系统安全设计方案

系统安全设计方案
建立全面的安全保障体系，包括物理层安全、网络层安全、系统层安全、数据层安全、数据库安全、系统软件安全、应用层安全、接口安全，制定安全防护措施和安全管理运维体系。

目录
1.1 总体设计.................................. - 1 - 1.1.1 设计原则................................ - 1 - 1.1.2 参考标准................................ - 2 - 1.2 物理层安全................................ - 2 - 1.
2.1 机房建设安全............................ - 2 - 1.2.2 电气安全特性............................ - 3 - 1.2.3 设备安全................................ - 3 - 1.2.4 介质安全措施............................ - 3 - 1.3 网络层安全................................ - 4 - 1.
3.1 网络结构安全............................ - 4 - 1.3.2 划分子网络.............................. - 4 - 1.3.3 异常流量管理............................ - 5 - 1.3.4 网络安全审计............................ - 6 - 1.3.5 网络访问控制............................ - 7 - 1.3.6 完整性检查.............................. - 7 - 1.3.7 入侵防御................................ - 8 - 1.3.8 恶意代码防范............................ - 8 - 1.3.9 网络设备防护............................ - 9 - 1.3.10 安全区域边界.......................... - 10 - 1.3.11 安全域划分............................ - 11 - 1.4 系统层安全............................... - 12 - 1.
4.1 虚拟化平台安全......................... - 12 -
1.4.2 虚拟机系统结构......................... - 12 - 1.4.3 虚拟化网络安全......................... - 13 - 1.5 数据层安全............................... - 14 - 1.5.1 数据安全策略........................... - 14 - 1.5.2 数据传输安全........................... - 14 - 1.5.3 数据完整性与保密性..................... - 15 - 1.5.4 数据备份与恢复......................... - 15 - 1.5.5 Web应用安全监测....................... - 15 - 1.6 数据库安全............................... - 16 - 1.6.1 保证数据库的存在安全................... - 16 - 1.6.2 保证数据库的可用性..................... - 16 - 1.6.3 保障数据库系统的机密性................. - 17 - 1.6.4 保证数据库的完整性..................... - 17 - 1.7 系统软件安全............................. - 17 - 1.8 应用层安全............................... - 20 - 1.8.1 身份鉴别............................... - 20 - 1.8.2 访问控制............................... - 21 - 1.8.3 Web应用安全........................... - 21 - 1.8.4 安全审计............................... - 22 - 1.8.5 剩余信息保护........................... - 22 - 1.8.6 通信保密性............................. - 23 - 1.8.7 抗抵赖................................. - 23 -
1.8.8 软件容错............................... - 23 - 1.8.9 资源控制............................... - 24 - 1.8.10 可信接入体系.......................... - 25 - 1.9 接口安全................................. - 27 - 1.10 安全防护措施............................ - 28 - 1.11 安全管理运维体系........................ - 29 -
1.1总体设计
1.1.1设计原则
信息安全是信息化建设的安全保障设施，信息安全的目标是能够更好的保障网络上承载的业务，在保证安全的同时，还要保障业务的正常运行和运行效率。

在此基础上，云计算中心安全系统在设计时应遵循如下原则：
1、清晰定义模型原则
在设计信息安全保障体系时，首先要对信息系统进行模型抽象，根据信息系统抽象模型特性，分析出信息系统中各个方面的内容及其安全现状，再将信息系统各内容属性中与安全相关的属性抽取出来，建立“保护对象框架”、“安全措施框架”、“整体保障框架”等安全框架模型，从而相对准确地描述信息系统的安全属性和等级保护的逻辑思维。

2、分域防护、综合防范的原则
任何安全措施都不是绝对安全的，都可能被攻破。

为预防攻破一层或一类保护的攻击行为无法破坏整个信息系统，需要安全技术手段与等级保护技术要求相结合，在此基础上合理划分安全域和综合采用多种有效措施，进行多层和多重保护。

3、需求、风险、代价平衡的原则
对新型的信息系统，如多元化的、复杂的网络空间，绝对安全难以达到，也不一定是必须的，需正确处理需求、风险与代价的关系，等级保护，适度防护，做到安全性与可用性相容，做到技术上可实现，经济上可执行。

4、技术与管理相结合原则
信息安全涉及人、技术、操作等各方面要素，单靠技术或单靠管理都不可能实现。

因此在考虑信息系统信息安全时，必须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合。

5、动态发展和可扩展原则
随着网络攻防技术的进一步发展，网络安全需求会不断变化，以及环境、条件、时间的限制，安全防护一步到位，一劳永逸地解决信息安全问题是不现实的。

信息安全保障建设可先保证基本的、必须的安全性和良好的安全可扩展性，今后
随着应用和网络安全技术的发展，不断调整安全策略，加强安全防护力度，以适应新的网络安全环境，满足新的信息安全需求。

1.1.2参考标准
本方案中，安全系统的设计参考了以下设计标准：
1、GB17859-1999（中华人民共和国国家标准）计算机信息系统安全保护等级划分准则
2、国家标准GB/T22239-2008《信息系统安全等级保护基本要求》
3、国家标准GB9361-1988《计算站场地安全要求》
4、国家标准GB2887-1989《计算站场地技术条件》
5、国家标准GB50174-1993《电子计算机机房设计规范》
6、国家标准GB9254-1998《信息技术设备的无线电骚扰限值和测量方法》
7、《信息系统通用安全技术要求》GB/T20271-2006
8、国家公共安全和保密准则GGBB1-1999《信息设备电磁泄漏发射限值》
9、GB/T20269-2006《信息系统安全管理要求》GB/T20269-2006
10、GB/T20282-2006《信息系统安全工程管理要求》GB/T20282-2006
11、ISO17799/BS7799：《信息安全管理惯例》。

1.2物理层安全
本项目建设依托于普洱市林业信息中心，为系统安全设计提供支撑，保障数据中心基础设施的稳定性及服务连续性。

1.2.1机房建设安全
机房建设安全是保障整个数据中心安全的前提。

主要防范以下的物理安全隐患：
由于水灾、火灾、雷击、粉尘、静电等突发性事故和环境污染造成网络设施工作停滞。

人为引起设备被盗、被毁或外界的电磁干扰使通信线路中断。

电子、电力设备本身固有缺陷和弱点及所处环境容易在人员误操作或外界诱发下发生故障。

主要技术措施包括：
良好的机房位置选择。

在机房出入口部署电子门禁系统。

部署防盗报警系统。

部署防雷保安器、自动消防系统、水敏感检测仪表或元件、防静电地板、温度监控与自动调节、电压防护设备等环境安全措施。

部署电力恢复设备，防电磁干扰措施维护业务连续性。

1.2.2电气安全特性
机房内实体要保障正常的电气安全，主要考虑如下几点：
机房安全温度指标，机房温度必须控制在22摄氏度左右。

机安全湿度指标，机房湿度必须控制在45%-65%之间。

防火、防磁、防水措施。

禁止易然、易爆、危险品入机房。

1.2.3设备安全
设备安全主要包括设备的防火，防水、防盗、人为破坏及电源保护。

包括对操作终端的物理安全加强措施，采取拆除光驱、软驱和封堵串口、并口和USB、IEEE1394等物理端口的措施。

1.2.4介质安全措施
包括介质数据的安全及安全介质本身的安全。

存储涉密信息的软盘、光盘等存储介质，应按照存储信息的最高密级标明等级，并由专人妥善管理。

存储涉密信息的介质不能降低密级使用。

为保证信息网络系统的物理安全，除在网络规划和场地、环境等要求外，还要防止系统信息在空间的扩散。

计算机系统通过电磁辐射使信息被截获而失秘的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示给计算机系统信息的保密工作带来了极大的危害。

为了防止系统中的信息在空间上的扩散，通常是在物理上通过一定的防护措施，来减少或
干扰扩散出去的空间信号。

1.3网络层安全
目前，在通信网络安全方面，采用密码等核心技术实现的各类VPN都可以很有效的解决这类问题。

针对部分安全等级较高的信息系统，本解决方案除确定使用成熟的VPN技术外，还提出可利用PKI体系构建一个可信网络平台，并利用终端数据加密技术实现数据层面的加密，在VPN的基础上再加上一份“双重保险”，达到在满足等级保护相关要求的同时，可灵活提高通信网络安全性的效果。

1.3.1网络结构安全
网络结构安全是网络安全的前提和基础，对于云中心建设，每个层、区域的线路和设备均采用冗余设计。

经过合理规划，在终端与服务器之间建立安全访问路径。

在本次项目的网络结构设计中，核心网络设备、防火墙、入侵防御等均为双机冗余结构设计，双机冗余设计除了可以避免因一台设备或单个系统异常而导致业务中断外，还可以对系统业务流量负载分担，避免大流量环境下线路拥堵和带宽不足的问题。

本次设计针对网络结构安全采取的主要技术措施如下：
主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要，同时具有可扩展、可管理等特性。

采用运营商高带宽链路保障了业务要求。

通过采用防火墙、交换机等设备，在业务终端与业务服务器之间建立了安全的访问路径。

在网络设备（防火墙、路由器、交换机）上配置优先级，通过技术手段（ACL 依次匹配、QOS等）对业务服务的重要次序来指定分配，保证在网络发生拥堵的时候优先保护重要主机。

1.3.2划分子网络
交换机的每一个端口均为自己独立的冲突域，但对于所有处于一个IP网段的网络设备来说，当工作站的数量较多、信息流很大的时候，很容易形成广播风
暴，轻者造成某些网络设备的死机，严重的将造成整个网络的瘫痪。

在采用交换技术的网络中，对于网络结构的划分采用的仅仅是物理网段的划分的手段。

这样的网络结构从效率和安全性的角度来考虑都是有所欠缺的，而且在很大程度上限制了网络的灵活性，如果需要将一个广播域分开，那么就需要另外购买交换机并且要人工重新布线。

因此，需要进行虚拟网络（VLAN）设置。

VLAN对于网络用户来说是完全透明的，用户感觉不到使用中与交换式网络有任何的差别，但对于网络管理人员则有很大的不同，因为这主要取决于VLAN 对网络中的广播风暴的控制可提高网络的整体安全性，网络管理的简单、直观等优势。

ACL（AccessControlList访问控制表）是用户和设备可以访问的那些现有服务和信息的列表。

使用ACL技术其作用在于控制VLAN间的相互通信。

在VLAN 之间配置了Route协议之后，VLAN之间就可以实现相互的通信，这时需要使ACL对其加以控制。

例如：使用ACL技术使财务部门使用的VLAN2仅仅允许领导使用的VLAN100访问，其他部门不能访问。

同时还可以隔离企业使用的VLAN，并同时又允许访问Internet。

1.3.3异常流量管理
数据中心后台提供数据的数据库载体，将提供面向互联网的服务，包括门户网站、互联网数据收集服务等，这些服务集中在对外信息服务区安全域中。

对于服务的访问流量，是我们需要保护的流量。

但是，往往有一些“异常”的流量，通过部分或完全占据网络资源，使得正常的业务访问延迟或中断。

可能发生在对外信息服务区安全边界的异常流量，根据产生原因的不同，大致可以分为两类：攻击流量、病毒流量。

攻击流量：是以拒绝服务式攻击（DDOS）为代表，他们主要来自于互联网，攻击的目标是互联网服务区安全域中的服务系统。

病毒流量：病毒流量可能源自数据中心内部或互联网，主要是由蠕虫病毒所引发，一旦内部主机感染病毒，病毒会自动的在网络中寻找漏洞主机并感染。

互联网中的大量蠕虫病毒，也可能通过安全边界，进入到数据中心网络中来。

通过在网络平台中互联网出口区安全边界最外侧部署异常流量管理系统，可
以实时的发现并阻断异常流量，为正常的互联网访问请求提供高可靠环境。

异常流量管理系统部署在互联网出口安全区边界最外层，直接面向互联网，阻断来自互联网的攻击，阻断病毒的自动探测和传播。

异常流量系统必须具备智能的流量分析能力、特征识别能力，具备大流量入侵时足够的性能处理能力。

异常流量系统之后部署的即是边界防火墙设备。

1.3.4网络安全审计
网络安全审计系统主要用于审计记录网络中的各类网络、应用协议与数据库业务操作流量，监控系统中存在的潜在威胁，综合分析安全事件，包括各种域间和域内事件。

审计体系采用旁路部署网络安全审计系统，对全网数据流进行监测、审计记录，同时和其它网络安全设备共同为集中安全管理平台提供监控数据用于分析预警并生成详细的审计报表。

本次设计针对网络安全审计采用的主要技术措施如下：
安全审计系统对网络中的数据库行为、业务操作、网络协议、应用协议等进行审计记录。

审计记录包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

应能够根据记录数据进行分析，并生成审计报表。

应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。

主要采用的设备包括：数据库审计、日志审计、网络行为审计、运维审计等设备。

各安全区域边界已经部署了相应的安全设备负责进行区域边界的安全。

对于流经各主要边界（重要服务器区域、外部连接边界）需要设置必要的审计机制，进行数据监视并记录各类操作，通过审计分析能够发现跨区域的安全威胁，实时地综合分析出网络中发生的安全事件。

一般可采取开启边界安全设备的审计功能模块，根据审计策略进行数据的日志记录与审计。

同时审计信息要通过安全管理中心进行统一集中管理，为安全管理中心提供必要的边界安全审计数据，利于管理中心进行全局管控。

边界安全审计和主机审计、应用审计、网络审计等一起构成完整的、多层次的审计系统。

网络安全审计系统主要用于监视并记录网络中的各类操作，侦察系统中存在的现有和潜在的威胁，实时地综合分析出网络中发生的安全事件，包括各种外部事件和内部事件。

在核心交换机处并接部署网络行为监控与审计系统，形成对全网网络数据的流量监测并进行相应安全审计，同时和其它网络安全设备共同为集中安全管理提供监控数据用于分析及检测。

网络行为监控和审计系统采用旁路技术，不用在目标主机中安装任何组件。

同时网络审计系统可以与其它网络安全设备进行联动，将各自的监控记录送往安全管理安全域中的安全管理服务器，集中对网络异常、攻击和病毒进行分析和检测。

1.3.5网络访问控制
访问控制是网络系统安全防范和保护的主要策略之一，它的主要任务是保证系统资源不被非法使用，是系统安全、保护网络资源的重要手段。

而安全访问控制的前提是必须合理的建立安全域，根据不同的安全访问控制需求建立不同的安全域。

本次云中心建设，采用防火墙+统一身份认证的方式对终端设备和访问人员实现安全准入管理。

技术防护机制如下：部署统一身份认证系统，通过安全策略制定，结合防火墙，实现网络访问准入控制。

通过对云中心内各区域网络的边界风险与需求分析，在网络层进行访问控制部署防火墙产品，同时设置相应的安全策略（基线），对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为。

1.3.6完整性检查
边界完整性检查核心是要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，维护网络边界完整性。

本次设计利用网络行为审计设备发现各种非法外联行为来进行网络边界完整性检查。

通过非法外联监控的管理，可以防止用户访问非信任网络资源，并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。

信息的完整性设计包括信息传输的完整性校验以及信息存储的完整性校验。

对于信息传输和存储的完整性校验可以采用的技术包括校验码技术、消息鉴别码、密码校验函数、散列函数、数字签名等。

对于信息传输的完整性校验应由传输加密系统完成。

部署SSLVPN系统保证远程数据传输的数据完整性。

对于信息存储的完整性校验应由应用系统和数据库系统完成。

应用层的通信保密性主要由应用系统完成。

在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；并对通信过程中的敏感信息字段进行加密。

对于信息传输的通信保密性应由传输加密系统完成。

部署SSLVPN系统保证远程数据传输的数据机密性。

1.3.7入侵防御
基于网络的开放性与自由性，网络中存在各种未知的威胁和不法分子的攻击。

网络入侵检测和防御从网络中收集信息，再通过这些信息分析入侵特征并低于网络入侵和攻击，网络入侵防御设备可以与防火墙等其它安全产品紧密结合，大程度地为网络系统提供安全保障。

通过对安全域边界风险与需求分析，采取的技术措施如下：
在外部应用区，内部应用区、安全服务区部署网络入侵防御系统（IPS）系统，实时监视并分析通过网络的所有通信业务，监视端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等行为。

当检测到攻击行为时，抵御攻击并记录攻击源IP、攻击类型、攻击目的、攻击时间，提供报警。

1.3.8恶意代码防范
恶意代码的防范主要是采用边界过滤技术，主要有入侵防御、防病毒网关、防火墙、DDoS攻击检测等，通过对数据进行深层次的安全代码检查，将可疑恶意代码进行隔离、查杀和过滤。

根据国家相关安全技术要求，病毒网关应具备查杀当时流行的病毒和木马的能力，其病毒库应能够在线或离线及时更新，更新周期不应超过一周，遇紧急情况或国际、国内重大病毒事件时，能够及时更新。

恶意代码是对智慧城市业务系统大的安全威胁之一。

本次所采取的技术措施如下：
通过在互联网接入区部署防病毒网关，截断了病毒通过互联网传播到云中心网络的途径。

通过在互联域部署抗DDoS攻击的系统（设备），对流量进行清洗和过滤，净化了网络流量。

1.3.9网络设备防护
云中心部署了大量网络设备（路由器、交换机、防火墙等），这些设备的自身安全也直接关系到系统及各网络应用的正常运行。

例如设备登录信息、配置信息泄露等。

各种网络设备、安全设备、服务器系统、交换机、路由器、网络安全审计等都必须具备管理员身份鉴别机制，采用帐号、静态口令、动态口令、KEY、数字证书等方式或两种以上组合方式进行身份鉴别，密码配置必须满足“复杂”要求，长度不少于8位字符，且不能为全数字或单词等，必须由两种或两种以上字符类型（大小写字母、数字、特殊字符等）构成，同时应配置大登陆失败次数，通常为3-5次，超过大登陆次数后，即将登陆源IP进行锁定禁止再次尝试登陆，以防口令暴力猜解。

设备应根据物理安全要求，固定安装于机柜并粘贴相应标识。

对所有网络设备均开启登录身份验证功能，对登录网络设备的用户进行身份鉴别；同时对安全设备管理员登录地址进行限制；网络管理员和安全管理员的用户名的标识都具有唯一性；网络安全设备、服务器的口令采用强口令并定期更换；在安全设备、服务器、安全系统上开启登录失败处理功能，如采取限制非法登录次数和当网络登录连接超时自动退出等措施。

启用网络安全的SSH及SSL功能，保证对设备进行远程管理时防止鉴别信息在网络传输过程中被窃听。

本次云中心设计主要采取下列技术措施：
核心交换机、路由器、防火墙、隔离网闸等网络设备设置登录策略限制远程登陆管理IP地址范围，关键设备只允许运维管理域的IP主机或堡垒机方可以管理权限通过网络登陆设备配置和维护操作，通过网络远程配置管理必须采用加密方式（如：SSH或HTTPS）建立连接，以防连接会话被窃听或篡改。

所有操作必须经过管理终端域管理终端或堡垒机操作，通过堡垒授权账号与权限划分，有审计员帐号监督审计，审计管理员可随时查看系统管理员对网络设
备所做的操作，帐号登陆后若长时间未有操作，应能够自动退出系统或结束当前管理会话连接，严格杜绝超级管理员权限帐号或永久在线帐号存在。

部署运维堡垒主机对登录操作系统和数据库系统的用户进行身份标识和鉴别，杜绝默认帐号，不合规则的帐户登录访问；操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。

启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施，三次登录失败账号自动锁定。

操作系统、数据库系统的不同用户分配不同的用户名，且具有唯一性。

1.3.10安全区域边界
为保护边界安全，本解决方案针对构建一个安全的区域边界提出的解决手段是在被保护的信息边界部署一个“应用访问控制系统”。

该系统应可以实现以下功能：信息层的自主和强制访问控制、防范SQL注入攻击和跨站攻击、抗DoS/DDoS攻击端口扫描、数据包过滤、网络地址换、安全审计等，同时为了保证应用系统的高可用性，需考虑负载均衡设备。

此外，对于不同安全等级信息系统之间的互连边界，可根据依照信息流向的高低，部署防火墙或安全隔离与信息交换系统，并配置相应的安全策略以实现对信息流向的控制。

根据数据中心互联网的业务需求，数据中心提供对互联网的访问服务。

对这些访问行为，需要对数据交换、传输协议、传输内容、安全决策等进行严格的检查，以防止有互联网引入风险。

数据中心内部划分了专门的互联网服务器安全域，将对外提供服务的Web服务器等部署在防火墙的DMZ区，负责接收和处理来自互联网的业务访问请求。

防火墙进行严格的访问控制的设定，确保访问身份的合法性。

但是，防火墙无法高度保证传输内容、协议、数据的安全性。

同时，需要对政务内网服务器对数据中心政务外网的访问进行双向严格的管理控制，不允许互联网用户访问到政务内网业务服务器的数据库。

可以通过在电子政务内网和电子政务外网的安全边界上部署安全隔离网闸，对各部门的数据库实现按需数据同步。

通过这种方式，可以为访问提供更高的安全性保障。

安全隔离网闸两侧网络
之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原，还原后的应用层信息根据用户的策略进行强制检查后，以格式化数据块的方式通过隔离交换矩阵进行单向交换，在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信，即实现“协议落地、内容检测”。

这样，既从物理上隔离、阻断了具有潜在攻击可能的一切连接，又进行了强制内容检测，从而实现最高级别的安全。

在安全域之间进行数据交换时，需要在安全域的边界控制信息流向，实现安全域边界网络层的访问控制。

因此，本项目建议在业务网络边界部署带有网络层访问控制功能的第二代防火墙，在数据存储区边界部署高性能第二代防火墙。

在业务网络边界部署带有网络层访问控制功能的第二代防火墙，一个方面实现对该区域与外部区域数据交换时的访问控制，另外一个方面实现对该区域应用层业务系统的保护，抵御来自外部的应用层攻击。

在数据资源区部署高性能第二代防火墙，在从业务服务器区域与数据存储区进行数据交换时，再进行一次安全防护，从而实现对整个业务系统的纵深的防御。

第二代防火墙是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

第二代防火墙解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

1.3.11安全域划分
安全域的划分是网络防护的基础，事实上每一个安全边界所包含的区域都形成了一个安全域。

这些区域具有不同的使命，具有不同的功能，分域保护的框架为明确各个域的安全等级奠定了基础，保证了信息流在交换过程中的安全性。

在数据中心中，有些应用系统之间面临相同或相似的安全威胁，他们的安全需求也具有一定的相似性。

为了简化保护措施，降低保护费用和简化管理，遵照分域保护、分级保护的原则，进行合理的安全域划分。

1、划分原则
网络位置分离划分为不同的安全域；
保护要求不同划分为不同的安全域；。