當(dāng)前位置:中國廣告人網(wǎng)站--->品牌營銷欄目--->電子商務(wù)-->詳細(xì)內(nèi)容
石煙管理信息系統(tǒng)安全方案詳解
作者:佚名 日期:2002-1-16 字體:[大] [中] [小]
-
隨著企業(yè)信息化建設(shè)的進(jìn)一步發(fā)展和完善,安全問題也日益引起人們的關(guān)注。本文通過開發(fā)和管理石煙管理信息系統(tǒng)的經(jīng)驗(yàn),提出了在C/S和B/S相結(jié)合的體系結(jié)構(gòu)下,針對系統(tǒng)安全性所采取的若干方法和技術(shù)。
引言
石家莊卷煙廠計(jì)算機(jī)管理信息系統(tǒng)是由百聯(lián)優(yōu)利公司歷時(shí)三年余的時(shí)間開發(fā)而成,其體系結(jié)構(gòu)是C/S(客戶機(jī)/服務(wù)器 Client/Server),但隨著石煙Intranet和網(wǎng)站的建設(shè),其體系結(jié)構(gòu)正逐漸從C/S向B/S(瀏覽器/服務(wù)器 Browser/Server)模式轉(zhuǎn)變,目前采用的是C/S和B/S相結(jié)合的方式。
通過這兩種體系結(jié)構(gòu)的有效集成,能夠最大程度地發(fā)揮出兩者各自的優(yōu)勢,但無論應(yīng)用系統(tǒng)體系結(jié)構(gòu)如何變化,其安全問題,一直是人們關(guān)注的焦點(diǎn)。
下面,在簡要概述了石煙整個(gè)系統(tǒng)構(gòu)架后,對系統(tǒng)安全規(guī)劃設(shè)計(jì)及實(shí)現(xiàn)方面所采取的措施進(jìn)行探討。
系統(tǒng)平臺(tái)
一、網(wǎng)絡(luò)環(huán)境平臺(tái)
內(nèi)部網(wǎng)絡(luò)的拓樸結(jié)構(gòu)采用快速交換以太網(wǎng)技術(shù),網(wǎng)絡(luò)主干為光纖,選用百兆和千兆的交換機(jī),以無線方式與廠外業(yè)務(wù)單位聯(lián)通,使用防火墻和路由器通過DDN線路和光纖與外圍單位及本地ISP相連。
二、 服務(wù)器系統(tǒng)平臺(tái)
數(shù)據(jù)庫服務(wù)器采用Alpha DS20,Alpha系列機(jī)型采用COMPAQ公司推出的64位RISC微處理器芯片,采用超標(biāo)量多流水線技術(shù),它具有高性能、高速充及尋址功能,Alpha芯片擁有64位的浮點(diǎn)運(yùn)算器,64位整數(shù)運(yùn)算器以及64位的地址空間,是真正的64位芯片。并采用SCSI硬盤構(gòu)成Raid5磁盤陣列實(shí)現(xiàn)系統(tǒng)雙機(jī)熱備份,以保證系統(tǒng)運(yùn)行的高效、安全及可靠。由于磁盤容錯(cuò)采用磁盤陣列,可跨越故障;以RAID5方式構(gòu)成磁盤陣列,讀磁盤的速度快,數(shù)據(jù)可靠性高,有效容量達(dá)到66%~87%之間,性價(jià)比較高。
Web系列服務(wù)器選用IBM公司的Netfinity 7100,其具有極為卓越的性能,面向業(yè)務(wù)通訊、電子商務(wù)、內(nèi)部網(wǎng)、WEB等各種應(yīng)用服務(wù)。
防病毒服務(wù)器和Proxy服務(wù)器選用DELL公司的Dell PowerEdge 4400 Server。
石煙系統(tǒng)體系結(jié)構(gòu)圖
三、主機(jī)系統(tǒng)平臺(tái)
工作站經(jīng)過升級(jí)后,均為PⅢ600,10G,128M以上。
四、 系統(tǒng)平臺(tái)
服務(wù)器操作系統(tǒng):TrueUnix、Win2000 Server版、Linux
數(shù)據(jù)庫服務(wù)器軟件: ORACLE 8.1.6、SQL Server、IIS、Exchange
工發(fā)工具軟件:Developer/2000 6.0、Delphi5、Dreamdreaver、Flash、Photoshop
系統(tǒng)安全
由于這套系統(tǒng)涉及到企業(yè)至關(guān)重要的信息,其在保密性、準(zhǔn)確性及防篡改等安全方面都有較高的要求,因此,本系統(tǒng)著重設(shè)計(jì)了一套嚴(yán)密的安全并取得了卓有成效的成果。
一、 一般措施
1、實(shí)體安全措施
就是要采取一些保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施(含網(wǎng)絡(luò)、通信設(shè)備)以及其他媒體免地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故(如電磁污染)破壞的措施、過程。這是整個(gè)管理信息系統(tǒng)安全運(yùn)行的基本要求。
尤其是機(jī)房的安全措施,計(jì)算機(jī)機(jī)房建設(shè)應(yīng)遵循國標(biāo)GB2887-89《計(jì)算機(jī)場地技術(shù)條例》和GB9361 -88《計(jì)算機(jī)場地安全要求》,滿足防火、防磁、防水、防盜、防電擊、防蟲害等要求,配備相應(yīng)的設(shè)備。
2、運(yùn)行安全措施
為保障整個(gè)系統(tǒng)功能的安全實(shí)現(xiàn),提供一套安全措施,來保護(hù)信息處理過程的安全,其中包括:風(fēng)險(xiǎn)分析、審計(jì)跟蹤,備份恢復(fù)、應(yīng)急等。
制定必要的、具有良好可操作性的規(guī)章制度,去進(jìn)行制約,是非常必要和重要的,而且是非常緊迫的。
形成一支高長自覺、遵紀(jì)守法的技術(shù)人員隊(duì)伍,是計(jì)算機(jī)網(wǎng)絡(luò)安全工作的又一重要環(huán)節(jié)。要在思想品質(zhì)、職業(yè)道德、經(jīng)營、管理、規(guī)章制度、教育培訓(xùn)等方面,做大量艱苦細(xì)致的工作,強(qiáng)化計(jì)算機(jī)系統(tǒng)的安全管理,加強(qiáng)人員教育,來嚴(yán)格有效地制約用戶對計(jì)算機(jī)的非法訪問,防范法用戶的侵入。只有嚴(yán)格的管理,才能把各種危害遏止最低限度。
3、信息安全措施
數(shù)據(jù)是信息的基礎(chǔ),是企業(yè)的寶貴財(cái)富。信息管理的任務(wù)和目的是通過對數(shù)據(jù)采集、錄入、存儲(chǔ)、加工,傳遞等數(shù)據(jù)流動(dòng)的各個(gè)環(huán)節(jié)進(jìn)行精心組織和嚴(yán)格控制,確保數(shù)據(jù)的準(zhǔn)確性、完整性、及時(shí)性、安全性、適用性和共亨性。
制定良好的信息安全規(guī)章制度,是最有效的技術(shù)手段。而且不僅僅是數(shù)據(jù),還應(yīng)把技術(shù)資料、業(yè)務(wù)應(yīng)用數(shù)據(jù)和應(yīng)用軟件包括進(jìn)去。
二、防病毒措施
計(jì)算機(jī)病毒泛濫,速度之快,蔓延之廣,貽害社會(huì)之大,為有史以來任何一種公害所無可比擬。從CIH 到 紅色代碼和尼姆達(dá),已充分說明了病毒的難以預(yù)知性、潛藏性和破壞性,另一方面也說明了防毒的重要性。
本系統(tǒng)中采用了KILL98 網(wǎng)絡(luò)看防病毒軟件,運(yùn)行在Win2000服務(wù)器上。
該軟件是世界第二大軟件公司CA與國內(nèi)第一家反病毒軟件開發(fā)公司中國金辰公司合作推出的新一代反病毒產(chǎn)品,KILL運(yùn)用主動(dòng)內(nèi)核技術(shù),其基礎(chǔ)是CA公司的Unicenter TNG無縫連接技術(shù),這種技術(shù)可以保證反病毒模塊從底層內(nèi)核,在發(fā)生病毒入侵反應(yīng)時(shí),反病毒操作不會(huì)傷害及到操作系統(tǒng)內(nèi)核,同時(shí)確保殺滅來犯病毒。
此外,KILL還有很強(qiáng)的網(wǎng)管能力,其可利用Vxd技術(shù),進(jìn)行實(shí)時(shí)反病毒。軟件可實(shí)現(xiàn)自動(dòng)安裝,只要連接互聯(lián)網(wǎng),通過域管理方式可實(shí)現(xiàn)自動(dòng)升級(jí)。
三、內(nèi)部網(wǎng)絡(luò)安全
1、針對局域網(wǎng)采取安全措施
由于局域網(wǎng)采用的是以廣播為技術(shù)基礎(chǔ)的以太網(wǎng),任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包,不僅為這兩個(gè)節(jié)點(diǎn)的網(wǎng)卡所接收,也同時(shí)為處在同一以太網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取。因此,只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽,就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包,對其進(jìn)行解包分析。從而竊取關(guān)鍵信息。這就是局域網(wǎng)固有的安全隱患。
為了解決這個(gè)問題,采取了以下措施:
1)網(wǎng)絡(luò)分段
由于局域網(wǎng)采用以交換機(jī)為中心、路由器為邊界的網(wǎng)絡(luò)格局,又基于中心交換機(jī)的訪問控制功能和三層交換功能 ,綜合應(yīng)用物理分段與邏輯分段兩種方法,來實(shí)現(xiàn)對局域網(wǎng)的安全控制,其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離,從而防止可能的非法偵聽,這是一重要的措施。
2)以交換式集線器代替共享式集線器
由于部分網(wǎng)絡(luò)最終用戶的接入是通過分支集線器而不是交換機(jī),而使用最廣泛的分支集線器通常是共享式集線器。這樣,當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí),兩臺(tái)機(jī)器之間的數(shù)據(jù)包還是會(huì)被同一臺(tái)集線器上的其他用戶所偵聽。如一種危險(xiǎn)的情況是:用戶TELNET到一臺(tái)主機(jī)上,由于TELNET程序本身缺加密功能,用戶所鍵入的每一個(gè)字符(包括用戶名、密碼、關(guān)鍵配置等重要信息),都將被明文發(fā)送,這就是一個(gè)很大的安全隱患。
因此,應(yīng)該以交換式集線器代替共享式集線器,使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送,從而防止非法偵聽。
3)VLAN(虛擬專用網(wǎng))的劃分
本系統(tǒng)中采取劃分VLAN的方法,進(jìn)一步克服了以太網(wǎng)的廣播問題。
目前的VLAN技術(shù)主要有三種:基于交換機(jī)端口的VLAN、基于節(jié)點(diǎn)MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN;诮粨Q機(jī)端口的VLAN雖然稍欠靈活,但卻比較成熟,在實(shí)際就用中較多,且效果顯著。所以石煙信息系統(tǒng)采取了這種方式。
在集中式網(wǎng)絡(luò)環(huán)境下,我們是將中心的所有主機(jī)系統(tǒng)集中到一個(gè)VLAN里,在這個(gè)VLAN里不允許任何用戶節(jié)點(diǎn),從而較好地保護(hù)敏感的主機(jī)資源。在分布式網(wǎng)絡(luò)環(huán)境下,我們按機(jī)構(gòu)或部門的設(shè)置來劃分VLAN。各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點(diǎn)都在各自的VLAN內(nèi),互不侵?jǐn)_。VLAN內(nèi)部的連接采用交換實(shí)現(xiàn),而VLAN與VLAN之間的連接則采用路由實(shí)現(xiàn)。2、強(qiáng)化Server端的安全措施
在C/S結(jié)構(gòu)中,C端的重要性是顯而易見的。雖然C/S系統(tǒng)的安全已比較成熟,然而這種安全體系統(tǒng)中還有其潛在問題,尤其是在一個(gè)復(fù)雜系統(tǒng)中,由于存在著大量的數(shù)據(jù)庫實(shí)體及擁用不同操作權(quán)限的用戶,存在多個(gè)用戶對數(shù)據(jù)庫實(shí)體的操作可以是增、刪、改、查的任意組合。因此,即使用角色或工作組的方式為其授權(quán),也會(huì)顯得相當(dāng)復(fù)雜,甚至存在著嚴(yán)重的安全漏洞。
針對這些狀況,本系統(tǒng)采取了如下安全措施:
1) 內(nèi)核級(jí)透明代理
與傳統(tǒng)的CS安全模式不同,該系統(tǒng)所采取的解決方案是: 每個(gè)數(shù)據(jù)庫應(yīng)用只建立一個(gè)真正的數(shù)據(jù)庫帳號(hào),他具有對系統(tǒng)應(yīng)用所涉及的所有數(shù)據(jù)實(shí)體進(jìn)行操作的全部權(quán)限。與此同時(shí),為每一位系統(tǒng)操作人員分別創(chuàng)建了一個(gè)“應(yīng)用系統(tǒng)帳號(hào)”,實(shí)際上只數(shù)據(jù)庫中創(chuàng)建的的名為USERS用戶表里的一條記錄。這樣,每次應(yīng)用程序在客戶端執(zhí)行時(shí),首先會(huì)以其真正數(shù)據(jù)庫帳號(hào)登錄數(shù)據(jù)庫,然后執(zhí)行自行編寫的登錄程序,與USERS表結(jié)合,實(shí)現(xiàn)就用系統(tǒng)登錄。
這種安全體系使得應(yīng)用系統(tǒng)成為數(shù)據(jù)庫的趨勢用戶,而應(yīng)用系統(tǒng)的所有操作人員(包括系統(tǒng)管理員)則是數(shù)據(jù)庫的間接用戶;換言之,應(yīng)用系統(tǒng)除了完成其應(yīng)用邏輯之外,還將系統(tǒng)用戶和數(shù)據(jù)庫徹底隔離開來,成為數(shù)據(jù)庫的一道堅(jiān)固的“防火墻” 由于在這種安全體系中,真正的數(shù)據(jù)庫帳號(hào)泄露及擴(kuò)散的可能性幾乎為零,所有的用戶必須通過應(yīng)用系統(tǒng)這一“單點(diǎn)” 訪問數(shù)據(jù)庫,所以可以得出結(jié)論只要應(yīng)用程序是安全、可靠的,則整個(gè)系統(tǒng)是安全可靠的。
這樣,系統(tǒng)開發(fā)人員的精力可以主要集中到應(yīng)用程序安全性的編寫上。經(jīng)過深入地研究、分析,系統(tǒng)采取兩級(jí)帳號(hào)、兩級(jí)登錄的改進(jìn)方案。第一級(jí)帳號(hào)是應(yīng)用系統(tǒng)帳號(hào),也就是實(shí)際用戶所掌握的帳號(hào),建立的方法如上段所述;第二級(jí)為數(shù)據(jù)庫系統(tǒng)帳號(hào)。兩個(gè)帳號(hào)使用相同的用戶名,但口令不同,以此來隔離用戶和數(shù)據(jù)庫系統(tǒng)。
具體而言,用戶先使用應(yīng)用系統(tǒng)帳號(hào)登錄應(yīng)用系統(tǒng),應(yīng)用系統(tǒng)再將應(yīng)用級(jí)帳號(hào)變換為數(shù)據(jù)庫系統(tǒng)帳號(hào),然后應(yīng)用系統(tǒng)用數(shù)據(jù)庫系統(tǒng)帳號(hào)登錄數(shù)據(jù)庫。僅在兩級(jí)登錄都成功的前提下,整個(gè)登錄過程才算成功。系統(tǒng)在使用了兩級(jí)登錄都成功的前提下,整個(gè)登錄過程才算成功。系統(tǒng)在使用了兩級(jí)登錄的機(jī)制后,數(shù)據(jù)庫系統(tǒng)便能識(shí)別登錄應(yīng)用系統(tǒng)的用戶身份,因此,ORACLE原有的所有功能得以繼承。在改進(jìn)后的系統(tǒng)中,作者只對應(yīng)用層的事件加入日志,有關(guān)數(shù)據(jù)庫的操作則直接從ORACLE日志表中獲取
2) 增強(qiáng)的用戶授權(quán)機(jī)制
由于在這種安全體系中,應(yīng)用系統(tǒng)成為隔離用戶和數(shù)據(jù)庫的防火墻,其本身就必須具務(wù)相當(dāng)?shù)陌踩匦。尤其是用戶授?quán)管理機(jī)制,其嚴(yán)密將直接影響整個(gè)系統(tǒng)的安全。
基于此,作者從功能出發(fā)將整個(gè)系統(tǒng)細(xì)分為若干個(gè)可分配的最小權(quán)限單元,這些權(quán)限具體表現(xiàn)在對數(shù)據(jù)庫中所涉及的表、視圖的數(shù)據(jù)操作(DML:插入 修改 刪除、查詢等)的劃分上。然后再運(yùn)用角色或工作組的概念,結(jié)合各種系統(tǒng)使用人員的工作性質(zhì),為系統(tǒng)創(chuàng)建了4類基本等級(jí):系統(tǒng)管理員,高級(jí)操作員,一般操作員及簡單操作員,并相應(yīng)地為每個(gè)等級(jí)賦予了不同的權(quán)限,以此來簡化權(quán)限管理工作。此外,為了增加系統(tǒng)安全管理的靈活性,授權(quán)管理模塊還可以對屬于某一等能用戶的權(quán)限作進(jìn)一步限制,達(dá)到所有權(quán)限均可任意組合的效果。
同時(shí),為了進(jìn)一步提高系統(tǒng)管理員的工作效率,系統(tǒng)為系統(tǒng)權(quán)限,用戶及每種等級(jí)所對應(yīng)的默認(rèn)權(quán)限組合都建立了數(shù)據(jù)字典,以便在不同的應(yīng)用環(huán)境下,管理員都能方便地增加等,或改變某種等難的默認(rèn)權(quán)限,此外,為了能暫時(shí)封鎖某一帳號(hào)的使用,安全系統(tǒng)還提供了帳號(hào)凍結(jié)及解凍的功能。
能過這種方式,在統(tǒng)一管理之下,又具有相錄的靈活性,有助于系統(tǒng)管理員更為方便,更為嚴(yán)密地控制整個(gè)系統(tǒng)的安全。
3) 智能型日志
日志系統(tǒng)具有綜合性數(shù)據(jù)記錄功能 和自動(dòng)分類檢索能力。在該系統(tǒng)中,日志將記錄自某用戶登錄時(shí)起,到其退出系統(tǒng)時(shí)止,這所執(zhí)行的所有操作,包括登錄失敗操作,對數(shù)據(jù)庫的操作及系統(tǒng)功能的使用。日志所記錄的內(nèi)容有執(zhí)行某操作的用戶保執(zhí)行操作的機(jī)器IP地址 操作類型 操作對象及操作執(zhí)行時(shí)間等,以備日后審計(jì)核查之用
在這個(gè)系統(tǒng)中,不僅可以分類檢索日志內(nèi)容,系統(tǒng)還能根據(jù)已記錄的日志內(nèi)容,通過智能型揄,自動(dòng)找出可能存在的不安全因素,并實(shí)時(shí)觸發(fā)相應(yīng)的警告,信息以及時(shí)通知系統(tǒng)管理員及用戶。
以下例舉幾個(gè)智能性檢查。
·潛在非法攻擊檢查
對于那些企圖登錄系統(tǒng)的黑客,在其三次登錄指令性后,系統(tǒng)便會(huì)自行關(guān)閉。由于使用了智能型日志系統(tǒng),系統(tǒng)管理員便會(huì)及時(shí)得知有非法用戶攻擊,尤其是針對同一帳號(hào)的攻擊,在若干次嘗試指失敗以后,系統(tǒng)將會(huì)自動(dòng)凍結(jié)該帳號(hào)。在與帳號(hào)持有人取得聯(lián)系后,管理員便可以根據(jù)日志文件的具體內(nèi)容,如攻擊點(diǎn)的確切位置、攻擊時(shí)間等,采取相應(yīng)措施,如更改帳號(hào)口令或封鎖工作站,確保系統(tǒng)的安全性。
·單帳號(hào)多用戶檢查
在同一時(shí)刻中,若有以同一帳號(hào)登錄系統(tǒng)的用戶出現(xiàn),則說明某一帳號(hào)可能已被泄露,這在一定程度上將對系統(tǒng)安全構(gòu)成威脅。為此系統(tǒng)將自動(dòng)監(jiān)視,統(tǒng)計(jì)這種情況度及時(shí)通知系統(tǒng)管理員,以杜絕帳號(hào)擴(kuò)散的可能,防患于未然。
·非工作時(shí)間操作檢查
對于8小時(shí)工作時(shí)間之外的任何操作或是被管理定義成非工作時(shí)所執(zhí)行的任何操作,智能型日志也會(huì)視之為可疑現(xiàn)象而警告系統(tǒng)管理員
4) 完善的備份及恢復(fù)機(jī)制
誠然,日志能記錄任何非法操作,然而要真正使系統(tǒng)從災(zāi)難中恢復(fù)出來,還需要一套完善的備份方案及恢復(fù)機(jī)制
為了防止存儲(chǔ)設(shè)備的異常損壞,本系統(tǒng)中采用了可熱插拔的SCSI硬盤所組成的磁盤容錯(cuò)陣列,以RAID5的方式進(jìn)行系統(tǒng)的實(shí)時(shí)熱備份。
為了防止人為的失誤或破壞,本系統(tǒng)中建立了強(qiáng)大的數(shù)據(jù)庫觸發(fā)器以備份重要數(shù)據(jù)的刪除操作,甚至更新任務(wù)。保證在任何情況上,重要數(shù)據(jù)均能最大程度地有效恢復(fù)。具體而言,對于刪除操作,作者將被操作的記錄全部存貯在備份庫中。而對于更新操作,考慮到信息量過于龐大,僅僅備份了所執(zhí)行的SQL語句。這樣,既能查看到被的內(nèi)容,又能相當(dāng)程度地減小備份庫存貯容量。
而在需要跟蹤追溯數(shù)據(jù)丟失或破壞事件的全部信息時(shí),則將系統(tǒng)日志與備份數(shù)據(jù)有機(jī)地結(jié)合在一起真正實(shí)現(xiàn)系統(tǒng)安全性。
四、廣域網(wǎng)絡(luò)的安全
由于廣域網(wǎng)采用公網(wǎng)來進(jìn)行數(shù)據(jù)傳輸,信息在廣域網(wǎng)上傳輸時(shí)被截取和利用就比局域網(wǎng)要大得多。本系統(tǒng)中涉及到無線網(wǎng)絡(luò)部分和遠(yuǎn)程訪問部分,因此,必須采取必要的手段,使得在廣域網(wǎng)上的發(fā)送和接收信息時(shí)能夠保證:
·除了發(fā)送方和接收方外,其他人是無法知悉的(隱私性)
·傳輸過程中不被篡改(真實(shí)性)
·發(fā)送方能確知接收方不是假冒的(非偽裝性)
·發(fā)送方不能否認(rèn)自己的發(fā)送行為(不可抵賴性)
為達(dá)到以上目的,我們采用了以下措施:
1、加密技術(shù)的運(yùn)用
加密技術(shù)的基本思想是不依賴于網(wǎng)絡(luò)中數(shù)據(jù)通道的安全性來實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全,而是通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性。數(shù)據(jù)加密技術(shù)可以分為三類,即對稱型加密、不對稱型加密和不可逆加密。
本系統(tǒng)中選用了不可逆加密,因?yàn)槠洳淮嬖诿荑保管和分發(fā)問題,且由于本系統(tǒng)中需采取這種措施的數(shù)據(jù)量有限,所以這種加密方式是適用于系統(tǒng)的網(wǎng)絡(luò)體系結(jié)構(gòu)。
2、VPN(虛擬專網(wǎng))技術(shù)的運(yùn)用
VPN 技術(shù)和核心是采用隧道技術(shù),將企業(yè)專用網(wǎng)的數(shù)據(jù)加密封裝后,透過虛擬的公網(wǎng)隧道進(jìn)行傳輸,從而防止敏感數(shù)據(jù)的被竊取。企業(yè)通過公網(wǎng)建立VPN,就如同通過自己的專用網(wǎng)建立內(nèi)部網(wǎng)一樣,享有較高的安全性、優(yōu)先性、可靠性和可管理性,而其建立周期、投入資金和維護(hù)費(fèi)用卻大大降低。
故在本系統(tǒng)的設(shè)計(jì)中,對于一些遠(yuǎn)程訪問用戶,本系統(tǒng)采用了VPN的技術(shù)。
五、針對外網(wǎng)采取安全措施
這里所指的外網(wǎng),是指本系統(tǒng)中與Internet的互聯(lián)與外部一些企業(yè)用戶部分。
因?yàn)椴捎玫氖腔赥CP/IP協(xié)議族,Internet協(xié)議族自身的開放性極大地方便了各種計(jì)算機(jī)的組網(wǎng)和互聯(lián),并直接推動(dòng)了網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展。但是由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對安全性的忽視,至使Internet在使用和管理上的無政府狀態(tài),逐漸使Internet自身的安全受到威脅。
外網(wǎng)安全的威脅主要表現(xiàn)在:非授權(quán)訪問 、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽等。
針對上述情況,本系統(tǒng)采取了防火墻技術(shù)、入侵檢測技術(shù)和網(wǎng)絡(luò)防病毒技術(shù)相結(jié)合的方法。
本系統(tǒng)中采用的防火墻是天融信網(wǎng)絡(luò)安全技術(shù)有限公司的產(chǎn)品,NG FW3000,是中國人設(shè)計(jì)的符合國情的防火墻系統(tǒng),具有完全自主版權(quán)。其采用模塊化結(jié)構(gòu)設(shè)計(jì),可擴(kuò)展性好,方便用戶定制與升級(jí),而且運(yùn)用面向?qū)ο蟮墓芾恚С諺PN的無縫集成,多接口等。此外,還采取了一些相關(guān)產(chǎn)品如Secutity Messager,SJW11,KILL 98 等,以實(shí)現(xiàn)以防火墻技術(shù)、加密技術(shù)、安全認(rèn)證技術(shù)、安全應(yīng)用技術(shù)、入侵檢測技術(shù)和防病毒技術(shù)相結(jié)全的綜合安全體系。
結(jié)束語
石煙管理信息系統(tǒng)安全方案,是基于石煙具體實(shí)際情況和國內(nèi)外最實(shí)用計(jì)算機(jī)安全技術(shù)的產(chǎn)物,隨著用戶在實(shí)際應(yīng)用中需求的不斷提高,我們將對系統(tǒng)的安全性進(jìn)一步完善。