mysql安全保密設計 系統安全設計

2021-10-18 22:15:28 字數 2402 閱讀 9210

1.1 標識與確認

任何使用者訪問系統資源,必須得到系統的身份認證以及身份標識,如使用者的資料證書、使用者號碼、密碼。當使用者資訊與確認資訊一致時,才能獲准訪問系統。在本系統中,對作業系統,資料庫系統和應用系統都有相應的使用者和許可權的設定。

1.2 授權

對系統資源,包括程式、資料檔案、資料庫等,根據其特性定義其保護等級;對不同的使用者,規定不同的訪問資源許可權,系統將根據使用者許可權,授予其不同等級的系統資源的許可權。

1.3 日誌

為了保護資料資源的安全,在系統中對所保護的資源進行任何訪問操作,都做相應的記錄,形成日誌存檔,完成基本的審計功能。

1.4 加密

為了保護資料資源的安全,在系統中對在網路中傳輸的資訊必須經過高強度的加密處理來保證資料的安全性。

通過整體考慮來保證網路服務的可用性、網路資訊的保密性和網路資訊的完整性。

2 系統級安全

系統級安全主要體現在物理裝置的安全功能以及系統軟體平台的安全設定上。

2.1 物理裝置的安全措施

在系統裝置的選用上,必須對各產品的安全功能進行調查,選用。要求對系統裝置提供容錯功能,如冗餘電源、冗餘風扇、可熱插拔驅動器等。對系統的備份方案在下節進行討論。

採用各種網路管理軟體,系統監測軟體或硬體,實時監控伺服器,網路裝置的效能以及故障。對發生的故障及時進行排除。

2.2 作業系統平台的安全管理

在作業系統平台上,應進行如下設定:

系統的超級使用者口令應由專人負責,密碼應該定期變換。

建立資料庫的專用使用者,系統在與資料庫打交道時,應使用專用使用者的身份,避免使用超級使用者身份。

在系統的其他使用者的許可權設定中,應保證對資料庫的資料檔案不能有可寫、可刪除的許可權。

選用較高安全級別的作業系統,時刻了解作業系統以及其他系統軟體的動態,對有安全漏洞的,及時安裝補丁程式。

2.3 資料庫系統的安全管理

資料庫系統是整個系統的核心,是所有業務管理資料以及清算資料等資料存放的中心。資料庫的安全直接關係到整個系統的安全。在本系統中對此考慮如下:

資料庫管理員(sa)的密碼應由專人負責,密碼應該定期變換。

客戶端程式連線資料庫的使用者絕對不能使用資料庫管理員的超級使用者身份。

客戶端程式連線資料庫的使用者在資料庫中必須對其進行嚴格的許可權管理,控制對資料庫中每個物件的讀寫許可權。

利用資料庫的審計功能,以對使用者的某些操作進行記錄。

充分使用檢視以及儲存過程,保護基礎資料表。

對於不同的應用系統應建立不同的資料庫使用者,分配不同的許可權。

3 應用級安全

針對本系統,我們在考慮其應用級安全時,主要真對以下幾個方面:

系統的使用者授權及安全訪問控制

全面的日誌管理機制

各種型別資料的加密

採用相關的網路版的防病毒軟體

3.1 使用者授權及安全訪問控制

對於使用者授權和安全訪問控制的有關需求,我們在實現本系統時,利用系統的基本定製功能實現對使用者屬性的定製,可新建使用者及使用者組,新建角色,使用者組可為多層巢狀結構,可按不同使用者級別和組級別進行許可權分配;角色可以按不同使用者級別和組級別進行許可權分配,支援pki技術的ca安全認證功能及基於ldap的目錄服務等功能,支援https安全鏈路加密訪問,支援ssl證書安全認證功能。系統設有xss過濾器防止xss漏洞攻擊,同時設有sql過濾器,防止sql注入攻擊。

3.2 日誌管理機制

實現系統使用情況的日誌記錄,系統對重要的操作都自動進行日誌記錄,管理人員對日誌記錄進行查詢、管理;

提供使用者訪問系統記錄,目前提供使用者名稱,使用者ip,登入時間,記錄時間, 操作內容等。

3.3 資料加密及資料保護

系統將對傳輸過程中的資訊進行加密處理,對資訊進行保護,以防止資訊洩露。

4 災難備份與應急故障恢復

4.1 系統備份

為保證系統長期、穩定的執行,設計必須考慮系統的備份方案,根據系統的硬體環境,可對主機、磁碟子系統、通訊介質備份或容錯。

4.2 資料備份與恢復

在系統執行過程中,經常會由於裝置以及其他因素的原因,導致系統的崩潰,資料庫的毀壞。為了系統資料安全,無論採用何種系統備份方案,也必須進行資料備份。在系統設計中,應建立一套有效的備份策略,建立完善的備份制度。在本系統中考慮如下:

備份方式可採用完全備份與增量備份相結合方式進行備份;

備份時間頻度應結合系統的資料增量來確定,如每天一次、每週一次等;

對系統資料庫也需定期備份,但備份時間可以是每月一次,但在系統表有所變化時,必須當天進行備份;

備份介質可為磁帶、可擦寫光碟或mo等可移動介質,絕對避免使用本機硬碟;

備份裝置以及介質必須定期檢查和維護,保證備份工作不能由於裝置以及介質的原因而耽誤;

定期對於備份的正確性和完整性進行檢驗;

備份工作必須由專人負責,備份介質專人保管,確保備份資料的安全;

當系統發生故障時,應及時利用備份檔案,該系統恢復至最近的完整狀態,並通知使用者及時補輸期間丟失的資料,直至恢復到系統發生故障前正確的狀態。

系統安全性設計

系統安全性設計可以劃分為如下幾個層次 程式設計安全性 程式部署及作業系統安全性 資料庫安全性 網路安全性 物理安全性 就程設計的安全性,針對現在大多系統的分布式結構,因為同時要面向不同地理位置,不同網路位址,不同級別,不同許可權的使用者提供服務,稍不留神就可能產生潛在的安全隱患,如下是最常見的由設計...

系統安全管理

1 禁止root使用者登陸,使用普通使用者登陸再切換root使用者 2 更改ssh連線埠 3 定期更改系統密碼,或使用金鑰的方式連線 4 使用堡壘機管理伺服器 5 編寫指令碼防止ssh暴力破解 1 shell指令碼 bin bash denyhosts shell scripts if d root...

系統安全 Firewall

netfilter iptables是與最新的2.6.x版本linux核心整合的ip資訊包過濾系統。如果linux系統連線到網際網路或lan 伺服器或連線lan和網際網路的 伺服器,則該系統有理由在linux系統上更好的控制ip資訊包過濾和防火牆配置。雖然netfilter iptablesip資訊...