【正文】 ay）等手段建立訪問控制策略，以便在內(nèi)、外網(wǎng)之間進(jìn)行隔離。防火墻應(yīng)具有五大基本功能：1) 對(duì)網(wǎng)絡(luò)內(nèi)流動(dòng)的數(shù)據(jù)過濾；2) 管理和控制網(wǎng)絡(luò)內(nèi)的訪問行為；3) 識(shí)別禁止業(yè)務(wù)，并加以阻止；4) 對(duì)通過防火墻的信息、活動(dòng)進(jìn)行記錄；5) 發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并進(jìn)行檢測、告警和封堵。在整體安全防護(hù)體系中隔離和訪問控制是重要組成部分之一，但是并非全部內(nèi)容。隔離和訪問控制必須被整合到安全防護(hù)策略中，才能最大程度的提供安全保護(hù)。 安全檢測和通訊加密通過對(duì)安全漏洞的周期檢查，報(bào)告，使管理人員及時(shí)將安全漏洞封堵，使攻擊者即使到達(dá)被攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效。 同時(shí)建立的攻擊監(jiān)控體系，實(shí)時(shí)檢測出絕大多數(shù)攻擊事件，使被攻擊的系統(tǒng)在受攻擊的時(shí)候能盡早被發(fā)現(xiàn)，讓系統(tǒng)安全管理員及時(shí)做出相應(yīng)的措施如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等，作為追究法律責(zé)任的證據(jù)。網(wǎng)絡(luò)安全性分析系統(tǒng)一個(gè)計(jì)算機(jī)信息系統(tǒng)本身會(huì)有各種各樣的弱點(diǎn)。如受來自內(nèi)部網(wǎng)用戶的安全威脅，密碼的設(shè)置不合理，容易被內(nèi)部用戶破譯；如沒有辦法知道，系統(tǒng)有哪些協(xié)議端口不該打開，可卻打開了，提供了系統(tǒng)被入侵的途徑等；如Web瀏覽可能存在的惡意Java/ActiveX控件進(jìn)行有效控制。這些潛在的弱點(diǎn)會(huì)在系統(tǒng)的日常運(yùn)作中出現(xiàn)，但是經(jīng)常被忽視。網(wǎng)絡(luò)系統(tǒng)的安全性是由網(wǎng)絡(luò)系統(tǒng)最薄弱的環(huán)節(jié)決定的。應(yīng)該及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)，并最大限度地保證網(wǎng)絡(luò)系統(tǒng)的安全。這就需要使用用網(wǎng)絡(luò)安全監(jiān)測工具定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，及時(shí)發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞。通訊加密主動(dòng)的加密通訊，保護(hù)信息在通過不安全信息通道時(shí)，可使攻擊者不能了解、修改敏感信息。 隱藏內(nèi)部信息對(duì)企業(yè)外部，或在受保護(hù)區(qū)域之外隱藏內(nèi)部的信息，以減少被攻擊的可能性。如內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)備的組成，網(wǎng)絡(luò)地址，開放的端口等。通過隱藏內(nèi)部信息，能使攻擊者不能確定攻擊對(duì)象，以及攻擊對(duì)象的弱點(diǎn)，降低被攻擊的可能性，也增加了攻擊者發(fā)動(dòng)攻擊的成本。隱藏內(nèi)部信息采取的方法有：不對(duì)外提供服務(wù)的系統(tǒng)不使用域名；關(guān)閉系統(tǒng)的icmp功能，使外界無法通過ping等工具獲知內(nèi)部網(wǎng)絡(luò)；使用私有地址做內(nèi)部網(wǎng)絡(luò)地址，通過NAT進(jìn)行轉(zhuǎn)換等。除了這些以外，我們還必須提醒，不要將網(wǎng)絡(luò)的具體結(jié)構(gòu)圖，地址分配等重要的信息泄露出去。 網(wǎng)絡(luò)反病毒在網(wǎng)絡(luò)環(huán)境中，計(jì)算機(jī)網(wǎng)絡(luò)病毒具有極大威脅和破壞，因此計(jì)算機(jī)網(wǎng)絡(luò)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重中之重。網(wǎng)絡(luò)反病毒技術(shù)包括病毒預(yù)防、病毒檢測和殺毒三種技術(shù)。網(wǎng)絡(luò)反病毒技術(shù)的具體實(shí)現(xiàn)方法包含兩個(gè)方面：1) 在服務(wù)器端通常是利用專業(yè)的病毒查殺軟件對(duì)服務(wù)器中的文件頻繁的和周期性的掃描和監(jiān)測；2) 在工作站上利用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件訪問權(quán)限控制。 多層防御多層防御是指攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。這需要在整個(gè)計(jì)算機(jī)系統(tǒng)內(nèi)將各種安全技術(shù)互相結(jié)合，重復(fù)使用，以為系統(tǒng)建立一個(gè)多面的，多層次的防范措施，突破了一層防護(hù)還有更多的防護(hù)，而不是只使用單一技術(shù)，否則在該技術(shù)被突破是將整個(gè)系統(tǒng)都被暴露。比如當(dāng)防火墻被攻破時(shí)，整個(gè)網(wǎng)絡(luò)將沒有任何保護(hù)。比如，攻擊者將從防護(hù)最差的系統(tǒng)入手，獲得使用權(quán)后，通過該系統(tǒng)來攻擊與之相連的其他系統(tǒng)，由于系統(tǒng)之間沒有防護(hù)，其他系統(tǒng)將連帶受到攻擊。我們可以在邊緣的路由器上設(shè)立網(wǎng)絡(luò)層訪問控制策略，在防火墻設(shè)立應(yīng)用層的訪問控制，在網(wǎng)絡(luò)內(nèi)部通過VLAN將網(wǎng)段分割等等。類似的建立多層防御系統(tǒng)能控制受攻擊的范圍，將損失減到最低。 信息安全信息安全就是要保證信息的完整性、可用性和保密性。信息安全問題所涉及的是：使用系統(tǒng)中的資源和數(shù)據(jù)的用戶是否是那些真正被授權(quán)的用戶？是否能防止不法用戶的信息攻擊？這就要求系統(tǒng)能夠?qū)W(wǎng)絡(luò)中流通的數(shù)據(jù)信息進(jìn)行監(jiān)測、記錄，并對(duì)使用該系統(tǒng)信息數(shù)據(jù)的用戶進(jìn)行身份認(rèn)證，以保證企業(yè)的信息安全。 前端頁面安全控制信息系統(tǒng)的管理界面和后臺(tái)系統(tǒng)，門戶網(wǎng)站和后臺(tái)系統(tǒng)都是使用Web技術(shù)，前端頁面的安全控制容易被忽視，如果系統(tǒng)設(shè)計(jì)時(shí)此問題考慮不周，同樣會(huì)對(duì)系統(tǒng)安全性和性能造成嚴(yán)重的影響。 兩次提交的問題若用戶在瀏覽器上連續(xù)幾次按下確認(rèn)按鈕，在應(yīng)用服務(wù)器上就會(huì)執(zhí)行幾次客戶的請求。特別是在提交某些交易的時(shí)候，若客戶連續(xù)點(diǎn)擊兩下確認(rèn)按鈕，則系統(tǒng)就會(huì)在客戶不知情的情況下做兩筆同樣的交易，這是十分危險(xiǎn)的。我們要求所有提交到信息系統(tǒng)的業(yè)務(wù)信息均需在前臺(tái)控制兩次提交的問題，即不允許客戶在一個(gè)頁面上提交兩次請求，具體實(shí)施中可以采用以下辦法進(jìn)行控制：l 前端頁面中使用JavaScript控制客戶的兩次提交；l 前端頁面中使用時(shí)間戳或序列號(hào)方式結(jié)合后臺(tái)處理進(jìn)行控制。 頁面緩存的處理為了防止合法客戶使用完系統(tǒng)并退出后，其他人人員偷看緩存內(nèi)的頁面，所有登錄后的頁面都需要設(shè)置成不需要在客戶端緩存的方式。這樣做還會(huì)避免出現(xiàn)一些業(yè)務(wù)處理邏輯上的問題。 前端頁面修改的問題由于瀏覽器的原因，用戶可以看到當(dāng)前頁面的HTML源碼并可以修改后再次提交，所以應(yīng)用服務(wù)器端必須檢查客戶提交上來的數(shù)據(jù)是否合法，比如客戶的業(yè)務(wù)信息等關(guān)鍵數(shù)據(jù)，防止不法人員利用破壞系統(tǒng)。 屏蔽自動(dòng)完成功能由于瀏覽器有自動(dòng)完成以前輸入數(shù)據(jù)的功能，在多人共用一臺(tái)電腦的情況下，為了防止其他人利用別人已輸入的關(guān)鍵數(shù)據(jù)（比如密碼），在頁面上必須屏蔽自動(dòng)完成功能，具體實(shí)施中可以在前端頁面中加入相應(yīng)命令實(shí)現(xiàn)。 防止自動(dòng)攻擊在需要提交的數(shù)據(jù)頁面中需要防止不法人員利用自己編寫的程序自動(dòng)提交信息，這可以用下面的方法解決：在信息采集的頁面上通過輸入圖形驗(yàn)證碼防止程序自動(dòng)攻擊，并通過后臺(tái)對(duì)提交信息的IP地址、流量等進(jìn)行監(jiān)控；對(duì)于重要的需要身份認(rèn)證的信息還可以通過手機(jī)短信確認(rèn)的方式防止群發(fā)攻擊。 客戶證書認(rèn)證機(jī)制考慮到系統(tǒng)信息的保密需要，可以采取具有更高安全等級(jí)且公認(rèn)的最安全的基于公鑰密碼體制的CA數(shù)字證書認(rèn)證機(jī)制，并存儲(chǔ)在“數(shù)字令牌”這種專門的USB存儲(chǔ)設(shè)備中，只有持有合法證書的用戶通過令牌才能夠進(jìn)入到系統(tǒng)進(jìn)行操作，其它的非法用戶根本無法訪問系統(tǒng)。采用以“數(shù)字令牌”為介質(zhì)的證書身份認(rèn)證方式，可以實(shí)現(xiàn)雙因素認(rèn)證的需求，攻擊者如果想冒充合法用戶的身份進(jìn)入系統(tǒng)，不僅需要竊取到用戶的數(shù)字令牌，還需要知道數(shù)字令牌的保護(hù)口令，甚至令牌中數(shù)字證書的調(diào)用口令，這種雙因素認(rèn)證機(jī)制大大提高了認(rèn)證的安全強(qiáng)度，也使得身份冒充變得極為困難。 身份鑒別網(wǎng)站后臺(tái)管理系統(tǒng)的用戶可區(qū)分為管理員、內(nèi)部操作員等。信息中心應(yīng)用系統(tǒng)要求各類用戶擁有唯一的登錄名稱及密碼，并推薦通過SSL加密通道訪問系統(tǒng)。 信息保密和完整性建議后臺(tái)管理用戶都通過SSL加密通道訪問系統(tǒng)，后臺(tái)用戶既可以通過內(nèi)網(wǎng)或?qū)＞€網(wǎng)訪問，也可以通過公網(wǎng)（Internet），數(shù)據(jù)都以加密形式傳輸，確保數(shù)據(jù)的安全性。采用國際標(biāo)準(zhǔn)的HASH算法SHA1/MD5進(jìn)行傳輸信息的完整性校驗(yàn)。 數(shù)字簽名用戶登錄或進(jìn)行關(guān)鍵業(yè)務(wù)操作時(shí)，系統(tǒng)也可利用用戶私鑰進(jìn)行數(shù)字簽名，并將簽名傳送至應(yīng)用服務(wù)器進(jìn)行驗(yàn)證及保存，做為交易的電子憑證，實(shí)現(xiàn)交易的不可抵賴性。 系統(tǒng)操作員認(rèn)證授權(quán)對(duì)信息系統(tǒng)的操作和對(duì)信息資源的存取進(jìn)行認(rèn)證和授權(quán)。為不同的系統(tǒng)資源建立不同的安全等級(jí)，同時(shí)也對(duì)不同的人建立不同的服務(wù)等級(jí)，使不同的權(quán)限只能對(duì)被允許的系統(tǒng)資源的進(jìn)行處理，不能越權(quán)訪問。認(rèn)證授權(quán)需要結(jié)合安全管理制度來制定，才能達(dá)到良好的效果。比如，系統(tǒng)管理員的一般操作不使用最高權(quán)限，而非系統(tǒng)管理員只能獲得工作所需的權(quán)限等。授權(quán)認(rèn)證不僅是用戶名和密碼這么簡單，還包括了不允許對(duì)系統(tǒng)的遠(yuǎn)程訪問，比如對(duì)主機(jī)系統(tǒng)的操作只能在機(jī)房內(nèi)甚至只能在系統(tǒng)的控制臺(tái)進(jìn)行操作，通過安全管理措施來限制人員的進(jìn)出機(jī)房以控制對(duì)系統(tǒng)的操作。對(duì)系統(tǒng)的網(wǎng)管可使用帶外管理的方式建立特殊的網(wǎng)管通道。良好的認(rèn)證體系可防止攻擊者假冒合法用戶，對(duì)無權(quán)限的資源進(jìn)行非法存取。 數(shù)據(jù)庫安全數(shù)據(jù)庫安全的設(shè)計(jì)的主要目的是為了防止內(nèi)部人員誤操作或者惡意攻擊。例如：數(shù)據(jù)庫操作和管理人員利用自身權(quán)限可直接修改數(shù)據(jù)庫，修改某些關(guān)鍵字段，達(dá)到不法的目的。從技術(shù)上主要采用關(guān)鍵字段的不可逆加密和記錄合法性校驗(yàn)的方式加強(qiáng)數(shù)據(jù)庫的安全，數(shù)據(jù)庫管理員既使能直接修改數(shù)據(jù)，也無法正確修改數(shù)據(jù)，從而達(dá)不到目的。關(guān)鍵字段加密：這些字段主要是一些密碼字段，包括客戶登錄密碼和支付密碼等，應(yīng)用程序讀取這些字段后，調(diào)用解密程序判斷是否正確。關(guān)鍵字段加密不宜過多的使用，對(duì)系統(tǒng)的效率有一定的影響。記錄合法性校驗(yàn)：應(yīng)用程序在寫入一條數(shù)據(jù)時(shí)，先根據(jù)其中某些字段的值利用專用的算法得到校驗(yàn)值，然后將校驗(yàn)值和數(shù)據(jù)本身一起寫入數(shù)據(jù)庫中，讀出記錄時(shí)根據(jù)同樣算法檢查校驗(yàn)值。這樣可以有效防止對(duì)數(shù)據(jù)庫的非法修改。此外，敏感信息在數(shù)據(jù)庫內(nèi)存放時(shí)也可配合哈希值防止信息泄露和被篡改。 數(shù)據(jù)傳輸安全系統(tǒng)通過采用數(shù)據(jù)傳輸加密技術(shù)、數(shù)據(jù)完整性鑒別技術(shù)及防抵賴技術(shù)，保證數(shù)據(jù)傳輸?shù)陌踩院涂煽啃?。這就需要使用集成的安全保密技術(shù)措施及設(shè)備。利用安全保密技術(shù)措施和設(shè)備為網(wǎng)絡(luò)系統(tǒng)的主機(jī)、服務(wù)器提供加密服務(wù)、數(shù)字簽名、自動(dòng)密鑰分發(fā)等功能，并利用相應(yīng)的算法對(duì)數(shù)據(jù)完整性做出鑒別。 審計(jì)信息內(nèi)容對(duì)內(nèi)部網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行實(shí)時(shí)審計(jì)，以防止泄密和追查可能攻擊。對(duì)于網(wǎng)絡(luò)查詢可以通過要求輸入校驗(yàn)碼來防止自動(dòng)的批量查詢攻擊，另外可以通過限定某段時(shí)間內(nèi)允許查詢的IP地址的次數(shù)來防止的大批量自動(dòng)或人工的惡意查詢。整個(gè)安全體系就在于如何利用好以上這些手段，將這些手段經(jīng)過組合，形成一個(gè)嚴(yán)密的防護(hù)體系。系統(tǒng)的安全是與管理密切相關(guān)的，因此，在考慮系統(tǒng)安全方案時(shí)，結(jié)合管理，使兩者緊密配合，形成一個(gè)有機(jī)結(jié)合體。必要時(shí)，可以設(shè)立安全監(jiān)控中心，為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護(hù)及緊急情況服務(wù)。 數(shù)據(jù)安全電子商務(wù)的成功運(yùn)營不僅依賴于網(wǎng)絡(luò)安全和信息安全來保證交易的完成，同時(shí)也必須依靠公司完善的管理制度來保證商業(yè)的安全，保護(hù)好公司的業(yè)務(wù)數(shù)據(jù)和商業(yè)秘密，從各方面達(dá)到公司運(yùn)營和發(fā)展的安全保證。 簽訂保密協(xié)議企業(yè)的競爭就是市場的競爭，市場的競爭在很大程度上取決于商業(yè)秘密的競爭，誰保護(hù)好了商業(yè)秘密，誰就擁有了現(xiàn)實(shí)的或潛在的市場和競爭優(yōu)勢。在這種新的形勢下，認(rèn)真做好商業(yè)秘密保護(hù)工作，對(duì)于維護(hù)公司的經(jīng)濟(jì)利益和促進(jìn)公司的發(fā)展具有非常重要的意義。在公司運(yùn)營過程中會(huì)產(chǎn)生大量有用的業(yè)務(wù)信息、客戶信息和公司運(yùn)營信息，這些數(shù)據(jù)不僅涉及公司的商業(yè)數(shù)據(jù)如房產(chǎn)資源數(shù)據(jù)和客戶資源數(shù)據(jù)，還體現(xiàn)了公司的發(fā)展戰(zhàn)略和布局。如何避免這些數(shù)據(jù)被其他競爭對(duì)手竊取和利用是一個(gè)需要仔細(xì)考慮的問題，因?yàn)檫@些在運(yùn)營中產(chǎn)生和處理的數(shù)據(jù)不是技術(shù)所能保密的。在公司重要的工作崗位中，如有關(guān)客戶的業(yè)務(wù)崗位和數(shù)據(jù)安全的技術(shù)崗位建議和相關(guān)員工簽訂保密協(xié)議，以保障公司重要的商業(yè)信息在一定的時(shí)期內(nèi)不被競爭對(duì)手所利用，從法律的層面提供一個(gè)保證。 明確崗位分工明確的崗位分工也是管理上的一種重要的保證，這樣，各人負(fù)責(zé)范圍內(nèi)的職責(zé)和相關(guān)的商業(yè)資源的安全，防止某個(gè)人接觸到大量的非工作崗位所需的商業(yè)數(shù)據(jù)?？梢酝ㄟ^權(quán)限分配的方式限制每個(gè)崗位所能執(zhí)行的操作，以及所能查看的數(shù)據(jù)范圍。例如市分公司負(fù)責(zé)人只能查看本市的業(yè)務(wù)統(tǒng)計(jì)信息，因此即使這些商業(yè)秘密信息泄露的話也能控制在一定的范圍，從而降低安全風(fēng)險(xiǎn)，在一定程度上達(dá)到數(shù)據(jù)的安全。 定期日志審計(jì)管理員需要定期分類對(duì)系統(tǒng)操作日志進(jìn)行內(nèi)容審計(jì)，以防止查可能的泄密行為和追查異常行為。分類方法包括用戶名、上網(wǎng)時(shí)間、IP地址和使用的HTTP方法等，并重點(diǎn)跟蹤跟公司數(shù)據(jù)有直接關(guān)系的操作，如業(yè)務(wù)文件下載、客戶信息的查詢等，根據(jù)統(tǒng)計(jì)分析的結(jié)果對(duì)有異常的操作如某一時(shí)間內(nèi)操作的頻次等進(jìn)行監(jiān)控，做好準(zhǔn)備。數(shù)據(jù)的安全就在于如何利用好以上這些手段，將這些手段經(jīng)過組合，形成一個(gè)嚴(yán)密的數(shù)據(jù)防護(hù)體系。數(shù)據(jù)的安全不是技術(shù)所能完全解決的問題，是與管理密切相關(guān)的。因此，在考慮數(shù)據(jù)安全方案時(shí)，應(yīng)完善公司管理制度，以技術(shù)服務(wù)管理，形成一個(gè)有機(jī)結(jié)合體，充分保證公司商業(yè)數(shù)據(jù)的安全。 本章小結(jié)本章根據(jù)現(xiàn)有的網(wǎng)絡(luò)安全與信息安全問題提出了系統(tǒng)將來有可能應(yīng)對(duì)的網(wǎng)絡(luò)攻擊和信息安全問題，并針對(duì)這些問題闡述了應(yīng)對(duì)的技術(shù)和管理手段，以保證系統(tǒng)的安全運(yùn)行。第四章 系統(tǒng)需求、功能、性能分析對(duì)系統(tǒng)應(yīng)提供的服務(wù)和所受到的操作約束的描述就是系統(tǒng)需求的內(nèi)容[作者：Ian Sommerville，軟件工程[M].，72]。需求是設(shè)計(jì)和實(shí)現(xiàn)系統(tǒng)的基礎(chǔ)，需求就是要定義“系統(tǒng)要做什么?”的問題[[M].清華大學(xué)出版社,2003:45]。系統(tǒng)需求分析工作的成功與否直接決定的系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)的成敗，可以說，系統(tǒng)需求是一切軟件研發(fā)工作的基礎(chǔ)。 系統(tǒng)需求分析系統(tǒng)目標(biāo)本系統(tǒng)旨在用RFID卡式門票代替現(xiàn)有的紙質(zhì)門票，降低管理成本，提高管理效應(yīng)；將門票、消費(fèi)等進(jìn)行統(tǒng)一的管理，使旅游區(qū)的管理規(guī)范化；杜絕假票，防止倒票；為“智慧景區(qū)”中其它系統(tǒng)的運(yùn)營奠定基礎(chǔ)。系統(tǒng)的用戶范圍本系統(tǒng)的主要使用者是售卡人員、收卡人員、相關(guān)的管理人員和財(cái)務(wù)人員四大類型。除了旅游區(qū)相關(guān)人員，游客還可以利用自動(dòng)充值機(jī)為RFID卡自助充值。 系統(tǒng)功能分析 系統(tǒng)軟件功能分析該系統(tǒng)主要有五種功能，分別為門票功能、消費(fèi)功能、RFID卡功能、查詢與報(bào)表和系統(tǒng)管理功能，如圖41所示。圖41 系統(tǒng)功能示意圖此外，本系統(tǒng)還包含一個(gè)票務(wù)子系統(tǒng)，該票務(wù)子系統(tǒng)的業(yè)務(wù)流程如圖42所示。圖42 票務(wù)子系統(tǒng)流程圖 RFID卡分類景區(qū)所使用的RFID卡根據(jù)其使用對(duì)象不同，需要分為四種：l 貴賓卡：供特殊身份的人使用。l 員工卡：是供旅游區(qū)的工作人員使用。l 導(dǎo)游卡：供導(dǎo)游使用。l 游客卡：普通游客使用的卡。這四種不同的卡片需要在外觀上加以區(qū)分，例如，采用文字區(qū)分。而游客卡根據(jù)游客可乘車與不可乘車分為兩種，并在外觀上加以區(qū)分。例如，使用顏色加以區(qū)分。以上各種RFID卡模板如圖43所示。(a) 包含乘車費(fèi)的游客卡 (b) 員工卡 (c) 導(dǎo)游卡 (d) 貴賓卡(e) 不包含乘車費(fèi)的游客卡