中国地质大学（北京）数字校园应用系统的安全措施.PDFVIP

中国地质大学（北京） 信息网络中心文件 信息网络中心 2013.5.15 _____________________________________________________________________ 我校数字校园建设于2008年，在统一身份认证、统一平 台、统一门户的构架中，其核心是应用系统，主要包括：教 务管理系统、研究生管理系统、学生工作管理系统、学生收 发费系统、数字迎新系统、协同办公系统、人事管理系统、 科研管理系统、财务管理系统、设备资产管理系统、实验室 管理系统、后勤管理系统等。 数字校园应用系统成为校内主要部门的业务处理平台， 也是广大教职工及学生的信息获取平台，内容涉及到教学、 科研、学习、生活等方方面面。因此应用系统的安全管理就 显得非常重要，一方面要保障应用系统的正常运行，一方面 还要保障业务信息的安全。 1 系统架构 1、部署在校园内网 除了个别有特殊要求的应用，几乎所有的应用系统由校 1 园网防火墙隔离，部署在校园内网，校园网用户通过统一身 份认证授权直接访问数字校园应用系统，校外用户通过VPN 获取校内IP地址后再通过统一身份认证授权访问数字校园 应用系统。 2、使用Linux操作系统 Linux比Windows操作系统更稳定：Linux更新无需重启， 这意味着不需要停止Server，是真正的Server；Linux很少 宕机；Linux处理多进程比Windows要好很多。 Linux比Windows操作系统更安全：Linux建立在Unix上， 从开始就是为多用户设计的操作系统；几乎没有用户或应用 可以访问内核；Linux也会被攻击，但是反应速度明显高于 Windows。 3、应用与数据分离 为增强应用系统抗风险能力，将应用系统的应用服务器 和数据库服务器分离，应用系统和数据库分别安装部署不同 的服务器上，并对应用和数据库分别做数据备份。 4、数据库系统RAC模式 数字校园的核心业务系统都是使用Oracle数据库、并采 用RAC双机并行模式。Oracle RAC并行模式与传统的双机热 备方式不同。传统的双机热备环境中，始终有一台机器作为 备用机，只有当主节点出现问题的时候才换切换到备用机上。 而RAC是一种双机并行模式的架构，也就是说，两个节点的 2 集群节点间是并行运行并具有负载均衡关系，当一台主机出 现故障或Oracle 进程宕机，RAC会自动漂移到另一台主机或 Oracle 进程，RAC 模式极大地提高了系统的可靠性。 5、应用系统主备模式 对于关键的业务应用系统的应用程序，除了正式运行着 的应用服务器，还专门搭建了与正式环境相同的备用应用服 务器环境，并且无论是对应用程序升级还是对应用程序备份， 主、备两套应用程序都同时处理，以确保正式运行的应用程 序出现问题时，随时可以切换到备用应用程序上。 2 系统安全防护 1、操作系统密码策略 应用服务器的操作系统密码安全非常关键，对于操作系 统密码的保护至少做到以下几点： （1）所设置密码的安全强度要比较高，不能简单，如： 至少10 位以上，同时包含数字、大小写字母或特殊字符。 （2）定期修改密码。 （3）密码不要记下来随手乱放，最好以加密手段来存储 和记录密码 2、系统防火墙 防火墙对流经它的网络通信进行扫描，这样能够过滤 掉一些攻击，以免其在目标计算机上被执行。防火墙还可以 3 关闭不使用的端口。而且它还能禁止特定端口的流出通信， 封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问， 从而防止来自不明入侵者的所有通信。防火墙具有很好的保 护作用。入侵者必须首先穿越防火墙的安全防线，才能接触 目标计算机。你可以将防火墙配置成许多不同保护级别。高 级别的保护可能会禁止一些服务，如视频流等，但至少这是 你自己的保护选择。 3、系统安全扫描 （1）采用