【正文】 全描述，它與前述安全風(fēng)險、安全需求以及設(shè)計(jì)原則保持一致，是后續(xù)具體的安全系統(tǒng)建設(shè)方案的指導(dǎo)藍(lán)圖。該架構(gòu)按照安全體系結(jié)構(gòu)的邏輯層次描述了系統(tǒng)在規(guī)劃、設(shè)計(jì)、開發(fā)、運(yùn)行時所需的各安全組件，以及這些組件如何協(xié)調(diào)工作。安全架構(gòu)包括安全技術(shù)與安全管理。其中安全技術(shù)包括基礎(chǔ)設(shè)施安全、應(yīng)用架構(gòu)安全、業(yè)務(wù)交易安全，分別使用不同的技術(shù)手段保證每個層次的安全性。安全管理貫穿各個層次，主要從組織、過程、規(guī)章角度描述如何確保系統(tǒng)的安全。 網(wǎng)絡(luò)安全一、 拓?fù)浒踩卷?xiàng)目包含多個平臺及系統(tǒng)，由于各平臺及系統(tǒng)的安全狀況各異，信任等級不同，有必要進(jìn)行安全域的劃分，如圖所示。安全拓?fù)淇煞殖珊诵陌踩?、?nèi)部安全域、內(nèi)部接入域和外部接入域。二、 入侵檢測防火墻只是靜態(tài)地對網(wǎng)絡(luò)流量進(jìn)行訪問控制，但對信任的訪問域及內(nèi)部網(wǎng)絡(luò)就失去了防范能力。此時需要入侵檢測系統(tǒng)對目標(biāo)范圍內(nèi)的網(wǎng)絡(luò)流量進(jìn)行監(jiān)視，發(fā)現(xiàn)潛在的攻擊行為。本項(xiàng)目規(guī)劃部署網(wǎng)絡(luò)入侵檢測系統(tǒng)監(jiān)視核心安全域與內(nèi)部安全域，通過特征分析、異常統(tǒng)計(jì)分析等方法，實(shí)時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和異常安全事件。 系統(tǒng)安全一、 漏洞掃描漏洞掃描系統(tǒng)是一種自動檢測遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的技術(shù)。通過使用漏洞掃描系統(tǒng)，管理員發(fā)現(xiàn)所維護(hù)的服務(wù)器的各種端口的分配、提供的服務(wù)、服務(wù)軟件版本和系統(tǒng)存在的安全漏洞，查看網(wǎng)絡(luò)系統(tǒng)弱點(diǎn)漏洞隱患情況報告和解決方案。本項(xiàng)目中需要被掃描主要是關(guān)鍵的服務(wù)器和基礎(chǔ)設(shè)施，但是由于各個域被嚴(yán)格的網(wǎng)絡(luò)安全訪問控制策略隔離，因此建議使用基于軟件的漏洞掃描系統(tǒng)，在各個子網(wǎng)段內(nèi)部進(jìn)行獨(dú)立掃描是最適宜的方式。本項(xiàng)目中漏洞掃描系統(tǒng)應(yīng)支持以下配置原則：(一) 策略及參數(shù)定義配置：漏洞掃描系統(tǒng)提供用戶自定義掃描策略、參數(shù)的功能。(二) 計(jì)劃任務(wù)執(zhí)行配置：漏洞掃描系統(tǒng)能根據(jù)用戶指定的時間、策略、掃描參數(shù)對被測系統(tǒng)進(jìn)行自動掃描。(三) 多任務(wù)偵測計(jì)劃配置：漏洞掃描系統(tǒng)支持多種任務(wù)執(zhí)行計(jì)劃。按照特定時間，廣度和細(xì)度的需求配置多個掃描任務(wù)。例如：在非數(shù)據(jù)交換和視頻會議時間進(jìn)行掃描。(四) 漏洞特征庫配置：漏洞掃描系統(tǒng)應(yīng)該支持下面這些漏洞的掃描要求，這些漏洞涵蓋了一體化平臺基礎(chǔ)設(shè)施的服務(wù)器，存儲、網(wǎng)絡(luò)設(shè)備和部分安全產(chǎn)品。二、 系統(tǒng)加固本項(xiàng)目中主機(jī)操作系統(tǒng)的安全水平在不斷變化，為了保證服務(wù)器的安全，修補(bǔ)可能發(fā)生的漏洞，需要經(jīng)常審查服務(wù)器，加強(qiáng)權(quán)限的限制，關(guān)閉不必要的服務(wù)?？紤]本項(xiàng)目使用LINUX作為服務(wù)器的操作系統(tǒng)。三、 終端防護(hù)第三方的主機(jī)訪問控制軟件可以在操作系統(tǒng)的安全功能之上提供了一個安全保護(hù)層。通過從核心層截取文件訪問控制，以加強(qiáng)操作系統(tǒng)安全性。它具有完整的用戶認(rèn)證，訪問控制及審計(jì)的模塊，采用集中式管理，克服了分布式系統(tǒng)在系統(tǒng)安全策略管理上的許多問題。主機(jī)訪問控制軟件部署在執(zhí)行環(huán)境中的關(guān)鍵服務(wù)器上，雖然這個安全保護(hù)層不直接修改系統(tǒng)，但是應(yīng)先在測試環(huán)境中經(jīng)過嚴(yán)格的測試和策略預(yù)配置后才能移植到執(zhí)行環(huán)境中。四、 病毒防范病毒是惡意代碼是一個典型形式。惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達(dá)到破壞被感染電腦數(shù)據(jù)、運(yùn)行具有入侵性或破壞性的程序、破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的。本項(xiàng)目在核心安全域、內(nèi)部安全域、內(nèi)部接入域的網(wǎng)關(guān)處規(guī)劃部署網(wǎng)關(guān)防病毒產(chǎn)品，在核心服務(wù)器上部署網(wǎng)絡(luò)防病毒客戶端，并配置具有以下功能：(一) 能檢測蠕蟲病毒、宏病毒、木馬型病毒等各種已知病毒和未知病毒，對病毒檢測、清除能力強(qiáng)，能自動恢復(fù)被病毒修改的注冊表，自動刪除木馬程序；(二) 能夠采用啟發(fā)式掃描技術(shù)，發(fā)現(xiàn)未知病毒或可疑代碼。同時，可以通過網(wǎng)絡(luò)自動提交病毒樣本文件；(三) 管理工作站可對防毒客戶端進(jìn)行配置，包括對客戶端的啟動、停止、關(guān)閉、監(jiān)測、掃描、清除、隔離、告警、日志記錄、處理方式、代碼提取、代碼傳送及其它各類控制參數(shù)進(jìn)行設(shè)置；(四) 應(yīng)能隔離染毒用戶，防止病毒傳播。通過設(shè)置，一旦發(fā)現(xiàn)用戶訪問或者拷貝染毒文件時，可以自動切斷網(wǎng)絡(luò)連接，阻止用戶在指定時間內(nèi)再次訪問服務(wù)器。五、 安全運(yùn)維安全運(yùn)維中心（SOC）是客戶安全管理功能組件的集合，實(shí)現(xiàn)對安全功能保障組件的全方位的管理。它應(yīng)該包括：安全事件管理、安全設(shè)備管理、安全策略管理、事故應(yīng)急響應(yīng)管理這幾個功能組件。本項(xiàng)目規(guī)劃部署SOC對核心安全域、內(nèi)部安全域進(jìn)行安全運(yùn)維，并配置具有以下功能：(一) 安全策略管理遵循安全策略周期，以便捷、簡單明了的方式，提供安全策略的集中管理能力。通過SOC對網(wǎng)絡(luò)安全策略統(tǒng)一定制、分發(fā)與檢查；(二) 安全設(shè)備管理提供對計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中的所有網(wǎng)絡(luò)安全組件進(jìn)行集中管理和配置的能力。應(yīng)包括設(shè)備物理管理、配置及狀態(tài)管理；(三) 安全事故應(yīng)急響應(yīng)管理是對安全事件集中審計(jì)分析得出的安全事故進(jìn)行應(yīng)急響應(yīng)的管理平臺。是一個集安全技術(shù)和安全管理于一體的安全平臺，總體目標(biāo)是構(gòu)建基于網(wǎng)絡(luò)的半自動化的應(yīng)急響應(yīng)平臺，將應(yīng)急響應(yīng)時間縮短到最小，并確保嚴(yán)格依從應(yīng)急響應(yīng)策略。同時，為事故處理過程提供知識支持和信息查詢。主要包括：處理案例分配與分發(fā)、流程管理、處理過程跟蹤管理。 應(yīng)用架構(gòu)安全 數(shù)據(jù)安全一、 DBMS安全數(shù)據(jù)庫管理系統(tǒng)的安全防護(hù)包括以下幾個方面：(一) 身份鑒別要求系統(tǒng)能有效的識別數(shù)據(jù)庫用戶的身份，因?yàn)槊總€數(shù)據(jù)庫用戶的唯一標(biāo)識是進(jìn)行訪問控制的前提；(二) 訪問控制要求系統(tǒng)允許所有用戶的授權(quán)訪問，同時拒絕所有非授權(quán)訪問。所有的授權(quán)都與系統(tǒng)的安全策略相符合；(三) 保護(hù)數(shù)據(jù)庫完整性數(shù)據(jù)庫完整性包括語義完整性與數(shù)據(jù)完整性。數(shù)據(jù)完整性要求系統(tǒng)采取完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息；(四) 審計(jì)要求系統(tǒng)能記錄下對所有重要人員的各種行為，如各類管理員或操作人員；記錄下對所有敏感信息的訪問事件，以及重要的系統(tǒng)級安全相關(guān)事件。二、 存儲安全對于核心安全域、內(nèi)部安全域、內(nèi)部接入域的數(shù)據(jù)在創(chuàng)建時就為其劃分安全等級，根據(jù)安全等級在存儲時采用不同的安全策略，如是否加密存儲，以及訪問控制的級別。三、 傳輸安全保證被傳輸數(shù)據(jù)的機(jī)密性、完整性、不可偽造性以及重放無效性。在確定安全策略時，應(yīng)明確是否實(shí)行傳輸加密。如確定實(shí)行，應(yīng)明確加密強(qiáng)度、加密算法體制與密鑰管理體制等。 集成安全一、 平臺身份與權(quán)限管理平臺服務(wù)交互用戶管理指對平臺服務(wù)的提供方和服務(wù)調(diào)用方身份進(jìn)行的管理。該管理模塊能與目錄服務(wù)進(jìn)行同步，并將目錄服務(wù)中定義的人員和服務(wù)器身份與服務(wù)調(diào)用方與服務(wù)提供方的身份進(jìn)行映射。此外，交互用戶管理模塊還能定義交互角色，包括交互角色的增加、刪除、改動，并能建立交互角色與交互用戶間的關(guān)系。需要注意的是，平臺交互用戶既包括需要進(jìn)行流程操作的真實(shí)用戶，也包括發(fā)起服務(wù)調(diào)用或提供服務(wù)調(diào)用的服務(wù)器的身份。平臺服務(wù)交互權(quán)限管理主要針對平臺服務(wù)交互角色和平臺上注冊的服務(wù)進(jìn)行。管理員可設(shè)置平臺服務(wù)交互角色可以訪問的服務(wù)，也可從服務(wù)的視角出發(fā)，設(shè)置可以訪問服務(wù)的角色；模塊也可提供對平臺服務(wù)交互用戶進(jìn)行單獨(dú)的權(quán)限設(shè)置。通過關(guān)聯(lián)用戶與角色的關(guān)系，交互用戶可自動獲得角色所具有的權(quán)限。以上兩部分功能由企業(yè)信息服務(wù)總線提供，結(jié)合安全與通用服務(wù)模塊提供的身份認(rèn)證功能，實(shí)現(xiàn)對平臺交互用戶身份的有效識別和調(diào)用權(quán)限的管控。二、 消息級安全本項(xiàng)目的應(yīng)用系統(tǒng)集成以企業(yè)信息服務(wù)總線為基礎(chǔ)架構(gòu)而部署的。應(yīng)用系統(tǒng)功能以服務(wù)的形式封裝，通過企業(yè)信息服務(wù)總線與其它應(yīng)用系統(tǒng)或向數(shù)據(jù)中心、數(shù)據(jù)交換、企業(yè)門戶提供功能支持。服務(wù)的傳輸方式有很多，可以是HTTP(S)、JMS、FTP 或Email 等。消息級安全配置可以通過使用安全策略聲明實(shí)現(xiàn)，安全策略聲明的國際標(biāo)準(zhǔn)為Web Service 策略（WSPolicy）。WSSecurity 聲明與服務(wù)相綁定。而將策略與服務(wù)相綁定的機(jī)制則描述了如何通過添加策略引用將安全策略與WSDL 文檔綁定起來。 備份系統(tǒng)設(shè)計(jì)以上主要從硬件層次對存儲系統(tǒng)進(jìn)行了設(shè)計(jì)，在存儲設(shè)計(jì)中一個重要內(nèi)容是備份軟件的選擇與備份策略的設(shè)計(jì)。在存儲系統(tǒng)中，一旦在線存儲崩潰，一般來說或多或少都會導(dǎo)致數(shù)據(jù)的丟失。選擇恰當(dāng)?shù)膫浞蒈浖秃侠淼膫浞莶呗?，不僅可以提高數(shù)據(jù)備份的效率，還可減少在線存儲崩潰時帶來的數(shù)據(jù)損失，因此備份軟件選擇和備份策略設(shè)計(jì)是存儲系統(tǒng)建設(shè)的一項(xiàng)重要內(nèi)容。一、 備份數(shù)據(jù)分類根據(jù)對現(xiàn)有系統(tǒng)的分析，需備份的業(yè)務(wù)數(shù)據(jù)從種類上看，可劃分為以下類別：(一) 操作系統(tǒng)備份此類數(shù)據(jù)是指對服務(wù)器操作系統(tǒng)的備份。保留操作系統(tǒng)備份的目的是在服務(wù)器或系統(tǒng)出現(xiàn)故障時，能夠快速恢復(fù)系統(tǒng)的初始配置，加快應(yīng)用系統(tǒng)恢復(fù)速度。此類數(shù)據(jù)特點(diǎn)是變化很少；(二) 數(shù)據(jù)庫數(shù)據(jù)數(shù)據(jù)庫數(shù)據(jù)是指存儲在數(shù)據(jù)庫內(nèi)的數(shù)據(jù)。此類數(shù)據(jù)是各業(yè)務(wù)系統(tǒng)的關(guān)鍵數(shù)據(jù)，更新快，檢索頻繁。在系統(tǒng)設(shè)計(jì)中應(yīng)予以重點(diǎn)考慮。對于大部分?jǐn)?shù)據(jù)庫數(shù)據(jù)，備份可依靠數(shù)據(jù)庫自身的備份模塊或采用第三方備份系統(tǒng)進(jìn)行。(三) 其他附件數(shù)據(jù)除文檔型數(shù)據(jù)外，還存在很多其他類型的附件數(shù)據(jù)。此類數(shù)據(jù)特點(diǎn)是占用空間大、利用率不高，一旦生成除非進(jìn)行替換，否則數(shù)據(jù)保持不變。如果數(shù)據(jù)量很大，此類數(shù)據(jù)不適合通過網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程備份。二、 備份類型選擇備份類型主要有三種：(一) 全備份全備份是針對所有數(shù)據(jù)進(jìn)行完整備份，其優(yōu)點(diǎn)恢復(fù)速度快，缺點(diǎn)是由于備份數(shù)據(jù)量很大，需要的時間很長。(二) 增量備份增量備份自上一次備份以來更新的所有數(shù)據(jù)，其優(yōu)點(diǎn)是每次備份的數(shù)據(jù)量少，缺點(diǎn)是恢復(fù)時需要全備份及多份增量備份，恢復(fù)較慢。如果全備份或以前所做的多分增量備份數(shù)據(jù)有部分損壞，可能導(dǎo)致最后恢復(fù)不成功。(三) 差量備份備份自上一次全備份以來更新的所有數(shù)據(jù)，其優(yōu)缺點(diǎn)介于上兩者之間。數(shù)據(jù)備份一般采用多種備份類型相結(jié)合的備份策略。由于在數(shù)據(jù)量比較大時，做數(shù)據(jù)的全備份所需時間較長，所以一般全備份周期可定得長一點(diǎn)，如每一個月做一次數(shù)據(jù)全備份，每天只需做增量備份。例如：每個月的第一天做全備份；每個星期的星期天做差量備份，即備份所有的自上次全備份后修改過的文件；每個星期的星期一至星期六做增量備份，即備份所有的自上次的全備份或差量備份（包括Cumulative Incremental Backup和Differential Incremental Backup）后修改過的文件。如下圖所示：在上例中1日為全備份，1126四天做差量備份，其他各天做增量備份。這樣既可以保證數(shù)據(jù)的完整性，又能縮短數(shù)據(jù)備份和恢復(fù)所需的時間。在實(shí)際應(yīng)用中，需要分析需保護(hù)的系統(tǒng)及數(shù)據(jù)類型、備份需求制定詳細(xì)的數(shù)據(jù)備份策略：如，對于數(shù)據(jù)庫數(shù)據(jù)，需要進(jìn)行全面保護(hù)，對于操作系統(tǒng)數(shù)據(jù)，因變化很少，備份周期可定為半年或更長。備份軟件可以對所有服務(wù)器進(jìn)行基于網(wǎng)絡(luò)的數(shù)據(jù)備份，在一個界面上統(tǒng)一配置、統(tǒng)一管理。根據(jù)不同類型服務(wù)器的實(shí)際情況，綜合增量備份、差量備份和全備份組成靈活的備份策略，如每日增量備份、每周全備等，可以實(shí)現(xiàn)全自動化的數(shù)據(jù)備份作業(yè)，并且支持?jǐn)?shù)據(jù)庫系統(tǒng)的在線備份，無需停止數(shù)據(jù)庫運(yùn)行，提供更好的業(yè)務(wù)連續(xù)性。