摘要:文章分析了大型信息系統(tǒng)的安全目標,指出需要一系列保障機制。在此基礎上研究了主要的大型信息系統(tǒng)保障機制,在一定程度上解決了網絡安全的問題,對網絡數據庫應用、服務器管理都有重要的參考價值。

關鍵詞:網絡安全;USB Key;信息系統(tǒng);防火墻

中圖分類號:TP309文獻標識碼:A 文章編號:1674-1145(2009)18-0048-01

保持關鍵的信息資產的安全性在各領域內都是至關重要的。一些信息系統(tǒng)只關心功能實現(xiàn),重點做網絡結構、硬件配置。但網絡和信息的安全保障卻又是不容忽視的,不能只是購買一套防火墻、安裝一套殺毒軟件,需要有相應的安全管理機構和安全管理措施。尤其是對于大型信息系統(tǒng),應將安全體系設計作為一個課題進行開發(fā),為信息系統(tǒng)提供一個安全的環(huán)境和完整的平臺,解決來自網絡內、外部對網絡安全造成的各種威脅。

一、信息系統(tǒng)安全性目標

系統(tǒng)安全技術實施目標:確保信息和信息系統(tǒng)的完整性、保密性、可用性、時效性、可審查性和可控性。提高員工的信息安全意識、安全專業(yè)素質以及安全管理水平。提高信息系統(tǒng)的可用率和災難恢復能力,為業(yè)務的可持續(xù)性運行提供保障。實施原則:遵循國內、國際的信息安全標準及行業(yè)規(guī)范,對信息系統(tǒng)實行等級保護。在確保信息系統(tǒng)性能和安全的前提下,充分利用資源,講究實效,避免重復和盲目投資,積極采用國家法律法規(guī)允許的、成熟的先進技術和專業(yè)安全服務,運用科學的經營管理方法,降低成本,保障安全運行。

二、系統(tǒng)安全性建設

(一)建立多級熱備系統(tǒng)

為滿足企業(yè)系統(tǒng)高可用性容錯業(yè)務需求,微軟強力推薦用戶采用Windows Server 2003企業(yè)版、SQL Server 2000企業(yè)版以及Exchange Server 2003企業(yè)版來構建其業(yè)務應用與協(xié)作辦公平臺。由于Windows Server 2003、SQL Server2000以及Exchange Server 2003企業(yè)版中內置Cluster群集功能,外加一共享磁盤柜或SAN,2臺服務器就能實現(xiàn)群集配置,SQL Server 2000與Exchange Server 2003互為熱備地對外提供服務,即充分利用了服務器硬件資源,又大大提高了整個業(yè)務應用的高可用性。服務器集群的方式包括:本地端的服務器集群、城域網絡的服務器集群、廣域網絡的服務器集群。以下分別解釋這3種:

1.本地端的服務器集群(Local cluster)是在同一建筑物里,或者同一機房系統(tǒng)中,多增加一組服務器系統(tǒng),隨時接手主服務器系統(tǒng)若因硬件過熱當機,或其他因素的毀損,可以讓另外一臺次服務器系統(tǒng)隨時上線運作。但是,這并不能算是異地災備,因為基本上在同一棟建筑物,外一該建筑物遭地震樓塌,或者火災等狀況,主系統(tǒng)與次系統(tǒng)都是遭受同樣毀損的命運。因此,這類型的服務器集群頂多只能是以防主系統(tǒng)臨時性故障而代替的接續(xù)方案,并還未做到異地災備的機制。

2.城域網絡的服務器集群(Metropolitan Disaster Recovery)。如果災備地點在100km以內,采用遠程鏡射(remote mirror)成本足夠,可采用鋪設光纖網絡的方式,將本地端的系統(tǒng)以“鏡射”(mirror)的方式,災備至遠地端;如果災備的兩點間相距非常遠,考慮到成本的緣故,采用以太網絡方式,將本地端的服務器系統(tǒng)復雜到遠地端的主服務器系統(tǒng),遠地端的主服務器系統(tǒng)會集群一份到遠地端的次服務器系統(tǒng)。

3.廣域網絡的服務器集群(Wide Area Disaster Recovery):這類型的服務器叢級是不同的兩個局域網絡,采用光纖或IP以太網絡相互串連,因此,當主局域網絡毀損時,另一個遠地端的局域網絡可以馬上接手。

(二)采用動態(tài)VPN 技術增加備份

采用VPN技術在公網上傳輸用戶的業(yè)務數據,其安全性是有保證的。現(xiàn)在的VPN設備一般都已經內置了最新的防火墻技術,包括基于連接的狀態(tài)數據包過濾SPI技術對廣域網絡設備的管理,也采用了完善的加密機制,可確保整個網絡的安全。因此,隨著國內寬帶接入的成熟和線路的日趨穩(wěn)定,在基于寬帶接入的基礎之上采用VPN技術作為證券公司的備份廣域網連接,是目前一種非?？尚械慕鉀Q方案。如果采用支持VPN隧道雙方均為動態(tài)ADSL接入的VPN方案,可方便快捷地為信息系統(tǒng)構建高性價比的廣域備份互連。

(三)基于USB Key的身份

現(xiàn)在的許多大型信息系統(tǒng)注重了密碼,忽視了“木馬”。很多系統(tǒng)注重網絡通信方面的安全性。黑客可以通過簡單的木馬程序等手段竊取操作者的賬號、密碼等信息。采用基于USB的key數字認證是一個解決手段。USB Key具有安全可靠,便于攜帶、使用方便、成本低廉的優(yōu)點,被認為將會成為身份認證的主要發(fā)展方向。我國的一些CA中心也把與USB Key結合看成一個重要的發(fā)展趨勢,將基于SHECA數字證書開發(fā)的數字印章無縫嵌入到了USB Key當中。從長遠來看,伴隨證書應用的不斷深入以及單位成本的降低,支持RSA 算法的高端USB Key 將更加符合發(fā)展的趨勢。

三、結語

我國大型信息網絡安全建設仍處于起步階段,與發(fā)達國家還是有很大的距離。有大量工作需我們研究和探索,走出有中國特色的發(fā)展之路,趕上或超過發(fā)達國家水平,保證我國信息網絡的安全,推動國民經濟高速發(fā)展。

參考文獻

[1]雷震甲.網絡工程師教程[M].北京:清華大學出版社,2004.

[2]王春森.系統(tǒng)設計師[M].北京:清華大學出版社,2001.

[3]郭軍.網絡管理[M].北京郵電大學出版社,2001.

[4]計算機用戶[J].賽迪網,2002-04-18.

作者簡介:景青山(1970-),男,河南鄧州人,河南財政稅務高等?？茖W校現(xiàn)代教育技術中心實驗師,碩士,研究方向:計算機科學技術。