焦煤公司協(xié)同辦公平臺(tái)系統(tǒng)安全解決方案

1、焦煤公司協(xié)同辦公平臺(tái)系統(tǒng)安全解決方案 HYPERLINK /wenku/huanjinganquan/2020/0915/717072.html 摘要：進(jìn)入21世紀(jì)后，信息系統(tǒng)以其驚人的速度逐漸成為人們從事各種社會(huì)活動(dòng)的基本工具，各單位紛紛上馬了協(xié)同辦公系統(tǒng)來作為一種新型的辦公方式，然而各式各樣的安全問題卻干擾著信息的正常運(yùn)行，影響人們的正常工作。結(jié)合焦煤公司協(xié)同辦公平臺(tái)的建設(shè)，從多個(gè)方面介紹信息系統(tǒng)安全解決方案。關(guān)鍵詞：協(xié)同辦公 信息安全 系統(tǒng) 解決方案中圖分類號(hào)：TP27 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-3973（2012）010-085-021 系統(tǒng)安全方案設(shè)計(jì)焦煤協(xié)同辦公平臺(tái)系統(tǒng)安

2、全解決方案可從網(wǎng)絡(luò)層、數(shù)據(jù)層和應(yīng)用層三個(gè)方面進(jìn)行了設(shè)計(jì)：網(wǎng)絡(luò)層可安裝防火墻、殺毒軟件及使用VPN專用通道等；數(shù)據(jù)層安全策略有雙機(jī)熱備、遠(yuǎn)程訪問限制及動(dòng)態(tài)數(shù)據(jù)密碼等；應(yīng)用層安全策略有文件加密、Https傳輸加密、防SQL注入攻擊、密鑰登錄、IP訪問限制及記錄系統(tǒng)操作日志等。2 多層安全機(jī)制設(shè)計(jì)2.1 物理安全物理安全很重要的一個(gè)環(huán)節(jié)就是計(jì)算機(jī)機(jī)房的建設(shè)。計(jì)算機(jī)機(jī)房設(shè)計(jì)與施工的優(yōu)劣直接關(guān)系到機(jī)房?jī)?nèi)計(jì)算機(jī)系統(tǒng)是否能穩(wěn)定可靠地運(yùn)行，是否能保證各類信息通訊暢通無阻。電力：提供雙回路UPS供電系統(tǒng)，真正保證能無間斷持續(xù)供電?？拐穑簷C(jī)房架空地板承重達(dá)600公斤/平方米以上，結(jié)構(gòu)穩(wěn)固，并具備8級(jí)抗震能力。安全

3、：實(shí)行嚴(yán)格的機(jī)房管理制度，出入人員均應(yīng)登記備案；機(jī)柜應(yīng)隨手上鎖；同時(shí)應(yīng)配備先進(jìn)的消防設(shè)施，保障設(shè)備安全。溫控：保持機(jī)房溫度220C左右，濕度50%左右，為設(shè)備正常高效運(yùn)轉(zhuǎn)提供可靠的環(huán)境保障。先進(jìn)的機(jī)房專用空氣調(diào)節(jié)系統(tǒng)采用上送風(fēng)方式，滿足機(jī)房空間的恒溫要求，新風(fēng)系統(tǒng)高壓輸入潔凈的新鮮空氣，為機(jī)房提供最佳運(yùn)行條件。安全可靠的消防體系：機(jī)房吊頂內(nèi)、房間內(nèi)、地板下增設(shè)固定管網(wǎng)氣體滅火系統(tǒng)，使用環(huán)保型消防系統(tǒng)，包括消防報(bào)警及自動(dòng)滅火系統(tǒng)，盡早地發(fā)現(xiàn)火災(zāi)隱患，在實(shí)施時(shí)嚴(yán)格按照國(guó)際規(guī)范進(jìn)行操作，保證系統(tǒng)設(shè)備不會(huì)在滅火過程中受損。2.2 網(wǎng)絡(luò)安全控制用戶接入：由于焦煤不需要采用傳統(tǒng)的電話撥號(hào)上網(wǎng)，所有的終端都

4、擁有分配的IP，因此這一個(gè)層次的安全完全可以使用成熟的基于以太網(wǎng)的訪問控制技術(shù)，通過在路由器和防火墻層面進(jìn)行用戶認(rèn)證，控制用戶的訪問入口，將非法訪問排除在外。設(shè)置防火墻：通過采購(gòu)先進(jìn)的軟硬件防火墻產(chǎn)品，做到：保證原有的應(yīng)用系統(tǒng)能夠正常提供服務(wù)、支持專線等多種網(wǎng)絡(luò)接口、支持多種協(xié)議、多層防火墻保護(hù)、多種終端接入方式、內(nèi)置主流應(yīng)用程序過濾器、提供對(duì)于多種VPN方式的支持、識(shí)別常見網(wǎng)絡(luò)攻擊并作出響應(yīng)（包括Windows帶外攻擊、Land攻擊、Ping of Death、IP半掃描攻擊、UDP炸彈攻擊、端口掃描等）、支持?jǐn)?shù)據(jù)實(shí)時(shí)監(jiān)控功能等。控制與公網(wǎng)互聯(lián)訪問：統(tǒng)一政務(wù)協(xié)同辦公的網(wǎng)絡(luò)采取物理隔離的方式，

5、斷絕與Internet的直接連接，并通過防火墻、VPN技術(shù)等安全手段來完成遠(yuǎn)距離接入的安全控制與訪問。防范病毒：在焦煤協(xié)同辦公系統(tǒng)中，可針對(duì)不同業(yè)務(wù)需求建立多層次防病毒體系。C/S和B/S結(jié)構(gòu)的辦公系統(tǒng)都需要在其安裝點(diǎn)或運(yùn)行點(diǎn)安裝防病毒軟件，并在服務(wù)器端提供對(duì)應(yīng)的防病毒保護(hù)措施。另外除了采用各種防病毒產(chǎn)品外，還應(yīng)對(duì)綜合的安全性操作規(guī)程進(jìn)行完善，此類操作規(guī)程包括各種安全措施，如數(shù)據(jù)定期定時(shí)備份、對(duì)關(guān)鍵信息進(jìn)行加密保護(hù)等。通過合理周全地進(jìn)行防病毒規(guī)劃，結(jié)合Windows平臺(tái)管理、部署的策略，建立完整的防病毒體系，全面實(shí)現(xiàn)防病毒產(chǎn)品的強(qiáng)大功能，不留下安全死角或隱患，最大程度地滿足用戶在安全方面的要求

6、。防范黑客入侵：黑客技術(shù)隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及信息技術(shù)的飛速發(fā)展，也在不斷升級(jí)，其攻擊的范圍更廣、層次更深。協(xié)同辦臺(tái)平臺(tái)也是重要的企業(yè)信息化項(xiàng)目，建設(shè)的時(shí)候也應(yīng)對(duì)惡意黑客的攻擊進(jìn)行防范。因此，通過采購(gòu)國(guó)內(nèi)優(yōu)秀的網(wǎng)絡(luò)防入侵軟件，并通過不定期的對(duì)于關(guān)鍵網(wǎng)絡(luò)設(shè)備的訪問記錄進(jìn)行審查，能夠及時(shí)的發(fā)現(xiàn)可疑的入侵行為，及時(shí)的采取清除、禁止訪問等措施，以保障整個(gè)辦公平臺(tái)的安全性。2.3數(shù)據(jù)安全根據(jù)數(shù)據(jù)的處理形式不同，信息安全體系中的數(shù)據(jù)安全主要有數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全及數(shù)據(jù)庫安全三個(gè)方面。數(shù)據(jù)傳輸安全：待傳輸數(shù)據(jù)的安全性由寫入介質(zhì)之前，對(duì)關(guān)鍵信息加入身份認(rèn)證、數(shù)字簽名、數(shù)據(jù)摘要、數(shù)據(jù)加密等安全措施以保證數(shù)據(jù)

7、的可靠性、防止數(shù)據(jù)信息被偷竊、篡改和否認(rèn)。根據(jù)傳遞數(shù)據(jù)的安全級(jí)別，協(xié)同辦公平臺(tái)系統(tǒng)在處理時(shí)對(duì)于一般數(shù)據(jù)，可以采用加蓋時(shí)間戳與驗(yàn)證、添加數(shù)據(jù)摘要與驗(yàn)證等措施來保證待傳輸數(shù)據(jù)的完整性；對(duì)于重要級(jí)數(shù)據(jù)，需要添加數(shù)字簽名與驗(yàn)證、要求簽名回執(zhí)、進(jìn)行數(shù)據(jù)加密與解密等保證傳輸數(shù)據(jù)的安全；對(duì)于關(guān)鍵性數(shù)據(jù)，增加交叉認(rèn)證來保證更高的安全性。在傳輸?shù)穆酚煞矫妫梢酝ㄟ^使用國(guó)際標(biāo)準(zhǔn)的基于SSL的加密通道來傳輸辦公平臺(tái)數(shù)據(jù)。數(shù)據(jù)存儲(chǔ)安全：焦煤協(xié)同辦公平臺(tái)系統(tǒng)用Oracle數(shù)據(jù)庫來保存數(shù)據(jù)，數(shù)據(jù)庫可以采用集中式部署、也可以采用分布式部署或是兩者的混合部署形式。數(shù)據(jù)存儲(chǔ)安全除了采用Oracle DBMS本身提供的DB加密存

8、儲(chǔ)、權(quán)限控制等安全機(jī)制之外，還可以根據(jù)數(shù)據(jù)的安全分級(jí)，對(duì)一般性數(shù)據(jù)可直接采用明文加上驗(yàn)證碼存儲(chǔ)或單純明文存儲(chǔ)，對(duì)于重要級(jí)數(shù)據(jù)和關(guān)鍵性數(shù)據(jù)則除了附加驗(yàn)證碼存儲(chǔ)外，系統(tǒng)還可以采用先加密后存儲(chǔ)的方式以防止數(shù)據(jù)被非法篡改或竊取。數(shù)據(jù)庫安全：數(shù)據(jù)庫的安全可直接由DBMS來保證，DBMS提供數(shù)據(jù)的存儲(chǔ)和訪問。在數(shù)據(jù)庫管理安全方面，可以采取的方法有：每天備份數(shù)據(jù)庫，并可根據(jù)實(shí)際數(shù)據(jù)庫大小情況和使用頻率進(jìn)行完全備份或者差異備份。備份文件和運(yùn)行數(shù)據(jù)文件不放置在同一臺(tái)服務(wù)器，以增強(qiáng)抗災(zāi)性。對(duì)數(shù)據(jù)庫賬號(hào)進(jìn)行分角色建立，應(yīng)用程序使用專門的賬號(hào)，管理員分別使用不同的管理賬號(hào)。不使用數(shù)據(jù)庫SA賬號(hào)，要設(shè)置成強(qiáng)密碼等。3

9、數(shù)據(jù)備份解決方案3.1 數(shù)據(jù)備份策略根據(jù)協(xié)同辦公平臺(tái)系統(tǒng)的特點(diǎn)，其備份策略可分兩部分，即各服務(wù)器上操作系統(tǒng)和應(yīng)用程序代碼部分的備份策略和普通業(yè)務(wù)數(shù)據(jù)方面的備份策略。操作系統(tǒng)和應(yīng)用程序代碼部分的備份策略相對(duì)比較簡(jiǎn)單，一般在系統(tǒng)安裝后能正常運(yùn)行時(shí)，先對(duì)所有系統(tǒng)程序做一次全備份，之后可每周對(duì)關(guān)鍵系統(tǒng)程序做一次全備份；另外，當(dāng)哪臺(tái)機(jī)器做了軟件安裝或系統(tǒng)升級(jí)，也應(yīng)在第一時(shí)間做一次全備份。普通業(yè)務(wù)數(shù)據(jù)方面的備份策略：可選擇每周訪問量比較小的時(shí)候?qū)ζ渥鲆淮稳珎浞?，或每天?duì)日常業(yè)務(wù)數(shù)據(jù)做一次增量備份或全備份，另外在每次業(yè)務(wù)數(shù)據(jù)進(jìn)行了大的調(diào)整后也應(yīng)立即做一次全備份。3.2 數(shù)據(jù)恢復(fù)策略情況一：主機(jī)的數(shù)據(jù)磁盤發(fā)生

10、故障。若發(fā)生故障的數(shù)據(jù)盤使用的是RAID1、RAID5等相關(guān)技術(shù)，則可以通過直接熱替換硬盤進(jìn)行數(shù)據(jù)恢復(fù)；若發(fā)現(xiàn)數(shù)據(jù)盤已不能被訪問，則需要先對(duì)物理盤進(jìn)行故障解除，然后再通過直接熱替換硬盤從備份介質(zhì)恢復(fù)數(shù)據(jù)。情況二：主機(jī)的系統(tǒng)磁盤物理損壞。此時(shí)可先采用雙機(jī)系統(tǒng)切換功能，再更換系統(tǒng)盤，通過備份系統(tǒng)具備的災(zāi)難恢復(fù)功能對(duì)操作系統(tǒng)實(shí)施恢復(fù)。情況三：主機(jī)物理損壞。如果采用群集軟件，則可通過它完成任務(wù)切換；采用備用服務(wù)器，維修損壞主機(jī)。情況四：服務(wù)器操作系統(tǒng)不能啟動(dòng)。此時(shí)可先采用雙機(jī)系統(tǒng)切換功能，然后直接通過備份系統(tǒng)具備的災(zāi)難恢復(fù)功能對(duì)操作系統(tǒng)實(shí)施恢復(fù)。情況五：數(shù)據(jù)中心災(zāi)難。備份系統(tǒng)可對(duì)生成的一個(gè)備份內(nèi)容進(jìn)行多個(gè)備份介質(zhì)拷貝，這樣，可在數(shù)據(jù)中心保留一份備份介質(zhì)，另外將同樣內(nèi)容的其它備份介質(zhì)在遠(yuǎn)程的保險(xiǎn)庫中進(jìn)行保留。當(dāng)災(zāi)難發(fā)生后，即使本地備份介質(zhì)損壞，還可用異地保險(xiǎn)庫中的備份介質(zhì)進(jìn)行遠(yuǎn)程或本地恢復(fù)。4 應(yīng)用系統(tǒng)安全為了保證應(yīng)用系統(tǒng)的安全性，焦煤協(xié)同辦公平臺(tái)在應(yīng)用中還支持USB-key的安全身份認(rèn)證、CA認(rèn)證、動(dòng)態(tài)驗(yàn)證碼、功能分級(jí)控制、安全跟蹤、IP安全控制、安全審計(jì)和日志、基于角色的權(quán)限管理及系統(tǒng)操作日志等，此處不再祥述。5 結(jié)束語焦煤協(xié)同辦公平臺(tái)關(guān)聯(lián)著公司內(nèi)部各業(yè)務(wù)系統(tǒng)及多子部門人員，涉及面廣，所以信息安全問題尤其重要。通過此安全方案的實(shí)施，常