焦煤公司协同办公平台系统安全解决的方案.docVIP

焦煤公司协同办公平台系统安全解决的方案 　　摘要：进入21世纪后，信息系统以其惊人的速度逐渐成为人们从事各种社会活动的基本工具，各单位纷纷上马了协同办公系统来作为一种新型的办公方式，然而各式各样的安全问题却干扰着信息的正常运行，影响人们的正常工作。结合焦煤公司协同办公平台的建设，从多个方面介绍信息系统安全解决方案。 　　关键词：协同办公 信息安全 系统 解决方案 　　中图分类号：TP27 文献标识码：A 文章编号：1007-3973（2012）010-085-02 　　1 系统安全方案设计 　　焦煤协同办公平台系统安全解决方案可从网络层、数据层和应用层三个方面进行了设计：网络层可安装防火墙、杀毒软件及使用VPN专用通道等；数据层安全策略有双机热备、远程访问限制及动态数据密码等；应用层安全策略有文件加密、Https传输加密、防SQL注入攻击、密钥登录、IP访问限制及记录系统操作日志等。 　　2 多层安全机制设计 　　2.1 物理安全 　　物理安全很重要的一个环节就是计算机机房的建设。计算机机房设计与施工的优劣直接关系到机房内计算机系统是否能稳定可靠地运行，是否能保证各类信息通讯畅通无阻。 　　电力：提供双回路UPS供电系统，真正保证能无间断持续供电。 　　抗震：机房架空地板承重达600公斤/平方米以上，结构稳固，并具备8级抗震能力。 　　安全：实行严格的机房管理制度，出入人员均应登记备案；机柜应随手上锁；同时应配备先进的消防设施，保障设备安全。 　　温控：保持机房温度220C左右，湿度50%左右，为设备正常高效运转提供可靠的环境保障。先进的机房专用空气调节系统采用上送风方式，满足机房空间的恒温要求，新风系统高压输入洁净的新鲜空气，为机房提供最佳运行条件。 　　安全可靠的消防体系：机房吊顶内、房间内、地板下增设固定管网气体灭火系统，使用环保型消防系统，包括消防报警及自动灭火系统，尽早地发现火灾隐患，在实施时严格按照国际规范进行操作，保证系统设备不会在灭火过程中受损。 　　2.2 网络安全 　　控制用户接入：由于焦煤不需要采用传统的电话拨号上网，所有的终端都拥有分配的IP，因此这一个层次的安全完全可以使用成熟的基于以太网的访问控制技术，通过在路由器和防火墙层面进行用户认证，控制用户的访问入口，将非法访问排除在外。 　　设置防火墙：通过采购先进的软硬件防火墙产品，做到：保证原有的应用系统能够正常提供服务、支持专线等多种网络接口、支持多种协议、多层防火墙保护、多种终端接入方式、内置主流应用程序过滤器、提供对于多种VPN方式的支持、识别常见网络攻击并作出响应（包括Windows带外攻击、Land攻击、Ping of Death、IP半扫描攻击、UDP炸弹攻击、端口扫描等）、支持数据实时监控功能等。 　　控制与公网互联访问：统一政务协同办公的网络采取物理隔离的方式，断绝与Internet的直接连接，并通过防火墙、VPN技术等安全手段来完成远距离接入的安全控制与访问。 　　防范病毒：在焦煤协同办公系统中，可针对不同业务需求建立多层次防病毒体系。C/S和B/S结构的办公系统都需要在其安装点或运行点安装防病毒软件，并在服务器端提供对应的防病毒保护措施。另外除了采用各种防病毒产品外，还应对综合的安全性操作规程进行完善，此类操作规程包括各种安全措施，如数据定期定时备份、对关键信息进行加密保护等。通过合理周全地进行防病毒规划，结合Windows平台管理、部署的策略，建立完整的防病毒体系，全面实现防病毒产品的强大功能，不留下安全死角或隐患，最大程度地满足用户在安全方面的要求。 　　防范黑客入侵：黑客技术随着网络规模的扩大及信息技术的飞速发展，也在不断升级，其攻击的范围更广、层次更深。协同办台平台也是重要的企业信息化项目，建设的时候也应对恶意黑客的攻击进行防范。因此，通过采购国内优秀的网络防入侵软件，并通过不定期的对于关键网络设备的访问记录进行审查，能够及时的发现可疑的入侵行为，及时的采取清除、禁止访问等措施，以保障整个办公平台的安全性。 　　2.3 数据安全 　　根据数据的处理形式不同，信息安全体系中的数据安全主要有数据传输安全、数据存储安全及数据库安全三个方面。 　　数据传输安全：待传输数据的安全性由写入介质之前，对关键信息加入身份认证、数字签名、数据摘要、数据加密等安全措施以保证数据的可靠性、防止数据信息被偷窃、篡改和否认。根据传递数据的安全级别，协同办公平台系统在处理时对于一般数据，可以采用加盖时间戳与验证、添加数据摘要与验证等措施来保证待传输数据的完整性；对于重要级数据，需要添加数字签名与验证、要求签名回执、进行数据加密与解密等保证传输数据的安全；对于关键性数据，增加交叉认证来保证更高的安全性。在传输的路由方面，可以通过使用国际标准的基于SS