论软件系统的安全风险
【摘要】
 
 
 
【正文】
信息系统的安全是信息系统运行的基础,没有安全保障,信息系统就是运行不可靠的,不可信的。
2003年我参加了公司管理信息系统项目的开发,担任了系统分析师的任务,主要负责系统架构设计和硬件网络集成设计。
随着企业信息话的普及,企业信息管理系统在企业中以涉及到生产、销售、采购、库房、人力资源、财务、决策支持等各个方面,与传统管理方式逐步渗透融合,大大提高了企业管理的有效性和及时性,提高了生产效率,提供给客户更快捷、方便的服务。企业信息管理系统已成为企业管理中枢,一旦出现问题,将对企业的生产经营造成难以估量的损失,因此保证信息系统安全成为系统建设的重要考虑因素。
我所在的公司是一家上市公司,随着企业所面临的市场复杂多变、行业竞争加剧及公司规模的不断扩张,公司提出了要在一个平台上管理公司所有业务的要求,实现企业资源统一调度使用。
系统采用微软的asp.NET开发,使用B/S架构三层设计,数据库使用关系型数据库ORACLE,服务器使用HP DL580系列高端服务器,操作系统为WINDOWS 2003 SERVER
信息系统的安全分为网络安全、服务器安全、应用程序安全、病毒处理、数据安全等。
在安全性风险评估技术采用整体分析方法为“威胁树工程法”,其基本要点是围绕信息的“机密性”、“完整性”、“可用性”、“可控性”四个基本安全需求。针对信息系统流程模型,详细分析系统中可能存在的针对信息4个安全要求的潜在威胁和后果,并作出“威胁树”,并对威胁树中每一项做出解决方案和成本。
下面重点说明一下我们所采用的安全策略。
1、  网络安全
针对公司业务局域网存在的安全威胁包括:网络设计缺陷,网络设备损坏和应用程序非法访问。经过充分调研,认真分析,结合公司的实际情况,我们设计了一个主干为三层路由千兆交换以太网的网络方案。
我们采用具有三层路由交换功能的两台核心交换机华为8505,来那个太具有三层路由功能的华为6505R系列交换机和千兆级光纤组成主干网络。边缘交换机为华为3000系列交换机。本方案中我们采用URRP技术,在两台核心8505交换机之间运行VRRP热备协议,不论是单链路损坏或单核心设备出现故障均不会影响到网络的正常运行。对一般不重要的接入点,采用3000系列交换机单点接入,对接入点较多且对网络安全要求高的部门,增加两台S6506R交换机作为汇聚层,所有接入交换机一双链路方式和两台S6506R对接,S6506R与两台8505之间也采用双链路链接,通过线路的冗余备份,实现网络的运行可靠性。在内网中划分20VLAN0VLAN作为管理所有交换机的网段,1VLAN作为服务器网段允许所有网段访问外,其他网段之间不能直接访问。
在外网出口上,采用×××->FIREWALL->ROUTER->核心SWITCHER,使用两次NAT转换,将内网ip地址彻底隐藏。各子公司到总公司链接使用硬件×××,使用IPSEC协议加密传输,vpn设备使用华为secpath100,在FIREWALL上对内外网的访问启用访问控制规则,将需要对互联网开放服务的服务器放在FIREWALLDMZ区中。
二、服务器组安全
服务器是公司计算机网络的大脑和中枢,保证服务器的长期可靠运行是网络信息系统安全的一个特别重要的问题。
我们在信息系统的设计中采用了三层体系结构,即应用服务层、数据服务层和界面表示层。应用服务器放在DMZ区中,使用两台HPDL580G2服务器,操作系统为WINDOWS2003SERVER,使用微软的集群管理技术实现ACTIVE/PASSIVE模式,实现双机热备,同时在FIREWALL上限制策略,只允许局域网用户和通过×××认证的地址访问,现实应用中两台HPDL580服务器可以实现99%以上的可靠运行。数据库服务器采用两台HPDL380G3服务器,实现双机冷备份,同时对数据库服务器的访问只允许应用服务器和配置管理机器访问,防止用户对数据的非法存取,保证了数据安全。两台数据库服务器通过光纤通道连接到磁盘阵列柜,组成存储局域网(SAN)。在磁盘阵列柜我们装了5168GSCSI服务器硬盘,其中4块硬盘做RAID5,一块硬盘做HOT SPARE,这样可保证矩阵柜在两块硬盘同时故障时,系统仍可正常运行。
三、应用程序安全
我们在这次设计中采用的方案为APS.NET+IISB/S架构,在设计中那个我们采用统一的登录页面,且保证只有一个系统入口,同时在每个页面上放置统一的登录检查函数(调用登录认证模块类函数),防止非授权用户直接用地址访问,一旦判断用户未登录直接转入登录页面。用户的密码使用“SHA”加密存放入数据库中,只有系统管理员和用户自己可以修改,同时对用户权限进行严格控制,采用层层授权的模式保证用户权限不超出工作范围。对系统中的异常抛出时可能会造成系统物理路径的泄漏问题,我们要求编程人员使用通用错误处理模块,显示友好的出错页面,同时要求测试人员建立与实际应用环境一样的环境进行测试,将抛出的异常反馈给开发人员,防止物理路径泄漏。
在系统设计时,我们将所有用户登录、操作的审计信息存放到数据库中,并指定专门人员进行审计,一旦发现异常,立即在防火墙或服务器防火墙上立即做出相应隔离措施,保证信息安全。
在子公司从互联网访问上,在FIREWALL上采用端口映射的方式访问,只映射服务器必须使用的端口,而其他一律封闭,在内网访问策略上,要求所有接入局域网的机器只能使用一个网络出口,防止恶意攻击绕过安全策略,从另一个入口控制内网机器后发起对服务器的恶意攻击。
四、病毒防治
网络病毒往往令人防不胜防,尽管对网络进行了多层保护,但网络资源互访及人为因素,病毒防范依然不可掉以轻心。因此,采用适当的反病毒措施是进一步提高网络安全的重要手段。我们在内网中部署了能够统一分发,集中管理的卡巴斯基网络杀毒软件,同时采用一些网上下载的免费的木马查杀软件,网络版善妒软件均带有防火墙,由服务端统一设置防御策略;限制网上下载软件和盗版软件的使用;对WINDOWS操作系统定期更新补丁,u盘和邮件先杀毒后使用。
五、集中网络管理
网络安全不能仅仅依靠安全设备,更重要的是指定一个全方位的安全制度,在全网方位内实现统一的安全管理。在网络改造完成后,我们制定了公司的网络安全运行管理制度,主要措施如下:1)多人负责制,每一项与安全有关的活动及数据库数据的调整,都必须有两人同时在场,一人操作,一人复核。2)离职人员将资料交接后,如网络设备密码、用户登录密码等立即由交接人员更改。3)所有网络改造包括子公司和任何部门必须经过信息中心认证后方可实施4)定期升级漏洞补丁,关闭不用的服务和端口。
六、数据备份
   本方案中,我们选用数据库为ORACLE,数据的安全永远是企业安全的重中之重,我们从以下方面对数据安全采取措施:1)每天对数据库进行增量备份,每周对数据库进行全备份,每月对数据库进行一次冷备份。2)数据文件存放在磁盘阵列上,阵列做RAID5,保证数据安全。3)将备份数据存放到磁带库中。通过以上备份措施尽可能将灾难损失降到最低。
保障网络安全性与网络服务效率永远是一对矛盾,在计算机应用日益广泛的今天,要想网络系统安全可靠,势必会增加许多控制措施和安全设备,从而或多或少影响到使用效率和使用方便性。如×××在用户数量达到一定数值时 ,业务系统就会出现延时现象,为保证业务的稳定性,只能通过增加互联网出口备份链路,实现双网接入,并实现负载均衡。
在进行信息系统的安全性改造后,公司网络的安全级别大大提高,但我知道安全永远是一个相对的概念。随着计算机技术的不断进步,网络安全也永远是一个无休无止的话题。
如果将来公司条件允许,我将在以下几个方面进行改造:
1、  建立容灾备份中心
2、  建立外网访问认证中心。
3、  建立网络漏洞扫描系统和信息审计系统。