1704186780
1704186781
Shiva Certificate Authority服务器软件是在Windows NT和Solaris上面运行的,它用于认可和管理所有Shiva VPN产品的公共钥匙,这样可以确保每个Shiva VPN产品有单一无二的数码证书而无法被复制。Shiva Certificate Authority Client是在Windows 95/98或者Windows NT上面运行的软件,提供图形管理界面来管理配置Shiva Certificate Authority服务器。
1704186782
1704186783
(2)主机及数据库系统安全。采用双机热备,共享磁盘阵列的方式来提高系统的可靠性与安全性,并在磁盘阵列上采用了RAID5技术来充分保证了数据的安全性和可恢复性。
1704186784
1704186785
(3)数据备份与灾难恢复。
1704186786
1704186787
数据备份可采用磁带机,用于日常的数据备份。磁带机能备份大量信息,备份速度比较快,也比较便宜。磁带往往能拷贝整个硬驱信息,也是常用的介质,磁带根据其质量好坏可用5~10年。磁带机在一盘磁带上可存储120MB到24GB甚至更多的信息。当然也可采用光盘备份等备份方法。Oracle的联机备份设施使管理员能够在数据库正在运行时实施备份操作,而不中断事务处理,甚至在大量的OLTP使用当中。如果包含用户数据的一个设备出了故障,丢失的数据文件可以被恢复到另一个设备上,此时Oracle将继续处理针对数据库中其他部分的查询请求。Oracle可以使用多个进程并行地对数据库进行恢复,这使联机恢复的速度大幅度提高。作为真正意义的灾难恢复,应该设立在异地,通过专线或者光纤做远程实时备份,在本系统中我们可以考虑用一台备用服务器作灾难恢复使用。
1704186788
1704186789
3.数据传输安全
1704186790
1704186791
(1)数据传输的安全分析。重要数据业务数据泄漏是由于在同级局域网和上下级网络数据传输线路之间存在被窃听的威胁,同时局域网络内部也存在着内部攻击行为,登录通行字和一些敏感信息可能被侵袭者搭线窃取和篡改,造成泄密。如果没有专门的软件或硬件对数据进行控制,所有的广域网通信都将不受限制地进行传输,因此任何一个对通信进行监测的人都可以对通信数据进行截取。这种形式的“攻击”是相对比较容易成功的,只要使用现在可以很容易得到的“包检测”软件即可。
1704186792
1704186793
由于目前尚无安全的数据库及个人终端安全保护措施,还不能抵御来自网络上的各种对数据库及个人终端的攻击。同时一旦不法分子针对网上传输数据做出伪造、删除、窃取、窜改等攻击,都将造成十分严重的影响和损失。存储数据对于政府机关来说极为重要,通信线路的质量原因或者人为的恶意篡改,都将导致难以想象的后果,这也是网络犯罪的最大特征。
1704186794
1704186795
(2)数据传输安全技术。
1704186796
1704186797
为保证数据传输的机密性和完整性,建议在专用网络中采用安全VPN系统,统一安装VPN设备,对于移动用户安装VPN客户端软件。
1704186798
1704186799
在广域网传输线路上,可采用国家许可的网络层加密设备,在基于IPSEC国际标准协议基础上,采用VPN技术构建安全保密的虚拟专用网络。通过网络层加密设备之间的加解密机制、身份认证机制、数字签名机制,将集团专用网构造成一个安全封闭的网络,保证财务数据在广域网传输过程中的机密性、真实性和完整性。
1704186800
1704186801
4.系统级安全
1704186802
1704186803
(1)操作系统安全。其包括以下两个方面。
1704186804
1704186805
操作系统安全要求。关键的服务器和工作站(如数据库服务器、WWW服务器、代理服务器、Email服务器、病毒服务器、DHCP主域服务器、备份服务器和网管工作站)建议采用服务器版本的操作系统。典型的有SUN Solaris、HP Unix、Windows NT Server、Windows 2000 Server。网管终端、办公终端可以采用通用图形窗口操作系统,如Windows98、Windows NT Workstation/Server、Windows 2000等。
1704186806
1704186807
操作系统安全管理。操作系统因为设计和版本的问题,存在许多的安全漏洞;同时因为在使用中安全设置不当,也会增加安全漏洞,带来安全隐患。在没有其他更高安全级别的商用操作系统可供选择的情况下,安全关键在于操作系统的安全管理,适时安装安全补丁。为了加强操作系统的安全管理,要从物理安全、登录安全、用户安全、文件系统和打印机安全、注册表安全、RAS安全、数据安全、各应用系统安全等方面制订强化安全的措施。
1704186808
1704186809
(2)数据库安全。目前的商用数据库管理系统主要有Oracle、Sybase等。数据库管理系统应具有自主访问控制(DAC)能力(DAC用来决定用户是否有权访问数据库对象)、验证能力(保证只有授权的合法用户才能注册和访问)、授权(对不同的用户访问数据库授予不同的权限)、审计(监视各用户对数据库施加的动作)、数据库管理系统应能够提供与安全相关事件的审计能力(试图改变访问控制许可权、试图创建、拷贝、清除或执行数据库)、系统应提供在数据库级和纪录级标识数据库信息的能力等。
1704186810
1704186811
(3)网络设备安全。
1704186812
1704186813
在漏洞扫描与风险评估的基础上对网络设备进行安全性增强配置,下面以CISCO路由器的几个安全增强配置为例说明网络设备的安全性也是不容忽视的。
1704186814
1704186815
AAA方式配置:配置AAA方式来增加用户访问安全性。
1704186816
1704186817
路由命令审计配置:配置AAA命令记账来增强系统访问安全性。
1704186818
1704186819
5.应用级安全
1704186820
1704186821
(1)用户权限分级。
1704186822
1704186823
在编制应用系统程序时采取用户权限分级限制,设置相应的密码,采用分级密码管理。系统可以根据用户的账号,确定其进入应用系统的级别。为防止越权访问网络共享文件,提供了用户名/口令、信息用户权限、目录最大权限和文件属性等多级完善的保密措施。
1704186824
1704186825
(2)应用软件系统安全。
1704186826
1704186827
应用系统中采用模块授权和组织授权分离的模式。模块授权代表了用户可以使用的功能。组织授权代表了用户可以操作的数据范围。数据范围是指某一单位下的数据。
1704186828
1704186829
用户若想对某一单位的管理数据进行查询或其他操作,必须同时被授予相应的模块操作权和该单位的数据访问权。比如,若想查询某公司的销售数据,则用户必须被授予销售模块查询权,同时,还需被授予该公司的数据访问权。只要其中一个权限没有授予,就不能达到目标。这种权限管理的方式,从广度和深度两方面提供了应用系统的安全保障。
[
上一页 ]
[ :1.70418678e+09 ]
[
下一页 ]