摘要:文章分析了大型信息系统的安全目标,指出需要一系列保障机制。在此基础上研究了主要的大型信息系统保障机制,在一定程度上解决了网络安全的问题,对网络数据库应用、服务器管理都有重要的参考价值。

关键词:网络安全;USB Key;信息系统;防火墙

中图分类号:TP309文献标识码:A 文章编号:1674-1145(2009)18-0048-01

保持关键的信息资产的安全性在各领域内都是至关重要的。一些信息系统只关心功能实现,重点做网络结构、硬件配置。但网络和信息的安全保障却又是不容忽视的,不能只是购买一套防火墙、安装一套杀毒软件,需要有相应的安全管理机构和安全管理措施。尤其是对于大型信息系统,应将安全体系设计作为一个课题进行开发,为信息系统提供一个安全的环境和完整的平台,解决来自网络内、外部对网络安全造成的各种威胁。

一、信息系统安全性目标

系统安全技术实施目标:确保信息和信息系统的完整性、保密性、可用性、时效性、可审查性和可控性。提高员工的信息安全意识、安全专业素质以及安全管理水平。提高信息系统的可用率和灾难恢复能力,为业务的可持续性运行提供保障。实施原则:遵循国内、国际的信息安全标准及行业规范,对信息系统实行等级保护。在确保信息系统性能和安全的前提下,充分利用资源,讲究实效,避免重复和盲目投资,积极采用国家法律法规允许的、成熟的先进技术和专业安全服务,运用科学的经营管理方法,降低成本,保障安全运行。

二、系统安全性建设

(一)建立多级热备系统

为满足企业系统高可用性容错业务需求,微软强力推荐用户采用Windows Server 2003企业版、SQL Server 2000企业版以及Exchange Server 2003企业版来构建其业务应用与协作办公平台。由于Windows Server 2003、SQL Server2000以及Exchange Server 2003企业版中内置Cluster群集功能,外加一共享磁盘柜或SAN,2台服务器就能实现群集配置,SQL Server 2000与Exchange Server 2003互为热备地对外提供服务,即充分利用了服务器硬件资源,又大大提高了整个业务应用的高可用性。服务器集群的方式包括:本地端的服务器集群、城域网络的服务器集群、广域网络的服务器集群。以下分别解释这3种:

1.本地端的服务器集群(Local cluster)是在同一建筑物里,或者同一机房系统中,多增加一组服务器系统,随时接手主服务器系统若因硬件过热当机,或其他因素的毁损,可以让另外一台次服务器系统随时上线运作。但是,这并不能算是异地灾备,因为基本上在同一栋建筑物,外一该建筑物遭地震楼塌,或者火灾等状况,主系统与次系统都是遭受同样毁损的命运。因此,这类型的服务器集群顶多只能是以防主系统临时性故障而代替的接续方案,并还未做到异地灾备的机制。

2.城域网络的服务器集群(Metropolitan Disaster Recovery)。如果灾备地点在100km以内,采用远程镜射(remote mirror)成本足够,可采用铺设光纤网络的方式,将本地端的系统以“镜射”(mirror)的方式,灾备至远地端;如果灾备的两点间相距非常远,考虑到成本的缘故,采用以太网络方式,将本地端的服务器系统复杂到远地端的主服务器系统,远地端的主服务器系统会集群一份到远地端的次服务器系统。

3.广域网络的服务器集群(Wide Area Disaster Recovery):这类型的服务器丛级是不同的两个局域网络,采用光纤或IP以太网络相互串连,因此,当主局域网络毁损时,另一个远地端的局域网络可以马上接手。

(二)采用动态VPN 技术增加备份

采用VPN技术在公网上传输用户的业务数据,其安全性是有保证的。现在的VPN设备一般都已经内置了最新的防火墙技术,包括基于连接的状态数据包过滤SPI技术对广域网络设备的管理,也采用了完善的加密机制,可确保整个网络的安全。因此,随着国内宽带接入的成熟和线路的日趋稳定,在基于宽带接入的基础之上采用VPN技术作为证券公司的备份广域网连接,是目前一种非常可行的解决方案。如果采用支持VPN隧道双方均为动态ADSL接入的VPN方案,可方便快捷地为信息系统构建高性价比的广域备份互连。

(三)基于USB Key的身份

现在的许多大型信息系统注重了密码,忽视了“木马”。很多系统注重网络通信方面的安全性。黑客可以通过简单的木马程序等手段窃取操作者的账号、密码等信息。采用基于USB的key数字认证是一个解决手段。USB Key具有安全可靠,便于携带、使用方便、成本低廉的优点,被认为将会成为身份认证的主要发展方向。我国的一些CA中心也把与USB Key结合看成一个重要的发展趋势,将基于SHECA数字证书开发的数字印章无缝嵌入到了USB Key当中。从长远来看,伴随证书应用的不断深入以及单位成本的降低,支持RSA 算法的高端USB Key 将更加符合发展的趋势。

三、结语

我国大型信息网络安全建设仍处于起步阶段,与发达国家还是有很大的距离。有大量工作需我们研究和探索,走出有中国特色的发展之路,赶上或超过发达国家水平,保证我国信息网络的安全,推动国民经济高速发展。

参考文献

[1]雷震甲.网络工程师教程[M].北京:清华大学出版社,2004.

[2]王春森.系统设计师[M].北京:清华大学出版社,2001.

[3]郭军.网络管理[M].北京邮电大学出版社,2001.

[4]计算机用户[J].赛迪网,2002-04-18.

作者简介:景青山(1970-),男,河南邓州人,河南财政税务高等专科学校现代教育技术中心实验师,硕士,研究方向:计算机科学技术。