1、信息安全規(guī)劃

本文所提及的檔案信息安全體系主要由規(guī)劃勘測設計單位檔案信息安全和個人信息安全兩個部分組成，兩者之間相輔相成。

規(guī)劃勘測設計單位檔案信息安全主要有網(wǎng)絡安全、數(shù)據(jù)安全、系統(tǒng)安全和通訊安全四個部分。

在網(wǎng)絡安全方面，由于互聯(lián)網(wǎng)絡的開放性和黑客技術使得網(wǎng)絡受到攻擊的威脅越來越大。網(wǎng)絡應用環(huán)境的不斷變化，加上管理不當，不能有效地控制網(wǎng)絡的安全狀況。因此，需要從接人安全、防火墻策略、防黑客系統(tǒng)、WEB服務安全四個方面來考慮網(wǎng)絡的安全性。

數(shù)據(jù)安全方面，重點放在數(shù)據(jù)備份恢復和文件安全系統(tǒng)上。因為數(shù)據(jù)是信息的基礎，要做好數(shù)據(jù)的常規(guī)備份和歷史保存。首先，要考慮硬件冗余來防止硬件故障，對軟件故障或人為誤操作造成數(shù)據(jù)的損壞，則使用存儲備份系統(tǒng)和硬件容錯相結合的方式。這種結合方式構成了對系統(tǒng)的多級防護，能夠有效地防止物理損壞和邏輯損壞。

系統(tǒng)安全方面，內部網(wǎng)絡安全考慮的主要有：

一是網(wǎng)段劃分。由于局域網(wǎng)采用以交換機為中心、路由器為邊界的網(wǎng)絡格局，又基于中心交換機的訪問控制功能和三層交換功能，綜合應用物理分段與邏輯分段這兩種網(wǎng)段劃分方法，來實現(xiàn)對局域網(wǎng)的安全控制，其目的是將非法用戶與敏感的網(wǎng)絡資源相互隔離。

二是身份鑒別，使用用戶名和密碼方式進行用戶身份鑒別。對于高密級的身份鑒別，使用動態(tài)密碼驗證。

三是訪問控制。根據(jù)身份鑒別進行授權，對信息系統(tǒng)資源訪問進行限制。

通訊安全方面，SSL系統(tǒng)是基于SSL協(xié)議的信息安全傳輸系統(tǒng)。以電子證書為中心對信息傳輸?shù)碾p方實行對稱或非對稱的身份驗證。SSL系統(tǒng)提供三方面的服務：

一是用戶和服務器的合法性認證，使它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機和服務器上。

二是在客戶機與服務器進行數(shù)據(jù)交換之前，交換SSL初始握手信息，以保證其機密性和數(shù)據(jù)的完整性。

三是保護數(shù)據(jù)的完整性，建立客戶機與服務器之間的安全通道，使所有經(jīng)過安全套接層協(xié)議處理的業(yè)務在傳輸過程中能全部完整準確地到達目的地。

2、系統(tǒng)設計實施

一般意義上講，網(wǎng)絡信息安全系統(tǒng)注重“防”與“備”兩個方面，“防”是指在網(wǎng)絡和系統(tǒng)上的防護，“備”是數(shù)據(jù)和軟件系統(tǒng)的備份。

2．1 網(wǎng)絡和系統(tǒng)安全

網(wǎng)絡配置的防火墻應具有多個自適應10/100M以太網(wǎng)端口把網(wǎng)絡劃分成幾個區(qū)域，把需要保護的區(qū)域與潛在威脅分離開來。瑞星網(wǎng)絡版防病毒軟件具有網(wǎng)絡管理功能，通過一個系統(tǒng)中心在整個網(wǎng)絡內實現(xiàn)遠程管理、智能升級、自動分發(fā)、遠程報警等多種功能，有效地管理和保護所有病毒入口，對網(wǎng)絡上病毒實時監(jiān)控、定時或手動掃描、自動升級。

2．2 數(shù)據(jù)安全

可以選用用于存儲的磁盤陣列，該設備在一個2U高的機箱內配置了12個SATA接口的硬盤，存儲容量為3TB。AX100提供光纖通道或iSCSI連接方式，可以方便實現(xiàn)從Lan存儲方式遷移到LanFree存儲方式，

備份系統(tǒng)中的服務器、磁盤陣列、磁帶庫和備份軟件安裝調試后的工作主要是確定數(shù)據(jù)備份方式和備份策略。通過對系統(tǒng)數(shù)據(jù)分析和系統(tǒng)發(fā)生問題時恢復工作的需要，確定應用軟件只在初次安裝或軟件升級后作一次備份。數(shù)據(jù)庫的日常備份采用全備、增量和差分三種方式分別進行數(shù)據(jù)的備份。具體的備份策略是根據(jù)規(guī)劃勘測設計單位檔案能承受多長時間的數(shù)據(jù)丟失和多長時間的業(yè)務停頓來制定的，

2．3 數(shù)據(jù)鏡像

應用數(shù)據(jù)鏡像軟件，將主服務器的數(shù)據(jù)實時地復制到備用服務器上，保證主、備服務器上數(shù)據(jù)的一致性，這樣完成主、備服務器的集群熱備功能。數(shù)據(jù)鏡像軟件可以做到數(shù)據(jù)的增量鏡像，當備機故障停機或用戶重啟備機后，主機以增量方式向備機做數(shù)據(jù)的鏡像。用戶將數(shù)據(jù)鏡像到備用機做實時數(shù)據(jù)備份，即備份服務器上數(shù)據(jù)的變化跟隨主機數(shù)據(jù)的變化而變化。同時也可以將數(shù)據(jù)復制到遠程服務器做備份，或復制到本機另一個磁盤分區(qū)做本機的數(shù)據(jù)備份。

為保證數(shù)據(jù)的安全性，備份策略可以由多種方式組成，如實時備份加定時備份，也可以將上一次備份的數(shù)據(jù)保留。通過軟件可以設定每天、每月、每年等的備份時間，為保留上一次備份的數(shù)據(jù)可以選擇設置將上一次備份的數(shù)據(jù)移到另外一個目錄。

數(shù)據(jù)鏡像應用于規(guī)劃勘測設計單位檔案中的OA等重要應用系統(tǒng)，它的實時備份功能可最大限度地減少數(shù)據(jù)丟失，數(shù)據(jù)恢復工作簡單快速。數(shù)據(jù)鏡像與其他備份系統(tǒng)的組合應用，進一步完善了規(guī)劃勘測設計單位檔案數(shù)據(jù)安全工作。