USDP品安全解决方案.doc

USDP产品安全解决方案 广州市星系数据资讯有限公司 2002年6月目 录 1 引言 3 2 网络安全 3 2.1 网络规划 3 2.2 防火墙 3 2.3 VPN 4 3 系统安全 6 3.1 核心策略分层安全防护 6 3.2 操作系统的安全配置 7 3.3 数据库系统的安全配置 7 3.4 应用服务器的安全配置 7 3.5 实时入侵检测 8 3.6 安全漏洞评估系统 8 3.7 病毒防护 8 4 数据安全 9 4.1 存储安全 9 4.2 传输安全 9 4.3 容灾系统 10 5 应用安全 13 5.1 用户安全 14 5.2 数据安全 14 5.3 功能安全 14 6 管理安全 14 6.1 内部管理安全 15 6.2 外部管理安全 15 7 结论 15  引言 对于一个企业来说，安全在信息化管理系统的实施中是至关重要的。有时，一个关键数据的丢失，可能会造成企业很多业务的中止，或给其生产带来一系列的麻烦，所以，企业信息系统的安全性成为企业实施信息化管理系统的首要考虑因素。一般来说，安全主要包括以下两个方面，第一是本身非人为的安全性，这主要包括雷电，地震或服务器本身摔坏或其它因素使某些硬件和软件造成不可修复性损坏，这部分的安全措施主要是对数据进行及时备份。第二个安全方面是企业本身的信息系统要做到防病毒，防黑客或非合法用户的访问。通常来讲，第二个环节是重中之重，因为黑客，病毒攻击的可能性随时会存在。 广州星系的USDP产品在设计之初，就以安全，适用，灵活为设计原则。在安全方面，USDP采取了多层安全结构体系（分为网络安全、系统安全、数据安全、应用安全、管理安全），从根本上解决了企业信息化的安全隐患，使信息系统可以24*7的安全稳定地运行。多层安全结构体系是紧密联系的，从技术和业务两个方面上来保证系统的安全。 网络安全 USDP产品采用B/S体系结构，所以在保证产品安全时，首先要保证网络系统的安全，在网络安全方面，我们采用了如下解决方案：网络规划、VPN、防火墙等。 网络规划 一个成功的安全的网络系统设计，要先从网络规划开始，因为网络的拓扑结构是和安全性息息相关的，如果网络的设计有问题，那么对整个系统构成不仅仅是性能上的问题，更有可能在安全上引起隐患。广州星系可以根据客户的实际情况，为客户设计出合理，经济的安全网络方案。 防火墙 所谓“防火墙”，就是一种将内网和网分开的方法，实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。它相当于一个阀门，一个过滤器或者说国家的海关、边防检查站，负责审查经过的数据和信息，根据设定的规则处理不同的情况。由此可见，建立一个安全的防火墙系统并不仅仅取决于购买了什么牌子的设备，更重要的是在于使用者是否了解本企业网络的情况、掌握用户的实际需求并正确地付诸实施。目前防火墙主要有三类：建立在通用操作系统上的软件防火墙、具有安全操作系统的软硬件结合的防火墙和基于专用安全操作系统的硬件防火墙。代表产品有Check Point、东大阿派Neteye、Linux下的IPChains、Cisco的PIX等等。目前的防火墙从结构上讲，可分为两种：用网关结构内部网络—代理网关(Proxy Gateway)—Internet。路由器加过滤器结构内部网络—过滤器(Filter)—路由器(Router)—Internet。总的来讲，应用网关结构的防火墙系统在安全控制的粒度上更加细致，多数基于软件系统，用户界面更加友好，管理控制较为方便；路由器加过滤器结构的防火墙系统多数基于硬件或软硬件结合，速度比较快，但是一般仅控制到第三层和第四层协议，不能细致区分各种不同业务；有一部分防火墙结合了包过滤和应用网关两种功能，形成复合型防火墙。具体使用防火墙则应该根据本企业实际情况加以选择。下面我就用一个实际例子讲解建立安全防火墙系统的过程。网络结构拓扑图所有的内部网络用户通过两个路由器连接防火墙，防火墙作为本网络的唯一出口连接到Internet。内部网络有两个网段：192。168。1。0 /255。255。255。0和192。168。2。0 /255。255。255。0。障内部网络安全，禁止外部用户连接到内部网络。要求具备防IP地址欺骗能力。要求具备防止IP地址盗用功能，保证特权用户的IP不受侵害。要求对可以访问Internet的用户进行限制，仅允许特定用户的IP地址可以访问外部网络。VPN技术是指在公共的网络平台上传输用户私有的数据，实现方式是在公网如Internet上搭建隧道，从而使在互联网上传输私有数据得