第一章. 系统安全方案
1. 系统安全的总体规划
资金管理系统是一项复杂的系统工程,系统安全是整个系统成功与否的重要环节,系统建设和运行成功将对资金管理工作起到至关重要的作用,因此,资金管理系统的安全与运维体系是系统建设的重中之重
安全保障体系的建设,将会使资金管理系统变成一个安全的、透明化、可管理、可控制、可持续、稳定的系统。资金管理系统建设目标是最终达到保护等级的第二级(即指导保护级),有效防范和化解风险,保证数据的安全使用,信息系统的平稳运行以及业务应用的持续进行。
2. 安全需求
从资金业务数据的敏感性角度而言,本项目对系统的安全要求级别是非常高的。在项目的整体建设过程中,需要从系统的运行安全、数据的访问安全、数据的存储安全、数据传输安全等多个方面进行全面的安全建设,以保障资金管理系统能安全、稳定、高效的运行。
为了达到系统安全控制的目标,在系统规划、建设、运行维护的整个生命周期中,安全需求要达到计算机信息系统安全保护等级划分准则的要求。 ? 物理安全需求
硬件平台是支撑系统运行的基础,在确保业务工作时间内稳定运行前提下,系统能够支持硬件的冗余设计。具体需求如下:
? 系统应该支持路由器、交换机的冗余设计。 ? 系统应支持应用服务器的冗余设计。 ? 系统应支持数据库服务器的冗余设计。 ? 系统应支持存储设备的冗余设计。
? 网络安全需求
为防范非法利用网络引起的信息数据泄密、系统破坏等风险,系统应充分考虑下列网络安全需求:
? 如何防范未经应用系统直接访问系统设备。 ? 如何保障数据在网络传输上的安全。
? 如何防范网络病毒的传播以及对系统造成的影响。 ? 如何防范广域网上的网络攻击。 ? 如何监控并提醒操作系统漏洞。 ? 如何进行网络安全审计和安全监控。 ? 系统安全需求
由于操作系统、数据库、B/S三层架构中的应用服务器等基础软件本身的漏洞和缺陷、用户权限设置不合理以及一些不安全协议的使用等因素都可能构成对系统的威胁。如果通过某些手段进入操作系统,就可能破坏所有的系统。数据库漏洞、设计缺陷等也会引起系统的安全风险问题,应充分考虑下列系统安全需求:
? 系统所要求的操作系统、数据库、应用软件不能留有后门和漏洞。 ? 应用软件应提供详细的操作日志。并具有良好的可读性。保证系统安全。 ? 应用软件支持的数据库软件应能提供审计功能。
? 应用软件应确保数据正确、完整,能抵抗来自系统外部和内部的攻击、
保证系统安全、可靠运行。
? 应用安全需求
应用程序设计不合理以及用户权限设置不当,也会对系统构成威胁。系统应充分考虑下列应用安全需求:
? 应用软件应提供完善的安全控制措施,在有限授权原则下,被授权用户
可运行授权应用模块。
? 应用软件中的各功能权限应准许灵活设置,并分级控制。 ? 应用软件应对进入系统的数据进行合法性验证,防止非法数据。 ? 应用软件应提供关键业务的数字签名功能。 ? 数据安全需求
对系统的备份与恢复重要性认识不足,不按要求定期进行备份,一旦发生意外,如果没有事先采取备份措施,将会导致惨重的损失。系统应充分考虑下列数据安全需求:
? 提供中间件和应用软件的备份恢复方案。 ? 提供数据库的备份恢复方案。 ? 提供操作系统的备份恢复方案。 ? 提供同城/异地容灾方案 ? 管理安全需求
管理人员安全意识淡薄,业务处理流程不规范、管理制度不健全可能会对系统构成安全隐患。应充分考虑一下管理安全需求:
? 规范业务流程和管理制度 ? 加强权限管理和密码保护 ? 建立完善的监督机制 ? 内部加强学习教育
3. 系统安全分析及策略
通过对资金管理的现状和需求充分调研的基础上,资金管理系统应注意以下安全问题:
? 如何保证硬件设备的安全 ? 如何保证服务器操作系统安全 ? 如何避免用户的非授权访问
? 如何保证数据库系统的安全 ? 如何保证系统数据访问与传输安全
为此,必须对整个业务系统安全保护进行考虑,在方案设计中,主要通过下述安全措施来实现资金管理系统的安全。 ? 物理层安全
? 机房保障
资金系统部署在清算中心在建新机房,为了保证管理系统的物理环境安全,机房建立了完备的物理安全保障措施。具备防火用消防设施、防雷击和电磁设施、视频安防和门禁系统、并配置精密空调和UPS设备保证温度、湿度及电源供给要求
? 设备冗余和链路备份
任何设备无论是机械构造还是基于电子技术构造都会发生故障,所以要保证资金管理系统能够长期稳定、可靠的运行,除了提高设备的安全性和可靠性外,还得充分利用各种冗余及容错技术来提供保障。
在资金管理系统的设备选型和规划过程中,采用了多种冗余技术来达到安全性的要求。
对于服务器系统采用了多CPU、双电源、RAID技术、双HBA卡等提高安全性。
对于磁盘阵列,配置多控制器、多电源、RAID技术、双HBA卡来提供安全性,为数据冗余和负载均衡。
对于通信链路,为了防止因通信线路异常而引起的传输错误、业务中断等,计算机网络系统广域网应采用线路备份手段,保证系统的数据传输不间断,同时有负载均衡能力。防火墙、交换机都是双机备份。
? 主机集群热备
对于后台数据库系统,采用双机集群技术。保证系统的7*24小时提供服务的能力。
对于应用服务器采用商业中间件的群集技术实现多台机器集群,并提供负载均衡能力。
通过配置群集服务,可以保证数据库系统的高可用性,从而提高整个综合业务系统的可用性。在群集环境中,当其中一个节点发生故障,另一个节点将及时地接管运行的服务,继续为应用程序提供服务。 ? 网络层安全
为确保系统网络访问安全,采用以下安全手段:利用(VLAN)划分子网、利用防火墙技术界定网络边界、利用传输加密技术实现安全的数据信息传递,具体设计如下:
? 访问控制
为了实现不同的业务组织访问不同的网络资源,可以采用VLAN和域控制器的方法,限制用户访问服务器的权限。通过ACL设置不同的访问权限。在局域网内,对于可以访问资金管理系统的一组终端单独划分VLAN,只有这些VLAN才可以通过网络访问到WEB服务器,不能直接访问应用服务器和数据库服务器。
? 防火墙
为了实现中心的网络边界安全,确保整个内部网络中设备和应用的安全,对于企业与Internet互联的安全设计上,采用硬件防火墙提供安全保障。
在防火墙上设置服务映射,如开放的web服务80端口映射到系统内部web服务器的80端口。
在防火墙上关闭与web无关的服务,如telnet、ftp等。 ? 传输加密
应用软件平台应采用的是B/S架构,客户端通过IE浏览器实现对应用系统的访问。为了避免明文传输带来的安全隐患,应用软件平台提供SSL机制对在网络上传输的数据进行加密,提供数据流的认证、机密性和完整性,以防敏感数据在传输过程中被泄露及篡改。使用SSL,可进行客户端与服务端的双向认证。SSL使用公钥加密算法来对通信双方进行认证;使用对称加密算法对传输的数据进行