系统安全方面的设计

系统安全设计本章将从系统安全风险分析着手，从物理安全风险，网络安全风险、应用安全风险三个方面进行分析，并同时针对三种风险给出对应的解决方案，最后从系统故障解决和系统安全管理两方面对系统安全管理和运行提供参考意见。系统安全风险分析城建档案馆综合业务网络络系统的安全可靠运行是本次设计的重中之重，安全不单是单点的安全，而是整个系统的安全，需要从物理、网络、系统、应用与管理等方面进行具体考虑和分析，设计保障全馆系统安全运行的方案。下面各节将针对多个综合业务网络络中可能出现的风险进行具体分析，便于针对出现的网络风险进行针对性设计。物理安全风险物理安全是整个全馆系统安全的前提。安全以人为本，如果管理不善或某些不可抗力的因数的存在，城建档案馆网络的物理环境可能存在以下的风险：地震、水灾、火灾等环境事故造成整个系统消亡；设备被盗、被毁造成数据丢失或信息泄漏；电磁辐射可能造成数据信息被窃取或偷阅；网络安全风险在综合业务网络络化系统设计中，信息在局域网和广域网中传输，而在网络中进行传输的数据和信息，都存在被窃听和篡改的危险，这也是在综合业务网络络设计中需要着重考虑的一点。另外当从一种安全区域（子网）访问另一种安全保护规定不同的区域（子网）时，存在对不应访问的数据、交易与系统服务操作的危险。因此在综合业务网络络安全设计中，需要考虑对网络入侵行为的探测、报警、取证等机制，尽量减少已知网络安全危险的攻击。下文将从三个方面对网络安全风险进行具体分析。来自与广域网的安全威胁城建档案馆的办公网是与广域网连接的，在本次设计中，办公网与专业网进行了物理隔离，而两个网络间的数据传输，通过收录系统的高安全区进行数据传输，因此对于广域网的威胁近期可能重要考虑高安全区的设立。但从整体规划来看，办公网由于业务需要，此后可能需要与主干平台的核心交换机进行连接，因此来自广域网的安全如果内部网络系统设计考虑不够全方面，防护隔离方法设计不够强健，就极有可能造成通过主干交换机进入各个业务系统，从而直接危险生产系统和生产管理系统，造成节目的正常制播业务无法开展。因此对这部分我们也需要重点考虑。由于广域网的开放性、自由性，内部网络将面临更加严重的安全威胁。网络的一台机器安全受损（被攻击或者被病毒感染），就会同时影响在同一网络上的许多其它系统。内部局域网的安全威胁据统计在已有的网络安全攻击事件中，约70%是来自内部网络的侵犯。来自机构内部局域网的威胁涉及：误用和滥用核心、敏感数据和计算资源。无论是有故意破坏，还是没有访问核心系统权限的员工因误操作而进入核心系统，由此而造成的数据泄露、盗窃、损坏或删除将给应用带来很大的负面影响；如果工作人员发送、接受和查看攻击性材料，可能会形成敌意的工作环境，从而增大内部人员故意泄漏内部网络的网络构造；安全管理员故意透露其顾客名及口令；内部员工编些破坏程序在内部网上传输或者内部人员通过多个方式盗取别人涉密信息传输出去。网络设备的安全隐患网络设备的安全隐患重要涉及下面两个部分：网络设备中包含路由器、交换机等，它们的设立比较复杂，可能由于疏忽或不对的理解而使这些系统可用而安全性不佳；通讯线路故障可能是由于电信提供的远程线路的中断，也可能发生在局域网中；系统和应用风险分析所谓系统安全普通是指网络操作系统、应用系统的安全，同时在系统安全设计的时候，还需要考虑到系统数据的安全，在广电网络设计中，需要重点考虑的就是媒体数据和数据库数据的安全。操作系统的安全风险分析操作系统的安装以正常工作为目的，普通极少考虑其安全性；因此安装普通都是以缺省选项进行设立。从安全角度考虑，其体现为装了诸多用不着的功效模块，开放了诸多不必开放的端口，其中可能隐含了安全风险。现在的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统，其开发厂商必然有其Back-Door。并且系统本身必然存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。但是从实际应用上，系统的安全程度跟对其进行安全配备及系统的应用面有很大关系，操作系统如果没有采用对应的安全配备，则其是漏洞百出，掌握普通攻击技术的人都可能入侵得手。如果进行安全配备，例如，弥补安全漏洞，关闭某些不惯用的服务，严禁开放某些不惯用而又比较敏感的端口等，那么入侵者要成功进行内部网是不容易，这需要相称高的技术水平及相称长时间。因此应对的估价网络风险并根据网络风险大小做出对应的安全解决方案。应用系统的安全风险应用系统的安全涉及诸多方面。在城建档案馆全馆应用系统而言，简朴来说分为两个部分，一部分是属于应用系统的支撑系统，如BS等软件的运行平台，如主干平台的中间件等产品，如数据库、统一认证的LDAP等产品；另一部分为用于界面层的应用系统，即顾客能够直接操作使用的应用系统。这两部分由于涉及众多的应用软件，并且都直接面对客户，因此风险体现更为直接。同时由于产品多且门类复杂，对于软件本身的应用熟知程度都会造成系统能否继续稳定运行，并且软件本身的功效与漏洞造成的也将造成系统能否稳定运行。在系统设计中需要尽量减少因应用系统而造成的安全风险。资源共享的安全风险城建档案馆网络系统内部有办公网络，而办公网络应用普通是共享网络资源，例如文献共、打印机共享等。由此就可能存在着：员工故意、无意把硬盘中重要信息目录共享，长久暴露在网络邻居上，可能被外部人员容易偷取或被内部其它员工窃取并传输出去造成泄密，由于缺少了必要的访问控制方略。管理的安全管理是网络中安全得到确保的重要构成部分，是避免来自内部网络入侵必须的部分。责权不明，管理混乱、安全管理制度不健全及缺少可操作性等都可能引发管理安全的风险。因此全馆安全设计除了从技术上下功夫外，还得依靠安全管理来实现和保障。管理方面的安全隐患涉及：内部管理人员或员工图方便省事，不设立顾客口令，或者设立的口令过短和过于简朴，造成很容易破解；内部管理人员或员工责任不清，使用相似的顾客名、口令，造成权限管理混乱，信息泄密；内部管理人员或员工把内部网络构造、管理员顾客名及口令以及系统的某些重要信息传输给外人带来信息泄漏风险；机房重地却是任何人都能够进进出出，来去自由。存有恶意的入侵者便有机会得到入侵的条件；员工有的可能熟悉服务器、小程序、脚本和系统的弱点。运用网络开些小玩笑，甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。物理安全设计物理安全是保护计算机网络设备、视音频设备设施等免遭地震、水灾、火灾、电力故障等环境事故以及人为操作失误或错误而造成的破坏。确保物理安全的具体方法涉及：系统中有关核心设备布署在专业机房内，机房内铺设防静电地板，采用独立空调制冷，每天定时监测机房内温度、湿度、空气干净度等指标，确保符合设备正常运行的规定。全部机架的电源分两路独立供电，对于核心服务器的供电使用UPS不间断电源，服务器及核心存储、交换设备等均配备冗余电源，分别接在两路电源之上。设备上架之后按照布线原则连接网线、光纤线、电源线、键盘鼠标显示屏线等。全部线缆均以色环或标签进行标示，线缆插拔时不得有互相干扰。机架外线缆一律置于地板之下，室内无明线散线。对于进出机房的人员进行严格控制，严禁闲杂人等入内。对于机柜的前后门钥匙统一管理，不得随意打开机柜门进行操作。网络安全系统设计综合业务网络络的安全架构应当设计成一种分层面的立体式防护构造，在系统网络安全的设计上，重要从防毒和防黑两个方面进行系统设计，对于业务系统而言，外部重要网络威胁来自办公网的访问，内部重要威胁来自内网的病毒感染，因此系统设计上从入口处通过防火墙布署实现对入口的网络安全保护，而内网的保护则依靠防病毒软件和VLAN划分，尽量减少病毒的扩散范畴。网络安全级别分析根据各子网的职责和任务我们把整个网络系统分为4个安全级别，从安全级别最低的Internet区到级别最高的播出控制系统，这是进行综合业务网络安全设计的重要根据。级别一：Internet是不被信任的，风险最高的区域；级别二：办公网的工作既规定访问Internet，又要与内部业务系统产生联系；级别三：各子系统的终端站点需要访问数据中心和存储系统，不能访问外网，是人为介入较多的部分；级别四：播出系统是全馆的重中之重，属于最高的安全级别；另外各系统核心服务器构成的数据中心是各业务系统的核心部分，需要额外保护。不同安全区域之间的访问将受到严格的控制，安全级别较低的区域原则上是不允许访问安全级别较高的区域的，从根本上杜绝了不安全因素的产生。正常的从低到高的访问将在防火墙、VLAN划分等安全隔离布署上做精确的安全方略，确保通信的畅通。防火墙设计及布署结合城建档案馆综合业务网络系统的实际状况和需求，采用防火墙模块安放办公网与专业网连接的服务器上，且两端采用异构防火墙，充足确保安全，构成一道安全防护体系。防火墙的作用是对安全级别不同的网络间实施访问控制方略及包过滤等安全方略。为了确保个子系统间通信的安全，因此非常必要通过防火墙进行隔离，实施访问控制等安全方略，确保：在专业网与办公网彼此之间有适宜、安全的界面；控制顾客访问信息服务；监控非法入侵行为防护来自广域网的非法入侵。不安全地连接到网络服务会影响整个机构的安全，因此，只能让顾客直接访问已明确授权使用的服务和已明确授权使用的内容。这种安全控制对连接敏感或重要业务的网络，或连接到在高风险地方（例如不在城建档案馆网络安全管理及控制范畴的公用或外部地方）的顾客特别重要。防火墙布署阐明安装配备硬件防火墙，通过防火墙连接至办公网和专业网，在防火墙间建立DMZ区，保障内外网隔离和系统安全。病毒防护控制及布署对于城建档案馆这样一种大型的网络系统来说，与病毒斗争将是一项长久艰辛的工作，其重要内容可分为技术方面和非技术方面。技术方面重要指，防病毒软件的杀毒引擎敏感可靠、病毒库更新快、软件提供集中管理、防病毒方略能让客户机强制执行等特性；非技术方面是指，行政上的规章制度，如严禁顾客随意下载游戏和软件、严禁顾客随意拷贝和互传不被信任的软件、严禁顾客浏览不被信任的站点，以及确保这些规章制度得以执行的培训和监督机制。从技术角度考虑，一种优秀的公司版防病毒软件除了卓越的查毒引擎外，最少应含有下列特点：集中管理界面自动更新病毒库可对客户端进行远程安装对客户端强制执行查病毒操作等集中式病毒防护控制体系：防病毒系统工作流程由于本网络系统采用内、外网物理隔离办法，因此，我们需要定时从因特网下载病毒更新病毒更新下载完毕后，经测试，手工迁移置中心防病毒服务器上中心防病毒服务器在我局域网PC上通过网络安装PC防病毒客户端，并将集中防病毒方略和更新病毒库推到桌面PC上各子系统防病毒服务器受中心服务器控制，并定时接受更新病毒库。各级防病毒服务器将防病毒方略和更新病毒库推到对应的PC桌面系统中配备SymantecAntiVirus公司版杀毒软件，配备一种服务器端，顾客端具体数量在子网工作站点确认后，进行配备，满足城建档案馆综合业务网络建设需要。另外，现在公司版防病毒能够有两种形式。除了前面介绍的防病毒服务器，在顾客桌面安装客户端软件外，尚有一种防毒墙，类似于防火墙，防毒墙通过检查和过滤因特网出口的数据包，发现并制止带毒文献、病毒邮件、恶意Java小程序、恶意脚本及其它多个来自因特网的病毒攻击。防毒墙能够是单独的硬件设备，在主干系统的核心入口连接一种这样的产品，实现入网数据的安全。但是需要考虑到防毒墙的效能问题进行合理配备。集中式桌面防病毒软件与防毒墙两者工作各有侧重，在无公网出口的大型单位内部网上，桌面防毒更重要些；在有因特网连接的局域网中，现在网上病毒和恶意代码泛滥，网络入口防毒不可无视。我们应当视单位具体需要，将桌面防毒与网络防毒有机结合，两者互相补充，共同维护网络工作环境的稳定可靠。VLAN划分科学的VLAN划分既能够限制网络广播的数据流量，也能够将某些暴发的病毒限制在一定区域之内，减少其危害范畴。系统和应用安全媒体数据安全媒体数据重要指视音频数据，使城建档案馆综合业务网络重要的解决对象，本系统设计各个业务网络都采用主备存储体的设计方式，当系统主存储出现问题时，系统能够临时调用备份存储的数据，确保节目编辑应用不间断。数据库数据安全首先各系统数据库服务器都是双冗余配备，数据库数据采用高可用盘阵存储，数据库数据能够备份到本地也能够备份到综合业务网络系统的中心备份盘阵集中备份数据库服务器上，形成多重备份。操作系统的安全操作系统安全重要体现为两个层面：关闭操作系统可能易受攻击的系统服务或访问端口更新操作系统最新的补丁核心服务器选用异构操作系统进行防护系统应用安全城建档案馆综合业务网络需要系统间应用访问比较频繁，为确保各自系统应用的安全，单点故障不影响全局，我们在应用设计中作以下设计：办公网访问其它网络都必须采用三层架构浏览节目业务网的低码率采用只读方式为播出提供应急播出通路，确保在文献通路出现问题时节目的正常播出各系统FTP数据传输的网络端口固定、传输迈进行安全认证播出部正常状况下只与系统进行信息交互访问综合业务网络系统含有设计网络监控手段，应用系统提供日志统计信息，便于及时发现问题解决问题。对非编、编目等全部业务站点的光驱、软驱、USB进行屏蔽，只有在重装系统时打开。采用全馆统一的顾客认证系统，确保登陆和访问安全。对于应用程序本身的逻辑错误引发的问题，需要靠对程序详尽完备的测试解决，在测试环境中尽量模拟程序运行过程中的某些极限状况，涉及长时间高负荷并发工作测试，以确保在系统上线之前提前将这类问题杜绝。服务器集群技术、高可用技术和负载均衡技术用来实现对应用程序的保护，避免单点故障。在数据库服务器上能够应用集群技术提供并发计算和自动故障转移，对于转码服务器、数据迁移服务器、Web服务器、应用服务器等均通过程序本身的配备或第三方软硬件配备实现负载均衡，任何一种节点的应用中断后，其它节点能够自动接管其上的任务，确保持续性。系统安全管理制度根据城建档案馆综合业务网络安全体系要真正发挥作用，还需要制订安全制度并严格实施。普通的，安全制度涉及人员安全管理、系统文档管理、环境安全管理、设备购置使用、系统开发管理、运行安全管理、应急状况解决等内容，据此进行设计城建档案馆综合业务网络安全管理制度草案。启明星辰泰合安全系统（SOC）2.1产品介绍启明星辰推出的泰合信息安全运行中心（简称：启明星辰TSOC）是立足于公司十年信息安全积累的基础之上，基于客户需求能够灵活裁减的信息安全管理平台或解决方案。启明星辰TSOC采用成熟的浏览器/服务器/数据库架构，融合多个信息安全产品和技术管理，充足实现组织、管理、技术三个体系的合理调配，能够最大化的保障网络、系统和应用的安全性。启明星辰TSOC含有广泛的应用范畴和客户群，在电信、金融、政府、能源等行业都有成功的应用。2.2产品功效2.2.1事件管理事件管理解决事件收集、事件整合和事件可视化三方面工作。事件管理功效首先要完毕对事件的采集与解决。它通过代理（Agent）和事件采集器的布署，在所管理的骨干网络、不同的承载业务网及其有关支撑网络和系统上的不同安全信息采集点(防病毒控制台、入侵检测系统控制台、漏洞扫描管理控制台、身份认证服务器和防火墙等)获取事件日志信息，并通过安全通讯方式上传到安全运行中心中的安全管理服务器进行解决。在事件收集的过程中，事件管理功效还将完毕事件的整合工作，涉及聚并、过滤、范式化，从而实现了全网的安全事件的高效集中解决。事件管理功效本身支持大多数被管理设备的日志采集，对于某些尚未支持的设备，可通过通用代理技术（UA）支持，确保事件的广泛采集。在事件统一采集与整合的基础上，安全运行中心提供多个形式的事件分析与展示，将事件可视化，涉及实时事件列表、统计图表、事件仪表盘等。另外，还能够基于多个条件进行事件的关联分析、查询、备份、维护，并生成报表。2.2.2综合分析风险、预警和评定综合分析是综合安全运行管理平台的核心模块，其接受来自安全事件监控中心的事件，根据资产管理和脆弱性管理中心的脆弱性评定成果进行综合的事件协同关联分析，并基于资产（CIA属性）进行综合风险评定分析，形成统一的5级风险级别，并按照风险优先级针对各个业务区域和具体事件产生预警，参考网络安全运行知识管理平台的信息，并根据安全方略管理平台的方略驱动响应管理中心进行响应解决。将预警传递到指定的安全管理人员，使安全管理人员掌握网络的最新安全风险动态，并为调节安全方略适应网络安全的动态变化提供根据。通过风险管理能够掌握组织的整体以及局部的风险状况，根据不同级别的风险状况，各级安全管理机构及时采用减少的风险的防备方法，从而将风险减少到组织能够接受的范畴内。预警模块中心从资产管理模块得到资产的基本信息，从脆弱性管理模块获取资产的脆弱性信息，从安全事件监控模块获取发生的安全事件。得到上述这些原始信息后，本模块进行综合安全风险分析。综合安全风险分析是分析整个公司面临的威胁和确保这些威胁所带来的挑战处在能够接受的范畴内的持续流程。应能够根据各监控点的资产信息、脆弱性统计信息以及威胁分布信息，为每一种资产定量地计算出对应的风险等级，同时根据业务逻辑，分析此风险对其它系统的影响，计算出业务系统或区域的整体安全风险等级2.2.3脆弱性管理通过脆弱性管理能够掌握全网各个系统中存在的安全漏洞状况，结合现在安全的安全动态和预警信息，有助于各级安全管理机构及时调节安全方略，开展有针对性的安全工作，并且能够借助弱点评定中心的技术手段和安全考核机制能够有效督促各级安全管理机构将安全工作贯彻。2.2.4对应管理仅仅及时检测到安全事件是不够的，必须做出即时的、对的的响应才干确保网络的安全。响应管理作为TSOC的重要构成部分之一为响应服务实现工具化、程序化、规范化提供了管理平台。响应管理是根据现在的网络安全状态，及时调动有关资源做出响应，减少风险对网络的负面影响。网络安全响应模块负责根据预定义好的安全方略规则，及时通过工单公布工作指令，调动有关资源做出响应。应在安全管理平台上实现人机接口。全部的工单经人工审核后，通过人工派单方式发送到对应的工单解决部门。通过调用本程序，接受网络与安全事件监控模块、脆弱性管理模块、综合分析与预警模块等模块的预警信息。实现与网络与安全事件监控模块、脆弱性管理模块、综合分析与预警模块等模块的接口，接受这些模块产生的预警信息，启动预警解决流程解决预。2.2.5方略管理网络安全的整体性规定需要有统一安全方略和基于工作流程的管理。通过为全网安全管理人员提供统一的安全方略，指导各级安全管理机构因地制宜的做好安全方略的布署工作，有助于在全网形成安全防备的合力，提高全网的整体安全防御能力，同时通过TSOC方略和配备管理平台的建设能够进一步完善整个IP网络的安全方略体系建设，为指导各项安全工作的开展提供行动指南，有效解决现在因缺少口令、认证、访问控制等方面方略而带来到安全风险问题。2.2.6顾客管理提供顾客集中管理的功效，对顾客能够访问的资源权限进行细致的划分，含有安全可靠的分级及分类顾客管理功效，规定支