银行数据中心系统

《银行数据中心系统》由会员分享，可在线阅读，更多相关《银行数据中心系统（54页珍藏版）》请在装配图网上搜索。

1、数据中心项目（一期）技术体系架构设计方案安全架构部分版本 V0.9二O二二年三月本文档及其里面所包含的信息为机密材料并且由/共同拥有。本文档中的任何部分都不得以任何手段任何形式进行复制及传播未经/书面授权，不得将材料泄露给第三方。Copyright 2005 /版权保留所有的权利。文档信息编写者编写日期审核者审核日期批准人批准日期变更历史1. 前言 41.1 安全体系的设计目标 41.2 需求及风险分析 41.3 安全体系总体架构 51.4 安全体系框架模型设计 61.5 术语定义 82. 用户安全策略 102.1 统一身份管理和访问控制 102.1.1 身份管理系统 132.1.2 应用安全

2、 142.1.3 身份管理的技术架构 152.2 用户、用户组及角色 182.3 用户、用户组划分 202.3.1 用户/用户组分配 222.4 用户的授权管理 272.4.1 用户授权 282.4.2 功能授权 282.4.3 数据授权 293. 数据安全策略 303.1 系统安全 303.1.1 高可用结构 303.1.2 系统加固 303.1.3 操作系统安全 313.2 网络安全 323.2.1 网络结构安全 323.2.2 端口安全 333.2.3 加强访问控制 353.2.4 防火墙 353.2.5 入侵检测 353.2.6 漏洞扫描 363.2.7 病毒防护 363.3 数据存储

3、安全 373.3.1 元数据存储安全 373.3.2 Teradato数据存储安全 383.3.3 Weblogic应用服务器存储安全 403.3.4 报表及多维立方体存储安全413.4 系统的备份及恢复423.4.1 数据保护和恢复技术433.4.2 备份及恢复的范围443.4.3 备份工具说明453.4.4 备份策略453.4.5 恢复处理46前言1.1 安全体系的设计目标在本文中，所谓的安全体系是指在此体系框架下，系统能够使正确的用户在正确的时间访问到正确的数据，主要包括用户安全和数据安全两部分。数据中心安全体系的设计目标是要保证系统的机密性、完整性和可用性。 具体描述如下：机密性 Co

4、nfiden tiali ty保护信息，防止未经授权的访问完整性 Integrity保护信息不会被有意或无意地修改和破坏可用性.Availabili ty确保系统性能及可靠性，保证授权用户在需要的时候可以访问到信息 和相关的资产。1.2 需求及风险分析根据我们对总行信息管理系统项目的了解，结合银行业务的多种信息种类、 不同开放程度和安全级别等情况，数据中心系统在安全方面面临的主要威胁有 以下几个方面： 需要建立统一的、完整的安全策略，以符合政府和行业规范的要求、满足自身业务发展的需要。银行业务信息量大，应用复杂，不同种类、不同级别的信息对不同的用户有不同程度的保密需求（无密级、秘密、机密、绝密

5、）。来自内部或外部的黑客针对网络基础设施、主机系统和应用服务的各 种攻击，造成网络或系统服务不可用、信息泄密、数据被篡改等破坏内部人员（合法用户）滥用权力，有意犯罪，越权访问机密信息，或 者恶意篡改数据。 恶意软件和数据（如病毒等）的传播。系统软硬件故障造成的服务不可用或者数据丢失。 自然灾害或恐怖事件的物理破坏。1.3 安全体系总体架构数据中心系统的信息安全建设包括三个方面安全策略、安全技术和安 全管理。 安全策略：包括各种策略、法律法规、规章制度、技术标准、管理标 准等，是信息安全的最核心问题，是整个信息安全建设的依据；安全技术：包含工具、产品和服务等，是实现信息安全的有力保证。安全管理：

6、主要是人员、组织和流程的管理，是实现信息安全的落实 手段；根据上述三个方面，安全解决方案不仅仅包含各种安全产品和技术，而是 要建立一个策略、技术和管理三位一体、目标一致的信息安全体系。信息安全体系的建立，可以对数据中心系统中的所有信息资产进行安全管 理并从安全技术层面进行保护，通过多层次、多角度的安全服务和产品，覆盖从物理环境、网络层、系统层、数据库层、应用层和组织管理信息安全的所有 方面。需要指出的是，完整的信息安全体系的建设是无法在数据中心系统项目中 完成的，因为它所涉及的范围要比数据中心 系统大得多；而这一信息安全体 系的建立对保障数据中心 系统的顺利运行意义重大，建议在条件成熟的情况

7、下，及总行专门的信息安全项目 UAAP 集成在一起，进行数据中心信息安全体 系的建设。1.4 安全体系框架模型设计根据安全领域的最佳实践和银行业务的需求，我们设计出如下数据中心安全体系框架模型。安全管理制度、安全策略和安全管理机构业务连续性计划7应用安全P K I 体 系f税务Z行政7外部Z决策业务管LM1系统持报表会计内容安全安全集中管理网络层安全图 1 安全体系框架模型图建设安全管理框架，包括安全管理机构、安全管理规定和制度，制定安全策略；建立安全运行中心，对全网进行全面管理、分析和故障支持响应；进行 全网安全评估，建立内部评估规范，形成安全评估体系；有针对性地制定业务 连续性计划策略，建

8、设数据备份中心和灾难恢复中心；建立覆盖全网的安全技 术体系，包括：物理层安全、网络层安全、操作系统安全、应用安全、内容安 全。整个体系框架的构成如下：安全管理框架1安全管理制度和安全策略制定一系列安全策略和规范，指导安全建 设，保障安全规范的执行2安全管理机构必须有专业安全人员，关注安全建设，将各 相关部门的人结合在起，形成完整的安全管 理机构3安全评估在外部专家帮助下，建立安全的风险评估体 系，定期对系统进行安全评估4业务连续性计划考虑事故、灾害对业务可用性的冲击和影 响，选择投资和容灾的最佳结合点5安全运行中心建立专门的安全运行中心专注安全状况，收 集资料并提供决策支持安全技术框架6物理层

9、安全保证设备放置环境、电源、物理访问控制均符合统一规范7网络层安全提供网络访问控制和入侵检测，在系统边界 和核心全面实施保护8操作系统安全通过对安全操作系统的选择、扫描和加固保证基本的主机操作系统安全9内容安全建立集中的防病毒体系和完善的内容过滤 机制10应用安全通用应用和应用开发的安全11PKI公用密钥体系提供了完整的认证和加密机 制，可以嵌入到各个应用系统，保证机密性、 完整性和不可抵赖性12安全集中管理对分布在全网各处的安全子系统通过统 的管理界面，实施统 的监控和日志、事件的 收集和分析。1.5 术语定义LDAP:轻量级目录访问协议SSO：单点登陆CA:certificate auth

10、orityPKI:公钥基础结构SSL：安全套接层CSR：证书签名申请文件SSH:DES:数据加密标准DSA：数字签名算法SIT：系统集成测试UAT:用户应用测试2.用户安全策略2.1 统一身份管理和访问控制为了适应大量用户使用多种数据集市应用、满足复杂的权限控制的需求， 数据中心需要建立全网统一的身份认证、管理手段及访问控制系统。统一身份 认证、管理及访问控制涉及到数据中心所有数据集市应用和用户，涉及面相当 大，不建议在数据中心系统中实施，而是将来通过及 UAAP 集成来实现。但从 安全角度来看，数据中心一期需要在此方面进行规划。在传统的应用中，用户身份信息一般都放置在本地目录或数据库中（即“

11、身 份岛”），而这些目录或数据库都只是被单独应用程序所使用，由此产生了大 量孤立、分散的身份和访问管理系统，从而带来了繁重的管理负担和高昂的成 本。在数据中心系统中随着数据集市的增加，管理和维护多个身份库及其相关 访问权限的成本将会增加，而确保数据中心系统被安全访问的能力却会下降。数据集市 数据集程序 数据集市管理验证授权私密目录服务图1 统一身份管理框架图为此，在数据中心系统中需要有统一的身份认证、管理及访问控制系统。其中，身份认证子系统支持包括动态口令和证书等多种认证手段的统一的身份 认证服务，正确地识别访问操作的主体的身份，提供合适身份信息；身份管理子系统管理用户的身份信息，提供自动的基

12、于工作流管理的用户身份信息更新 和同步，实现用户的自服务功能和分级用户管理功能；访问控制子系统定义访 问控制的规则，通过策略服务器进行统一的规则定义管理和实时的执行引擎。在 cognos 中，身份认证是通过第三方的认证提供者来完成的，每个第三方的认证提供者被称为名空间。第三方的认证提供者定义了用于认证的用 户、用户组及角色。用户用户组用户组用户角色角色用户组在 cognos 中用户、用户组及角色三者之间的关系如上图所示。其中用户组 及角色的主要差别在于用户组是用户的基本标识的一部分，而角色却不是。角 色主要用于运行报表和作业。在 cognos 名空间是缺省的名空间，它不能被修改。在一期中，建议

13、不使用 这个缺省的名空间，而是建立一个dwmis名空间，以方便将来的管理。Cognos 在默认安装配置下没有启用任何安全设置，因为 Cognos 的设计思 想是要及企业现有的身份认证基础设施相集成。对于数据中心项目，我们将实 现SunOne LDAP来集成数据中心目前的用户身份管理设施。因此，Cognos的用户信息和数据中心的用户信息共享同一份数据，并使用SunOne LDAP来实现Cognos 使用组和角色来进行授权管理和访问控制。组和角色信息定义在Cognos内部，又称为Cognos Group和Cognos Role。组和角色都代表了执行 一系列相同任务，拥有相同的权限的用户。组成员关系

14、是用户身份的一部分， 每次登陆时都是用户从属组中获得全部权限。角色成员关系是不属于用户身份 的一部分，用户可以选择每次登陆时使用的角色列表。Cognos包括下列内建的（无法删除）安全条目： Anonymous用户，这是所有不需要身份认证的用户的共享帐号； All Authenticated Users 组，代表所有非 Anonymous 用户； Everyone 组，代表所有 Anonynmous 用户和口 All Authenticed Users 组的用户； System Administrators角色，代表具有Cognos服务器全部管理权限 的超级用户。Cognos默认还设置了下列六个

15、预定义的（可以删除）安全条目： Consumers角色，具有查看和执行公共内容的权限； Query Users角色，具有Consumers角色的权限，并且可以使用QueryStudio； Authors角色，具有Query Users角色的权限，并且可以使用ReportStudio来发布公共内容; Report Administrators角色，具有管理公共内容和访问Query Studio及 Report Studio 的权限； Server Administrators角色，具有管理服务器、调度器、作业的权限； Directory Administrators角色，具有管理命名空间，包括组

16、、角色 数据源等对象的权限。对Cognos安装的默认配置进行下列修改提高安全性：配置数据中心项目的SunOne LDAP，并且禁用内建的Anonymous用户帐 号； Everyone 组是 System Administrators， Consumers， QueryUsers，和口 Authors角色的成员，必须立即删除，并根据需要设置Cognos的System Administratiors 角色的成员。2.1.1 身份管理系统身份管理系统负责对用户身份的管理、验证、授权和私密性保护。管理涉及到如何创建、修改和取消身份。好的管理能够显著降低成本 和提高生产力。它还可以大大缩短业务经理填写

17、相关文件的时间，并 可减少财务、人力资源以及 IT 人员审批和实施访问请求的时间。验证是证实访问网络、应用程序或资源的身份的操作。验证技术包括 基于用户 ID 的简单登录、密码，以及令牌、公匙证书和指纹验证等 更为强大的机制。在Web环境中，用户可以在一个站点甚至多个站点 内跨多个Web服务器访问多个应用程序。有效的身份管理和访问管理策略可以部署集中的验证框架，以便简化用户体验和降低管理工作量。授权是确定是否允许数字身份执行所请求操作的流程。授权过程出现在验证之后，它可以使用及数字身份相关的属性或权限，以确定数字 身份可以访问的资源。例如，一旦用户通过验证，即可授权获得及其 数字身份权利对应的

18、限制信息访问权限。身份和访问管理技术可以使组织降低因扩大对其信息系统的访问而产 生的风险。由于可以对访问权限及特权进行精确控制，从而可以确保 数字信息的私密性。修改权限和/或终止访问的能力可以进一步增强这 种保护的灵活性和一致性。在本设计中，我们采用SunOne LDAP作为第三方认证提供着，用于存储不 同来源的用户信息、资源信息和策略信息，实现统一的用户身份管理，统一的 访问资源各类和统一的访问策略信息管理；目录服务构成了身份和访问管理框架的核心，该目录服务将多个数据源（如 目录、文本文件、数据库）结合在一起，从而为数字身份信息提供单一来源。在SunOne LDAP的实现中可以有多个管理服务

19、器和多个目录服务器，及多种组织形态。在数据中心一期实现中，应用相对简单，建议使用单一的管理 服务器和目录服务器来完成对用户目录和配置目录的管理。具体实现方式详见 实施工艺手册。2.1.2 应用安全作为数字身份的最终使用者以及该身份权限的强制执行者，应用程序在所 有身份管理解决方案中都扮演着重要角色。应用程序必须及组织的身份管理基 础结构兼容，对于应用程序开发而言，最重要的一点在于应用程序不应建立和 实施其自身的身份库、安全协议或数据保护机制，而应依赖身份管理基础结构 所提供的解决方案。对于应用访问的安全，其主要设计体现在统一单点登录入口即 Portal 门 户入口以及统一的用户安全认证及权限分

20、配管理。在数据中心一期实现中，典型的前端应用程序包括：元数据管理应用程序监管报表应用程序ALM 应用程序多维立方体生成应用程序报表生成应用程序2.1.3身份管理的技术架构下图是一个典型的身份管理的技术架构：Admin ServerWeb Server PortalJava App Server Applicati on Web ServicesPolicy Server Directory Server Secure Audit Server图32身份管理技术架构图其中，Plug-in安装在Web服务器端，接到前端用户对安全内容的请求之 后，它会将请求送到Policy Server进行用户身份

21、认证，Policy Server则到 目录服务器检索用户信息。认证成功后，Policy Server向Plug-in返回用户 的授权信息，使该用户可以访问授权范围之内的内容。Policy Server返回的用户信息（包括用户的角色）可以以环境变量的形 式通过Plug-in传递给应用程序，以完成页面的个性化，给不同的用户显示不 同的操作界面。Admin Server负责管理访问控制策略的制定，使不同的用户对不同的资源 有不同的访问权限。在本设计中，通过 Cognos Series 7利用SunOne LDAP服务实现了 ReportNet和PowerPlay的统一用户、安全管理，SSO模块的主要

22、作用是实现 Cognos Custom Authentication Provider，以支持 UAAP 安全认证服务。下面 以系统管理员维护为例，说明整个用户安全子系统的运行流程: ：数据仓库系统管理员登录数据中心门户系统(Cognos Connect)。 ：门户系统通过目录服务(Sun One Directory Server)认证管理 员。 ：门户系统认证成功后将用户名、口令和TokenlD写入Oracle 9i数据库供Cognos ReportNet透明登录使用。 ：数据仓库系统管理员登录成功后点击CRN链接。此链接指向WebServer (Apache 2.0.53)。：用户组管理、

23、模块授权管理均须操纵Cognos Con tent Manager。 由于Cognos ReportNet提供了 Java SDK,因此这个模块使用JSP 开发，运行在 Weblogic Application Server 上o：数据安全管理是在Teradata中建立用户组和机构的对应关系，并在多维数据库的机构维建立过滤定义。这个模块使用J2EE开发，程序分为两部分，一部分在 Web Server 上运行，访问 Teradata 数据库，建立用户组和机构的对应关系，同时作为客 户端提交建立维度过滤的请求到 OLAP Server 上的 Cognos ReportNet；另一部分在OLAP S

24、erver上运行，接受客户端（运 行在Web Server上的JSP应用）请求，调用DSO建立维度过滤。： Cognos ReportNet通过JDBC将用户组、模块授权信息写入Oracle 9i000 上的 Con tent Manager 中。: OLAP Server通过JDBC将维度过滤信息写入Cognos PPES上的 Oracle 9i Repository 中。2.2 用户、用户组及角色前端用户管理包括两个部分，用户（User）和用户组（Group）信息管理。用户（User）管理用户（User）管理包括用户信息的维护、用户组的分配以及用户特殊功能的 权限分配等。一般来讲，在创建一

25、个Portal用户的信息时，将同时要在Cognos 服务器、Weblogic服务器、以及其他需要集成在Portal内的子系统中建立相 应的用户信息；即在本系统中，用户信息时进行统一维护的。角色（Role）管理在对用户进行权限分配时，将引入角色（Role）的概念，所谓角色，就是一 个权限集合的定义，一个Portal用户可以赋予多个Portal角色，每个Portal 角色都及之对应的Weblogic角色、Cognos用户类，用于定义对应用和数据的访问权限。用户组（Group）管理用户组管理包括用户组创建、用户组修改、用户组权限分配等。用户组是 一组具有使用相同角色的用户群。用户和用户组的关系是一个

26、用户组可以包括 多个用户，一个用户只可以属于一个用户组。在cognos中用户可以拥有的权限如下：读（read）浏览一个条目的所有属性；为一个条目创建快捷方式。写（write）修改一个条目的属性；删除一个条目；在包或文件夹等容器中建立一 个条目；修改一个报表的定义；为一个报表创建新的输出。执行（excu te）运行报表；在数据源中检索数据。设置策略（ s e t policy）读或修改一个条目的安全设置。遍历（traverse）浏览包或容器中一个条目的内容；浏览容器本身的一般属性。在Terada ta数据库中用户可以拥有的权限Terada ta数据库可以针对不同 的用户，在不同级别的 Terad

27、ata Objects（如 Database、User、Table、View 和 Macro 等）上进行多种类型的权限设定。可以设定的权限包括： Select,Update, 执行权, 所有权等等。2.3 用户、用户组划分在本系统中，用户层包括各种最终用户。主要分为技术用户、业务用户及 管理用户三类：技术用户技术用户主要是数据中心系统的管理者以及信息的管理者，他们的主要 职责是完成数据中心系统的管理和信息的组织。首先为业务用户提供最便捷 的数据访问途经，其次为业务用户访问数据的正确性作出保障。应用开发人员(Application developers):对数据转换和信息访问层 都需要应用开发人

28、员。 Teradata DBA:管理数据仓库的RDBMS引擎，维护物理数据模型，开发和维护备份及恢复过程，承担性能调整和负载管理工作以及容量 的规划。 ETL管理员(ETL Administrator):监控数据加载流程。数据建模员(Da ta Modeler)：开发和维护数据仓库的逻辑数据模型。业务用户按照用户使用数据中心系统的方式和特点，可以划分为业务人员、业务分析人员、决策人员和知识工作者。业务人员主要指总行各业务部门、各分行的业务用户，包括客户经理。该类人员直接使用模块化的应用界面访问数据中心系统，访问预定 义报表，进行相对固定的查询和较为简单的分析。业务分析人员是指总行各业务部门、各

29、分行的较为高级的用户。除能够执行一般业务人员进行的操作外，可以对指定的主题、指标进行 自定义的灵活分析和比较。分析的方式包括自定义查询、自定义报 表、多维旋转和钻取等等。决策人员主要包括各部门的领导和行领导。数据中心系统为决策人员 分配专门的系统资源，建立最为直观和方便的存取界面，为决策人 员赋予最大的信息访问权限，实现决策人员对信息的自由访问。同 时，信息资源系统将决策人员最为关心的信息主动发布到决策人员 的访问界面上，简化信息访问的方式，使得决策人员在第一时间获 得经营管理的各种重要信息和指标。知识工作者：是最为高级的分析人员。该类人员能够自由使用各种报 表、查询、分析和挖掘工具，对银行业

30、务和数据都由较为深刻的认 识，特别是理解数据中心系统的数据模型，能够回答各种突发和复 杂的业务问题，使用复杂的工具进行业务模型的建立和验证。在进 行复杂的业务分析或者进行数据挖掘的过程中，可能使用一些专业 的工具，这类工具通常需要数据仓库系统导出大量数据供它们分 析，这会耗费数据仓库系统大量资源，因此我们不建议知识工作者 自己提交 SQL 请求给数据库，而是应首先经过管控的审批流程，提 交请求给系统的 DBA，DBA 根据用户请求下载数据并提交到指定的 目标位置。对于普通用户来说，在经过数据管控流程的审批之后， 通过相关的工具分析DBA导出的数据完成处理。管理用户为每个业务单位（总行、分行）建

31、立管理角色，管理角色具有 Cognos的组织管理员和内容发布者角色，负责维护组织机构、发布文档。如：管理角色BJ （北京分行管理员），应被授予组织管理员和内容发布者双重角色，以便维护本行用户、组和发布文档。总行管理员将各业务单位管理员授予第一步设定的管理角色。总行管理员授予本分行用户访问数据中心系统的权限。 分行管理员授予本分行用户访问数据中心系统的权限。2.3.1 用户/用户组分配前端用户分配：使用浏览器访问数据仓库的前端用户是通过Web Server访问数据库的。共有四种类型的用户：用户类型登录webserver用户数据库用户名前端管理员用户FrontadmFrontadm （不可以访问业

32、务数据）部门管理员用户Department 缩写 +adm不可以访问数据仓库监管报表访问用户由各个部门管理员设定dmBuserALM访问用户由各个部门管理员设定dmBuserPower User由数据仓库管理员设定（每人一个）前端管理员用户和各个部门管理员用户不可以访问数据仓库业务数据，他们的权利是通过前端安全管理页面设定各个部门的查询功能分配以及建立用户、岗位并进行用户的岗位分配和岗位功能指定。部门管理员用户需要访问数据仓库时，必须重新建立前端用户，并接受审计。 数据库用户分配：用户ID描述权限定义数据库类型dwDBA数据库管理员系统管理员，是dwAdm 的备份用户。TeradatadwIT

33、UserIT技术人员，包括所有 参加到数据转换，前端应 用的用户.一般而言，他 们有权存取执行开发工 作所在的测试环境IT部门用户组。对 dwTData 、 dwttemp 、 dwTMacro有创建、修改 和删除权限。没有 dwPDATA,dwPVIEW,dwBVIEW, dwPMACRO 和 dwBMACRO的任何存取 权限。TeradatadwJOBdwSDATA dwPDATA 的ETL加载任务的执行用户批处理作业用户组。DWJob对DWPLog有全部 权限(ALL)DWJob 对 DWTLog有全部权限 (ALL) 。 DWJob 对 DWPData有创建表和 Selec t,Upd

34、a te,Insert 和口 Delete 权 限。DWJob 对 DWTData 有创建表和Select, Update, Insert 和口 Delete权限。D町ob对 DWTemp有全部权限 (ALL)D町ob 对 DWPViewTeradata有 Selec t, Upda te, Insert 禾口 Delete 权 限。DWJob 对 DWTView 有 Selec t, Upda te, Insert 禾口 Delete 权 限。DWJob 对 DWBView 有 Selec t, Upda te, Insert 禾口 Delete 权 限。D町ob 对 DWPMacro 有创

35、建宏、删除宏、执 行宏以及创建存储过 程、删除存储过程、执 行存储过程的权限。DWJob 对 DWTMacro 有创 建宏、删除宏、执行宏 以及创建存储过程、删 除存储过程、执行存储 过程的权限。DWJob对 DWBMacro有创建宏、删 除宏、执行宏以及创建 存储过程、删除存储过 程、执行存储过程的权 限dwJobOlapdwPDATA dwPMart的ETL加载任务的执行用户IT用户，该组用户只对 dwPDATA 有 SELECT 权 限。该组用户只对 dwPMart 有 select、Teradataupdate权限。对存储过程有执行权限dwJobAlmdwPDATA dwPAlm 的

36、ETL加载任务的执行用户IT用户，该组用户只对 dwPDATA 有 SELECT 权 限。该组用户只对 dwPAlm 有 select 、 update权限。对存储过 程有执行权限TeradatadwJobCmdwSDATA dwPCMart 的ETL加载任务的执行用户IT用户，该组用户只对 dwSDATA 有 SELECT 权 限。该组用户只对 dwPCMart 有 select、 update权限。对存储过 程有执行权限TeradatadwARC备份用户TeradatadwDQUser定义数据质量稽核规则的用户TeradatadmAdminOracle数据库管理员AllOracledmCo

37、ntentCognos内容管理用户对Cognos元数据具有 delete 、 insert 、 update、select 权卩艮OracledmBuser监管报表应用管理用户对Cognos元数据具有 delete 、 insert 、Oracleupdate、select 权卩限dmBuserALM应用管理用户对Cognos元数据具有 delete 、 insert 、 update、select 权卩限Oracle系统级用户用户ID描述属组操作系统类型admin主机管理员DwmisMP-RASEtladminETL服务器管理员EtlgrpHP-UnixAppadmin应用服务器管理员App

38、grpHP-UnixAppacheWeb服务器管理员AdministratorWindows2003Advanced ServerMetaadmin元数据管理用户AdministratorWindows2003Advanced ServerCrnadminCognosReportNet 管理用 户CognosHP-UnixOlapadminCognos立方体生成用户CognosHP-UnixHausrHA系统用户UsrHP-UnixBakusr备份用户UsrHP-UnixALM_usrALM数据交付用户AlmHP-UnixcmoraCognos内容存储用户Oracle9iHP-Unix0rac

39、le9iOracle数据库管理用户CognosHP-UnixwliadminWeblogic管理员WeblogicHP-UnixldapadminLDAP管理员CognosHP-Unixcrndev报表生成用户CognosHP-Unix2.4 用户的授权管理 统一授权是数据中心安全体系需要实现的业务目标之一，是将统一的授权 管理和规范及分权、分级的授权委托管理相结合的管理方式，在满足统一、规 范的原则下，使授权管理更灵活高效。分权、分级管理实际上是数据中心系统管理员将管理权委托给分支机构和 业务部门在其辖内完成数据中心系统的授权管理。为了保证在分权、分级管理的方式下，满足统一授权的规范化，以及

40、资源 信息、用户信息的安全性，需要建立一个完整的授权管理流程和管理模型。一 方面在授权管理流程上确定各级管理员的职责，另一方面对被授权管理的用户 和资源采用授权委托管理域和访问控制安全管理域的形式进行委托管理。委托授权的形式包括以下类型：分级委托 指数据中心系统管理员遵循企业的组织结构，按照总行、分行、二级分行 支行、储蓄所，将授权权限逐级委托到下级管理员。下级管理员可以进一步进 行委托授权。分权委托指数据中心系统管理员按照数据中心数据集市系统的划分，将各个数据集 市系统的授权权限分别委托到对应的数据集市系统管理员。数据集市系统管理 员可以进一步进行委托授权。上述委托的类型将同时存在数据中心系

41、统的日常管理中，数据中心系统中 各级、各系统用户管理员应当根据具体业务需求制订委托授权的规划，灵活采 用平台提供的各种委托授权方式将拥有的权限委托到最贴近用户的管理员手 中。通过工作流管理，数据中心系统管理员可以保留对委托下去的授权的控制， 并跟踪授权情况。另外，从授权内容上看主要包括用户授权、功能授权、及数据授权三个方 面。2.4.1 用户授权数据中心系统包含了目前所有有效用户（可以登录到门户、且有有效岗位 的用户），缺省状态下用户没有权限登录系统，用户授权就是机构管理员授予 本机构用户相应的角色，以允许他们登录本系统。2.4.2 功能授权各机构管理员使用“模块授权管理”对所属用户组或用户授

42、权，由于用户 会发生岗位变更，为避免重新授权，建议授权针对用户组进行。数据中心一期实现中包括监管报表和 ALM 两个数据集市，这两个数据集市又由若干个功能模块构成，不同用户可以访问的模块也不同，规则如下： 由于用户数量较大，因此采用分布式权限管理，每个分行设定管理员，授予内容发布角色，为本分行用户组授权。 所有功能授权都基于用户组（岗位），这样即使用户有任何变更（如部门调动）也不用重新授权。对用户组的授权分为以下三类： 无需访问数据中心系统的用户组，取消访问授权。 需要访问数据中心系统的用户组，根据其工作内容授予适当权限。 需要访问数据中心系统，但是权限及其他用户组重合的用户组，分行管 理员在

43、具有相同权限的用户组上建立更高层的用户组，根据其工作内容授 予适当权限。2.4.3 数据授权数据授权在数据中心一期中主要是指用户对数据的访问必须被限定在一 定的范围之中。一般来讲，一个用户在一个数据集市中仅能访问本机构及其下 属机构的数据，但也有一些特殊情况，如可以对他进行授权，使其可以访问其 上级或同级的数据，这时就需要对其进行数据授权。在数据中心系统使用 Cognos ReportNet实现报表及Cognos PowerPlay实现多维分析，因此对于用 户的数据授权应结合这两个产品实现。3.数据安全策略3.1 系统安全3.1.1 高可用结构为了保证系统的可用性，核心系统的主机、存储设备、网

44、络设备（包括防 火墙）都应当采用硬件冗余的高可用结构，以最大限度地提高系统可用性，降 低宕机时间。数据库服务器的高可用有两种实现方式，包括传统的双机热备，和现代的 负载均衡集群技术。负载均衡集群技术提供了良好的伸缩性，同时又能充分利 用设备投资来改善应用的性能。数据库服务器在提供容错和负载均很时，必须使用统一的数据存储。在架 构设计中，数据存储使用了 Server farm网络环境中的存储区域网。3.1.2 系统加固不论是Unix还是Windows，默认安装的系统都安装了各种网络服务，容易 暴露漏洞，对于核心系统应当对操作系统进行加固，增强其安全性。在SRF中部署了如下安全组件： Firewa

45、ll防火墙 IDS入侵检测 VPN 集线器网关防病毒服务器网关内容过滤 RADIUS 服务器3.1.3 操作系统安全在操作系统的级别，无论是Windows操作系统，还是MP-RAS for MPP, 都有着严密的系统安全认证及用户权限管理体系，并具备登录、审核以及资源 访问的审计及跟踪。各操作系统的用户必须有统一的管理和授权机制。 此外，操作系统的安全还可通过一定的辅助性措施和管理措施来保证：1.完善的病毒防范措施，采用统一的病毒防范体系，在PC服务器上安装； 2在所有服务器上不安装拨号上网设备、不装刻录光盘设备；3. 不安装及数据处理无关的软件；4. 关闭服务器上所有未使用的、不需要的服务，

46、这些服务需要满足以下条 件：i. 对操作系统不是必要的；ii. 服务器上所有应用未使用到的；iii. 对系统资源占用较高（如CPU,I/O,内存，网络等）；iv. 易受病毒攻击的服务等；通过数据仓库监控工具，可以对数据仓库的MPP主机群以及各应用服务器 的操作系统运行状况和资源的使用情况进行实时的监控，以及时捕获各平台操 作系统的异常。3.2 网络安全3.2.1 网络结构安全网络安全的内容包括例如子网、防火墙和操作系统锁定等物理组件。目前Server Farm已经制定了一套完整的网络安全防范措施，生产环境被划分为三 个区域，区域内部的服务器之间或跨区域的服务器之间的访问都需要通过企业 级防火墙

47、，只允许指定的IP通过指定的端口访问。下面分别对三个区域加以 说明：1集成区 该区域不直接对外提供服务，只有超级用户或系统管理员才能从ServerFarm管理区访问本区域。集成区分为WEB、AP、DB三层，其中数据 仓库服务器在DB层，只有内网区指定的应用服务器和本区AP层的ETL服 务器可以直接访问数据仓库服务器，外部用户只能通过内网区指定服务器 访问；ETL服务器在AP层，外部用户禁止访问ETL服务器，ETL服务器可 以同时访问UDI服务器和数据仓库服务器，从而实现数据加载。2内网区 该区域通过路由器和防火墙等设备对外提供有控制的对数据仓库数据 的访问，同时超级用户或系统管理员也可以从Se

48、rverFarm管理区访问本区 域。内网区划分为WEB、AP、DB三层，数据中心系统的Web服务器位于WEB 层，这一层是最终用户访问的第一层；AP层部署了 Cognos PPES、ReportNet、 Weblogic等应用服务器，最终用户对数据仓库服务器的访问通过这一层完成。3管理区该区域是管理区域，需要在此区域部署数据库、ETL、应用服务器的管理终 端，根据SRF规范项目组成员禁止通过FTP上传任何文件到集成区或内网区 服务器，程序发布或版本更新统一由生产环境的运行维护人员通过指定终端上 传到指定目录，项目组人员在通过SSH Telnet工具如：securitycrt登录到 服务器上执行

49、部署。3.2.2 端口安全依照SRF项目规范，如无特定需求，应关闭如下端口：IP地址服务端口类型端口号TUDP69LinkTCP87SUN RPCTCP & UDP111LPDTCP515UUCPDTCP540NFSTCP & UDP2049X WindowsTCP & UDP6000 - 6255Small servicesTCP & UDP20 and below& UDP21SSHTCP22TelnetTCP23SMTPTCP25NTPTCP & UDP37FingerTCP79HTTPTCP80POPTCP109 &110NNTPTCP119NTPTCP123IMAPTCP143SNM

50、PTCP161 &162BGPTCP179LDAPTCP&UDP389SSLTCP443SyslogUDP514SOCKSTCP1080Common HTTPTCP8000,8080,88883.2.3 加强访问控制安全信道的目的是对网络上传输的敏感数据进行加密保护，并对传输信道的两端进行身份认证。目前Web应用常用的安全信道技术是SSL, SSL已经被 绝大多数的浏览器和Web服务器支持。SSL支持的加密算法包括DES, RC4等； 支持的密钥交换协议包括RSA，DSS等；支持的完整性检查算法包括SHA, MD5 等。SSL支持在客户端和服务器端动态的协商会话采用的具体算法。SSL对服务器端

51、来讲是一种巨大的开销，因为必须要同时处理几千个客户端的通信流量的加密解密负载。安全信道的启用会对终端用户的性能产生显著的负面影响,因此数据中心项目建议仅在进行系统管理,如用户信息的传输使用SSL机制，在正常业务处理不采用SSL。3.2.4 防火墙Server Farm已经在Intranet Zone中布置了两道防火墙，并实现了由状态的故障转移技术,满足数据中心的要求。3.2.5 入侵检测由于防火墙等安全控制系统都属于静态防护安全体系，但对于一些允许通 过防火墙的访问而导致的攻击行为、内部网的攻击行业，防火墙是无能为力的。 因此，还必须配备入侵检测系统，该系统可以安装在局域网络的共享网络设备 上

52、，它的功能是实时分析进出网络数据流，对网络违规事件跟踪、实时报警、 阻断连接并做日志。它既可以对付内部人员的攻击，也可以对付来自外部网络 的攻击行为。目前Server Farm已经在使用入侵检测系统，部署在Internet入口和合作 伙伴网入口。3.2.6 漏洞扫描黑客（包括内部和外部）攻击成功的案例中，大多数都是利用网络或系统 存在的安全漏洞，实现攻击的。网络安全性扫描分析系统通过实践性的方法扫 描分析网络系统，检查报告系统存在的弱点和漏洞，建议补救措施和安全策略， 根据扫描结果配置或修改网络系统，达到增强网络安全性的目的。操作系统安 全扫描系统是从操作系统的角度，以管理员的身份对独立的系统

53、主机的安全性 进行评估分析，找出用户系统配置、用户配置的安全弱点，建议补救措施。为了保证数据中心系统的安全，有必要成立专门的技术安全小组，其中一 项重要的工作就是使用漏洞扫描工具（推荐使用ISS的Internet Scanner）, 定期对内部网络进行扫描，定期向管理层汇报内部网络安全状况。3.2.7 病毒防护病毒侵害小的引起死机降低工作效率影响客户满意度、大的可能引起系统 瘫痪（彻底摧毁数据）。病毒的防护必须通过防病毒系统来实现，数据中心系 统中业务网络操作系统一般都采用UNIX操作系统，而办公网络都为Windows 系统。为防范病毒的入侵，应该根据具体的系统类型，配置相应的、最新的防 病毒

54、系统。从单机到网络实现全网的病毒安全防护体系，病毒无论从外部网络 还是从内部网络中的某台主机进入网络系统，通过防病毒软件的实时检测功 能，将会把病毒扼杀在发起处，防止病毒的扩散。目前已经在使用MaCfee防病毒系统，并且在实际运行中起到良好的效果, 在过去几次大的病毒攻击都基本没有对的业务造成影响。今后进一步的工作如 下：完善防病毒安全策略，并纳入到整体的安全策略当中进一步加强最终用户的安全意识 建立安全补丁自动分发机制3.3 数据存储安全对数据中心系统主要是数据库的安全，由于系统采用C/S和B/S模式，数 据都集中存在Teradata数据库系统中，因此数据库的安全尤其重要。保护数 据库最安全

55、、最有效的方法就是采用备份及恢复系统。备份系统可以保存相当 完整的数据库信息，在运行数据库主机发生意外事故时，通过恢复系统把备份 的数据库系统在最短时间内恢复正常工作状态，保证数据中心系统提供服务的 及时性、连续性。对于机密信息，可采用数据库管理系统提供的加密模块对数据进行加密存 储。3.3.1 元数据存储安全一期元数据存储分为三部分： MDSMDS是符合CWM规范的元数据存储库，安装配置后以Teradata数据 库形式存在，提供了多种元数据加载工具和编程接口，在本项目中MDS用 于保存数据源、ETL、逻辑数据模型、物理数据模型、数据仪表盘元数据信息。 Cognos元数据库保存监管报表、多维分

56、析元数据。 ALM元数据库保存ALM元数据。MDS元数据存储在Terdata数据库中，其数据安全见Teradata数据存储 安全oCognos及ALM元数据均存储在Oracle数据库中见Oracle数据存储安全。 值得注意的是元数据作为系统中最重要的管理数据，建议在每期末，如月末做 一次全量备份。332 Teradata数据存储安全数据安全性是信息资源管理系统最重要的考虑因素之一，安全性实际上包 括数据存取控制和数据保护两方面的要求。数据存储安全主要是指MPP主机架构下数据基于Teradata的数据存储安 全。MPP技术以及多层安全机制的关系型数据库 Teradata保证了数据在 Terada

57、ta中的存储安全性。首先，MPP的各主机是通过BYNET进行数据交换而不是通过网络进行的， 这在一定程度保证了数据对外的安全性。Teradata是C2安全级的关系型数据库管理系统，从以下几个方面提供安 全机制保证数据不被非法使用。 物理安全从空间上限制非法用户接触数据仓库系统。 用户登录控制从主机和数据库系统两个层面设置注册管理机制，针对用户/用户组设 置是否允许登录，以及允许从哪些客户机（IP地址）登录；可以设置口令 格式、口令过期规则、口令重复使用规则、允许口令错误次数等。数据存取控制对所有的数据库对象（包括数据库、表、视图、宏、存储过程、触发 器等）可以设置相应的权限。同时也可以利用视图

58、、宏、存取过程限制用 户对数据的访问。通过这些安全措施的建立和设置，建立完善的权限管理，用户只能访问到 允许访问的数据，从而保证数据不被非法使用。对于数据保护，Teradata提供一系列的数据保护机制保证数据在意外事件 中数据能够得到保护和提供恢复能力。对数据仓库的数据保护和高可靠性，进 行了多个层级、全方位的考虑和设计，包括以下几个方面：1. 系统级数据保护磁盘阵列的冗余保护 Clique 技术2. Teradata 数据库级数据保护 Fallback 技术数据库加锁技术 Journal 技术其它数据保护技术备份及恢复，具体的备份及恢复描述请参见“运行架构部分”。333 Weblogic应用

59、服务器存储安全为了在故障情况下，可以及时地恢复系统服务，需要对 WebLogic 备份的 内容包括：域的配置数据；域的安全数据； 以及部署的应用。域的配置数据包括： config.xml:域配置存储库，包含整个域的配置数据，位于域的根目 录下； config.xml.booted：最近一次成功启动使的，域配置存储库的有效备 份，位于域的根目录下。 DwmisDomain/configArchive/WebLogic在域的根目录的子目录下保存 若干份config.xml.boo ted的备份。默认配置下保存最近5份。域的安全数据包括：序列化安全数据文件：SerializedSystemlni.d

60、at文件，位于服务器根 目录下。这些文件对于启动服务器是必须的； bo o t . pr ope r t i e s ：启动管理服务器的加密用户名和密码； 证书：在数据中心项目中，包括身份密钥存储文件/home/mw/weblogic/server/lib/dwmis_identity.jks 和信任密钥存 储文件/home/mw/weblogic/server/lib/dwmis_trust. jks ；因此，对于数据中心的WebLogic服务器来说，其备份的对象包括:域目录树/home/ap/dwmis/domains/DwmisDomain WebLogic 目录树/home/mw/weblogic由于WebLogic和数据中心应用的存储容量比较小，变更不频繁，因此建 议采用以全备份为主，辅以增量备份的策略。(1) 在下列情况下对WebLogic目录树进行全备份： 系统首次安装完成；系统配置和软件进行了重要的变更后，例如实施新的安全补丁，更新 了服务器证书； 每月的例行全备份。(2) 在下列情况下，对DWMIS域目录树进行全备份：域配置进行变更后，例如修改了域的配置参数；数据中心应用进行了变更 每月的例行全备份。应该保留最近2次全备份的镜像和介质。(