信息系統安全設計淺析

尹玲玲

遼寧省自然資源事務服務中心 遼寧沈陽 110000

1 系統安全總體設計

計算機系統安全體系內容主要有：物理安全、網絡安全、操作系統安全、數據庫安全、應用系統安全。

2 系統安全詳細設計

2.1 物理安全

對于計算機信息安全體系當中，物理安全其主要指的是信息系統保護的安全物理環境因素，是控制信息技術安全的一種有效方式。但是在實踐中，需要了解自然因素造成的危害，需要從物理安全層面做好防護。若物理安全效果不佳，一旦計算機設備受到外界因素或是人為因素影響時，一切安全防護將變得沒有意義[1]。

2.1.1 環境安全

（1）機房與設施安全。想要切實的將系統的安全性與可靠性，需要將安全的環境構建出來。而該環境其主要包含了基礎的實施，是提升體系運行的關鍵。主要內容有機房等級、環境條件、機房建造、機房裝修以及計算機的防護等方面。

（2）環境與人員安全。對于環境以及人員的安全其主要涉了防振動沖擊、防水、防火以及物理、生物災害等方面造成的影響，通過對環境以及人員的安全管理，能夠減少外界因素給系統造成的影響。

（3）防其他自然災害。其他自然災害包含了空氣濕度、腐蝕以及潔凈度、電氣干擾以及外界雷擊等因素造成的影響。

2.1.2 設備安全

防盜與防毀以及防、防電磁泄漏發射是設備安全管理中需要關注的內容。

（1）防盜和防毀。一旦計算機系統或是備份資料出現銷毀或者被盜時，不僅丟失數據同時還給設備的本省造成損失問題。所以，在計算機安全防護中組好防盜以及防毀問題控制。通常采取的防盜、防毀措施主要有：設置報警器——將入侵報警器放置于機房周圍當中，侵入報警的形式主要有光電、微波、紅外線和超聲波；鎖定裝置——在計算機設備中，在個人計算機中通過該裝置的應用，以減少犯罪盜竊問題情況[2]。

（2）防止電磁泄漏發射。電子隱蔽技術與物流抑制技術是控制計算機信息泄露的有效方式；針對前者而言主要是通過干擾、調頻方式保護信息安全；針對后者而言，主要是對信息控制管控減少信息外露情況出現。

（3）防電磁干擾。對于電磁干擾而言，主要指的是通過電子設備輻射產生一定荷載范圍時，給系統設備本身與電子設備造成的影響。電子干擾信號來源于電視、廣播、以及雷達等相關電子儀器發出的信號。計算機在此環境中很容易受到電磁干擾的影響。所以，在實踐階段中，需要對出現的電磁干擾問題進行分析。

2.1.3 介質安全

介質安全其主要涉及了媒體數據安全以及媒體自生的安全。針對媒體自身的安全保護而言，其涉及內容有防霉、放毀、防盜等問題；而針對媒體數據安全保護而言，主要是通過管理數據不收到破壞、盜取、篡改。

2.2 網絡安全

（1）身份認證。通過數字證書以及PKI技術認證方式進行安全保護。對于數字證書而言其主要是由權威機構簽發的證書，通過數字證書的安裝可以對網上輸送信息進行保護，保證各種信息的完整性以及機密性得到提高，在一定程度上提升了網絡的應用安全水平。

（2）訪問控制。可以采用MAC地址過濾、VLAN隔離、IEEE802.1Q身份驗證、基于IP地址的訪問控制列表等多種方式進行網絡的訪問控制

（3）網絡隔離。對于涉密網絡，應該進行網絡的物理隔離，以確保網絡安全。

對于內外網間的數據交換，可以采用網閘技術進行隔離。

（4）防病毒。病毒是系統中最常見、威脅最大的安全問題來源，建立一個全方位的病毒防范系統是安全體系建設的重要任務。目前主要采用病毒防范系統解決病毒查找、清殺問題。

（5）防火墻。對于硬件防火墻而言，其是一種高級別的防護入侵方式，該方式不會給網絡性能造成很大的影響。在硬件防火墻的選擇上應從安全性、可管理性、抗攻擊、吞吐量、延遲、丟包率、功能等方面考慮。

(6)入侵檢測。入侵檢測系統而言，其主要是通過反入侵的方式對操作系統或是網絡系統存在的可以行為進行防護處理，及時的將外界入侵的路徑切斷，且通過信息反饋方式將問題反饋給管理人員，從而在一定范圍內提高系統的安全性。

2.3 操作系統安全

操作系統是應用軟件與服務的運行平臺，目前操作系統平臺大多數集中在Windows和Unix，要求安全級別通常為C1、C2級。可以要求客戶端操作系統達到C2級可信度。

操作系統層面的安全有操作系統安全策略、安全管理策略等方面。對于重要的服務器系統，可以選擇安全級別更高的操作系統，或者通過改造操作系統達到B1級以上，實現強制型訪問控制功能；系統具備強制用戶認證機制，不在網絡中明碼傳輸口令或密鑰[3]。

2.4 數據庫安全

（1）安全設置。數據庫安全主要集中在用戶賬戶、作用和對特定數據庫目標的操作許可；軟件的BUG、缺少補丁、選擇不安全的配置等方面。所以在安全設置上需要按照實際的情況做好默認設置，一些系統改動均需要通過用戶允許后方可執行；設置復雜的密碼要處理好非法訪問的問題處理，做好重要數據的管控。

（2）數據備份與恢復。在數據備份的過程中，可以采用磁盤、云儲存結合方式進行。同時針對一些重要數據則采用異地備份的方式進場處理，同時使用光纖對備份數據進行傳輸。此外在數據庫以及恢復時則按照備份和恢復機制的原則進行。

3 結語

本文只是從信息系統安全的共性問題入手，對信息系統的安全進行了框架性的設計，在實際應用中，還要根據實際情況進行具體的補充，要因地制宜，量體裁衣。