原文作者：陈宝光

　　[摘 要] 随着计算机网络技术的发展，网络安全越来越重要。文章从信息安全策略技术和管理两个方面出发，介绍信息安全体系的构成，详细阐述信息安全体系的基本要素以及相关的技术和管理构件，建构信息安全体系的技术构架和管理框架。
 　　[关键词] 网络安全；安全架构；安全技术
　　[作者简介] 陈宝光，河北省信息资源管理中心，河北 石家庄，050071
　　[中图分类号] tp393.08 [文献标识码] a [文章编号] 1007-7723（2013）04-0021-0003
　　一、引 言
　　由于网络的开放性，交换与共享平台在提供高效、友好信息资源交换共享服务的同时，将不可避免地面临网络入侵、病毒侵袭、信息篡改等安全问题，从而为使用人员和管理部门带来了一定的威胁、风险和责任。
 　　本体系从信息安全策略技术和管理两个方面出发，深入了解信息安全体系的构成，详细阐述信息安全体系的基本要素以及相关的技术和管理构件，详细阐述它们在信息安全系统中的地位和作用以及它们之间的关联性、互补性，采用纵深防御的战略思想，建构信息安全体系的技术构架和管理框架。
 　　二、总体框架
　　信息安全是整体的、动态的，安全体系不是指单一的某种安全设备，而是指几种安全设备的综合。建立网络安全系统也不是一件一劳永逸的事情，针对安全体系的特性，可以采用“统一规划、分步实施”的原则。先对整个网络进行整体的安全规划，然后根据实际状况逐步建立一个安全防护体系，提高整个信息系统基础的安全性，保证应用系统的安全性。www.11665.com
 　　信息安全体系包括三个要素：安全策略、管理和技术。
　　位于顶层的是平台安全总体策略，这是整个平台安全体系的基本标准，是所有安全行为的指导方针，是整个平台信息安全建设的依据，用于指导管理体系和技术体系来实现整体安全目标，因此它是信息安全的最核心问题，是平台安全规划的基础。
 　　其次是在以上策略制度指导下制定的一系列针对系统自身漏洞和外部威胁的管理措施，即安全管理体系，包含法规、制度、培训、组织、程序等，是对安全策略的更具体化体现。
 　　最下面的是安全技术体系，包括各种基础的安全技术、工具、产品和服务等，为整个安全体系提供基本的技术支撑。
　　信息网络的安全技术体系是根据网络不同层次采用不同的安全技术来缓解网络安全风险，层次化和体系化地解决网络安全问题。如图1所示。
　　三、安全技术
　　（一）物理安全
　　物理安全是保障整个平台网络与计算机信息系统各种设备的安全。物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；确保计算机系统有一个良好的电磁兼容工作环境；防止非法进入计算机控制室和各种偷窃、破坏活动的发生。物理安全是信息安全的保障，是系统不可缺少或忽视的。 [论文网] 
 　　安全域划分
　　1.安全策略
　　（1）实施“分级保护”，依据安全等级要求确定平台安全等级并实施网络系统安全防护措施；
　　（2）实施“分域保护”，合理划分安全域，进行安全域边界保护和逻辑隔离，控制平台各安全域之间的访问；
　　对平台的所有网络访问行为进行监控和审计追踪；
　　（3）对操作系统、数据库系统进行严格的安全配置，及时更新安全补丁；
　　（4）部署网络防病毒系统，并定期更新病毒库，防止病毒和木马的入侵和攻击；
　　（5）定期对系统进行漏洞扫描和安全风险评估，及时发现系统存在的漏洞和风险，提出安全改进报告；
　　（6）建立完备的容灾备份和应急响应机制，建设平台统一的容灾体系和应急响应体系；
　　（7）建立有效的安全管理保障体系，以适应网络安全的动态性、复杂性和长期性特点。
　　2.部署漏洞扫描系统，定期扫描、及时堵塞漏洞
　　在网络安全体系的建设中， 安全扫描工具的运行相对独立，能较全面检测流行漏洞，检测最严重的安全问题，安装运行简单，可以大规模减少安全管理员的手工劳动，降低安全审计人员的劳动强度，有利于保持全网安全政策的统一和稳定。
 　　3.ca认证
　　有效地防止信息篡改的方法就是ca认证。在交换平台的应用层实施细粒度的访问控制，实现对用户的身份鉴别、实现信息的保密性、完整性、真实性和抗抵赖性等保护。应用系统以基于数字证书以及相关的经国家有关部门认可的密码算法认证登录用户的真实身份，采用数字签名技术解决抗抵赖性和数据完整性的问题，利用安全系统提供的加密算法，解决信息的保密性问题。
 　　4.终端管理
　　终端管理主要解决内网安全管理被动和执行力低下的问题，通过实现从“准入控制”、“主动防御”、“数据防泄密”、“桌面信息管理”和“终端审计”的动态闭环的内网管理体系，在应对内网安全威胁的斗争中，掌握主动权和制高点，依靠有限的安全控制手段，有效应对无限的内网威胁。
 　　5.ip管理
　　ip地址管理支持ip-mac绑定，mac-ip绑定，user-ip绑定。ip-mac绑定功能保护特定的ip地址只能由特定的mac地址的电脑使用，这保护了服务器、网络设备或重要用户的ip地址不被其他人随便使用。mac-ip绑定功能使指定的电脑只能使用指定的ip地址，或强制使用dhcp。user-ip绑定确保每个用户使用专属于自己的ip地址，配合动态vlan技术，user-ip绑定使用户在企业内漫游时也能始终使用自己的ip地址。支持批量设置绑定，减轻管理员的工作负荷。
 　　6.移动存储管理
　　移动存储管理，是解决终端通过移动存储进行数据交换和共享过程中，防泄密控制的要求，通过实现终端的移动存储的认证、数据加密和共享受控管理，彻底解决用户对防泄密控制中通过移动存储进行数据安全交换和受控共享的迫切要求。

　　7.防火墙
　　防火墙是以访问控制技术为代表的传统网络安全设备，是在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法。它是一种计算机硬件和软件的结合，使internet与intranet之间建立起一个安全网关（security gateway），从而保护内部网免受非法用户的侵入。
 　　8.入侵检测（ids）
　　ids是一种网络安全系统，当有恶意用户试图通过internet进入网络甚至计算机系统时，ids能够根据已有的、最新的信息代码对进出网段的所有操作行为进行实时监控、记录，并进行报警，通知网络该采取措施进行响应。
 　　9.入侵防御（ips）
　　它是一种主动的、积极的入侵防范、阻止系统，可以

简单理解为入侵检测系统和防火墙的结合体。它部署到放火墙和内网之间，可以有效地弥补防火墙阻断不了的入侵行为。一般来说，我们关注的是自己的网络能否避免被攻击，对于能检测到多少攻击并不是很热衷。但这并不是说入侵检测系统就没有用处，在一些专业的机构，或者说如果我们对网络安全要求很高，除了部署ips和防火墙之外，还要部署入侵检测系统，入侵检测系统和其他审计跟踪产品结合，可以提供针对平台信息资源全面的审计资料，这些资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等都有很重要的作用。
 　　（二）数据安全
　　数据的安全主要是通过数据传输过程中的保密性、完整性保护、完善的存储设施和适当的备份策略来实现。在前面论述的ca认证可以实现数据在传输过程中的保密性、完整性保护。
 　　1.构建数据库集群
　　利用oracle数据库集群技术解决数据安全性、高可用性的需求。oracle数据库集群技术可以将多台数据库服务器整合至集群环境中，并通过负载均衡机制实现数据库服务器的并发访问处理，而且能够实现快速的故障切换。由于交换平台的各应用系统（交换系统除外）采用的是典型的b/s架构，即客户端-中间件服务器-数据库集群。如下图3所示：
 　　数据库集群主要构成：
　　oracle rac ：全称为oracle real application clusters，主要实现数据库的集群，集群可以提高系统性能并充分实现数据库服务器的高可靠性，当出现单一的数据库故障时应用系统可以迅速地切换至备机继续运行。
 　　数据库软件：采用oracle 10
　　ibm小型机：采用集群技术需要有多台数据库服务器构成，平台一般采用ibm p520小型机，oracle rac集群支持硬件的异构，只要新购置的机器操作系统一致就可以构建集群环境。
 　　光纤交换机：连接磁盘阵列和服务器，为高性能的数据存储提供保障。
　　磁盘阵列：用于存储数据，当一台数据库服务器有意外发生时，另一台服务器从磁盘阵列中读取数据，迅速完成切换。
　　2.数据备份
　　由于存储设备的限制，现在采用基于用户的逻辑备份的方法，这种备份在数据规模不大、数据完整性要求不高的时候是可以用的，随着业务的发展，服务器和存储设备的扩展，就需要建立一套完善的备份计划。好的备份策略可以减轻管理员的工作压力，提高工作效率，也可以在灾难发生后及时地恢复系统。
 　　3.数据库备份策略
　　以物理备份为主，同时使用逻辑备份作为辅助备份方式。导出产生的数据文件可以保存在一个合适的位置。在备份管理系统中选定这些文件件作为一个备份作业，使用磁带保存相应的备份。
 　　从逻辑形式上分，数据库的备份主要分为两种：一种是物理备份，主要是对数据库的数据文件、日志文件、控制文件进行备份，它需要通过使用数据库的备份工具如oracle的rman等；另一种备份为逻辑备份，是表一级的备份。通常情况下，大型数据库的备份以物理备份为主，逻辑备份为辅，因为物理备份/恢复速度快。物理备份又分为在线备份和脱机备份两种。在线备份是在数据库运行的情况下实施的备份，而脱机备份则是在数据库关闭的情况下进行。对于7x24的数据库只能进行在线备份。
 　　4.网络存储
　　随着交换与共享应用的深入，数据规模会越来越大，平台可以采用san和nas相结合的技术构建立存储备份系统。存储系统将独立于主机环境和操作系统环境，为多台服务器提供集中的存储备份服务，并通过高度自动化的大型磁带库和智能化的备份管理软件对业务数据进行用户化、策略化的自动备份。在保证现有应用系统存储模式到新存储模式的平滑过渡，可以将现有的主机系统、直联存储设备等整合集成到san存储网络中。
 　　四、安全管理
　　安全管理是为实现安全目标而进行的有关决策、计划、组织和控制等方面的活动；主要运用现代安全管理原理、方法和手段，分析和研究各种不安全因素，从技术上、组织上、管理上采取有力的措施，解决和消除各种不安全因素，防止事故的发生。主要是通过一系列的规章制度，明确机房管理人员的安全职责，强化机房管理人员的安全意识，确保各项安全措施的实施并真正发挥作用。可以制定人员安全管理制度、文档管理制度、物理环境安全管理制度、应用系统安全管理制度、访问控制制度、应急安全管理制度和安全评估制度。
 　　五、结 语
　　为保障平台网络安全，应采取网络安全管理措施，加强网络安全策略、安全管理组织和安全技术培训，加大经费投入，一起做好平台网络的安全管理工作，建设一个安全、可靠的网络环境。
 　　[参考文献]
　　[1]史晓红.网络安全技术宝典[m].北京：中国铁道出版社，2010.
　　[2]周学广，等.信息安全学[m].北京：机械工业出版社，2003.
　　[3]曹天杰，等.计算机系统安全[m].北京：高等教育出版社，2003.
　　[4]刘衍衍，等.计算机安全技术[m].吉林：吉林科学技术出版社，1997.