規(guī)劃勘測設(shè)計(jì)單位檔案信息安全系統(tǒng)的實(shí)施

1、信息安全規(guī)劃

本文所提及的檔案信息安全體系主要由規(guī)劃勘測設(shè)計(jì)單位檔案信息安全和個(gè)人信息安全兩個(gè)部分組成，兩者之間相輔相成。

規(guī)劃勘測設(shè)計(jì)單位檔案信息安全主要有網(wǎng)絡(luò)安全、數(shù)據(jù)安全、系統(tǒng)安全和通訊安全四個(gè)部分。

在網(wǎng)絡(luò)安全方面，由于互聯(lián)網(wǎng)絡(luò)的開放性和黑客技術(shù)使得網(wǎng)絡(luò)受到攻擊的威脅越來越大。網(wǎng)絡(luò)應(yīng)用環(huán)境的不斷變化，加上管理不當(dāng)，不能有效地控制網(wǎng)絡(luò)的安全狀況。因此，需要從接人安全、防火墻策略、防黑客系統(tǒng)、WEB服務(wù)安全四個(gè)方面來考慮網(wǎng)絡(luò)的安全性。

數(shù)據(jù)安全方面，重點(diǎn)放在數(shù)據(jù)備份恢復(fù)和文件安全系統(tǒng)上。因?yàn)閿?shù)據(jù)是信息的基礎(chǔ)，要做好數(shù)據(jù)的常規(guī)備份和歷史保存。首先，要考慮硬件冗余來防止硬件故障，對(duì)軟件故障或人為誤操作造成數(shù)據(jù)的損壞，則使用存儲(chǔ)備份系統(tǒng)和硬件容錯(cuò)相結(jié)合的方式。這種結(jié)合方式構(gòu)成了對(duì)系統(tǒng)的多級(jí)防護(hù)，能夠有效地防止物理損壞和邏輯損壞。

系統(tǒng)安全方面，內(nèi)部網(wǎng)絡(luò)安全考慮的主要有：

一是網(wǎng)段劃分。由于局域網(wǎng)采用以交換機(jī)為中心、路由器為邊界的網(wǎng)絡(luò)格局，又基于中心交換機(jī)的訪問控制功能和三層交換功能，綜合應(yīng)用物理分段與邏輯分段這兩種網(wǎng)段劃分方法，來實(shí)現(xiàn)對(duì)局域網(wǎng)的安全控制，其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離。

二是身份鑒別，使用用戶名和密碼方式進(jìn)行用戶身份鑒別。對(duì)于高密級(jí)的身份鑒別，使用動(dòng)態(tài)密碼驗(yàn)證。

三是訪問控制。根據(jù)身份鑒別進(jìn)行授權(quán)，對(duì)信息系統(tǒng)資源訪問進(jìn)行限制。

通訊安全方面，SSL系統(tǒng)是基于SSL協(xié)議的信息安全傳輸系統(tǒng)。以電子證書為中心對(duì)信息傳輸?shù)碾p方實(shí)行對(duì)稱或非對(duì)稱的身份驗(yàn)證。SSL系統(tǒng)提供三方面的服務(wù)：

一是用戶和服務(wù)器的合法性認(rèn)證，使它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上。

二是在客戶機(jī)與服務(wù)器進(jìn)行數(shù)據(jù)交換之前，交換SSL初始握手信息，以保證其機(jī)密性和數(shù)據(jù)的完整性。

三是保護(hù)數(shù)據(jù)的完整性，建立客戶機(jī)與服務(wù)器之間的安全通道，使所有經(jīng)過安全套接層協(xié)議處理的業(yè)務(wù)在傳輸過程中能全部完整準(zhǔn)確地到達(dá)目的地。

2、系統(tǒng)設(shè)計(jì)實(shí)施

一般意義上講，網(wǎng)絡(luò)信息安全系統(tǒng)注重“防”與“備”兩個(gè)方面，“防”是指在網(wǎng)絡(luò)和系統(tǒng)上的防護(hù)，“備”是數(shù)據(jù)和軟件系統(tǒng)的備份。

2．1 網(wǎng)絡(luò)和系統(tǒng)安全

網(wǎng)絡(luò)配置的防火墻應(yīng)具有多個(gè)自適應(yīng)10/100M以太網(wǎng)端口把網(wǎng)絡(luò)劃分成幾個(gè)區(qū)域，把需要保護(hù)的區(qū)域與潛在威脅分離開來。瑞星網(wǎng)絡(luò)版防病毒軟件具有網(wǎng)絡(luò)管理功能，通過一個(gè)系統(tǒng)中心在整個(gè)網(wǎng)絡(luò)內(nèi)實(shí)現(xiàn)遠(yuǎn)程管理、智能升級(jí)、自動(dòng)分發(fā)、遠(yuǎn)程報(bào)警等多種功能，有效地管理和保護(hù)所有病毒入口，對(duì)網(wǎng)絡(luò)上病毒實(shí)時(shí)監(jiān)控、定時(shí)或手動(dòng)掃描、自動(dòng)升級(jí)。

2．2 數(shù)據(jù)安全

可以選用用于存儲(chǔ)的磁盤陣列，該設(shè)備在一個(gè)2U高的機(jī)箱內(nèi)配置了12個(gè)SATA接口的硬盤，存儲(chǔ)容量為3TB。AX100提供光纖通道或iSCSI連接方式，可以方便實(shí)現(xiàn)從Lan存儲(chǔ)方式遷移到LanFree存儲(chǔ)方式，

備份系統(tǒng)中的服務(wù)器、磁盤陣列、磁帶庫和備份軟件安裝調(diào)試后的工作主要是確定數(shù)據(jù)備份方式和備份策略。通過對(duì)系統(tǒng)數(shù)據(jù)分析和系統(tǒng)發(fā)生問題時(shí)恢復(fù)工作的需要，確定應(yīng)用軟件只在初次安裝或軟件升級(jí)后作一次備份。數(shù)據(jù)庫的日常備份采用全備、增量和差分三種方式分別進(jìn)行數(shù)據(jù)的備份。具體的備份策略是根據(jù)規(guī)劃勘測設(shè)計(jì)單位檔案能承受多長時(shí)間的數(shù)據(jù)丟失和多長時(shí)間的業(yè)務(wù)停頓來制定的，

2．3 數(shù)據(jù)鏡像

應(yīng)用數(shù)據(jù)鏡像軟件，將主服務(wù)器的數(shù)據(jù)實(shí)時(shí)地復(fù)制到備用服務(wù)器上，保證主、備服務(wù)器上數(shù)據(jù)的一致性，這樣完成主、備服務(wù)器的集群熱備功能。數(shù)據(jù)鏡像軟件可以做到數(shù)據(jù)的增量鏡像，當(dāng)備機(jī)故障停機(jī)或用戶重啟備機(jī)后，主機(jī)以增量方式向備機(jī)做數(shù)據(jù)的鏡像。用戶將數(shù)據(jù)鏡像到備用機(jī)做實(shí)時(shí)數(shù)據(jù)備份，即備份服務(wù)器上數(shù)據(jù)的變化跟隨主機(jī)數(shù)據(jù)的變化而變化。同時(shí)也可以將數(shù)據(jù)復(fù)制到遠(yuǎn)程服務(wù)器做備份，或復(fù)制到本機(jī)另一個(gè)磁盤分區(qū)做本機(jī)的數(shù)據(jù)備份。

為保證數(shù)據(jù)的安全性，備份策略可以由多種方式組成，如實(shí)時(shí)備份加定時(shí)備份，也可以將上一次備份的數(shù)據(jù)保留。通過軟件可以設(shè)定每天、每月、每年等的備份時(shí)間，為保留上一次備份的數(shù)據(jù)可以選擇設(shè)置將上一次備份的數(shù)據(jù)移到另外一個(gè)目錄。

數(shù)據(jù)鏡像應(yīng)用于規(guī)劃勘測設(shè)計(jì)單位檔案中的OA等重要應(yīng)用系統(tǒng)，它的實(shí)時(shí)備份功能可最大限度地減少數(shù)據(jù)丟失，數(shù)據(jù)恢復(fù)工作簡單快速。數(shù)據(jù)鏡像與其他備份系統(tǒng)的組合應(yīng)用，進(jìn)一步完善了規(guī)劃勘測設(shè)計(jì)單位檔案數(shù)據(jù)安全工作。