- 1、本文档共6页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
短消息中心系统安全防护方案探析
短消息中心系统安全防护方案探讨 [摘要]本文介绍72消息中心系统的安全防护经验,通过在主机系统开启SSH的白名单、限制防问ORACLE主机的IP地址、启用主机防火墙iptables进行端口防问控制方式增加短消息中心系统的安全性
[关键词]短消息中心 安全 防护
一、背景
随着信息安全工作的重视,某通信运营商的短消息中心系统是上级公司和工信部信息安全检查的重点系统,其网络结构如图1所示
在公司组织的安全自查中,共发现系统安全漏洞544个,经过升级操作系统,打软件补丁等方式解决512个,但有32个漏洞由于系统冲突,操作系统厂商停止服务和业务限制等原因无法进行根本性修复,给系统运行带来一定的安全风险。对于此类安全问题,可采取的其它方式进行规避
通常的规避方法为采用防火墙的方式在边界进行控制,即EDM300防火墙上做防问策略,只允许其它网段特定的主机防问短消息中心特定的服务器。通过防火墙的限制,可以消除绝大部分的安全威胁,但当安全威胁来自短消息中心系统内部时,防火墙就无能为力,特别上级部门检查,要求避开防火墙接入内网进行漏洞扫描,因此,防火墙对系统的保护对于安全检查时无法发挥作用。因此需要从其它的途径寻找方法,消除漏洞给信息安全带来的风险
经过对残存的系统漏洞进行统计,可以归纳为三类:
1.SSH远程登录
2.ORACLE数据库系统方面
3.Apache Tomcat JSP应用服务器程序
二、解决方案
2.1SSH远程登录方面解决方案
SSH是目前较可靠,专为远程登录会话的协议工具,以加密方式传送数据,在短消息中心系统中,用于远程登录维护服务器使用,短消息的业务实现本身不使用SSH协议。因此,短消息中心的SSH服务使用者仅限于系统维护人员。因为SSH为本身的服务,可以通过系统服务白名单的方式将允许登录的主机限定于系统维护人员的主机,拒绝其它主机的连接请求
具体做法如下:
1、修改/etc/hosts.allow文件,添加如下内容:
sshd:192.168.1.2:allow
表示允许192.168.1.2地址连接系统的SSH服务
2、修改/etc/hosts.deny文件,添加如下内容:
sshd:all:deny
此文件是拒绝服务列表,修改后文件内容表示拒绝了所有sshd远程连接。当hosts.allow和host.deny相冲突时,以hosts.allow设置为准,这样就通过IP地址精确的指定了可以防问短消息系统的主机
3、重启系统的SSH服务
/etc/init.d/sshd restart
以此步骤,将系统维护人员机器的IP加入到短消息系统的各个主机,使之只允许维护人员远程登录,拒绝其它任何主机的SSH连接
2.2ORACLE数据库系统方面漏洞的解决方案
经过向短消息中心厂商了解,短消息中心的Oracle数据主要在业务实现时各个服务器之间的相互调用,并不需要对其它外界的主机提供的服务。因此对Oracle的连接仅限于短消息中心各个服务器之间,对于其它的IP址,完全可以禁止连接
由于Oracle数据库系统服务并非linux系统本身自带服务,因此不能通过操作系统黑白名单方式进行解决。Oracle提供限制与允许特定的IP或主机名通过Oracle Net来访问数据库。这个功能由sqlnet.ora配置文件来实现。该文件通常$ORACLE_HOME/network/admin/目录下,与tnsnames.ora以及listener.ora位于同一路径。通过监听器的限制,实现轻量级访问限制,比在数据库内部通过触发器进行限制效率要高
根据安全服务厂商绿盟的提供的其它运营商的经验,并经过短消息中心厂商研发确认,决定采用配置sqlnet.ora的方法限制IP访问数据库。具体做法如下:
1、统计短消息中心服务的所有地址,包括服务地址、私网地址及双机浮动地址,并制成列表,避免遗漏以免造成系统之间的数据库访问失败从而影响短消息业务
2、在数据库的主机上修改tnsnames.ora文件,将统计到地址全部加入到tnsnames.ora文件:
tcp.validnode_cheching=yes
tcp.invited_nodes=(172.50.XXX.1,172.50.XXX.2,172.50.XXX.3,ip4,ip5)
通过设置tnsnames.ora文件invited_nodes值,所有没有包含在invited_nodes值中的IP或主机将无法通过Oracel Net连接到数据库,不能使用数据库的服务
3、重启监听器使之生效
Isnrctl reload listener
您可能关注的文档
- 电子商务专业核心课程群建设探讨.doc
- 电子信息工程现代化技术探析.doc
- 电子商务企业退换货物流能力对企业绩效影响实证探讨.doc
- 电子商务在煤炭销售中应用探讨.doc
- 电子商务实训课程教学策略改革思考..doc
- 电子商务服务质量满意度调研探析.doc
- 电子商务环境下企业网络营销方式探讨.doc
- 电子商务环境下物流管理特点、问题与`对策.doc
- 电子商务环境下物流配送模式与`改进措施.doc
- 电子信息工程应用与发展问题初探..doc
- 2024年05月黑龙江双鸭山饶河县事业单位面向社会公开引进高学历人才10人笔试上岸历年高频考点(难、易错点)附带答案详解.docx
- 2024年05月黑龙江鸡西市营商环境建设监督局招考聘用笔试上岸历年高频考点(难、易错点)附带答案详解.docx
- 2024年06月安徽马鞍山含山县选任人民陪审员120人笔试上岸历年高频考点(难、易错点)附带答案详解.docx
- 2024年2月上海交通大学医学院附属上海儿童医学中心招考聘用100人笔试上岸历年高频考点(难、易错点)附带答案详解.docx
- 2024年06月春季奥体中心公开招聘笔试上岸历年高频考点(难、易错点)附带答案详解.docx
- 2024年06月中国农业电影电视中心公开招聘应届毕业生拟录用人选笔试上岸历年高频考点(难、易错点)附带答案详解.docx
- 公路工程监理工程师经济系列(公路工程经济)模拟练习试卷16.pdf
- 公路工程监理工程师经济系列(公路工程经济)模拟练习试卷8.pdf
- 设备工程进度管理方法练习试卷1.pdf
- 环境影响评价师(环境影响评价技术方法)模拟试卷74.pdf
文档评论(0)