第六章  信息安全体系建设

1. 设计目标和原则

现代计算机系统有效地实现了网上资源的共享，但资源共享和信息安全本身就是一对矛盾体。随着资源共享进一步加强，随之而来的网络安全问题也日益突出。在网络上如何保证合法用户对资源的合法访问以及如何防止网络黑客攻击，成为系统安全的主要内容。

在进行系统安全设计时应遵循以下设计原则：

技术和管理并重

整个系统安全建设强度取决于系统中最薄弱的环节，计算机网络信息系统的安全问题从来不是单纯的技术问题，必须采取技术和管理相结合的、从多个层次上考虑的整体的安全措施。技术上采取的策略需要接受管理设计的指导，安全管理应自始至终贯穿在各个层次的安全设计、实施、运行、维护、拓展等方面。

多层次全方位防护

系统应从基础（物理）平台、网络平台、系统平台以及安全管理等方面全方位的进行安全设计和统一管理。

动态性

随着网络脆弱性的改变和威胁攻击技术的发展，必须及时地、不断地改进和完善系统的安全措施，及时进行系统技术和设备的升级更新。

分步实施

安全可以说是一把“双面刃”，如果实施不当，将会系统性能产生一定的影响，甚至会妨碍正常业务的运作。所以说，系统安全体系的建立是一个循序渐进的过程，需要逐步地细化和完善。

2. 安全体系结构

计算机安全的保护措施大致分为三类。

防止：采取措施防止信息被破坏、修改或盗取。防止措施包括锁住服务器机房的门，到设置高级别的安全策略。

检测：采取措施使你能够检测到信息已被破坏、修改或盗取，以及信息是如何被破坏、修改和盗取的，是谁引起破坏。有各种工具用于帮助检测入侵、信息破坏或修改、以及病毒。

反应：采取措施恢复信息，即使信息已经丢失或破坏。

从体系结构来看，安全体系应该是一个多层次、多方面的结构。通过分析，我们将安全性在体系结构上分为四个级别：物理级安全、网络级安全、系统级安全和企业级安全。同时，一套全面的安全管理制度又贯穿于这四个层次。

信息安全的方案应从硬件网络、系统软件、应用软件系统、安全管理等多方面进行考虑与设计。

3. 硬件网络方面

4. 软件安全体系

操作系统是所有计算机终端、工作站和服务器等正常运行的基础，操作系统的安全十分重要。关键的服务器和工作站（如数据库服务器、WWW服务器、代理服务器、Email服务器、病毒服务器、DHCP主域服务器、备份服务器和网管工作站）应该采用服务器版本的操作系统。服务器的操作系统一定要基于UNIX/Linux，如：SUN Solaris、HP Unix、LINUX。

操作系统因为设计和版本的问题，存在许多的安全漏洞;同时因为在使用在安全设置不当，也会增加安全漏洞，带来安全隐患。在没有其它更高安全级别的商用操作系统可供选择的情况下，安全关键在于操作系统的安全管理。

为了加强操作系统的安全管理，要从物理安全、登录安全、用户安全、文件系统和打印机安全、注册表安全、RAS安全、数据安全、各应用系统安全等方面制定强化安全的措施。

4.1 应用系统安全

应用系统通过对数据的访问策略、数据加密、用户控制、系统和信息备份、系统和信息恢复、日志系统等方面来进行信息安全方案的设计。

数字化校园信息平台采用三层或多层的软件结构，如下图：

 (1)、系统采用J2EE平台，数据库选用Oracle，数据库服务器基于Unix/linux，应用服务器和WEB服务器选用Unix/linux；

  (2)、系统采用三层结构：

任何用户想访问数据必须经过应用服务器代理，而不是直接访问数据库服务器，可以通过防火墙、操作系统、Oracle三种叠加的方式来实现数据访问控制；

 (3)、严格的身份认证：

对于某些特殊的功能（如成绩修改等）可以基于用户的MAC地址，IP地址，计算机信息来控制用户只能从某台计算机登上系统，并有详细的日志记载；

4.2  数据安全性设计

     数字校园数据中心存储着本系统中所有重要的数据，因此数据中心数据的安全性是系统安全性的一个基本要求。

(数据中心安全体系设计示意图)

存储系统安全性

首先，从硬件层面考虑。为保证系统数据的安全可靠，运行的连续稳定，建立一个安全可靠的服务器运行环境。采用RAID5方式的磁盘阵列既保证数据冗余和安全，又兼顾访问效率；每日自动异地备份、定期磁带备份保证灾难恢复时损失最小；UPS不间断电源保证断电时服务器系统不受影响。

平台系统的安全性

其次，从操作系统和数据库系统的层面考虑。数字校园系统选用的操作系统和数据库系统都是安全性高的产品，在系统级的层面上达到较高的安全级别。

应用访问的安全性

在数字校园系统中存在许多敏感数据，如数据中心基础数据、一卡通金融交易数据、帐户数据、帐户密码、操作员密码等，这些都需要隔离或严格保密的。对于各种密码数据，在数据库中存储的都是使用系统加密密钥按DES加密后的密文数据；对于金融交易数据、帐户数据在数据库设计时设置数据认证码DAC(Data Authentication Code)字段以防止非法或无意修改记录数据，以保证记录数据的安全可靠性。

用户控制

授权用户通过用户名、密码的方式访问系统并按权限进行相应的操作。对于业务中关键信息的操作可结合U盾等硬件的认证方式进行控制。也可采用ip限制、用户登录机器绑定的方式进行控制。

综上所述，数字校园系统数据中心数据在容错容灾、备份恢复、存储管理、访问控制、日志和安全审计等各个方面均达到较高的安全可靠性，为系统连续稳定运行打下坚实的基础。

4.3  数据库安全

   数据库

 本项目采用Oracle10G数据库；

自主访问控制（DAC）：DAC用来决定用户是否有权访问数据库对象；

验证：保证只有授权的合法用户才能注册和访问；

授权：对不同的授权用户访问数据库授予不同的权限；

审计：监视各用户对数据库施加的动作；

数据库管理系统应能够提供与安全相关事件的审计功能；

试图改变访问控制许可权；

试图创建、拷贝、清除或执行数据库；

系统就提供在数据库级和记录级标识数据库信息的能力。

  历史数据的回溯管理

信息安全最重要的是数据安全非常重要，所以有必要对操作进行“后悔”操作，数据可以回溯到任何时间点的功能。

有两种情况：

1、对于要回溯到时间比较长的情况，可以用备份的数据回溯；

2、对于比较近期数据的回溯，可以利用Oracle10G的flashback的功能来实现。

4.4 数据加密

为每一个用户、每一项应用服务分别提供唯一的电子身份

要求采用非对称加密方法、使用RSA算法，为每一个用户生成并发放一对密钥(由一个私有密钥与一个公开密钥构成)，其中公开密钥连同用户基本信息以数字证书形式面向所有应用服务公开；为每一项应用服务生成并发放一对密钥(由一个私有密钥与一个公开密钥构成)，其中公开密钥连同应用服务基本信息以数字证书形式面向所有用户公开。

 使用动态秘密密钥实现数据网上传输的加密与解密

对于每一项应用服务的每一次访问，采用对称加密方法、使用DES算法，动态地为用户生成一个一次性的秘密密钥，用于数据网上传输的加密与解密。

安全、可靠的统一身份认证

对访问者通过客户端提交的帐号与密码使用HASH函数获得数据摘要、使用访问者私有密钥对数据摘要进行数字签名、使用本次访问的秘密密钥对帐号、密码及数字签名进行加密，使用统一身份认证系统数字证书的公开密钥对秘密密钥进行加密。

由服务器端使用统一身份认证系统的私有密钥进行解密获得秘密密钥，使用秘密密钥还原出帐号、密码及数字签名，依据帐号与密码使用相应用户数字证书的公开密钥将数字签名还原出数据摘要，同由帐号与密码使用HASH函数获得的数据摘要进行比对，如果完全一致，认定接收到的帐号与密码真实、不可否认，在网络传输过程中没有被伪造、篡改或冒充。

依据用户基本信息库对访问者提交的帐号与密码进行验证，确认访问者作为用户身份的合法性。

 安全、可靠的网上数据传输

对用户通过客户端提交的数据使用HASH函数获得数据摘要、使用用户私有密钥对数据摘要进行数字签名、使用本次访问的秘密密钥对数据及数字签名进行加密，使用相应应用服务数字证书的公开密钥对秘密密钥进行加密。

由服务器端使用相应应用服务的私有密钥进行解密获得秘密密钥，使用秘密密钥还原出数据及数字签名，使用用户数字证书的公开密钥将数字签名还原出数据摘要，同由数据使用HASH函数获得的数据摘要进行比对，如果完全一致，认定接收到的数据真实、不可否认，在网络传输过程中没有被伪造、篡改或冒充。

4.5  系统的备份和恢复

了防止存储设备的异常损坏，可采用可热插拔的SCSI硬盘所组成的磁盘容错阵列，以RAID5的方式进行系统的实时热备份。当操作系统或应用出现问题时导致不可用时，需要通过备份软件进行数据的恢复，在本方案中，数据的恢复策略可以根据不同的情况而制定：

 本地业务数据库破坏而需要恢复时

如数据库出现此情况，可以通过本地的备份软件 Server端利用备份数据进行数据恢复。在线备份历史记录使恢复过程变得简单，增量备份和事务日志备份会自动地以正确顺序进行恢复。先用最近一次的全备份恢复＋恢复最近一次的增量备份＋增量备份到断点的事务日志来恢复。

本地非数据库文件破坏而需要恢复时

出现此情况，系统管理人员可以通过备份软件软件的图形界面来浏览所需恢复的文件存储集，触动恢复功能，软件靠自动驱动存储设备，加载相应的存储介质，然后恢复指定文件存储集。

操作系统的恢复

操作系统数据存放在根卷组（rootvg），而用户数据，包括数据库系统文件及数据、其他文件数据等存放在其他的卷组。那么，用户在进行日常数据备份时，可以通过备份软件将用户数据所在的卷组进行备份（包括全备份和增量备份）。如果发生了系统严重故障，必须重建操作系统时，可以先使用通过备份软件for sysback备份出来的数据启动，恢复操作系统，再使用备份软件来恢复其他的卷组以及数据库、关键文件等数据。

本地备份服务器系统瘫痪而需要恢复时

如果备份软件Sever建立在HA的环境下(即Server分别安装在HA的双机上，而数据库文件则建立在共享的盘阵上)，一旦Server瘫痪，将由Standby Server自动接管。

如果在配置Server中，已经将其后台数据库作了MIRROR配置，则只需将MIRROR的数据库文件直接激活即可。

如果对其后台数据库作了及时的本地备份，利用数据库的恢复功能恢复本地数据库，直接恢复Server。

 当本地整个计算机系统损坏或网络中断时

如果是硬件或网络的故障，必须首先排除硬件或网络的故障。然后，进行操作系统的恢复，在此基础上，可以来帮助管理人员实现数据恢复计划的建立和实施。包括实现备份系统和应用系统的自动重建。

4.6  日志系统

日志系统具有综合性数据记录功能 和自动分类检索能力。在该系统中，日志将记录自某用户登录时起，到其退出系统时止，这所执行的所有操作，包括对数据库的操作及系统功能的使用。日志所记录的内容有执行某操作的用户保执行操作的机器IP地址、操作类型、操作对象及操作执行时间等，以备日后审计核查之用。

4.7  操作的安全性设计

  数字校园系统中对系统操作员和管理采用分级授权管理方式。系统初始化时由安装人员设置一个系统级的超级管理员，此管理具有系统中的最高权限。系统运行时由超级管理员根据系统机构部门设置分别设置机构部门级的管理员并赋予其向下级授权的权限，然后机构部门级的管理员根据实际需要设置下级的各类操作员并对操作员授予一定的权限并设置其属性和操作权限，如有效期、授权金额等。这种分级授权管理方式能够简化管理流程，如超级管理员只需直接管理机构部门级和管理员而无需具体对操作员进行授权和管理。

   除分级授权管理方式外，还使用“上级监督，同级隔离”方式管理。“上级监督，同级隔离”意思是对于同级别的操作员，因为其级别相同，故他们之间的操作相互隔离，即每个操作员只能查看到和自己相关操作信息以及公共信息而对其它操作员的操作信息不能查看，即同级操作员之间的信息相互保密。作为操作员的上级管理人员则具有对其授权的所有下级操作员具有监督审核的权力，因此他能够查看到所有下级操作员的操作信息。另外，这种管理模式还用于管理系统中的各个营业商户，即商户之间结算数据相互保密，主管部门有权查看所有商户数据。

  数字校园系统采用USB接口的操作员卡进行操作员的安全认证。采用这种硬加密保护的主要目的是保证应用环境的唯一性，杜绝恶意的建立模拟的环境，尤其是数据环境，达到非法侵入系统的目的。

另外，数字校园系统对任何操作都记载有操作日志，方便管理人员对操作员的操作的事后审计。

5. 安全管理

5.1 安全体系建设规范

网络系统建设整网安全需要一套统一的安全体系建设规范，本规范将结合学校网络的实际情况制定。

5.2 安全组织体系建设

实施安全应管理先行，安全组织体系的建设势在必行。学校需要成立由一个主管领导，网络管理员，安全操作员等人员组成安全工作小组。主管领导应领导安全体系的建设实施，在安全实施过程中取得相关部门的配合。领导整个部门不断提高系统的安全等级。网络管理员应具有丰富的网络知识和实际经验，熟悉本地网络结构，能够制定技术实施策略。安全操作员负责安全系统的具体实施。

5.3 安全管理制度建设

面对网络安全的脆弱性，除在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络的安全管理。

制定安全管理制度，实施安全管理的原则为：

多人负责原则。每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的，应忠诚可靠，能胜任此项工作。

任期有限原则。一般地讲，任何人最好不要长期担任与安全有关的职务，以免误认为这个职务是专有的或永久性的。

职责分离原则。除非系统主管领导批准，在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。

  其具体工作为：

确定该系统的安全等级。

根据确定的安全等级，确定安全管理的范围。

制定安全管理制定。

  完整的安全管理制度必须包括以下几个方面：

人员安全管理制度

操作安全管理制度

场地与设施安全管理制度

设备安全使用管理制度

操作系统和数据库安全管理制度

运行日志安全管理制度

备份安全管理制度

异常情况管理制度

系统安全恢复管理制度

安全软件版本管理制度

技术文档安全管理制度

应急管理制度

审计管理制度

运行维护安全规定

第三方服务商的安全管理制度

对系统安全状况的定期评估策略

技术文档媒体报废管理制度

5.4 安全管理手段

安全技术管理体系是实施安全管理制度的技术手段，是安全管理智能化、程序化、自动化的技术保障。安全技术管理对OSI的各层进行综合技术管理。网络安全管理，主要对网络安全体系的防火墙、入侵检测系统等网络安全设备进行管理；应用安全管理，主要对网络安全体系的应用安全系统进行管理，如用户认证系统的管理、病毒防范系统的管理。

下面详细描述安全管理技术：

网络安全管理

在网管平台、网管应用软件的控制下，网管控制台通过SNMP、RMON协议与被管设备、主机、服务进行通信，实现有关的安全管理。

维护并识别被管设备、主机、服务的身份，防止非法设备、主机、服务的接入，防止设备、主机、服务之间的非法操作。

实时监视被管设备、主机、服务的运行，发生异常时向管理员警。

维护被管设备、主机、服务的配置信息，防止非授权修改，配置遭到破坏时可自动恢复。

维护网络的安全拓扑，确保交换、路由、虚网的正常运行。

配置网络的安全策略，设置网络边界安全设备的访问控制规则和数据包加解密处理方式。

审计、分析网络安全事件日志，形式安全决策报告。

实现网络安全风险集中统一管理，如入侵检测系统、漏洞扫描系统的管理。

应用安全管理

在应用安全管理平台的支持下，安全管理员使用安全控制台实施应用安全管理策略。

安全管理可以：

建立和维护用户帐号。

建立和维护被管资源的连接和目录。

建立和维护访问控制列表。

统一、分析审计记录信息。

配置、维护安全平台。

设置会话密钥生命期等。