E-cology安全方案

E-cology安全解决方案1E-cology安全解决方案建议目录一、企业网络中潜在的不安全因素.......................................................................................2二、解决方案...........................................................................................................................21、防止黑客和病毒的入侵→网络安全管理...............................................................22、存储安全.......................................................................................................................33、多重身份验证认证方式，确保密码安全...................................................................3A、验证码登陆方式，防止外部暴力破解密码............................................................3B、手机动态密码验证....................................................................................................3C、USB硬件加密设置...................................................................................................4D、指纹验证....................................................................................................................44、权限管理，确保系统安全...........................................................................................45、SSL加密传输，确保数据传输安全...........................................................................56、VPN认证，确保移动与异地办公安全.....................................................................57、制度管控，确保规范操作...........................................................................................6三、备份策略：.......................................................................................................................6E-cology安全解决方案2一、企业网络中潜在的不安全因素网络遭黑客、病毒入侵导致信息被窃取服务器人为或者非人为损坏导致数据丢失员工登陆密码过于简单或者被泄露，导致信息泄密管理员帐号泄密，导致系统处于不安全状态网络传输过程中的安全隐患员工主动泄密，导致信息外流移动与异地办公中的安全隐患二、解决方案1、防止黑客和病毒的入侵→网络安全管理在计算机网络飞速发展的同时，黑客技术也日益高超。理论上开放系统都会有漏洞的，正是这些漏洞被一些拥有很高技术水平和超强耐性的黑客所利用。对于操作系统，一些常见的可被利用的漏洞有：网络安全指基于网络运作和网络间的互联互通造成的物理线路和联接的安全、网络系统安全、操作系统安全、应用服务安全、人员管理安全等几个方面，网络安全可由下面的公式来描述：网络安全=风险评估分析+执行安全策略+安全系统实施+漏洞监测+实时响应；技术手段包括：过滤、信息分析监控、安全管理、扫描评估、入侵侦测、实时响应、防病毒保护、存取控制等。措施包括：网络互联级防火墙、网络隔离级防火墙、网络安全扫描评估系统、系统安全扫描评估系统、信息流捕获分析系统、安全实时监控系统、入侵侦测与实时响应系E-cology安全解决方案3统、网络病毒防护系统、强力存取控制系统等。E-cology采用JAVA技术并采用J2EE标准研制，使得E-cology能在不同的平台上运行，这样，用户可以选择安全系数相对较高的unix、linux等操作系统，加上E-cology的三层结构设计，使得各部分功能可以分开，确保底层数据的安全。2、存储安全数据存储安全是企业安全的核心，及时有效的数据备份可以确保数据存储的安全，E-cology提供数据的备份功能加上现有存储技术的发展，E-cology可以实现附件的异地存储，能更好的确保数据的存储安全。另外E-cology支持集群功能，保障了系统的高可靠性、高安全性和高可用性。3、多重身份验证认证方式，确保密码安全E-cology支持多种身份验证，可以确保密码的安全：A、验证码登陆方式，防止外部暴力破解密码B、手机动态密码验证E-cology安全解决方案4用户在使用E-cology帐户和密码登陆，通过第一道认证后，系统随即发送一个临时密码到与该帐号绑定的手机号码上，经过此密码，才能完成正常登陆C、USB硬件加密设置D、指纹验证4、权限管理，确保系统安全E-cology支持机构权限、系统权限的灵活分配。在减轻总部系统管理员工作量的同时，可以达到各级机构独自管理的目的。既可以确保信息的安全，也可以确保不会因为某个系统管理员的误操作带来更大的影响。同时，E-cology的超级管理员（包括分权的管理员）只拥有系统的后台设置权限，对用户的数据在没有授权的情况下是不可访问的，即系统管理员拥E-cology安全解决方案5有最大的后台权限和用户的最小权限。文档是企业数据的核心之一，E-cology对文档的管理权限也非常严格。可以限制文档的访问、下载、打印、拷贝，防止员工有意或者无意泄露企业的机密信息5、SSL加密传输，确保数据传输安全E-cology只需简单设置即可支持SSL加密访问（请参考《SSL设置手册》）。SSL协议支持可以增强系统安全性，通过网络传递的数据均会使用RSA算法进行不对称加密，可以完全杜绝数据包被截获后泄密的可能性，加上第三方权威的CA（CertificateAuthority）认证支持，可以完全确保数据的传输安全。6、VPN认证，确保移动与异地办公安全一般企业都要求当用户在通过企业内部网络访问E-cology的时候拥有相对宽松限制，而当通过internet接入的时候，是禁止或者是有限访问的。但是对于移动办公与异地办公的员工来说，这样就不太符合实际的应用要求。为了同时满足移动、异地办公的需求与系统的安全问题，我们可以采用VPN+SSL认证的方式：E-cology安全解决方案6这样，移动与异地办公的员工，通过身份验证以后，可以与企业内部员工享有同等的权限。7、制度管控，确保规范操作完善的安全管理制度对企业信息的安全至关重要，要明确安全保护责任，建立有效的安全监督机制，以及相应的处罚机制。三、备份策略：理想的备份系统是在软件备份的基础上再加上硬件容错系统，使网络更加安全可靠。网络备份实际上包含了整个网络系统的一套备份体系。主要包括以下几个方面：1.文件备份和恢复优秀的网络备份方案，能够在一台计算机上实现整个网络的文件备份。因为网络备份系统通常使用专用备份设备，而为网络上每台计算机都配置专用设备显然是不现实的。所以利用网络进行高速的备份是网络备份方案必需的功能。2.数据库备份和恢复当今的数据库系统已经相当复杂和庞大，单纯使用备份文件的简单方式来备份数据库已不适用。是否能够将需要的数据从庞大的数据库文件中抽取出来进行备份，是网络备份系统重要的一环。3.系统灾难恢复网络备份的最终目的是保障网络系统的顺利运行。所以优秀的网络备份方案能够备份系统的关键数据，在网络出现故障甚至损坏时，能够在最短时间内迅速恢复网络E-cology安全解决方案7系统。4.备份任务管理对于目前大多数网络管理人员来说，备份是一项繁重的任务，需要完成大量的数据操作，费时费力，如果网络备份能够实现实时、自动备份，将大大减轻管理员的工作强度和时间。4.1备份策略针对中策橡胶OA系统应用，对每一组服务端数据备份策略建议：策略名称策略选项备注备份目标类型○√普通文件○非结构化数据库○√结构化数据库○其他（请注明，如为特殊数据请提供有效的备份方式）1、普通文件包括服务器中的ecology文件夹2、ecology数据库文件备份频率○每天全备份（数据适用）○每周1、3、5、7全备份（数据适用）○√每周日全备份，其他增量（程序和数据库归档文件适用）○每周六/日全备份，其他不备份（变更不频繁的程序文件适用）○每周1、4在线备份，周日冷备，其他不备份（Oracle数据库适用）○其他（请注明）备份窗口范围○无限制○19:00-7:30○√00:00-7:30○03:00-7:30○其他（请注明）数据短期保留周期○3天○7天○10天○√14天○其他（请注明）数据中、长期保留周期○无需求○每周末数据保留一个月，每月抽取一份保留一年○每周抽取一份保留三个月○√每月抽取一份保留一年○其他（请注明）E-cology安全解决方案8灾难演练频率○每一个月一次○每两个月一次○√每季度一次○每半年一次○其他（请注明）4.1备份机制中策橡胶OA系统涉及主要备份内容为：Ecology程序文件系统产生的应用文档数据数据库文件其中，Ecology程序文件只需要定期备份，如每周；系统产生的应用文档数据和数据库文件需要即时备份，按照备份策略进行热备同时必须进行定期的冷备。中策橡胶OA系统备份机制可以根据备份频率和安全程度有几种选择：1)系统自动备份在服务器硬盘在应用服务器端，由ecology系统进行自动文档备份，可以把备份文件放置在不同的盘符中；oracle数据文件也可以由数据库自动进行备份，可以设置备份频率，最好是在服务相对空闲时间，如晚上进行。这样备份风险比较大，一旦服务器损害，数据就有可能丢失。2)利用应用服务器和数据库服务互为备份对中策橡胶OA系统部署，都采用了应用服务器和数据库服务器单独设置的方式，可以采用应用服务器和数据库服务器互为备份服务器的方式，这样也可以节约总体投资成本。但是可能存在问题是会影响服务器的使用性能。最好采用专业备份软件进行备份。3)采用单独的备份服务器考虑数据和文件的高级安全要求，可以采用单独的备份服务器，可以同时对ecology系统文件和数据库文件同时在备份服务器上进行热备或者冷备。需要采用专业备份软件进行备份。以上两种备份方式可以实现快速恢复，而不影响用户的应用！4)采用专业备份设备E-cology安全解决方案9可以采用独立的磁带机或者磁盘柜进行备份。这种备份比较适合冷备策略。存在快速恢复的风险问题。需要采用专业备份软件进行备份。备注：以上几种方案可以单独运行，也可以进行组合，可以由中策橡胶进行组合选择供参考！SubmittedbyWeaver2009年05月24日