《用友NC系统安全管理.ppt》由会员分享,可在线阅读,更多相关《用友NC系统安全管理.ppt(45页珍藏版)》请在三一文库上搜索。
1、NC系统安全管理,1.1 企业信息安全的重要性,NC系统安全管理对策,2,1.2 企业信息安全概念及标准,1.1 企业信息安全的重要性,上半年国内企业信息安全事故的频发,企业网站、电子商务网站及政府信息网络均曾遭到不同程度的攻击,部分知名网站甚至出现大规模的数据泄露,发生在我们身边的信息安全事件,超过1000家企业在此次恐怖主义袭击中遭受致命打击,企业信息面临着多少威胁?,水灾 火灾 地震 掉电 硬件故障 病毒 木马 入侵 操作失误 恶意篡改 系统漏洞 泄密 旁路控制 抵赖 业务欺骗 IP欺骗 Ddos攻击 数据窃听 软件漏洞 管理疏忽,1.1 企业信息安全的重要性,和信息安全相关的统计数字?
2、 -基于全球2600多家企业的调查,68%的企业在信息安全方面投入明显不足 19%的公司每年经历15次以上的数据丢失或被盗事件,80小时以上因IT故障带来的业务中断,15种以上不符合IT审计要求的缺陷 其因数据丢失和被盗所损失的成本相当于全年收入的9.6%,因业务中断所损失的成本几乎相当于全年收入的3% 其数据丢失或被窃及业务中断所带来的总成本竟高达3.29亿美元 合理调整用于降低风险、损失和审计费用的支出所带来的经济回报与公司能够承担的损失相比要高出1000-500,000%,1.1 企业信息安全的重要性,互联网资源与服务滥用地下产业链 -黑帽技术、工具与培训地下产业链,1.1 企业信息安全
3、的重要性,1.1 企业信息安全的重要性,NC系统安全管理对策,2,1.2 企业信息安全概念及标准,信息安全的政策性文件,中办200327号文件:国家信息化领导小组关于加强信息安全保障工作的意见; 公通字200466号文件:关于信息安全等级保护工作的实施意见; 国保200516号文件:关于印发涉及国家秘密的信息系统等级保护管理办法;颁布涉及国家秘密的信息系统等级保护技术要求国家保密标准的通知; 2005年9月国信办:电子政务等级保护实施指南; 公通字20067号文件:信息安全等级保护管理办法试行; 公信安2007861号文件:关于开展全国重要信息系统安全等级保护定级工作的通知;,1.2 企业信息
4、安全标准及概念,信息安全的国家标准,GB/T 22240-2008信息系统安全等级保护定级指南 GB/T 22239-2008信息系统安全等级保护基本要求 GB/T 18018-2007路由器安全技术要求 GB/T 21028-2007服务器安全技术要求 GB/T 21052-2007信息系统物理安全技术要求 GB/T 21053-2007PKI系统安全等级保护技术要求 GB/T 21084-2007信息安全风险评估规范 GB/Z 21085-2007信息安全事件管理指南 GB/Z 21086-2007信息安全事件分类分级指南 GB/T 21088-2007信息系统灾难恢复规范 GB/T 20
5、269-2006 信息系统安全管理要求 GB/T 20270-2006 网络基础安全技术要求 GB/T 20271-2006 信息系统安全通用技术要求 GB/T 20272-2006操作系统安全技术要求 GB/T 20272-2006数据库管理系统安全技术要求 GB/T 20282-2006 信息系统安全工程管理要求 ,1.2 企业信息安全标准及概念,信息安全相关的重要概念:需要保护的对象,实体安全:保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程 运行安全:保障系统功能的安全实现,提供的一套安全措施来保护信息处理过程的安全 信息资产安全:
6、防止信息资产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制 人员安全:信息系统使用人员的安全意识、法律意识、安全技能,1.2 企业信息安全标准及概念,信息安全相关的重要概念:信息安全特性,完整性(Integrity):信息在存储、传输和提取的过程中保持不被修改延迟、不乱序和不丢失的特性 可用性(Availability):保障授权使用人在需要时可以获取信息和使用相关的资产 保密性(Confidentiality):保障信息仅仅为那些被授权使用的人获取 可控性(Controllability):可以控制授权范围内的信息流向以及行为方式,对信息的传播及内容具有控制能力,1.2
7、 企业信息安全标准及概念,信息安全相关的重要概念:安全保护能力等级,1.2 企业信息安全标准及概念,常见的技术手段,1.2 企业信息安全标准及概念,信息安全问题不是从技术上就能完全杜绝的,技术手段可以解决所有的安全问题吗?,1.2 企业信息安全标准及概念,2.1 NC系统结构及安全体系,NC系统安全管理对策,2,2.2 NC系统安全加固,2.3 NC系统安全加固实践,2.1 NC系统结构及安全体系,NC的安全体系,软件,磁盘阵列 服务群集 灾备策略,数据备份 代码备份 商业中间件,密码策略 CA认证 通信加密 专线网络 访问隔离,日志管理 系统监控 授权管理 环境安全,硬件故障 灾难,代码破坏
8、 数据丢失 源码泄露,非法登录 网络窃听 网络欺骗,恶意操作 越权处理,硬件,应用,人员,2.1 NC系统结构及安全体系,硬件安全,NC系统要求定期的巡检,保障系统软硬件正常高效使用 数据服务器最少使用RAID5,RAID0或者更好的磁盘阵列保证在磁盘发生故障时系统正常工作 可使用应用及数据库的集群技术 制定严格的机器管理制度和监控措施:机房的门禁、机柜的开关,操作录像、电源保护、线路防护、设备的开关机等都将在考虑范围内 提供设备良好的运行环境:防火防尘,通风降温等措施能保障服务器设备的长期稳定运行,降低事故风险,2.1 NC系统结构及安全体系,软件安全,定期对业务数据及软件代码进行备份 基于
9、J2EE的安全软件模型 使用了商业的中间件,可利用其成熟的安全机能 定期保存操作系统,网络设备,NC系统的操作访问日志以备安全审计,2.1 NC系统结构及安全体系,备份策略,最好使用专业的备份软件和磁带机来实现。备份周期应该在每天中午和晚上增量(或差异)备份一次,每天换一个盘。每周全备份一次,每周换一次盘。保有10周备份盘(共10盘),而这10个盘还处理每天的差异(或增量)备份,2.1 NC系统结构及安全体系,NC日志 NCHOME/nclogs,2.1 NC系统结构及安全体系,应用安全,多种登录,身份认证机制(静态密码,动态密码,CA认证) 网络传输安全,多层次的传输加密机制 可使用合理的网
10、络隔离措施(WEB服务外置,VPN) 定期保存操作系统,网络设备,NC系统的操作访问日志以备安全审计,2.1 NC系统结构及安全体系,登录,身份认证机制,静态密码的加强策略:以root身份登陆系统管理,进入密码策略功能节点进行设置,动态口令:集成的第三方动态口令系统中,采用了基于时间、事件和密钥三变量而产生的一次性口令来代替传统的静态口令,USB智能卡:集成第三方基于PKI体系的USB智能卡系统,这种类型的系统利用标准的加密算法技术,实现了网络安全方案中数字签名、身份认证和密钥安全管理以及分发传递等功能。,2.1 NC系统结构及安全体系,NC登录界面的信息屏蔽,定制登录界面,隐藏公司信息,2.
11、1 NC系统结构及安全体系,网络传输安全,启用SSL,首先生成一个keystore,配置NC,2.1 NC系统结构及安全体系,合理的网络隔离措施,采用外置WEB服务器的网络拓扑结构,2.1 NC系统结构及安全体系,NC系统的结构和安全体系 NC系统的软硬件安全要求 NC软件在安全方面的技术 合理的网络结构,小结,NC是什么结构的软件,有什么特点?,有哪些安全方面的技术?,有哪些安全要求?,2.1 NC系统结构及安全体系,2.2 NC系统结构及安全体系,NC系统安全管理对策,2,2.3 NC系统安全加固,2.3 NC系统安全加固实践,操作系统安全加固,使用C2级的操作系统(Linux,windo
12、ws2003) 加强操作系统管理员的密码管理(强密码,定期更换) 关闭不需要的服务和端口 定期备份操作系统日志 使用安全扫描软件进行扫描,2.2 NC系统安全加固,Liunx操作系统安全加固概要,了解有哪些用户,锁定不需要的用户 #cat /etc/passwd#cat /etc/shadow 了解系统正在运行的内容 # less /etc/services (列出所有服务运行的端口) # ps -auxf daemons.txt(把所有后台打印列表) # cd /var/run/|ls -al(查看启动服务的进程号文件) 禁止root用户远程登录,禁止多个超级用户 #vi /etc/ssh/
13、sshd_config 更改为PermitRootLogin no 限定信任主机 #vi /etc/ssh/sshd_config,添加以下语句AllowUsers *10.138.*.* 设置帐户锁定登录失败锁定次数、锁定时间 #vi /etc/pam.d/system-authauth required pam_tally.so onerr=fail deny=6 unlock_time=300 设置Bash保留历史命令的条数 #vi /etc/profile修改HISTSIZE=5和HISTFILESIZE=5 ,2.2 NC系统安全加固,Windows操作系统安全加固,禁用guest账
14、号,禁用无用账号 将administrator账号改名,并且设置强密码 隐藏控制台上次登录用户名 HKLMSOFTWAREMircorsoftWindowsNTCurrentVersionwinlogon 将DontDisplayLastUserName项键值改为1 禁用IIS等无用服务 删除各类共享文件夹 关闭NetBIOS 关闭文件和打印共享服务 删除系统默认共享 ,2.2 NC系统安全加固,WAS中间件的安全增强,在不使用控制台或者是不做代码部署时,关闭Dmgr服务(WAS控制台) WASHOME/WebSphere/AppServer/profiles/Dmgr01/bin/stopM
15、anager.bat(.sh),2.2 NC系统安全加固,WAS中间件的安全增强,打开WAS中间件的安全管理,2.2 NC系统安全加固,应用加固,不使用常用的80端口访问 设定合适的用户自动下线时长 重新设定超级管理员,不使用root这样的默认值,2.2 NC系统安全加固,2.1 NC系统结构及安全体系,NC系统安全管理对策,2,2.2 NC系统安全加固,2.3 NC系统安全加固实践,2.3 NC系统安全加固实践,2.3 NC系统安全加固实践,2.3 NC系统安全加固实践,2.3 NC系统安全加固实践,安全意识的缺失和制度上的漏洞带来哪些问题,2.3 NC系统安全加固实践,安全措施需要花费那么大的精力和财力吗?,ERP(NC)系统非常重要!,ERP(NC)系统非常复杂!,2.3 NC系统安全加固实践,木桶理论: 一个桶能装多少水不取决于桶有多高,而取决于组成该桶的最短的那块木条的高度。 信息安全是一个系统工程,涉及到多个方面。某一方面的缺陷会导致严重的安全事故。,安全问题仅仅是IT部门,IT人员的事情吗?,2.3 NC系统安全加固实践,操作系统的常见安全加固措施 NC软件的安全加固措施 常见的安全方案,小结,休息和讨论时间,如何制定适合的安全对策?,用信息技术推动商业和社会进步!,Thank you!,