某某市房地产综合信息管理系统方案11章

《某某市房地产综合信息管理系统方案11章》由会员分享，可在线阅读，更多相关《某某市房地产综合信息管理系统方案11章（35页珍藏版）》请在装配图网上搜索。

1、第11章 系统安全规划计算机安全是指为了保证计算机及计算机网络系统安全可靠运行，确保信息在采集、处理、传输、使用和存贮过程中，不致受到人为或自然因素的危害，而使信息丢失、泄露、篡改或破坏，确保信息安全，对计算机和网络设施、系统、环境和人员等采取的适当技术、管理、人事和法律的综合措施。房产信息系统建设涉及多个政府部门和金融部门，需要把本系统的安全建设提升到战略的高度加以认识和把握，在系统设计和建设的全过程要充分考虑安全因素，在核心部位采用通过国家公安部验证的安全产品，众多方面保证系统的安全。本系统的基本安全目标产安全策略是：l 通过系统建设，建立一套先进牢固的计算机安全技术体系，是系统安全根本的

2、保障。对网络工程风险进行评估，实现安全技术服务体系，集成安全技术环境。l 通过系统建设，建立一套严格的计算机网络制度。是系统安全实现的基本手段。要建立相应的安全管理、人事管理、审计跟踪制度，开展安全教育和安全检查。l 通过系统建设，建立一套使用权限分立，审计完善，高效方便，有利于进行规模、量化分析，有利于杜绝非法操作的计算机应用体系。是系统安全实现的基本的目标。系统要建立相应的分层分割管理权限，分层审计跟踪，每项数据操作都有明确可靠的日志记录，建立方便快捷，可供大规模快速抽象和分析统计的计算机应用体系。本次方案中，我们在按层次模型对安全进行全面设计外，还简述了如防火墙、防病毒、防黑客等安全领域

3、的重要问题。11.1 安全层次模型系统的安全设计可以参考网络的层次模型，确定一个安全层次模型；数据信息安全应用软件安全系统软件安全通讯安全硬件系统安全物理实体安全管理措施法律、法规、道德上图表示了系统安全从底向上的层次模型，各层之间相互依赖，下层向上岐提供支持，最终保证信息安全。系统安全的基础是建立在社会的约束力上，即依靠法律制度和道德规范的约束。目前，国内在计算机信息安全方面已经出台一些法律法规，但随着计算机技术日益广泛的应用，计算机犯罪的逐渐增多，还需要建立的制定更多的法律、法规，规范和制约人们的思想和行为，将信息安全纳入法制化管理轨道 。管理措施的建立和完善，对大系统的信息安全至关重要，

4、责任分明的安全管理，完善的审计制度，安全规定的切实执行都有利于系统安全的具体落实。物理实体硬件系统的安全，既要保证对自然灾害、人为破坏的抵抗力，又要保证在系统设备故障，外部条件限制（如断电）时系统能持续稳定运行。通讯安全是处于硬件安全和软件安全之间的安全层，既需要通过各种软硬件手段对通讯数据进行加密，又要求保障网络传输的可靠稳定，为数据交换提供可靠的保证。系统软件安全、应用软件安全是保证系统数据数据安全的基础，也是信息安全研究的重点，在系统设计和实施时需要认真考虑。信息安全实际上是计算机安全保障的最终目的，以上各种安全保证措施说到底都是为了保卫信息安全。系统安全层次模型的提出，便于我们已清晰的

5、思路进行分层次设计，制定出详细严密的系统安全方案。当然，在实际设计和实施中，一种安全措施可能跨越多个安全层次，如灾难恢复就是涉及从管理措施到数据信息安全多个层次的安全手段，这就要求我们在设计时既要把握分层次设计的思想，又要树立全局统筹的观念，围绕系统安全目标来进行设计。从本次设计中，我们着重从技术方面对系统安全建设提出建议，并兼顾到管理措施、法规建设等方面。11.2 法律法规建设和执行本次系统建设规模大，起点高，参与单位多，决定了本次系统安全管理错综复杂，因此也迫切需要相关法规的完善，便于以法律法规为准绳规范和约束各参与单位的行为。11.3 安全管理措施安全管理措施在本系统中有不可忽视的作用，

6、既要考虑到各单位自身管理制度的健全和完善，吉普赛人考虑到协调处理各单位之间的管理制度的出台和完善，用行政手段补充法律法规没有顾及的地方，在政策和制度上保证系统安全。在安全制度上要加强对内部人员的管理，如按最小授权原则，实现普通用户、系统管理员、安全员三权分离原则，以减少人为安全隐患。11.4 物理实体安全本系统中，房产数据中心等系统核心部门对物理实体的安全有严格的要求，首先要求我们在机房环境上按高标准建设，注意防盗防火及防震，安装完善的监控系统，防止人为的特刊实体破坏，对自然灾害的防护是物理实体重要内容，主要手段是远程备份和灾难恢复措施的采用。另外，要注意各种技术文档的保密和管理，防止第三者窃

7、取设计资料，进而对系统安全构成威胁。11.5 硬件系统安全首先是硬件系统本身的安全，即要求硬件系统在部件失效时能可靠运行。通常情况下，鉴于解决该问题的高成本，我们一般只在事关系统运行的关键设备（主机系统、主网络设备等）上实现。11.5.1 主机安全在系统设计中，我们采用双机Cluster来提高主机系统的安全性，双机系统通过采用群集（Cluster）技术，将两个服务器连接到一个“群集”中，从而提供了低成本，可扩充的，高可用性的解决方案，并且便得服务器的资源更加易于管理。它还可以具有透明的故障克服能力，从而保证系统的高可靠性，另外提高主机安全性的技术还有硬盘镜像，RAID技术等。11.5.2 网络

8、设备安全硬件系统的安全还包括通讯设备故障的处理方式，通讯设备故障，可以采用冗余线路、冗余设备的方法，保障系统不会由于单点故障引了通讯中断。一般我们选用可使用冗余备件的设备作为主干通讯设备，采用线路备份的方式避免设备故障导致通讯中断，采用自动切换等方式压缩系统中断的时间。11.5.3 供电安全外部环境对硬件安全的影响，主要是指供电安全和机房环境。通常情况下，为保证可靠供电，可以使用不间断电源防止掉电带来的数据丢失或系统混乱，还可防止电力线产生的浪涌电压。若停电时间很长或要求较高，可以使用发电机为系统继续提供电力。机房环境包括温度、湿度等，可以使用机房专用空调调节。11.5.4 防雷安全保障硬件安

9、全的另一个重要措施就是要防止雷击，除通常采用的避雷针、接地等手段外，还应防止雷击的电力线或电话线上产生浪涌电压，造成设备的损坏。应在电话线（包括DDN专线）接入设备之前设置防雷装置（电涌抑制器）。为了增强保护，未使用防雷装置保护的设备在打雷时最好和电力线、电话线断开。若有楼宇间架空线缆必须进行接地。11.6 通讯安全网络系统中，数据通讯面临来自多方面的威胁，诸如信息窃听、信息篡改等，保证安全一方面是对网络访问进行限制，如采用防火墙和安全监控系统等，保证信息不被非法用户访问；另一方面是对传输数据进行加密，保证信息传递安全。防火墙和监控系统的应用另外描述，在限制网络访问权限时，还应该注意象路由器、

10、交换机等核心网络设备的配置和使用，保证授权访问的口令安全国。网络传的加密，主要是保障即使第三者获得了传递的信息，也因为信息已加密而使其无法理解信息内容，加密系统应有完整、严谨的密钥管理和维护机制，确保密码系统的高强度；加密产品就支持传输过程和存储过程的加、解密处理和身份认证；数据传输过程中产生的检验码可以及时发现数据遭破坏的情况；密钥处理要保证足够的长度。11.7 系统平台安全系统平台安全的管理一方面要对操作系统自身安全机制进行合理的配置，一方面可以通过采用一些系统平台管理软件来实现。*房产系统的各种服务器，（DNS、FTP、WEB、邮件、数据库等系统）都运行在Windows NT系统平台上或

11、UNIX系统平台上。在设计中，将主要利用UNIX和Windows NT操作系统本身提供的安全机制，通过科学合理的设置来充分利用操作系统所提供的强大安全性能及清除操作系统的安全漏洞，保证*房产系统的安全性。系统级安全性主要是针对网络中所涉及的一些重要服务器而言的。11.7.1 UNIX（LINUX）系统安全性的实现UNIX系统安全性主要通过以下几种方式实现：1）严密保护帐号口令在网络中严密保护用户的帐号和口令，防止外泄是非常必要的，必须采取以下保护措施：l 帐号和口令的持有者应严守秘密，不要轻易将帐号和口令交给他人或随意放置，绝对不能泄露系统管理员的帐号和口令；l 口令设置应尽可能复杂一些，并最

12、好能做到经常更换，防止非法用户轻易猜出口令；l 在UNIX系统中创建用户时，一定要注意用户UID的选用。因为如果两个用户具有相同的UID，他们将互相读写彼此的文件、删除彼此的进程等，这对于UNIX系统是很不安全的，必须确保每个用户都具有唯一的UID，另外，千万不要将根用户或超级用户的UID（即UID为0）随意用于任何一般用户，因为超级用户具有访问系统中的所有文件，删除系统中的所有进程等功能；l 在选用用户的GID也应该特别慎重，因为同一组的用户可以互相访问彼此的文件。2）适当控制文件许可权和拥有权文件的使用权限对于UNIX系统安全来说是十分重要的，在*房产系统随意地分配文件的使用权限，将可能危

13、害整个系统安全，因此适当地控制文件的许可权和拥有权，也是防范非法侵入的非常有效的方法。3）定期检查安全日志和系统状态为了更有效地防范非法侵入局域网的UNIX系统，应定期检查安全日志和系统状态。可以选择使用UNIX系统提供的对系统的活动进行总览的命令或者阅读UNIX系统的安全日志。4）慎重使用网络守护服务UNIX系统还提供了许多网络守护程序，如ftp、telnet、shell、login、exec、talk、tftp等，这些网络守护程序对局域网安全影响很大，应注意慎重使用这些网络守护程序，如无实际应用，在网络中所有UNIX系统中都应禁止这些服务。11.7.2 Windows系统安全性的实现1）严

14、格用户帐号管理加强网络用户帐户的管理，限定用户帐户的访问权限，明确规定帐户的口令限制和帐户的锁定参数。严格限制Administrator组和备份组帐户的成员资格。由于WINDOWS NT/2000服务器的安全帐户管理（SAM）数据库可以由以下用户复制：Administrator帐户，Administrator组中的所有成员，备份操作员，服务器操作员，以及所有具备份特权的人员。而SAM数据库的一个备份拷贝能够被某些工具利用来破解口令，所以必须对那些具有复制SAM数据库权限的特殊用户帐户资格进行严格筛选是，同时加强对这些帐户的跟踪，尤其是Administrator帐户的登录（Logon）失败和注销

15、（Logoff）失败。对SAM进行的任何权限改变和对其本身的修改进行审计，并且设置发送一个警告给Administrator，告知得事件发生。另外，为了防止特洛伊木马（Trojan Horses）及病毒的入侵，所有具有Administrator和备份特权的帐户绝对不能浏览Web。所有的帐户只能具有User或者PowerUser组的权限。将系统管理员administrator帐号改名，以防非法用户对系统管理员帐号进行口令攻击。如果用的是NT4.0，可以用Resource Kit中提供的工具封锁联机系统管理员帐号，这样可封锁由网络而来的非法登录。对于在网络中用于提供公共服务信息的服务器不需要也不应该

16、有除了系统管理用途之外工其他用户帐号。因此，应该废止Guest帐号，移走或限制所有的其他用户账号。2）用NTFS取代FAT在局域网中的各WINDOWS NT/2000服务器上采用NTFS而不用FAT文件系统，限制用户对NTFS卷上的磁盘、目录或文件的访问。NTFS（NT文件系统）可以对文件和目录使用ACL（存取控制表），SCL可以管理共享目录的合理使用，而FAT（文件分配表）却只能管理共享级的安全。使用NTFS ACL的好处在于，如果它授权用户对某分区具有全部存取权限，但共享级权限为“只读”，则最终的有效权限为“只读”。Windows NT取NTFS ACL和共享权限的交集。3）认真设置并正确

17、利用审计系统通过激活Windows NY/2000的事件审计系统，可对在NT/2000环境中安全性是否已经被攻击或攻破做很好的监控与分析。通过审计各种操作成功和失败的情况（失败的情况通常比成功的情况少得多），管理员可随时排除安全隐患；另外不常用的操作也值得注意，如安全性策略的改变和再启动往往反映了未经授权的行为。审计日志本身也需要保护，因为非法用户在进入系统之后通常会抹掉其活动足迹。首先应该定时自动备份日志文件，但是如果这些备份仍然是联机的，则也有可能被非法用户找到。一个比较好的解决方法是将审计事件记录同时制成硬拷贝，或者将其通过W-mail发送给系统管理员。4）认真利用域管理及域之间的委托关

18、系利用域的管理能力，选择安全策略和操作步骤，把服务器和工作站组成逻辑组，以便于更好地管理局域网中服务器和Windows工作站。正确控制局域网中各服务器域的委托关系，从而控制网络用户的访问权限，使局域网中资源只在一定范围内进行共享。5)及时安全最新的Service pack由于Windows NT/2000是近年来才开始流行发展的一个较新的操作系统，其中总免不了存在一些连Microsoft公司的开发人员均始料未及的BUG，而这些BUG往往是在被发现之后才由Microsoft的技术人员制作一些Pack来加以弥补修正。所以，为了最大程度地减少Windows NT/2000中的BUG可能给网络系统带来

19、侵害，除了针对这些BUG对NT/2000操作系统作一些策略性的设置外，另一个重要且有效的方法就是及时安装微软所提供的Service Pack。11.8 应用系统的安全应用软件系统在用户存取权限分级和信息处理的保密方面进行了精心设计，保证使内部的恶意或错误操作给系统带来的影响降到最低。应用系统的安全，在系统设计阶段就应得到重视，尽力避免在实施过程中再反复修改，弥补漏洞。11.9 网络系统的安全*房产综合信息网络与Internet是物理隔离的，这种结构为*房产综合信息在相当程度上提供了安全保证。但是单凭这一点还远远不能适应当今网络安全的要求。*房产综合信息网将作为一个地区子网通过广域网连通本地所有

20、相关终端，其将要受到的安全威胁是一个不容忽视的大问题。因此，需要多角度地分析*房产综合信息网可能存在的安全漏洞和安全风险，并提出针对性的解决办法，保护网络的安全，从而最大限度地减少可能因为被入侵而造成的社会影响和经济损失。网络安全管理的内容包括：保护网络资源不受内部或外部的恶意攻击和破坏，保护网络的配置不受非法的修改；保护网络设备不受内部或外部的恶意、非恶意攻击和破坏；阻止反动的、黄色的信息在网上流动和传播等等。这些问题的解决除加强思想和组织管理外，最根本的办法就是采取有利的措施加强网络运行管理，采用各种保护措施维护网络系统的安全。用户应当建立各种安全规章制度，如值班制度、系统安全运行制度等；

21、完善各种事故保护系统，如防火系统、电源安全保护系统等。应用系统系统的安全策略强调全面保护、规范管理的提高效率。本网络系统是面向用户的，建议采用下面的措施保证网络的安全：l 建立网络用户使用网络资源的规章制度。l 严格划分不同工作人员的权限。l 严格设定各种信息资源、设备资源的使用权限。l 关键信息的传输采用端到端的专用加密工具。l 完善认证/授权的技术控制手段。l 采用分布授权/集中控制的安全策略。l 采用数字签名技术和第三方确认的控制措施。l 加强用户管理，防止非法侵入。l 加强对用户从网上卸下的软件进行病毒检查。l 定时备份系统，防止系统崩溃。l 加强组织管理，完善各项规章制度。11.9.

22、1 网络安全体系在网络不同的协议层次，尽管网络中的实体不同，便都有主体和资源之分。在网络层，主体是客户机，资源是服务器或网络服务。以主体和资源的识别以主机或协议端口为粒度，认证服务主要指主机地址的认证。网络层的访问控制主要指防火墙等过滤机制。在应用层系统中，对主体的认证是指用户身份认证，访问控制的粒度可以具体到某种操作，如对数据项的追加、修改和删除。（图11-1）主体标识/认证完整/保密传输与存储访问控制授权数据审计/抗 抵赖资源（图11-1）各种安全服务之间的逻辑关系从这一模型可以得出如下结论：对资源的访问控制是安全保密的核心，而对用户的身份认证或主机的地址的认证是访问控制的前提。在*房产网

23、络安全方案设计中，确定健全方案所涉及到的系统单元。其次要考虑该系统单元在各个层次所提供的安全服务（功能），然后还应考虑这些单元系统之间的逻辑关系，才能提供全面的、合理的、有机的安全服务。11.9.2 网络平台安全解决方案网络平台安全实施对象网络平台安全主要需要解决网络下三层的安全，包括保证通信线路、网络设备的安全可靠、采用点到点的链路加密设备、采用防火墙设备等实现。通信线路的安全可靠主要是要求线路的屏蔽性好，并采取必要的冗余措施。链路层加密设备主要用在广域网传输数据时提供加密功能。下面着重介绍安全的网络拓扑以及防火墙系统和拨号网络的设计，并介绍网络平台安全管理的主要内容。安全网络拓扑为了保证内

24、部网络的安全，需要：l 禁止外部用户访问内部网络；l 允许用户（不论是内部用户还是外部用户）访问某些公共服务器上的指定信息，并限制用户的操作；l 限制内部用户访问外部的某些服务。为此，在设计安全的网络拓扑结构时，建议采用非军事化区的结构，即通过配置防火墙，划分出一个非军事化区（DMZ），以隔离内部网和外部网。如下图所示，内部网是防火墙的重点保护对象。当防火墙用于整个企业网与Internet隔离的装置时，内部网是指企业的一个内部办公网络环境；当防火墙用于企业内部以隔离不同部门的网络时，内部网指的是受防火墙保护的那个部门子网。（图11-2）（图11-2）DMZ(非军事区)Mail ServerDN

25、S ServerWeb Server对外服务区内部网外部网安全网络拓扑结构图外部网通常是指Internet，当防火墙用于一个企业内部不同部门的网络之间是地，也包括除该企业其它部门的网络。非军事化区（DMZ）又称停火区，是一个从外部网和内部网都可以访问到的子网。非军事化区一般用来放置一些公共服务器，如DNS、WEB、FTP、MAIL、网管等服务器，而内部应用系统的服务器（如数据库服务器、应用服务器等）一般放在内部网中。具体到*房产信息网，非军事化区指省、设区市数据中心的对外服务器区域，而内部网络是指*房产办机构内部局域网。如上图所示，设置防火墙后，可以限制从外部网访问内部网，而内部网对外部网与D

26、MZ区的访问、外部网访问DMZ区以及从DMZ区向外部网和内部网发送的数据包可以通过防火墙规则予以限制。防火墙的配置防火墙是网络安全系统的核心防护措施，它可以提供基于IP地址和TCP/IP服务端口的访问控制；对常见的网络攻击方式，如拒绝服务攻击（ping of death ,1and,syn flooding,ping flooding,tiar drop,）、端口扫描（portscanning)、IP欺骗（ip spoofing）、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。使用防火墙可以构架VPN虚信道 ，该信道具有如下特性：l 可用来连

27、接两 个专用网；l 通过可靠加密技术方法保证其安全性，因此是专用的；l 作为一个公共网络系统（如Internet）的一部分存在。1. 防火墙的介绍当机构的内部数据和网络设施暴露给外部黑客时，网络管理员越来越关心网络的安全，为了提供所需级别的保护，机构需要有安全策略来防止非法用户访问内部网络上的资源和非法向外传递内部信息。即使一个机构没有连接到外部上，它也需要建立内部的安全策略来管理用户对部分网络的访问并对秘密数据提供保护。防火墙是这样的系统（或一组系统），它能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪此可以访问的服务，以及哪些外部服务可以

28、被内部人员访问。要使一个防火墙有效，所有来自和去往外部网络的信息都必须经过防火墙，接受防火墙的检查。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。但不幸的是，防火墙系统一旦被攻击者突破或迂回，就不能提供任何的保护了。1）为什么要选用防火墙防火墙负责管理外部网络和机构内部网络之间的访问。在没有防火墙时，内部网络上的每个节点都暴露给外部网络上的其它主机，极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定，并且安全性等同于其中最弱的系统。防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等攻击进入内部网络。禁止存在安全脆弱性的服务进出

29、网络，并抗击来自各种路线的攻击。防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。在防火墙上可以很方便的监视网络提安全性，并产生报警。应该注意的是：对一个内部网络已经连接到外部的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。防火墙是审计和记录外部网使用量的一个最佳地方。网络管理员可以在此向管理部门提供连接的费用情况，查出潜在带宽瓶颈所位置，并能够根据机构的核算模式

30、提供部门级的记费。防火墙也可以成为向客户发布信息的地点。防火墙作为部署WWW服务器和FTP服务器的地点非常理想。还可以对防火墙进行配置，允许外部网络访问上述服务，而禁止外部对受保护的内部网络上其它系统的访问。2）使用防火墙的注意事项防火墙无法防范通过防火墙以外的其它途径的攻击。例如，在一个被保护网络上有一个没有限制的拨出存在，内部网络上的用户就可以直接通过SLIP或PPP连接进入Internet。聪明的用户可能会对需要附加认证的代理服务器感到厌烦，因而向ISP购买直接的SLIP或PPP连接，从而试图绕过由精心构造的防火墙提供的安全系统。这就为从后门攻击创造了极大的可能。网络上的用户们必须了解这

31、种类型连接对于一个有全面的安全保护系统来说是绝对不允许的。防火墙也不能防止来自内部变节者和不经心的用户们带来的威胁。防火墙无法禁止变节者或公司内部存在的间谍将敏感数据拷贝到软盘或PCMCIA卡上，并将其带出公司。防火墙也不能防范这样的攻击；伪装成超级用户或诈称新的工作人员，从而劝说没有防范心理的用户公开口令或授予其临时的网络访问权限。所以必须对工作人员进行教育，让它们了解网络攻击的各种类型，并懂得保护自己的用户口令和周期性变换口令的必要性。防火墙也不能防止传送已感染病毒的软件或文件，这是因为病毒的类型太多，操作系统也有多种，编码与压缩二进制文件的方法也各不相同。所以不能期望防火墙去对每一个文件

32、进行扫描，查出潜在的病毒。对病毒特别关心的机构应在每个桌面部署防病毒软件，防止病毒从软盘或其它来源进入网络系统。最后一点是，防火墙无法防范数据驱动型的攻击。数据驱动型攻击从表面上看是无害的数据被邮寄或拷贝文不对题Internet主机上，但一旦执行就开始攻击。例如，一个数据型攻击可能导致主机修改与安全相关的文件，使得入侵者很容易获得对系统的访问权。3）防火墙在网络中的应用基于上述考虑，在防火墙设计时，我们首先将网络划分为三个基本子网区域：l 内部服务子网；l 公共子网（即公共服务区或DMZ停火区）；l 外部非安全网络；不同子网区域有不同安全需求，因此不同子网区域应该有不同安全架构。使用防火墙建立

33、屏蔽子网体系结构，它将内部服务子网和工作子网与外部非安全网络隔开。如图所示（图11-3）。（图11-3）屏蔽子网采用一台防火墙，交内部网与外部 非安全网通过屏蔽子网隔离，使得外部IP数据包只能到达化公共子网，而且也只有公共子网的IP数据包才能到达外部网。这样的架构使得内部网和外部网不能直接通信，双方都只能到达公共子网。将公共子网的对外提供WWW、电子邮件、域名解析和文件传输服务的服务器以及代理服务器放在屏蔽子网。代理服务器安装在屏蔽子网，代理内部用户访问非安全的公共网。这样既使外部用户能方便浏览下载企业的公开信息，与内部网用户交换邮件，又使外部用户不能通过这种方式攻击内部网的资源，篡改数据，同

34、时也保证了WEB服务器和MAIL服务器上的数据。2.防火墙配置对外服务器区根据*房产综合信息网的结构，在*房产数据中心设置了防火墙设备，如下图所示。（图11-4）处室网络DMZ(非军事区)公共数据网DDN处室网络处室网络处室网络处室网络防火墙内部服务器区（图11-4）其配置要点如下：对外连接的路由器以及拨号访问服务器直接连接一防火墙的外网卡上。这样外部网络的拨号访问用户将作为一个不可信任的外部网络，被隔离在局域网的外面。数据中心划分成服务器子网和办公子网。服务器子网包括对外提供服务的服务器，如WWW服务器、FTP服务器、DNS服务器等。办公子网是数据中心人员的日常办公用机器。数据中心服务器子网

35、连接到防火墙的DMZ网卡上，构成了一个非军事化区，提供对外部网络用户的信息服务。数据中心的办公子网与各单位局域网一样，连接到位于数据中心的中心交换机上，作为内部网进行保护。通过设在非军事化区的应用层安全服务器代理，外部网的用户可以访问到位于内部网的服务器资源。各单位子网之间的安全暂时通过交换机设备的配置，划分虚网进行隔离。在必要时可以配置防火墙进行隔离。3 防火墙设备选型原则这里配置的防火墙将使*房产网上的局域网通过广域网与外部网络相连，其安全性将影响到整个网络的，因此必须遵循以下原则，谨慎选择：l 防火墙自身的安全必必须有保证，防火墙必须采用具备安全内核的操作系统，必须能够构建安全的网络拓扑

36、。l 防火墙必须具备高的性能。从*房产系统的实际情况来看，对防火墙工功能要求并不高，只需要能够隔离内外两部分网络，禁止外部用户直接进入防火墙内部，其它较高层次的安全功能可以通过应用层等较高层次的安全产品实现。因此要求该防火墙设备具备较高的IP包过滤能力；l 必须采用国内自主研发的、经过国家认证的防火墙产品；l 防火墙的功能。4. 防火墙位于内部网络与外部连接处处理 防火墙位于内部网络与外部网络的连接处，对进出内部网络的所有数据进行检查，符合一定的访问控制规则的允许通过，否则要拒绝或修改数据中，并能检测出可能的非法内外网络入侵，及时进行处理和记录，保证网络安全。防火墙能有效地防止黑客入侵，抵御来

37、自外部网络的攻击，保证内部系统的资料不被盗取，可为现有的网络提供最有效、最彻底的保安措施。防火墙主要功能如下：1）网络地址转换防火墙系统支持动态、静态、双向网络地址转换。防火墙提供了静态NAT和动态NAT两种方法，源NAT和目的NAT两种NAT方式。2）IP包过滤端口过滤：即指定为某些端口提供服务。服务过滤；即协议过滤。防火墙系统支持现有的95种通信协议和730种应用服务，包括WWW、FTP、POP3、数据库服务、多媒体服务、Microsoft网络服务等等。地址过滤：IP地址过滤是指定为某些IP地址的计算机提供相关服务。3）HTTP协议内容过滤；4）FTP协议内容过滤；5）邮件内容过滤；6）用

38、户身份访问控制，用户身份认证：一次口令认证、IP/MAC绑定7）入侵检测功能：实时检测是否有入侵行为8）防火墙日志管理9）方便而强大的管理功能：防火墙的强大的功能轻松配置完成。拨号网络的安全设计根据前面*房产大市场总体设计，可采用具有拨号接入功能的路由器与内部电话网连接。该拨号路由器位于设置的防火墙前面，因此，拨号用户访问网络资源时，会在三个不同的层次上受到控制。l 拨号路由器本身提供的安全控制。大多数拨号路由器支持RADIUS和TACACS认证协议，提供AAA服务，即身份认证（Authentication）、访问控制（Authorization）和记帐（Accounting）。拨号路由器可以

39、鉴别出不同的拨号用户身份。l 防火墙对拨号用户的安全控制。防火墙可以鉴别出拨号用户与其它用户，并针对拨号用户设置一些过滤规则，防止非法用户入侵内部网络。l 应用安全平台的安全控制。在拨号用户通过拨号路由器和防火墙的控制之后，如果希望访问某些受到应用安全平台加强管理的资源时，还需要通过应用安全平台的安全控制。应用安全平台可以鉴别出针对每个应用系统设置的用户身份。防病毒网关配置为了防范病毒通过Internet进入*房产局域网内部，我们建议在*房产网络局域网内部外部网接口处配置防病毒网关，对所有进出各部门的数据进行检查，特别是通过HTTP方式传送的WEB页面中所带的Script小程序、通过FTP和E

40、MAIL传送的文件（特别是可执行文件、DOC、.EXL文件等）。通过配置防病毒网关，可以防范病毒从Internet传入各江西网络局域网内，也可以防范某些病毒从局域网向外传播时泄漏一些敏感资料。防病毒网关作为整个防病毒体系的一个必不可少的部分，可以在配置防病毒体系统一配置，并通过各局域网病毒软件的管理中心统一管理、统一升级。网络平台安全管理1 关键网络互联设备的安全保障在*房产综合系统中，对整个网络的安全来讲，首先要确保的是网络设备的安全，保证非授权用户不能访问路由器、交换机或防火墙等关键设备。对于不同的网络设备、不同厂家的网络设备，要防范的内容是一样的，但具体的配置方法可能不同。为了保障网络设

41、备的安全性，需考虑以下几个方面的因素；1）对网络设备的安全控制。对于可访问路由器等网络设备的用户可以设置不同的用户权限，如“非特权”和“特权”两咱访问权限，非特以访问权限允许用户在路由器上查询某些信息但无法对路由器进行配置；特权访问权限则允许用户对路由器进行完全的配置。对路由器访问的控制可使用以下几种方式：l 控制台访问控制；l 限制访问空闲时间；l 口令的加密；l 对Telnet访问的控制；l 多管理员授权级别。2）统一的用户的认证与授权。在一个管理域内，配置一个或多个认证服务器，对整个网络设备的认证、授权以及审计跟踪进行统一管理，对认证服务器作相应的配置，保证用户口令不在网络上传输，并定期

42、更换口令。网络设备的管理可以采用网管系统中选用的产品。3）控制SNMP访问，通过对设备的配置，使得只能由某个指定IP地址的网管工作站才能进行网络管理，对路由器或网络设备进行读写操作。4）关闭设备上不必要的服务，如Echo(7)、Discard(9)、Daytime(13)、Chargen(19)、Finger(79)等端口，可以防止设备负载过高而造成的拒绝服务类型的攻击。2. 路由信息的安全交换路由器之间交换的路由信息的真实性、完整性和保密性对网络的正常运行至关重要。有些路由协议（如RIP）对所收到的路由信息不做任何检查与啐证，攻击者很容易向路由器发送假的路由信息，由路由器之间自动的路由信息交

43、换而扩展到整条路径上，从而声明一条假的路径，使得本来应该发往某个特定主机的信息全部发送到攻击者自己的机器上去，甚至造成整个网络的瘫痪。因此，路由器和路由协议必须保证路由信息的认证与完整性，重要节点间还应支持路由信息加密。推荐使用安全路由器和安全的路由协议，能够利用各种密码技术实现路由器间相互认证，保证路由信息的完整性、保密性。不知道密钥的路由器无法参与整个管理和其间的路由信息交换。除了假冒路由的攻击，管理员配置的失误也常常是造成网络路由故障的因素。特别是不同管理域之间的路由信息交换，比如省级网络边界路由器与设区市级主干网络路由器之间，如果使用动态路由协议，一旦省级网络管理员错误配置了一条路由，

44、该路由很快被传播到整个网络，造成网络的不连通故障。我们建议各级局域网在与上级单位的网络相联时，尽量采用静态路由方式，将动态路由配置的失误局限在本地，同时明确了网络管理员的权利与责任。3. 域名系统的安全域名系统（Domain Name System）为域名向IP地址的转换提供了分布式数据库管理机制。当某一用户连接某个远程主机时，攻击者可以对该用户的域名解析请求发送一个域名服务器响应报文，从而把用户的连接转向到攻击者控制的一台主机，这样攻击者就可以收集口令、监听或者篡改数据，。域名系统攻击和路由攻击相结合对网络可能造成灾难性的破坏。各级信息网网络中心必须保证域名服务器的系统安全，省对下属各单位子

45、网的域名的登记注册需有一套严格的审批手续。各种客户端和服务器、网络互连设备的域名服务器配置，一定不能使用未经*房产局批准的域名服务器，以防域名欺骗。对域名服务器可以前杉应用安全平台产品提供更进一步的安全保障。网络管理系统中一般都存储着网络设备的配置等重要管理信息，提供控制网络设备的工具，网络管理系统和网络设备与服务之间传输着配置命令的重要信息。网络管理系统的安全可靠将会影响整个网络的安全。许多网管系统提供了基于Web的管理界面，致使具有浏览器的任何用户都可以访问网络管理系统。因此，网络管理系统需要严格的身份认证、对于来自非控制台的用户，需要强认证机制，不能在网络上明码传输口令；对不同网络管理员

46、，根据其任务和角色提供不同级别的授权控制；对管理员的每次使用和对网络设备的操作，需要有完善的审计机制，以便于故障的恢复、责任的追查；网络管理系统和被管理设备支持SNMPv2使用对称密钥技术和MD等单项HASH函数实现网络系统与被管理设备间的认证与数据的完整性和保密性；被管理设备通过设置视图（View）和读写权限，控制来自网络管理工作站的访问。用于存放设备配置信息的TFTP服务器需要高度安全的配置，保护路由器配置文件不被人非法获取。安全检测和实时监控系统在经济允许的情况下，对于*房产综合信息网络系统可以配置安全检测和实时监控系统。安全检测系统可以通过模拟已知的各种黑客攻击手段，找出系统存在的各种

47、漏洞，从而在被真正的黑客之前，及时采取措施。安全检测系统一般是定期执行，扫描防火墙、路由器等各种网络设备、各种服务器的操作系统以及WEB等各种应用系统。安全检测系统可以配置在数据中心，对网络上的所有服务器、网络设备进行检测。实时监控系统黑客攻击方法，抽取出了大量的访问特征，如在短时间内发送大量的数据包等。实时监控系统一般有很多探测头，位于网络的保敏感地段，如防火墙两侧，探测头抓获所有通过的数据包，一旦发现有可疑的数据包，即通过各种方式，如警报、邮件等向管理员报警，并终止该连接。由于现在的黑客攻击手段主要是利用操作系统及其各种服务存在的漏洞，因此配置安全检测和时监控系统对于加强操作系统配置管理，

48、保证系统安全具有更重要的意义。实时监控系统配置在关键的路由地段，如防火墙的两侧。如下图所示。（图11-5）DNS Server内部服务器区路由器公共数据网 DDN（图11-5）入侵检测探头外室网络外室网络实时监控防火墙DNS ServerWEB ServerMail Server对外服务器区安全检测和实时监控系统设计安全检测、实时监控和前面提到的各种安全措施，为*房产综合信息网络系统构成了一个立体化的网络安全防御体系。11.10 网络防病毒体系1.防病毒途径网络环境下的防病毒必须层层设防，逐层把关，堵住病毒传播的各种可能途径，包括：网关防病毒Internet是现在病毒传播的一个最主要的路径，访

49、问Internet网站可能会感染蠕虫病毒，从Internet下载软件和数据可能会同时把病毒、黑客程序都带进来，对外开放的WEB服务器也可能在接受来自Internet的访问时被感染上病毒。因此需要在网络接口处重点防范病毒的传播。为此，建议在局域网接口的外部服务器子网配置网关防病毒服务器，检查所有进入局域网内部的数据，清除病毒。邮件防病毒：邮件附件是当前网络病毒传播的一个重要途径，因此要在邮件服务器上配置邮件防病毒软件，检查所有从邮件服务器发送和接收的邮件，特别是其邮件附件。建议关外部邮件服务器和内部邮件服务器上分别配置邮件防病毒服务器。另一方面，防范邮件病毒传播要加强对用户的安全教育，对于所有来

50、源不明的邮件不要轻易打开，特别是其附带的邮件附伯。在打开邮件之前，最好打电话与发件人确认，因为很多邮件病毒是自动从通讯录中查找收件的。发送邮件时，最好不要使用复杂的格式，可以直接使用纯文本格式，这样邮件带病毒传播的机会就很小了。服务器防病毒对重要的服务器，配置服务器防病毒软件。建议在*房产网络中的WEB服务器、应用服务器、数据库服务器、邮件服务器等配置服务器防病毒软件。防病毒软件的选择必须遵循以下原则 ：l 有完备的产品体系，有包括网关防病毒、对各种邮件服务器的邮件防病毒服务 器、服务器防病毒；l 能够统一管理，便于统一安装防病毒软件、统一更新病毒码和升级病毒检测引擎。l 有先进的病毒检测机制

51、，定期更新病毒码。，l 有先进的病毒检测机制，定期更新病毒码。2. 防病毒要求由于病毒的极大危害及特殊性，本系统建议采用多层的病毒防卫体系。所谓多层病毒防卫体系，是指在每个台式机上要安装台式机的反病毒软件，在服务器上要安装基于服务器的反病毒软件，在INTERNET网关上要安装基于INHTERNET网关的反病毒软件，因为防止病毒的攻击是每个网络使用人员的责任。人人都要做到自己使用的中式机上不受病毒的感染，从而保证整个企业网不受病毒的感染。根据国际通行的惯例以及自身需求，我们认为*房产系统采用的防病毒体系就满足以及要求：l 强大的病毒捕获、查杀处理能力l 具备实时监控功能l 系统资源占用率低l 自

52、动安装、自动升级、方便的系统更新l 实时/定时扫描、统一管理远程扫描l 多种病毒处理方法/多种报警方式l 支持跨平台操作系统l 具备灾难恢复功能l 不影响系统性能，不与关键系统操作如备份冲突3.防病毒软件功能防病毒体系具体的功能如下：1）远程化l 远程安装 在主服务器安装系统后可远程安装各个辅助服务器和客户。l 远程管理 系统管理员可以通过控制台对客户端的杀毒软件进行设置，避免客户端的疏忽而产生整个病毒防护系统的漏洞 。2）动化l 自动核对版本、下载 系统定时自动核对版本，采用自行研制的断点续传技术下载升级包，避免重复下载，使升级迅速、可靠。l 自动分发、升级 升级程序下载后，自动分发给局域网

53、内的各服务器与客户端，全面升级。自动化的版本核对、下载、升级，使网络管理员不必整日深陷于雷同而繁琐的操作。同时实时监控功能能够自动保障整个网络时时刻刻处于杀毒软件的安全保护下。3）智能化l 智能安装 智能识别系统环境，实现智能安装。l 智能查询核对并分发 对登录的客户端实行版本智能核对，自动更新升级，保证全部节点版本一致，避免因版本差异导致杀毒能力差异，出现网络防毒的薄弱五环节。l 智能化功能能够大大减少系统管理员的工作量，同时避免整个网络出现防毒的薄弱环节。4）易实现、易扩展l 系统资源占用小，对环境要求少，可方便实现l 界面简洁明了，易学易用l 扩展实现简易、方便实现了与操作系统的底层无缝

54、链接，系统资源占用小。同时避免其他杀毒软件复杂而不实用的界面，整个界面简洁明了、功能全面，使系统管理员能够清楚的掌握整个网络环境中各个节点的安全状态，轻易整个网络的查杀病毒与网络安全管理。同时能够方便而简易地实现扩展，用户不必担心因网络的不断扩展而引发的问题，在现有资源基础上，不必重复建设，可轻易实现扩展。5）安全与隐密的协调统一l 保障客户局域网系统的隐秘性与安全性统一而不矛盾l 杀毒软件在保证系统管理员对局域网进行全面安全管理的同时更确保了局域网用户的个人隐私不受侵犯。6）贴身设计，主设置灵活l 依据系统管理员需求选择控制管理和查杀毒的系统范围l 自由选择不同的扫描方式，对文件分类查杀，提

55、高效率l 自由选择查杀毒的操作方式，灵活方便l 自由选择下载方式，依据系统要求，对下载、升级进行定时设置，并由系统管理同在全自动、半自动、手工操作方式中任意选择。在尽可能简洁的基础上为用户提供必要而实用的设置，确保不同用户的相应需求。7）集中式管理，分布式查杀中央系统中心结合移动控制台实现全局方便管理管理员可以将任意一台服务器或客户端设置为移动控制台，对局域网进行远程集中式安全管理，并可通过帐号和口令设置控制移动控制台的使用。8）先进的分布计算技术采用了先进分布式计算技术，利用本地资源和本地杀毒引擎， 对本地节点的所有文件全面、及时、高效地查杀病毒，同时保障用户的隐私，减少了网络传输的负载，避

56、免因大量传输文件而引起的网络拥塞。9）迅速、彻底、强大的查杀毒功能l 查杀各种病毒-先进的杀毒引擎确保查杀精确、迅速l 查杀黑客程序-实时监控速度在同类软件中极为突出l 查杀各种形式的压缩文件11.11 数据备份和 灾难恢复系统安全的一项重要内容就是对可能引起中断或故障的各种原因进行评估，对于出现概率大或损惨重的问题，都要事先制定出相应的灾害恢复计划，即制定出相应的灾害预防、侦察方法以及复原的处理方法和步骤，一旦系统出现故障，就可按事先制定的计划有条不紊的使系统得以复魇，减少灾难损失。系统灾难的发生一般由以下方面情况造成： 主机故障：程序异常结束，系统异常终止，数据库故障和硬件故障。 自然灾害

57、：地震，洪水，台风，龙卷风。 人为因素：纵火，停电，建筑物倒塌。系统设计时，要充分考虑可能的各种灾害，并制定相应的防范措施。推荐采用远程数据备份措施做为对灾害恢复计划的补充和完善。对于*房产系统，保证数据的存储安全的主要手段是数据库数据的备分和保存。因此，数据存储安全的设计主要是对数据库备份系统的设计。但是再好的备份系统、备份策略都需要工作人员高质量的执行。1.灾难的防范对系统灾难的恢复，最重要的是有数据库数据的完整备份。硬件设备坏了可以重新购买，但数据丢失却是无法挽回的，对灾难的防范措施中最重要的就是数据的备份和备份存储介质的异地、安全保存。只要有数据的备份，不管发生多么严重的灾难，系统总是

58、能恢复的。其它的防范措施主要是对消防安全、电力设备维护、机房安全保卫工作的重视，对这些工作要长抓不懈。2.灾难的恢复灾难的恢复，首先是建立在平时防范工作的基础上的。一旦发生系统灾难，我们会把系统的恢复放在第一位考虑，调最好的技术人员尽快赶到现场，以敢快的速度调集需要的设备，尽一切的努力快速恢复系统的运行，减少震动和混乱，减少系统的损失。11.12 安全管理如前所述，安全管理主要包括行政管理和技术手段管理两个方面。技术手段的管理主要是对主机、网络设备、操作系统和应用平台的安全设置及安全产品的管理，在前面已经做过介绍。因此这里主要介绍行政管理，即安全管理体制与管理制度。11.12.1 安全管理职能

59、建设为了保证各项安全技术的实施与管理，数据中心必须具备以下四种职能： 认证中心和密钥管理中心职能，除了应用服务器签发证书外，还统一管理用于各种网络设备的密码算法和密钥； 网络安全管理职能，保障网络的安全可靠运行 ； 用户系统安全管理职能，负责应用系统的安全可靠运行，并负责用户的授权和维护工作； 网络安全监控职能，实时监视网络的各种活动，并与以上三个职能部门协作，发现和弥补安全隐患，检测、终止和跟踪入侵行为和犯罪行为，增强网络的安全性。11.12.2 安全管理基本原则安全管理的基本原则 分离与制约原则，包括内部人员与外部人员分离、开发人员与用户分离、用户机与分离、权限分级管理等； 有限授权原则；

60、 预防为主原则； 可审计原则。11.12.3 安全管理制度为保证各项安全措施的实施并真正发挥作用，必须制定以下各项规章制度； 人员安全管理制度，包括安全审查制度、岗位安全考核制度、安全培训；制度、安全保密契约管理、离岗人员安全管理制度； 文档管理制度，各种文档（包括书面和电子等各种形式）必须有清晰的密级划分，妥善管理； 系统运行环境安全管理制度，包括机房出入控制、环境条件保障管理、自然灾害防护、防护设施管理、电磁波与磁场防护等； 软硬件系统的选购、使用与维护制度，设备选型、设备购置、安全检测、设备安装、设备使用、设备维护、设备保管等过程中必须有明确的规章制度作指导。对软件选型与购置审查、软件安

61、全检测与验收、软件安全跟踪与报告、软件版本管理、软件使用与维护、软件安全稽核也必须做出明确的规定； 应用系统运营安全管理制度，包括操作安全管理、操作权限管理、操作规范管理、操作责任管理、操作监督管理、操作恢复管理；系统启用安全审查管理、应用软件稽核管理、应用软件版本管理、应用软件更改安全管理，应用系统备份管理、应用软件维护安全管理； 应用系统开发安全管理制度，包括开发平台安全管理，开发环境安全管理、开发人员安全管理、开发系统安全规范管理、开发系统安全检测、开发系统安全移交管理； 应急安全管理制度，制订应急案例制定和应急实施计划、应急备用管理、应急恢复管理、应急后果评估管理。11.12.4 用户

62、的教育与培训管理员和用户的安全意识和所掌握的技术是整个网络和信息系统安全保障体系运行维护的前提。建立相应的用户培训制度，成立相应的安全培训机构，是整个网络安全实施的最重要的重要保障。11.12.5 基于J2EE安全体系统的内外部身份验证1.验证模式身份验证是用户或组件调用者向系统证明其身份的过程。用户通过某种方式向系统提交验证信息（通常是用户名和密码或者是用户的数字证书），系统用用户提供的验证信息和系统的安全策略来验证用户的身份。（图11-6）（图11-6）图例关键名词说明：ACC 访问控制JMS Java 消息服务MDB 消息驱动 Bean用户的验证根据其客户端类型不同分为两种：外部用户和内

63、部用户。1）外部用户用户验证通常也是WEB客户端验证。Web客户端通常通过http协议来请求web服务器端的资源，这些web资源通常包括html网页、jsp（java server page）文件、java servlet和其他一些二进制或多媒体文件。在企业环境中，企业的某些资源往往要求只允许某些人访问，有些资源甚至是机密的或安全敏感的。因此对企业中各种web资源进行访问控制是十分必要的。为了满足企业中的不同安全级别和客户化的需求，J2EE提供了三种基于web客户端的验证方式： HTTP基本验证（HTTP Basic Authentication） HTTP基本验证 HTTP协议所支持的验证机制。这种验证机制使用用户的用户名和密码作为验证信息。Web客户端从用户获取用户名和密码，然后传递他们给web服务器，web服务器在指定的区域（realm）中验证用户。但需要注意的是，这种验证方法是不够安全的。因为这种验证方法并不对用户密码进行加密，而只是对密码进行基本的base64的编码。而且目标web服务器对用户来说也是非验