信息系統(tǒng)安全設(shè)計(jì)淺析

尹玲玲

遼寧省自然資源事務(wù)服務(wù)中心 遼寧沈陽(yáng) 110000

1 系統(tǒng)安全總體設(shè)計(jì)

計(jì)算機(jī)系統(tǒng)安全體系內(nèi)容主要有：物理安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、應(yīng)用系統(tǒng)安全。

2 系統(tǒng)安全詳細(xì)設(shè)計(jì)

2.1 物理安全

對(duì)于計(jì)算機(jī)信息安全體系當(dāng)中，物理安全其主要指的是信息系統(tǒng)保護(hù)的安全物理環(huán)境因素，是控制信息技術(shù)安全的一種有效方式。但是在實(shí)踐中，需要了解自然因素造成的危害，需要從物理安全層面做好防護(hù)。若物理安全效果不佳，一旦計(jì)算機(jī)設(shè)備受到外界因素或是人為因素影響時(shí)，一切安全防護(hù)將變得沒(méi)有意義[1]。

2.1.1 環(huán)境安全

（1）機(jī)房與設(shè)施安全。想要切實(shí)的將系統(tǒng)的安全性與可靠性，需要將安全的環(huán)境構(gòu)建出來(lái)。而該環(huán)境其主要包含了基礎(chǔ)的實(shí)施，是提升體系運(yùn)行的關(guān)鍵。主要內(nèi)容有機(jī)房等級(jí)、環(huán)境條件、機(jī)房建造、機(jī)房裝修以及計(jì)算機(jī)的防護(hù)等方面。

（2）環(huán)境與人員安全。對(duì)于環(huán)境以及人員的安全其主要涉了防振動(dòng)沖擊、防水、防火以及物理、生物災(zāi)害等方面造成的影響，通過(guò)對(duì)環(huán)境以及人員的安全管理，能夠減少外界因素給系統(tǒng)造成的影響。

（3）防其他自然災(zāi)害。其他自然災(zāi)害包含了空氣濕度、腐蝕以及潔凈度、電氣干擾以及外界雷擊等因素造成的影響。

2.1.2 設(shè)備安全

防盜與防毀以及防、防電磁泄漏發(fā)射是設(shè)備安全管理中需要關(guān)注的內(nèi)容。

（1）防盜和防毀。一旦計(jì)算機(jī)系統(tǒng)或是備份資料出現(xiàn)銷(xiāo)毀或者被盜時(shí)，不僅丟失數(shù)據(jù)同時(shí)還給設(shè)備的本省造成損失問(wèn)題。所以，在計(jì)算機(jī)安全防護(hù)中組好防盜以及防毀問(wèn)題控制。通常采取的防盜、防毀措施主要有：設(shè)置報(bào)警器——將入侵報(bào)警器放置于機(jī)房周?chē)?dāng)中，侵入報(bào)警的形式主要有光電、微波、紅外線和超聲波；鎖定裝置——在計(jì)算機(jī)設(shè)備中，在個(gè)人計(jì)算機(jī)中通過(guò)該裝置的應(yīng)用，以減少犯罪盜竊問(wèn)題情況[2]。

（2）防止電磁泄漏發(fā)射。電子隱蔽技術(shù)與物流抑制技術(shù)是控制計(jì)算機(jī)信息泄露的有效方式；針對(duì)前者而言主要是通過(guò)干擾、調(diào)頻方式保護(hù)信息安全；針對(duì)后者而言，主要是對(duì)信息控制管控減少信息外露情況出現(xiàn)。

（3）防電磁干擾。對(duì)于電磁干擾而言，主要指的是通過(guò)電子設(shè)備輻射產(chǎn)生一定荷載范圍時(shí)，給系統(tǒng)設(shè)備本身與電子設(shè)備造成的影響。電子干擾信號(hào)來(lái)源于電視、廣播、以及雷達(dá)等相關(guān)電子儀器發(fā)出的信號(hào)。計(jì)算機(jī)在此環(huán)境中很容易受到電磁干擾的影響。所以，在實(shí)踐階段中，需要對(duì)出現(xiàn)的電磁干擾問(wèn)題進(jìn)行分析。

2.1.3 介質(zhì)安全

介質(zhì)安全其主要涉及了媒體數(shù)據(jù)安全以及媒體自生的安全。針對(duì)媒體自身的安全保護(hù)而言，其涉及內(nèi)容有防霉、放毀、防盜等問(wèn)題；而針對(duì)媒體數(shù)據(jù)安全保護(hù)而言，主要是通過(guò)管理數(shù)據(jù)不收到破壞、盜取、篡改。

2.2 網(wǎng)絡(luò)安全

（1）身份認(rèn)證。通過(guò)數(shù)字證書(shū)以及PKI技術(shù)認(rèn)證方式進(jìn)行安全保護(hù)。對(duì)于數(shù)字證書(shū)而言其主要是由權(quán)威機(jī)構(gòu)簽發(fā)的證書(shū)，通過(guò)數(shù)字證書(shū)的安裝可以對(duì)網(wǎng)上輸送信息進(jìn)行保護(hù)，保證各種信息的完整性以及機(jī)密性得到提高，在一定程度上提升了網(wǎng)絡(luò)的應(yīng)用安全水平。

（2）訪問(wèn)控制。可以采用MAC地址過(guò)濾、VLAN隔離、IEEE802.1Q身份驗(yàn)證、基于IP地址的訪問(wèn)控制列表等多種方式進(jìn)行網(wǎng)絡(luò)的訪問(wèn)控制

（3）網(wǎng)絡(luò)隔離。對(duì)于涉密網(wǎng)絡(luò)，應(yīng)該進(jìn)行網(wǎng)絡(luò)的物理隔離，以確保網(wǎng)絡(luò)安全。

對(duì)于內(nèi)外網(wǎng)間的數(shù)據(jù)交換，可以采用網(wǎng)閘技術(shù)進(jìn)行隔離。

（4）防病毒。病毒是系統(tǒng)中最常見(jiàn)、威脅最大的安全問(wèn)題來(lái)源，建立一個(gè)全方位的病毒防范系統(tǒng)是安全體系建設(shè)的重要任務(wù)。目前主要采用病毒防范系統(tǒng)解決病毒查找、清殺問(wèn)題。

（5）防火墻。對(duì)于硬件防火墻而言，其是一種高級(jí)別的防護(hù)入侵方式，該方式不會(huì)給網(wǎng)絡(luò)性能造成很大的影響。在硬件防火墻的選擇上應(yīng)從安全性、可管理性、抗攻擊、吞吐量、延遲、丟包率、功能等方面考慮。

(6)入侵檢測(cè)。入侵檢測(cè)系統(tǒng)而言，其主要是通過(guò)反入侵的方式對(duì)操作系統(tǒng)或是網(wǎng)絡(luò)系統(tǒng)存在的可以行為進(jìn)行防護(hù)處理，及時(shí)的將外界入侵的路徑切斷，且通過(guò)信息反饋方式將問(wèn)題反饋給管理人員，從而在一定范圍內(nèi)提高系統(tǒng)的安全性。

2.3 操作系統(tǒng)安全

操作系統(tǒng)是應(yīng)用軟件與服務(wù)的運(yùn)行平臺(tái)，目前操作系統(tǒng)平臺(tái)大多數(shù)集中在Windows和Unix，要求安全級(jí)別通常為C1、C2級(jí)。可以要求客戶(hù)端操作系統(tǒng)達(dá)到C2級(jí)可信度。

操作系統(tǒng)層面的安全有操作系統(tǒng)安全策略、安全管理策略等方面。對(duì)于重要的服務(wù)器系統(tǒng)，可以選擇安全級(jí)別更高的操作系統(tǒng)，或者通過(guò)改造操作系統(tǒng)達(dá)到B1級(jí)以上，實(shí)現(xiàn)強(qiáng)制型訪問(wèn)控制功能；系統(tǒng)具備強(qiáng)制用戶(hù)認(rèn)證機(jī)制，不在網(wǎng)絡(luò)中明碼傳輸口令或密鑰[3]。

2.4 數(shù)據(jù)庫(kù)安全

（1）安全設(shè)置。數(shù)據(jù)庫(kù)安全主要集中在用戶(hù)賬戶(hù)、作用和對(duì)特定數(shù)據(jù)庫(kù)目標(biāo)的操作許可；軟件的BUG、缺少補(bǔ)丁、選擇不安全的配置等方面。所以在安全設(shè)置上需要按照實(shí)際的情況做好默認(rèn)設(shè)置，一些系統(tǒng)改動(dòng)均需要通過(guò)用戶(hù)允許后方可執(zhí)行；設(shè)置復(fù)雜的密碼要處理好非法訪問(wèn)的問(wèn)題處理，做好重要數(shù)據(jù)的管控。

（2）數(shù)據(jù)備份與恢復(fù)。在數(shù)據(jù)備份的過(guò)程中，可以采用磁盤(pán)、云儲(chǔ)存結(jié)合方式進(jìn)行。同時(shí)針對(duì)一些重要數(shù)據(jù)則采用異地備份的方式進(jìn)場(chǎng)處理，同時(shí)使用光纖對(duì)備份數(shù)據(jù)進(jìn)行傳輸。此外在數(shù)據(jù)庫(kù)以及恢復(fù)時(shí)則按照備份和恢復(fù)機(jī)制的原則進(jìn)行。

3 結(jié)語(yǔ)

本文只是從信息系統(tǒng)安全的共性問(wèn)題入手，對(duì)信息系統(tǒng)的安全進(jìn)行了框架性的設(shè)計(jì)，在實(shí)際應(yīng)用中，還要根據(jù)實(shí)際情況進(jìn)行具體的補(bǔ)充，要因地制宜，量體裁衣。