大型信息系統(tǒng)的安全保障研究

摘要:文章分析了大型信息系統(tǒng)的安全目標(biāo),指出需要一系列保障機(jī)制。在此基礎(chǔ)上研究了主要的大型信息系統(tǒng)保障機(jī)制,在一定程度上解決了網(wǎng)絡(luò)安全的問題,對網(wǎng)絡(luò)數(shù)據(jù)庫應(yīng)用、服務(wù)器管理都有重要的參考價(jià)值。

關(guān)鍵詞:網(wǎng)絡(luò)安全;USB Key;信息系統(tǒng);防火墻

中圖分類號:TP309文獻(xiàn)標(biāo)識碼:A 文章編號:1674-1145(2009)18-0048-01

保持關(guān)鍵的信息資產(chǎn)的安全性在各領(lǐng)域內(nèi)都是至關(guān)重要的。一些信息系統(tǒng)只關(guān)心功能實(shí)現(xiàn),重點(diǎn)做網(wǎng)絡(luò)結(jié)構(gòu)、硬件配置。但網(wǎng)絡(luò)和信息的安全保障卻又是不容忽視的,不能只是購買一套防火墻、安裝一套殺毒軟件,需要有相應(yīng)的安全管理機(jī)構(gòu)和安全管理措施。尤其是對于大型信息系統(tǒng),應(yīng)將安全體系設(shè)計(jì)作為一個課題進(jìn)行開發(fā),為信息系統(tǒng)提供一個安全的環(huán)境和完整的平臺,解決來自網(wǎng)絡(luò)內(nèi)、外部對網(wǎng)絡(luò)安全造成的各種威脅。

一、信息系統(tǒng)安全性目標(biāo)

系統(tǒng)安全技術(shù)實(shí)施目標(biāo):確保信息和信息系統(tǒng)的完整性、保密性、可用性、時效性、可審查性和可控性。提高員工的信息安全意識、安全專業(yè)素質(zhì)以及安全管理水平。提高信息系統(tǒng)的可用率和災(zāi)難恢復(fù)能力,為業(yè)務(wù)的可持續(xù)性運(yùn)行提供保障。實(shí)施原則:遵循國內(nèi)、國際的信息安全標(biāo)準(zhǔn)及行業(yè)規(guī)范,對信息系統(tǒng)實(shí)行等級保護(hù)。在確保信息系統(tǒng)性能和安全的前提下,充分利用資源,講究實(shí)效,避免重復(fù)和盲目投資,積極采用國家法律法規(guī)允許的、成熟的先進(jìn)技術(shù)和專業(yè)安全服務(wù),運(yùn)用科學(xué)的經(jīng)營管理方法,降低成本,保障安全運(yùn)行。

二、系統(tǒng)安全性建設(shè)

(一)建立多級熱備系統(tǒng)

為滿足企業(yè)系統(tǒng)高可用性容錯業(yè)務(wù)需求,微軟強(qiáng)力推薦用戶采用Windows Server 2003企業(yè)版、SQL Server 2000企業(yè)版以及Exchange Server 2003企業(yè)版來構(gòu)建其業(yè)務(wù)應(yīng)用與協(xié)作辦公平臺。由于Windows Server 2003、SQL Server2000以及Exchange Server 2003企業(yè)版中內(nèi)置Cluster群集功能,外加一共享磁盤柜或SAN,2臺服務(wù)器就能實(shí)現(xiàn)群集配置,SQL Server 2000與Exchange Server 2003互為熱備地對外提供服務(wù),即充分利用了服務(wù)器硬件資源,又大大提高了整個業(yè)務(wù)應(yīng)用的高可用性。服務(wù)器集群的方式包括:本地端的服務(wù)器集群、城域網(wǎng)絡(luò)的服務(wù)器集群、廣域網(wǎng)絡(luò)的服務(wù)器集群。以下分別解釋這3種:

1.本地端的服務(wù)器集群(Local cluster)是在同一建筑物里,或者同一機(jī)房系統(tǒng)中,多增加一組服務(wù)器系統(tǒng),隨時接手主服務(wù)器系統(tǒng)若因硬件過熱當(dāng)機(jī),或其他因素的毀損,可以讓另外一臺次服務(wù)器系統(tǒng)隨時上線運(yùn)作。但是,這并不能算是異地災(zāi)備,因?yàn)榛旧显谕粭澖ㄖ?外一該建筑物遭地震樓塌,或者火災(zāi)等狀況,主系統(tǒng)與次系統(tǒng)都是遭受同樣毀損的命運(yùn)。因此,這類型的服務(wù)器集群頂多只能是以防主系統(tǒng)臨時性故障而代替的接續(xù)方案,并還未做到異地災(zāi)備的機(jī)制。

2.城域網(wǎng)絡(luò)的服務(wù)器集群(Metropolitan Disaster Recovery)。如果災(zāi)備地點(diǎn)在100km以內(nèi),采用遠(yuǎn)程鏡射(remote mirror)成本足夠,可采用鋪設(shè)光纖網(wǎng)絡(luò)的方式,將本地端的系統(tǒng)以“鏡射”(mirror)的方式,災(zāi)備至遠(yuǎn)地端;如果災(zāi)備的兩點(diǎn)間相距非常遠(yuǎn),考慮到成本的緣故,采用以太網(wǎng)絡(luò)方式,將本地端的服務(wù)器系統(tǒng)復(fù)雜到遠(yuǎn)地端的主服務(wù)器系統(tǒng),遠(yuǎn)地端的主服務(wù)器系統(tǒng)會集群一份到遠(yuǎn)地端的次服務(wù)器系統(tǒng)。

3.廣域網(wǎng)絡(luò)的服務(wù)器集群(Wide Area Disaster Recovery):這類型的服務(wù)器叢級是不同的兩個局域網(wǎng)絡(luò),采用光纖或IP以太網(wǎng)絡(luò)相互串連,因此,當(dāng)主局域網(wǎng)絡(luò)毀損時,另一個遠(yuǎn)地端的局域網(wǎng)絡(luò)可以馬上接手。

(二)采用動態(tài)VPN 技術(shù)增加備份

采用VPN技術(shù)在公網(wǎng)上傳輸用戶的業(yè)務(wù)數(shù)據(jù),其安全性是有保證的。現(xiàn)在的VPN設(shè)備一般都已經(jīng)內(nèi)置了最新的防火墻技術(shù),包括基于連接的狀態(tài)數(shù)據(jù)包過濾SPI技術(shù)對廣域網(wǎng)絡(luò)設(shè)備的管理,也采用了完善的加密機(jī)制,可確保整個網(wǎng)絡(luò)的安全。因此,隨著國內(nèi)寬帶接入的成熟和線路的日趨穩(wěn)定,在基于寬帶接入的基礎(chǔ)之上采用VPN技術(shù)作為證券公司的備份廣域網(wǎng)連接,是目前一種非常可行的解決方案。如果采用支持VPN隧道雙方均為動態(tài)ADSL接入的VPN方案,可方便快捷地為信息系統(tǒng)構(gòu)建高性價(jià)比的廣域備份互連。

(三)基于USB Key的身份

現(xiàn)在的許多大型信息系統(tǒng)注重了密碼,忽視了“木馬”。很多系統(tǒng)注重網(wǎng)絡(luò)通信方面的安全性。黑客可以通過簡單的木馬程序等手段竊取操作者的賬號、密碼等信息。采用基于USB的key數(shù)字認(rèn)證是一個解決手段。USB Key具有安全可靠,便于攜帶、使用方便、成本低廉的優(yōu)點(diǎn),被認(rèn)為將會成為身份認(rèn)證的主要發(fā)展方向。我國的一些CA中心也把與USB Key結(jié)合看成一個重要的發(fā)展趨勢,將基于SHECA數(shù)字證書開發(fā)的數(shù)字印章無縫嵌入到了USB Key當(dāng)中。從長遠(yuǎn)來看,伴隨證書應(yīng)用的不斷深入以及單位成本的降低,支持RSA 算法的高端USB Key 將更加符合發(fā)展的趨勢。

三、結(jié)語

我國大型信息網(wǎng)絡(luò)安全建設(shè)仍處于起步階段,與發(fā)達(dá)國家還是有很大的距離。有大量工作需我們研究和探索,走出有中國特色的發(fā)展之路,趕上或超過發(fā)達(dá)國家水平,保證我國信息網(wǎng)絡(luò)的安全,推動國民經(jīng)濟(jì)高速發(fā)展。

參考文獻(xiàn)

[1]雷震甲.網(wǎng)絡(luò)工程師教程[M].北京:清華大學(xué)出版社,2004.

[2]王春森.系統(tǒng)設(shè)計(jì)師[M].北京:清華大學(xué)出版社,2001.

[3]郭軍.網(wǎng)絡(luò)管理[M].北京郵電大學(xué)出版社,2001.

[4]計(jì)算機(jī)用戶[J].賽迪網(wǎng),2002-04-18.

作者簡介:景青山(1970-),男,河南鄧州人,河南財(cái)政稅務(wù)高等專科學(xué)校現(xiàn)代教育技術(shù)中心實(shí)驗(yàn)師,碩士,研究方向:計(jì)算機(jī)科學(xué)技術(shù)。