焦煤公司协同办公平台系统安全解决方案

来源 :科协论坛·下半月 | 被引量 : 0次 | 上传用户:qinlinjie8
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  摘要:进入21世纪后,信息系统以其惊人的速度逐渐成为人们从事各种社会活动的基本工具,各单位纷纷上马了协同办公系统来作为一种新型的办公方式,然而各式各样的安全问题却干扰着信息的正常运行,影响人们的正常工作。结合焦煤公司协同办公平台的建设,从多个方面介绍信息系统安全解决方案。
  关键词:协同办公 信息安全 系统 解决方案
  中图分类号:TP27 文献标识码:A 文章编号:1007-3973(2012)010-085-02
  1 系统安全方案设计
  焦煤协同办公平台系统安全解决方案可从网络层、数据层和应用层三个方面进行了设计:网络层可安装防火墙、杀毒软件及使用VPN专用通道等;数据层安全策略有双机热备、远程访问限制及动态数据密码等;应用层安全策略有文件加密、Https传输加密、防SQL注入攻击、密钥登录、IP访问限制及记录系统操作日志等。
  2 多层安全机制设计
  2.1 物理安全
  物理安全很重要的一个环节就是计算机机房的建设。计算机机房设计与施工的优劣直接关系到机房内计算机系统是否能稳定可靠地运行,是否能保证各类信息通讯畅通无阻。
  电力:提供双回路UPS供电系统,真正保证能无间断持续供电。
  抗震:机房架空地板承重达600公斤/平方米以上,结构稳固,并具备8级抗震能力。
  安全:实行严格的机房管理制度,出入人员均应登记备案;机柜应随手上锁;同时应配备先进的消防设施,保障设备安全。
  温控:保持机房温度220C左右,湿度50%左右,为设备正常高效运转提供可靠的环境保障。先进的机房专用空气调节系统采用上送风方式,满足机房空间的恒温要求,新风系统高压输入洁净的新鲜空气,为机房提供最佳运行条件。
  安全可靠的消防体系:机房吊顶内、房间内、地板下增设固定管网气体灭火系统,使用环保型消防系统,包括消防报警及自动灭火系统,尽早地发现火灾隐患,在实施时严格按照国际规范进行操作,保证系统设备不会在灭火过程中受损。
  2.2 网络安全
  控制用户接入:由于焦煤不需要采用传统的电话拨号上网,所有的终端都拥有分配的IP,因此这一个层次的安全完全可以使用成熟的基于以太网的访问控制技术,通过在路由器和防火墙层面进行用户认证,控制用户的访问入口,将非法访问排除在外。
  设置防火墙:通过采购先进的软硬件防火墙产品,做到:保证原有的应用系统能够正常提供服务、支持专线等多种网络接口、支持多种协议、多层防火墙保护、多种终端接入方式、内置主流应用程序过滤器、提供对于多种VPN方式的支持、识别常见网络攻击并作出响应(包括Windows带外攻击、Land攻击、Ping of Death、IP半扫描攻击、UDP炸弹攻击、端口扫描等)、支持数据实时监控功能等。
  控制与公网互联访问:统一政务协同办公的网络采取物理隔离的方式,断绝与Internet的直接连接,并通过防火墙、VPN技术等安全手段来完成远距离接入的安全控制与访问。
  防范病毒:在焦煤协同办公系统中,可针对不同业务需求建立多层次防病毒体系。C/S和B/S结构的办公系统都需要在其安装点或运行点安装防病毒软件,并在服务器端提供对应的防病毒保护措施。另外除了采用各种防病毒产品外,还应对综合的安全性操作规程进行完善,此类操作规程包括各种安全措施,如数据定期定时备份、对关键信息进行加密保护等。通过合理周全地进行防病毒规划,结合Windows平台管理、部署的策略,建立完整的防病毒体系,全面实现防病毒产品的强大功能,不留下安全死角或隐患,最大程度地满足用户在安全方面的要求。
  防范黑客入侵:黑客技术随着网络规模的扩大及信息技术的飞速发展,也在不断升级,其攻击的范围更广、层次更深。协同办台平台也是重要的企业信息化项目,建设的时候也应对恶意黑客的攻击进行防范。因此,通过采购国内优秀的网络防入侵软件,并通过不定期的对于关键网络设备的访问记录进行审查,能够及时的发现可疑的入侵行为,及时的采取清除、禁止访问等措施,以保障整个办公平台的安全性。
  2.3 数据安全
  根据数据的处理形式不同,信息安全体系中的数据安全主要有数据传输安全、数据存储安全及数据库安全三个方面。
  数据传输安全:待传输数据的安全性由写入介质之前,对关键信息加入身份认证、数字签名、数据摘要、数据加密等安全措施以保证数据的可靠性、防止数据信息被偷窃、篡改和否认。根据传递数据的安全级别,协同办公平台系统在处理时对于一般数据,可以采用加盖时间戳与验证、添加数据摘要与验证等措施来保证待传输数据的完整性;对于重要级数据,需要添加数字签名与验证、要求签名回执、进行数據加密与解密等保证传输数据的安全;对于关键性数据,增加交叉认证来保证更高的安全性。在传输的路由方面,可以通过使用国际标准的基于SSL的加密通道来传输办公平台数据。
  数据存储安全:焦煤协同办公平台系统用Oracle数据库来保存数据,数据库可以采用集中式部署、也可以采用分布式部署或是两者的混合部署形式。数据存储安全除了采用Oracle DBMS本身提供的DB加密存储、权限控制等安全机制之外,还可以根据数据的安全分级,对一般性数据可直接采用明文加上验证码存储或单纯明文存储,对于重要级数据和关键性数据则除了附加验证码存储外,系统还可以采用先加密后存储的方式以防止数据被非法篡改或窃取。
  数据库安全:数据库的安全可直接由DBMS来保证,DBMS提供数据的存储和访问。在数据库管理安全方面,可以采取的方法有:每天备份数据库,并可根据实际数据库大小情况和使用频率进行完全备份或者差异备份。备份文件和运行数据文件不放置在同一台服务器,以增强抗灾性。对数据库账号进行分角色建立,应用程序使用专门的账号,管理员分别使用不同的管理账号。不使用数据库SA账号,要设置成强密码等。
  3 数据备份解决方案   3.1 数据备份策略
  根据协同办公平台系统的特点,其备份策略可分两部分,即各服务器上操作系统和应用程序代码部分的备份策略和普通业务数据方面的备份策略。
  操作系统和应用程序代码部分的备份策略相对比较简单,一般在系统安装后能正常运行时,先对所有系统程序做一次全备份,之后可每周对关键系统程序做一次全备份;另外,当哪台机器做了软件安装或系统升级,也应在第一时间做一次全备份。
  普通业务数据方面的备份策略:可选择每周访问量比较小的时候对其做一次全备份,或每天对日常业务数据做一次增量备份或全备份,另外在每次业务数据进行了大的调整后也应立即做一次全备份。
  3.2 数据恢复策略
  情况一:主机的数据磁盘发生故障。
  若发生故障的数据盘使用的是RAID1、RAID5等相关技术,则可以通过直接热替换硬盘进行数据恢复;若发现数据盘已不能被访问,则需要先对物理盘进行故障解除,然后再通过直接热替换硬盘从备份介质恢复数据。
  情况二:主机的系统磁盘物理损坏。
  此时可先采用双机系统切换功能,再更换系统盘,通过备份系统具备的灾难恢复功能对操作系统实施恢复。
  情况三:主机物理损坏。
  如果采用群集软件,则可通过它完成任务切换;采用备用服务器,维修损坏主机。
  情况四:服务器操作系统不能启动。
  此时可先采用双机系统切换功能,然后直接通过备份系统具备的灾难恢复功能对操作系统实施恢复。
  情况五:数据中心灾难。
  备份系统可对生成的一个备份内容进行多个备份介质拷贝,这样,可在数据中心保留一份备份介质,另外将同样内容的其它备份介质在远程的保险库中进行保留。当灾难发生后,即使本地备份介质损坏,还可用异地保险库中的备份介质进行远程或本地恢复。
  4 应用系统安全
  为了保证应用系统的安全性,焦煤协同办公平台在应用中还支持USB-key的安全身份认证、CA认证、动态验证码、功能分级控制、安全跟踪、IP安全控制、安全审计和日志、基于角色的权限管理及系统操作日志等,此处不再祥述。
  5 结束语
  焦煤协同办公平台关联着公司内部各业务系统及多子部门人员,涉及面广,所以信息安全问题尤其重要。通过此安全方案的实施,常见安全问题将会尽量减少或避免,能有效保证信息系统的安全,此方案也可以推广到其它信息系统。
  参考文献:
  [1] 黄立文.浅谈网络与重要信息系统安全管理[J].计算机安全,2008(12).
  [2] 甄鹏.电子政务信息系统安全分析研究[J].信息与电脑(理论版),2011(11).
  [3] 方園.学校计算机信息系统安全管理措施分析[J].计算机光盘软件与应用,2012(03).
其他文献
摘要:对动植物的研究大多是要深入其自然生长环境中,但由于野外地形复杂,环境恶劣,电力缺乏等诸多不便利因素导致野外信息采集困难重重,使得动植物研究工作很难进行,对信息的采集以及动植物生活习性的观察存在着很大的制约性。通过对控制系统、供电模块、稳压模块、图像采集模块、信息传输模块、人机交互模块及系统程序的设计,实现了野外信息自动采集的功能。  关键词:彩信模塊 GPRS STC89C516RD LM3
以电动机定、转子系统为研究对象,利用非线性动力学分析方法以及数值分析方法对电动机非线性问题进行分析。并主要研究其在电磁力、油膜力激发作用下,电动机的非线性振动情况。研究了电动机转子系统在电磁力、阻尼力、偏心力以及非对称刚度等因素的作用下并考虑了油膜力对非线性振动的影响,应用牛顿定律建立了在极对数p2和p4的情况下转子—轴承系统的非线性动力学模型。利用求解非线性方程的平均法分别对模型的主共振,主参数
英语课堂教学提倡任务型教学活动,教师应该精心设计教学环节,创造性地设计贴近学生实际的教学活动,吸引和组织学生积极参与,让学生在愉快的学习中获得知识,培养兴趣,提高素质
摘要:视频在网络传输过程中的码率控制是视频编码器实现的核心问题,网络拥塞控制是降低网络延时和丢包率的重要手段。该文在G102码率控制算法和UMDC(Unbalanced Multiple Description Coding)的基础上提出了基于图像亮度差加权估算的视频码率控制和基于拥塞控制的网络视频传输质量保证方法。实验结果表明,改进后的算法与H.264标准参考软件JM中的算法相比,在PSNR(P
单词是英语语言中最小的语素,因此单词的学习是学好英语的基础与前提,但这个基础与前提并不意味着单词的学习像我们现在的教学那样,一切学习从单纯的单词教学开始,并把学习的
该文在大量实验的基础上对微动向滑动转变的过渡区的范围以及影响微动向滑动转变的因素进行讨论.经过微观分析,在磨损过程中,微动和滑动的磨痕形貌出现了很大的差异,前者的磨
目前,英语教学重读写、轻听说的应试教学仍然是新课改实施以来没有根除的症结所在。为此,英语听说忽视不得。本文提出英语教学应非“说”不可,论述提高学生的综合语言能力的
设计说明rn在大草原上策马奔驰是多少人向往的美好景象,而当两个年轻人骑着快马从巧遇相逢,到相识相知而相爱,营造了淳朴纯真的爱情故事!因此,作品以“马悟奇缘”命名.作者灵
期刊
玄参,别名元参,以根入药,具有滋阴、降火、生津、解毒等功能,是一味重要的中药材。其栽培技术:繁殖方法生产上普遍采用芽头繁殖和宿根分离繁殖。①芽头繁殖:10月下旬,收获玄
摘要:针对目前各大电信运营商迅猛展开的光纤入户工程,就鄞州广电网络现状,简要探讨分析广电现阶段实施光纤入户工程的必要性和制约因素。  关键词:广电网络 光纤入户 NGB  中图分类号:TN913 文献标识码:A 文章编号:1007-3973(2012)010-084-02  1 鄞州广电网络现状  鄞州广电经过近几年的果敢、大胆的投入,已经完成了对网络的一次重要的升级改造。建成了