一、安全風險分析
企業內部門戶的安全涉及到技術、應用以及管理等多方面的因素,因此,它的風險將來自對企業內部門戶的潛在威脅,這些威脅可能破壞門戶總功能體。對局域網和主機而言,安全問題日趨復雜和突出,所以制定有效的安全管理策略和選擇有效的安全技術措施是門戶的安全風險分析的基礎。
1.1 來自外部的安全威脅。來自于Internet的外部用戶,侵入者攻擊的手段以及可能造成的危害多種多樣,如:去修改門戶頁面,甚至利用該服務器攻擊其他網站,導致企業的聲譽受損;釋放病毒,占用系統資源,導致主機不能完成相應的工作,造成系統乃至網站的癱瘓;釋放“特洛伊木馬”,取得系統的控制權,進而攻擊整個網絡;竊取網站的數據和信息。
1.2 來自內部的安全威脅。來自于企業內部的安全威脅包括:網管人員無法及時了解網站的運行狀況。網站是一個多應用的平臺,作為網管,應該能夠全面了解這些應用的運行情況。因此,系統應提供網管有效的工具,及時發現錯誤,保證網站的安全;網管人員不能了解網站的漏洞和潛在的攻擊。網站建成后,網管人員應制定完善的安全策略和管理策略來維護內網的安全。網管人員不能及時有效地追查已經或正在發生的攻擊。當門戶的安全策略建立后,會對整個門戶起到全面的保護作用,但是沒有絕對安全的網絡,仍然存在有少數攻擊行為通過穿過防火墻最終發生。當攻擊行為發生時,最重要的問題在于找出減小損失和追查當事人的責任。因此,一旦發現有攻擊行為,系統應該能夠及時報警,自動采取如關閉有關服務、切斷物理線路的連接等相應的對策。有些攻擊行為相當隱蔽,在這種情況下,網絡管理者可通過有關線索如日志,追蹤攻擊行為的發起者,追究當事人的責任。
1.3 來自于管理的安全威脅。內部門戶的很多安全威脅來源于管理上的松懈及管理人員對安全威脅的認識不夠。安全威脅利用的途徑主要包括:系統實現存在的漏洞;系統本身安全體系設計的缺陷;員工的安全意識淡薄;管理制度不健全;為了更好地管理,應該及時發現系統安全的安全漏洞;審查系統安全體系是否健全;加強對使用員工的安全知識培訓;建立健全完善的系統管理制度。
二、安全體系設計
從門戶的安全風險分析出發,結合當前各種信息安全的技術手段,構建門戶與直播系統的總體安全體系結構。門戶安全可分為物理層安全、網絡層安全、系統平臺層安全、應用層安全和管理安全。其中,物理安全是前提,管理安全層對整個網絡系統安全的實施提供支撐。
三、安全體系的總體規劃
門戶安全架構設計。安全架構設計分層次全面地保護整個網絡系統的安全,如下圖所示:
通過單一的產品不能保障系統的全面安全,本文已經分析了網站所面臨的各種安全威脅,這就意味著安全必須是立體的、綜合性的,應包括多層次的安全技術構成一個整體的安全防御體系。從而達到劃分好整體安全防御的層次,這時,當系統遭到入侵時,各安全防御層就會分層次的阻止違規的行為。在此防御體系中,為用戶提供了層層屏障。
通過多級的防御屏障,增加了系統阻止入侵者入侵的機率,同時也增加了系統審核信息的數量,系統管理員利用審核信息就可以跟蹤和防范入侵者,起到保護系統的目的。外層防護包括訪問控制、身份認證和由路由器和防火墻所做的安全路由;內層防護主要是指部署在防火墻后面的入侵檢測系統IDS,它可以檢測到通過它的所有數據包,當有惡意行為發生時,它就可以報警,彌補了防火墻不能提供實時檢測入侵行為的不足;漏洞掃描在整個多層次安全防御系統中起到輔助作用,它是系統安全評估的重要工具。它可以完成對系統中的防火墻、操作系統、各種應用軟件和服務等的檢測,發現其中的各種配置是否合理,是否存在可以被入侵者利用的漏洞,減輕了系統管理員的負擔。
四、安全系統方案
本文從保護系統的網絡和基礎設施、防火墻技術、漏洞掃描技術、防病毒技術、認證網關幾個方面對企業門戶網站的安全系統方案進行設計。
4.1 保護網絡和基礎設施
4.1.1 網絡和主機設備加固
主機加固:主要是指將主機部署在防火墻的DMZ端,依靠DMZ配置提供了實施附加安全措施的自然層。
硬件加固:主要是指提高設備硬件構架的穩定性,如配置雙電源、服務器選用專有服務器技術的架構。平臺上所有服務器均要采用服務器專有技術構架的設備并配置雙電源。網絡設備需要配置雙電源。
軟件加固:主要是指對設備的操作系統進行內核升級或安裝補丁。平臺上所有主機需要采用軟件加固。
4.1.2 容錯與容災
容錯:容錯在門戶項目中主要體現在關鍵主機的備份(HA)與集群、重要數據的備份等措施上。如門戶系統中的目錄服務器、數據庫服務器、授權服務器、應用服務器等。
容災(建議):
(1)建立的目的:建立容災系統的目的在于當平臺系統由于火災、地震、嚴重電源故障等原因失去運轉能力后,能快速得到恢復。
(2)保護的范圍:由于建立容災系統的投資較大、實施要求高,所以本文建議只對整個平臺中最重要最核心的系統進行容災備份。平臺上的數據庫服務器中存儲著業務流程定義數據、結果的數據、重點基礎信息資源的數據等,需要進行數據容災備份,以保障平臺在系統損毀后很短的時間內恢復運行。
(3)容災的方法:建立容災備份中心,將平臺數據庫服務器存儲的數據遠程容災備份在容災備份中心。為做到數據容災備份,容災備份中心與機房之間建立高速光纖通道,實現數據可以同時存人平臺數據庫服務器和容災備份中心的數據庫服務器。按照統一性原則,容災備份中心需要與平臺一樣的數據庫服務器和數據存儲設備。
4.2 防火墻技術。在部署防火墻時首先要分析網站在安全和服務方面的需求。比如網站需要提供哪些外部網絡服務和從哪里使用這些外部網絡服務,同時應考慮提供這些服務的風險是什么,在提供網絡安全性能的同時系統應用服務必須付出的代價是什么。防火墻的安全策略必須具有靈活性的特點,它應是動態的,能夠適應由于網站的新服務、新協議或是由于網絡設置改變等變化。此外,防火墻還應控制對外公共信息服務器,通過合理設置區分公共信息服務和商業信息服務。
防火墻的部署方案。防火墻通常部署在內部網絡與外部網絡之間,起到防護內部網絡的目的,如下圖所示。
部署在內部網絡和外部網絡間的防火墻可以對所有針對內部網絡的訪問進行記錄,形成詳細的日志文件。防火墻應該部署在要保護的網絡與外部網絡的唯一通道上,否則不能起到保護內部網絡的作用。
4.3 入侵檢測技術。功能設計。網絡入侵檢測系統主要提供功能:根據規則判別是否有攻擊行為;檢測到攻擊行為時,向管理臺發送警報;與防火墻進行聯動處理。部署設計。入侵檢測是一種主動檢測系統是否受到攻擊的網絡安全技術,是防火墻的有效補充。在不影響網絡性能的情況下在平臺核心交換機,在在線服務平臺核心交換機設置入侵檢測系統。
4.4 漏洞掃描技術。功能設計:定期對系統安全進行漏洞掃描,偵測網絡上的各類設備及其操作系統的安全漏洞掃描結果可以生成三種不同類型的報告,供領導、技術主管、技術員等不同級別的人審閱,隨著平臺應用的擴展,靈活的定義偵測類型,方便的豐富擴展列表。部署設計:部署在平臺網絡邊界上,可以兼顧網絡邊界設備和內部網絡設備的漏洞掃描。
4.5 防病毒技術。病毒防護分析:病毒防治系統對各類病毒進行檢測與殺滅,使系統免于病毒的破壞。在網關、服務器、工作站配置病毒防治系統上提供實時病毒掃描和手動病毒掃描功能、自動報警及病毒事件處理功能、掃描多種壓縮文件功能、支持病毒特征庫更新功能。
網關病毒防護。在防火墻上植入防病毒源代碼,起到從網絡根源屏蔽病毒攻擊的作用。但現在只有少數國外防火墻產品支持網關病毒防護,所以很多門戶項目不采用網關病毒防護。
主機病毒防主機病毒防護主要包括服務器病毒防護和工作站病毒防護兩部分。平臺的主機病毒防護應滿足如下設計要求:病毒掃描方式靈活,可掃描ZIP、LZH、ARJ、RAR等幾十種壓縮文件;病毒事件處理靈活有效,且發現病毒要實時報警,通知系統管理人員;安裝管理方便,升級方式靈活,與網絡管理系統有良好的兼容性;自動更新病毒定義文件,病毒定義數據庫要有完善更新的機制。
4.6 認證網關
功能構成。1.提供有效的注冊方式,解決各類用戶的身份真實性問題,建立無虛假信息的用戶資料庫;2。支持多種身份認證方式,滿足不同身份憑證的認證需求。3.對各類身份憑證進行在線實時驗證,杜絕非法訪問和超權限訪問;4.對所提供的認證服務進行有效的管理,防止非授權使用;5.對用戶信息、用戶訪問信息、服務安全等級等內容進行有效的管理、維護、統計、分析等。同時,提供用戶管理入口,用戶對于自己的憑證可以有效的管理,如掛起,生效,撤銷,限制時期等等。
五、安全管理策略
要保證企業門戶系統的安全,除了安全技術方面做好相應的措施,還應做好安全管理措施。俗話說:“三分技術、七分管理”就是這個道理。應根據管理原則和數據的保密性,制訂相應的管理制度,根據系統的需求確定安全級別和安全管理的范圍;制定嚴格的機房管理制度和操作規程;制定系統的應急措施,保障系統損失減到最小等。系統的安全不能由計算機完全替代,還需要有良好的計劃和管理,這就需要企業領導和各級部門的重視和配合,對各級用戶的培訓也十分重要。
本文根據企業門戶項目的實際經驗提出了企業門戶系統安全保障體系建設的思路,要做好信息系統的安全體系建設一方面要做好安全技術防御,一方面要做好安全管理措施,只有做好以上兩個方面的工作,才能保證信息系統的良好運行,為用戶提供正常的服務。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:企業門戶系統安全保障體系建設探析
本文網址:http://www.guhuozai8.cn/html/consultation/10839311768.html