数据安全方案.doc

数据安全方案一数据安全概念数据安全存在着多个层次，如：制度安全、技术安全、运算安全、存储安全、传输安全、产品和服务安全等。对于计算机数据安全来说：制度安全治标，技术安全治本，其他安全也是必不可少的环节。数据安全是计算机以及网络等学科的重要研究课题之一。它不仅关系到个人隐私、企业商业隐私；而且数据安全技术直接影响国家安全。二. 公司概况目前公司对于数据安全方面基本只是依赖于托管的机房和阿里云的基本安全保护，并没有我们自己的安全保护措施，或者只有基本的安全保护措施。托管机房服务器众多，不会有特别完全的数据安全保护措施。另外，即便其提供系统的安全保护措施，其内部众多服务器不能保障全部没有病毒或者黑客程序，其内部病毒依然需要防护。至于阿里云，我们只是享有其基本的安全保护，其他比较有针对性或者高级的安全防护措施或者手段都跟服务器一样，需要我们每年缴纳相应的费用才会享有较高级的安全保护。三实际统计宕机时间统计：过去的一年里，济阳机房因硬件维护、网络维护及软件和系统维护等原因，总宕机时间大概在24小时以内，也就是说宕机率小于0.27%，服务器的可靠性是大于99.73%，这样的宕机率虽说不是很低了，但是在对数据安全方面就没有可靠性的保障了，这仅仅是建立在没有被恶意攻击的情况下。对业务影响统计：上面简单记述了一下宕机率，但是宕机或者软硬件维护等原因造成的对业务的影响就不是和宕机率一致了，下面我们来简单分析一下：每次宕机都会直接影响业务的连贯性，所以宕机时间会直接影响全部的业务系统，也就是说过去的一年里对业务的影响最少也是在24小时内，这仅仅是宕机造成的影响。再加上软件更新，系统维护，数据库，网络维护等造成的影响，这个时间远远大于24小时。经过仔细统计，预估业务影响将大于7天：宕机影响1天；网络维护1天；系统遭受攻击维护3天以上，主要原因是在虚拟化平台上各种服务器众多，网络监控机制较差造成；数据库系统等维护大于2天，原因数据库部分参数等更新重启，服务器系统监控机制较差，部分系统不能时时监控到位等。以上众多原因致使对各种业务影响总加起来的影响将大于7天。这样统计下来，我们系统的业务影响率将会大于1.9%，这样可以看到我们系统应用的稳定性，可靠性都很低。所有的业务平台都需要一个可靠稳定的后台来支撑，没有可靠稳定的后台，会对我们前台的业务发展产生很严重的影响。四. 安全结构框架近期一直在考虑关于数据安全方面的各种事项，在数据安全方面，我们欠缺的还很多很多。从近一年的情况来看，我们最重要的是欠缺一个整体的安全管理体系，当然只是对于我们软件及服务器等运维方面来说的。近期我整合了一个关于数据安全的体系结构，下面我们来简单看一下，如下图就是我能想到的关于安全的一个体系结构的框架图。上图是我根据一些资料以及我个人的想法建立的一个关于数据安全的一个框架图。数据安全从大面来分我能想到的有这几个方面：制度安全、网络安全、物理安全、服务器安全、数据库安全以及产品和服务安全 这几个大面，也许每一个大面单独拿出来都可以从专业的角度去书写一本书，这里我就单独结合我们公司的情况简单说明一下每一个方面的事项。4.1 制度安全制度安全指计算机拥有单位，为了保证其计算机以及计算机内存储的数据安全而制定的一套约束各工作人员和非工作的规章制度。在运维中，安全的管理制度也是重中之重，没有统一安全的管理制度，我们在所谓的安全架构安全体系都没有得到实际意义上的安全保障。拥有安全的制度，我们才能去管理和维护一个相对安全的系统。4.1.1 安全管理制度建立安全的管理制度是所有安全意义上的一个重要的环节，拥有安全的管理制度，是其他安全的重要保障。4.1.1.1 用户管理用户管理分为使用用户、系统用户、应用用户、数据用户等的管理，按照各种用户的不同身份不同等级清晰划分用户的各种使用权限及访问范围，通过各个用户的需求不一，使用不同的权限来限制用户的访问范围。使用用户是指对应用、系统、数据等的使用者，或者对服务器、交换机等的使用者，这类用户需要根据其对这类事物的应用范围或者用量等合理安排其权利并作详细的使用记录或者留有操作日志等。系统用户指操作系统的各个管理用户，在操作系统中，一般linux以root用户权限最大来管理其他全部用户及文件数据等。Root用户只有运维管理人员或者系统管理员才可以使用这个用户，其他人员的使用可以根据需求来创建适合需求的用户来管理其用户的数据信息等。应用用户指应用程序的使用用户，这里需要开发人员做好相应的程序控制，不同用户在我们应用程序中所接触的数据不一样。数据用户我这里主要针对于数据库的操作用户。 数据库的各个用户根据不同的数据需求赋予其相应的角色或者用户权限，以达到对不同系统数据的保护和保密作用。所有用户按照其特点统一管理，根据不同用户的属性划分使用者范围及用户管理人员。其他人员需要使用用户需要跟相关的管理人员作出申请，申请审核过后，经过登记以后方可使用其申请的用户权限，其他人员在未经授权的情况下不得随意使用或者在有可使用权限以后不能直接告诉其他未经授权使用的人员。4.1.1.2密码管理用户密码和用户一致，都需要进行统一的管理。用户及密码的获取均需要提出相应申请经过审核通过后，由管理人员登记给出用户及密码。对于密码的安保性，管理人员更需要时刻注意防止密码的外泄，在需要的情况下，可以对秘密进行加密等手段进行保密处理。4.1.1.3 网络管理网络管理包括网络设备及网络监控等的管理，要保障网络设备安全可靠稳定的运行，例如防毒墙、防火墙等软硬件，合理管理网络设备的IP地址，账号密码等不被泄漏，合理设置防毒墙、防火墙等软硬件的过滤规则和防护等级，合理划分管理区域层次，例如安全管理区域，办公区域，网络接入区，核心交换区，中心服务区，数据管理区等。对于高安全性的数据保护措施还需要划分区域边界的安全，主要包括：边界访问控制、边界完整性检测、边界入侵防范以及边界安全审计等方面。安全管理平台应实现对网络设备的集中管理，实现网络设备的升级、网络设备工作状态监管、网络流量监管、网络设备漏洞分析与加固等功能，同时具备对网络设备访问日志的统一收集和分析。4.1.1.4 应用管理应用管理需要加强应用开发，应用代码，应用服务等的安全管理。应用开发过程中需要有相应的代码描述和注释，统一的代码书写规范及命名规范等。对于应用代码需要保证代码的安全性，例如防止代码丢失，代码外泄，代码混淆等问题一般比较常见，一般可以通过svn等工具可以从一定程度上提高安全性，但是并不是一定的，也需要从制度上和习惯上的严格要求。应用服务需要控制好安全数据的私密性，个人隐私数据及保密数据需要做加密及解密措施，以防止隐私数据的透漏。4.1.1.5 数据管理数据管理主要针对数据库内存储的数据管理，包括数据库用户，密码，数据表空间及表的管理。根据应用系统及存储数据的性质来分配应用使用的用户及密码，划分相应的数据库表结构及表空间。做到数据同一规划，数据存储形式一致，这样既可以保证存储数据的安全性，也可以使我们数据的存储有条理性。现状是数据存储较混乱，A用户的数据存在于B用户的表空间中，这样很容易使用户的数据轻易泄露。而且在数据库中这样也很容易造成各个应用之间对数据的读取消耗很多资源，更严重的就是耗时较高，应用性能的整体降低。4.1.2 流程制度4.1.2.1 流程制度规划下面我们来简单看一下下面的一个流程规划上图我们可以看到将我们的整体环境划分为四个大的环境，这四个大环境分别有各自的作用：开发环境：这个环境严格规范在公司的内部环境，在这里有开发人员做主，开发人员在这个环中可以做日常的开发测试。一般情况下开发人员的代码程序都是在其本地的电脑上，而开发环境中目前只有开发测试数据库。这个环境只作为开发人员开发测试程序使用。测试环境：测试环境的要求就相对的要较高一些了。这里的测试环境不是开发测试，这里测试环境是专门用来给测试人员进行各种功能测试及性能测试的环境。环境要求至少需要生产环境减半的配置，或者最少是符合生产要求的独立环境。这个环境不涉及其他任何，只做为测试使用，这样至少保障测试环境的测试结果符合生产环境的要求。只有经过严格测试的应用，排除了大量的bug和性能问题的应用，才能说是较稳定的应用。这样这个应用才能上线。演示环境这个环境可以适当的降低配置，但是需要保障环境的稳定运行。这个环境的主要作用是公司领导可以在公司内外跟客户做程序的演示时使用。其次测试后的正式应用一定要先都部署在这个环境中，经过领导演示，客户认可，领导审核通过以后，应用产品才可以正式上线。未审核通过的应用经过提出问题或者变更以后，由开发修正测试通过后，再次在演示环境中由领导检验审核。最后全部通过的程序，才能在正式的生产环境中上线。生产环境这个环境要求一定是能够承载5年业务数据增长量的一个可靠稳定的应用环境。并且环境的要求及软硬件的配置都需要有可靠稳定的保障。在之前的安全架构中的规划只是针对与这个环境的初步规划。生产环境的可靠稳定主要依靠前面的流程严格保障，另外就是环境软硬件的合理规范化配置。通过稳定可靠的软硬件支持及相应的技术保障生产环境的安全可靠及稳定。4.1.2.2 规范流程有了相应的管理，就需要去规范其管理流程，包括之前提到的用户管理，密码管理，网络管理，应用管理以及数据管理等，需要哪些资源或者权限，需要相关人员给与书面或者文字性的申请审核流程，经过审核后方可确认使用。通过流程的规范包括从开发环境到生产环境的流程，都必须按照流程来规范我们的应用程序的开发及上线，这样我们的后台环境才能有一个稳定安全的基础。4.1.2.3 流程管理确定了流程的事项，就要严格的管理流程，相关的负责人或者部门经理要做到流程管理者的带头和监督的作用。定制了流程就要安装流程来进行，除非某种特殊的情况出现。当然，我们并不希望特殊情况的出现，毕竟无规则不成方圆。只有规则制度起了作用我们才能拥有一个健康的管理后台。4.1.3 制度申请及执行制度的制定需要向制度监管人或者部门提出申请，审核通过后方可执行。由于之前这一块儿的欠缺，致使这部分的管理松散，也造成我们后台的各种不必要的麻烦，甚至导致影响安全的生产环境。后台的安全管理必须要有相关的安全制度的建立。4.2 网络安全在整个数据安全体系中，网络安全是最重要的一环，也是安全的第一个重要关卡大门，所有的数据信息都是通过网络来传输交互的，网络的安全是安全体系中的最重要的一环。4.2.1 传输安全4.2.1.1网络分区根据应用部署要求和新一代数据中心建设的原则，考虑网络安全的实施，数据中心内划分为如下几个区域：1、数据管理区：集中存储、管理所有应用系统的数据。2、业务应用区：部署总局端的业务应用系统。3、支撑平台应用区：部署平台支撑应用系统（集中认证平台、电子服务平台、客户端升级系统、Session集中系统、分布式缓存系统、分布式任务调度系统）。4、数据交换区：部署电子业务平台，以供各外挂系统接口使用。5、公共服务区：部署公共服务、WEB服务和安全管理所需要的各种设置和应用系统。6、安全接入区：用于实现与互联网的安全连接和逻辑隔离，包括各种安全保障设施，以及直接向互联网用户提供服务的应用系统。7、IT管控区：用于实现对ECIQ主干系统的网络管理、安全管理、运维管理，包括各种安全保障设施和管控平台。安全接入区域、数据管理区域、应用服务区域、IT管控区域，采用身份鉴别：主机身份鉴别和应用身份鉴别；访问控制；系统安全审计；入侵防范；主机恶意代码防范；软件容错； 数据完整性与保密性、 备份与恢复等安全保护措施。 详细见下图：计算机环境保护措施安全接入区域操作系统、应用安全加固CA认证系统 内控运维管理系统入侵防御系统IPS入侵检测系统IDS漏洞扫描系统补丁管理系统网络防病毒系统安全管理平台数据备份系统 数据管理区域操作系统、数据库、应用安全加固CA认证系统内控运维管理系统入侵防御系统IPS入侵检测系统IDS数据库审计系统漏洞扫描系统补丁管理系统网络防病毒系统安全管理平台数据备份系统备份应用服务区域操作系统、数据库、应用安全加固CA认证系统内控运维管理系统入侵防御系统IPS入侵检测系统IDS漏洞扫描系统补丁管理系统网络防病毒系统安全管理平台 数据备份系统IT管控区域操作系统、数据库、应用安全加固内控运维管理系统 漏洞扫描系统补丁管理系统网络防病毒系统安全管理平台对安全接入区域边界、数据管理区域边界、应用服务区域边界、IT管控区域边界采用以下安全措施：边界访问控制、边界完整性检查、边界入侵防范、边界安全审计、外部边界恶意代码防范等。4.2.1.2网络可靠性网络高可靠性方面需要采用构建具备高可靠性的网络结构，我们需要建设的网络要可以对业务流量实现分流，也可以互为灾备，因此需要构建可靠的硬件冗余以及网络协议冗余，在网络出现单点故障时能够自动侦测到网络的可达性，并对全网络进行宣告，通过硬件切换或软件切换实现网络的可达性，保证网络正常运行。4.2.1.3网络负载均衡负载均衡运行，在网络层面，需要将日常的业务流量均衡至整个数据中心。数据中心内采用负载均衡设备对网络数据流量进行负载分担。对于业务流量，采用全局负载均衡设备对用户访问数据中心分流，根据策略或负载情况不同用户访问不同的数据中心，分散网络流量，减少网络拥塞，提高访问和服务质量。对于数据中心内部服务器数据流量，采用本地负载均衡把数据流量合理分配给服务器群内的服务器共同负担。4.2.2 网络结构安全网络结构的安全是网络安全的前提和基础，对于北京双中心主干系统核心路由和网络设备需要进行冗余部署，避免单点故障，并考虑业务处理能力的高峰数据流量，因此需要冗余空间满足业务高峰期需要；网络各个部分的带宽要保证接入网络和核心网络满足业务高峰期需要。按照业务系统服务的重要次序定义带宽分配的优先级，在网络拥堵时优先保障重要业务服务器，合理规划路由，业务服务器之间建立安全路径绘制与当前运行情况相符的网络拓扑结构图：根据所涉及信息的重要程度等因素，划分不同的网段或VLAN。重要业务系统及数据的重要网段不能直接与外部系统连接，需要和其他网段隔离，单独划分安全区域。4.2.3 网络安全审计网络安全审计系统主要用于监视并记录网络中的各类操作，侦察系统中存在的现有和潜在的威胁，实时地综合分析出网络中发生的安全事件，包括各种外部事件和内部事件，通过网络监控功能及启用网络设备日志审计，并纳入安全管理平台统一监控管理实现。4.2.4 网络设备防护为提高网络设备的自身安全性，保障各种网络应用的正常运行，对网络设备需要进行一系列的安全加固措施，包括：1、对登录网络设备的用户进行身份鉴别，用户名必须唯一；2、对网络设备的管理员登录地址进行限制；3、身份鉴别信息具有不易被冒用的特点，口令设置需3种以上字符、长度不少于8位，并定期更换；4、具有登录失败处理功能，失败后采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；5、启用SSH等管理方式，加密管理数据，防止被网络窃听。同时需要部署内控运维管理系统对设备管理用户登录认证和审计，确保经过授权的管理员通过可靠路径才能登录设备进行管理操作，并对所有操作过程进行审计、控制、记录，避免授权用户非法操作或误操作，保证对网络设备进行管理维护的合法性。4.2.5 通信完整性信息的完整性设计包括信息传输的完整性校验以及信息存储的完整性校验。对于信息传输和存储的完整性校验可以采用的技术包括校验码技术、消息鉴别码、密码校验函数、散列函数、数字签名等。对于信息传输的完整性校验应由传输加密系统完成，对于信息存储的完整性校验应由应用系统和数据库系统完成。4.2.6 通信保密性应用层的通信保密性主要由应用系统完成。在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；并对通信过程中的敏感信息字段进行加密。对于信息传输的通信保密性由应用系统和数据库系统传输加密系统完成。4.2.7 网络可信接入为保证网络边界的完整性，不仅需要进行非法外联行为，同时对非法接入进行监控与阻断，形成网络可信接入，共同维护边界完整性。可以将服务器的IP和MAC地址绑定，并禁止修改自身的IP和MAC地址。4.2.8 网络安全管理通信网络应当有网络安全监控、网络审计、网络备份冗余与故障恢复、网络应急处理、网络数据传输安全性保护以及可信网络设备接入，在本项目分别通过网络安全监测、网络安全审计、网络结构优化、设备加固、以及内控运维管理系统来完成。主干系统按照基本要求保护级别设计信息系统的保护环境模型，依据信息系统等级保护安全设计技术要求，按照安全计算环境、安全区域边界、安全通信网络和安全管理中心等进行设计，结合管理要求，形成如下图所示的保护环境模型：4.3 物理安全在信息安全体系中，物理安全就是要保证信息系统有一个安全的物理环境，对接触信息系统的人员有一套完善的技术控制手段，且充分考虑到自然事件对系统可能造成的威胁并加以规避。简单的说，物理安全就是保护信息系统的软硬件设备、设施以及其他媒体免遭地震、水灾、火灾、雷击等自然灾害、人为破坏或操作失误，以及各种计算机犯罪行为导致破坏的技术和方法。在信息系统安全中，物理安全是基础。如果物理安全得不到保证，如计算机设备遭到破坏或被人非法接触，那么其他的一切安全措施就都只是空中楼阁。4.3.1 环境安全4.3.1.1机房与设施安全要保证信息系统的安全、可靠，必须保证系统实体有一个安全的环境条件。这个安全环境就是指机房及其设施，它是保证系统正常工作的基本环境，包括机房环境条件、机房安全等级、机房场地的环境选择、机房的建造、机房的装修和计算机的安全防护等。对系统所在环境的安全保护，如区域保护和灾难保护等在GB50174-93电子计算机机房设计规范、GA/T390-2002计算机信息系统安全等级保护通用技术要求、GB2887-2000电子计算机场地通用规范、GB9361-88计算站场地安全要求等标准中有详细的描述。4.3.1.2环境与人员安全环境与人员安全通常是指防火、防水、防震、防振动冲击、防电源掉电、防温度湿度冲击、防盗以及防物理、化学和生物灾害等，是针对环境的物理灾害和人为蓄意破环而采取的安全措施和对策。4.3.1.3 防其他自然灾害防其他自然灾害主要包括湿度、洁净度、腐蚀、虫害、振动与冲击、噪音、电气干扰、地震、雷击等。通常，当相对湿度低于40%时，被认为是干燥的；当相对湿度高于80%时，则被认为是潮湿的。过高或过低的相对湿度，对计算机的可靠性和安全性均有不利影响；洁净度主要是指空气中灰尘量和有害气体含量，它也是影响计算机可靠性和安全性的一个重要因素；计算机中的金属部分，如集成电路引脚、适配器以及各种电缆连接器、插头、接头等都会因受到腐蚀作用而损坏，包括化学物质的直接腐蚀或氧化、空气腐蚀或氧化、电解液腐蚀等。鼠虫害也是造成设备故障的因素之一，窜入机房内的鼠虫会咬坏电缆，严重的会引起电源短路。据日本IECC对国内2000个用户的调查，在计算机事故中，有10%是鼠虫害造成的；振动、冲击也会带来各种各样的问题；干扰是由非预料之中的、不需要的或随机的电场、磁场、无线电信号或声音信号等造成的影响。干扰的来源有三个方面：噪音干扰、电气干扰和电磁干扰。大多数地震对计算机设施造成的损失是房屋倒塌和设备损坏，除此之外，还有人身安全威胁，应建立防灾组织和规章制度，保证地震发生后能尽快恢复正常工作。雷电损坏计算机设备也相当普遍，据报道，1983年美国很多计算机和通信设备遭到雷击损害，1985年一次雷电竟使美国一栋大楼15层内的计算机全部损坏。我国某气象中心从日本引进的M-170、160大型机两次受到雷击。1986年7月19日，太原某厂PDP-11/73计算机被雷击损坏。铁道部成都铁路局引进的VAX-11机，1985年7月因雷击损坏了主机1台、终端5台。沈阳铁路局1986年4月9日因雷击损坏微机3台。在国内外，类似事件已发生多起，因此为保障计算机系统的正常运行，避免遭到来自雷电的袭击，计算机安全机房应设置避雷针，并应以深埋地下且与大地良好相通的金属板作为接地点，避雷针的引线则应采用粗大的紫铜条，或者使整个建筑的钢筋自地基以下焊接连成钢筋网作为“大地”，与避雷针相连。4.3.2 设备安全设备安全主要包括计算机设备的防盗、防毁、防电磁泄漏发射、抗电磁干扰及电源保护等。4.3.2.1防盗和防毁当计算机系统或设备被盗、被毁时，除了设备本身丢失或毁损带来的损失外，更多的损失则是失去了有价值的程序和数据。因此，防盗、防毁是计算机防护的一个重要内容。通常采取的防盗、防毁措施主要有：设置报警器在机房周围空间放置侵入报警器，侵入报警的形式主要有光电、微波、红外线和超声波；锁定装置在计算机设备中，特别是在个人计算机中设置锁定装置，以防犯罪盗窃；计算机保险在计算机系统受到侵犯后，可以得到损失的经济补偿，但是无法补偿失去的程序和数据，为此应设置一定的保险装置；列出清单或绘出位置图最基本的防盗安全措施是列出设备的详细清单，并绘出其位置图。4.3.2.2防止电磁泄漏发射抑制计算机中信息泄漏的技术途径有两种：一是电子隐蔽技术，二是物理抑制技术。电子隐蔽技术主要是用干扰、调频等技术来掩饰计算机的工作状态和保护信息；物理抑制技术则是抑制一切有用信息的外泄。物理抑制技术可分为包容法和抑源法。包容法主要是对辐射源进行屏蔽，以阻止电磁波的外泄传播。抑源法就是从线路和元器件入手，从根本上阻止计算机系统向外辐射电磁波，消除产生较强电磁波的根源。4.3.2.3防电磁干扰电磁干扰是指当电子设备辐射出的能量超过一定程度时，就会干扰设备本身以及周围的其他电子设备的现象。计算机与各种电子设备和广播、电视、雷达等无线设备及电子仪器等都会发出电磁干扰信号，计算机要在这样复杂的电磁干扰环境中工作，其可靠性、稳定性和安全性将受到严重影响。因此，实际使用中需要了解和考虑计算机的抗电磁干扰问题，即电磁兼容性问题。4.3.3 介质安全介质安全包括媒体本身的安全及媒体数据的安全。对媒体本身的安全保护指防盗、防毁、防霉等，对媒体数据的安全保护是指防止记录的信息不被非法窃取、篡改、破坏或使用。4.3.3.1介质的分类对介质进行分类，是为了对那些必须保护的记录提供足够的保护，而对那些不重要的记录不提供过保护。计算机系统的记录按其重要性和机密程度，可分为以下四类。(1)一类记录关键性记录这类记录对设备的功能来说是最重要的、不可替换的，是火灾或其他灾害后立即需要，但又不能再复制的那些记录，如关键性程序、主记录、设备分配图表及加密算法和密钥等密级很高的记录。(2)二类记录重要记录这类记录对设备的功能来说很重要，可以在不影响系统最主要功能的情况下进行复制，但比较困难和昂贵，如某些程序、存储及输入、输出数据等均属于此类。(3)三类记录有用记录这类记录的丢失可能引起极大不便，但可以很快复制，已留有拷贝的程序就属于此类。(4)四类记录不重要记录这类记录在系统调试和维护中很少应用。各类记录应加以明显的分类标志，可以在封装上以鲜艳的颜色编码表示，也可以作磁记录标志。4.3.3.2介质的防护要求全部一类记录都应该复制，其复制品应分散存放在安全地方。二类记录也应有类似的复制品和存放办法。记录媒体存放的库房或文件柜应具有以下条件：存放一类、二类记录的保护设备(如金属文件柜)应具有防火、防高温、防水、防震、防电磁场的性能；三类记录应存放在密闭的金属文件箱或柜中。这些保护设备应存放在库房内。暗锁应隔一段时间就改变密码，密码应符合选取原则，密码不要写在纸上。存放机密材料的办公室应设专人值班，注意检查开、关门情况，并察看机密材料是否放入安全箱或柜内，办公室的门、窗是否关好。在工作人员吃饭或休息时，室内应有人看管。4.3.3.3 介质的管理为保证介质的存放安全和使用安全，介质的存放和管理应有相应的制度和措施。(1)存放有用数据的各类记录介质，如纸介质、磁介质、半导体介质和光介质等，应有一定措施防止被盗、被毁和受损，例如将介质放在有专人职守的库房或密码文件柜内。(2)存放重要数据和关键数据的各类记录介质，应采取有效措施，如建立介质库、异地存放等，防止被盗、被毁和发霉变质。(3)系统中有很高使用价值或很高机密程度的重要数据，或者对系统运行和应用来说起关键作用的数据，应采用加密等方法进行保护。(4)应该删除和销毁的有用数据，应有一定措施，防止被非法拷贝，例如由专人负责集中销毁。(5)应该删除和销毁的重要数据和关键数据，应采取有效措施，防止被非法拷贝。(6)重要数据的销毁和处理，要有严格的管理和审批手续，而对于关键数据则应长期保存。4.3.3.4磁介质信息的可靠消除目前，计算机最常用的存储介质还是磁介质，丢失、废弃的磁盘也是导致泄密的一个主要原因。所有磁介质都存在剩磁效应的问题，保存在磁介质中的信息会使磁介质不同程度地永久性磁化，所以磁介质上记载的信息在一定程度上是很难清除的，即使采用格式化等措施后，使用高灵敏度的磁头和放大器也可以将已清除信息(覆盖)的磁盘上的原有信息提取出来。(1)软盘涉密信息的消除由于软盘价格低廉，没有金属的外保护层，因此可以采用物理粉碎的办法进行涉密信息的消除，即在对软盘格式化后，采用专用的粉碎设备，将软盘粉碎到小于一定尺寸的颗粒度，使得窃取者无法还原软盘曾经存储的涉密信息。另外，强磁场消磁法，即让软盘处在强磁场中一段时间，也能够有效地消除其上的残余信息。(2)硬盘涉密信息的消除硬盘从结构上具有一定的特殊性。为了进行高速的存储和读取数据，用来实际存储数据的硬盘的盘片被放置在一个金属的保护壳内，称为温彻斯特硬盘。盘片主要由基底、衬底层、磁性层、覆盖层和润滑层五部分构成。硬盘即使采取低级格式化的方式也不能完全消除曾经存储过的信息，可以采用以下几种方式进行信息的彻底消除。物理粉碎：废弃硬盘的信息消除可以采用物理粉碎的方式，然而由于其结构的特殊性，拆除其金属外壳较为困难，对其盘片的粉碎也很困难。因此，物理粉碎的方法由于缺少专用设备，在实际中难以采用，实际应用中只见于一些大型企业应用大型冲压机将其彻底毁坏。(3)销毁机现在已经出现一种根据硬盘内部DSP作用机理，采用覆盖、重排和打乱的方式，将盘片上面的数据彻底消除干净的小型设备，非常方便可靠。其实，一般用户采用彻底覆盖的方式，就可以将数据清除得相当干净，尤其是覆盖5次以上时，要想将这些数据重新恢复，其成本将是不可估量的。4.3.4 安防设备在监控过程中，保安部门常提出的问题就是：为什么要我整天目不转睛地盯着电视墙呢？说实话，这样盯没什么效果，因为盯了20来分钟就头晕目眩，注意力也不集中了。能不能让视频监控系统在事件发生时实时报警？目前的724 小时视频监控系统是在事件发生后再去查询。这时，事件已经发生，损失已经造成，疑犯已经跑了。能不能只针对需要监控的对象和事件报警呢？目前的移动侦测，不管是什么东西触动了系统，它都报警。能不能只针对图像中的重要区域或分界线报警呢？只要监视有没有人或车越界就行了。这些问题都形象地反映了传统视频监控的局限性：是事后记录，不是预警工具；是被动的，无法提供有效、实时的指导行动的信息。研究表明：即使指派一个非常敬业的人，也无法支撑一个高效的安全系统。仅仅20分钟后，人们对视频监视器的注意力就会下降到一个很低的水平。以前的安防设备，主要是录像监控设备，现在市场上已经有智能监控产品出现，不仅可以监控，还可以设置各种阀值进行报警，并区分不同的物体，是人、物体，还是交通工具等。它可以变事后查询为预警，变被动为主动。具体说来，具有侦测和鉴别指定的对象，如人、车辆、船只、飞机等；明确区分威胁对象和非威胁对象，大大减少误报警；跟踪指定的事件，穿越虚拟警戒线或虚拟警戒区、遗留可疑物体、物体丢失；徘徊/游荡行为、反向流动、超速等威胁行为，自动扑捉并放大跟踪监视对象；多种方式实时发送警讯，如报警控制台、E-mail、PDA、手机、声音等；兼容任何现有的视频监控系统，适用于各种类型的摄像机，任何环境下都有效；基于网络，兼容模拟视频和网络视频，可将模拟视频转化为网络视频。4.3.5 窃取技术防护窃取技术就是秘密的获取信息，包括窃听技术。4.3.5.1 窃听技术窃听是通过各种技术手段来获取目标的声音内容。因为通过听到目标的谈话内容，就可能得到许多重要信息，因此许多国家的情报机关都把窃听作为获取情报的重要手段。与其他情报技术相比，窃听具有简便、可靠、安全的特点，发达国家把最先进的电子技术应用于窃听器的研究，并大量的使用。现在，窃听技术达到了很高的水平，包括电话线路(通信线路)窃听(如电话局内部工作人员窃听、串联和并联型线路发射器窃听、磁场感应窃听、高阻抗放大器窃听、磁带录音转接器、配线室窃听、分线盒窃听、电话插座窃听、无限远谐波窃听等各种窃听方式)、场所窃听(如有线窃听、无线窃听、红外线窃听器、激光窃听器、声音的直接窃听装置等)、无线(移动)通信信号接收并破解，以及无线局域网的安全问题及漏洞攻击，蓝牙无线通信技术问题等。4.3.5.2 窃照技术窃照不仅是反间谍机关用来获取证据的手段，也是获取情报的有效方法。窃照的内容包括秘密文件、设备的图片、场所的景象，以及特殊任务的活动等。由于拍摄内容和环境的不同，在拍照手法和使用设备上都可能有所差别，包括固定位置窃照技术(固定位置普通器材窃照和间谍卫星及高空侦察机)、手持小型窃照装置(如超小型相机、隐蔽式相机和拷贝相机)等。总之，信息之间的对抗无处不在，手段也是无穷无尽。我们要保护好核心数据，但没有必要过度保护，即保护成本与被保护目标的价值要相匹配。4.4 服务器安全4.4.1 服务器硬件安全硬件安全主要指的是服务器的物理硬件的损坏、故障及环境的保护。物理硬件包括网卡，硬盘，电源等，这些在有冗余保障的情况下尽量采用冗余来保障服务器的安全性。例如：网卡可以在服务器上做双网卡绑定，硬盘可以做riad保护，电源一般采用冗余电源等。物理环境指机房的环境安全，避免恶略环境造成的不利因素，如：网线质量问题，突然断电等。4.4.2 服务器系统安全服务器系统安全比较重要，随着IT技术的革新，各种病毒层出不穷，黑客们的花招也越来越多。而处于互联网这个相对开放环境中的服务器遭受的风险比以前更大了。越来越多的服务器攻击、服务器安全漏洞，以及商业间谍隐患时刻威胁着服务器安全。服务器的安全问题越来越受到关注。服务器安全一：从基本做起，及时安装系统补丁不论是Windows还是Linux,任何操作系统都有漏洞，及时的打上补丁避免漏洞被蓄意攻击利用，是服务器安全最重要的保证之一。服务器安全二：安装和设置防火墙现在有许多基于硬件或软件的防火墙，很多安全厂商也都推出了相关的产品。对服务器安全而言，安装防火墙非常必要。防火墙对于非法访问具有很好的预防作用，但是安装了防火墙并不等于服务器安全了。在安装防火墙之后，你需要根据自身的网络环境，对防火墙进行适当的配置以达到最好的防护效果。服务器安全三：安装网络杀毒软件现在网络上的病毒非常猖獗，这就需要在网络服务器上安装网络版的杀毒软件来控制病毒传播，同时，在网络杀毒软件的使用中，必须要定期或及时升级杀毒软件，并且每天自动更新病毒库。服务器安全四：关闭不需要的服务和端口服务器操作系统在安装时，会启动一些不需要的服务，这样会占用系统的资源，而且也会增加系统的安全隐患。对于一段时间内完全不会用到的服务器，可以完全关闭;对于期间要使用的服务器，也应该关闭不需要的服务，如Telnet等。另外，还要关掉没有必要开的TCP端口。服务器安全五：定期对服务器进行备份为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。同时，应该将修改过的重要系统文件存放在不同服务器上，以便出现系统崩溃时(通常是硬盘出错)，可以及时地将系统恢复到正常状态。服务器安全六：账号和密码保护账号和密码保护可以说是服务器系统的第一道防线，目前网上大部分对服务器系统的攻击都是从截获或猜测密码开始。一旦黑客进入了系统，那么前面的防卫措施几乎就失去了作用，所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。服务器安全七：监测系统日志通过运行系统日志程序，系统会记录下所有用户使用系统的情形，包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，你可以知道是否有异常现象。4.4.3 服务器软件安全服务器软件主要针对我们使用的软件介质，严格防止携带病毒插件的软件的安装实施，所有软件的或者应用的安装部署，均要经过领导审核验证安全后才能放到服务器上进行实施。坚决不允许直接通过服务器上网直接下载任何软件。软件或者文件的上传均需要通过前置机或者堡垒机上传至服务器上运行。4.4.4 服务器安全管理一 不得在服务器上使用带有病毒和木马的软件、光盘和可移动存贮设备，使用上述设备 前一定要先做好病毒检测；不得利用服务器从事工作以外的事情，无工作需要不得擅自拆卸服务器零部件，严禁更换服务器配套设备。不得擅自删除、移动、更改服务器数据；不得故意破坏服务器系统；不得擅自修改服务器系统时间。二 服务器系统必须及时升级安装安全补丁，弥补系统漏洞；必须为服务器系统做好病毒 及木马的实时监测，及时升级病毒库。三 管理员对管理员账户与口令应严格保密、定期修改，以保证系统安全，防止对系统的非法入侵。四 任何无关人员不得擅自进入主机房，确属需要进入的须征得服务器管理人员同意，爱 护主机房内的设备和物品，未经允许非管理人员不得擅自操作机房内设备。五 严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房，严禁吸咽。六 服务器主机房内必须配备一定数量的防火（灭火）器材，并有专人负责管理，注意妥 善保管，定期检查，使其处于随时可用的良好状态。七 做好机房的防火.防潮、防尘、防虫工作，坚持“预防为主，防治结合”的原则。八 双休日.节假日，要有专人检查网络运行情况，如发现问题及时解决，并做好记录处理， 解决不了的及时报告。九 管理人每次大假前必须将数据库以及网站所有程序及资料备份交下载到本地进行保存。等等。4.5 数据库安全数据库安全包含两层含义:第一层是指系统运行安全，系统运行安全通常受到的威胁如下，一些网络不法分子通过网络，局域网等途径通过入侵电脑使系统无法正常启动，或超负荷让机子运行大量算法，并关闭cpu风扇，使cpu过热烧坏等破坏性活动; 第二层是指系统信息安全，系统安全通常受到的威胁如下，黑客对数据库入侵，并盗取想要的资料。数据库系统的安全特性主要是针对数据而言的，包括数据独立性、数据安全性、数据完整性、并发控制、故障恢复等几个方面。数据独立性包括物理独立性和逻辑独立性两个方面。物理独立性是指用户的应用程序与存储在磁盘上的数据库中的数据是相互独立的;逻辑独立性是指用户的应用程序与数据库的逻辑结构是相互独立的。操作系统中的对象一般情况下是文件，而数据库支持的应用要求更为精细。通常比较完整的数据库对数据安全性采取以下措施:(1)将数据库中需要保护的部分与其他部分相隔。(2)采用授权规则，如账户、口令和权限控制等访问控制方法。(3)对数据进行加密后存储于数据库。数据完整性包括数据的正确性、有效性和一致性。正确性是指数据的输入值与数据表对应域的类型一样;有效性是指数据库中的理论数值满足现实应用中对该数值段的约束;一致性是指不同用户使用的同一数据应该是一样的。保证数据的完整性，需要防止合法用户使用数据库时向数据库中加入不合语义的数据。如果数据库应用要实现多用户共享数据，就可能在同一时刻多个用户要存取数据，这种事件叫做并发事件。当一个用户取出数据进行修改，在修改存入数据库之前如有其它用户再取此数据，那么读出的数据就是不正确的。这时就需要对这种并发操作施行控制，排除和避免这种错误的发生，保证数据的正确性。由数据库管理系统提供一套方法，可及时发现故障和修复故障，从而防止数据被破坏。数据库系统能尽快恢复数据库系统运行时出现的故障，可能是物理上或是逻辑上的错误。比如对系统的误操作造成的数据错误等。4.5.1 数据库系统安全数据库系统的安全性问题包括两个方面：1）数据库数据的安全：应能确保当数据库数据存储媒体被破坏时，或当因数据库用户误操作以及其他原因造成数据库系统DownTime时，数据库数据信息不至于丢失。2）数据库系统防止非法用户侵入：应尽最大限度的发现并堵住潜在的各种漏洞，防止非法用户利用他们侵入数据库系统，获取信息资源。4.5.1.1数据库数据的安全当今时代，数据资源已经成为信息社会发展的基础，越来越多的人认识到信息系统和数据安全的重要性。但各种各样的原因会造成这些数据的损坏或丢失，比如存储这些数据的设备会因发生故障而引起数据的丢失；人为操作失误，应用程序出错以及病毒发作，黑客攻击等也都可能导致数据的损失，这些数据的丢失将对我们的工作、生活等各个方面产生重要的不良影响。 要防止数据丢失的发生，我们可以通过提高相关人员的操作水平和建立严格的操作制度，购买高质量的设备等来满足数据库的安全需要。但最有效的方法在于制定合理的数据备份制度，实施完善的数据备份策略以及采用完整的数据备份措施。1. 备份数据备份就是保存数据的副本，它是预防灾难系统崩溃丢失的最好保护措施。数据备份最好的介质有磁带，有容错能力的磁盘阵列(RAID)，光学存储设备等。 备份时影响数据安全的因素很多，其中有物理方面、备份权限设置、密码保管、备份软件和数据的恢复操作等。为了提高备份的安全性要采取一定的措施。1.1增进物理安全首先，强化本地与异地的物理安全与制度管理，减少人员与备份设备和介质接触的机会，对操作维护人员的操作过程进行审核。其次，打印并异地保存备份操作的文档，经常整理并归档备份，把备份和操作手册的副本与介质共同异地保存。最后，对介质的废弃处理有明确的规定，如对介质安全低级格式化处理，有条件的可采用物理和化学的方法分解处理后废弃。另外还需要考虑到废弃物的去向与用途等。1.2 实施密码及策略 备份内容的安全可采用密码保护，常用的有备份前的数据加密与备份时对备份集的加密两种。 备份前加密是利用操作系统加密或采用专用的加密软件对数据进行加密，备份操作系统时再备份加密后的文件。这样记录在介质上的就是密文了，只有打开权限的人在浏览中看到的是明文，即使恢复时不恢复权限其他人也是无法看到真正内容的。 备份密码的长度与复杂程度也是关键，密码应该具有一定的复杂性。实践证明密码大于8位是较安全的。1.3 选好并用好备份软件 应对备份软件进行系统兼容性和安全性评估，选择经过证明的，与系统兼容性强，安全性高的备份软件。备份软件应具有病毒过滤功能以防止病毒的扩散。该软件能够实现打开文件备份与数据的备份，能够完成计划备份，实现无人值守功能。1.4 正确分配备份人员的权限 一般备份的工作至少由二人完成，备份操作员和备份日志管理员。另外，为了数据安全也可以加入高层管理人员，这些人员中仅备份操纵员需要是IT人员。 在下面的方案中，备份工作由三人完成:高层管理人员，备份操纵员和备份日志管理员。备份密码分为两部分，由高层管理人员和备份日志管理人员分别保管其中的一部分。高层管理人员负责保存密码的前一部分，并审核数据恢复的日志。备份操作员完成每日的备份工作，完成介质异地存储，查看备份日志，不保存备份密码，与其他人完成备份策略的设定。备份日志管理员审核与管理每日的备份与恢复操作日志，保存后一部分的备份密码。1.5 安装防火墙和入侵检测系统 采用专用的备份网络以减少备份对系统资源的占用，并从物理上隔离外网的访问，可增强备份系统的安全性。安装防火墙，并及时更新防病毒代码和调整防火墙的策略，可有效地防止黑客与病毒对系统的破坏。还有，安装入侵检测系统，不仅可以使工作人员对黑客的攻击及时采取对策，又能有效防止内部员工对资源的滥用，并能再现系统被攻击的历史，为日后的调查取证提供帮助。2. 数据加密密码作为解决信息安全的关键技术具有不可替代的作用。随着计算机网络不断渗透到各个领域，利用密码变换将明文变换成只有合法者才能解读的密文，这是密码的最基本的功能。数据库库系统，担负着存储和管理关键业务数据和信息的任务。每个信息系统都要保证其安全性和保密性。一般而言，数据库系统提供的安全控制的措施能满足一般的数据库应用，但对于一些重要部门或敏感领域的应用，仅有这些是难以完全保证数据的安全性的。因此有必要对数据库中存储的重要数据进行加密处理，以强化数据存储的安全保护。 数据加密是防止数据库中存储的信息被有意或无意地篡改、泄露的有效手段，与传统的通信网络加密技术相比，由于数据保存的时间要长得多，对加密强度的要求也更高。而且，由于数据库中数据是多用户共享，对加密和解密的时间要求也更高，要求不会明显降低系统性能。 为防止密码被破解，采用先进的加密技术显得非常重要了。因此采用DES、密码反馈等先进的加密技术来提高安全性是很有必要的。在对数据库文件密码、数据库字段说明部分加密时要把它们作为一个整体加密。4.5.1.2数据库系统防止非法用户侵入为了保护数据库系统免受威胁的影响，达到其基本的安全要求，应当采取合理的安全对策。这些安全策略要能实现数据库系统安全的完整性、保密性和可用性。采取的安全策略一般为：安全管理、用户管理、存取控制、隐通道分析技术等等。1. 安全管理 绝大多数数据库管理系统采用的是由数据库管理员DBA负责系统的全部管理工作(包括安全管理)。显然，这种管理机制使得DBA的权力过于集中，存在安全隐患。在安全管理方面可以采用三权分立的安全管理体制：系统管理员分为数据库管理员DBA，数据库安全管理员SSO，数据库审计员Auditor三类。DBA负责自主存取控制及系统维护与管理方面的工作，SSO负责强制存取控制，Auditor负责系统的审计。这种管理体制真正做到三权分立，各行其责，相互制约，可靠地保证了数据库的安全性。2. 用户管理 用户需要访问的数据库管理系统、数据库系统、操作系统、文件系统以及网络系统等在用户管理方面非常相似，采用的方法和措施也十分近似。在一个多用户系统中，进而在网络环境下，识别授权用户永远是安全控制机制中最重要的一个环节，也是安全防线的第一个环节。 在这里的用户管理包括标识和鉴别。标识是指用户向系统出示自己的身份证明，最简单的方法是输入用户名和口令字。而鉴别则是系统验证用户的身份证明。身份认证是安全系统最重要而且最困难的工作。标识过程和鉴别过程容易混淆。具体而言，标识过程是将用户的用户名与程序或进程联系起来；而用户的鉴别过程目的在于将用户名和真正的合法授权的用户相关联。3. 总结 数据库已经成为人们日常工作和生活中不可缺少的重要组成部分，同时，数据库的安全问题也逐步的引起了大家的关注。一个完整的数据库安全体系，并不是人们传统意义上通过简单的密码或者口令加密就能过完成的，数据库的安全涉及到了企业的管理层，执行层，技术层等多方面的协调工作，这也就对数据库安全提出了更高的要求。完善的管理制度，稳定的硬件设备和成熟的软件加密，是构成数据库安全的核心内容。数据库安全问题是一个长期的解决过程，需要不断的投入和改善各个环节，本文只是从理论上对数据库安全做了一些简单的介绍，大家可以在本文的基础上多研究相关资料，掌握更多的数据库安全知识。4.5.2 数据库备份安全4.5.2.1数据备份安全策略在我们的现实世界中，已经就存在很多备份策略，如RAID技术，双机热备，集群技术发展的不就是计算机系统的备份和高可用性吗？有很多时候，系统的备份的确就能解决数据库备份的问题，如磁盘介质的损坏，往往从镜相上面做简单的恢复，或简单的切换机器就可以了。但是，上面所说的系统备份策略是从硬件的角度来考虑备份与恢复的问题，这是需要代价的。我们所能选择备份策略的依据是：丢失数据的代价与确保数据不丢失的代价之比。还有的时候，硬件的备份有时根本满足不了现实需要，假如你误删了一个表，但是你又想恢复的时候，数据库的备份就变的重要了。ORACLE本身就提供了强大的备份与恢复策略，这里我们只讨论ORACLE备份策略。备份，就是把数据库复制到转储设备的过程。其中，转储设备是指用于放置数据库拷贝的磁带或磁盘。能够进行什么样的恢复依赖于有什么样的备份。作为 DBA，有责任从以下三个方面维护数据库的可恢复性： 使数据库的失效次数减到最少，从而使数据库保持最大的可用性； 当数据库不可避免地失效后，要使恢复时间减到最少，从而使恢复的效率达到最高； 当数据库失效后，要确保尽量少的数据丢失或根本不丢失，从而使数据具有最大的可恢复性。灾难恢复的最重要的工作是设计充足频率的硬盘备份过程。备份过程应该满足系统要求的可恢复性。例如，如果数据库可有较长的关机时间，则可以每周进行一次冷备份，并归档重做日志，对于24*7的系统，或许我们考虑的只能是热备份。 如果每天都能备份当然会很理想，但要考虑其现实性。企业都在想办法降低维护成本，现实的方案才可能被采用。只要仔细计划，并想办法达到数据库可用性的底线，花少量的钱进行成功的备份与恢复也是可能的。正确的备份策略不仅能保证数据库服务器的24*7的高性能的运行，还能保证备份与恢复的快速性与可靠性。我们将以RMAN的多级增量备份作为一个备份策略的例子来讨论。采用多级备份就是为了减少每天备份所需要的时间，而又保证系统有良好的恢复性。恢复时间与备份时间要有一个权衡。比如只要进行一个数据库的全备份，然后就只备份归档也可以保证能把数据库恢复到最新的状态，但是这样的恢复时间将是不可容忍的。多级备份也正是 为了解决这种问题，以下就是一个多级备份的例子：每个月1日做一个数据库的全备份（包括所有的数据和只读表空间）每周日做一次零级备份（不包含只读表空间）每周3、5做一次一级备份每周1、2、4、6做一次二级备份按照以上备份策略，不仅仅可以保障数据的安全，还对恢复的时间将会有很大的缩小。4.5.2.2数据灾备安全随着信息系统的发展,保持业务数据的持续性是企业用户进行数据存储时必须考虑的重要方面。然而灾难的出现,可能导致生产停顿、用户满意度降低,企业的竞争力会因此大打折扣。这样,在灾