系统安全设计原则

《系统安全设计原则》由会员分享，可在线阅读，更多相关《系统安全设计原则（9页珍藏版）》请在装配图网上搜索。

1、系统安全设计原则系统安全设计和备份原则系统安全和系统备份是系统设计中非常重要的一个部分，主要包 含以下几个方面。系统安全设计项目对信息安全性主要关注三大方面：物理安全、逻辑安全和安 全管理。1、物理安全是指系统设备及相关设施受到物理保护，使之免糟破 坏或丢失。2、逻辑安全则是指系统中信息资源的安全, 它又包括以下三个方 面：保密性、完整性、可用性。3、安全管理包括各种安全管理的政策和机制。 针对项目对安全性的需要，我们将其分为5 个方面逐一解决： 应用安全1、管理制度建设旨在加强计算机信息系统运行管理，提高系统安全性、可靠性。 要确保系统稳健运行，减少恶意攻击、各类故障带来的负面效应，有 必要

2、建立行之有效的系统运行维护机制和相关制度。比如，建立健全 中心机房管理制度，信息设备操作使用规程，信息系统维护制度，网 络通讯管理制度，应急响应制度，等等。2、角色和授权要根据分工，落实系统使用与运行维护工作责任制。要加强对相 关人员的培训和安全教育，减少因为误操作给系统安全带来的冲击。要妥善保存系统运 行、维护资料，做好相关记录，要定期组织应急演练，以备不时之需。3、数据保护和隐私控制数据安全主要分为两个方面：数据使用的安全和数据存储的安全。 数据保护旨在防止数据被偶然的或故意的非法泄露、变更、破坏， 或是被非法识别和控制，以确保数据完整、保密、可用。数据安全包括数据的存储安 全和传输安全两

3、个方面。为了保证数据使用过程的安全，建议在系统与外部系统进行数据 交换时采用国家相关标准的加密算法对传输的数据进行加密处理，根 据不同的安全等级使用不同的加密算法和不同强度的加密密钥，根据特殊需要可以考虑使用加密机。 数据的存储安全系指数据存放状态下的安全，包括是否会被非法 调用等，可借助数据异地容灾备份、密文存储、设置访问权限、身份识别、局部隔离等 策略提高安全防范水平。为了保证数据存储的安全可以使用多种方案并用，软硬结合的策 略。同城的数据同步复应用支撑平台的权限控制技术支持多种身份认证规范， 可以很方 便的与其它系统进行集制，保证数据的安全性 同城的数据同步复制，保证数据的安全性 同场数

4、据复制不但可以保证数据的备份的速度，同时可以支持数 据的快速恢复。 生产环境的数据存储系统可以使用磁盘冗余阵列技术当前的硬盘多为磁盘机械设备， 因生产环境对系统运行的持续时 间有很高要求，产环境数据的丢失，使得整个系统无法继续运行。4、审计 各种操作，例如成功登录，不成功登录，启动事务，启动报表， 登录次数时间等等，这些信 息全部记录在系统日志中， 没有任何信息 会记录在客户端，用户可以根据需求随时查看和分析这些信息。应用 支撑平台还提供了其他手段来跟踪指定用户的操作以及对系统进行的 变更 只有相应的授权用户和管理员可以查看这些日志进行分析。根据用户的要求，应用平台可以记录各种谁、何时、作了什

5、么的 信息。每条记录均有用户 ID ，日期，输入的数据，本地时间等等。审计功能的中央监控模式可以将系统和业务数据作为监控源， 监 控第三方系统， 或者将审计功能集成到其他监控系统中。 监控信息和 日志可以被管理员以及相应的授权用户查看和分析。5、抗抵赖作时间、IP地址、操作结果等信息。防止系统使用者为谋取不正 当利益采取的否认操作的行为。协同安全1、认证联盟 身份认证是当前信息系统需要解决的首要问题， 目前很多系统都 采用了自行设计和开发 自有身份认证系统， 这样的身份认证系统不但 安全没有保障， 同时也不符合一定有标准规范， 很难与其它系统进行 集成。系统在 运行过程中硬盘一旦达到使用寿命就

6、会出现机械故障， 从 而使等硬盘无法继续工作。生产环境的数据存储设备如果没有使用磁盘冗余阵列技术， 一旦硬盘出现机械故障将会造成将会生 本项目的技术支撑技术提供了强大的审计功能， 采用审计各种手段来记录用户对系统的同时利用标准接口， 支持 系统的日志管理功能对所有重要操作都 有详细的记录，内容包含操作人员的登录 ID 、操2、消息安全 数据传输交换过程中，传输的数据不法分子有可能被截获、破译、用支撑层的技术支持多种数据加密和数据签名技术，可以有效保证数 据的安全性和可靠性。3、安全协同 项目对系统间服务调用的完整性和机密性提出了很高的要求， 种安全策略用以解决WE服务调用的安全性问题。4、信任

7、管理应用支撑层的技术支持PKI安全基础设施用户访问安全1、身份管理用户管理和身份认证是项目安全部分的重要组成部分， 我们建议 采用集中式的用户管理方式。因为生产环境用户访问量非常大，原始 的、 采用数据库查询的认证方式显然无法满足 性能的要求，我们建议 采用LDAP!录服务器做为身份认证信息的存储服务器。因为LDAPI身 的技术特点， 可以很好的解决查询的性能问题， 利用应用支撑层的技 术开发的辅助功能， 可 以最大限度的优化身份管理和认证的速度。 2 认证和单点登陆 项目是一个有着复杂接入方式的系统， 同时要求提供 多种身份认证方式，应用支撑层的技术支持基本于LDA用艮务器的 查询式身份权限

8、认证，也支持基于证书的身份权限认证， 同时 支持其 它标准的身份认证规范。 应用支撑层的技术支持单点登陆， 身份权限 信息统一维护， 用户只需登录一次即可完成 各子系统的身份认证信息 的审核，无需多次登录系统。 3、访问控制 按用户身份及其所归属的 某预定义组来限制用户对某些信息项的访问， 或限制对某些控 制功能 的使用。访问控制通常用于系统管理员控制用户对服务器、目录、文 件等网络资源的访问。架构安全1、物理安全旨在保护计算机服务器、 数据存贮、 系统终端、网络交换等硬件 设备免受自然灾害、人成。并有可能被篡改，应应用支撑层的技术支持多 为破坏，确保其安全可用。制定物理安全策略，要重点关注存

9、放 计算机服务器、数据存贮设备、核心网络交换设备的机房的安全防范。其选址与规划建设要 遵循GB9361十算机场地安全要求和 GB2887 计算机场地技术条件，保证恒温、恒湿，防雷、 防水、防火、防鼠、防磁、防静电，加装防盗报警装置，提供良好的接地和供电环境，要为 核心设备配置与其功耗相匹配的稳压及UP环间断电源。根据需要对机房的进行电磁屏蔽，防止电磁泄露，预防主机受到 外界的恶意电磁干扰和信息探测。2、网络传输安全网络传输安全分网络访问安全和网络数据传输安全两个部分。网络访问安全技术是为了有效保护物理网络不被非法访问而采取 的保护技术。网络访问安全主要使用防火墙技术和代理技术，外部设 备不能直

10、接接入到物理网络，必须经过防火墙或代理服务器才可以访问网络。数据安全不能只关心数据加身的加密问题，同时还应当关注数据 传输途径的的安全问题o项目对数据传输安全提出很高的要求主，核心征管系统与外部系 统进行数据交换时不但要使用数据加密技术加密数据本身，同时还应当使用SSL SNC等安全协议进行数据传输以保证数据的安全，预防网攻击。3、平台安全平台安全是指项目所使用的系统级软件的安全，主要包括操作系 统安全、中间件安全、数据库系统安全、病毒检查等方面。4、系统安全系统安全是指系统间通信的安全问题，为保证系统间的通信安全 建议使用 SSL 等安全协议进行数据通信。5、终端安全终端安全是访问项目及其配

11、套软件、服务器的终端设备的安全。 终端安全是整个系统安全中最薄弱的环节，建议采取以下措施来加强终端安全：1) 控制接入网络2) 网络访问控制3) 验证最低限度的信任4) 只允许可信终端访问系统5) 对终端与系统交换的数据进行加密，采用安全协议进行通信。 软件生命周期安全1、安全开发2、默认安全配置默认安全配置是指为了保证系统运行的所需安装的最少软件和相 关设置。3、发布安全SWORD 用支撑的权限控制功能提供系统方案用于解决发布安全 问题。 4、变更安全管理旨在加强计算机信息系统运行管理，提高系统安全性、可靠性。 要确保系统稳健运行，减少恶意攻击、各类故障带来的负面效应，有 必要建立行之有效的

12、系统运行维护机制和相关 制度。比如，建立健全 中心机房管理制度，信息设备操作使用规程，信息系统维护制度，网 络通讯管理制度，应急响应制度，等等。要根据分工， 落实系统使用与运行维护工作责任制。 要加强对相 关人员的培训和安全教录，要定期组织应急演练，以备不时之需。信息系统相对复杂的用户、 对信息系统依存度较高的用户， 签订 系统服务外包合同， 由 其提供专业化的、一揽子安全护航服务，是个 不错的策略。数据传输安全采用https协议超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之 间传递信息。 HTTP 协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截 取了比如信用卡号

13、、密码等。为了解决 HTTP 协议的这一缺陷，需要使用另一种协议：安全套 接字层超文本传输协议HTT P在HTTP勺基础上加入了 SSL协、议，SSL依靠证书来验 证服务器的身份，并为浏览器和服务器之间的通信加密。HTTP和HTTP勺区别主要为以下四点：查。软件开发过程的安全管理主要体现在开发标准方面， 主要手段包 括： 开发规范和代码检育，减少因为误操作给系统安全带来的冲击。 要妥善保存系统运行、维护资料，做好相关记Wei浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此HTT 胁议不适合传输一些敏感信息,HTTPS 为了数据传输的安全,https协议需要到ca申请证书，一般免

14、费证书很少，需要交费。http是超文本传输协议，信息是明文传输https则是具有安全性的 ssl加密传输协议。httP 和 https 使用的是完全不同的连接方式，用的端口也不一样， 前者是80,后者是443。http的连接很简单，是无状态的；HTTP眇议是由SSL+HTT协议 构建的可进行加密传输、身份认证的网络协议，比http协议安全。SSL加密传输SSL(Secure Sockets Layer 安全套接层) ,及其继任者传输层安 全(Transport Layer Security ，TLS )是为网络通信提供安全及数据 完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。

15、SSL为Netsca pe所研发，用以保障在In ter net上数据传输之安 全，利用数据加密(Encryption )技术，可确保数据在网络上之传输过程中不会被截取及窃听。目前一般通用之规格为 40 bit 之安全标准，美国则已推 出128 bit之更高安全标准，但限制出境。只要版本以上之.或Netscape浏览器即可支持SSL。 当前版本为。它已被广泛地用于 We 浏览器与服务器之间的身份 认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提 供安全支持。SSI协议可分为两层：SSL记录协议（SSL Record Protocol ）:它建立在可 靠的传输

16、协议（如TCP之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL 握手协议（SSL Handshake Protocol）:它建立在SSL记录协议之上， 用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。SSL协议提供的服务主要有哪些1）认证用户和服务器，确保数据发送到正确的客户机和服务器2）加密数据以防止数据中途被窃取3）维护数据的完整性，确保数据在传输过程中不被改变。SSL协议的工作流程 服务器认证阶段：1）客户端向服务器发送一个开始信息“Hello ”以便开始一个新 的会话连接；2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要 则服

17、务器在响应客户的“ Hello ”信息时将包含生成主密钥所需的信息；3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务 器的公开密钥加密后传给服务器;4）服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息， 以此让客户认证服务器。用户认证阶段 在此之前，服务器已经通过了客户认证，这一阶段主要完成对客 户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和 其公开密钥，从而向服务器提供认证。数字签名 通过数字签名技术从所传输的重要数据中生成一个 128 位的散列 值（或数据摘要），并用自己的专用密钥对这个散列值进行加密，形成发送方的数字签名； 将这个数字签名将作

18、为传输数据的附件和数据本身一起发送给接收方，即本系统的后台应 用程序;后台应用程序首先从接收到的原始加密数据中计算出 128 位的散 列值（或数据摘要），接着再用发送方的公开密钥来对数据附加的数字签名进行解密。若 两个散列值相同，那么后台应用程序就能确认该数字签名是发送方的。 通过数字签名能够实现对原始数据的鉴别和不可否认性, 最终达到 对重要数据在传输过程中的加密。数据存储安全数据备份 数据备份是容灾的基础，是指为防止系统出现操作失误或系统故 障导致数据丢失, 而将全部或部分数据集合从应用主机的硬盘或阵列复 制到其它的存储介质的过程。传统的数据备份主要是采用内置或外置的磁带机进行冷备份。但是这种方式只 能防止操作失误等人为故障，而且其恢复时间也很长。随着技术的不断发展，数据的海量 增加, 不少的单位开始采用网络备份。网络备份一般通过专业的数据存储管理软件结合相应 的硬件和存储设备来实现。本次项目可考虑采用以下的备份方式:定期磁带 远程磁带库、光盘库备份。即将数据传送到远程备份中心制作完 整的备份磁带或光盘。远程关键数据+ 磁带备份。采用磁带备份数据，生产机实时向备 份机发送关键数据。数据库备份 就是在与主数据库所在生产机相分离的备份机上建立主数据库的 一个拷贝。