(4)防火墙技术
在与外网物理连接的边界结点设置防火墙以防止外部用户对计费网以及计费网用户对外网的非法访问。中国铁通使用的是百兆速率的基于通用操作系统的防火墙硬件设备。如图2所示,银行代收系统与计费网之间设有防火墙,以保证银行和中国铁通的专网之间的访问是按约定端口进行的、是安全的,具有包过滤、封堵禁止的访问行为、记录通过防火墙的信息和活动等功能。
用户管理与资源访问
(1)用户管理
基于三级的维护体制,通过设置用户组等方式,使用户的角色与操作人员的职责范围一一对应。例如,全国计费中心维护人员掌握骨干层面主机、路由器等设备的访问权;省计费中心维护人员只能修改省中心主机、路由器的参数;厂商技术人员需要访问主机诊断故障时,仅临时授予访问的权限,故障诊断完则立即删除用户或更改密码。
(2)身份认证与口令管理
操作人员对计算机系统的访问通过口令举行身份认证。口令安全管理按照安全管理组口令保管员、口令使用者(超级用户管理员、普通使用者)两个层次、三种角色构成口令安全管理体系框架。口令长度须在9~15位之间,并且由字母、数字及各种特殊字符共同组成。每月定期修改口令。
(3)数据安全
为保证数据安全,特别是数据库中用户资料、计费详单、账务信息、销账记录等数据的完整、保密、可用,采用“0+1”方式定期备份数据库事务日志、数据库内容的安全措施。利用严格的用户身份认证鉴别、访问控制技术控制对数据库的后台访问。
病毒防范与动态安全管理
(1)病毒防范技术
技术上,在所有PC机上安装统一配置的网络版防毒软件来防毒,并且定期更新病毒特征库和全面杀毒以及下载操作系统安全补丁;管理上,使用外来文件时必须执行查毒、杀毒程序,切断病毒利用可移动媒介传播的途径,防止感染病毒。当发现计算机感染病毒时,立即拔掉网线,断开与计费网的连接,在查杀病毒确保无毒之后才能重新连到计费网。
(2)动态安全管理技术
主要用人工检测辅以简易的安全漏洞扫描工具的方式,寻找安全漏洞、发现安全隐患,不断完善安全防护体系。例如,安全管理组口令保管员定期抽查用户口令的更新情况;系统管理员定期查看日志;网管员每天监控网络流量,如有异常,则采取屏蔽地址的方式,以防止病毒或黑客攻击。
(3)安全审计
所有应用系统级操作产生的系统操作日志必须在线保留6个月、离线保留2年。值班日志、各项工作记录、各项备份记录等资料也进行保留。通过分析各类访问记录、系统日志,安全审计可以发现违反安全策略的活动,不但有助于系统管理员确保系统及其资源免遭非法授权用户的侵害,同时还能有助于数据恢复。
灾难预防与系统恢复
(1)双机热备
在用的主机设备均采用双机热备技术。如在HP小型机上配置MC/ServiceGuard软件,当一台主机宕机时,能迅速将应用程序切换到备用机上,保持业务运行的高可用性。
(2)磁带备份
计费、营业、账务、结算等系统均配置磁带库,每天进行一次增量备份、每周进行一次全备。当磁盘阵列上的数据发生损坏时,能迅速从备份磁带中恢复数据。
(3)网络备份
路由器、交换机等主要网络设备均采用1+1冗余备份,全国计费中心到省中心,省中心到地市中心的路由均为一主一备双路由设备。
(4)应急预案