USDP產(chǎn)品安全解決方案

1、USDP產(chǎn)品安全解決方案 廣州市星系數(shù)據(jù)資訊有限公司第 PAGE 15 頁(yè) 共 NUMPAGES 15 頁(yè)USDP產(chǎn)品安全解決方案廣州市星系數(shù)據(jù)資訊有限公司2002年6月目 錄 toc o 1-3 * MERGEFORMAT 1引言 PAGEREF _Toc12421846 h 32網(wǎng)絡(luò)安全 PAGEREF _Toc12421847 h 32.1網(wǎng)絡(luò)規(guī)劃 PAGEREF _Toc12421848 h 32.2防火墻 PAGEREF _Toc12421849 h 32.3VPN PAGEREF _Toc12421850 h 43系統(tǒng)安全 PAGEREF _Toc12421851 h 63.1核心

2、策略分層安全防護(hù) PAGEREF _Toc12421852 h 63.2操作系統(tǒng)的安全配置 PAGEREF _Toc12421853 h 73.3數(shù)據(jù)庫(kù)系統(tǒng)的安全配置 PAGEREF _Toc12421854 h 73.4應(yīng)用服務(wù)器的安全配置 PAGEREF _Toc12421855 h 73.5實(shí)時(shí)入侵檢測(cè) PAGEREF _Toc12421856 h 83.6安全漏洞評(píng)估系統(tǒng) PAGEREF _Toc12421857 h 83.7病毒防護(hù) PAGEREF _Toc12421858 h 84數(shù)據(jù)安全 PAGEREF _Toc12421859 h 94.1存儲(chǔ)安全 PAGEREF _Toc12

3、421860 h 94.2傳輸安全 PAGEREF _Toc12421861 h 94.3容災(zāi)系統(tǒng) PAGEREF _Toc12421862 h 105應(yīng)用安全 PAGEREF _Toc12421863 h 135.1用戶(hù)安全 PAGEREF _Toc12421864 h 145.2數(shù)據(jù)安全 PAGEREF _Toc12421865 h 145.3功能安全 PAGEREF _Toc12421866 h 146管理安全 PAGEREF _Toc12421867 h 146.1內(nèi)部管理安全 PAGEREF _Toc12421868 h 156.2外部管理安全 PAGEREF _Toc1242186

4、9 h 157結(jié)論 PAGEREF _Toc12421870 h 15引言對(duì)于一個(gè)企業(yè)來(lái)說(shuō)，安全在信息化管理系統(tǒng)的實(shí)施中是至關(guān)重要的。有時(shí)，一個(gè)關(guān)鍵數(shù)據(jù)的丟失，可能會(huì)造成企業(yè)很多業(yè)務(wù)的中止，或給其生產(chǎn)帶來(lái)一系列的麻煩，所以，企業(yè)信息系統(tǒng)的安全性成為企業(yè)實(shí)施信息化管理系統(tǒng)的首要考慮因素。一般來(lái)說(shuō)，安全主要包括以下兩個(gè)方面，第一是本身非人為的安全性，這主要包括雷電，地震或服務(wù)器本身摔壞或其它因素使某些硬件和軟件造成不可修復(fù)性損壞，這部分的安全措施主要是對(duì)數(shù)據(jù)進(jìn)行及時(shí)備份。第二個(gè)安全方面是企業(yè)本身的信息系統(tǒng)要做到防病毒，防黑客或非合法用戶(hù)的訪(fǎng)問(wèn)。通常來(lái)講，第二個(gè)環(huán)節(jié)是重中之重，因?yàn)楹诳停《竟舻目?/p>

5、能性隨時(shí)會(huì)存在。廣州星系的USDP產(chǎn)品在設(shè)計(jì)之初，就以安全，適用，靈活為設(shè)計(jì)原則。在安全方面，USDP采取了多層安全結(jié)構(gòu)體系（分為網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全、管理安全），從根本上解決了企業(yè)信息化的安全隱患，使信息系統(tǒng)可以24*7的安全穩(wěn)定地運(yùn)行。多層安全結(jié)構(gòu)體系是緊密聯(lián)系的，從技術(shù)和業(yè)務(wù)兩個(gè)方面上來(lái)保證系統(tǒng)的安全。網(wǎng)絡(luò)安全USDP產(chǎn)品采用B/S體系結(jié)構(gòu)，所以在保證產(chǎn)品安全時(shí)，首先要保證網(wǎng)絡(luò)系統(tǒng)的安全，在網(wǎng)絡(luò)安全方面，我們采用了如下解決方案：網(wǎng)絡(luò)規(guī)劃、VPN、防火墻等。網(wǎng)絡(luò)規(guī)劃一個(gè)成功的安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)，要先從網(wǎng)絡(luò)規(guī)劃開(kāi)始，因?yàn)榫W(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是和安全性息息相關(guān)的，如果網(wǎng)絡(luò)的設(shè)計(jì)有問(wèn)

6、題，那么對(duì)整個(gè)系統(tǒng)構(gòu)成不僅僅是性能上的問(wèn)題，更有可能在安全上引起隱患。廣州星系可以根據(jù)客戶(hù)的實(shí)際情況，為客戶(hù)設(shè)計(jì)出合理，經(jīng)濟(jì)的安全網(wǎng)絡(luò)方案。防火墻所謂“防火墻”，就是一種將內(nèi)網(wǎng)和外網(wǎng)分開(kāi)的方法，實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪(fǎng)問(wèn)控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門(mén)外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪(fǎng)問(wèn)你的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞你的重要信息。它相當(dāng)于一個(gè)閥門(mén)，一個(gè)過(guò)濾器或者說(shuō)國(guó)家的海關(guān)、邊防檢查站，負(fù)責(zé)審查經(jīng)過(guò)的數(shù)據(jù)和信息，根據(jù)設(shè)定的規(guī)則處理不同的情況。由此可見(jiàn)，建立一個(gè)安全的防火墻系統(tǒng)并不僅僅取決于購(gòu)買(mǎi)了什么牌子

7、的設(shè)備，更重要的是在于使用者是否了解本企業(yè)網(wǎng)絡(luò)的情況、掌握用戶(hù)的實(shí)際需求并正確地付諸實(shí)施。一般的安全來(lái)說(shuō)：防火墻是必不可少的，因?yàn)閮?nèi)部服務(wù)主機(jī)不能完全暴露在外網(wǎng)上，因?yàn)樵僦髁鞯牟僮飨到y(tǒng)和應(yīng)用軟件，其中安全問(wèn)題也屢見(jiàn)不鮮，例如最常見(jiàn)的緩沖區(qū)溢出漏洞存在于各種Unix，Linux和Window系統(tǒng)操作系統(tǒng)中，還有一些常用軟件的漏洞，如IIS的安全漏洞，wu-ftp的漏洞，所以說(shuō)防火墻是保證系統(tǒng)安全的首要考慮因素。目前防火墻主要有三類(lèi)：建立在通用操作系統(tǒng)上的軟件防火墻、具有安全操作系統(tǒng)的軟硬件結(jié)合的防火墻和基于專(zhuān)用安全操作系統(tǒng)的硬件防火墻。代表產(chǎn)品有Check Point、東大阿派Neteye、Li

8、nux下的IPChains、Cisco的PIX等等。目前的防火墻從結(jié)構(gòu)上講，可分為兩種：用網(wǎng)關(guān)結(jié)構(gòu)。內(nèi)部網(wǎng)絡(luò)代理網(wǎng)關(guān)(Proxy Gateway)Internet。路由器加過(guò)濾器結(jié)構(gòu)。內(nèi)部網(wǎng)絡(luò)過(guò)濾器(Filter)路由器(Router)Internet?？偟膩?lái)講，應(yīng)用網(wǎng)關(guān)結(jié)構(gòu)的防火墻系統(tǒng)在安全控制的粒度上更加細(xì)致，多數(shù)基于軟件系統(tǒng)，用戶(hù)界面更加友好，管理控制較為方便；路由器加過(guò)濾器結(jié)構(gòu)的防火墻系統(tǒng)多數(shù)基于硬件或軟硬件結(jié)合，速度比較快，但是一般僅控制到第三層和第四層協(xié)議，不能細(xì)致區(qū)分各種不同業(yè)務(wù)；有一部分防火墻結(jié)合了包過(guò)濾和應(yīng)用網(wǎng)關(guān)兩種功能，形成復(fù)合型防火墻。具體使用防火墻則應(yīng)該根據(jù)本企業(yè)實(shí)際情

9、況加以選擇。下面我就用一個(gè)實(shí)際例子講解建立安全防火墻系統(tǒng)的過(guò)程。網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D所有的內(nèi)部網(wǎng)絡(luò)用戶(hù)通過(guò)兩個(gè)路由器連接防火墻，防火墻作為本網(wǎng)絡(luò)的唯一出口連接到Internet。內(nèi)部網(wǎng)絡(luò)有兩個(gè)網(wǎng)段：192。168。1。0 /255。255。255。0和192。168。2。0 /255。255。255。0。一般來(lái)說(shuō)，防火墻起以下幾個(gè)作用：障內(nèi)部網(wǎng)絡(luò)安全，禁止外部用戶(hù)連接到內(nèi)部網(wǎng)絡(luò)。要求具備防IP地址欺騙能力。要求具備防止IP地址盜用功能，保證特權(quán)用戶(hù)的IP不受侵害。要求對(duì)可以訪(fǎng)問(wèn)Internet的用戶(hù)進(jìn)行限制，僅允許特定用戶(hù)的IP地址可以訪(fǎng)問(wèn)外部網(wǎng)絡(luò)。隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)過(guò)濾掉一些不允許出入的包，一般來(lái)說(shuō)

10、，只允許對(duì)業(yè)務(wù)有關(guān)的數(shù)據(jù)在端口上出入，并且能阻止某些病毒的特征串出入組建防火墻的關(guān)鍵在于對(duì)用戶(hù)需求的掌握和對(duì)工具的熟練的運(yùn)用和實(shí)施上面。因?yàn)榉阑饓Π褍?nèi)外網(wǎng)隔離起來(lái)后，當(dāng)我們要維護(hù)或遠(yuǎn)程備份等工作時(shí)，我們就面要使用下面的VPN技術(shù)來(lái)把公司或各分公司的內(nèi)網(wǎng)和服務(wù)主機(jī)安全地聯(lián)系在一起。VPNVPN技術(shù)是指在公共的網(wǎng)絡(luò)平臺(tái)上傳輸用戶(hù)私有的數(shù)據(jù)，實(shí)現(xiàn)方式是在公網(wǎng)如Internet上搭建隧道，從而使在互聯(lián)網(wǎng)上傳輸私有數(shù)據(jù)得到保證。這種技術(shù)的效果類(lèi)似于傳統(tǒng)的租用專(zhuān)線(xiàn)聯(lián)網(wǎng)方式，但其費(fèi)用遠(yuǎn)比采用專(zhuān)線(xiàn)方式聯(lián)網(wǎng)便宜。目前與企業(yè)相關(guān)的VPN隧道協(xié)議分三種：點(diǎn)到點(diǎn)隧道協(xié)議PPTP，第二層隧道協(xié)議L2TP，網(wǎng)絡(luò)層隧道協(xié)議

11、IPSec。1點(diǎn)到點(diǎn)隧道協(xié)議-PPTP。PPTP協(xié)議在一個(gè)已存在的IP連接上封裝PPP會(huì)話(huà)，只要網(wǎng)絡(luò)層是連通的，就可以運(yùn)行PPTP協(xié)議。PPTP協(xié)議將控制包與數(shù)據(jù)包分開(kāi)，控制包采用TCP控制，用于嚴(yán)格的狀態(tài)查詢(xún)以及信令信息；數(shù)據(jù)包部分先封裝在PPP協(xié)議中，然后封裝到GRE V2協(xié)議中。GRE是通用路由封裝協(xié)議，用于在標(biāo)準(zhǔn)IP包中封裝任何形式的數(shù)據(jù)包，因此PPTP可以支持所有的協(xié)議，包括IP，IPX，NetBEUI等等。除了搭建隧道，PPTP本身沒(méi)有定義加密機(jī)制，但它繼承了PPP的認(rèn)證和加密機(jī)制，包括認(rèn)證機(jī)制PAP/CHAP/MS-CHAP以及加密機(jī)制MPPE。2第二層隧道協(xié)議-L2TP。L2T

12、P是一個(gè)國(guó)際標(biāo)準(zhǔn)隧道協(xié)議，它結(jié)合了PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F協(xié)議的優(yōu)點(diǎn)。L2TP與PPTP的最大不同在于L2TP將控制包和數(shù)據(jù)包合二為一，并運(yùn)行在UDP上，而不是TCP上。UDP省去了TCP中同步、檢錯(cuò)、重傳等機(jī)制，因此L2TP速度很快。與PPTP類(lèi)似，L2TP也可支持多種協(xié)議。L2TP協(xié)議本身并沒(méi)有提供任何加密功能。3IPsec協(xié)議。IPsec是標(biāo)準(zhǔn)的第三層安全協(xié)議，用于保護(hù)IP數(shù)據(jù)包或上層數(shù)據(jù)，它可以定義哪些數(shù)據(jù)流需要保護(hù)，怎樣保護(hù)以及應(yīng)該將這些受保護(hù)的數(shù)據(jù)流轉(zhuǎn)發(fā)給誰(shuí)。由于它工作在網(wǎng)絡(luò)層，因此可以用于兩臺(tái)主機(jī)之間，網(wǎng)絡(luò)安全網(wǎng)關(guān)之間（如防火墻，路由器），或主機(jī)與網(wǎng)關(guān)之間。IPsec協(xié)議

13、分兩種：ESP和AH，這兩種協(xié)議都可以提供網(wǎng)絡(luò)安全，如數(shù)據(jù)源認(rèn)證（確保接收到的數(shù)據(jù)是來(lái)自發(fā)送方），數(shù)據(jù)完整性（確保數(shù)據(jù)沒(méi)有被更改）以及防中繼保護(hù)（確保數(shù)據(jù)到達(dá)次序的完整性）。除此之外，ESP協(xié)議還支持?jǐn)?shù)據(jù)的保密性，能夠確保其它人無(wú)法讀取傳送的數(shù)據(jù)，這實(shí)際上是采用加密算法來(lái)實(shí)現(xiàn)的。IPsec的安全服務(wù)要求支持共享鑰匙完成認(rèn)證和/或保密。在IPsec協(xié)議中引入了一個(gè)鑰匙管理協(xié)議，稱(chēng)Internet鑰匙交換協(xié)議-IKE，該協(xié)議可以動(dòng)態(tài)認(rèn)證IPsec對(duì)等體，協(xié)商安全服務(wù)，并自動(dòng)生成共享鑰匙。IPsec協(xié)議（AH或ESP）保護(hù)整個(gè)IP包或IP包中的上層協(xié)議。IPsec有兩種工作方式：傳輸方式保護(hù)上層協(xié)議

14、如TCP；隧道方式保護(hù)整個(gè)IP包。在傳輸方式下，IPsec包頭加在IP包頭和上層協(xié)議包頭之間；而在隧道方式下，整個(gè)IP包都封裝在一個(gè)新的IP包中，并在新的IP包頭和原來(lái)的IP包頭之間插入IPsec頭。兩種IPsec協(xié)議AH 和ESP都可以工作在傳輸方式下或隧道方式下。4L2TP與IPsec傳輸方式的集成。鑒于IPsec缺少用戶(hù)認(rèn)證，只支持IP協(xié)議，目前有一種趨勢(shì)將L2TP和IPsec結(jié)合起來(lái)使用，采用L2TP作為隧道協(xié)議，而用IPsec協(xié)議保護(hù)數(shù)據(jù)。PPTP和L2TP都支持多協(xié)議，但要記住L2TP協(xié)議缺少數(shù)據(jù)保密性的保護(hù)。PPTP和L2TP都不具有機(jī)器認(rèn)證的能力，而必須依賴(lài)于用戶(hù)認(rèn)證。在所有的

15、VPN協(xié)議中，IPsec提供最好的安全性，但I(xiàn)Psec無(wú)法提供用戶(hù)認(rèn)證，也不支持多協(xié)議。許多廠家都采用的附加的特性來(lái)支持用戶(hù)認(rèn)證，比如支持Radius協(xié)議。IPsec協(xié)議十分靈活，可以滿(mǎn)足所有網(wǎng)關(guān)到網(wǎng)關(guān)的VPN連接。如下圖：上圖的解決方案是把帶有VPN功能的3Com公司的防火墻，采用硬件加速引擎的硬件防火墻。網(wǎng)絡(luò)安全產(chǎn)品推薦廠商：NetScreenCisco安氏3ComLucent Technologies推薦產(chǎn)品：東大阿爾派NetEyeCisco PIX防火墻3Com SuperStack防火墻Check Point FireWall朗新科技NetShine(適合Linux平臺(tái))中科院安全中

16、心的ERCIST(安勝)防火墻系統(tǒng)安全系統(tǒng)安全至關(guān)重要，因?yàn)橄到y(tǒng)一旦被入侵，那么應(yīng)用系統(tǒng)的數(shù)據(jù)就可能會(huì)被泄露出去，雖然在數(shù)據(jù)存儲(chǔ)上有加密措施，但整個(gè)系統(tǒng)被控制，將對(duì)數(shù)據(jù)的安全性造成重大的安全隱患，因?yàn)橄到y(tǒng)有被入侵者全部偷走，毀掉，解密的可能，還有，如果被移植木馬系統(tǒng)，將對(duì)整個(gè)公司的信息網(wǎng)造成重大的損失，這一個(gè)步驟，我們主要措施如下。核心策略分層安全防護(hù)在網(wǎng)絡(luò)和系統(tǒng)的安全領(lǐng)域，往往其進(jìn)步是同一些具有標(biāo)志性概念的提出聯(lián)系在一起的，“分層安全防護(hù)”就是這樣一個(gè)概念。它提出了這樣一種思路：結(jié)合不同的安全保護(hù)因素，例如防病毒軟件、防火墻和安全漏洞檢測(cè)工具，來(lái)創(chuàng)建一個(gè)比單一防護(hù)有效得多的綜合保護(hù)屏障。分層

17、的安全防護(hù)成倍地增加了黑客攻擊的成本和難度，從而大大減少了他們的攻擊頻度。分層的安全防護(hù)技術(shù)具體來(lái)說(shuō)包括攻擊檢測(cè)、攻擊防范、攻擊后的恢復(fù)三個(gè)大方向，其中每一個(gè)方向有一個(gè)代表性的產(chǎn)品：入侵檢測(cè)系統(tǒng)負(fù)責(zé)進(jìn)行攻擊檢測(cè)，防火墻和強(qiáng)制訪(fǎng)問(wèn)控制系統(tǒng)負(fù)責(zé)攻擊防范，攻擊后的恢復(fù)則由自動(dòng)恢復(fù)系統(tǒng)來(lái)解決。這三大方向體現(xiàn)了在網(wǎng)絡(luò)安全防護(hù)上的多層安全防護(hù)的思想。下面我們就多層次保護(hù)中的主要環(huán)節(jié)做具體說(shuō)明。防火墻我們?cè)诰W(wǎng)絡(luò)安全上已經(jīng)講過(guò)，不過(guò)，由于病毒防范和實(shí)時(shí)檢測(cè)系統(tǒng)方面的技術(shù)因素比較多，所以歸并到系統(tǒng)安全上來(lái)。操作系統(tǒng)的安全配置操作系統(tǒng)的安全配置的涉及面很廣，第一要去掉一些操作系統(tǒng)本身安裝時(shí)自帶的不安全的東西，例如

18、，UNIX安裝后有一些不安全的服務(wù)如Rlogin，還有一些無(wú)用的用戶(hù)名等，這些都需要重新清理，第二：消除一些應(yīng)用軟件的漏洞。這部分工作可以配合安全評(píng)估軟件來(lái)找出漏洞，還有密切關(guān)注安全公司和軟件提供商的安全公告，及時(shí)安裝安全補(bǔ)丁。數(shù)據(jù)庫(kù)系統(tǒng)的安全配置數(shù)據(jù)庫(kù)的安全首先要對(duì)口令進(jìn)行嚴(yán)格的控制，因?yàn)榭诹畹墓芾淼牟煌祝赡軙?huì)造成攻擊都很大的機(jī)會(huì)。還有，在數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)時(shí)，口令不能是文安放，在USDP產(chǎn)品中，在系統(tǒng)初始化后，數(shù)據(jù)庫(kù)的口令不會(huì)明文放在配置文件中，而是以動(dòng)態(tài)加密的方法保存著。數(shù)據(jù)庫(kù)的安全配置還包括數(shù)據(jù)庫(kù)的權(quán)限的分配問(wèn)題，應(yīng)該刪掉一些不必要的用戶(hù)，數(shù)據(jù)庫(kù)維護(hù)人員和應(yīng)用人員的權(quán)限嚴(yán)格分開(kāi)。一般的數(shù)據(jù)庫(kù)

19、本身有一些安全機(jī)制可選取，例如只允許某幾臺(tái)或某網(wǎng)段的機(jī)器可訪(fǎng)問(wèn)本數(shù)據(jù)庫(kù)等，這時(shí)我們可以用這個(gè)規(guī)則來(lái)制訂安全，只允許維護(hù)人員和應(yīng)用服務(wù)器等的IP可以訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)服務(wù)。另外，有一些數(shù)據(jù)庫(kù)本身因?yàn)榧夹g(shù)的復(fù)雜性，其產(chǎn)品其身設(shè)計(jì)有漏洞，這時(shí)就應(yīng)該及時(shí)地打好補(bǔ)丁，來(lái)防范數(shù)據(jù)庫(kù)的入侵。應(yīng)用服務(wù)器的安全配置應(yīng)用服務(wù)器的安全性也必須考慮在系統(tǒng)安全中，一個(gè)很明顯的例子就是有些應(yīng)用服務(wù)器本身有源碼泄露的漏洞，這樣，入侵者可透過(guò)防火墻直接從WEB方式得到源碼，給系統(tǒng)造成很大的威脅。應(yīng)用服務(wù)器配置在安裝后，一般有一些管理程序或范例在系統(tǒng)里面，這里我們必須要?jiǎng)h掉或移走這些程序，因?yàn)檫@些程序也能給系統(tǒng)造成安全隱患，透過(guò)這些程

20、序，有些不良用戶(hù)可以看到系統(tǒng)的基本信息，如程序的存儲(chǔ)路徑等。這部分主要解決方案是系統(tǒng)實(shí)施時(shí)作一次比較徹底的配置，打上最新的補(bǔ)丁來(lái)配合應(yīng)服服務(wù)器的順利運(yùn)行。廣州星系在這方面有著比較獨(dú)到的研究，對(duì)各種產(chǎn)品有著比較透徹，實(shí)時(shí)的的了解，在各種應(yīng)用服務(wù)器的安裝實(shí)施方面，我們可以解決這方面的隱患。實(shí)時(shí)入侵檢測(cè)入侵檢測(cè)系統(tǒng)是指監(jiān)視（或者在可能的情況下阻止）入侵或者試圖控制你的系統(tǒng)或者網(wǎng)絡(luò)資源等不良行為的系統(tǒng)。入侵檢測(cè)系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，其目的是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段。選擇入侵檢測(cè)系統(tǒng)，應(yīng)特別注意其主要性能的情況，包括：協(xié)議分析及檢測(cè)能力、解碼效率(速度)、自身安全的完備性、精確

21、度及完整度防欺騙能力、模式更新速度，等等。入侵檢測(cè)系統(tǒng)是分層安全中日益被普遍采用的成分，它將有效地提升黑客進(jìn)入網(wǎng)絡(luò)系統(tǒng)的門(mén)檻。入侵監(jiān)測(cè)系統(tǒng)能夠通過(guò)向管理員發(fā)出入侵或者入侵企圖來(lái)加強(qiáng)當(dāng)前的存取控制系統(tǒng)，例如防火墻。識(shí)別防火墻通常不能識(shí)別的攻擊，如來(lái)自企業(yè)內(nèi)部的攻擊；在發(fā)現(xiàn)入侵企圖之后提供必要的信息，幫助系統(tǒng)移植。安全漏洞評(píng)估系統(tǒng)安全漏洞評(píng)估系統(tǒng)是一個(gè)漏洞和風(fēng)險(xiǎn)評(píng)估工具，用于發(fā)現(xiàn)、發(fā)掘和報(bào)告網(wǎng)絡(luò)安全漏洞。一個(gè)出色的安全評(píng)估系統(tǒng)不僅能夠檢測(cè)和報(bào)告漏洞，而且還可以發(fā)現(xiàn)漏洞發(fā)生在什么地方以及發(fā)生的原因。它在系統(tǒng)間分享信息并繼續(xù)探測(cè)各種漏洞直到發(fā)現(xiàn)所有的安全漏洞；還可以通過(guò)發(fā)掘漏洞以提供更高的可信度以確保

22、被檢測(cè)出的漏洞是真正的漏洞。這就使得風(fēng)險(xiǎn)分析更加精確，并確保管理員可以把風(fēng)險(xiǎn)程度最高的漏洞放在優(yōu)先考慮的位置。最新的漏洞評(píng)估系統(tǒng)還采用了獨(dú)特的“路徑分析技術(shù)”，用以發(fā)現(xiàn)漏洞的根本原因。通過(guò)分析漏洞的根本原因，任何重復(fù)的漏洞、模式或異常的現(xiàn)象很容易被確定到是否是重要問(wèn)題，或被確定到網(wǎng)絡(luò)中的系統(tǒng)并且迅速被排除。病毒防護(hù)防病毒軟件的應(yīng)用也是多層安全防護(hù)的一項(xiàng)必要措施。它是專(zhuān)門(mén)為防止已知和未知的病毒感染你的信息系統(tǒng)而設(shè)計(jì)的。它的針對(duì)性很強(qiáng)，但是需要不斷更新，而且存在一定的片面性。讓我們看看多層防護(hù)策略是如何發(fā)揮作用的。即使網(wǎng)絡(luò)中的入侵檢測(cè)系統(tǒng)失效，防火墻、安全漏洞評(píng)估和防病毒軟件還會(huì)起作用。配置合理的

23、防火墻能夠在入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)之前阻止最普通的攻擊。安全漏洞評(píng)估能夠發(fā)現(xiàn)漏洞并幫助清除這些漏洞。如果一個(gè)系統(tǒng)沒(méi)有安全漏洞，即使一個(gè)攻擊沒(méi)有被發(fā)現(xiàn)，那么這樣的攻擊也不會(huì)成功。即使入侵檢測(cè)系統(tǒng)沒(méi)有發(fā)現(xiàn)已知病毒，防火墻沒(méi)能夠阻止病毒，安全漏洞檢測(cè)沒(méi)有清除病毒傳播途徑，防病毒軟件同樣能夠偵測(cè)這些病毒。所以，在使用了多層安全防護(hù)措施以后，企圖入侵你的公司的信息系統(tǒng)的黑客要付出成數(shù)倍的代價(jià)才有可能達(dá)到入侵目的。這時(shí)，你的信息系統(tǒng)的安全系數(shù)得到了大大的提升。如果你擁有多層安全防護(hù)系統(tǒng)，那么，黑客滲透進(jìn)來(lái)的成本就更高，他們就需要更多的資源，而這些都是大多數(shù)潛在的黑客做不到的。多層安全防護(hù)系統(tǒng)使得入侵者更可能放棄

24、對(duì)你系統(tǒng)的攻擊。如下圖：就是冠群金辰的一個(gè)解決方案圖：推薦廠商：Symantec CorpNAI冠群金辰安氏CheckPointNetwork Associates，Inc的Internet Security Suite(ISS)/ Real SecureCisco的Cisco NetRanger中科網(wǎng)威的天眼網(wǎng)絡(luò)偵測(cè)系統(tǒng)數(shù)據(jù)安全存儲(chǔ)安全存儲(chǔ)加密被廣泛地用到了USDP的整個(gè)系統(tǒng)中，某些關(guān)鍵信息例如密碼關(guān)鍵以及相關(guān)重要業(yè)務(wù)數(shù)據(jù)被加密保存在數(shù)據(jù)庫(kù)或文本中或其它邏輯存儲(chǔ)設(shè)備中，這樣一來(lái)，連系統(tǒng)管理員也無(wú)法得到真實(shí)的數(shù)據(jù)，在系統(tǒng)中，只有在經(jīng)過(guò)我們的初始化的系統(tǒng)后，再添加一個(gè)管理員，只有這個(gè)管理員才能看

25、到真正準(zhǔn)確的信息。傳輸安全數(shù)據(jù)在傳輸中，如果涉及到企業(yè)重要的信息，不能以明文方式出去，以免遭到不良動(dòng)機(jī)的人竊下數(shù)據(jù)包，再加以組合從而看到企業(yè)的信息，為了不致使數(shù)據(jù)被竊，其中數(shù)據(jù)傳輸中，我們可以采用SSL加密來(lái)保證傳輸?shù)陌踩浴?SSL（Secure Socket Layer）協(xié)議是由Netscape首先發(fā)表的網(wǎng)絡(luò)資料安全傳輸協(xié)定，其首要目的是在兩個(gè)通信間提供秘密而可靠的連接。該協(xié)議由兩層組成，底層是建立在可靠的傳輸協(xié)議（例如：TCP）上的是SSL的記錄層，用來(lái)封裝高層的協(xié)議。SSL握手協(xié)議準(zhǔn)許服務(wù)器端與客戶(hù)端在開(kāi)始傳輸數(shù)據(jù)前，能夠通過(guò)特定的加密算法相互鑒別。SSL的先進(jìn)之處在于它是一個(gè)獨(dú)立的應(yīng)

26、用協(xié)議，其它更高層協(xié)議能夠建立在SSL協(xié)議上。目前大部分的Web Server及Browser大多支持SSL的資料加密傳輸協(xié)定。因此，可以利用這個(gè)功能，將部分具有機(jī)密性質(zhì)的網(wǎng)頁(yè)設(shè)定在加密的傳輸模式，如此即可避免資料在網(wǎng)絡(luò)上傳送時(shí)被其他人竊聽(tīng)。SSL是利用公開(kāi)密鑰的加密技術(shù)（RSA）來(lái)作為用戶(hù)端與主機(jī)端在傳送機(jī)密資料時(shí)的加密通訊協(xié)定。目前，大部分的Web Server及Browser都廣泛使用SSL 技術(shù)。對(duì)消費(fèi)者而言，SSL已經(jīng)解決了大部分的問(wèn)題。但是，對(duì)電子商務(wù)而言問(wèn)題并沒(méi)有完全解決，因?yàn)镾SL只做能到資料保密，廠商無(wú)法確定是誰(shuí)填下了這份資料，即使這一點(diǎn)做到了，還有和銀行清算的問(wèn)題。還有一個(gè)

27、文件存儲(chǔ)的安全性，這部分我們可以推薦用戶(hù)使用PGP對(duì)安全性要求高的文檔來(lái)加密。2PGP（Pretty Good Privacy）目前，還有一種非常好的連接網(wǎng)絡(luò)與桌面的安全方法，PGP（Pretty Good Privacy）。PGP是一個(gè)公鑰加密程序，與以前的加密方法不同的是PGP公鑰加密的信息只能用私鑰解密。在傳統(tǒng)的加密方法中，通常一個(gè)密鑰既能加密也能解密。那么在開(kāi)始傳輸數(shù)據(jù)前，如何通過(guò)一個(gè)不安全的信道傳輸密鑰呢？使用PGP公鑰加密法，你可以廣泛傳播公鑰，同時(shí)安全地保存好私鑰。由于只有你可擁有私鑰，所以，任何人都可以用你的公鑰加密寫(xiě)給你的信息，而不用擔(dān)心信息被竊聽(tīng)。使用PGP的另一個(gè)好處是可

28、以在文檔中使用數(shù)字簽名。一個(gè)使用私鑰加密的密鑰只能用公鑰解密。這樣，如果人們閱讀用你的公鑰解密后的文件，他們就會(huì)確定只有你才能寫(xiě)出這個(gè)文件。目前最新版本的PGP 2。6。3是美國(guó)和加拿大使用的版本，PGP 2.6.3i是一般Internet上使用的，它可以從www.P下載。PGP是一個(gè)軟件加密程序，用戶(hù)可以使用它在不安全的通信鏈路上創(chuàng)建安全的消息和通信。PGP協(xié)議已經(jīng)成為公鑰加密技術(shù)和全球范圍消息安全性的事實(shí)標(biāo)準(zhǔn)。因?yàn)樗腥硕寄芸吹剿脑创a，從而查找出故障和安全性漏洞，所有的故障和漏洞都在發(fā)現(xiàn)后被改正了。此外，我們?cè)诰S護(hù)或后臺(tái)采編信息到服務(wù)器上時(shí)，我們用VPN來(lái)使內(nèi)外網(wǎng)聯(lián)合在一起，其中VPN

29、的出入數(shù)據(jù)也嚴(yán)格經(jīng)過(guò)了加密，例如有些VPN廠商采用DES，3DES，RC4或RSA等強(qiáng)加密算法來(lái)加密，還有，我們?cè)诰S護(hù)機(jī)器時(shí)，采用的軟件也最好使用有加密性安全性高的軟件，例如，telnet本身是幾乎以明文傳輸?shù)目刂瞥绦?，這時(shí)，我們最發(fā)采用SSH來(lái)代替。這時(shí)，我們?cè)趦?nèi)部工作時(shí)，采用雙種加密，使數(shù)據(jù)無(wú)論是在內(nèi)網(wǎng)還是在外網(wǎng)，都消除數(shù)據(jù)被竊聽(tīng)的可能性。容災(zāi)系統(tǒng)容災(zāi)系統(tǒng)的結(jié)構(gòu)比較復(fù)雜，一般來(lái)說(shuō)，它首要的功能的數(shù)據(jù)備份功能，以防止硬碟在運(yùn)行時(shí)出現(xiàn)損壞時(shí)，這些自動(dòng)地?cái)?shù)據(jù)實(shí)時(shí)地備份到備份設(shè)備如磁帶，磁碟等存貯介質(zhì)中，第二個(gè)容災(zāi)功能要求是當(dāng)系統(tǒng)出現(xiàn)不可測(cè)問(wèn)題的，容災(zāi)系統(tǒng)的備份機(jī)會(huì)自動(dòng)啟動(dòng)工作，來(lái)接替主機(jī)的工作，

30、使之系統(tǒng)能在24* 7正常地工作。一般地，容災(zāi)系統(tǒng)的工程比較大，耗費(fèi)也比較大，比較對(duì)信息的實(shí)時(shí)性或安全性特別重要的情況下，一般要有一個(gè)容災(zāi)小組來(lái)規(guī)劃整個(gè)系統(tǒng)的災(zāi)難可能發(fā)生的情況及整個(gè)系統(tǒng)的運(yùn)行環(huán)境，以便于內(nèi)部實(shí)施或請(qǐng)專(zhuān)門(mén)的技術(shù)公司實(shí)施容災(zāi)系統(tǒng)。在備份方面，比較成熟的技術(shù)有DAS(Direct Attached Storage)，SAN(Storage Area Network)和NAS(Network Attach Stroage)。NAS與SAN都是在DAS的基礎(chǔ)上發(fā)展起來(lái)的，是新型數(shù)據(jù)存儲(chǔ)模式中的兩個(gè)主要發(fā)展方向。而RAID只是三種存儲(chǔ)的一個(gè)常用基礎(chǔ)存儲(chǔ)方式。1DASTypical LAN

31、 using DASDAS系統(tǒng)軟件安裝較為煩瑣，初始化RAID及調(diào)試第三方軟件一般需要兩天時(shí)間，無(wú)獨(dú)立的存儲(chǔ)操作系統(tǒng)，需相應(yīng)服務(wù)器或客戶(hù)端支持，容易造成網(wǎng)絡(luò)癱瘓，管理較復(fù)雜。需要第三方軟件支持。由于各系統(tǒng)平臺(tái)文件系統(tǒng)不同，增容時(shí)需對(duì)各自系統(tǒng)分別增加數(shù)據(jù)存儲(chǔ)設(shè)備及管理軟件。異地備份，備份過(guò)程麻煩。依靠雙服務(wù)器和相關(guān)軟件實(shí)現(xiàn)雙機(jī)容錯(cuò)功能，但兩服務(wù)器同時(shí)發(fā)生故障，用戶(hù)就不能進(jìn)行數(shù)據(jù)存儲(chǔ)。而SAN和NAS在存貯上可以克服上述一些缺點(diǎn)2SANSAN可以定義為是以數(shù)據(jù)存儲(chǔ)為中心，采用可伸縮的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，通過(guò)具有高傳輸速率的光通道的直接連接方式，提供SAN內(nèi)部任意節(jié)點(diǎn)之間的多路可選擇的數(shù)據(jù)交換，并且將數(shù)據(jù)

32、存儲(chǔ)管理集中在相對(duì)獨(dú)立的存儲(chǔ)區(qū)域網(wǎng)內(nèi)。在多種光通道傳輸協(xié)議逐漸走向標(biāo)準(zhǔn)化并且跨平臺(tái)群集文件系統(tǒng)投入使用后，SAN最終將實(shí)現(xiàn)在多種操作系統(tǒng)下，最大限度的數(shù)據(jù)共享和數(shù)據(jù)優(yōu)化管理，以及系統(tǒng)的無(wú)縫擴(kuò)充。Typical LAN using SAN3NAS網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備（NAS）是一種專(zhuān)業(yè)的網(wǎng)絡(luò)文件存儲(chǔ)及文件備份設(shè)備，或稱(chēng)為網(wǎng)絡(luò)直聯(lián)存儲(chǔ)設(shè)備、網(wǎng)絡(luò)磁盤(pán)陣列。一個(gè)NAS里面包括核心處理器，文件服務(wù)管理工具，一個(gè)或者多個(gè)的硬盤(pán)驅(qū)動(dòng)器用于數(shù)據(jù)的存儲(chǔ)。NAS 可以應(yīng)用在任何的網(wǎng)絡(luò)環(huán)境當(dāng)中。主服務(wù)器和客戶(hù)端可以非常方便地在NAS上存取任意格式的文件，包括SMB格式（Windows）NFS格式(Unix，Linux)

33、和CIFS格式等等。NAS 系統(tǒng)可以根據(jù)服務(wù)器或者客戶(hù)端計(jì)算機(jī)發(fā)出的指令完成對(duì)內(nèi)在文件的管理。另外的特性包括：獨(dú)立于操作平臺(tái)，不同類(lèi)的文件共享，交叉協(xié)議用戶(hù)安全性/許可性，瀏覽器界面的操作/管理，和不會(huì)中斷網(wǎng)絡(luò)的增加和移除服務(wù)器。NAS是在RAID的基礎(chǔ)上增加了存儲(chǔ)操作系統(tǒng)，而SAN是獨(dú)立出一個(gè)數(shù)據(jù)存儲(chǔ)網(wǎng)絡(luò)，網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)傳輸率很快，但操作系統(tǒng)仍停留在服務(wù)器端，用戶(hù)不是在直接訪(fǎng)問(wèn)SAN的網(wǎng)絡(luò)，因此這就造成SAN在異構(gòu)環(huán)境下不能實(shí)現(xiàn)文件共享。NAS與SAN的數(shù)據(jù)存儲(chǔ)可通過(guò)下面的圖來(lái)表示：SAN存儲(chǔ)NAS存儲(chǔ)以上兩圖說(shuō)明：SAN是只能獨(dú)享的數(shù)據(jù)存儲(chǔ)池，NAS是共享與獨(dú)享兼顧的數(shù)據(jù)存儲(chǔ)池。因此，NA

34、S與SAN的關(guān)系也可以表述為：NAS是Network-attached，而SAN是Channel-attached。其中SAN實(shí)施費(fèi)用比較高，但速度上很快，并且有一部分廠商實(shí)現(xiàn)在異種文件系統(tǒng)的共享，但一般來(lái)說(shuō)，技術(shù)上有一定的故障。同SAN相比，NAS 技術(shù)是相對(duì)成熟的。盡管有一些SAN文件共享解決方案存在，它們一般是針對(duì)特定的要求，多個(gè)服務(wù)器要求高速的的接入通過(guò)私有的輕量級(jí)的協(xié)議來(lái)實(shí)現(xiàn)共享數(shù)據(jù)。NAS是網(wǎng)絡(luò)技術(shù)在存儲(chǔ)領(lǐng)域的延伸和發(fā)展，數(shù)據(jù)以文件的形式按照網(wǎng)絡(luò)協(xié)議在客戶(hù)機(jī)與存儲(chǔ)設(shè)備之間流動(dòng)，它可以利用NFS實(shí)現(xiàn)異構(gòu)平臺(tái)的客戶(hù)機(jī)對(duì)數(shù)據(jù)的共享，集成在存儲(chǔ)設(shè)備內(nèi)的專(zhuān)用文件服務(wù)器提高了文件傳輸?shù)腎/O速

35、度。一旦用戶(hù)把互連性和多平臺(tái)性放在首位的時(shí)候，對(duì)NAS的考慮會(huì)多一些。但是，當(dāng)數(shù)據(jù)存儲(chǔ)發(fā)展到一定規(guī)模，NAS的缺陷就顯現(xiàn)出來(lái)，如數(shù)據(jù)服務(wù)和數(shù)據(jù)管理形成了網(wǎng)絡(luò)的雙重負(fù)擔(dān)；磁盤(pán)陣列必須配置專(zhuān)用文件服務(wù)器，后期擴(kuò)容成本高；一般文件服務(wù)器沒(méi)有高可用配置，有單點(diǎn)故障；通過(guò)網(wǎng)絡(luò)協(xié)議的訪(fǎng)問(wèn)方式，對(duì)存儲(chǔ)系統(tǒng)的數(shù)據(jù)安全構(gòu)成威脅等。顯然，NAS技術(shù)不能滿(mǎn)足可靠度為99。999%的數(shù)據(jù)存儲(chǔ)系統(tǒng)的要求。SAN主要針對(duì)海量/面向數(shù)據(jù)塊的數(shù)據(jù)傳輸，NAS提供文件訪(fǎng)問(wèn)級(jí)數(shù)據(jù)訪(fǎng)問(wèn)功能，另外，在一個(gè)系統(tǒng)中SAN和NAS可以并存推薦廠商：EMC VeritasIBMHPProcom神州數(shù)碼應(yīng)用安全安全的實(shí)施，一半在于基礎(chǔ)的安全，

36、另一半在于應(yīng)用和管理的安全，其中，應(yīng)用安全在整個(gè)USDP的產(chǎn)品中都考慮到比較周全，使產(chǎn)品無(wú)論從邏輯上還是從功能上都能達(dá)到一個(gè)很安全的層次，首先，在功能上，我們采用了完全跨平臺(tái)的XML來(lái)作為底層編層語(yǔ)言，用多層結(jié)構(gòu)來(lái)保證其可用性，可擴(kuò)展性和高度的可集成性，從而從容不迫24*7提供很高的保證。在管理上，日志管理是一個(gè)很方便的監(jiān)督作用，他能動(dòng)態(tài)地監(jiān)視用戶(hù)的每一個(gè)動(dòng)作，從而可以從根本上指導(dǎo)用戶(hù)的操作，例如在培訓(xùn)方面，通過(guò)對(duì)日志的分析，可以看到一個(gè)用戶(hù)對(duì)系統(tǒng)應(yīng)用的掌握程度，如果在某一個(gè)環(huán)節(jié)出錯(cuò)，培訓(xùn)管理員或系統(tǒng)管理員可以通知是怎么出錯(cuò)，還有，日志還有動(dòng)態(tài)歸檔功能，當(dāng)一個(gè)環(huán)節(jié)是由于操作不當(dāng)或其它原因，歸檔

37、后用戶(hù)可以EMAIL到我們的技術(shù)支持來(lái)查看日志來(lái)得出原因。USDP產(chǎn)品可以從根本上看到用戶(hù)在系統(tǒng)中的每一個(gè)操作，并且只能管理員才能看到這些操作記錄，通過(guò)配置這些操作可以動(dòng)態(tài)地以EMAIL，F(xiàn)AX或短消息發(fā)給特定的人。在邏輯上我以主要以下三個(gè)管理機(jī)制用戶(hù)安全所用用戶(hù)登錄必須通過(guò)一個(gè)入口登錄到系統(tǒng)，沒(méi)有驗(yàn)證的用戶(hù)是看不到系統(tǒng)的任何數(shù)據(jù)，因?yàn)?，我們的每一個(gè)頁(yè)面都有身份驗(yàn)證，并且，用戶(hù)登錄時(shí)，會(huì)動(dòng)態(tài)地記下其登錄時(shí)間，用戶(hù)名以及IP等。另外，用戶(hù)管理是和權(quán)限控制聯(lián)系在一起的，在系統(tǒng)初始化后，有一個(gè)超級(jí)用戶(hù)，這個(gè)用戶(hù)可以添加其它用戶(hù)，例如倉(cāng)管員，對(duì)于他的功能就只能調(diào)拔該倉(cāng)的產(chǎn)品，可對(duì)其它財(cái)務(wù)數(shù)據(jù)來(lái)說(shuō)，他是看不到的，這樣可以達(dá)到業(yè)務(wù)的一個(gè)比較好的保密性，在多用戶(hù)下，可以用角色來(lái)分配權(quán)限給用戶(hù)，這樣更加方便了系統(tǒng)的可操作性。數(shù)據(jù)安全在權(quán)限管理中，產(chǎn)品的管理上采用了地域的劃分法，倉(cāng)庫(kù)和部門(mén)劃分等方法，力求把權(quán)限細(xì)分到最小化，而在操作上達(dá)到簡(jiǎn)單化。在權(quán)限管理中，對(duì)權(quán)限的賦予和收回都采用了嚴(yán)格的措施，使用戶(hù)看處到他應(yīng)該得到到的數(shù)據(jù)，而其它數(shù)據(jù)的存在根本不知道，這在菜單上表現(xiàn)來(lái)說(shuō)，如果用戶(hù)沒(méi)一個(gè)一級(jí)權(quán)限，那么這個(gè)主菜單就不存在，該