【文章內(nèi)容簡(jiǎn)介】 開(kāi)發(fā)環(huán)境：Eclipse+MyEclipse+Urltredit；操作系統(tǒng)：Red Hat Linux或unix 、Windows20032008Web服務(wù)器：IBM Websphere、BEA WEBlogic或JBOSS數(shù)據(jù)庫(kù)服務(wù)器：PG 、Oracle、 DB2或Enterprisedb企業(yè)級(jí)，為節(jié)約費(fèi)用，建議優(yōu)先采用免費(fèi)數(shù)據(jù)庫(kù)PG。 技術(shù)實(shí)現(xiàn)方案l 采用JAVA體系下的J2EE企業(yè)級(jí)應(yīng)用解決方案構(gòu)建B/S的應(yīng)用系統(tǒng)。l 表現(xiàn)層采用自主知識(shí)產(chǎn)權(quán)開(kāi)發(fā)平臺(tái)結(jié)構(gòu)使得系統(tǒng)結(jié)構(gòu)更清晰化，代碼復(fù)用性強(qiáng)，易維護(hù)。l 業(yè)務(wù)邏輯處理采用session bean，它封裝了對(duì)事務(wù)的處理，可以使程序運(yùn)行更安全，可以方便的分布式部署，使系統(tǒng)能承受很大的壓力。l ，使得系統(tǒng)數(shù)據(jù)庫(kù)無(wú)關(guān)性，可適應(yīng)主流關(guān)系型數(shù)據(jù)庫(kù)，編寫(xiě)程序時(shí)按照面向?qū)ο蟮姆绞綄?xiě)程序，可維護(hù)性高。l 跨平臺(tái)性，可任意移植到多種平臺(tái)下，保護(hù)用戶的投資。技術(shù)平臺(tái)具有廣泛的支持力，J2EE技術(shù)規(guī)范得到了無(wú)論是國(guó)際性大公司還是自由開(kāi)發(fā)者的廣泛的支持，具有很好的發(fā)展前景 數(shù)據(jù)中心及網(wǎng)絡(luò)架構(gòu)本項(xiàng)目的部署實(shí)施不再單獨(dú)構(gòu)建信息中心機(jī)房，不再單獨(dú)進(jìn)行網(wǎng)絡(luò)基礎(chǔ)設(shè)施和中心機(jī)房安全設(shè)施建設(shè)，而是充分利用社保機(jī)房和機(jī)房?jī)?nèi)的通信、網(wǎng)絡(luò)、供電、安全等設(shè)施，將數(shù)據(jù)中心服務(wù)器直接放置在社保機(jī)房?jī)?nèi)；不增加用戶使用終端電腦，而是利用各級(jí)部門(mén)現(xiàn)有的電腦進(jìn)行終端操作，并利用現(xiàn)有的專線專網(wǎng)設(shè)施實(shí)現(xiàn)終端與數(shù)據(jù)中心主服務(wù)器的連接。 信息安全保障體系建設(shè)我們從技術(shù)角度出發(fā)，按系統(tǒng)安全、應(yīng)用安全、信息安全和安全管理四個(gè)方面，分析信息安全的需求。1) 系統(tǒng)安全需求：需要解決的問(wèn)題包括身份冒充、非法訪問(wèn)、配置缺陷、系統(tǒng)缺陷、病毒等。2) 應(yīng)用安全需求：需求解決的主要問(wèn)題是全網(wǎng)統(tǒng)一的CA身份認(rèn)證。3) 信息安全需求：需要解決的主要問(wèn)題是數(shù)據(jù)加密、數(shù)據(jù)的完整性、數(shù)據(jù)的訪問(wèn)控制等。4) 安全管理：需要考慮管理權(quán)限和級(jí)別劃分等問(wèn)題。系統(tǒng)安全機(jī)制 安全定義 在通常意義上，網(wǎng)絡(luò)安全的內(nèi)容至少應(yīng)包括兩個(gè)方面： 物理安全：指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。對(duì)物理安全的保障包括建筑保障、電力保障、空調(diào)系統(tǒng)、消防系統(tǒng)、安全（門(mén)禁）系統(tǒng)等等。邏輯安全：包括信息完整性、保密性和可用性。保密性指高級(jí)別信息僅在授權(quán)情況下流向低級(jí)別的客體與主體；完整性指信息不會(huì)被非授權(quán)修改并且信息保持一致性等；可用性指合法用戶的正常請(qǐng)求能及時(shí)、正確、安全地得到服務(wù)或回應(yīng)。以下的敘述將圍繞邏輯安全展開(kāi)； 各部分安全措施 數(shù)據(jù)安全–數(shù)據(jù)存儲(chǔ)安全采用PG數(shù)據(jù)庫(kù)提供的安全策略；–敏感數(shù)據(jù)采用Cipher工具來(lái)完成數(shù)據(jù)加密/解密；–采用DES加密算法來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)進(jìn)行安全加密；?應(yīng)用安全–直接在數(shù)據(jù)中心進(jìn)行操作者身份驗(yàn)證、用戶授權(quán)和密碼管理，避免權(quán)限下放后出現(xiàn)的管理漏洞給系統(tǒng)安全造成威脅。?網(wǎng)絡(luò)安全–本項(xiàng)目的網(wǎng)絡(luò)環(huán)境全部采用現(xiàn)有設(shè)備體系，其網(wǎng)絡(luò)安全已經(jīng)做過(guò)部署，本次建設(shè)不再需要考慮。數(shù)據(jù)加密采用DES加密算法實(shí)現(xiàn)；–ESB與外圍系統(tǒng)之間的加密和解密采用加密機(jī)進(jìn)行實(shí)現(xiàn)；?主機(jī)安全–系統(tǒng)在硬件上采用網(wǎng)絡(luò)冗余、物理分布集群(主從模式)備份方案，保證主機(jī)設(shè)備的可用和網(wǎng)絡(luò)資源可用。?信息安全–建立規(guī)范的操作用戶信息安全管理機(jī)制–操作員簽署安全操作保密協(xié)議，不講職責(zé)范圍內(nèi)的信息向外泄露，并定期進(jìn)行系統(tǒng)安全檢查審計(jì)。 常見(jiàn)的安全問(wèn)題 在網(wǎng)絡(luò)應(yīng)用中，常見(jiàn)的安全問(wèn)題包括： 系統(tǒng)漏洞：通過(guò)操作系統(tǒng)和服務(wù)器軟件等漏洞非法獲取信息或進(jìn)行其他非法操作。 后門(mén)/陷阱：通過(guò)編程人員留下來(lái)的后門(mén)或者設(shè)置陷阱程序非法獲取信息或進(jìn)行其他非法操作。 拒絕服務(wù)攻擊（ 攻擊）：使得服務(wù)器消耗大量資源或者大量占用服務(wù)器帶寬而導(dǎo)致服務(wù)器處于癱瘓狀態(tài)不能正常工作。 病毒：由于無(wú)意或者惡意的感染病毒文件導(dǎo)致其發(fā)作而使得服務(wù)器工作異?；虬c瘓。 身份冒認(rèn)：冒充他人進(jìn)行越權(quán)操作，包括 IP 冒充等。 密碼破解和泄漏：用于身份確認(rèn)的密碼信息被破解或者泄漏。 信息泄密：保密信息被越權(quán)獲得或者非法傳送給未被授權(quán)者。 信息竊聽(tīng)和篡改：保密信息在傳輸過(guò)程中被非法截取和篡改。 越權(quán)存取和拒絕管理：非法使用未被授權(quán)資源。 安全防范 邏輯安全的防范涉及到網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、操作系統(tǒng)防護(hù)、數(shù)據(jù)庫(kù)保護(hù)、程序應(yīng)用、防火墻防護(hù)等多個(gè)層面，與具體的硬件設(shè)備、系統(tǒng)類(lèi)型、軟件類(lèi)型甚至版本都有密不可分的關(guān)系，而網(wǎng)絡(luò)本身的基礎(chǔ)協(xié)議——TCP/IP、HTTP、SMTP/POP等都有漏洞，所以不可能存在一個(gè)萬(wàn)無(wú)一失的放之四海而皆準(zhǔn)的防護(hù)辦法——除非完全不連上網(wǎng)。而由于軟硬件的不斷升級(jí)、新的漏洞發(fā)現(xiàn)和相應(yīng)補(bǔ)丁的發(fā)布等等，還需要不斷的采取新的措施。因此，安全防護(hù)不是一勞永逸的法寶，而是一個(gè)不斷發(fā)展不斷適應(yīng)的過(guò)程。同時(shí)，安全通常是以性能為代價(jià)的，更高的安全性意味著可能會(huì)犧牲一些服務(wù)器性能和操作方便性。所以好的安全策略并不一定是最安全的，而是最適合當(dāng)前的安全需求的。當(dāng)系統(tǒng)被攻破所需要的花費(fèi)接近甚至超過(guò)了系統(tǒng)安全方面的花費(fèi)時(shí)系統(tǒng)受攻擊的可能性是極低的，這樣的安全策略就可以認(rèn)為是足夠安全的了。 系統(tǒng)維護(hù) 沒(méi)有任何操作系統(tǒng)是絕對(duì)安全的。維護(hù)操作系統(tǒng)的安全必須不斷的留意相關(guān)網(wǎng)站，及時(shí)的為系統(tǒng)安裝升級(jí)包或者打上補(bǔ)丁。 服務(wù)器配置本身就是安全防護(hù)的重要環(huán)節(jié)。有不少黑客案例是利用了沒(méi)有正確配置的服務(wù)器而產(chǎn)生的漏洞。 操作系統(tǒng)本身已經(jīng)提供了復(fù)雜的安全策略措施。充分利用這些安全策略，可以大大降低系統(tǒng)被攻擊的可能性和傷害程度。 權(quán)限分配 配置權(quán)限分配是很復(fù)雜的事情，但是對(duì)安全性卻大有幫助。調(diào)查指出大量的安全問(wèn)題來(lái)自內(nèi)部，內(nèi)部用戶利用不完善的權(quán)限分配掌握了不應(yīng)該掌握的機(jī)密信息從而導(dǎo)致了大量問(wèn)題的產(chǎn)生。 即使可以保證內(nèi)部用戶的忠誠(chéng)度，大量的用戶管理很難保證其中部分用戶的密碼信息不會(huì)被泄漏或者破解。而一旦黑客得到這些信息而權(quán)限分配又不完善，無(wú)疑是給了黑客一個(gè)意想不到的驚喜。 權(quán)限分配也應(yīng)遵守最小化的原則。任何用戶只應(yīng)獲得被許可的最小的操作權(quán)限。 加密機(jī)制 系統(tǒng)里的關(guān)鍵數(shù)據(jù)，例如用戶的密碼等等，采用了嚴(yán)格的加密算法。即使被人截留了數(shù)據(jù)也難以破解出內(nèi)容。加密算法采用了第三方提供的成熟產(chǎn)品，核心為 128 位的非對(duì)稱加密算法，直接破譯是基本上不可能的。配合相應(yīng)的密碼策略來(lái)防止窮舉法解密，可以實(shí)現(xiàn)高度的保密。 密碼策略 密碼（或者也可稱為口令）是用戶身份認(rèn)證的重要工具，如果不使用智能卡或者其他高級(jí)手段，密碼驗(yàn)證基本上就成了主要的甚至是唯一的認(rèn)證工具。密碼設(shè)定應(yīng)該遵循以下原則（實(shí)際適用情況根據(jù)安全性的要求決定，要求越高，越應(yīng)該嚴(yán)格遵守）：v 通常情況下密碼不應(yīng)該少于 8 位。v 盡量避免使用用戶名、生日、英文單詞等作為密碼，最好使用大小寫(xiě)、數(shù)字、特殊字符組合的密碼。v 不要在多個(gè)地方使用同一密碼。v 不要把密碼抄寫(xiě)于容易丟失的紙片、電腦文件等地方。v 不要在公共場(chǎng)合（例如網(wǎng)吧）進(jìn)入安全區(qū)域。 入侵檢測(cè) 防備攻擊并不只是做一些防御性的設(shè)置以及在被攻擊后進(jìn)行恢復(fù)和追查。攻擊者的攻擊過(guò)程實(shí)際上是一個(gè)相當(dāng)復(fù)雜的過(guò)程，除非是真正的高手，否則都會(huì)留下一些蛛絲馬跡。通過(guò)安全日志的紀(jì)錄和解讀、系統(tǒng)狀態(tài)的監(jiān)視、關(guān)鍵文件的使用情況（例如 、System32 目錄）等等往往能夠提前發(fā)現(xiàn)一些入侵的嘗試從而相應(yīng)的制定因變策略。 對(duì)系統(tǒng)的狀態(tài)檢測(cè)還有助于發(fā)現(xiàn)病毒、陷阱程序和木馬程序，防止信息泄漏和系統(tǒng)損壞。日志文件能提供極其豐富的信息，在服務(wù)器上所進(jìn)行的任何活動(dòng)或交易信息都能被記錄下來(lái)。利用這些記錄下來(lái)的日志信息，可以快速查到入侵者的資料。 程序應(yīng)用應(yīng)用程序開(kāi)發(fā)中，可能會(huì)因?yàn)椴蛔⒁獍踩远粝铝吮还舻娜秉c(diǎn)。例如最典型的例子之一是在 ASP 程序開(kāi)發(fā)時(shí)數(shù)據(jù)庫(kù)連接存放在 里面。而很多黑客就是通過(guò)這個(gè)文件得到了數(shù)據(jù)庫(kù)訪問(wèn)的數(shù)據(jù)源、用戶名及其密碼。我們本次所采用的將是基于J2EE的最高安全技術(shù)標(biāo)準(zhǔn)來(lái)進(jìn)行應(yīng)用系統(tǒng)的開(kāi)發(fā)，有效杜絕出現(xiàn)漏洞和數(shù)據(jù)存儲(chǔ)漏洞。 防火墻 防火墻的基本功能是在內(nèi)部網(wǎng)和外部網(wǎng)之間建起一道屏障，并決定哪些內(nèi)部資源可以被外界訪問(wèn)，哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)，內(nèi)部網(wǎng)和外部網(wǎng)之間傳輸?shù)乃行畔⒍家?jīng)過(guò)防火墻的檢查，只有授權(quán)的數(shù)據(jù)才能通過(guò)。根據(jù)對(duì)數(shù)據(jù)處理方法的不同，防火墻大致可分為兩大體系：包過(guò)濾防火墻和代理防火墻（應(yīng)用層網(wǎng)關(guān)防火墻）。 防火墻盡管不能保證萬(wàn)無(wú)一失的防止非法侵入，但是大大降低了被攻擊造成損壞的可能性，因此是安全防護(hù)的重要元素之一。 預(yù)防病毒 通常情況下應(yīng)該禁止在服務(wù)器上安裝其它軟件、接收郵件、放置來(lái)歷不明的文件等等。必須安裝的軟件應(yīng)該由系統(tǒng)管理員安裝并在此之前進(jìn)行嚴(yán)格的病毒測(cè)試。使用防病毒軟件進(jìn)行實(shí)時(shí)的病毒監(jiān)控是有效的防毒措施之一。 災(zāi)難恢復(fù) 災(zāi)難恢復(fù)基于未雨綢繆的準(zhǔn)備，對(duì)不可預(yù)知的錯(cuò)誤應(yīng)該有充分的預(yù)防，在出現(xiàn)系統(tǒng)問(wèn)題時(shí)應(yīng)該及時(shí)發(fā)現(xiàn)和解決，系統(tǒng)癱瘓無(wú)法恢復(fù)時(shí)也可以迅速重新架設(shè)，把損失減到最小。 必須制定嚴(yán)格的備份策略，根據(jù)數(shù)據(jù)的重要程度、更新頻度等定時(shí)進(jìn)行備份。至少應(yīng)該有一個(gè)存放于不同介質(zhì)的完全備份（備份頻率可略低）和一個(gè)頻率較高的增補(bǔ)備份。 對(duì)業(yè)務(wù)系統(tǒng)的應(yīng)用狀態(tài)監(jiān)測(cè)也是必不可少的。應(yīng)該能夠在故障出現(xiàn)后一個(gè)小時(shí)內(nèi)發(fā)現(xiàn)并保證有一支可以及時(shí)查看問(wèn)題并加以解決的快速反應(yīng)隊(duì)伍和制度。本方案建議的備份策略如下：，配置操作系統(tǒng)的監(jiān)控策略，出現(xiàn)錯(cuò)誤時(shí)將錯(cuò)誤信息以電子郵件方式通知管理員；對(duì)系統(tǒng)癱瘓等嚴(yán)重問(wèn)題要求有專門(mén)人員在一小時(shí)內(nèi)響應(yīng)。v ，使用單獨(dú)的硬盤(pán)作為備份盤(pán)，