金蝶EAS信息安全方案

金蝶EAS 信息安全方案 金蝶EAS信息安全方案金蝶软件（中国)有限公司EAS产品事业部目录1。引言32。前言33。信息安全组织和制度保障44。EAS安全策略54.1。J2EE的安全性54。2。EAS安全介绍55.EAS资金管理系统安全方案95。1。EAS与PKI体系整合的安全架构图：95。2.EAS资金系统银企互联安全原理图：105.3.基于证书的双身份认证115。4.USB Key身份认证115。5。数据加密传输125。6。业务单据的数字签名125。7.二次身份认证135.8.EAS资金成功案例介绍146。EAS网络安全146.1。防火墙146.2.VPN技术156。3。VLAN177。电脑病毒防护178.EAS数据安全188。1。磁盘存储系统188。2.数据备份199.EAS服务器安全209.1。服务器系统冗余209。1.1。IBM P系列服务器群集技术（HACMP）209.1.2。HP MC/ServiceGuard 集群方案219。2。EAS服务器群集21集群模型特点22集群部署建议229。3.Oracle RAC2310。其它注意事项2411。附件25信息安全体系结构251. 引言在信息安全技术中有一个著名的“木桶理论”其核心思想是：一个木桶能装多少水,不是取决于木桶中最长的木板,而是木桶中最短的木板决定着一个木桶能够装多少水.把一个公司的信息安全看作是一个木桶的话，那么这个公司信息安全级别高低不是看其安全防范最好的地方，而是看其安全防范最薄弱的地方。不论公司信息安全体系的关键位置的安全防范有多严密，只要体系中有一个安全漏洞，那么整个信息安全体系的安全可以说是脆弱的。一个信息系统的安全弱点就是它防护最弱的那部分,不管其他部分是如何的强壮，一旦此弱点被利用，就会给系统带来灾难。要保护系统的安全，需要全方位考虑，系统管理员要经常检测系统的薄弱环节。2. 前言对一个企业来说,信息和其它商业资产一样有价值.信息安全就是保护信息免受来自各方面的威胁，是一个企业持续经营策略和管理的重要环节。随着公司治理、内部控制的加强，以及美国颁布萨班斯法案和上海深圳证券交易所出台上市公司内部控制指引，越来越多的企业开始重视公司的信息安全.作为国内领先的ERP软件,EAS正在为越来越多的大中型企业所使用。金蝶EAS(Enterprise Application Suite)，是金蝶国际软件集团推出的新一代企业应用套件。秉承40万家用户的最佳应用实践，采用最新的ERP管理思想和最先进的平台化技术架构，是K/3产品的重大平台升级和管理升级,涵盖集团管理、财务管理、人力资源管理、客户关系管理、供应链管理、供应商关系管理、协同平台等管理领域.为大中型企业提供最适合中国企业管理特质的个性化企业管理及电子商务应用解决方案.如何保障EAS系统的信息安全，是EAS用户十分关注的问题。国际标准化组织（ISO）已于2000年颁布ISO/IEC 17799，是信息安全管理实施细则（Code of Practice for Information Security Management）.其05年最新版本涉及信息安全管理的各个方面： u 安全策略（Security Policy） u 信息安全的组织结构（Organization of information security）u 资产管理（Asset Management)u 人力资源安全(Human resources security） u 物理和环境安全（Physical and environmental security）u 通信和操作管理（Communication and operations management）u 访问控制（Access control) u 系统采购、开发和维护（Information systems acquisition, development and maintenance)u 信息安全事件管理（Information security incident management） u 业务连续性管理（Business continuity management） u 符合性（Compliance）通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全控制章节，还有39个主要安全类和133个具体控制措施（最佳实践)，供负责信息安全系统开发的人员作为参考使用，以规范化组织机构信息安全管理建设的内容。另外国际标准化组织于2005年10月颁布ISO27001，ISO27001是建立信息安全管理体系（ISMS)的一套规范（Specification for Information Security Management Systems），其中详细说明了建立、实施和维护信息安全管理体系的要求，可用来指导相关人员去应用ISO 17799，其最终目的，在于建立适合企业需要的信息安全管理体系（ISMS）。 综上述,信息安全有一套严格的体系和规范，必须从制度、管理、技术等多维度来保障公司信息安全。EAS系统是公司众多信息系统的一个重要应用系统,需要公司的信息安全体系提供保障,而不是单纯依靠EAS内部的一些安全手段，只有这样才能保证EAS系统的安全。由于信息安全涉及面太广，下面仅就与EAS紧密相关的成熟的信息安全技术展开讨论，为EAS用户提供参考。3. 信息安全组织和制度保障根据ISO/IEC 17799规定，公司应当制定信息安全制度为公司信息安全提供管理方向和指南。同时成立信息安全管理部门，推行信息安全制度，对信息安全权责进行分配，并协调公司内部信息安全的实施。如有必要，在公司内部设立特别信息安全顾问并指定相应人选。同时,要设立外部安全顾问,以便跟踪行业走向,监视安全标准和评估手段，并在发生安全事故时建立恰当的联络渠道.4. EAS安全策略4.1. J2EE的安全性J2EE(Java 2 Enterprise Edition)提供了一个企业级的计算模型和运行环境用于开发和部署多层体系结构的应用,J2EE提供一系列安全算法、PKI体系、安全通讯、认证和存取控制等，可以通过各种安全策略的设置来开放足够使用的执行权限。它通过提供企业计算环境所必需的各种服务，使得部署在J2EE平台上的多层应用，可以实现高可用性、安全性、可扩展性和可靠性。它的优越性在于：计算平台支持Java语言,使得基于J2EE标准开发的应用可以跨平台地移植;Java语言非常安全、严格,这使开发者可以编写出非常可靠的代码；J2EE提供了企业计算中需要的所有服务，且更加易用;J2EE中多数标准定义了接口,例如JNDI（Java Naming and Directory Interface）、JDBC、Java Mail等，因此可以和许多厂商的产品配合，容易得到广泛的支持;J2EE树立了一个广泛而通用的标准,大大简化了应用开发和移植过程。J2EE中有一套严格的安全概念和安全体系架构，对信息安全的提供灵活而健壮框架。4.2. EAS安全介绍金蝶EAS严格遵循J2EE规范，采用J2EE标准的三层体系架构，分别为客户端、应用服务器、数据库服务器三层架构，客户端只能访问应用服务器，采用防火墙、数据加密、权限管理、身份认证等多重安全机制,最大限度地保证EAS的系统安全。EAS的安全架构：EAS安全性包括：u 完善的权限体系,EAS权限模型包括三个基本要素（组织、功能权限、用户），支持功能权限、数据权限（行级和字段级）；具有灵活的授权机制，支持角色授权、用户授权、功能权限的可转授、功能权限的禁止权（禁止权优先于任何权限)、支持特殊数据权限（主管权限、创建者权限、离散权限 ）、支持行级权限、字段级权限等。u 支持多种认证：EAS除了提供传统认证外，还支持LDAP认证、AD活动目录认证、 ActivCard动态密码认证、USB Key认证、指纹认证等。u 密码策略：根据不同敏感程度的用户，设置不同级别的密码策略，使安全策略应用到了用户级别，EAS可以设置的密码控制项包括：密码的最小长度、密码复杂度（必须包含英文字母和数字）、密码有效天数、首次登录必须修改密码等。u 账户锁定策略： 账户锁定是指在某些情况下(例如账户受到采用密码词典或暴力猜解方式的在线自动登录攻击)，为保护该账户的安全而将此账户进行锁定.账户锁定策略包括: 锁定阀值，即允许使用错误密码的最大登录次数,可按不同用户设置不同阀值,超过阀值则锁定账户； 锁定期，使其在锁定的时间内，就算是正确的密码也不能登录.一旦该账户被锁定后，即使是合法用户也就无法使用了。只有管理员才可以重新启用该账户，这就造成了许多不便，提供锁定期功能，以便锁定期过后可自动解锁；u 用户在线监控策略：EAS系统提供在线用户的实时监控功能，对所有的在线用户账户（身份）、客户端的IP和机器名、在线时间、操作功能等信息进行实时监控，对非法用户在线进行破坏或者在线用户进行违规操作时，可以立即进行阻止.对非法用户在线进行破坏或者在线用户进行违规操作时,可以立即进行阻止。对在线用户进行的危险操作，管理员也可以发送提示信息或者警告信息，达到预防危险发生的目的。 u 重复登录提醒,用户可选择踢出对方：EAS系统支持一个账户多点登录,但是会给出提示。如果是独享的账户，则用户可以选择立即将对方的登录账户踢出系统，并立即修改密码，以减少账户被盗用带来的后果。闲置账户自动踢出:EAS系统中，提供自动踢出闲置账户的功能，系统管理员可以根据系统的应用情况设置自动踢出闲置账户的闲置时间阈值，一旦某个账户的闲置时间超过了阈值,那么系统会自动将该账户踢出系统，该账户必须重新登录才能继续进行操作。u 数据加密：ORMRPC是金蝶自主产权的,基于TCP/IP协议上的远程对象请求协议，可以与第三方具有公信力的权威认证相结合，提供数据加密传输；其数据加密传输的实现原理与SSL相类似。结合PKI/CA的ORMRPC数据加密/解密传输过程说明： 首先，用户基于证书进行双身份登录认证，若认证通过,且服务端要求进行数据加密传输时，将在服务端产生会话密钥,并用用户个人公钥进行加密，返回给客户端； 其次，客户端获取到加密后的会话密钥后，将使用个人私钥进行解密 然后，在本次用户会话周期内，以后每次的数据传输，都将使用该会话密钥进行数据的加密/解密; 以上数据加密/解密过程是与PKI/CA体系相结合的,是类似SSL的一种实现，但与EAS结合的更紧密，且降低了SSL的部署复杂度，是能够灵活满足不同客户的安全需要的。u 上机日志：EAS用户上机日志能详细记录用户的操作时间、功能点、IP等信息，为系统管理和系统安全提供分析数据。5. EAS资金管理系统安全方案金蝶EAS资金管理系统通过资金计划、统一结算控制、资金分析、融资管理、银企直联等方式，实现内部资金结算、统收统支、内部网上结算，并实现与商业银行接口，实现资金集中管理，要求资金管理系统要有很高的安全性。金蝶EAS针对资金系统的高安全性,提出了全方位的安全解决方案,详细方案如下：5.1. EAS与PKI体系整合的安全架构图EAS系统提供各种安全策略来保证系统达到不同的安全级别，除了普通的密码策略、部署策略、License策略、权限与用户监控等策略，EAS提供了如下图所示的绑定标准安全方案PKI（Public Key Infrastructure）体系的安全方案：EAS系统可以集成USBKEY方式进行登录，同时对于关键业务可以采用USBKEY进行用户身份认证，对于调用银企的数据进行签名验证处理，通过签名能够保证数据放篡改，从而保证重要数据的安全性。5.2. EAS资金系统银企互联安全原理图5.3. 基于证书的双身份认证u 对于资金等安全性要求较高的系统，为提高身份认证的安全级别,需要支持基于第三方CA证书的用户身份认证；u 为保护证书和私钥，应采取USB KEY存储证书和私钥;u 为了防止内部安全漏洞，需要执行双管理员机制： EAS安全管理员和EAS超级管理员必须由不同人员担当； USB KEY的管理（包括用户绑定等等）应交由EAS安全管理员处理,EAS超级管理员则无权处理; EAS用户的创建和权限分配可由EAS超级管理员管理,但EAS安全管理员不允许处理此项业务；u 为了防止内部安全漏洞，需要结合双安全管理员机制，在证书身份认证的基础上，增加另一维度的身份认证，如：EAS传统命名身份认证；5.4. USB Key身份认证u USB Key身份认证介绍： 基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、可靠的硬件身份认证技术，很好地解决了用户个人私钥的安全可靠存储,并提供USB接口与现今的电脑通用。 它的内部结构不简单，它内置了CPU、存储器、芯片操作系统(COS）,可以存储用户的密钥或数字证书. 利用USB Key内置的密码算法实现对用户身份的认证。 USB Key是一个二次硬件加密功能,在经过系统的软加密验证通过后,还需经过一次第三方的硬件加密,主要用于部分客户关心的关键功能。 EAS目前支持USB Key在银企互联中使用。u USB Key的优点: 是基于EAS系统外的第三方硬件，可以由用户自由选择具体的供应商，对于系统而言，多了个第三方的保证. 是一种方便、安全、可靠的身份认证技术,甚至很多银行都使用这种身份认证技术。 USB Key又叫智能密码钥匙 ，可以绑定具体的操作功能,例如，可配置只对使用银企直联功能时检查用户的Key，使用总帐功能或其他功能时不需要Key，这样，可以减少Key的使用人，大大节约成本。 因为使用其他功能不需要Key,也简化了用户的操作流程。 使用方便，价格便宜.5.5. 数据加密传输u ORMRPC是金蝶自主产权的,基于TCP/IP协议上的远程对象请求协议，可以与第三方具有公信力的权威认证相结合，提供数据加密传输;其数据加密传输的实现原理与SSL相类似.u 结合PKI/CA的ORMRPC数据加密/解密传输过程说明: 首先,用户基于证书进行双身份登录认证，若认证通过，且服务端要求进行数据加密传输时，将在服务端产生会话密钥，并用用户个人公钥进行加密，返回给客户端; 其次，客户端获取到加密后的会话密钥后，将使用个人私钥进行解密; 然后，在本次用户会话周期内，以后每次的数据传输,都将使用该会话密钥进行数据的加密/解密； 以上数据加密/解密过程是与PKI/CA体系相结合的，是类似SSL的一种实现，但与EAS结合的更紧密，且降低了SSL的部署复杂度，是能够灵活满足不同客户的安全需要的。5.6. 业务单据的数字签名u 对于资金等敏感数据需要保障其完整性,比如：需要防止直接通过数据库工具进行EAS系统外的修改;而对于用户在EAS系统内的修改，也需要提供不可抵赖的证据；显然这些需求都可通过数字签名来实现。EAS主要业务对象为单据，通过对业务单据进行数字签名，可确保数据的完整性和不可抵赖.u 后续将进一步提供签名数据的审计功能，以便对存在疑问的数据进行签名审计，通过审计对系统安全进行审查，并尽早发现问题.u EAS中业务单据提交银企互联的时候，由于是真正付款出去,对某些字段比如付款账号、收款账号、金额、币别等的安全性要求比较高，从审批到提交银企互联的环节之间，进行了关键字段的防篡改处理,以付款单为例，实现思路如下实现思路如下： 付款单审批的时候对要防篡改的字段进行加密处理,得出加密字符串保存到付款单记录加密字段中。 付款单提交银企互联的时候对要加密的字段用相同加密算法重新进行加密得到新的加密字符串，与付款单记录加密字段中保存的加密字符串进行比较,如果不相同,则说明被加密的这几个字段中有字段数据被修改过，否则就说明没被篡改。5.7. 二次身份认证功能二次身份认证，是通过在功能权限上绑定身份认证方式来实现的,其设置主界面如下图所示:业务功能与二次身份认证方式的绑定管理员对资金关键业务功能可以设置是否进行二次身份认证,然后再设置哪些功能分别使用哪种验证方式，设置好了之后，每个用户在操作这些功能时，系统会自动增加二次认证，如果用户符合二次身份认证设置的条件,那么用户就会没有任何感觉的继续操作功能，如果不符合二次身份认证设置的条件，那么即使该用户有操作权限，也不允许使用该功能。5.8. EAS资金成功案例介绍XX综合性机械制造特大型集团企业使用EAS的安全性需求： 基于证书的身份认证; 数字签名：保障数据完整性、以及不可抵赖性； 数据传输加密:有效防止敏感数据在传输过程中被窃取而泄密；EAS安全性解决方案: 所有使用电子结算的成员单位都需要使用财务公司下发的电子密钥及服务证书。 每家参与电子结算的成员单位需提交两个证书备案表，即需要两个不同身份的服务证书,一个用于收付单的审批身份认证，一个用于将收付款单发往财务公司时的数字签名。 为保证传送到接口的数据的合规性，所有收付款的审批人在登陆EAS系统时都必须使用证书进行登陆，所有将收付款单发往财务公司的人员在做发送指令时都必须进行数字签名以实现传送数据的不可抵赖性. 采用双系统管理员，即系统管理员和安全管理员，系统管理员不能给自己授于业务操作权限，同时在EAS系统设置安全管理员角色,安全管理员只能处理类似USBKey绑定、撤销绑定、发放等日常工作。 6. EAS网络安全6.1. 防火墙防火墙的基本功能是能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。出于安全考虑,企业必须购置防火墙以保证其数据安全,建议将生产服务器放置在单独区域，与办公网络隔离。EAS客户端通过金蝶自主开发的协议ORM-RPC与应用服务器连接，ORM-RPC可以运行在HTTP或TCP/IP协议之上，ORMRPC可以使用HTTP 80端口或TCP 11034默认端口，客户也可以自己定义ORMRPC协议的TCP端口.在防火墙上配置策略需要开放应用服务器的端口和11034端口(或客户自定义端口)。WebSphere默认HTTP端口是9080，Apusic默认的HTTP端口是6888,Weblogic默认的HTTP端口是7001。EAS 防火墙配置图：EASClientORM-RPCEAS APP SERDBServerQuerySER防火墙开放端口：HTTP：6888TCP : 110346.2. VPN技术VPN 即虚拟专用网(Virtual Private Networks) 提供了一种通过公共非安全介质（如Internet）建立安全专用连接的技术。使用VPN技术,甚至机密信息都可以通过公共非安全的介质进行安全传送。VPN技术的发展与成熟，可为企业的商业运作提供一个无处不在的、可靠的、安全的数据传输网络。VPN通过安全隧道建立一个安全的连接通道,将分支机构、远程用户、合作伙伴等和企业网络互联，形成一个扩展的企业网络。VPN基本特征:u 使企业享受到在专用网中可获得的相同安全性、可靠性和可管理性。u 网络架构弹性大-无缝地将Intranet延伸到远端办事处、移动用户和远程工作者。u 可以通过Extranet连接企业合作伙伴、供应商和主要客户（建立绿色信息通道)，以提高客户满意度、降低经营成本。VPN实现方式u 硬件设备：带VPN功能模块的路由器、防火墙、专用VPN硬件设备等，如Nokia、 Cisco、NetScreen等.u 软件实现：Windows 2000自带PPTP或L2TP、第三方软件(如CheckPoint、深信服等）。u 服务提供商（ISP）：中国电信、联通、网通等.目前一些ISP推出了MPLS + VPN,线路质量更有保证,推荐使用。由于南北电信存在互联互通的问题，如果不能统一线路提供商，通常的解决方法是在总部同时申请电信和网通线路,下属机构根据实际情况采用电信或网通线路,如下图：6.3. VLANVLAN(Virtual Local Area Network）又称虚拟局域网,是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLAN不仅有利于网络安全和防止网络风暴，而且可以提高网络运行的效率,解决许多其它问题。7. 电脑病毒防护目前流行的电脑病毒破坏力越来越强，不只是破坏感染病毒的电脑，还消耗大量的网络资源，严重时导致关键业务系统瘫痪，所以企业考虑自身信息安全必须安装防病毒软件。企业如何有效防护电脑病毒，建议如下:1、 采购企业级杀毒软件，实行中央监管，务必保证接入局域网内的每台电脑都安装防毒软件，并及时更新病毒库。2、 必须制定严格的企业防病毒管理措施。3、 划分VLAN,可以防止病毒扩散，缩小影响范围。8. EAS数据安全8.1. 磁盘存储系统 EAS运行的是企业运营管理的核心关键数据，存储的可靠性要求非常高，因此必须要求服务器的存储系统配置为磁盘阵列方式，不允许使用单块磁盘系统存储EAS数据，而且必须配置实时的后备存储系统，如磁盘备份系统。磁盘阵列已经成为企业信息系统不可缺少的基础组成部分,当前的主流厂商有EMC、IBM、HDS、HP等。RAID是英文RedundantArrayofInexpensiveDisks的缩写,中文译作廉价冗余磁盘阵列,简称磁盘阵列。简单的说，磁盘阵列是一种把多块独立的硬盘(物理硬盘）按不同方式组合起来形成一个硬盘组（逻辑硬盘),从而提供比单个硬盘更高的存储性能和提供数据冗余的技术。在这一组硬盘中，数据按照不同的算法分别存储于每块硬盘上从而达到不同的效果这样就形成了不同的RAID级别(RAIDLEVEL)。按照RAID级别划分,常见的有RAID0，RAID1，RAID3，RAID5,RAID10，RAID50等，以及硬件厂商自己定义的RAID。客户可以根据实际情况选择RAID级别，RAID10和RAID5比较常见，金蝶推荐客户采用RAID10,可以获得较好的磁盘IO性能和可靠性。使用磁盘阵列的好处：u 提高数据的安全性；u 提高数据存取的速度，提升EAS性能;u 提供超大的存储容量.针对EAS而言,并发数低于100时可以采用低价的软件RAID5技术(如Windows 2000带有RAID-5软件功能,也可以配置性能价格比非常好的内置PCI的阵列卡，连接三块以上的SCSI硬盘，配置成RAID-5模式）；并发数超过100个用户就应该考虑独立的硬件磁盘阵列；超过200个并发用户数规模时，建议采用光纤通道磁盘阵列技术，如果有多台服务器(如集群配置)时,更可以使用光纤通道存储局域网（SAN）技术来实现高性能的共享存储系统.以下是EAS对磁盘阵列的指标最低要求：应用规模IOPS最大带宽磁盘配置并发数小于500至少12万至少335MB/s容量至少500G并发数大于500至少20万至少1500 MB/s容量至少1T 8.2. 数据备份一个完整的数据备份和灾难恢复方案，应包括备份硬件，备份软件,备份计划和灾难恢复计划四个部分。u 备份硬件目前比较流行的解决方法包括硬盘介质存储,光学介质和磁带/磁带机存储技术。硬盘存储费用比较昂贵，光学介质的访问速度慢，且容量较小。通常情况下，大容量网络备份用户主要使用磁带设备进行备份.磁带备份具有如下优势：容量大并可灵活配置，速度适中,介质保存周期长，成本低，数据安全性高,可实现无人操作的自动备份等。u 备份软件目前主流的备份软件有， IBM的Tivoli（TSM），HP的OpenView，Veritas公司的NetBackup, Legato公司的NetWorker， CA的ARCserve等。客户可以根据实际情况选择合适的备份软件。u 备份计划/策略从备份策略来讲,现在的备份可分为三种:完全备份、增量备份、差异备份、累加备份策略。下面来讨论以下这几种备份方式：完全备份就是拷贝指定计算机或文件系统上的所有文件，而不管它是否被改变。增量备份就是只备份在上一次备份后增加、改动的部分数据。增量备份可分为多级,每一次增量都源自上一次备份后的改动部分。差异备份就是只备份在上一次完全备份后有变化的部分数据。如果只存在两次备份，则增量备份和差异备份内容一样。累加备份采用数据库的管理方式,记录累积每个时间点的变化,并把变化后的值备份到相应的数组中，这种备份方式可恢复到指点的时间点。一般在使用过程中，这几种策略常结合使用，常用的方法有：完全备份、完全备份加增量备份、完全备份加差异备份、完全备份加累加备份。用户根据自身业务和灾难恢复的要求，选择备份策略. 原则上建议至少每周对关键数据做一次完全备份，一周其它时间每天做增量备份或差异备份，备份每天数据。如果数据丢失,可以恢复到前一天的数据状态,否则有丢失数据的危险。u 灾难恢复灾难恢复在整个备份中占有重要地位.因为它关系到系统、软件与数据在经历灾难后能否快速、准确地恢复。全盘恢复一般应用在服务器发生意外灾难，导致数据全部丢失,也称为系统恢复。有些厂商还推出了拥有单键恢复功能的磁带机,只需用系统盘引导机器启动，将磁带插入磁带机,按动一个键即可恢复整个系统。 为了EAS的数据安全，金蝶建议客户购买专业的备份软件和硬件，并要求客户必须对每天的EAS数据进行备份。9. EAS服务器安全9.1. 服务器系统冗余9.1.1. IBM P系列服务器群集技术(HACMP）IBM P系列服务器的典型应用是采用两台P系列服务器做HACMP(High Availability Cluster Multi-Processing）双机系统，一台安装应用服务器,一台安装数据库，两台主机互为备份。其主要功能是提高客户计算机系统及其应用的可靠性,而不是单台主机的可靠性。HACMP有多种配置方式，视具体应用复杂程度和配置不同,其接管时间在30秒到300秒。 HACMP技术原理： 作为双机系统的两台服务器（主机A和B）同时运行HACMP软件; 服务器除正常运行自己的应用外，同时又作为对方的备份主机； 两台主机系统（A和B)在整个运行过程中，通过“心跳线相互监测对方的运行情况（包括系统 的软硬件运行、网络通讯和应用运行情况等)； 一旦发现对方主机的运行不正常，故障机上的应用就会立即停止运行，本机（故障机的备份机）就会立即在自己的机器上启动故障机上的应用，把故障机的应用及其资源包括用到的IP地址和磁盘空间等接管过来，使故障机上的应用在本机继续运行； 应用和资源的接管过程由HA软件自动完成，无需人工干预； 当两台主机正常工作时，也可以根据需要将其中一台机上的应用人为切换到另一台机（备份机）上运行。HACMP技术特性: 支持并行数据库； 支持动态集群重配置； 广泛的集群管理工具； 支持2到32个集群节点的扩展； 自动失败检测和恢复; 多节点的灵活配置； 可以支持P系列和SP系列.IBM P系列服务器扩展性很强，一般客户采用配置相同的两台主机(一台应用服务器，一台数据库服务器，两台主机互为备份）。9.1.2. HP MC/ServiceGuard 集群方案MC/ServiceGuard，简称MC/SG,是用于HP服务器的高可用性集群软件。MC/SG实现的功能：通过合理的配置集群,可以在集群中出现单点故障（硬件、软件、网络等）时，通过切换保证应用程序的不间断运行,从而实现系统的高可用性.9.2. EAS服务器群集应用服务器集群主要是解决在大规模并发处理情况下单机的性能瓶颈问题，如果使用Weblogic或WebSphere的集群可以达到这一目标，而EAS提供一种应用服务器无关的应用集群。集群模型特点支持本机和多机集群：l 一台机器可以部署多个EAS分区组成本机集群；l 可以将多个服务器上EAS组成多机集群；l 两种模式可以混合使用；l 异构的应用服务器之间可以组成集群.负载均衡和失效恢复：l 大并发时减少单点内存占用，降低故障几率；l 分散故障范围，节点故障只影响连接到该节点的用户；l 一台应用服务器停机，后续连接转移到正常服务器（客户端必须重新登录才能转移)；l 当停机的应用服务器重新启动后，会自动加入集群。自主集群技术：l 不依赖操作系统或者应用服务器的集群技术。集群部署建议1) 参考依据l 应用服务器配置，CPU数量,内存容量等.每1个CPU、2.5G内存可以部署一个EAS节点.l 可以在多个服务器上部署集群节点，应用服务器之间带宽至少100Mbps。l 应用服务器和数据库服务器之间的带宽至少100Mbps，建议1Gbps或者以上。l 结合应用规模和服务器的实际运行负荷进行规划，通常超过200并发用户就应该考虑集群部署模式.2) 集群部署方法l EAS 管理控制台内置了集群部署功能。9.3. Oracle RACOracle RAC （Real Application Clusters) 真正应用集群选件，是Oracle数据库高性能、高可靠性的解决方案，具有以下特点：l 所有结点服务器共享一份数据，并行工作,性能随结点增加而线性增加，自动负载均衡,充分利用每一台机器的投资。l 所有结点服务器可以瞬间切换，把停机损失降到最低。l 按需增、删结点，不停机，不用改程序，维护管理成本低.l 10g RAC可以不用第三方HA软件，降低采购成本。Oracle RAC 原理示意图RAC和主/备(双机热备)比较:硬件利用率性能切换速度软件采购可靠性扩展性RAC100所有结点服务器的和1分钟内透明切换RAC所有结点服务器可靠性的和无限扩展主/备50单台520分钟非透明切换HA软件两台机器可靠性的和单台服务器容量10. 其它注意事项1、 测试服务器环境基于安全考虑，EAS除了生产服务器之外，还应该配置测试服务器，测试服务器的软件环境应该与生产环境保持一致，只是硬件配置比生产服务器低。原则上操作系统、数据库、EAS的补丁必须先在测试服务器上安装,在测试服务器上验证通过后才能安装在生产服务器上,若未经测试服务器验证，直接在生产服务器安装，可能有导致生产系统宕机的风险。 2、 服务器关键硬件冗余通常情况下,服务器硬盘最容易出现故障，建议EAS服务器至少配置两块硬盘，两块硬盘做磁盘镜像Raid1，服务器上只安装EAS和数据库软件。特别强调，数据库的数据文件需要存放在可靠性较高的单独的磁盘阵列上，并定期对数据进行备份。服务器电源和网卡也容易出现故障,有条件的客户可以考虑对服务器购置双电源和双网卡，对电源和网卡进行冗余配置。3、 不间断电源UPSUPS可以保障计算机系统在停电之后继续工作一段时间，以使用户能够紧急存盘，避免数据丢失，避免突然停电导致服务器设备损坏。4、 服务器密码服务器操作系统用户（root、oracle)密码、数据库管理员密码、EAS administrator的密码应妥善保管，并将密码设置为复杂密码，防止人为恶意破坏。 11. 附件信息安全体系结构l 第一层 实体安全实体安全是信息系统安全的基础包括：机房安全 场地安全 机房环境/温度/湿度/电磁/噪声/防尘/静电/振动 建筑/防火/防雷/围墙/门禁 设施安全 设备可靠性 通讯线路安全性 辐射控制与防泄露 动力 电源/空调灾难预防与恢复等l 第二层 平台安全 平台安全泛指操作系统和通用基础服务安全，包括以下内容：操作系统漏洞检测与修复 Unix系统 Windows系统 网络协议 网络基础设施漏洞检测与修复 路由器 交换机 防火墙 通用基础应用程序漏洞检测与修复 数据库 Web/ftp/mail/DNS/其它各种系统守护进程 网络安全产品部署 平台安全实施需要用到市场上常见的网络安全产品，主要包括防火墙、入侵检测、脆弱性扫描和防病毒产品。 整体网络系统平台安全综合测试/模拟入侵与安全优化l 第三层 数据安全 为防止数据丢失、崩溃和被非法访问，为保障数据安全提供如下实施内容：介质与载体安全保护 数据访问控制 系统数据访问控制检查 标识与鉴别 数据完整性 数据可用性 数据监控和审计 数据存储与备份安全l 第四层 通信安全 为防止系统之间通信的安全脆弱性威胁，为保障系统之间通信的安全采取的措施有： 通信线路和网络基础设施安全性测试与优化 安装网络加密设施 设置通信加密软件 设置身份鉴别机制 设置并测试安全通道 测试各项网络协议运行漏洞l 第五层 应用安全 应用安全是保障相关业务在计算机网络系统上安全运行,应用安全脆弱性是可能给信息化系统带来最大损失的致命威胁：业务软件的程序安全性测试(bug分析) 业务交往的防抵赖测试 业务资源的访问控制验证测试 业务实体的身份鉴别检测业务现场的备份与恢复机制检查 业务数据的唯一性/一致性/防冲突检测 业务数据的保密性测试 业务系统的可靠性测试 业务系统的可用性测试 测试实施后,为业务系统提供安全建议、修复方法、安全策略和安全管理规范。l 第六层 运行安全运行安全是保障系统安全性的稳定，在较长时间内控制计算机网络系统的安全性在一定范围内。提供的实施措施有:应急处置机制和配套服务 网络系统安全性监测 网络安全产品运行监测 定期检查和评估系统升级和补丁提供跟踪最新安全漏洞及通报 灾难恢复机制与预防系统改造管理 网络安全专业技术咨询服务 运行安全是一项长期的服务，包含在网络安全系统工程的售后服务包内。l 第七层 管理安全、管理安全层次是对以上各个层次的安全性提供管理机制,以用户单位网络系统的特点、实际条件和管理要求为依据，利用各种安全管理机制，为用户综合控制风险、降低损失和消耗,促进安全生产效益。人员管理 培训管理 应用系统管理 软件管理 设备管理 文档管理 数据管理 操作管理 运行管理 机房管理 通过管理安全实施,为以上各个方面建立安全策略,形成安全制度，并通过培训和促进措施，保障各项管理制度落到实处。