一个安全保障体系的整套解决方案.docVIP

一个安全保障体系的整套解决方案 前言 ????随着计算机技术应用的日益普及，人们发现计算机安全成了当务之急。需要解决的问题是确保信息系统中硬件、软件及正在处理、存储、传输信息的保密性、完整性和可用性。涉及的安全性有：完整性——操作系统的正确性和可靠性、硬件和软件的逻辑完整性，防止信息被未经授权的篡改；可用性——保证信息及信息系统确实为授权使用者所用，防止由于计算机病毒或其它人为因素造成的系统拒绝服务或者为敌手所用却对授权者拒用。还有对计算机安全的威胁扩展到病毒、非法访问、脆弱口令、黑客等等。 ????1 目前常用的多种解决方案 ????（1）安全管理中心 ????建立一套集中管理的机制和设备，用来给各网络安全设备分发密钥，监控网络安全设备，收集网络安全设备的审计信息等； ????（2）检测系统 检测是利用审计跟踪数据监视入侵活动； ????（3）安全的操作系统 给系统中的关键服务器提供安全运行平台； ????（4）安全数据库 ????确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等； ????（5）容灾系统 ????容灾就是能够恢复数据在灾难发生前的系统状态。在相隔较远的异地，建立多套功能相同的系统，进行监视和功能切换。数据容灾是信息安全战略中非常重要的一个环节。 ????2 提出一整套系统安全解决方案 ????建立安全保障体系由安全手段、安全机制和安全环境三部分组成。系统安全手段包括系统手段和业务手段；安全机制包括系统机制、业务机制、环境机制；安全环境包括配套设备和机房环境。 ????3 系统安全保障建立 ???? 安全手段支撑 ????1）设备安全 ????服务器采用阵列盘或镜像盘技术；采用CLUSTER技术；采用双机或多机热备份容错系统；生产服务器和开发测试服务器分离；提供光盘备份库；保证24小时不间断运行；建立异地备用服务器。 ????工作站及终端具有防病毒功能；保证24小时不间断运行。 ????网络设备采用多传输媒介组成多路由制；结驳简单、可靠；保证24小时不间断运行。 ????2）支撑软件安全 ????操作系统： ????符合C2级安全标准，提供完善的操作系统监控、报警和故障处理。 ????数据库系统： ????符合C2级安全标准，提供完善的数据库监控、报警和故障处理。大型关系数据库有如下的安全机制以保证数据库的安全： ????数据库级的安全性，对整个数据库起作用。 ????表级的安全性，只对相关的表起作用。 ????列级的安全性，只对相关的列起作用。 ????行级的安全性，只对相关的行起作用。 ????类级的安全性，只对使用的隐含的类起作用。 ????管理和使用用户权限的另一种方法是使用角色。在数据库环境中角色的概念相当于UNIX操作系统中的组的概念。在数据库系统中角色的目的是让DBA对数据库的权限进一步细化。 ????数据库系统的审计策略是数据库安全性的重要组成部分之一。大型关系数据库系统提供的审计机制符合Trusted Computer System Evaluation Criteria（CSC-STD-001-83）C2级标准及Trusted Database Interpretation（NCSC-TC-021）标准。对每一个选择出的用户的活动，大型关系数据库系统提供的审计功能将产生一条记录。这些记录将用于以下用途： ????发现非法用户及可疑用户的行为并指出其执行的操作； ????发现未授权的访问企图； ????评价潜在的损害安全机制的因素； ????假如有需要，为调查提供证据。 ????3）网络系统安全 ????支持鉴别、接入控制、数据机密等一组安全功能；与其它系统的连接必须建立防火墙隔离；提供完整的网络监控、报警和故障处理。 ????组建的可以是企业的内部网。同时，各个系统的主机的连接都采用了前置机通讯的方式，前置机实际上起了一定的防火墙作用，增加了非法用户企图通过某台主机攻击网内其它主机的难度。其次，企业网在与外界主机相连时，都将采用国产的防火墙产品，将有效的防止外界非法用户对网内主机的入侵。 ????对于通过广域网连接上线的用户，可以通过路由器加密等手段保证数据在广域网（特别是公用数据交换网）传输时数据的保密性和完整性，但会占用一定网络带宽。如果远程用户是通过DDN专线连接，应该说数据传输过程是比较安全的。 nbs 1 / 1 1 / 1