车辆监控管理、信息浏览、资料查询、增值服务(IE浏览器) C# .Net WEB服务器 Oracle 数据库管理系统 图:B/S方式软件的层次结构
5.8. 系统安全体系设计
ODBC 5.8.1安全概述
随着计算机性能的大幅度提高,及通信网络的快速发展,计算机的应用范围在不断的扩大。人们利用通信网络把孤立的计算机或者小型网络系统连接起来,相互通信、共享资源、共同进行业务处理。因此,系统结构在不断的扩大,复杂性在不断的增加,系统的管理难度越来越大。同时,由于计算机信息的可共享和易于扩散等特性,它在处理、存储、传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏、丢失,或者是受到计算机病毒的感染,导致信息系统的数据被泄露、窃取、篡改、冒充甚至破坏。这些都是计算机系统所要面临的日益严重的安全威胁。因此,在策划和实施一个网络安全及管理系统的时候,要站在一个全面和长远的角度去考虑,使这个网络安全及管理系统跟随目前安全与管理发展的潮流,解决目前和将来可能会出现的安全与管理问题。这样就需要在网络安全及管理系统设计之初就使这个系统是一个立体的、可发展的系统,以适应目前的需求和将来的发展。然后,再对这个系统进行分割,决定出那些是迫切需要,要马上实施的,那些是长远考虑的,之后就有步骤有计划地实施。
一般来说,系统安全及管理体系包括了网络管理、系统管理、安全管理以及各种基于安全策略的产品部署,如下图所示。
第 30 页 共 85 页
5.8.2安全分析
一般来说,系统的安全威胁包括了物理、系统、网络、应用、数据库、存储、管理等方面的因素,下表对系统可能存在的威胁因素进行了分析。
类 别 潜在威胁及风险 ? 供配电系统:市电不稳定或者停电,导致系统停止运行; ? 电气设备遭受雷击:包括主机设备、网络设备、通信线路、车载终端等都有可能会遭受雷击而损坏,导致系统无法正常使用; ? 自然灾害如地震、火灾、水灾等灾难性破坏导致整个系统被毁灭; ? 机房被非相关人员随便进入,可能导致系统不正当操作出现瘫痪; ? 车载终端恶劣工作环境下可能出现性能不稳定而影响系统运行; ? 操作系统本身存在安全漏洞导致系统的崩溃,或者为系统外部的入侵提供了后门; ? 系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够,配置不当造成安全隐患; ? 系统的设置过于简单,尤其是对用户的认证授权机制,让外部入侵能够轻松的破解; ? 系统日志没有设置,缺乏对入侵者操作过程的记录,无法对入侵进行有针对性的防范。 ? 网络层是网络入侵者攻击信息系统的渠道和通路,因此,其物理安全 系统安全 网络安全 第 31 页 共 85 页
? ? ? ? ? ? ? ? 安全所面临的外部攻击是整个系统安全中最严重的; 关键位置的网络设备故障有可能导致整个网络系统瘫痪,无法进行数据传输; 性能较差的网络设备有可能成为整个系统数据传输的瓶颈; 主要通信线路的故障有可能导致整个或部分系统网络无法进行数据传输; 传输速率及性能较差的通信线路有可能成为数据传输的瓶颈; 不安全的网络协议(如TCP /IP )容易被攻击者探测及利用,并因此形成入侵的途径; 病毒入侵导致系统瘫痪或者是网络瘫痪; 采用不经过保密认证的设备与公众网络连接,导致系统泄密; 空中的无线链路被截获信令和用户数据、劫持呼叫或连接,以及对一些敏感数据进行篡改、删除、重放等攻击行为,导致系统数据不完整。 数据安全 ? 选用了安全性低的数据库管理系统,容易被非法访问或破坏; ? 数据没有经过加密就在网络上进行传输,在传输的过程中有可能被非法窃听、拦截,甚至篡改、冒名等威胁; ? 数据库管理员对系统的配置不当,不同身份的用户可能会拥有相同的权限,甚至是超级管理员的权限,非法用户利用权限进行破坏。 ? 采用了不成熟的技术进行开发,导致不可预测的故障出现; ? 系统开发对使用者的功能定义不明确或不严密,导致内部使用人员可以越权非法访问; ? 业务分析不清楚或不严密,影响系统开发及数据处理流程,导致系统出现非法的,或者是不可逆的错误。 ? 缺乏健全的安全管理体制,使系统内部的使用人员(包括系统管理人员)可以对系统进行攻击尝试。 ? 缺乏有效的安全管理手段,使系统的管理资料有可能通过内部使用人员向外泄露。 ? 系统管理员不严格遵守安全管理条例,如不按时检查系统安全日志、不及时升级杀毒软件等,内部的人为疏忽导致系统面临安全威胁。 应用安全 管理安全 5.8.3安全策略
系统的安全不是绝对的,为了将安全风险降低到用户可以接受的程度,我们需要制定有一套高效可行的安全策略,以实现系统安全的目标。这些策略包括了从安全规划到系统受到攻击时进行反击等一系列措施。
第 32 页 共 85 页
规划 根据系统的要求,从总体角度规划系统安全的层次和级别, 将系统安全防范于未然 预警 根据以前掌握的系统脆弱性和当前的技术发展趋势,预测 未来可能受到的攻击危害 保护 采用可能采取的手段保障数据的保密性、完整性、可用性、 可控性和不可否认性 检测 用高级技术和工具,检查系统存在的可能遭受攻击的安全 漏洞 反应 对危及系统安全的事件、行为、过程及时做出响应并处理, 杜绝威胁的进一步蔓延扩大,力求系统能够不间断的提供 正常服务 恢复 一旦系统遭到破坏,尽快地恢复系统功能,尽遭提供系统的 正常服务。 反击 利用高级技术和工具,对攻击来源进行分析和跟踪,并对恶 意攻击的入侵者采取法律手段进行处理
5.8.4主机/服务器安全
主机/服务器作为整个系统的核心,服务器的故障将会导致整个系统陷于瘫痪,因此其安全性是显而易见的。保证服务器系统安全可以从通过双机(见
第 33 页 共 85 页
基础硬件架构设计)、系统补丁、登陆管理、用户管理、系统日志等方面着手。服务器系统管理员应当按照系统安全检查手册的指引,灵活运用非法入侵实时探测和登录管理等安全工具,定期检查服务器系统安全。
项 目 检查并消除系统安全漏洞 主要安全策略 ? 禁用不必要的系统功能及服务并安全安全补丁; ? 以周为单位,检查系统内部是否存在安全漏洞,并坚持每天访问系统官方网站,看是否有安全漏洞的通告及下载补丁程序。 ? 有新用户登录时明确用户ID /密码等登录条件(用户身份、使用期限、使用目的等); ? 工作人员的职能变动时即时改变用户帐号的权限,或者禁用、或者删除不用的帐号,避免帐号被非法使用。 ? 限制拥有root / administrator 权限的用户数量; ? 强化对有root / administrator 权限用户的系统登录行为的管理 ? 为消除故障或系统检查目的而必须给用户分配root / administrator 权限时,应在作业结束后,根据网络及服务器安全检查项目对网络与系统进行全面的安全检查; ? 定期变更root / administrator 用户的帐号密码,并且密码必须符合保密安全的要求(长度8 位以上、由大、小写字母、数字等组成)。 ? 借助系统的实时监视功能和非法入侵探知功能,及时发现对交通管理中心系统服务器的非法入侵行为。 ? 测试系统和运营系统完全分离; ? 系统管理者和安全管理者角色分离; ? 对用户进行分类管理并适当地分配各自的系统访问权限。 ? 启用系统审核安全策略,记录访问过程的每个操作; ? 定期查看系统日志文件内容(包括系统、安全、应用程序等,检查系统是否发生故障、数据遗失、数据损坏、运行错误、非法访问等); ? 非法访问事件报告 —无访问权限者试图访问文件; —(因密码错误而)反复登录系统等。 用户权限分配 超级用户控制 非法入侵探知 业务隔离用户分类管理 审 计 5.9. 网络安全设计
由于系统安全威胁绝大部分是来自于网络,尤其是互联网的攻击,其中包括E-MAIL 、HTTP 、FTP 等服务进行,因此网络安全是系统安全的重点防范对象。网络安全设计必须要从系统整体角度出发,充分考虑到数据传输加密、入侵检测、防火墙、防病毒等的规划设计。如下图所示。
第 34 页 共 85 页
电信GPS管理信息系统平台方案 - 图文
