1、信息安全規(guī)劃

本文所提及的檔案信息安全體系主要由規(guī)劃勘測設(shè)計單位檔案信息安全和個人信息安全兩個部分組成，兩者之間相輔相成。

規(guī)劃勘測設(shè)計單位檔案信息安全主要有網(wǎng)絡(luò)安全、數(shù)據(jù)安全、系統(tǒng)安全和通訊安全四個部分。

在網(wǎng)絡(luò)安全方面，由于互聯(lián)網(wǎng)絡(luò)的開放性和黑客技術(shù)使得網(wǎng)絡(luò)受到攻擊的威脅越來越大。網(wǎng)絡(luò)應(yīng)用環(huán)境的不斷變化，加上管理不當(dāng)，不能有效地控制網(wǎng)絡(luò)的安全狀況。因此，需要從接人安全、防火墻策略、防黑客系統(tǒng)、WEB服務(wù)安全四個方面來考慮網(wǎng)絡(luò)的安全性。

數(shù)據(jù)安全方面，重點放在數(shù)據(jù)備份恢復(fù)和文件安全系統(tǒng)上。因為數(shù)據(jù)是信息的基礎(chǔ)，要做好數(shù)據(jù)的常規(guī)備份和歷史保存。首先，要考慮硬件冗余來防止硬件故障，對軟件故障或人為誤操作造成數(shù)據(jù)的損壞，則使用存儲備份系統(tǒng)和硬件容錯相結(jié)合的方式。這種結(jié)合方式構(gòu)成了對系統(tǒng)的多級防護，能夠有效地防止物理損壞和邏輯損壞。

系統(tǒng)安全方面，內(nèi)部網(wǎng)絡(luò)安全考慮的主要有：

一是網(wǎng)段劃分。由于局域網(wǎng)采用以交換機為中心、路由器為邊界的網(wǎng)絡(luò)格局，又基于中心交換機的訪問控制功能和三層交換功能，綜合應(yīng)用物理分段與邏輯分段這兩種網(wǎng)段劃分方法，來實現(xiàn)對局域網(wǎng)的安全控制，其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離。

二是身份鑒別，使用用戶名和密碼方式進行用戶身份鑒別。對于高密級的身份鑒別，使用動態(tài)密碼驗證。

三是訪問控制。根據(jù)身份鑒別進行授權(quán)，對信息系統(tǒng)資源訪問進行限制。

通訊安全方面，SSL系統(tǒng)是基于SSL協(xié)議的信息安全傳輸系統(tǒng)。以電子證書為中心對信息傳輸?shù)碾p方實行對稱或非對稱的身份驗證。SSL系統(tǒng)提供三方面的服務(wù)：

一是用戶和服務(wù)器的合法性認(rèn)證，使它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機和服務(wù)器上。

二是在客戶機與服務(wù)器進行數(shù)據(jù)交換之前，交換SSL初始握手信息，以保證其機密性和數(shù)據(jù)的完整性。

三是保護數(shù)據(jù)的完整性，建立客戶機與服務(wù)器之間的安全通道，使所有經(jīng)過安全套接層協(xié)議處理的業(yè)務(wù)在傳輸過程中能全部完整準(zhǔn)確地到達目的地。

2、系統(tǒng)設(shè)計實施

一般意義上講，網(wǎng)絡(luò)信息安全系統(tǒng)注重“防”與“備”兩個方面，“防”是指在網(wǎng)絡(luò)和系統(tǒng)上的防護，“備”是數(shù)據(jù)和軟件系統(tǒng)的備份。

2．1 網(wǎng)絡(luò)和系統(tǒng)安全

網(wǎng)絡(luò)配置的防火墻應(yīng)具有多個自適應(yīng)10/100M以太網(wǎng)端口把網(wǎng)絡(luò)劃分成幾個區(qū)域，把需要保護的區(qū)域與潛在威脅分離開來。瑞星網(wǎng)絡(luò)版防病毒軟件具有網(wǎng)絡(luò)管理功能，通過一個系統(tǒng)中心在整個網(wǎng)絡(luò)內(nèi)實現(xiàn)遠程管理、智能升級、自動分發(fā)、遠程報警等多種功能，有效地管理和保護所有病毒入口，對網(wǎng)絡(luò)上病毒實時監(jiān)控、定時或手動掃描、自動升級。

2．2 數(shù)據(jù)安全

可以選用用于存儲的磁盤陣列，該設(shè)備在一個2U高的機箱內(nèi)配置了12個SATA接口的硬盤，存儲容量為3TB。AX100提供光纖通道或iSCSI連接方式，可以方便實現(xiàn)從Lan存儲方式遷移到LanFree存儲方式，

備份系統(tǒng)中的服務(wù)器、磁盤陣列、磁帶庫和備份軟件安裝調(diào)試后的工作主要是確定數(shù)據(jù)備份方式和備份策略。通過對系統(tǒng)數(shù)據(jù)分析和系統(tǒng)發(fā)生問題時恢復(fù)工作的需要，確定應(yīng)用軟件只在初次安裝或軟件升級后作一次備份。數(shù)據(jù)庫的日常備份采用全備、增量和差分三種方式分別進行數(shù)據(jù)的備份。具體的備份策略是根據(jù)規(guī)劃勘測設(shè)計單位檔案能承受多長時間的數(shù)據(jù)丟失和多長時間的業(yè)務(wù)停頓來制定的，

2．3 數(shù)據(jù)鏡像

應(yīng)用數(shù)據(jù)鏡像軟件，將主服務(wù)器的數(shù)據(jù)實時地復(fù)制到備用服務(wù)器上，保證主、備服務(wù)器上數(shù)據(jù)的一致性，這樣完成主、備服務(wù)器的集群熱備功能。數(shù)據(jù)鏡像軟件可以做到數(shù)據(jù)的增量鏡像，當(dāng)備機故障停機或用戶重啟備機后，主機以增量方式向備機做數(shù)據(jù)的鏡像。用戶將數(shù)據(jù)鏡像到備用機做實時數(shù)據(jù)備份，即備份服務(wù)器上數(shù)據(jù)的變化跟隨主機數(shù)據(jù)的變化而變化。同時也可以將數(shù)據(jù)復(fù)制到遠程服務(wù)器做備份，或復(fù)制到本機另一個磁盤分區(qū)做本機的數(shù)據(jù)備份。

為保證數(shù)據(jù)的安全性，備份策略可以由多種方式組成，如實時備份加定時備份，也可以將上一次備份的數(shù)據(jù)保留。通過軟件可以設(shè)定每天、每月、每年等的備份時間，為保留上一次備份的數(shù)據(jù)可以選擇設(shè)置將上一次備份的數(shù)據(jù)移到另外一個目錄。

數(shù)據(jù)鏡像應(yīng)用于規(guī)劃勘測設(shè)計單位檔案中的OA等重要應(yīng)用系統(tǒng)，它的實時備份功能可最大限度地減少數(shù)據(jù)丟失，數(shù)據(jù)恢復(fù)工作簡單快速。數(shù)據(jù)鏡像與其他備份系統(tǒng)的組合應(yīng)用，進一步完善了規(guī)劃勘測設(shè)計單位檔案數(shù)據(jù)安全工作。