个javascript文件 timestamp.js，该 javascript里面包含服务器上的时间戳，每五分钟自动发布一

21、次timestamp.js，也就是每五分钟更新一次js 文件中的时间戳。用户在登陆页面中手工输入用户名和密码，单击“登陆”的时候，利用 javascript 将网页用户输入的 Password 结合时间戳 timestamp 进行 hash 运算。设 hash 运 算 后 密 码 为 passwd1passwd仁 calcSHA1(timestamp+password)然后连同加密的密码 和明文时间戳与明文用户名一起提交给 login 程序 Login 程序接到用户输入后，首先比较当前时间和用户提交的时间戳timestamp 是否超过一小时，如果超过一小时就返回“登陆超时，请重新 登陆”的错误

22、信息。使用用户登陆策略判断登陆请求是否合法。然后通 过用户输入的用户名找到数据库中的密码，使用用户提交时间戳 timestamp 和数据库中的密码进行运算，运算出的密码设为 passwd2。Passwd2=calcSHA1(timestamp+passwordDB)判断用户提交的Passwd1和运算出来的 Passwd2是否相等，如果相等，就认为登陆成功抗抵赖在请求的情况下保留USBKe数据原发者原发证据信息；在请求的情况下保留 USBKe数据接收者接收证据信息。 USBKe内存有加密证书和签 名证书，对应于加密密钥对和签名密钥对。加密密钥对在密钥管理中心产生，由密钥管理中心负责密钥的生成、存

23、储、备份、恢复等密钥管理工作，签名密钥对在 USBKe硬件设备内产生，私钥不会读出硬件，私钥通常是以加密文件的方式存在，文件加密的标准采用 PKCS等规范， CA 中心不会有用户的私钥，因此能够实现抗抵赖性资源控制当系统中的通信双方中的一方在5 分钟未作任何响应，另一方自动结束会话；对系统的最大并发会话连接数进行限制，可以手工参数配置； 禁止单个帐户的多重并发会话。五、数据安全设计数据完整性和保密性采用数据传输加密技术，对传输中的数据流加密，以防止通信线路上的窃听、泄漏、篡改和破坏。数据传输的完整性通过数字签名的方式来实现，数据的发送方在发送数据的同时利用单向的不可逆加密算法 Hash 函数或

24、者其它信息文摘算法计算出所传输数据的消息文摘，并把该 消息文摘作为数字签名随数据一同发送。接收方在收到数据的同时也收 至 V 该数据的数字签名，接收方使用相同的算法计算出接收到的数据的数 字签名，并把该数字签名和接收到的数字签名进行比较，若二者相同， 则说明数据在传输过程中未被修改，数据完整性得到了保证。在数据交换的过程中，严格的加密机制以及用户身份验证机制保证 数据交换的安全。包括：系统层面上的安全：采用 USBKe操作系统保证系统对于用户口令、 权限的验证。网络层面上的安全：对主机进行 IP 地址的访问列表限制，细化到每 个协议的资料包程度。数字证书层面的安全：采用 CA 认证，保证与资料

25、中心进行资料交换 的主机身份都是经过认证的。交换层面上的安全：采用加密以及用户身份认证机制。核心数据加密保证数据即使被窃取之后，也无法了解数据的内容。采用对数据的保密和安全要求极为严格，因此除了在数据通过网络传输过程的保密和安全采取有效措施外，还要对数据库中的静态数据（如账 号、密码、签名信息和财务数据等）和系统配置信息等核心数据进行加 密，在显示时通过用户程序进行解密。这样，防止有人直接读取数据库 表数据，获知核心数据的内容，功能甚至可以防止站点管理员、数据库 管理员对数据的窥视。备份和恢复采取两地三中心的方式，建立异地灾难备份中心，配备灾难恢复所需的通信线路、网络设备和数据处理设备，实现业

26、务应用的实时无缝切换；本地第二中心实具有时备份功能，利用通信网络将数据实时备份至灾难备份中心；数据本地备份与恢复功能，增量数据每日备份，增量备 份保存两个版本，每个备份保存两个全备周期；完全数据备份每周一次， 备份介质场外存放，数据库的完整备份保存 2 个版本，每个备份保存两个 备份周，备份网络采用冗余技术设计网络拓扑结构，避免存在网络单点 故障；加强主要网络设备、通信线路和数据处理系统的硬件冗余，保证 系统的高可用性。零停机备份与恢复方案，通过采用全面的数据镜像- 分割备份，操作允许将生产环境与备份和恢复环境分开，从而为最关键的业务应用提供了停机时间为零且不影响操作的数据保护。零停机时间备份与恢复方案为关键业务应用和数据库提