【導讀】臺的NC產(chǎn)品、以及客戶化開發(fā)的模塊滿足企業(yè)的應用。并且要求系統(tǒng)具有良好的分布部署，業(yè)務協(xié)同的能力。行充分的考慮和設計。技術(shù)以及部署策略主要體現(xiàn)在如下幾。用期間體系結(jié)構(gòu)不會落后。當前軟件系統(tǒng)主要分為J2EE技術(shù)架構(gòu)和.NET技術(shù)。務系統(tǒng)采取全方位防范措施，以保證系統(tǒng)安全。應定義規(guī)范的數(shù)據(jù)接口，以實?，F(xiàn)系統(tǒng)與其它系統(tǒng)互連互通以及互操作。此財務系統(tǒng)應具有良好的穩(wěn)定性和可靠性。XX認為系統(tǒng)應具有良好的用戶界面，易學易用。單、表格、圖形等形式顯示、打印。響整個系統(tǒng)的正常運行。提供計劃控制功能，實現(xiàn)管。及防火墻等安全設備。括網(wǎng)管機，用于系統(tǒng)維護人員進行網(wǎng)絡管理及系統(tǒng)維護。省級管理機構(gòu)領導以及管理人員的管理終端，使用。系統(tǒng)客戶用戶通過瀏覽器，使用HTTPS模式訪問中心應?，F(xiàn)有的CA服務器。UAP的運行平臺，包括各個引擎的運行態(tài)。

　　

【正文】 被盜、被毀造成數(shù)據(jù)丟失或信息泄漏、系統(tǒng)崩潰；電磁輻射可能造成數(shù) 據(jù)信息丟失或泄露。 網(wǎng)絡安全風險 在內(nèi)部網(wǎng)絡，主要是指內(nèi)部人員通過內(nèi)部的局域網(wǎng)環(huán)境，非法訪問主機系統(tǒng)和業(yè)務應用系統(tǒng)引起的信息數(shù)據(jù)泄密、系統(tǒng)破壞等風險。主要表現(xiàn)在內(nèi)部管理人員非法獲取財務資料、修改存貯的數(shù)據(jù)，故意破壞主機或網(wǎng)絡的穩(wěn)定運行等行為。 同時，由于本系統(tǒng)原始數(shù)據(jù)來源于綜合網(wǎng)內(nèi)各相關(guān)業(yè)務系統(tǒng)、手工輸入數(shù)據(jù)，以及商業(yè)銀行等外部網(wǎng)絡數(shù)據(jù)，因此系統(tǒng)與其他系統(tǒng)連接多，從其他系統(tǒng)得到的數(shù)據(jù)量也多，所以網(wǎng)絡的安全威脅還表現(xiàn)為病毒傳播、黑客攻擊、 IP 地址仿冒、信息泄露等。 系統(tǒng)的用戶通過 IE 瀏覽器訪問系 統(tǒng)重要數(shù)據(jù)時，由于數(shù)據(jù)傳輸過程中沒有加密，同時進行系統(tǒng)訪問時在本地計算機留存訪問痕跡，也可能造成數(shù)據(jù)泄露的安全風險。 系統(tǒng)安全風險 由于操作系統(tǒng)、數(shù)據(jù)庫、 B/S三層架構(gòu)中的應用服務器等基礎軟件本身的漏洞和缺陷、用戶權(quán)限設置不合理以及一些不安全協(xié)議的使用等因素都可能構(gòu)成對系統(tǒng)的威脅。如果通過某些手段進入操作系統(tǒng)，就可能破壞所有的系統(tǒng)。數(shù)據(jù)庫漏洞、設計缺陷等也會引起系統(tǒng)的安全風險問題。 應用安全風險 應用程序設計不合理以及用戶權(quán)限設置不當，也會對系統(tǒng)構(gòu)成威脅。 數(shù)據(jù)安全 風險 對系統(tǒng)的備份與恢復重要性認識不足，不按要求定期進行備份，一旦發(fā)生意外，如果沒有事先采取備份措施，將會導致慘重的損失。 管理安全風險 管理人員安全意識淡薄，業(yè)務處理流程不規(guī)范、管理制度不健全可能會對系統(tǒng)構(gòu)成安全隱患。種種事件表明，多數(shù)企業(yè)機密泄漏事件是由于企業(yè)內(nèi)部相關(guān)人員對個人密碼的保護上重視程度不夠，甚至在利益的驅(qū)使下直接將企業(yè)內(nèi)部信息泄漏出去。所以企業(yè)內(nèi)部安全管理在各種安全風險中占有很重要的位置。 安全策略 物理安全 環(huán)境安全 財 務 系 統(tǒng) 新 增 設 備 擺 放 的 計 算 機 房 ， 應 滿 足GB5017493《電子計算機房設計規(guī)范》、 GB936188《計算站場地去安全要求》、 GB665086《計算機機房活動地板技術(shù)要求》、 GB5022295《建筑內(nèi)部裝修設計防火規(guī)范》、GB288789《計算站場地技術(shù)條件》、以及《通訊機房靜電防護通則》的要求。擺放設備的機房應提供滿足設備要求的供配電方式，并在空氣凈化、安全防范措施、以及防靜電、防電磁輻射和抗干擾、防水、防雷、防火、防潮、防鼠等方面采取有效措施，防火方面要符合 GJB11688《火災自動報警系統(tǒng)設計規(guī)范》，保 證設施安全。要配備合適的檢測設備、提供相應的監(jiān)視和測量的手段，及時掌握機房的環(huán)境情況。電力電纜及通信電纜的敷設應符合行業(yè)標準 YD 500294《郵電建筑防火設計標準》中第 2 章的規(guī)定。 設備安全 對于系統(tǒng)內(nèi)部的設備，應采取有效措施進行安全管理，保證設備安全。防止未經(jīng)授權(quán)訪問系統(tǒng)設備，應按事先確定的規(guī)則統(tǒng)一管理，實施訪問權(quán)的控制，禁止非授權(quán)用戶訪問設施，禁止對設備進行任何非授權(quán)參數(shù)修改。 硬件環(huán)境的建設、升級、擴充等工程應經(jīng)過科學的規(guī)劃、充分的論證和嚴格的技術(shù)審查，有關(guān)文字材料應妥善保存并接 受主管部門的檢查。 建立硬件系統(tǒng)環(huán)境的可用性保障機制，關(guān)鍵設備要采用有冗余技術(shù)的設備，例如配備冗余風扇、冗余供電模塊、冗余核心模塊；對于關(guān)鍵設備應采用配備兩臺相同設備的方法，適當采用負載均衡等技術(shù)；充分保證系統(tǒng)得可靠性和處理效率，盡量減少硬件系統(tǒng)的計劃性停機時間，盡量避免硬件系統(tǒng)的非計劃性停機。 硬件方案文檔、設備配置文檔、核心設備的系統(tǒng)日志要定期保存，妥為保管，視同機密。 網(wǎng)絡安全 安全手段 為確保財務系統(tǒng)的網(wǎng)絡訪問安全，我們建議鐵通財務系統(tǒng)采用以下安全手：訪問控制（ VLAN）、防火墻、線路備份、傳輸加密等。 ? 訪問控制 訪問控制用于對財務系統(tǒng)資源的訪問，防止未經(jīng)授權(quán)而利用網(wǎng)絡訪問系統(tǒng)資源，利用已得到鑒別的身份或利用有關(guān)的信息，按事先確定的規(guī)則實施訪問權(quán)的控制?？梢圆捎肰LAN和域控制器的方法，限制用戶訪問服務器的權(quán)限。通過 ACL 設置不同的訪問權(quán)限。建議鐵通將財務人員的網(wǎng)絡和服務器網(wǎng)絡根據(jù)交換機端口設置成一個 VLAN，防止非財務人員訪問財務系統(tǒng)。 ? 防火墻 防火墻是一組計算機硬件和軟件的結(jié)合體，在業(yè)務系統(tǒng)與財務系統(tǒng)之間建立起一個安全網(wǎng)關(guān)，從而保護內(nèi)部系統(tǒng)免受非法用戶的侵害，同時具 有 IP 地址轉(zhuǎn)換功能，以便對外有效屏蔽網(wǎng)絡內(nèi)部 IP 地址，提高網(wǎng)絡的安全性。由于防火墻檢查過濾通過的 ip 包，不可避免會影響網(wǎng)絡傳輸效率，有必要在保障安全的前提下選擇高效傳輸?shù)姆阑饓?。在防火墻的設置上建議鐵通屏蔽掉數(shù)據(jù)庫的服務端口，如 oracle的 1521,DB2 的 50000，防止內(nèi)部人員通過工具對數(shù)據(jù)庫進行操作。禁止內(nèi)部網(wǎng)絡 FTP,tel 應用服務器或者數(shù)據(jù)庫服務器。 ? 線路備份 為了保證系統(tǒng)通信的暢通，防止因通信線路異常而引起的傳輸錯誤、業(yè)務中斷等，計算機網(wǎng)絡系統(tǒng)廣域網(wǎng)應采用線路備份手段，保證系統(tǒng)的數(shù)據(jù)傳輸 不間斷，同時有負載均衡能力。在鐵通的方案中都考慮這些要素。防火墻、交換機都是 2 個做備份。 ? 傳輸加密 數(shù)據(jù)在網(wǎng)絡上傳輸時，為保證數(shù)據(jù)的安全，防止數(shù)據(jù)被竊取。數(shù)據(jù)報文加密可通過硬件加密或軟件加密方法來實現(xiàn)，可根據(jù)數(shù)據(jù)處理量大小等因素選擇硬件加密或軟件加密。 所有加密設備和加密算法的選用應符合國家相關(guān)密碼管理條例的規(guī)定。加密算法應選用國際通用的算法。 利用瀏覽器訪問系統(tǒng)重要數(shù)據(jù)時，使用 HTTPS 協(xié)議，如圖 8 1 所示，在瀏覽器與 WEB服務器間建立安全的 SSL通道，并對應用透明，做到了信息的秘密性。 圖 71 SSL 安全通道 UAPNC 提供 SSL 機制對在網(wǎng)絡上傳輸?shù)臄?shù)據(jù)進行加密，提供數(shù)據(jù)流的認證、機密性和完整性，以防敏感數(shù)據(jù)在傳輸過程中被泄露及篡改。使用 SSL，可進行客戶端與服務端的雙向認證。 SSL 使用公鑰加密算法來對通信雙方進行認證；使用對稱加密算法對傳輸?shù)臄?shù)據(jù)進行成批的加密；使用加密散列函數(shù)加入完整性檢查方式來保護每個數(shù)據(jù)報。 網(wǎng)絡邊界安全 在財務系統(tǒng)運行過程中，需要與綜合網(wǎng)內(nèi)多個業(yè)務系統(tǒng)、以及外部的應行系統(tǒng)進行互聯(lián)。網(wǎng)絡邊界隔離方案如圖 82 所示，以保證系統(tǒng)安全。 圖 72 網(wǎng)絡邊界安全隔離 區(qū)域 E是非軍事區(qū)之一，主要功能是透過防火墻 F1 與銀行等系統(tǒng)外用戶服務器進行通信，建議使用具有第三層交換功能的局域網(wǎng)交換機 S1，必要時劃分成不同的 VLAN。其安全級別高于區(qū)域 O。 區(qū)域 D是非軍事區(qū)之二，主要功能是非軍事區(qū)的第二梯隊，可以透過防火墻 F2 防問區(qū)域 E中的服務器，并可訪問區(qū)域 O 中的服務器，同時，可以透過 F2 受限地訪問區(qū)域 I中的服務器，建議使用具有第三層交換功能的局域網(wǎng)交換機S2。在該區(qū)域可以部署財務系統(tǒng)與綜合網(wǎng)其他業(yè)務系統(tǒng)連接的通訊 PC服務器，該區(qū)域可以部署服務于內(nèi)部 瀏覽器用戶的 WEB 服務器。其安全級別略高于區(qū)域 E。 區(qū)域 I 是內(nèi)部網(wǎng)絡，主要功能是承擔財務系統(tǒng)內(nèi)部設備之間的數(shù)據(jù)通信，并為區(qū)域 E 和區(qū)域 D 提供數(shù)據(jù)。應將財務系統(tǒng)的數(shù)據(jù)庫服務器、應用服務器、存儲系統(tǒng)等設備部署其中。 對于進入財務系統(tǒng)的數(shù)據(jù)，無論是合法的，還是非法地都要通過通訊日志系統(tǒng)歸檔，真正做到“數(shù)據(jù)落地”。 系統(tǒng)安全 操作系統(tǒng) 操作系統(tǒng)的安全是財務系統(tǒng)安全和網(wǎng)絡安全的基礎。操作系統(tǒng)應提供用戶身份認證、資源權(quán)限劃分、訪問控制和日志審計等手段，保護信息資源不被非法訪問和使用。 操作 系統(tǒng)的安全等級 主機操作系統(tǒng)，包括 WEB 服務器、數(shù)據(jù)庫服務器、應用服務器，均應達到 NCSC 認證的 C2 級安全等級。 尤其是 Windows NT/2020 操作系統(tǒng)的安全性必須予以高度重視。 Windows 操作系統(tǒng)的安全問題越來越受到大家的關(guān)注，尤其是現(xiàn)在局域網(wǎng)的規(guī)模越來越大，對網(wǎng)絡管理員來說，手工為每臺客戶機安裝補丁的工作量太大，且很難實現(xiàn)。 應在財務公司局域網(wǎng)內(nèi)配置 WSUS 服務器（ Windows SUS補丁升級服務）一臺，可自動將微軟的最新補丁發(fā)送給用戶。 操作系統(tǒng)的備份與恢復 要建立安全性好、可靠性高的文件系 統(tǒng)，如日志文件系統(tǒng)（ JFS 或 VxFS），以提高文件系統(tǒng)的性能和故障恢復能力。 要加強操作系統(tǒng)的備份與恢復管理，內(nèi)容包括：軟件版本信息、網(wǎng)絡配置信息、磁盤卷組信息、內(nèi)核參數(shù)的配置信息和用戶賬號信息等；要建立可引導的系統(tǒng)恢復介質(zhì)，確保當主機系統(tǒng)或操作系統(tǒng)故障時系統(tǒng)能夠正確啟動，操作系統(tǒng)平臺能夠快速恢復。 操作系統(tǒng)的訪問權(quán)限 嚴格控制目錄與文件的訪問權(quán)限，以實現(xiàn)對系統(tǒng)資源的保護。取消或減少局域網(wǎng)內(nèi)主機間的互相信任關(guān)系，以提高系統(tǒng)的安全性。關(guān)閉不必要的且有安全隱患的網(wǎng)絡服務（如rsh、 rlogin、 ftp 等）。嚴格 控制網(wǎng)絡文件系統(tǒng)（ NFS）的共享資源及其存取權(quán)限，以防外來侵入。 操作系統(tǒng)的用戶與口令管理 科學設計用戶組和用戶賬號，合理設定各類用戶對系統(tǒng)資源的訪問權(quán)限。加大客戶口令的復雜程度，禁止用戶不設口令或使用過于簡單的口令。設置口令的失效期，以強制用戶定期修改口令。必要時可按登錄時間、登錄機器的 IP 地址、 MAC 地址等因素限制用戶的訪問請求。 操作系統(tǒng)的安全審計 啟用操作系統(tǒng)的安全審計功能，定期查看各種系統(tǒng)日志，如系統(tǒng)啟動與關(guān)機日志、用戶身份切換日志、成功登錄與失敗登錄日志、定期作業(yè)日志等，通過系統(tǒng)日志及時發(fā)現(xiàn)并排 除系統(tǒng)安全隱患。 數(shù)據(jù)庫 數(shù)據(jù)庫系統(tǒng)的安全性 系統(tǒng)要采用高性能的主流數(shù)據(jù)庫產(chǎn)品，同時要注意數(shù)據(jù)庫版本的先進性和可靠性。所采用的數(shù)據(jù)庫系統(tǒng)應符合NCSC 認證的 C2 級安全標準，應提供嚴格的數(shù)據(jù)庫恢復和事務完整性保障機制，提供完整的角色管理和自主控制安全機制，要支持軟、硬件容錯，邏輯備份與恢復，物理備份與恢復，在線聯(lián)機備份和恢復等功能，保證在發(fā)生故障和災難后能夠很好地恢復或重構(gòu)數(shù)據(jù)庫。 數(shù)據(jù)庫的安全性措施主要有以下幾方面： 1) 用戶標識和鑒定 通過數(shù)據(jù)庫系統(tǒng)的用戶賬號與口令鑒定用戶的身份，這是 系統(tǒng)提供的最外層安全保護措施，也是最常用的措施。 2) 存取控制 合理設置數(shù)據(jù)庫對象的授權(quán)粒度，認真研究并大力推行角色 /權(quán)限管理機制，建議使用具有口令保護的角色，通過應用系統(tǒng)級的身份認證連接數(shù)據(jù)庫，通過應用程序進行角色的口令輸入、打開角色并激活角色開關(guān)，以避免用戶繞過應用程序而直接調(diào)用 SQL 語句訪問數(shù)據(jù)庫資源。 3) 視圖機制 為不同用戶定義不同的視圖，通過視圖機制把要保密的數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來，從而自動地對數(shù)據(jù)進行保護。 4) 審計 建議打開數(shù)據(jù)庫系統(tǒng)的審計功能，以監(jiān)視不合法行為。 數(shù)據(jù)的 完整性 要充分利用數(shù)據(jù)庫管理系統(tǒng)所提供的數(shù)據(jù)完整性功能。在數(shù)據(jù)庫的設計時要通過實體完整性、參照完整性的定義，使數(shù)據(jù)庫系統(tǒng)拒絕接收不合語義的數(shù)據(jù)，從而保證數(shù)據(jù)的正確。對一些特別重要的信息應加密存儲。 數(shù)據(jù)的備份與恢復 系統(tǒng)應提供完備的數(shù)據(jù)備份和恢復功能，既要考慮邏輯備份和恢復功能，又要考慮物理備份和恢復功能，既要考慮業(yè)務數(shù)據(jù)的備份和恢復，又要考慮數(shù)據(jù)庫控制文件、歸檔日志文件及配置信息的備份和恢復，以確保數(shù)據(jù)庫遭遇介質(zhì)故障時，能夠重構(gòu)并盡快恢復數(shù)據(jù)。系統(tǒng)應具有聯(lián)機備份能力。 磁盤 RAID ORACLE 數(shù)據(jù)庫的數(shù) 據(jù)文件存放在 RAID 磁盤上，采取 RAID5 或 RAID10 對數(shù)據(jù)庫的數(shù)據(jù)文件進行保護，壞掉一塊磁盤的情況下數(shù)據(jù)不會丟失。 中間件安全 系統(tǒng)如果使用中間件產(chǎn)品，包括通訊中間件和 B/S架構(gòu)中的應用服務器，應對用到的中間件產(chǎn)品采取安全保護措施，如用戶管理、權(quán)限管理等，以保護中間件相關(guān)資源不被非法訪問和使用。必要時應進行中間件軟件安全漏洞信息跟蹤、并及時安裝安全補丁。 應用系統(tǒng)安全 ? 信息加密與數(shù)字證書 1) 財務資金系統(tǒng)對數(shù)據(jù)的要求 數(shù)據(jù)在網(wǎng)絡上傳輸時，為保證數(shù)據(jù)的安全，防止數(shù) 據(jù)被竊取。應用系統(tǒng)在進行數(shù)據(jù)傳說和操作時應能滿足如下的要求： 保密性：能通過加密保護數(shù)據(jù)信息不被暴露。 認證和完整性：通過 HASH方法的數(shù)據(jù)校驗，保證數(shù)據(jù)來源的正確性和數(shù)據(jù)信息的完整性，確保信息在傳輸過程中不被插入，刪除或篡改。 不可否認性：使用數(shù)字簽名，保證交易過程的不可否認。 2) 數(shù)字證書的作用 要滿足以上要求，建議采用通用的數(shù)字證書技術(shù)。數(shù)字證書是網(wǎng)絡通訊中標志通訊各方身份信息的一系列數(shù)據(jù)，它提供了在 Inter/Intra 上驗證通信各方身份的方法，它是由由權(quán)威機構(gòu)－ CA 認證機構(gòu)，又稱為證 書授權(quán)(Certificate Authority)中心發(fā)行。 數(shù)字證書采用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個客戶可以設定特定的僅為本人所知的私有密鑰（私鑰），用它進行數(shù)據(jù)解密和簽名；同時設定一把公共密鑰（公鑰）并由本人公開，為一組客戶所共享，用于數(shù)據(jù)加密和驗證簽名。 當發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣信息