大型信息系統(tǒng)的安全保障研究

摘要:文章分析了大型信息系統(tǒng)的安全目標(biāo),指出需要一系列保障機(jī)制。在此基礎(chǔ)上研究了主要的大型信息系統(tǒng)保障機(jī)制,在一定程度上解決了網(wǎng)絡(luò)安全的問(wèn)題,對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)應(yīng)用、服務(wù)器管理都有重要的參考價(jià)值。

關(guān)鍵詞:網(wǎng)絡(luò)安全;USB Key;信息系統(tǒng);防火墻

中圖分類號(hào):TP309文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-1145(2009)18-0048-01

保持關(guān)鍵的信息資產(chǎn)的安全性在各領(lǐng)域內(nèi)都是至關(guān)重要的。一些信息系統(tǒng)只關(guān)心功能實(shí)現(xiàn),重點(diǎn)做網(wǎng)絡(luò)結(jié)構(gòu)、硬件配置。但網(wǎng)絡(luò)和信息的安全保障卻又是不容忽視的,不能只是購(gòu)買(mǎi)一套防火墻、安裝一套殺毒軟件,需要有相應(yīng)的安全管理機(jī)構(gòu)和安全管理措施。尤其是對(duì)于大型信息系統(tǒng),應(yīng)將安全體系設(shè)計(jì)作為一個(gè)課題進(jìn)行開(kāi)發(fā),為信息系統(tǒng)提供一個(gè)安全的環(huán)境和完整的平臺(tái),解決來(lái)自網(wǎng)絡(luò)內(nèi)、外部對(duì)網(wǎng)絡(luò)安全造成的各種威脅。

一、信息系統(tǒng)安全性目標(biāo)

系統(tǒng)安全技術(shù)實(shí)施目標(biāo):確保信息和信息系統(tǒng)的完整性、保密性、可用性、時(shí)效性、可審查性和可控性。提高員工的信息安全意識(shí)、安全專業(yè)素質(zhì)以及安全管理水平。提高信息系統(tǒng)的可用率和災(zāi)難恢復(fù)能力,為業(yè)務(wù)的可持續(xù)性運(yùn)行提供保障。實(shí)施原則:遵循國(guó)內(nèi)、國(guó)際的信息安全標(biāo)準(zhǔn)及行業(yè)規(guī)范,對(duì)信息系統(tǒng)實(shí)行等級(jí)保護(hù)。在確保信息系統(tǒng)性能和安全的前提下,充分利用資源,講究實(shí)效,避免重復(fù)和盲目投資,積極采用國(guó)家法律法規(guī)允許的、成熟的先進(jìn)技術(shù)和專業(yè)安全服務(wù),運(yùn)用科學(xué)的經(jīng)營(yíng)管理方法,降低成本,保障安全運(yùn)行。

二、系統(tǒng)安全性建設(shè)

(一)建立多級(jí)熱備系統(tǒng)

為滿足企業(yè)系統(tǒng)高可用性容錯(cuò)業(yè)務(wù)需求,微軟強(qiáng)力推薦用戶采用Windows Server 2003企業(yè)版、SQL Server 2000企業(yè)版以及Exchange Server 2003企業(yè)版來(lái)構(gòu)建其業(yè)務(wù)應(yīng)用與協(xié)作辦公平臺(tái)。由于Windows Server 2003、SQL Server2000以及Exchange Server 2003企業(yè)版中內(nèi)置Cluster群集功能,外加一共享磁盤(pán)柜或SAN,2臺(tái)服務(wù)器就能實(shí)現(xiàn)群集配置,SQL Server 2000與Exchange Server 2003互為熱備地對(duì)外提供服務(wù),即充分利用了服務(wù)器硬件資源,又大大提高了整個(gè)業(yè)務(wù)應(yīng)用的高可用性。服務(wù)器集群的方式包括:本地端的服務(wù)器集群、城域網(wǎng)絡(luò)的服務(wù)器集群、廣域網(wǎng)絡(luò)的服務(wù)器集群。以下分別解釋這3種:

1.本地端的服務(wù)器集群(Local cluster)是在同一建筑物里,或者同一機(jī)房系統(tǒng)中,多增加一組服務(wù)器系統(tǒng),隨時(shí)接手主服務(wù)器系統(tǒng)若因硬件過(guò)熱當(dāng)機(jī),或其他因素的毀損,可以讓另外一臺(tái)次服務(wù)器系統(tǒng)隨時(shí)上線運(yùn)作。但是,這并不能算是異地災(zāi)備,因?yàn)榛旧显谕粭澖ㄖ?外一該建筑物遭地震樓塌,或者火災(zāi)等狀況,主系統(tǒng)與次系統(tǒng)都是遭受同樣毀損的命運(yùn)。因此,這類型的服務(wù)器集群頂多只能是以防主系統(tǒng)臨時(shí)性故障而代替的接續(xù)方案,并還未做到異地災(zāi)備的機(jī)制。

2.城域網(wǎng)絡(luò)的服務(wù)器集群(Metropolitan Disaster Recovery)。如果災(zāi)備地點(diǎn)在100km以內(nèi),采用遠(yuǎn)程鏡射(remote mirror)成本足夠,可采用鋪設(shè)光纖網(wǎng)絡(luò)的方式,將本地端的系統(tǒng)以“鏡射”(mirror)的方式,災(zāi)備至遠(yuǎn)地端;如果災(zāi)備的兩點(diǎn)間相距非常遠(yuǎn),考慮到成本的緣故,采用以太網(wǎng)絡(luò)方式,將本地端的服務(wù)器系統(tǒng)復(fù)雜到遠(yuǎn)地端的主服務(wù)器系統(tǒng),遠(yuǎn)地端的主服務(wù)器系統(tǒng)會(huì)集群一份到遠(yuǎn)地端的次服務(wù)器系統(tǒng)。

3.廣域網(wǎng)絡(luò)的服務(wù)器集群(Wide Area Disaster Recovery):這類型的服務(wù)器叢級(jí)是不同的兩個(gè)局域網(wǎng)絡(luò),采用光纖或IP以太網(wǎng)絡(luò)相互串連,因此,當(dāng)主局域網(wǎng)絡(luò)毀損時(shí),另一個(gè)遠(yuǎn)地端的局域網(wǎng)絡(luò)可以馬上接手。

(二)采用動(dòng)態(tài)VPN 技術(shù)增加備份

采用VPN技術(shù)在公網(wǎng)上傳輸用戶的業(yè)務(wù)數(shù)據(jù),其安全性是有保證的?，F(xiàn)在的VPN設(shè)備一般都已經(jīng)內(nèi)置了最新的防火墻技術(shù),包括基于連接的狀態(tài)數(shù)據(jù)包過(guò)濾SPI技術(shù)對(duì)廣域網(wǎng)絡(luò)設(shè)備的管理,也采用了完善的加密機(jī)制,可確保整個(gè)網(wǎng)絡(luò)的安全。因此,隨著國(guó)內(nèi)寬帶接入的成熟和線路的日趨穩(wěn)定,在基于寬帶接入的基礎(chǔ)之上采用VPN技術(shù)作為證券公司的備份廣域網(wǎng)連接,是目前一種非?？尚械慕鉀Q方案。如果采用支持VPN隧道雙方均為動(dòng)態(tài)ADSL接入的VPN方案,可方便快捷地為信息系統(tǒng)構(gòu)建高性價(jià)比的廣域備份互連。

(三)基于USB Key的身份

現(xiàn)在的許多大型信息系統(tǒng)注重了密碼,忽視了“木馬”。很多系統(tǒng)注重網(wǎng)絡(luò)通信方面的安全性。黑客可以通過(guò)簡(jiǎn)單的木馬程序等手段竊取操作者的賬號(hào)、密碼等信息。采用基于USB的key數(shù)字認(rèn)證是一個(gè)解決手段。USB Key具有安全可靠,便于攜帶、使用方便、成本低廉的優(yōu)點(diǎn),被認(rèn)為將會(huì)成為身份認(rèn)證的主要發(fā)展方向。我國(guó)的一些CA中心也把與USB Key結(jié)合看成一個(gè)重要的發(fā)展趨勢(shì),將基于SHECA數(shù)字證書(shū)開(kāi)發(fā)的數(shù)字印章無(wú)縫嵌入到了USB Key當(dāng)中。從長(zhǎng)遠(yuǎn)來(lái)看,伴隨證書(shū)應(yīng)用的不斷深入以及單位成本的降低,支持RSA 算法的高端USB Key 將更加符合發(fā)展的趨勢(shì)。

三、結(jié)語(yǔ)

我國(guó)大型信息網(wǎng)絡(luò)安全建設(shè)仍處于起步階段,與發(fā)達(dá)國(guó)家還是有很大的距離。有大量工作需我們研究和探索,走出有中國(guó)特色的發(fā)展之路,趕上或超過(guò)發(fā)達(dá)國(guó)家水平,保證我國(guó)信息網(wǎng)絡(luò)的安全,推動(dòng)國(guó)民經(jīng)濟(jì)高速發(fā)展。

參考文獻(xiàn)

[1]雷震甲.網(wǎng)絡(luò)工程師教程[M].北京:清華大學(xué)出版社,2004.

[2]王春森.系統(tǒng)設(shè)計(jì)師[M].北京:清華大學(xué)出版社,2001.

[3]郭軍.網(wǎng)絡(luò)管理[M].北京郵電大學(xué)出版社,2001.

[4]計(jì)算機(jī)用戶[J].賽迪網(wǎng),2002-04-18.

作者簡(jiǎn)介:景青山(1970-),男,河南鄧州人,河南財(cái)政稅務(wù)高等?？茖W(xué)校現(xiàn)代教育技術(shù)中心實(shí)驗(yàn)師,碩士,研究方向:計(jì)算機(jī)科學(xué)技術(shù)。