安全技术的采用和设计

3.3.1　安全技术的采用和设计

3.3.1.1　服务器和数据库的安全性

(1)服务器热备技术

采用基于数据库的管理方式,而数据库中则保存着大量的数据信息。这样一来,运行数据库服务的网络服务器就变得十分关键。为了保证网络安全,数据库服务器可采用双机容错技术(即服务器集群技术),它保证了数据、应用程序和通信资源的高可用性。这种应用的主要优点是:

两台服务器通过软件建立一个虚拟服务器名,数据库资源挂在虚拟的服务器下,客户机访问数据库时直接访问虚拟机,两台服务器一主一备,一旦工作机瘫痪,备份机可以快速接管数据库服务,接管过程对客户机是透明的,这种技术作为成熟技术已经得到广泛的应用并取得了较好的效果。

(2)高可用(HA)技术

对中心存储系统应指定一台服务器作为主MDC(MediaDataCenter),另一台作为备MDC。主备MDC服务器上运行FC管理软件和HA软件,一旦主MDC出故障,备MDC自动切换,并向所有连到与该MDC相关磁盘的站点发出信息,更改磁盘与MDC间的映射关系。这些操作对主机操作系统而言是透明的,也就是说编辑站点无需重启机器就可实现MDC移交。

3.3.1.2　系统安全设计

(1)入网访问控制

入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。

用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。

对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密,加密的方法很多,其中最常见的方法有:基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密,基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等。经过上述方法加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。

网络管理员应该可以控制和限制普通用户的账号使用、访问网络的时间、方式。用户名或用户账号是所有计算机系统中最基本的安全形式。用户账号应只有系统管理员才能建立。用户口令应是每个用户访问网络所必须提交的“证件”,用户可以修改自己的口令,但系统管理员应该可以控制口令在以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。

用户名和口令验证有效之后,再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的账号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。

(2)网络的权限控制

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:特殊用户(即系统管理员)、一般用户(系统管理员根据他们的实际需要为他们分配操作权限)、审计用户(负责网络的安全控制与资源使用情况的审计)。用户对网络资源的访问权限可以用一个访问控制表来描述。

(3)目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、存取控制权限。用户对文件或目标的有效权限取决于以下因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。

(4)属性安全控制

当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。

3.3.1.3　安全区域设置

电视台一体化网络中的每个功能网络(子网络系统)都有相应的安全级别,对应不同的安全区域:

1.网络化采编播存系统网络安全区域

网络化采编播存系统网络安全区域由防火墙、VPN服务器和IDS服务器组成。

通过设置VPN服务器可以实现以下目的:

•在网络层面,将OA网对业务网的访问进行认证、授权、审计;

•隔离OA网和业务网,当VPN连接没有建立时,OA网的PC和业务网的连接是完全断开的;

•断开正在访问业务网的OA网PC的Internet连接,通过在VPN服务器上做安全策略,当OA网PC要访问业务网时,自动断开与Internet的连接。这样就能避免国际网络黑客通过OA网PC攻击业务网,保障业务网的安全。

2.桌面办公区域安全区域

OA网到业务网络的访问,经过VPN和防火墙的加密和隔离,来保障业务系统的安全性和数据完整性。这些控制和处理,都是网络层的操作,仅仅是增加了网络的安全性。对应用程序是透明的,不会对应用系统的规划、设计和开发造成影响和增加实施难度。

在桌面办公区域内设置一个高安全区域,用于放置统一管理平台、人事管理系统和结算系统等重要服务器。

OA区域与Internet的连接的安全部分由互联网安全区域的防火墙、IDS和VPN服务器实现。

3.互联网安全区域

一台千兆防火墙,提供至少3个千兆接口,分成了4个安全区域:OA区域、互联网公共服务区域、互联网流媒体服务系统区域和互联网接入区域。

4.外网VPN接入安全区域

包括Internet用户VPN接入和WLAN用户Internet接入,有两类VPN用户:IPSecVPN和SSLVPN。在防火墙上配置VPN硬件加速卡,做WLAN和Internet用户的IPSecVPN服务器。

5.活动目录复制

在活动目录之间采用IPSEC加密,实现在防火墙两侧活动目录的复制。在主机上运行IPSEC,加密/解密数据是一种高资源占用的任务,使主机的CPU、内存等增加了额外的开销,降低系统运行的效率。可以使用硬件来分担加、解密任务。

业务核心网络的活动目录服务器和位于OA网的活动目录服务器,用防火墙保护起来。在实施IPSEC时,可用密码共享和数字签名的方式做设备双方的身份认证。数字签名在实施时需要数字证书,而数字证书需要PKI(Public Key Infrastructure,公钥基础设施)。如果有PKI,IPSEC通信双方的身份认证可以用数字签名来实现。

•在网络化采编播存系统网络区域交换机旁边放置一台防火墙,形成一个最高级别的全区区域,用于放置活动目录服务器及其他重要的服务器;

•在活动目录服务器间建立一个IPSEC的隧道用于保护活动目录复制的流量;

•在业务安全系统的防火墙上做安全策略,允许活动目录服务器间的IPSEC流量,避免开放众多的活动目录复制用到的TCP/UDP端口,降低了防火墙被攻击的可能性;

•活动目录复制的数据包不能做NAT(Nation Address Translation),在防火墙上做策略,对活动目录服务器间的流量不做NAT。

6.防病毒策略

业务网和办公网各放置一台防病毒服务器。办公网一侧的防病毒服务器直接从Internet上实时更新防病毒软件版本和病毒库。

业务网一侧的防病毒服务器,在人工的干预和管理下,定期地从办公网病毒服务器获取最新的软件版本和病毒库。