管理信息系統(tǒng)安全方案詳解

1、管理信息系統(tǒng)安全方案詳解隨著企業(yè)信息化建設(shè)的進(jìn)一步發(fā)展和完善，安全問(wèn)題也日益引起人們的關(guān)注。本文通過(guò)開(kāi)發(fā)和管理石煙管理信息系統(tǒng)的經(jīng)驗(yàn)，提出了在c/s和b/s相結(jié)合的體系結(jié)構(gòu)下，針對(duì)系統(tǒng)安全性所采取的若干方法和技術(shù)。引言 石家莊卷煙廠計(jì)算機(jī)管理信息系統(tǒng)是由百聯(lián)優(yōu)利公司歷時(shí)三年余的時(shí)間開(kāi)發(fā)而成，其體系結(jié)構(gòu)是c/s（客戶(hù)機(jī)/服務(wù)器 client/server）,但隨著石煙intranet和網(wǎng)站的建設(shè)，其體系結(jié)構(gòu)正逐漸從c/s向b/s（瀏覽器/服務(wù)器 browser/server）模式轉(zhuǎn)變，目前采用的是c/s和b/s相結(jié)合的方式。 通過(guò)這兩種體系結(jié)構(gòu)的有效集成，能夠最大程度地發(fā)揮出兩者各自的優(yōu)勢(shì)，但無(wú)

2、論應(yīng)用系統(tǒng)體系結(jié)構(gòu)如何變化，其安全問(wèn)題，一直是人們關(guān)注的焦點(diǎn)。 下面，在簡(jiǎn)要概述了石煙整個(gè)系統(tǒng)構(gòu)架后，對(duì)系統(tǒng)安全規(guī)劃設(shè)計(jì)及實(shí)現(xiàn)方面所采取的措施進(jìn)行探討。 系統(tǒng)平臺(tái) 一、網(wǎng)絡(luò)環(huán)境平臺(tái) 內(nèi)部網(wǎng)絡(luò)的拓樸結(jié)構(gòu)采用快速交換以太網(wǎng)技術(shù)，網(wǎng)絡(luò)主干為光纖，選用百兆和千兆的交換機(jī)，以無(wú)線(xiàn)方式與廠外業(yè)務(wù)單位聯(lián)通，使用防火墻和路由器通過(guò)ddn線(xiàn)路和光纖與外圍單位及本地isp相連。 二、 服務(wù)器系統(tǒng)平臺(tái) 數(shù)據(jù)庫(kù)服務(wù)器采用alpha ds20，alpha系列機(jī)型采用compaq公司推出的64位risc微處理器芯片，采用超標(biāo)量多流水線(xiàn)技術(shù)，它具有高性能、高速充及尋址功能，alpha芯片擁有64位的浮點(diǎn)運(yùn)算器，64位整數(shù)運(yùn)

3、算器以及64位的地址空間，是真正的64位芯片。并采用scsi硬盤(pán)構(gòu)成raid5磁盤(pán)陣列實(shí)現(xiàn)系統(tǒng)雙機(jī)熱備份，以保證系統(tǒng)運(yùn)行的高效、安全及可靠。由于磁盤(pán)容錯(cuò)采用磁盤(pán)陣列，可跨越故障；以raid5方式構(gòu)成磁盤(pán)陣列，讀磁盤(pán)的速度快，數(shù)據(jù)可靠性高，有效容量達(dá)到6687之間，性?xún)r(jià)比較高。 web系列服務(wù)器選用ibm公司的netfinity 7100，其具有極為卓越的性能，面向業(yè)務(wù)通訊、電子商務(wù)、內(nèi)部網(wǎng)、web等各種應(yīng)用服務(wù)。 防病毒服務(wù)器和proxy服務(wù)器選用dell公司的dell poweredge 4400 server。三、主機(jī)系統(tǒng)平臺(tái) 工作站經(jīng)過(guò)升級(jí)后，均為p600，10g，128m以上。 四、

4、系統(tǒng)平臺(tái) 服務(wù)器操作系統(tǒng)：trueunix、win2000 server版、linux 數(shù)據(jù)庫(kù)服務(wù)器軟件： oracle 8.1.6、sql server、iis、exchange 工發(fā)工具軟件：developer/2000 6.0、delphi5、dreamdreaver、flash、photoshop 系統(tǒng)安全 由于這套系統(tǒng)涉及到企業(yè)至關(guān)重要的信息，其在保密性、準(zhǔn)確性及防篡改等安全方面都有較高的要求，因此，本系統(tǒng)著重設(shè)計(jì)了一套嚴(yán)密的安全并取得了卓有成效的成果。 一、 一般措施 1、實(shí)體安全措施 就是要采取一些保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)、通信設(shè)備）以及其他媒體免地震、水災(zāi)、火災(zāi)、有害氣體和

5、其他環(huán)境事故（如電磁污染）破壞的措施、過(guò)程。這是整個(gè)管理信息系統(tǒng)安全運(yùn)行的基本要求。 尤其是機(jī)房的安全措施，計(jì)算機(jī)機(jī)房建設(shè)應(yīng)遵循國(guó)標(biāo)gb288789計(jì)算機(jī)場(chǎng)地技術(shù)條例和gb9361 88計(jì)算機(jī)場(chǎng)地安全要求，滿(mǎn)足防火、防磁、防水、防盜、防電擊、防蟲(chóng)害等要求，配備相應(yīng)的設(shè)備。 2、運(yùn)行安全措施 為保障整個(gè)系統(tǒng)功能的安全實(shí)現(xiàn)，提供一套安全措施，來(lái)保護(hù)信息處理過(guò)程的安全，其中包括：風(fēng)險(xiǎn)分析、審計(jì)跟蹤，備份恢復(fù)、應(yīng)急等。 制定必要的、具有良好可操作性的規(guī)章制度，去進(jìn)行制約，是非常必要和重要的，而且是非常緊迫的。 形成一支高長(zhǎng)自覺(jué)、遵紀(jì)守法的技術(shù)人員隊(duì)伍，是計(jì)算機(jī)網(wǎng)絡(luò)安全工作的又一重要環(huán)節(jié)。要在思想品質(zhì)、

6、職業(yè)道德、經(jīng)營(yíng)、管理、規(guī)章制度、教育培訓(xùn)等方面，做大量艱苦細(xì)致的工作，強(qiáng)化計(jì)算機(jī)系統(tǒng)的安全管理，加強(qiáng)人員教育，來(lái)嚴(yán)格有效地制約用戶(hù)對(duì)計(jì)算機(jī)的非法訪(fǎng)問(wèn)，防范法用戶(hù)的侵入。只有嚴(yán)格的管理，才能把各種危害遏止最低限度。 3、信息安全措施 數(shù)據(jù)是信息的基礎(chǔ)，是企業(yè)的寶貴財(cái)富。信息管理的任務(wù)和目的是通過(guò)對(duì)數(shù)據(jù)采集、錄入、存儲(chǔ)、加工，傳遞等數(shù)據(jù)流動(dòng)的各個(gè)環(huán)節(jié)進(jìn)行精心組織和嚴(yán)格控制，確保數(shù)據(jù)的準(zhǔn)確性、完整性、及時(shí)性、安全性、適用性和共亨性。 制定良好的信息安全規(guī)章制度，是最有效的技術(shù)手段。而且不僅僅是數(shù)據(jù)，還應(yīng)把技術(shù)資料、業(yè)務(wù)應(yīng)用數(shù)據(jù)和應(yīng)用軟件包括進(jìn)去。二、防病毒措施 計(jì)算機(jī)病毒泛濫，速度之快，蔓延之廣，貽

7、害社會(huì)之大，為有史以來(lái)任何一種公害所無(wú)可比擬。從cih 到 紅色代碼和尼姆達(dá)，已充分說(shuō)明了病毒的難以預(yù)知性、潛藏性和破壞性，另一方面也說(shuō)明了防毒的重要性。 本系統(tǒng)中采用了kill98 網(wǎng)絡(luò)看防病毒軟件，運(yùn)行在win2000服務(wù)器上。 該軟件是世界第二大軟件公司ca與國(guó)內(nèi)第一家反病毒軟件開(kāi)發(fā)公司中國(guó)金辰公司合作推出的新一代反病毒產(chǎn)品，kill運(yùn)用主動(dòng)內(nèi)核技術(shù)，其基礎(chǔ)是ca公司的unicenter tng無(wú)縫連接技術(shù)，這種技術(shù)可以保證反病毒模塊從底層內(nèi)核，在發(fā)生病毒入侵反應(yīng)時(shí)，反病毒操作不會(huì)傷害及到操作系統(tǒng)內(nèi)核，同時(shí)確保殺滅來(lái)犯病毒。 此外，kill還有很強(qiáng)的網(wǎng)管能力，其可利用vxd技術(shù)，進(jìn)行實(shí)時(shí)

8、反病毒。軟件可實(shí)現(xiàn)自動(dòng)安裝，只要連接互聯(lián)網(wǎng)，通過(guò)域管理方式可實(shí)現(xiàn)自動(dòng)升級(jí)。 三、內(nèi)部網(wǎng)絡(luò)安全 1、針對(duì)局域網(wǎng)采取安全措施 由于局域網(wǎng)采用的是以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)，任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包，不僅為這兩個(gè)節(jié)點(diǎn)的網(wǎng)卡所接收，也同時(shí)為處在同一以太網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取。因此，只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽(tīng)，就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包，對(duì)其進(jìn)行解包分析。從而竊取關(guān)鍵信息。這就是局域網(wǎng)固有的安全隱患。 為了解決這個(gè)問(wèn)題，采取了以下措施： 1)網(wǎng)絡(luò)分段 由于局域網(wǎng)采用以交換機(jī)為中心、路由器為邊界的網(wǎng)絡(luò)格局，又基于中心交換機(jī)的訪(fǎng)問(wèn)控制功能和三層交換功能 ，綜合應(yīng)用物理分段與邏

9、輯分段兩種方法，來(lái)實(shí)現(xiàn)對(duì)局域網(wǎng)的安全控制，其目的就是將非法用戶(hù)與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽(tīng)，這是一重要的措施。 2)以交換式集線(xiàn)器代替共享式集線(xiàn)器 由于部分網(wǎng)絡(luò)最終用戶(hù)的接入是通過(guò)分支集線(xiàn)器而不是交換機(jī)，而使用最廣泛的分支集線(xiàn)器通常是共享式集線(xiàn)器。這樣，當(dāng)用戶(hù)與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí)，兩臺(tái)機(jī)器之間的數(shù)據(jù)包還是會(huì)被同一臺(tái)集線(xiàn)器上的其他用戶(hù)所偵聽(tīng)。如一種危險(xiǎn)的情況是：用戶(hù)telnet到一臺(tái)主機(jī)上，由于telnet程序本身缺加密功能，用戶(hù)所鍵入的每一個(gè)字符（包括用戶(hù)名、密碼、關(guān)鍵配置等重要信息），都將被明文發(fā)送，這就是一個(gè)很大的安全隱患。 因此，應(yīng)該以交換式集線(xiàn)器代替共享式集線(xiàn)器，使

10、單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法偵聽(tīng)。 3)vlan（虛擬專(zhuān)用網(wǎng)）的劃分 本系統(tǒng)中采取劃分vlan的方法，進(jìn)一步克服了以太網(wǎng)的廣播問(wèn)題。 目前的vlan技術(shù)主要有三種：基于交換機(jī)端口的vlan、基于節(jié)點(diǎn)mac地址的vlan和基于應(yīng)用協(xié)議的vlan。基于交換機(jī)端口的vlan雖然稍欠靈活，但卻比較成熟，在實(shí)際就用中較多，且效果顯著。所以石煙信息系統(tǒng)采取了這種方式。 在集中式網(wǎng)絡(luò)環(huán)境下，我們是將中心的所有主機(jī)系統(tǒng)集中到一個(gè)vlan里，在這個(gè)vlan里不允許任何用戶(hù)節(jié)點(diǎn)，從而較好地保護(hù)敏感的主機(jī)資源。在分布式網(wǎng)絡(luò)環(huán)境下，我們按機(jī)構(gòu)或部門(mén)的設(shè)置來(lái)劃分vlan。各部門(mén)內(nèi)部的所有服務(wù)器和用戶(hù)節(jié)點(diǎn)都在

11、各自的vlan內(nèi)，互不侵?jǐn)_。vlan內(nèi)部的連接采用交換實(shí)現(xiàn)，而vlan與vlan之間的連接則采用路由實(shí)現(xiàn)。2、強(qiáng)化server端的安全措施 在c/s結(jié)構(gòu)中，c端的重要性是顯而易見(jiàn)的。雖然c/s系統(tǒng)的安全已比較成熟，然而這種安全體系統(tǒng)中還有其潛在問(wèn)題，尤其是在一個(gè)復(fù)雜系統(tǒng)中，由于存在著大量的數(shù)據(jù)庫(kù)實(shí)體及擁用不同操作權(quán)限的用戶(hù)，存在多個(gè)用戶(hù)對(duì)數(shù)據(jù)庫(kù)實(shí)體的操作可以是增、刪、改、查的任意組合。因此，即使用角色或工作組的方式為其授權(quán)，也會(huì)顯得相當(dāng)復(fù)雜，甚至存在著嚴(yán)重的安全漏洞。 針對(duì)這些狀況，本系統(tǒng)采取了如下安全措施： 1) 內(nèi)核級(jí)透明代理 與傳統(tǒng)的cs安全模式不同，該系統(tǒng)所采取的解決方案是： 每個(gè)數(shù)據(jù)

12、庫(kù)應(yīng)用只建立一個(gè)真正的數(shù)據(jù)庫(kù)帳號(hào),他具有對(duì)系統(tǒng)應(yīng)用所涉及的所有數(shù)據(jù)實(shí)體進(jìn)行操作的全部權(quán)限。與此同時(shí)，為每一位系統(tǒng)操作人員分別創(chuàng)建了一個(gè)“應(yīng)用系統(tǒng)帳號(hào)”，實(shí)際上只數(shù)據(jù)庫(kù)中創(chuàng)建的的名為users用戶(hù)表里的一條記錄。這樣，每次應(yīng)用程序在客戶(hù)端執(zhí)行時(shí)，首先會(huì)以其真正數(shù)據(jù)庫(kù)帳號(hào)登錄數(shù)據(jù)庫(kù)，然后執(zhí)行自行編寫(xiě)的登錄程序，與users表結(jié)合，實(shí)現(xiàn)就用系統(tǒng)登錄。 這種安全體系使得應(yīng)用系統(tǒng)成為數(shù)據(jù)庫(kù)的趨勢(shì)用戶(hù)，而應(yīng)用系統(tǒng)的所有操作人員（包括系統(tǒng)管理員）則是數(shù)據(jù)庫(kù)的間接用戶(hù)；換言之，應(yīng)用系統(tǒng)除了完成其應(yīng)用邏輯之外，還將系統(tǒng)用戶(hù)和數(shù)據(jù)庫(kù)徹底隔離開(kāi)來(lái)，成為數(shù)據(jù)庫(kù)的一道堅(jiān)固的“防火墻” 由于在這種安全體系中，真正的數(shù)據(jù)庫(kù)

13、帳號(hào)泄露及擴(kuò)散的可能性幾乎為零，所有的用戶(hù)必須通過(guò)應(yīng)用系統(tǒng)這一“單點(diǎn)” 訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)，所以可以得出結(jié)論只要應(yīng)用程序是安全、可靠的，則整個(gè)系統(tǒng)是安全可靠的。 這樣，系統(tǒng)開(kāi)發(fā)人員的精力可以主要集中到應(yīng)用程序安全性的編寫(xiě)上。經(jīng)過(guò)深入地研究、分析，系統(tǒng)采取兩級(jí)帳號(hào)、兩級(jí)登錄的改進(jìn)方案。第一級(jí)帳號(hào)是應(yīng)用系統(tǒng)帳號(hào)，也就是實(shí)際用戶(hù)所掌握的帳號(hào)，建立的方法如上段所述；第二級(jí)為數(shù)據(jù)庫(kù)系統(tǒng)帳號(hào)。兩個(gè)帳號(hào)使用相同的用戶(hù)名，但口令不同，以此來(lái)隔離用戶(hù)和數(shù)據(jù)庫(kù)系統(tǒng)。 具體而言，用戶(hù)先使用應(yīng)用系統(tǒng)帳號(hào)登錄應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)再將應(yīng)用級(jí)帳號(hào)變換為數(shù)據(jù)庫(kù)系統(tǒng)帳號(hào)，然后應(yīng)用系統(tǒng)用數(shù)據(jù)庫(kù)系統(tǒng)帳號(hào)登錄數(shù)據(jù)庫(kù)。僅在兩級(jí)登錄都成功的前提下

14、，整個(gè)登錄過(guò)程才算成功。系統(tǒng)在使用了兩級(jí)登錄都成功的前提下，整個(gè)登錄過(guò)程才算成功。系統(tǒng)在使用了兩級(jí)登錄的機(jī)制后，數(shù)據(jù)庫(kù)系統(tǒng)便能識(shí)別登錄應(yīng)用系統(tǒng)的用戶(hù)身份，因此，oracle原有的所有功能得以繼承。在改進(jìn)后的系統(tǒng)中，作者只對(duì)應(yīng)用層的事件加入日志，有關(guān)數(shù)據(jù)庫(kù)的操作則直接從oracle日志表中獲取 2) 增強(qiáng)的用戶(hù)授權(quán)機(jī)制 由于在這種安全體系中，應(yīng)用系統(tǒng)成為隔離用戶(hù)和數(shù)據(jù)庫(kù)的防火墻，其本身就必須具務(wù)相當(dāng)?shù)陌踩匦?。尤其是用?hù)授權(quán)管理機(jī)制，其嚴(yán)密將直接影響整個(gè)系統(tǒng)的安全。 基于此，作者從功能出發(fā)將整個(gè)系統(tǒng)細(xì)分為若干個(gè)可分配的最小權(quán)限單元，這些權(quán)限具體表現(xiàn)在對(duì)數(shù)據(jù)庫(kù)中所涉及的表、視圖的數(shù)據(jù)操作（dml：

15、插入 修改 刪除、查詢(xún)等）的劃分上。然后再運(yùn)用角色或工作組的概念，結(jié)合各種系統(tǒng)使用人員的工作性質(zhì)，為系統(tǒng)創(chuàng)建了4類(lèi)基本等級(jí)：系統(tǒng)管理員，高級(jí)操作員，一般操作員及簡(jiǎn)單操作員，并相應(yīng)地為每個(gè)等級(jí)賦予了不同的權(quán)限，以此來(lái)簡(jiǎn)化權(quán)限管理工作。此外，為了增加系統(tǒng)安全管理的靈活性，授權(quán)管理模塊還可以對(duì)屬于某一等能用戶(hù)的權(quán)限作進(jìn)一步限制，達(dá)到所有權(quán)限均可任意組合的效果。 同時(shí)，為了進(jìn)一步提高系統(tǒng)管理員的工作效率，系統(tǒng)為系統(tǒng)權(quán)限，用戶(hù)及每種等級(jí)所對(duì)應(yīng)的默認(rèn)權(quán)限組合都建立了數(shù)據(jù)字典，以便在不同的應(yīng)用環(huán)境下，管理員都能方便地增加等，或改變某種等難的默認(rèn)權(quán)限，此外，為了能暫時(shí)封鎖某一帳號(hào)的使用，安全系統(tǒng)還提供了帳號(hào)凍

16、結(jié)及解凍的功能。能過(guò)這種方式，在統(tǒng)一管理之下，又具有相錄的靈活性，有助于系統(tǒng)管理員更為方便，更為嚴(yán)密地控制整個(gè)系統(tǒng)的安全。 3) 智能型日志 日志系統(tǒng)具有綜合性數(shù)據(jù)記錄功能 和自動(dòng)分類(lèi)檢索能力。在該系統(tǒng)中，日志將記錄自某用戶(hù)登錄時(shí)起，到其退出系統(tǒng)時(shí)止，這所執(zhí)行的所有操作，包括登錄失敗操作，對(duì)數(shù)據(jù)庫(kù)的操作及系統(tǒng)功能的使用。日志所記錄的內(nèi)容有執(zhí)行某操作的用戶(hù)保執(zhí)行操作的機(jī)器ip地址 操作類(lèi)型 操作對(duì)象及操作執(zhí)行時(shí)間等，以備日后審計(jì)核查之用 在這個(gè)系統(tǒng)中，不僅可以分類(lèi)檢索日志內(nèi)容，系統(tǒng)還能根據(jù)已記錄的日志內(nèi)容，通過(guò)智能型揄，自動(dòng)找出可能存在的不安全因素，并實(shí)時(shí)觸發(fā)相應(yīng)的警告，信息以及時(shí)通知系統(tǒng)管理員

17、及用戶(hù)。 以下例舉幾個(gè)智能性檢查。 潛在非法攻擊檢查 對(duì)于那些企圖登錄系統(tǒng)的黑客，在其三次登錄指令性后，系統(tǒng)便會(huì)自行關(guān)閉。由于使用了智能型日志系統(tǒng)，系統(tǒng)管理員便會(huì)及時(shí)得知有非法用戶(hù)攻擊，尤其是針對(duì)同一帳號(hào)的攻擊，在若干次嘗試指失敗以后，系統(tǒng)將會(huì)自動(dòng)凍結(jié)該帳號(hào)。在與帳號(hào)持有人取得聯(lián)系后，管理員便可以根據(jù)日志文件的具體內(nèi)容，如攻擊點(diǎn)的確切位置、攻擊時(shí)間等，采取相應(yīng)措施，如更改帳號(hào)口令或封鎖工作站，確保系統(tǒng)的安全性。 單帳號(hào)多用戶(hù)檢查 在同一時(shí)刻中，若有以同一帳號(hào)登錄系統(tǒng)的用戶(hù)出現(xiàn)，則說(shuō)明某一帳號(hào)可能已被泄露，這在一定程度上將對(duì)系統(tǒng)安全構(gòu)成威脅。為此系統(tǒng)將自動(dòng)監(jiān)視，統(tǒng)計(jì)這種情況度及時(shí)通知系統(tǒng)管理員，

18、以杜絕帳號(hào)擴(kuò)散的可能，防患于未然。 非工作時(shí)間操作檢查 對(duì)于8小時(shí)工作時(shí)間之外的任何操作或是被管理定義成非工作時(shí)所執(zhí)行的任何操作，智能型日志也會(huì)視之為可疑現(xiàn)象而警告系統(tǒng)管理員 4) 完善的備份及恢復(fù)機(jī)制 誠(chéng)然，日志能記錄任何非法操作，然而要真正使系統(tǒng)從災(zāi)難中恢復(fù)出來(lái)，還需要一套完善的備份方案及恢復(fù)機(jī)制 為了防止存儲(chǔ)設(shè)備的異常損壞，本系統(tǒng)中采用了可熱插拔的scsi硬盤(pán)所組成的磁盤(pán)容錯(cuò)陣列，以raid5的方式進(jìn)行系統(tǒng)的實(shí)時(shí)熱備份。 為了防止人為的失誤或破壞，本系統(tǒng)中建立了強(qiáng)大的數(shù)據(jù)庫(kù)觸發(fā)器以備份重要數(shù)據(jù)的刪除操作，甚至更新任務(wù)。保證在任何情況上，重要數(shù)據(jù)均能最大程度地有效恢復(fù)。具體而言，對(duì)于刪除操

19、作，作者將被操作的記錄全部存貯在備份庫(kù)中。而對(duì)于更新操作，考慮到信息量過(guò)于龐大，僅僅備份了所執(zhí)行的sql語(yǔ)句。這樣，既能查看到被的內(nèi)容，又能相當(dāng)程度地減小備份庫(kù)存貯容量。 而在需要跟蹤追溯數(shù)據(jù)丟失或破壞事件的全部信息時(shí)，則將系統(tǒng)日志與備份數(shù)據(jù)有機(jī)地結(jié)合在一起真正實(shí)現(xiàn)系統(tǒng)安全性。 四、廣域網(wǎng)絡(luò)的安全 由于廣域網(wǎng)采用公網(wǎng)來(lái)進(jìn)行數(shù)據(jù)傳輸，信息在廣域網(wǎng)上傳輸時(shí)被截取和利用就比局域網(wǎng)要大得多。本系統(tǒng)中涉及到無(wú)線(xiàn)網(wǎng)絡(luò)部分和遠(yuǎn)程訪(fǎng)問(wèn)部分，因此，必須采取必要的手段，使得在廣域網(wǎng)上的發(fā)送和接收信息時(shí)能夠保證：除了發(fā)送方和接收方外，其他人是無(wú)法知悉的（隱私性） 傳輸過(guò)程中不被篡改（真實(shí)性） 發(fā)送方能確知接收方不是

20、假冒的（非偽裝性） 發(fā)送方不能否認(rèn)自己的發(fā)送行為（不可抵賴(lài)性） 為達(dá)到以上目的，我們采用了以下措施： 1、加密技術(shù)的運(yùn)用 加密技術(shù)的基本思想是不依賴(lài)于網(wǎng)絡(luò)中數(shù)據(jù)通道的安全性來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全，而是通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的加密來(lái)保障網(wǎng)絡(luò)的安全可靠性。數(shù)據(jù)加密技術(shù)可以分為三類(lèi)，即對(duì)稱(chēng)型加密、不對(duì)稱(chēng)型加密和不可逆加密。 本系統(tǒng)中選用了不可逆加密，因?yàn)槠洳淮嬖诿荑€保管和分發(fā)問(wèn)題，且由于本系統(tǒng)中需采取這種措施的數(shù)據(jù)量有限，所以這種加密方式是適用于系統(tǒng)的網(wǎng)絡(luò)體系結(jié)構(gòu)。 2、vpn(虛擬專(zhuān)網(wǎng))技術(shù)的運(yùn)用 vpn 技術(shù)和核心是采用隧道技術(shù)，將企業(yè)專(zhuān)用網(wǎng)的數(shù)據(jù)加密封裝后，透過(guò)虛擬的公網(wǎng)隧道進(jìn)行傳輸，從而防止敏感數(shù)據(jù)的

21、被竊取。企業(yè)通過(guò)公網(wǎng)建立vpn，就如同通過(guò)自己的專(zhuān)用網(wǎng)建立內(nèi)部網(wǎng)一樣，享有較高的安全性、優(yōu)先性、可靠性和可管理性，而其建立周期、投入資金和維護(hù)費(fèi)用卻大大降低。 故在本系統(tǒng)的設(shè)計(jì)中，對(duì)于一些遠(yuǎn)程訪(fǎng)問(wèn)用戶(hù)，本系統(tǒng)采用了vpn的技術(shù)。五、針對(duì)外網(wǎng)采取安全措施 這里所指的外網(wǎng)，是指本系統(tǒng)中與internet的互聯(lián)與外部一些企業(yè)用戶(hù)部分。因?yàn)椴捎玫氖腔趖cp/ip協(xié)議族，internet協(xié)議族自身的開(kāi)放性極大地方便了各種計(jì)算機(jī)的組網(wǎng)和互聯(lián)，并直接推動(dòng)了網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展。但是由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全性的忽視，至使internet在使用和管理上的無(wú)政府狀態(tài)，逐漸使internet自身的安全受到威脅

22、。 外網(wǎng)安全的威脅主要表現(xiàn)在：非授權(quán)訪(fǎng)問(wèn) 、冒充合法用戶(hù)、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行、利用網(wǎng)絡(luò)傳播病毒、線(xiàn)路竊聽(tīng)等。 針對(duì)上述情況，本系統(tǒng)采取了防火墻技術(shù)、入侵檢測(cè)技術(shù)和網(wǎng)絡(luò)防病毒技術(shù)相結(jié)合的方法。 本系統(tǒng)中采用的防火墻是天融信網(wǎng)絡(luò)安全技術(shù)有限公司的產(chǎn)品，ng fw3000，是中國(guó)人設(shè)計(jì)的符合國(guó)情的防火墻系統(tǒng)，具有完全自主版權(quán)。其采用模塊化結(jié)構(gòu)設(shè)計(jì)，可擴(kuò)展性好，方便用戶(hù)定制與升級(jí)，而且運(yùn)用面向?qū)ο蟮墓芾?，支持vpn的無(wú)縫集成，多接口等。此外，還采取了一些相關(guān)產(chǎn)品如secutity messager，sjw11，kill 98 等，以實(shí)現(xiàn)以防火墻技術(shù)、加密技術(shù)、安全認(rèn)證技術(shù)、安全應(yīng)用技術(shù)、

23、入侵檢測(cè)技術(shù)和防病毒技術(shù)相結(jié)全的綜合安全體系。結(jié)束語(yǔ) 石煙管理信息系統(tǒng)安全方案，是基于石煙具體實(shí)際情況和國(guó)內(nèi)外最實(shí)用計(jì)算機(jī)安全技術(shù)的產(chǎn)物，隨著用戶(hù)在實(shí)際應(yīng)用中需求的不斷提高，我們將對(duì)系統(tǒng)的安全性進(jìn)一步完善。planning, and government financing, and whole village relocation, and first built hou split of principles, insisted big community planning, and large district transformation, break administrative d

24、ivisions boundaries, optimization town spatial structure, speed up new community construction, formed new community live building, and intensive with ground project, and enterprise tax insurance running, and expand employment and improve peoples livelihood shed changed economic chain. the second, on poverty relief and development work in this battle the mission objectives for poverty a