用友NC系统安全管理

《用友NC系统安全管理》由会员分享，可在线阅读，更多相关《用友NC系统安全管理（45页珍藏版）》请在装配图网上搜索。

1、Yonyou Software CorporationNC系统安全管理NC系统管理概述11.1 企业信息安全的重要性 NC系统安全管理对策21.2 企业信息安全概念及标准Yonyou Software Corporation1.1 企业信息安全的重要性上半年国内企业信息安全事故的频发，企业网站、电子商务网站及政府信息网络均曾遭到不同程度的攻击，部分知名网站甚至出现大规模的数据泄露发生在我们身边的信息安全事件超过1000家企业在此次恐怖主义袭击中遭受致命打击Yonyou Software Corporation企业信息面临着多少威胁？水灾 火 灾 地 震 掉 电 硬 件 故 障 病 毒 木 马

2、入侵 操作失误 恶 意 篡 改 系 统 漏 洞 泄 密 旁 路 控 制 抵赖 业务欺骗 I P 欺 骗 D d o s 攻击 数 据 窃 听 软 件 漏 洞 管 理 疏 忽 1.1 企业信息安全的重要性Yonyou Software Corporation和信息安全相关的统计数字？-基于全球2600多家企业的调查p 68%的企业在信息安全方面投入明显不足p 19%的公司每年经历15次以上的数据丢失或被盗事件，80小时以上因IT故障带来的业务中断，15种以上不符合IT审计要求的缺陷p 其因数据丢失和被盗所损失的成本相当于全年收入的9.6%，因业务中断所损失的成本几乎相当于全年收入的3%p 其数据

3、丢失或被窃及业务中断所带来的总成本竟高达3.29亿美元p 合理调整用于降低风险、损失和审计费用的支出所带来的经济回报与公司能够承担的损失相比要高出1000-500,000%1.1 企业信息安全的重要性Yonyou Software Corporation互联网资源与服务滥用地下产业链-黑帽技术、工具与培训地下产业链1.1 企业信息安全的重要性NC系统管理概述11.1 企业信息安全的重要性 NC系统安全管理对策21.2 企业信息安全概念及标准Yonyou Software Corporation信息安全的政策性文件中办200327号文件：国家信息化领导小组关于加强信息安全保障工作的意见；公通字2

4、00466号文件：关于信息安全等级保护工作的实施意见；国保200516号文件：关于印发涉及国家秘密的信息系统等级保护管理办法；颁布涉及国家秘密的信息系统等级保护技术要求国家保密标准的通知；2005年9月国信办：电子政务等级保护实施指南；公通字20067号文件：信息安全等级保护管理办法试行；公信安2007861号文件:关于开展全国重要信息系统安全等级保护定级工作的通知；1.2 企业信息安全标准及概念Yonyou Software Corporation信息安全的国家标准GB/T 22240-2008信息系统安全等级保护定级指南 GB/T 22239-2008信息系统安全等级保护基本要求GB/T

5、18018-2007路由器安全技术要求GB/T 21028-2007服务器安全技术要求GB/T 21052-2007信息系统物理安全技术要求GB/T 21053-2007PKI系统安全等级保护技术要求GB/T 21084-2007信息安全风险评估规范 GB/Z 21085-2007信息安全事件管理指南 GB/Z 21086-2007信息安全事件分类分级指南 GB/T 21088-2007信息系统灾难恢复规范 GB/T 20269-2006 信息系统安全管理要求 GB/T 20270-2006 网络基础安全技术要求 GB/T 20271-2006 信息系统安全通用技术要求GB/T 20272-2

6、006操作系统安全技术要求 GB/T 20272-2006数据库管理系统安全技术要求 GB/T 20282-2006 信息系统安全工程管理要求.1.2 企业信息安全标准及概念Yonyou Software Corporation信息安全相关的重要概念：需要保护的对象p 实体安全：保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程p 运行安全：保障系统功能的安全实现，提供的一套安全措施来保护信息处理过程的安全p 信息资产安全：防止信息资产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制p 人员安全：信息系统使用人员的安全意识

7、、法律意识、安全技能1.2 企业信息安全标准及概念Yonyou Software Corporation信息安全相关的重要概念：信息安全特性p 完整性（Integrity）：信息在存储、传输和提取的过程中保持不被修改延迟、不乱序和不丢失的特性p 可用性(Availability)：保障授权使用人在需要时可以获取信息和使用相关的资产p 保密性(Confidentiality)：保障信息仅仅为那些被授权使用的人获取p 可控性(Controllability)：可以控制授权范围内的信息流向以及行为方式，对信息的传播及内容具有控制能力1.2 企业信息安全标准及概念Yonyou Software Cor

8、poration信息安全相关的重要概念：安全保护能力等级安全等级一二三四抵御个人恶意攻击，一般自然灾害抵御小型恶意攻击，一般自然灾害抵御团体恶意攻击，严重自然灾害抵御组织恶意攻击，严重自然灾害恢复部分功能限时恢复部分功能迅速恢复绝大部分功能迅速恢复所有功能发现重要安全漏洞和安全事件1.2 企业信息安全标准及概念Yonyou Software Corporation常见的技术手段防护层面防护手段物理安全机房建设（防火，防雷，防水），多路电力供应，温度控制网络安全防火墙，VPN，网络监控软件，SSL主机安全防病毒/个人防火墙软件,安全扫描软件应用安全CA认证，动态口令卡，加密数据安全数据备份，灾备

9、中心1.2 企业信息安全标准及概念Yonyou Software Corporation信息安全问题不是从技术上就能完全杜绝的技术手段可以解决所有的安全问题吗？1.2 企业信息安全标准及概念NC系统管理概述12.1 NC系统结构及安全体系 NC系统安全管理对策22.2 NC系统安全加固2.3 NC系统安全加固实践Yonyou Software Corporation2.1 NC系统结构及安全体系EJB ServerDBMSDBMS局域网局域网(Intranet)互联网互联网(Internet)Web TierBusiness Logic TierClient TierRMI/IIOPJava应

10、用应用HTTP/HTTPSBrowser局域网局域网(Intranet)RMI/IIOPServelt&JSP EngineServelt&JSP EngineHttp ServerHttp Server(DES+Press)(DES+Press)JDBCHTTP(Press)(Press)内部网防火墙内部网防火墙内部网防火墙内部网防火墙Yonyou Software CorporationNC的安全体系软件软件磁盘阵列 服务群集 灾备策略数据备份 代码备份 商业中间件密码策略 CA认证 通信加密 专线网络 访问隔离日志管理 系统监控 授权管理 环境安全硬件故障灾难代码破坏数据丢失源码泄露非法

11、登录网络窃听网络欺骗恶意操作越权处理硬件硬件应用应用人员人员2.1 NC系统结构及安全体系Yonyou Software Corporation硬件安全p NC系统要求定期的巡检，保障系统软硬件正常高效使用p 数据服务器最少使用RAID5，RAID0或者更好的磁盘阵列保证在磁盘发生故障时系统正常工作p 可使用应用及数据库的集群技术p 制定严格的机器管理制度和监控措施：机房的门禁、机柜的开关，操作录像、电源保护、线路防护、设备的开关机等都将在考虑范围内p 提供设备良好的运行环境：防火防尘，通风降温等措施能保障服务器设备的长期稳定运行，降低事故风险2.1 NC系统结构及安全体系Yonyou Sof

12、tware Corporation软件安全p 定期对业务数据及软件代码进行备份p 基于J2EE的安全软件模型p 使用了商业的中间件，可利用其成熟的安全机能p 定期保存操作系统，网络设备，NC系统的操作访问日志以备安全审计2.1 NC系统结构及安全体系Yonyou Software Corporation备份策略最好使用专业的备份软件和磁带机来实现。备份周期应该在每天中午和晚上增量（或差异）备份一次，每天换一个盘。每周全备份一次，每周换一次盘。保有10周备份盘（共10盘），而这10个盘还处理每天的差异（或增量）备份2.1 NC系统结构及安全体系Yonyou Software Corporatio

13、nNC日志 NCHOME/nclogs2.1 NC系统结构及安全体系Yonyou Software Corporation应用安全p 多种登录，身份认证机制（静态密码，动态密码，CA认证）p 网络传输安全，多层次的传输加密机制p 可使用合理的网络隔离措施（WEB服务外置，VPN）p 定期保存操作系统，网络设备，NC系统的操作访问日志以备安全审计2.1 NC系统结构及安全体系Yonyou Software Corporation登录，身份认证机制静态密码的加强策略：以root身份登陆系统管理，进入密码策略功能节点进行设置动态口令：集成的第三方动态口令系统中，采用了基于时间、事件和密钥三变量而产生

14、的一次性口令来代替传统的静态口令USB智能卡：集成第三方基于PKI体系的USB智能卡系统，这种类型的系统利用标准的加密算法技术，实现了网络安全方案中数字签名、身份认证和密钥安全管理以及分发传递等功能。2.1 NC系统结构及安全体系Yonyou Software CorporationNC登录界面的信息屏蔽定制登录界面，隐藏公司信息2.1 NC系统结构及安全体系Yonyou Software Corporation网络传输安全启用SSL首先生成一个keystore配置中间件配置NC2.1 NC系统结构及安全体系Yonyou Software Corporation合理的网络隔离措施采用外置WEB

15、服务器的网络拓扑结构2.1 NC系统结构及安全体系Yonyou Software CorporationNC系统的结构和安全体系NC系统的软硬件安全要求NC软件在安全方面的技术合理的网络结构 小结NC是什么结构的软件，有什么特点？有哪些安全方面的技术？有哪些安全要求？2.1 NC系统结构及安全体系NC系统管理概述12.2 NC系统结构及安全体系 NC系统安全管理对策22.3 NC系统安全加固2.3 NC系统安全加固实践Yonyou Software Corporation操作系统安全加固p 使用C2级的操作系统（Linux，windows2003）p 加强操作系统管理员的密码管理（强密码，定期

16、更换）p 关闭不需要的服务和端口p 定期备份操作系统日志p 使用安全扫描软件进行扫描2.2 NC系统安全加固Yonyou Software CorporationLiunx操作系统安全加固概要p 了解有哪些用户，锁定不需要的用户#cat/etc/passwd#cat/etc/shadowp 了解系统正在运行的内容#less/etc/services（列出所有服务运行的端口）#ps-auxf daemons.txt（把所有后台打印列表）#cd/var/run/|ls-al（查看启动服务的进程号文件）p 禁止root用户远程登录，禁止多个超级用户#vi/etc/ssh/sshd_config 更改

17、为PermitRootLogin nop 限定信任主机#vi/etc/ssh/sshd_config，添加以下语句AllowUsers *10.138.*.*p 设置帐户锁定登录失败锁定次数、锁定时间#vi/etc/pam.d/system-authauth required pam_tally.so onerr=fail deny=6 unlock_time=300 p 设置Bash保留历史命令的条数#vi/etc/profile修改HISTSIZE=5和HISTFILESIZE=52.2 NC系统安全加固Yonyou Software CorporationWindows操作系统安全加固p

18、 禁用guest账号，禁用无用账号p 将administrator账号改名，并且设置强密码p 隐藏控制台上次登录用户名HKLMSOFTWAREMircorsoftWindowsNTCurrentVersionwinlogon 将DontDisplayLastUserName项键值改为1p 禁用IIS等无用服务p 删除各类共享文件夹关闭NetBIOS关闭文件和打印共享服务删除系统默认共享2.2 NC系统安全加固Yonyou Software CorporationWAS中间件的安全增强p 在不使用控制台或者是不做代码部署时，关闭Dmgr服务（WAS控制台）WASHOME/WebSphere/Ap

19、pServer/profiles/Dmgr01/bin/stopManager.bat(.sh)2.2 NC系统安全加固Yonyou Software CorporationWAS中间件的安全增强打开WAS中间件的安全管理2.2 NC系统安全加固Yonyou Software Corporation应用加固p 不使用常用的80端口访问p 设定合适的用户自动下线时长p 重新设定超级管理员，不使用root这样的默认值2.2 NC系统安全加固NC系统管理概述12.1 NC系统结构及安全体系 NC系统安全管理对策22.2 NC系统安全加固2.3 NC系统安全加固实践Yonyou Software Co

20、rporation2.3 NC系统安全加固实践问题危害对策密码管理使用默认值/初始值所有用户默认值相同，用户名泄露意味着账户不再安全操作系统的管理员密码为强密码（至少8个字符，不包含全部或部分帐户名，至少包含大小写字母、数字、符号这四种字符中的三种）操作系统的密码定期更换关键系统密码专人负责简单容易被猜到，容易被破解全一样知道一个，全盘皆失不改变一旦丢失，随时出事随意告诉他人可能被别人恶意使用管理混乱很多人知道密码，出了问题无人承担Yonyou Software Corporation问题危害对策计算机使用习惯人员离开时，计算机不锁定/注销/关机容易被他人冒用个人电脑安装有效的防病毒防木马软件

21、，不轻信邮件、即时通讯工具里的信息特别是不点击打开链接及发送的文件，离开计算机时，采用锁定/注销/关机等方法防止他人趁机使用不装任何防病毒软件容易中病毒，木马等恶意软件对所有的提示信息，一律“YES”无意间允许恶意软件工作或者降低系统安全防护对于邮件，QQ，MSN上的消息链接随手点击容易进入恶意网站，运行恶意脚本，丢失个人信息2.3 NC系统安全加固实践Yonyou Software Corporation问题危害对策服务器生产环境服务器随地摆放灰尘，散热不良都会增加主机损坏的可能性制定严格的制度和监控:机房的门禁、机柜的开关，操作录像、电源保护、线路防护、设备的开关机等都在考虑范围内。提供设

22、备的安装环境:防火防尘，通风降温等措施能保障服务器设备的长期稳定运行，降低事故风险。长时间无人看管容易导致磁盘空间用尽，服务停止机房管理松散，人员随意出入恶意操作2.3 NC系统安全加固实践Yonyou Software Corporation问题危害对策业务处理权限设置不合理个别用户权限过大，可对业务系统的方方面面进行修改，容易出问题严格控制和监督才能保障系统一定程度上的安全定义关键业务的流程及操作规范定义技术人员对硬件网络的操作的策略和流程关键岗位缺乏监管个人失责导致重大事故关键设备缺乏监管如银行前置机，网银适配器等关键设备随意使用会导致恶意的付款行为关键流程缺乏监管如审批流程，系统补丁更

23、替，付款流程太随意会导致安全事故和经济损失2.3 NC系统安全加固实践Yonyou Software Corporation安全意识的缺失和制度上的漏洞带来哪些问题使用资金系统时需要特别注意 web服务和中间件分开部署 不使用windows服务器 所有登录人员必须使用CA认证 关键流程采用数字证书签名，验签 网银前置机只能由合法的网银适配器使用 网银适配器只能由NC系统使用 银行证书需要双人保管 数字证书，银行前置机的使用需要有相应的管理和审查制度 无对私业务银行帐户不开启对私支付 开启对私业务银行帐户设置支付范围2.3 NC系统安全加固实践Yonyou Software Corporatio

24、n财务ERP人力成本生产采购运输销售库存安全措施需要花费那么大的精力和财力吗？ERP(NC)系统非常重要！ERP(NC)系统非常复杂！2.3 NC系统安全加固实践Yonyou Software Corporation木桶理论：一个桶能装多少水不取决于桶有多高，而取决于组成该桶的最短的那块木条的高度。信息安全是一个系统工程，涉及到多个方面。某一方面的缺陷会导致严重的安全事故。安全问题仅仅是IT部门,IT人员的事情吗？2.3 NC系统安全加固实践Yonyou Software Corporation操作系统的常见安全加固措施NC软件的安全加固措施常见的安全方案 小结Yonyou Software CorporationYonyou Software Corporation 用信息技术推动商业和社会进步！Thank you!