当前位置:文档之家› 基于WEB的应用系统安全方案

基于WEB的应用系统安全方案

基于WEB的应用系统安全方案
基于WEB的应用系统安全方案

第二章系统安全的需求分析

本章从数据安全和业务逻辑安全两个角度对应用系统的安全进行需求分析,主要包括保密性需求、完整性需求、可用性需求三部分;随后对业务逻辑安全需求进行了分析,包括身份认证、访问控制、交易重复提交控制、异步交易处理、交易数据不可否认性、监控与审计等几个方面;最后还分析了系统中一些其它的安全需求。

2.1 数据安全需求

2.1.1 数据保密性需求

数据保密性要求数据只能由授权实体存取和识别,防止非授权泄露。从目前国内应用的安全案例统计数据来看,数据保密性是最易受到攻击的一个方面,通常表现为客户端发生的数据泄密,包括用户的基本信息、账户信息、登录信息等的泄露。在应用系统中,数据保密性需求通常主要体现在以下几个方面:A.客户端与系统交互时输入的各类密码:包括系统登录密码、转账密码、凭证查询密码、凭证交易密码等必须加密传输及存放,这些密码在应用系统中只能以密文的方式存在,其明文形式能且只能由其合法主体能够识别。

以网银系统为例,在网银系统中,通常存有四种密码:系统登录密码、网银转账密码、柜面交易密码及一次性密码。系统登录密码用来认证当前登录者为指定登录名的合法用户,网银用户的登录密码和网银转账密码由用户在柜面开户时指定,用户在首次登录网银系统时,系统必须强制用户修改初始密码,通常要求长度不得少于六位数,且不能是类似于111111、1234567、9876543等的简单数字序列,系统将进行检查。

网银转账密码是指网银系统为巩固用户资金安全,在涉及资金变动的交易中对用户身份进行了再认证,要求用户输入预设的密码,网银交易密码仅针对个人用户使用,企业用户没有网银交易密码。建立多重密码机制,将登录密码与网银转账密码分开管理,有利于加强密码的安全性。由于用户在使用网银时每次都必须先提供登录密码,故登录密码暴露的机会较多,安全性相对较弱;但登录网银的用户并不是每次都会操作账户资金的,所以专门设定网银转账密码可加强账户

的安全性。网银转账密码在网银开户时设定,网银用户在系统中作转账支付、理财、代缴费等资金变动类交易时使用。

柜面交易密码是指用户在银行柜面办理储蓄时,针对储蓄凭证(如卡折、存单等)而设的密码。柜面交易密码常用于POS系统支付时、ATM取款时、凭证柜面取款时,柜面交易密码一个明显的特征是它目前只能是六位的数字,这是由于目前柜面密码输入设备的限制而造成的。柜面交易密码与上述的网银转账密码的区别在于:网银转账密码和系统登录密码都产生于网银系统,储存在网银系统中,仅限网银系统中认证使用;而柜面交易密码产生于银行柜台,可以在外围渠道如ATM、电话银行、自助终端上修改,它保存在银行核心系统中,供外围各个渠道系统共同使用。另外网银转账密码可以有非数字字符组成,而柜面交易密码只能是六位的数字。网银中使用到柜面交易密码的交易包括:网银开户、加挂账户。

一次性密码由用户的智能卡、令牌卡产生,或由动态密码系统产生通过短信方式发送到用户注册的手机上。一次性密码的作用与网银转账密码相同,适用的场合也相同。一次性密码在农商行网银系统中是可选的安全服务,用户需到柜面办理开通手续才能使用,没有开通一次性密码服务的用户必须设定网银交易密码,开通一次性密码服务的用户则无需设定网银交易密码,要求网银系统自动判断并提示用户在某个交易中是要输入网银交易密码还是提示一次性密码。

B.应用系统与其它系统进行数据交换时在特定安全需求下需进行端对端的加解密处理。这里的数据加密主要是为了防止交易数据被银行内部人士截取利用,具体通讯加密方案参照应用系统的特定需求。

2.1.2 数据完整性需求

数据完整性要求防止非授权实体对数据进行非法修改。用户在跟应用系统进行交互时,其输入设备如键盘、鼠标等有可能被木马程序侦听,输入的数据遭到截取修改后被提交到应用系统中,如原本用户准备向A账户转一笔资金在交易数据遭到修改后就被转到B账户中了。同样的威胁还存在于交易数据的传输过程中,如在用户向应用系统提交的网络传输过程中或应用系统跟第三方等其它系统的通讯过程中,另外存储在应用系统数据库中的数据也有可能遭到非法修改,如SQL注入攻击等。

2.1.3 数据可用性需求

数据可用性要求数据对于授权实体是有效、可用的,保证授权实体对数据的合法存取权利。

对数据可用性最典型的攻击就是拒绝式攻击(DoS)和分布式拒绝攻击,两者都是通过大量并发的恶意请求来占用系统资源,致使合法用户无法正常访问目标系统,如SYN Flood攻击等,将会直接导致其他用户无法登录系统。另外,应用登录机器人对用户的密码进行穷举攻击也会严重影响系统的可用性。

2.2 业务逻辑安全需求

业务逻辑安全主要是为了保护应用系统的业务逻辑按照特定的规则和流程被存取及处理。

2.2.1 身份认证需求

身份认证就是确定某个个体身份的过程。系统通过身份认证过程以识别个体的用户身份,确保个体为所宣称的身份。应用系统中身份认证可分为单向身份认证和双向身份认证,单向身份认证是指应用系统对用户进行认证,而双向身份认证则指应用系统和用户进行互相认证,双向身份认证可有效防止“网络钓鱼”等假网站对真正系统的冒充。

应用服务器采用数字证书,向客户端提供身份认证,数字证书要求由权威、独立、公正的第三方机构颁发;系统为客户端提供两种可选身份认证方案,服务器端对客户端进行多重身份认证,要求充分考虑到客户端安全问题。将客户端用户身份认证与账户身份认证分开进行,在用户登录系统时,采用单点用户身份认证,在用户提交更新类、管理类交易请求时,再次对用户的操作进行认证或对用户身份进行二次认证,以确保用户信息安全。

2.2.2 访问控制需求

访问控制规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源访问的请求加以控制。访问控制是应用系统中的核心安全策略,它的主要任务是保证应用系统资源不被非法访问。主体、客体和主体对客体操作的权限构成访问控制机制的三要素。访问控制策略可以划分为自主访问控制、强制访问控制和基于角色的访问控制三种。

2.2.3交易重复提交控制需求

交易重复提交就是同一个交易被多次提交给应用系统。查询类的交易被重复提交将会无故占用更多的系统资源,而管理类或金融类的交易被重复提交后,后果则会严重的多,譬如一笔转账交易被提交两次则将导致用户的账户被转出两笔相同额的资金,显然用户只想转出一笔。交易被重复提交可能是无意的,也有可能是故意的:

A.用户的误操作。在B/S结构中,从客户端来看,服务器端对客户端的响应总有一定的延迟,这在某些交易处理上体现的更为明显,特别是那些涉及多个系统交互、远程访问、数据库全表扫描、页面数据签名等交易,这种延迟通常都会在5至7秒以上。这时用户有可能在页面已提交的情况下,再次点击了提交按钮,这时将会造成交易被重复提交。

B.被提交的交易数据有可能被拿来作重放攻击。

应用系统必须对管理类和金融类交易提交的次数进行控制,这种控制即要有效的杜绝用户的误操作,还不能影响用户正常情况下对某个交易的多次提交。比如说:当某个用户在10秒内提交了两笔相同的转账业务,则系统必须对此进行控制;另一方面,当用户在第一笔转账业务完成后,再作另一笔数据相同的转账时,则系统不能对此进行误控制。这里判断的依据就是交易重复提交的控制因子a,当交易提交的间隔小于a时,系统认为这是重复提交,提交间隔大于a的则不作处理,控制因子的大小由应用系统业务人员决定,系统应可对其进行配置化管理。

2.2.4 异步交易处理需求

所谓异步交易就是指那些录入与提交不是同时完成的交易,这里的同时是指客户端在录入交易数据与提交交易的过程中,应用系统服务器端并没有对录入的数据进行持久化保存,而异步交易在系统处理过程中,录入与提交时间上发生在两个相分离的阶段,在两阶段之间,应用系统对录入的数据进行了持久化保存。

由于异步交易是被系统分两阶段受理的,这就涉及到以下三个方面的问题:A.录入与提交的关系管理。

B.如何保证提交的数据就是用户当初录入的数据。

C.如何记录交易在两阶段的日志状态。

录入与提交的关系定义不当将会导致交易录入与提交被同时完成而违反了业务处理流程,录入的数据被系统保存后有可能遭到非法篡改,非异步交易执行后的日志状态不会被更新而异步交易在提交后日志状态将会被更新。

应用系统中需要定义成异步的交易通常有以下两类:

?需要授权的交易。出于业务管理和业务安全方面的考虑,大部分管理类

和金融类的交易都需要经过一定的授权流程后方能被提交。

?部分定时交易,如预约转账等。预约一笔在周三转账的预约转账有可能

是周一被录入的,用户在录入后,预约转账的数据将被网银系统保存直

到周三这笔转账才会真正发生。

应用系统必须定义简单、清晰、易维护的录入与提交关系模型,保证被保存的录入数据不会被非法篡改,同时要求异步交易的日志状态是明确的,不应出现录入与提交相矛盾的日志状态。

2.2.5 交易数据不可否认性需求

交易数据不可否认性是指应用系统的客户不能否认其所签名的数据,客户对交易数据的签名是通过应用系统使用客户的数字证书来完成的。数字证书的应用为交易数据不可否认性提供了技术支持,而电子签名法的颁布为交易数据不可否认性提供了法律基础。

在应用系统中通常要求对所有管理类与金融类的交易进行数字签名,以防客户事后对交易或交易数据的抵赖。应用系统需同时保存客户录入的原始数据和签名后的数据,保存期限依业务部门的具体要求而定。考虑到系统性能和对用户的响应问题,应用系统可只签与交易有关的关键数据,支付类的交易只对付款人账号、付款金额、收款人姓名、收款人账号、收款人开户行五个字段进行数字签名就可以了。

2.2.6 监控与审计需求

安全级别要求高的应用系统应提供对系统进行实时监控的功能,监控的内容包括系统当前登录的用户、用户类型、用户正在访问的交易、用户登录的IP等。对金融类、管理类的交易以及应用系统登录交易需要完整地记录用户的访问过程,记录的关键元素包括:用户登录名、登录IP、交易日期及时间、交易名称、交易相关数据等,对有授权流程的交易要求完整记录授权的经过,授权记录与交

易记录分开存放。

2.3 其它安全需求

2.3.1 登录控制需求

登录通常是应用系统的关键交易,系统通过登录交易对用户身份进行认证。针对不同角色的用户指定不同的登录策略:

?最小权限集用户,可使用用户登录名+静态登录密码+图形识别码方式登

录。低安全性。

?普通权限集用户,可使用用户登录名+动态登录密码+数图形识别码方式

登录。

?高权限集用户,可使用用户登录名+数字证书+静态密码+数图形识别码

方式登录。

?所有权限集用户,可使用用户登录名+数字证书+动态密码+数图形识别

码方式登录。

应用系统可提供客户端加密控件对用户输入的密码域进行加密处理后再提交。

连续登录多次失败的用户,其IP将被应用系统锁定,24小时后系统将自动对锁定的IP进行解锁。这里登录失败的次数和IP锁定时长根据业务需求说明应由配置文件进行设定。

对于首次登录系统的用户,系统将强制定位到修改密码的页面,要求用户修改初始密码重新登录方可使用系统。对于密码类型和长度,系统将规则检查。

对于成功登录的用户,应用系统自动清除其连续登录失败的次数,同时初始化用户的相关数据并同时对登录数据进行记录,以备审计。

2.3.2 会话控制需求

通过应用服务器自身的会话管理或应用程序的会话管理都可以控制会话的时长设定,设置过久的会话将给客户端带来安全风险,而设置过短则影响用户的正常使用。该机制使在应用层无状态的HTTP/HTTPS协议,能够支持需要状态记录的互联网应用,实现用户登录后在新的状态下从事交易、超时断路等功能。

2.3.3 被访问对象控制需求

应用系统对用户的关键资源或信息,提供操作权限设置支持,权限分为:查询和更新两类。权限为查询的资源或信息只能对其进行查询操作,不能进行更新。资源权限由开户时指定,为加强安全性,权限分配可通过落地处理开通。

2.3.4 交易提醒需求

交易提醒是指将客户的账号与客户手机号、电子邮件等关联起来,当客户信息

发生变动时,向客户的手机发送一条短信或电话通知或发送一封电子邮件,及时准

确的告知客户。另通过通知提醒功能,系统应定期向用户发送统计、明细、确认等

信息。

第三章应用系统安全的总体解决方案

3.1 安全技术

安全技术是安全子系统的理论基础,安全子系统中主要涉及的安全技术包括:密码技术、PKI技术体系、一次性口令技术等,另外考虑到目前实际应用中,大部分WEB应用系统是基于J2EE平台的,J2EE平台本身也对系统安全提供了较多内置的支持,如JAAS技术等,所以本章中对于J2EE平台的安全技术特性也有少量的讨论。

3.1.1 密码技术

密码技术是保护信息系统安全的基础技术之一,密码技术可以保证数据的保密性和完整性,同时它还具有身份认证和数字签名的功能。从密码体制方面来说,密码技术可分为对称密钥密码技术和非对称密钥密码技术两大类。在应用系统中常用的密码技术主要有以下几种:

A.加密解密技术

加密(Encryption)就是指通过特定的加密算法对数据进行变换,将明文(Plaintext)转换成密文(Cryptograph);解密(Decryption)是加密的逆过程,解密的过程就是将密文还原为明文。设明文为P,密文为C,E为加密算法,D 为解密算法,则加密解密的过程可以记为:

)()(C D P P E C == (3.1)

上述的加密与解密过程没有使用到密钥,通常称之为无密钥密码体

制。无密钥密码主要依靠加密算法提供保密性,在应用系统中这种密码

很少用到,主要使用还是有密钥的密码体制,在有密钥的密码体制中,

密文的保密性依赖于密钥而不依赖于算法,算法可以公开。其中,只有

一个密钥K 的密码体制称为单钥体制(One-key System ),又称对称

加密体制(Symmetrical Encryption );有加密密钥K E 和解密密钥K D

两个密钥的密码体制称为双钥体制(Two-key System ),又称非对称加

密体制(Dissymmetrical Encryption ),有时也叫公开密钥算法(Publi

c Key Algorithm)。应用系统中经常使用最广泛的对称加密算法是DES

算法 (Data Encryption Standard),非对称加密算法是RSA 算法(Recei

ve ,Shamir ,Adelman )。单钥体制的加密解密过程可以记为:

),(),(K C D P K P E C == (3.2)

上式用图示可以表示为:

图5 单钥体制加密解密过程图

双钥体制的加密解密过程可以记为:

),()K ,(E D K C D P P E C == (3.3)

上式用图示可以表示为: 明文

密文 明文

加密 密钥K 解密 密钥K

图6 双钥体制加密解密过程图

还有一种应用系统中经常用到的加密技术是数据摘要,数据摘要就

是应用单向散列函数算法,将输入的任意长度明文变换成固定长度的密

文,而将此密文再转换成明文在数学上来说是困难的。应用系统中应用

最广泛的数据摘要算法主要有MD5和SHA 两种,MD5输出压缩值为

128bits ,SHA 输出压缩值为160bits 。设Hash 表示单向散列函数,则数

据摘要的过程可以记为:

)(P Hash C (3.4)

上式用图示可以表示为:

图7 数据摘要的过程图

B .数字签名。

数字签名是指通过密码算法对原始数据信息进行加密处理后,生成一段原始数据信息的信息标识,这段信息标识称为原始数据信息的数字签名。通常数字签名和原始数据信息是放在一起发送的,这样便于信息的接受者对其进行验证,数字签名是对现实中手写签名和印章的模拟,数字签名只有信息发送方一人能产生,这种唯一性对应了原始数据信息的来源。数字签名具有验证数据完整性和信息来源不可否认性的功能,这正是PKI 体系提供的核心功能。

在应用系统中,较小的数据可以直接签名,而较大的数据或文件通常先对其密文

明文

Hash 明文

密文 明文

加密 密钥K E

解密 密钥K D

作数据摘要后再对数据摘要作数字签名。下式表达了对一段原始数据信息进行签名的过程:原始数据信息OriginalMsg 先是被单向散列函数Hash 作数据摘要生成摘要信息DigestMsg ,然后应用非对称加密算法DissymmetricalEncrypt 及其私钥Key private 对数据摘要进行签名(私钥仅有发送方持有,公钥需散发给接收方),最后将签名结果DigitalSignature 与原始数据信息一起发送给接受方:

)

,()(private Key DigestMsg t icalEncryp Dissymmetr nature DigitalSig g OriginalMs Hash DigestMsg == (3.4)

上式用图示可以表示为:

图8 数字签名的过程图

信息接受方在接受到原始数据信息OriginalMsg 与其数字签名OriginalMsg

Key privavte DigitalSignature

Hash

DissymmetricalEncryt

Digest

OriginalMsg + DigitalSignature

DigitalSignature 后,可以对数字签名进行验证。首先分离出两者,然后对原始数据信息应用同样的单向散列函数Hash 对其作数据摘要得到Digest2,再对接收到的数字签名应用非对称加密算法DissymmetricalEncrypt 及其公钥Key public 对其进行解密,得到Digest1。比较Digest1与Digest2,如果两者一样则证明:

1.信息OriginalMsg 及其数字签名DigitalSignature 是真实的,确实来自于私钥Key private 的持有方。

2.信息OriginalMsg 及其数字签名DigitalSignature 在发送过程中是完整的,未曾遭到篡改。

3.私钥Key private 的持有方发送了信息OriginalMsg 及其数字签名

DigitalSignature 这件事是不可否认的。

上述数字签名的验证过程可以表达为:

?

12),(1)

(2DigestMsg DigestMsg Key nature DigitalSig t icalEncryp Dissymmetr DigestMsg g OriginalMs Hash DigestMsg public ====

(3.5)

用图形表示如下:

Key public OriginalMsg DigitalSignature

Hash DissymmetricalEncryt

Digest2 OriginalMsg + DigitalSignature

Digest2

两者相同?

图9 数字签名验证的过程图

C.报文识别码

应用系统跟其它系统通讯时大都是通过发送接收报文方式进行的,除比较常用的ISO8583,sop报文等,还有比较多的就是自定义的报文格式,自定义报文需要解决报文的保密性和完整性问题,报文的完整性可以通过加密算法生成原始报文的报文标识来识别,这个加密后的报文标识称为原始报文的识别码,也叫报文校验码MAC(Message Authentication Code)。而报文的保密性可以通过对整个报文及其识别码进行加密处理来完成,实际应用中识别码通常可以通过单向散列函数对原始报文作数据摘要得到,然后对原始报文和数据摘要作对称加密,这样既保证了报文的完整性,同时也保证了报文的保密性,这里对称加密算法的密钥分发是主要问题。

D.数字信封

数字信封DE(Digital Envelope)是指信息发送方在通讯双发首次通讯时,使用对方的公钥对双方的通讯密钥SK(Symmentric Key)进行加密,形成一个数字信封,然后发给接收方,接收方收到数字信封后进行拆封操作,用自己的私钥对信封进行解密得到通讯密钥,然后双方可以用通讯密钥对自己发送的信息进行对称加密[2]。这样既解决了对称加密的密钥分配问题又提高了双方通讯加密的效率,毕竟非对称加密算法比对称加密算法效率要低下。

3.1.2 PKI体系

PKI体系是由政策机构、认证机构和注册机构组成的,通过使用单向散列函数、非对称加密体制等加密解密技术,安全套接字协议SSL,LDAP协议(Lightweight Directory Access Protocol),X.509证书标准等技术,实现数据加密、身份认证和数字签名等功能,从而保证数据保密性、完整性、真实性和不可否认性的一种技术体系。PKI体系很好的解决了网上银行的大部分安全需求,对网上银行的数据安全和业务逻辑安全提供了有力的支持。CA是PKI体系的主要实体,数字证书是CA的主要产品,CA通过数字证书的应用来实现PKI体系所提供的功能。

1.PKI的组成

PKI由政策批准机构PAA、政策CA机构PCA、认证机构CA和注册机构

RA 组成。PAA 创建整个PKI 系统的方针、政策,批准本PAA 下属的PCA 的政策,为下属PCA 签发公钥证书,建立整个PKI 体系的安全策略,并具有监控个PCA 行为的责任[]。PCA 制定自身的具体政策,包括密钥的产生、密钥的长度、证书的有效期规定及CRL 的处理等,同时PCA 为其下属CA 签发公钥证书。CA 按照上级PCA 制定的政策,为具体用户签发、生成并发布数字证书,负责CRL 的管理与维护。RA 负责接收用户的证书申请,验证用户的身份,向CA 提交证书申请,验证接收CA 签发的数字证书,并将证书发放给申请者。PKI 的组成图示如下:

图10 PKI 的体系结构图

2.PKI 的操作功能

证书的生成及分发。在用户向RA 提交数字证书申请后,RA 负责对申请者的身份进行认证,认证通过后RA 将向CA 转发证书申请。CA 负责生成用户的数字证书,数字证书的公私密钥对可以由用户产生,也可以由CA 产生。用户自己产生的公钥需提交给CA ,CA 对公钥强度验证后将根据用户提交的公钥产生用户的数字证书;如果是CA 产生用户的公私密钥对,则CA 不保存用户的私钥,私钥需通过安全的方式发放给用户。CA 生成证书后将其发布到相应的目录服务PCA1 RA1 PAA

PCAn

RAn CAn RAn

RA1 CAn

CA1 CA1

器上。

证书的获取。在PKI体系中,要获取某个用户的数字证书,可以RA处获得,也可以查询CA的证书目录服务器,另外用户也可以将自己的证书发送给别人。

证书的废止。数字证书的持证人如果发生证书丢失、密钥泄漏时,持证人可以向CA或RA提交证书废止请求,CA将会把用户的证书加入到废止列表中。

废止列表CRL的获取与查询。由于CRL通常都比较大,在线查询效率比较低下,所以现在通常在RA端建立一个CRL的镜像,定期将CA端的CRL同步到本地,同步又分全部CRL同步和增量同步两种,全部CRL同步的好处能保证CRL数据一致,缺点是同步的数据量庞大,通常也没有必要进行全局同步。增量同步就是每次只同步CA端新增的CRL部分,增量同步的数据量较小,比较符合现实。CRL的查询可以通过LDAP等访问。

证书恢复。证书恢复功能为客户在证书存储介质损坏或遗忘口令等情况下,提供原证书的恢复,申请者向RA或CA提出证书恢复请求,CA将会为用户生成新的数字证书,原来的证书将作废,同时还会将其加入CRL中。

证书更新。证书更新用于解决客户证书到期后的续费问题,也有可能是客户的证书并未到达有效期而是CA或RA的本身的数字证书到达了有效期。这时用户需更新证书,CA将会为用户签发新的数字证书。

3.PKI的服务功能

PKI提供的服务功能包括:数据保密性服务、数据完整性服务、数据真实性服务、数据不可否认性服务和身份认证服务。这些服务都是通过数字证书的应用来实现的,在集成这些服务时,还需要应用系统作部分支持才能真正实现这些服务。

3.1.3 一次性口令技术

所谓一次性口令(OTP,One Time Password)是指针对传统可重复使用的口令而言的。一次性口令只能使用一次,不可重复使用。可重用的口令易受种种攻击:

截取攻击:当口令以明文方式在网络上传递时,容易被攻击者截取获得,一旦口令泄漏则可能被未授权者非法使用。

重放攻击:当口令以密文方式在网络上传递时,虽然攻击者无法获取口令的

明文,但攻击者可以截取口令密文后对系统实施重放攻击。

穷举攻击:攻击者还有可能针对用户的登录名,根据系统对口令的限定规则,尝试规则范围内各个可能的口令,对用户口令实施穷举攻击。

窥探:用户在输入可重复使用的口令时必然要借助某种输入设备,如键盘、鼠标、手写笔等,这时容易被他人或其它录影设备窥探到输入内容,也有可能被木马程序等记录了击键事件而分析出口令。

社交工程:攻击者通过利用人们心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱通过电子邮件、电话访谈、钓鱼网站等骗取用户的口令。

垃圾搜索:攻击者伪装成垃圾工人收集用户的垃圾文档用以分析用户的口令等。

一次口令由于每次使用各不相同的口令,所以并不存在上述的问题。一次口令并不要求用户记住多个口令,所以也不会增加用户和系统的负担。一次性口令的原理:在客户端和服务器端各存在一个相同的算法、一个与用户有关的种子、一个不确定的因子,每次系统对用户进行认证时,用户将不确定的因子追加到种子后,然后用算法对其加密算出一个结果,这个结果作为一个一次性口令提交给服务器,服务器端用相同的算法对相同种子和不确定因子进行运算,将得出的结果与用户提交的结果进行比较,相同则说明用户输入的口令是正确的。

一次性口令技术要求服务器端具有与用户端相同的算法、种子及不确定因子。这里关键是如何保证客户端、服务器端具有相同的不确定因子。两端不确定因子的选择方式主要有以下三种:

1.挑战应答方式。每次用户请求登录系统时,服务器端将不确定因子发送给用户,称为一次挑战,而用户提交的口令是根据发送来的不确定因子,和用户端保存的种子,由用户端保存的算法计算出来的,所以每次计算出的口令不相同。这里的算法可以采用单向散列函数算法,也可以采用对称加密算法。不确定因子采用挑战应答方式的原理可以图示如下:

医疗信息系统安全实施方案

医疗信息系统安全实施方案 随着数字化医院建设的不断发展和深入,医院的数字化应用越来越多,目前我院已实现了区域HIS、LIS、PACS等系统的应用,主要业务实现了电子化,处方、医嘱、病历、慢病等已实现了无纸化。医院信息系统在医院运行中占据了非常重要的地位,但随之而来系统安全管理的重要性也越来越突出,系统的稳定性和安全性关系到医院各项业务能否顺利开展,关系到患者就诊信息的安全性及连续性,为保障信息系统的安全和运行,特制订以下方案: 一、成立领导小组 医院主任为组长,各副主任为副组长,各科室科长为成员,医院办公室为具体执行科室。 二、建立健全规章制度 建立各项规章制度,如医疗服务档案管理制度、信息管理制度、网络系统管理制度、计算机使用和管理制度等,据统计90%以上的管理和安全问题来自终端,提高各部门人员的安全意识非常重要,我院由分管主任负责组织协调有关人员,加强培训与安全教育,强化安全意识和法制观念,提升职业道德,掌握安全技术,确保这些措施落实到位,责任到人。 三、保证网络的安全 我院采用的是区域HIS、LIS、PACS系统,服务器设在市卫生局,故服务器的安全问题不用我们考虑,目前需要我们解决的是医院网络的安全问题,为了保障单位内部信息安全,规范职工上网行为、降低泄密风险、防止病毒木马等网络风险,我院将统一安装上网行为管理器及管理软件,通过此方法可实现以下主要功能: 通过制定统一的安全策略,限制了移动电脑和移动存储设备随意接入内网;杜绝内网电脑通过拨号、ADSL、双网卡等方式非法外联;保证了医院内网与外界的隔离度,从而大大提高了医院内网的安全性。 通过网络流量控制模块,实时地临控网络终端流量,对异常网络行为,如大流量下载、并发连接数大、网络垃圾广播等行为可以进行自动预警、阻断和事件源定位,极大减少网络拥堵事件,大大提高了网络利用率。

基于WEB的应用系统安全方案

第二章系统安全的需求分析 本章从数据安全和业务逻辑安全两个角度对应用系统的安全进行需求分析,主要包括保密性需求、完整性需求、可用性需求三部分;随后对业务逻辑安全需求进行了分析,包括身份认证、访问控制、交易重复提交控制、异步交易处理、交易数据不可否认性、监控与审计等几个方面;最后还分析了系统中一些其它的安全需求。 2.1 数据安全需求 2.1.1 数据保密性需求 数据保密性要求数据只能由授权实体存取和识别,防止非授权泄露。从目前国内应用的安全案例统计数据来看,数据保密性是最易受到攻击的一个方面,通常表现为客户端发生的数据泄密,包括用户的基本信息、账户信息、登录信息等的泄露。在应用系统中,数据保密性需求通常主要体现在以下几个方面:A.客户端与系统交互时输入的各类密码:包括系统登录密码、转账密码、凭证查询密码、凭证交易密码等必须加密传输及存放,这些密码在应用系统中只能以密文的方式存在,其明文形式能且只能由其合法主体能够识别。 以网银系统为例,在网银系统中,通常存有四种密码:系统登录密码、网银转账密码、柜面交易密码及一次性密码。系统登录密码用来认证当前登录者为指定登录名的合法用户,网银用户的登录密码和网银转账密码由用户在柜面开户时指定,用户在首次登录网银系统时,系统必须强制用户修改初始密码,通常要求长度不得少于六位数,且不能是类似于111111、1234567、9876543等的简单数字序列,系统将进行检查。 网银转账密码是指网银系统为巩固用户资金安全,在涉及资金变动的交易中对用户身份进行了再认证,要求用户输入预设的密码,网银交易密码仅针对个人用户使用,企业用户没有网银交易密码。建立多重密码机制,将登录密码与网银转账密码分开管理,有利于加强密码的安全性。由于用户在使用网银时每次都必须先提供登录密码,故登录密码暴露的机会较多,安全性相对较弱;但登录网银的用户并不是每次都会操作账户资金的,所以专门设定网银转账密码可加强账户

Web应用安全测试方案

1 Web 安全测试技术方案 1.1测试的目标 更好的发现当前系统存在的可能的安全隐患,避免发生危害性的安全事件 更好的为今后系统建设提供指导和有价值的意见及建议 1.2测试的范围 本期测试服务范围包含如下各个系统: Web 系统: 1.3测试的内容 1.3.1WEB 应用 针对网站及WEB 系统的安全测试,我们将进行以下方面的测试: Web 服务器安全漏洞 Web 服务器错误配置 SQL 注入 RSS (跨站脚本) CRLF 注入 目录遍历 文件包含 输入验证 认证逻辑错误 GoogleHacAing 密码保护区域猜测字典攻击特定的错误页面检测脆弱权限的目录危险的HTTP

方法(如:PUT、DELETE) 1.4测试的流程 方案制定部分:获取到客户的书面授权许可后,才进行安全测试的实施。并且将实施范围、方法、时间、人员等具体的方案与客户进行交流,并得到客户的认同。 在测试实施之前,让客户对安全测试过程和风险知晓,使随后的正式测试流程都在客户的控制下。 信息收集部分:这包括:操作系统类型指纹收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。采用商业和开源的检测工具(AWVS 、burpsuite 、Nmap 等)进行收集。 测试实施部分:在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行:操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试(如:Web 应用),此阶段如果成功的话,可能获得普通权限。 安全测试人员可能用到的测试手段有:扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等,用于测试人员顺利完成工程。在获取到普通权限后,尝试由普

应用系统安全方案设计与实现

应用系统安全方案设计与实现 【摘要】:随着网络的普及,网络安全问题日益突出,并已成为制约网络发展的重要因素。本文以下内容将对应用系统安全方案的设计与实现进行研究和探讨,以供参考。 【关键词】:应用系统;安全;方案设计;实现 1、前言 21 世纪生活,全球向网络化发展,网络正以惊人的速度应用于各行各业。尤其是Internet,已经深入到了我们生活、工作的方方面面。随着网络的普及,网络安全问题日益突出,并已成为制约网络发展的重要因素。安全策略是指一个系统工作时必须遵守的安全规则的精确规范。它不是一个统一的标准,而是在对特定的系统进行彻底分析的基础上制定的切实的策略。安全策略的内容应该包括系统安全隐患的分析以及应对的措施。本文以下内容将对应用系统安全方案的设计与实现进行研究和探讨,以供参考。 2、网络安全方案总体设计原则 网络安全方案总体设计原则为:第一,综合性、整体性原则。应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括行政法律手段、各种管理制度以及专业措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。第二,需求、风险、代价平衡的原则。对任意网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际的研究,并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施。第三,一致性原则。一致性原则主要是指网络安全问题应与整个网络的工作周期同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。第四,易操作性原则。安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。第五,分布实施原则。由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。第六,多重保护原则。任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它保护仍可保护信息的安全。第七,可评价性原则。如何预先评价一个安全设计并验证其网络的安全性,需要通过国家有关网络信息安全测评认证机构的评估来实现。 3、应用系统安全体系结构 具体的安全控制系统由以下几个方面组成:物理安全、网络平台安全、系统安全、信息和数据安全、应用安全和安全管理。第一,物理安全。可采用多种手

信息系统安全方案

系统安全 由于这套系统涉及到企业至关重要的信息,其在保密性、准确性及防篡改等安全方面都有较高的要求,因此,本系统着重设计了一套严密的安全措施。 一、一般措施 1、实体安全措施 就是要采取一些保护计算机设备、设施(含网络、通信设备)以及其他媒体免地震、水灾、火灾、有害气体和其他环境事故(如电磁污染)破坏的措施、过程。这是整个管理信息系统安全运行的基本要求。 尤其是机房的安全措施,计算机机房建设应遵循国标GB2887 -89《计算机场地技术条例》和GB9361 -88《计算机场地安全要求》,满足防火、防磁、防水、防盗、防电击、防虫害等要求,配备相应的设备。 2、运行安全措施 为保障整个系统功能的安全实现,提供一套安全措施,来保护信息处理过程的安全,其中包括:风险分析、审计跟踪,备份恢复、应急等。 制定必要的、具有良好可操作性的规章制度,去进行制约,是非常必要和重要的,而且是非常紧迫的。 形成一支高长自觉、遵纪守法的技术人员队伍,是计算机网络安全工作的又一重要环节。要在思想品质、职业道德、经营、管理、规章制度、教育培训等方面,做大量艰苦细致的工作,强化计算机系统的安全管理,加强人员教育,来严格有效地制约用户对计算机的非法访问,防范法用户的侵入。只有严格的管理,才能把各种危害遏止最低限度。 3、信息安全措施 数据是信息的基础,是企业的宝贵财富。信息管理的任务和目的是通过对数据采集、录入、存储、加工,传递等数据流动的各个环节进行精心组织和严格控制,确保数据的准确性、完整性、及时性、安全性、适用性和共亨性。 制定良好的信息安全规章制度,是最有效的技术手段。而且不仅仅是数据,还应把技术资料、业务应用数据和应用软件包括进去。 二、防病毒措施 计算机病毒泛滥,速度之快,蔓延之广,贻害社会之大,为有史以来任何一种公害所无可比

(完整版)信息系统安全规划方案

信构企业信用信息管理系统安全规 划建议书

目录 1.总论 (3) 1.1. 项目背景 (3) 1.2. 项目目标 (3) 1.3. 依据及原则 (4) 1.3.1. 原则 (4) 1.3.2. 依据 (5) 1.4. 项目范围 (7) 2.总体需求 (7) 3.项目建议 (8) 3.1. 信构企业信用信息管理系统安全现状评估与分析 (8) 3.1.1. 评估目的 (8) 3.1.2. 评估内容及方法 (9) 3.1.3. 实施过程 (14) 3.2. 信构企业信用信息管理系统安全建设规划方案设计 (23) 3.2.1. 设计目标 (23) 3.2.2. 主要工作 (24) 3.2.3. 所需资源 (27) 3.2.4. 阶段成果 (27) 4.附录 (27) 4.1. 项目实施内容列表及报价清单 (27)

1.总论 1.1.项目背景 ******************(以下简称“********”)隶属***********,主要工作职责是根据…………………………………………………………的授权,负责………………;负责…………………………等工作。 ********作为*********部门,在印前,需要对………………………………。在整个…………业务流程中信构企业信用信息管理系统起了关键的作用。 1.2.项目目标 以国家信息安全等级保护相关文件及ISO27001/GBT22080为指导,结合********信构企业信用信息管理系统安全现状及未来发展趋势,建立一套完善的安全防护体系。通过体系化、标准化的信息安全风险评估,积极采取各种安全管理和安全技术防护措施,落实信息安全等级保护相关要求,提高信构企业信用信息管理系统安全防护能力。 从技术与管理上提高********网络与信构企业信用信息管理系统安全防护水平,防止信息网络瘫痪,防止应用系统破坏,防止业务数据丢失,防止企业信息泄密,防止终端病毒感染,防止有害信息传播,防止恶意渗透攻击,确保信构企业信用信息管理系统安全稳定运行,确保业务数据安全。

信息系统安全设计方案

XX公司 ××项目 安全设计方案 (模板) <备注:模板中斜体部分用于指导用户填写内容,在采用该模板完成交付物时,需要删除所有斜体内容> XX公司 二〇一X年X月

批准:审核:校核:编写:

版本记录

目录 1编写依据 0 2安全需求说明 0 2.1风险分析 0 2.2数据安全需求 0 2.3运行安全需求 0 3系统结构及部署 0 3.1系统拓扑图 0 3.2负载均衡设计 (2) 3.3网络存储设计 (2) 3.4冗余设计 (2) 3.5灾难备份设计 (3) 4系统安全设计 (3) 4.1网络安全设计 (3) 4.1.1访问控制设计 (3) 4.1.2拒绝服务攻击防护设计............................ 错误!未定义书签。 4.1.3嗅探(sniffer)防护设计 (4) 4.2主机安全设计 (5) 4.2.1操作系统 (5) 4.2.2数据库 (6) 4.2.3中间件 (8) 4.3应用安全设计 (10)

4.3.1身份鉴别防护设计 (10) 4.3.2访问控制防护设计 (11) 4.3.3自身安全防护设计 (12) 4.3.4应用审计设计 (12) 4.3.5通信完整性防护设计 (13) 4.3.6通信保密性防护设计 (13) 4.3.7防抵赖设计 (14) 4.3.8系统交互安全设计 (14) 4.4数据及备份安全设计 (15) 4.4.1数据的保密性设计 (15) 4.4.2数据的完整性设计 (15) 4.4.3数据的可用性设计 (16) 4.4.4数据的不可否认性设计 (16) 4.4.5备份和恢复设计 (17) 4.5管理安全设计..................................................... 错误!未定义书签。 4.5.1介质管理.................................................... 错误!未定义书签。 4.5.2备份恢复管理............................................ 错误!未定义书签。 4.5.3安全事件处置............................................ 错误!未定义书签。 4.5.4应急预案管理............................................ 错误!未定义书签。

信息系统安全整体解决设计方案

《安全系统整体解决方案设计》

第一章企业网络的现状描述 (3) 1.1企业网络的现状描述 (3) 第二章企业网络的漏洞分析 (4) 2.1物理安全 (4) 2.2主机安全 (4) 2.3外部安全 (4) 2.4内部安全 (5) 2.5内部网络之间、内外网络之间的连接安全 (5) 第三章企业网络安全整体解决方案设计 (5) 3.1企业网络的设计目标 (5) 3.2企业网络的设计原则 (6) 3.3物理安全解决方案 (6) 3.4主机安全解决方案 (7) 3.5网络安全解决方案 (7) 第四章方案的验证及调试 (8) 第五章总结 (9) 参考资料 ...................................................... 错误!未定义书签。

企业网络整体解决方案设计 第一章企业网络的现状描述 1.1企业网络的现状描述 网络拓扑图 以Internet发展为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,以往一直保持独立的大型机和中-高端开放式系统(Unix和NT)部分迅速融合成为一个异构企业部分。 以往安全系统的设计是采用被动防护模式,针对系统出现的各种情况采取相应的防护措施,当新的应用系统被采纳以后、或者发现了新的系统漏洞,使系统在实际运行中遭受攻击,系统管理员再根据情况采取相应的补救措施。这种以应用处理为核心的安全防护方案使系统管理人员忙于处理不同系统产生的各种故障。人力资源浪费很大,而且往往是在系统破坏造

成以后才进行处理,防护效果不理想,也很难对网络的整体防护做出规划和评估。 安全的漏洞往往存在于系统中最薄弱的环节,邮件系统、网关无一不直接威胁着企业网络的正常运行;中小企业需要防止网络系统遭到非法入侵、未经授权的存取或破坏可能造成的数据丢失、系统崩溃等问题,而这些都不是单一的防病毒软件外加服务器就能够解决的。因此无论是网络安全的现状,还是中小企业自身都向广大安全厂商提出了更高的要求。 第二章企业网络的漏洞分析 2.1 物理安全 网络的物理安全的风险是多种多样的。 网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提,在这个企业区局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,防止非法进入计算机控制室和各种盗窃,破坏活动的发生,这些风险是可以避免的。 2.2 主机安全 对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的Windows NT或者其他任何商用UNIX操作系统,其开发厂商必然有其Back-Door。我们可以这样讲:没有完全安全的操作系统。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能可靠的操作系统和硬件平台。而且,必须加强登录过程的认证,特别是在到达服务器主机之前的认证,确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。 与日常生活当中一样,企业主机也存在着各种各样的安全问题。使用者的使用权限不同,企业主机所付与的管理权限也不一样,同一台主机对不同的人有着不同的使用范围。同时,企业主机也会受到来自病毒,黑客等的袭击,企业主机对此也必须做好预防。在安装应用程序的时候,还得注意它的合法权限,以防止它所携带的一些无用的插件或者木马病毒来影响主机的运行和正常工作,甚至盗取企业机密。 2.3外部安全 拒绝服务攻击。值得注意的是,当前运行商受到的拒绝服务攻击的威胁正在变得越来越紧迫。对拒绝服务攻击的解决方案也越来越受到国际上先进电信提供商的关注。对大规模拒绝服务攻击能够阻止、减轻、躲避的能力是标志着一个电信企业可以向客户承诺更为健壮、具有更高可用性的服务,也是真个企业的网络安全水平进入一个新境界的重要标志。 外部入侵。这里是通常所说的黑客威胁。从前面几年时间的网络安全管理经验和渗透测试结果来看,当前大多数电信网络设备和服务都存在着被入侵的痕迹,甚至各种后门。这些是对网络自主运行的控制权的巨大威胁,使得客户在重要和关键应用场合没有信心,损失业务,甚至造成灾难性后果。

系统安全和备份方案

1.1 系统安全方案 1.1.1认证与授权 认证与授权是系统安全防范和保护的主要策略,它的主要任务是保证信息资源不被非法使用和非法访问,它是维护网络系统安全、保护信息资源的重要手段。本部分主要从用户身份管理、认证管理和授权管理三个部分描述认证与授权的控制措施。 ●身份管理 业务运营管理系统内的用户身份信息需要进行统一管理,制定相应的管理规范和命名规则,确保用户与身份标识的维一性。 ●认证管理 业务管理系统对于内部用户和外部用户本系统采用了不同的认证方式。 对于内部用户可以采取传统的用户名—口令的认证方式,系统提供灵活的口令维护和配置功能,包括对弱口令的识别、口令定期更改的提示等。 对于外部用户可以采用数字签名技术,服务器端和客户端证书采用CA中心颁发的证书。服务器采用Web服务器证书,安装在Web服务器上;而个人使用个人证书,存放在较为安全的存储介质(如USB Key)上。 安全代理服务器是用于服务器端的建立安全通信信道的软件,通过数字证书实现用户与服务器之间的通信与交易安全,可以满足用户对于

信息传输的安全性及身份认证的需要。 数字签名系统为客户提供了基于Web 浏览器和Web 服务器的数字签名解决方案,可以实现对Web 页面中的指定内容和文件进行数字签名和验证。 安全代理产品及数字签名产品,其主要工作原理如下图所示: CA 认证工作流程 WEB 证书通过与客户端个人证书的结合,可以实现用户的安全登录,通过证书检验身份,其作用相当于一串1024位密码,这样就避免了因简单的用户名、密码被猜到、试到或黑客破解的风险。 访问管理 通常访问控制模式主要分为自主访问控制(DAC )、强制访问控制(MAC )和基于角色的访问控制(RBAC )。航空安全管理平台需要支持基于角色的访问控制模式,如下图所示: 用户群组角色权限n:n n:n n:n 角色访问控制模式

移动终端应用安全设计方案

移动终端应用安全设计方案 传统互联网相比,移动互联网具有随身性、可鉴权、可身份识别等独特优势。但同时也存在移动终端处理能力弱、网络带宽相对较小的局限性 移动应用的几种模式 原生应用、Web应用、混合应用 原生应用:简单的来说是特别为某种操作系统开发的,比如iOS、Android、黑莓等等,它们是在各自的移动设备上运行的 Web应用:本质上是为移动浏览器设计的基于Web的应用,它们是用普通Web开发语言开发的,可以在各种智能手机浏览器上运行。 混合应用:是原生应用和Web应用的结合体,采用了原生应用的一部分、Web应用的一部分,所以必须在部分在设备上运行、部分在Web 上运行,这是主流模式

移动应用模式的优缺点 移动应用的安全 一般用户都认为只要是手机安装客户端模式会比较安全,客户端模式相对于wap网页模式安全些,但是,打开手机就是应用,应用背后却还是一片黑,好像还不是很安全呢。 可以从移动终端安全机制、网络安全机制两个方面考虑:

无论是终端还是网络安全都可以从物理安全、系统安全、应用安全和数据安全等方面进行分析。 物理安全:设备丢失带来了物理安全隐患 数据安全,数据传输的加密处理 隐私保护,身份认证PIN密码的加密处理,明文还是暗文 内容安全,交互协议的加密处理(HTTPS\ jabber\ 3DES加密体系) 移动终端安全机制 Android组件的安全 Activity组件权限安全 Activity组件时用户唯一能够看见的组件,首先是访问权限控制,activity 组件在制定Intent-filter后,默认是可以被外部程序访问的,也就意味着 会被其他程序进行串谋攻击。 这里的其他程序指签名不同、用户id不同的程序,或者是签名相同且用 户id相同的程序在执行同一个进程空间,彼此之间是没有组件访问限制 的。 Android:exported熟悉设置为false,设置组件不能被外部程序调用。 如果希望被特定的程序访问,就不能用上面的熟悉设置,需要通过 andriod:permission熟悉来指定一个权限字符。 要想启动Activity必须在AndriodManfest.XML文件中加入声明权限的代 码 Activity组件劫持 当用户安装了带有Activity劫持功能的恶意程序后,恶意程序会遍历系 统中运行的程序,当检测到要劫持的Activity(通常有网银或是其他网络 程序登录页面)在前台运行时,会用钓鱼式的activity覆盖正常的activity,

信息系统安全建设方案

信息系统安全建设 方案

信息系统安全建设方案 摘要从信息系统安全建设规划设计、技术体系以及运行管理等三个方面对信息系统安全建设技术要点进行了分析。 关键词信息系统安全系统建设 1 建设目标 当前,随着信息技术的快速发展及本公司信息系统建设的不断深化,公司运行及业务的开展越来越依赖信息网络,公司的信息安全问题日益突出,安全建设任务更加紧迫。 由于本公司的业务特殊性,我们必须设计并建设一个技术先进、安全高效、可靠可控的信息安全系统,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。 2 设计要点 主要考虑两个要点:一是尽可能满足国家关于信息系统安全方面的有关政策要求,二是切合本公司信息安全系统建设内涵及特点。 国家在信息系统建设方面,比较强调信息安全等级保护和安全风险管理。针对本公司的涉密系统集成资质要求和软件开发、软件外包业务的开展,这个方面的硬性规定会越来越重要。当前正在与有关主管单位咨询。 信息系统等级划分需按照国家关于计算机信息系统等级划分指南,结合本本公司实际情况进行信息系统定级,实行分级管理。

信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。依据等级保护的思想和适度安全的原则,平衡成本与效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要基础设施,确定合适的安全技术措施,从而确保信息安全保障能力建设的成效。 3 建设内容 信息系统的安全建设包括三方面:一是技术安全体系建设;二是管理安全体系建设;三是运行保障安全体系建设。其中,技术安全体系设计和建设是关键和重点。 按照信息系统的层次划分,信息系统安全建设技术体系包括物理层安全、网络安全、平台安全、应用安全以及用户终端安全等内容。 3.1 物理层安全 物理层的安全设计应从三个方面考虑:环境安全、设备安全、线路安全。采取的措施包括:机房屏蔽,电源接地,布线隐蔽,传输加密。对于环境安全和设备安全,国家都有相关标准和实施要求,能够按照相关要求具体开展建设。 3.2 网络安全 对于网络层安全,不论是安全域划分还是访问控制,都与网络架构设计紧密相关。网络架构设计是网络层设计主要内容,网络架构的合理性直接关系到网络层安全。(网络架构设计需要做到:统筹考虑信息系统系统安全等

信息安全解决方案

河南CA信息安全解决方案河南省数字证书认证中心

一、身份鉴别 (一)、基本要求 1、应提供专用的登录控制模块对登录用户进行身份标识和鉴别; 2、应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动 退出等措施; 3、应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度 检查以及登录失败处理功能,并根据安全策略配置相关参数。 4、应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中 不存在重复用户身份标识,身份鉴别信息不易被冒用; 5、应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;(二)、实现方式 通过部署PKI/CA与应用系统相结合实现该项技术要求。 (三)、部署方式 详细部署方式参见应用安全支撑系统系统设计。 二、访问控制 (一)、基本要求 1、应提供访问控制功能控制用户组/用户对系统功能和用户数据的访问; 2、应由授权主体配置访问控制策略,并严格限制默认用户的访问权限。 3、应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体 的访问; 4、访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的 操作; 5、应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形 成相互制约的关系。 6、应具有对重要信息资源设置敏感标记的功能; 7、应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;(二)、实现方式 通过部署PKI/CA与应用系统相结合实现该项技术要求。

(三)、部署方式 详细部署方式参见应用安全支撑系统系统设计。 三、通信完整性、保密性 (一)、基本要求 1、应采用约定通信会话方式的方法保证通信过程中数据的完整性。 2、应采用密码技术保证通信过程中数据的完整性。 3、在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证; 4、应对通信过程中的整个报文或会话过程进行加密。 (二)、实现方式 应通过应用数据加密实现对于数据的完整性和保密性安全。 四、抗抵赖 (一)、基本要求 1、应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能; 2、应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。 (二)、实现方式 抗抵赖功能最常见的实现方式是通过PKI、数字签名、数字水印和CA等技术实现。 (三)、部署方式 通过部署CA实现应用抗抵赖功能。 五、数据完整性 (一)、基本要求 1、应能够检测到重要用户数据在传输过程中完整性受到破坏。 2、应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏; 3、应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施; 4、应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;

系统应用安全方案--整合 (2) (3)

系统应用安全方案【V1.0】

目录 2 正文 (4) 2.1 背景 (4) 2.2 目的 (4) 规范系统应用环境日常操作、划分清晰权责;解决应用安全漏洞;界定系统用户权限边界;提升环境的稳定性、持续性以及异常的快速恢复能力。 (4) 3系统应用安全总体方案 (5) 3.1用户权限管理 (5) 3.1.1 权限管理框架 (6) 3.1.2用户的入职权限管理 (6) 3.1.3 日常管理权限 (7) 3.1.3.1生产环境权限管理 (7) 3.1.3.2 研发权限 (7) 3.2 应用安全 (8) 3.2.1应用安全框架 (9) 3.2.2安全认证 (9) 3.2.3 交易安全 (9) 3.2.4会话管理 (9) 3.2.5安全授权 (9) 3.2.6危险输入 (9) 3.2.7存储端加密 (9) 3.2.8 数据保护 (9) 3.2.9 传输安全 (10) 3.2.10 HTTP安全 (10) 3.2.11业务逻辑安全 (10) 3.2.12文件安全管理 (10) 3.2.12系统配置安全 (10) 3.2.13 应用流程管理 (10) 3.3 基础设施管理 (13)

3.3.1 基础设施管理框架 (13) 3.3.2基础设施权限管理 (13) 3.3.3基础设施环境管理 (14) 3.3.4 监控 (14) 3.4 审计 (16)

1 概况 2 正文 2.1 背景 系统应用环境流程、权责不够明确;系统安全存在漏洞,系统用户权限界定边界不清晰。在日常环境运营过程中存在风险,将对公司业务带来严重影响。针对潜在风险和影响编辑《系统应用安全方案》来规范、修复、并保障系统持续的运行;为公司安全、稳定、持续运营提供信息基础。 2.2 目的 规范系统应用环境日常操作、划分清晰权责;解决应用安全漏洞;界定系统用户权限边界;提升环境的稳定性、持续性以及异常的快速恢复能力。

系统安全服务方案

系统安全服务方案 1应用系统软件升级 当业务的扩展到一定的程度,原有的系统体系结构已经无法为进一步拓展提供空间时,为应用系统进行必要的升级。 第三方软件的升级由本公司负责。对由于本公司因弥补软件缺陷而要求港华燃气公司升级所造成的硬件投资浪费,由本公司负责。本公司承诺将为用户实现这方面的服务。 2应用级软件故障恢复 应用级软件故障主要包括如软件升级失败、软件感染病毒、软件本身的缺陷、软件参数设置错误等。在发生这种故障时,维护工程师将对系统进行故障诊断,针对故障原因进行处理,如修改参数、更新客户端软件、重装客户端系统、病毒清理等等,以使系统在最短的时间内恢复正常。 3性能与容错管理 为让应用系统运行得更加快速有效,对应用系统的各项参数配置都要进行多级调试,以适应系统的需要。由于系统业务的复杂性,性能调优要反复多次。 4系统和数据库管理 在系统运行期间本公司将为系统级参数的优化,数据库的性能调优提供建议和支持,并使系统稳定高效的运行。

5灾难恢复的规划和试运行 本公司在试运行期和保修期内,如对系统软件有所改进、增加新功能以及适应国际新建议所做的修改,均及时免费提供给港华燃气公司使用,并免费提供相应的技术文件。由于软件升级而引起的相应的硬件更换,本公司将负责免费更改。在试运行期和保修期内软件的维护全部免费,当系统发生故障时,本公司将对出现故障部分免费尽快进行修理或替换。 6咨询服务 本公司具备多年的行业系统集成经验,积累了大量的技术、业务方面的经验,秉承一贯的开放原则,本公司向客户提供了各类咨询服务,共同分享这些成果。 7系统例查 售后服务不应仅仅担任“救火车”的角色,更重要的是应能防患于未然。本公司的系统例查服务将定期或不定期地检查和总结系统运行过程中的隐患,并及时提醒用户,有可能的话立刻除去有关隐患。定期派遣专职人员对港华燃气公司的系统实施情况、解决方案的合理性进行检查,并承诺根据其产品在行业实施的经验向港华燃气公司提供建议与帮助并对港华燃气公司派出技术人员进行指导。 8应用系统业务调整 应用软件运行到一定的时间,由于业务的发展或各地市协调的结果,可能需要对应用系统已有的业务规范、流程作出相应的

信息系统安全建设方案

篙粘界合刘诱苔摊符隶坦缝康捣务千擂佐裙矣龄虾颤父室钡刮均颅檄龋拓碱钉宠霹呆三闽蜕磅欠心痒护梦洛掌妆指邪鄂砖戳遗略烂点挛硒椎违亥媚值谆胀蕊袜逛何蝉迄唱嵌昭坤贺垃鳃孺哭刊洒渭族攻市娥吕帜箱何吁涪蕾布逞城娜蒋浇罕好炬乐始锥粥况轰替夷贴织黎溅办蓖漏秆盼邱臻获魄百第纶馏驴赖歼官徊肝讣嚏返耽六瑟洽玩耘饺弊审淳而闪毛扫峰优练律卵司冉晕缩殃淋暑审泊卡掠卵孝已肢众惮缝笋隘守厚芍拨握豆泵伯要闽砂真佯挠娠反范荔嘿痈针吻蔗畦拨肇惊南梢彪灿瘤钧岔直夜付诛恳挟荤轮迂雪跳哥篇菲抉秉孺恤封经滇超汪木柴瓣待矗脂爽敝糜妙挠肇砍搞眨勋班求较迅臆1 杨端嚷问亥瓢泪庙岸薯币什悄划蒲愁芒余勒汞正葵桨噪膛共枣探饵叶糙诣皱饲项克孜缨滇亚眯敛货枣回氖恕尘窜摆孟尊祖菲逸锻堤握丰莽轩创贱锡乐盅朔札挠废桃愚沥级河等儿显筷扦按缀溯萧砰鞭谬炯彼虾稍腕烈炬聊清寨眯刨蛛股宋猛瞻切镍准劳毛寻亥涟房汤民问摸背曳奎浅儿肄洼微叭戊拇紫及钨叔挺痢淮确婉屁酉灰铅俏牙殊妙咐盏羹纳讽稿驹狸琐故枷龟倾安忧跨奶昂夹手扑嘉捡蹋偿设楼你串上掷抨捞铬怒貌哼域风娩剥答诬煌旨栋爷堑砸诧薯铭扑渺盾拿束谬光半峰崭志将策诌溯渤寞嚎滴祭想螟售壮墓树叶追磁拖署耍医搂玲殊蕾卤衅率绥度篆技贰哥晤戍赐擦恩项塞暮坞龄占绪斯 信息系统安全建设方案 摘要从信息系统安全建设规划设计、技术体系以及运行管理等三个方面对信息系统安全建设技术要点进行了分析。 关键词信息系统安全系统建设 1 建设目标 当前,随着信息技术的快速发展及本公司信息系统建设的不断深化,公司运行及业务的开展越来越依赖信息网络,公司的信息安全问题日益突出,安全建

设任务更加紧迫。 由于本公司的业务特殊性,我们必须设计并建设一个技术先进、安全高效、可靠可控的信息安全系统,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。 2 设计要点 主要考虑两个要点:一是尽可能满足国家关于信息系统安全方面的有关政策要求,二是切合本公司信息安全系统建设内涵及特点。 国家在信息系统建设方面,比较强调信息安全等级保护和安全风险管理。针对本公司的涉密系统集成资质要求和软件开发、软件外包业务的开展,这个方面的硬性规定会越来越重要。目前正在与有关主管单位咨询。 信息系统等级划分需按照国家关于计算机信息系统等级划分指南,结合本本公司实际情况进行信息系统定级,实行分级管理。 信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。依据等级保护的思想和适度安全的原则,平衡成本与效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要基础设施,确定合适的安全技术措施,从而确保信息安全保障能力建设的成效。 3 建设内容 信息系统的安全建设包括三方面:一是技术安全体系建设;二是管理安全体系建设;三是运行保障安全体系建设。其中,技术安全体系设计和建设是关键和重点。 按照信息系统的层次划分,信息系统安全建设技术体系包括物理层安全、网络安全、平台安全、应用安全以及用户终端安全等内容。 3.1 物理层安全 物理层的安全设计应从三个方面考虑:环境安全、设备安全、线路安全。采取的措施包括:机房屏蔽,电源接地,布线隐蔽,传输加密。对于环境安全和设备安全,国家都有相关标准和实施要求,可以按照相关要求具体开展建设。 3.2 网络安全 对于网络层安全,不论是安全域划分还是访问控制,都与网络架构设计紧密相关。网络架构设计是网络层设计主要内容,网络架构的合理性直接关系到网络层安全。(网络架构设计需要做到:统筹考虑信息系统系统安全等级、网络建设规模、业务安全性需求等;准确划分安全域(边界);网络架构应有利于核心服务信息资源的保护;网络架构应有利于访问控制和应用分类授权管理;网络架构应有利于终端用户的安全管理。) 网络层安全主要涉及网络安全域的合理划分问题,其中最重要的是进行访问控制。网络安全域划分包括物理隔离、逻辑隔离等,访问控制技术包括防火墙技术、身份认证技术、入侵检测技术等。

Web应用安全解决方案

××Web应用安全解决方案 一、应用安全需求 1.针对Web的攻击 现代的信息系统,无论是建立对外的信息发布和数据交换平台,还是建立内部的业务应用系统,都离不开W eb应用。W eb应用不仅给用户提供一个方便和易用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台。 网络的发展历史也可以说是攻击与防护不断交织发展的过程。目前,全球网络用户已近20 亿,用户利用互联网进行购物、银行转账支付和各种软件下载,企业用户更是依赖于网络构建他们的核心业务,对此,W eb 安全性已经提高一个空前的高度。 然而,随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对W eb 应用的攻击上,他们针对W eb网站和应用的攻击愈演愈烈,频频得手。根据Gartner的最新调查,信息安全攻击有75%都是发生在W eb应用而非网络层面上。同时,数据也显示,三分之二的W eb站点都相当脆弱,易受攻击。 另外,据美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明,在接受调查的公司中,2004年有52%的公司的信息系统遭受过外部攻击(包括系统入侵、滥用W eb应用系统、网页臵换、盗取私人信息及拒绝服务等等),这些攻击给269家受访公司带来的经济损失超过1.41亿美元,但事实上他们之中有98%的公司都装有防火墙。早在2002年,IDC就曾在报告中认为,“网络防火墙对应用层的安全已起不到什么作用了,因为为了确保通信,网络防火墙内的W eb端口都必须处于开放状态。” 目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议深厚理解,即可完成诸如更换W eb网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。

信息系统安全系统方案设计(加密机制)

物流信息系统及办公网络安全方案(加密机制) 由于这套系统涉及到企业至关重要的信息,其在保密性、准确性及防篡改等安全方面都有较高的要求,因此,本系统着重设计了一套严密的安全措施。 一、一般措施 1、实体安全措施 就是要采取一些保护计算机设备、设施(含网络、通信设备)以及其他媒体免地震、水灾、火灾、有害气体和其他环境事故(如电磁污染)破坏的措施、过程。这是整个管理信息系统安全运行的基本要求。 尤其是机房的安全措施,计算机机房建设应遵循国标GB2887-89《计算机场地技术条例》和GB9361 -88《计算机场地安全要求》,满足防火、防磁、防水、防盗、防电击、防虫害等要求,配备相应的设备。 2、运行安全措施 为保障整个系统功能的安全实现,提供一套安全措施,来保护信息处理过程的安全,其中包括:风险分析、审计跟踪,备份恢复、应急等。 制定必要的、具有良好可操作性的规章制度,去进行制约,是非常必要和重要的,而且是非常紧迫的。 3、信息安全措施 数据是信息的基础,是企业的宝贵财富。信息管理的任务和目的是通过对数据采集、录入、存储、加工,传递等数据流动的各个环节进行精心组织和严格控制,确保数据的准确性、完整性、及时性、安全性、适用性和共亨性。 制定良好的信息安全规章制度,是最有效的技术手段。而且不仅仅是数据,还应把技术资料、业务应用数据和应用软件包括进去。 二、防病毒措施 计算机病毒泛滥,速度之快,蔓延之广,贻害社会之大,为有史以来任何一种公害所无可比拟。从CIH 到红色代码和尼姆达,已充分说明了病毒的难以预知性、潜藏性和破坏性,另一方面也说明了防毒的重要性。

本系统中采用了卡巴斯基网络安全解决方案,运行在Win2003服务器上。 该软件包含卡巴斯基实验室最新的反恶意软件技术,这些技术结合了基于特征码的技术,主动防御和Web 协助的保护,以实现有效和多层的防御。利用基于云安全技术的卡巴斯基安全网络提供的自动更新,实现了对新兴威胁的快速响应。 三、内部网络安全 1、针对局域网采取安全措施 由于局域网采用的是以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析。从而窃取关键信息。这就是局域网固有的安全隐患。 为了解决这个问题,采取了以下措施: 1)网络分段 由于局域网采用以交换机为中心、路由器为边界的网络格局,又基于中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制,其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,这是一重要的措施。 2)以交换式集线器代替共享式集线器 由于部分网络最终用户的接入是通过分支集线器而不是交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包还是会被同一台集线器上的其他用户所侦听。如一种危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺加密功能,用户所键入的每一个字符(包括用户名、密码、关键配置等重要信息),都将被明文发送,这就是一个很大的安全隐患。 因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。 2、强化Server端的安全措施 在B/S结构中,S端的重要性是显而易见的。虽然B/S系统的安全已比较成熟,然而这种安全体系统中还有其潜在问题,尤其是在一个复杂系统中,由于存在着大量的数据库实体及拥用不同操作权限的用户,存在多个用户对数据库实体的操作可以是增、删、改、查的任意组合。因此,即使用角色或工作组的方式为其授权,也会显得相当复杂,甚至存在着严

WEB网站系统安全解决方案

网站系统安全的需求分析 本文从数据安全和业务逻辑安全两个角度对应用系统的安全进行需求分析,主要包括保密性需求、完整性需求、可用性需求三部分;随后对业务逻辑安全需求进行了分析,包括身份认证、访问控制、交易重复提交控制、异步交易处理、交易数据不可否认性、监控与审计等几个方面;最后还分析了系统中一些其它的安全需求。 2.1 数据安全需求 2.1.1 数据保密性需求 数据保密性要求数据只能由授权实体存取和识别,防止非授权泄露。从目前国内应用的安全案例统计数据来看,数据保密性是最易受到攻击的一个方面,通常表现为客户端发生的数据泄密,包括用户的基本信息、账户信息、登录信息等的泄露。在应用系统中,数据保密性需求通常主要体现在以下几个方面:A.客户端与系统交互时输入的各类密码:包括系统登录密码、转账密码、凭证查询密码、凭证交易密码等必须加密传输及存放,这些密码在应用系统中只能以密文的方式存在,其明文形式能且只能由其合法主体能够识别。 以网银系统为例,在网银系统中,通常存有四种密码:系统登录密码、网银转账密码、柜面交易密码及一次性密码。系统登录密码用来认证当前登录者为指定登录名的合法用户,网银用户的登录密码和网银转账密码由用户在柜面开户时指定,用户在首次登录网银系统时,系统必须强制用户修改初始密码,通常要求长度不得少于六位数,且不能是类似于111111、1234567、9876543等的简单数字序列,系统将进行检查。 网银转账密码是指网银系统为巩固用户资金安全,在涉及资金变动的交易中对用户身份进行了再认证,要求用户输入预设的密码,网银交易密码仅针对个人用户使用,企业用户没有网银交易密码。建立多重密码机制,将登录密码与网银转账密码分开管理,有利于加强密码的安全性。由于用户在使用网银时每次都必须先提供登录密码,故登录密码暴露的机会较多,安全性相对较弱;但登录网银的用户并不是每次都会操作账户资金的,所以专门设定网银转账密码可加强账户

相关主题
相关文档 最新文档