摘 要 詳細(xì)分析了管理信息系統(tǒng)常見的系統(tǒng)安全問題，針對性地提出解決方案和應(yīng)注意的事項(xiàng)。

關(guān)鍵詞 系統(tǒng) 安全 維護(hù)

概述

隨著公司及下屬各單位的局域網(wǎng)和互聯(lián)網(wǎng)絡(luò)的深入應(yīng)用，網(wǎng)絡(luò)不斷地?cái)U(kuò)展和日趨復(fù)雜，系統(tǒng)安全問題愈來愈突出。安全問題能導(dǎo)致信息系統(tǒng)的癱瘓、重要數(shù)據(jù)的丟失，使我們的業(yè)務(wù)停頓，管理陷入混亂，最終結(jié)果是給企業(yè)造成嚴(yán)重的經(jīng)濟(jì)損失。因此信息系統(tǒng)的安全問題，已經(jīng)與企業(yè)的生存能力息息相關(guān)，了解系統(tǒng)面臨的各種威脅，防范和消除這些威脅，實(shí)現(xiàn)真正的系統(tǒng)安全己經(jīng)成了信息技術(shù)發(fā)展中最重要的事情。本文針對公司本部 MIS 安全防范的管理經(jīng)驗(yàn)，談?wù)勅绾胃纳坪徒鉀Q系統(tǒng)的安全問題，希望起到拋磚引玉的作用，引起同行對系統(tǒng)安全管理的重視。

1從基本做起

對于中小型網(wǎng)絡(luò)來說系統(tǒng)管理員一般承擔(dān)安全管理員的角色。系統(tǒng)管理員采取的安全策略，最重要的是保證服務(wù)器的安全和分配好各類用戶的權(quán)限。一般情況下，需要注意以下一些方面。

2.1系統(tǒng)管理員必須了解整個(gè)網(wǎng)絡(luò)中的重要公共數(shù)據(jù)（限制寫）和機(jī)密數(shù)據(jù)（限制讀）分別是哪些，它在哪兒，哪些人使用，屬于哪些人，丟失或泄密會造成怎樣的損失。這些重要數(shù)據(jù)應(yīng)集中放在中心機(jī)房的服務(wù)器上，置于有安全經(jīng)驗(yàn)的專人管理之下。同時(shí)定期對各類用戶進(jìn)行安全培訓(xùn)。

2.2服務(wù)器上所有的卷全部使用NTFS，使用最新的Service P k升級你的Nt和200操作系統(tǒng)。取消服務(wù)器上不用的服務(wù)和協(xié)議種類，網(wǎng)絡(luò)上的服務(wù)和協(xié)議越多安全性越差。

2.3不要將服務(wù)器的操作系統(tǒng)設(shè)置為自動(dòng)登錄，應(yīng)使用 NT Security對話框（Ctrl＋Alt＋Del）注冊 。修改默認(rèn)的“Administrator”用戶名，加上“強(qiáng)口令”（多于10個(gè)字符且必須包括數(shù)字和符號），最好再創(chuàng)建一個(gè)具有“強(qiáng)口令”的管理員特權(quán)的賬號，使網(wǎng)絡(luò)管理員賬號不易被攻破。平時(shí)管理員賬號僅用于系統(tǒng)管理，不要在任何客戶機(jī)上使用管理員賬號，對屬于Administrator組和備份組的成員用戶要特別慎重。

2.4限制可以登錄到有敏感數(shù)據(jù)的服務(wù)器的用戶數(shù)，這樣在出現(xiàn)問題時(shí)可以縮小懷疑范圍。通過系統(tǒng)策略編輯器”可以進(jìn)一步控制一般用戶或組在windowsgx客戶機(jī)上的行為。限制Goest賬號的權(quán)限，最好不允許使用Guest賬號。不要在Everyone組增加任何權(quán)限，因?yàn)镚uest也屬于該組。

2.5一般不直接給用戶賦權(quán)，而通過用戶組分配用戶權(quán)限。新增用戶時(shí)分配一個(gè)口令，并控制用戶“首次登錄必須更改口令”，最好進(jìn)一步設(shè)置成口令的不低于6個(gè)字符，杜絕安全漏洞。至少對用戶“登錄和注銷”網(wǎng)絡(luò)、“重新啟動(dòng)、關(guān)機(jī)”、“安全規(guī)則更改”活動(dòng)進(jìn)行審計(jì)，但不要忘了過多的審計(jì)將影響系統(tǒng)性能。

2.6利用網(wǎng)管軟件管理好網(wǎng)絡(luò)設(shè)備，及時(shí)修改網(wǎng)絡(luò)設(shè)備默認(rèn)的系統(tǒng)管理口令（大部分網(wǎng)絡(luò)設(shè)備都沒有設(shè)置系統(tǒng)管理的口令）有條件的單位可以配置功能較強(qiáng)的網(wǎng)管軟件，主要包含網(wǎng)絡(luò)構(gòu)成管理、網(wǎng)絡(luò)故障管理、網(wǎng)絡(luò)性能管理、網(wǎng)絡(luò)安全管理等功能。

2.6.1網(wǎng)絡(luò)構(gòu)成管理

自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)

自動(dòng)生成管理網(wǎng)絡(luò)圖

對象化管理

TP地址資源管理

2.6.2網(wǎng)絡(luò)故障管理

設(shè)定監(jiān)控方式

報(bào)告網(wǎng)絡(luò)故障

故障自動(dòng)通知

面板管理和定制

2.6.3網(wǎng)絡(luò)性能管理

測定通信量

統(tǒng)計(jì)分析通信狀況

系統(tǒng)性能監(jiān)視預(yù)警

2.6.4網(wǎng)絡(luò)安全管理

形成網(wǎng)絡(luò)管理操作日志

判斷IP的合法使用

管理權(quán)限控制

3、做好數(shù)據(jù)備份

管理信息系統(tǒng)的服務(wù)器擔(dān)負(fù)著企業(yè)的關(guān)鍵應(yīng)用，存儲著企業(yè)最為重要的信息和數(shù)據(jù)，為領(lǐng)導(dǎo)和決策部門提供綜合信息查詢的服務(wù)，為網(wǎng)絡(luò)環(huán)境下的大量客戶機(jī)提供快速高效的信息查詢、數(shù)據(jù)處理和INTERNET的各項(xiàng)服務(wù)。為保護(hù)關(guān)鍵應(yīng)用數(shù)據(jù)的安全，在發(fā)生人為或自然災(zāi)難的情況下，保證數(shù)據(jù)不丟失，必須建立可靠的網(wǎng)絡(luò)備份系統(tǒng)。

3.1完整的數(shù)據(jù)備份系統(tǒng)必須考慮以下幾點(diǎn)

計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)備份的自動(dòng)化，以減少系統(tǒng)管理員的工作量。

使數(shù)據(jù)備份工作制度化，科學(xué)化。

對介質(zhì)管理的有效化，防止讀寫操作的錯(cuò)誤。

對數(shù)據(jù)形成分門別類的介質(zhì)存儲，使數(shù)據(jù)的保存更細(xì)致、科學(xué)。

自動(dòng)介質(zhì)的清洗輪轉(zhuǎn)，提高介質(zhì)的安全性和使用壽命。

以備份服務(wù)器形成備份中心，對各種平臺的應(yīng)用系統(tǒng)及其他信息數(shù)據(jù)進(jìn)行集中的備份，系統(tǒng)管理員可以在任意一臺工作站上管理、監(jiān)控、配置備份系統(tǒng)，實(shí)現(xiàn)分布處理，集中管理的特點(diǎn)。

維護(hù)人員可以容易地恢復(fù)損壞的整個(gè)文件系統(tǒng)和各類數(shù)據(jù)。

備份系統(tǒng)還應(yīng)考慮網(wǎng)絡(luò)帶寬對備份性能的影響，備份服務(wù)器的平臺選擇及安全性，備份系統(tǒng)容量的適度冗余，備份系統(tǒng)良好的擴(kuò)展性等因素。

3.2備份管理軟件的選擇

建設(shè)一個(gè)成功的自動(dòng)備份系統(tǒng)，來承擔(dān)復(fù)雜的、多平臺的、系統(tǒng)不斷擴(kuò)展的計(jì)算機(jī)網(wǎng)絡(luò)的數(shù)據(jù)備份，備份管理軟件的選擇是一個(gè)相當(dāng)重要的工作。企業(yè)級備份市場目前可分為兩大塊：專有系統(tǒng)市場（ES／9000，AS／400）和開放系統(tǒng)市場（UNIX，NT）。在開放系統(tǒng)市場上，目前技術(shù)和市場的領(lǐng)先者是美國的VERITAS 公司、Legato公司和CA公司。對于僅需備份NT平臺的系統(tǒng)最好選擇CA公司的ARCSERER。對于跨多平臺多業(yè)務(wù)的系統(tǒng)，可以考慮選擇 VERITAS或 Legato。

3.3備份設(shè)備的選擇

常用的存儲介質(zhì)類型有：磁盤、磁帶、光盤和 M0 （磁光盤），其中，磁帶和

光盤的費(fèi)效比較高，在大容量的數(shù)據(jù)存儲方面比較常用。

目前比較流行的磁帶機(jī)技術(shù)主要有5種：

DC200／TRAVAN技術(shù)。這種技術(shù)主要為 PC 機(jī)提供入門級的數(shù)據(jù)保護(hù)，適合PC或低檔的PC 服務(wù)器，在商用市場里，這種技術(shù)己逐步退出市場。

QICDC600技術(shù)。也就是數(shù)據(jù)流帶機(jī)，最早由3M 公司開發(fā)，由于磁帶體積較大，因此，帶機(jī)只有5.25英寸格式。幾個(gè)主要的研究、生產(chǎn)的廠商如 SEAGATE、TECMAR都己停止了對它的開發(fā)。只有Tandberg一家還在繼續(xù)生產(chǎn)。

8MM技術(shù)于1987 年由Exabyt 公司最先推出，這種技術(shù)在相當(dāng)高的價(jià)位上提供了相對較高的容量，由于其技術(shù)開放性較差，目前其市場占有率已越來越受到新技術(shù)產(chǎn)品的挑戰(zhàn)。

DLT（DIGITAL LINER TAPE）技術(shù)。這種技術(shù)最早由DEC公司開發(fā)，由于其技術(shù)的穩(wěn)定性，非常高的備份速度，以及極大的備份容量，目前在高端服務(wù)器市場的占有率正迅速提高。DLT 驅(qū)動(dòng)器的容量從10GB（壓縮20GB）到35GB（壓縮70GB）不等，國外廠商近期己推出50GB（壓縮100GB）的 DLT磁帶機(jī)，數(shù)據(jù)傳輸速度相應(yīng)從1.5MB／秒到6MB／秒。

4MM技術(shù)。即 DAT（DIGITAL AUDIO TYPE）技術(shù)，最早由惠普公司和索尼公司共同開發(fā)，這種技術(shù)以螺旋掃描記錄為基礎(chǔ)，將數(shù)據(jù)轉(zhuǎn)化為數(shù)字后存儲下來。4MM技術(shù)由于其良好的開放性已成為業(yè)界的標(biāo)準(zhǔn)。因此得到了廣泛的應(yīng)用。目前，擁有較大的市場占有率。

一般來說，DAT適合部門級網(wǎng)絡(luò)的備份，DLT則適合大型主機(jī)和網(wǎng)絡(luò)的高性能備份。

4、網(wǎng)絡(luò)防病毒

隨著網(wǎng)絡(luò)用戶數(shù)量不斷增多，內(nèi)外文件數(shù)據(jù)交換增大，數(shù)據(jù)交換渠道難以控制。在這種情況下，計(jì)算機(jī)病毒通過網(wǎng)絡(luò)傳播，甚至直接攻擊服務(wù)器，對整個(gè)網(wǎng)絡(luò)體系的安全構(gòu)成了極大的威脅。因此，為杜絕病毒可能對網(wǎng)絡(luò)系統(tǒng)構(gòu)成的危害，網(wǎng)絡(luò)防病毒工作必須滲透到服務(wù)器和客戶端的各個(gè)角落，才能實(shí)現(xiàn)真正的安全防護(hù)。網(wǎng)絡(luò)防病毒系統(tǒng)應(yīng)該包括以下功能：

全方位的病毒防護(hù)?？梢詴r(shí)刻監(jiān)視系統(tǒng)當(dāng)中的病毒活動(dòng)、系統(tǒng)狀況，時(shí)刻監(jiān)視網(wǎng)絡(luò)上硬盤、軟盤、光盤、因特網(wǎng)、網(wǎng)絡(luò)驅(qū)動(dòng)器、電子郵件上的病毒傳染，在對染毒文件進(jìn)行復(fù)制、移動(dòng)、打開、運(yùn)行、下載等操作前作出報(bào)苦提示，用戶通過選擇處理方案，可以將病毒阻止在操作系統(tǒng)外部。

定時(shí)掃描功能。允許用戶預(yù)定掃描作業(yè)，到達(dá)預(yù)定時(shí)間自動(dòng)啟動(dòng)，掃描所指定的服務(wù)器或工作站。用戶可以選擇非工作時(shí)間設(shè)定預(yù)掃描作業(yè)，減輕系統(tǒng)工作壓力。

集中網(wǎng)絡(luò)管理功能。能夠?qū)崿F(xiàn)對系統(tǒng)中的工作站和服務(wù)器進(jìn)行集中統(tǒng)一管理，可以對網(wǎng)絡(luò)中的所有NT／Windows2000服務(wù)器和工作站進(jìn)行任務(wù)分配、自動(dòng)下載和分發(fā)、掃描設(shè)置等日常的安全維護(hù)工作。對病毒事件進(jìn)行安全審計(jì)，向系統(tǒng)管理員提供證據(jù)，用來跟蹤、追查各種可能的病毒事件。

網(wǎng)絡(luò)報(bào)警功能。擁有網(wǎng)絡(luò)報(bào)警系統(tǒng)，可以多種方式向網(wǎng)絡(luò)管理員和用戶進(jìn)行病毒報(bào)警，提供網(wǎng)絡(luò)廣播、故障打印、郵件、尋呼機(jī)報(bào)警等多種報(bào)警方式.用戶無論身在何處，均可以及時(shí)獲得報(bào)警信息，及時(shí)進(jìn)行處理。

網(wǎng)絡(luò)自動(dòng)更新、軟件分發(fā)功能。擁有病毒升級文件的自動(dòng)下載、更新和分發(fā)系統(tǒng)。通過管理員簡單的配置，無需人工千預(yù)，在一臺服務(wù)器上下載升級文件就可自動(dòng)完成全域內(nèi)所有計(jì)算機(jī)的升級工作。所有的下載、更新和分發(fā)工作全部由自動(dòng)啟動(dòng)、控制，自動(dòng)完成。

實(shí)時(shí)防護(hù)郵件系統(tǒng)功能?？梢詫otes或 exchange 郵件系統(tǒng)中的郵件及其附件提供實(shí)時(shí)的病毒防護(hù)，時(shí)時(shí)刻刻保護(hù)郵件系統(tǒng)。

5、安全漏洞掃描與實(shí)時(shí)監(jiān)控

5.1安全漏洞掃描

根據(jù)網(wǎng)絡(luò)構(gòu)造，可以把網(wǎng)絡(luò)安全問題具體定位在以下三個(gè)層次上：

層次一：通訊和服務(wù)

該層次的安全問題主要體現(xiàn)在網(wǎng)絡(luò)協(xié)議本身存在的一些漏洞。如Ping炸彈可使一臺主機(jī)宕機(jī)，無需口令通過 Rlogon以root身份登錄到一臺主機(jī)等，都是利用了TCP／IP協(xié)議本身的漏洞。

層次二：操作系統(tǒng)

這一層次的安全問題來自內(nèi)部網(wǎng)采用的各種操作系統(tǒng)，如運(yùn)行各種UNIX的操作系統(tǒng)。包括操作系統(tǒng)本身的配置不安全和可能駐留在操作系統(tǒng)內(nèi)部的黑客程序等帶來的威脅。

層次三：應(yīng)用程序

該層次的安全威脅來自內(nèi)部網(wǎng)的防火墻配置、內(nèi)外web 站點(diǎn)的服務(wù)、網(wǎng)上交易、撥號服務(wù)、E-mail服務(wù)、傳真服務(wù)及對數(shù)據(jù)庫的保護(hù)。

根據(jù)安全問題及漏洞產(chǎn)生的位置采用先進(jìn)的安全漏洞掃描產(chǎn)品（如ISS），對網(wǎng)絡(luò)的通訊、服務(wù)層、操作系統(tǒng)層、應(yīng)用層、數(shù)據(jù)庫進(jìn)行漏洞掃描，評估安全威脅和風(fēng)險(xiǎn)，在黑客攻擊前找到漏洞并修補(bǔ)，增強(qiáng)網(wǎng)絡(luò)的安全強(qiáng)度。在信息系統(tǒng)網(wǎng)絡(luò)中，在各層次信息網(wǎng)絡(luò)、各重要的服務(wù)器、數(shù)據(jù)庫、各入口處分別設(shè)置INTERNE掃描器、WWW掃描器、防火墻掃描器、操作系統(tǒng)掃描器、數(shù)據(jù)庫掃描器，對網(wǎng)絡(luò)的各個(gè)層次和設(shè)備進(jìn)行掃描，輔助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)安

全弱點(diǎn)，修改設(shè)置及安全策略，增加網(wǎng)絡(luò)的安全強(qiáng)度。

5.2實(shí)時(shí)監(jiān)控

實(shí)時(shí)監(jiān)控產(chǎn)品架設(shè)在網(wǎng)絡(luò)的重要信息網(wǎng)段中，可以實(shí)時(shí)監(jiān)測通過網(wǎng)絡(luò)的數(shù)據(jù)包，并根據(jù)安全策略設(shè)定，提供以下實(shí)時(shí)響應(yīng)。

報(bào)警

詳細(xì)記錄入侵或非法操作會話，保留犯罪現(xiàn)場

切斷非法連接，或執(zhí)行管理員安全策略中定義的操作

提交日志和詳細(xì)的報(bào)告

提供應(yīng)對的措施和建議

重新設(shè)置安全設(shè)備

重新定義安全策略

6、系統(tǒng)運(yùn)行安全

系統(tǒng)運(yùn)行安全包括對網(wǎng)絡(luò)主干的冗余和系統(tǒng)的冗余。網(wǎng)絡(luò)主干的冗余主要是指對各個(gè)局域網(wǎng)之間的通訊傳輸主干進(jìn)行備份。傳輸主干的冗余可通過選擇交換機(jī)來實(shí)現(xiàn)。利用網(wǎng)絡(luò)控制中心的骨干交換機(jī)，形成具有冗余交換的網(wǎng)絡(luò)主干系統(tǒng)。各局域網(wǎng)路由器和交換機(jī)與骨干交換機(jī)相連，形成各局域網(wǎng)間的通信冗余。這里可以利用交換機(jī)的負(fù)載平衡技術(shù)把 以N信息動(dòng)態(tài)均衡到多條并行鏈路中，實(shí)現(xiàn)了有效冗余和可用帶寬的全面利用。通過其網(wǎng)絡(luò)到網(wǎng)絡(luò)接口，交換機(jī)能夠以極快的速度實(shí)現(xiàn)故障恢復(fù)，因?yàn)閮蓷l虛擬路徑并發(fā)執(zhí)行信包轉(zhuǎn)發(fā)功能，如果一條物理鏈路或中間交換機(jī)出現(xiàn)故障，通信信息可以迅速切換到另一條備用鏈路上。系統(tǒng)冗余主要解決重要應(yīng)用服務(wù)器高可用性問題，使重要業(yè)務(wù)連續(xù)運(yùn)轉(zhuǎn)不間斷，即對關(guān)鍵性主機(jī)進(jìn)行雙機(jī)熱備份。雙機(jī)熱備份方案是通過使用軟件與硬件結(jié)合的方式實(shí)現(xiàn)容錯(cuò)功能，即用電纜把兩臺服務(wù)器連接起來，然后把雙機(jī)熱備份的軟件分別安裝在兩臺服務(wù)器上，兩臺服務(wù)器通過自身的檢測機(jī)制進(jìn)行通信和數(shù)據(jù)的復(fù)制，一旦主系統(tǒng)發(fā)生不能繼續(xù)工作的故障后，從系統(tǒng)就會自動(dòng)觸發(fā)資源恢復(fù)的功能，從系統(tǒng)會接管主系統(tǒng)的任務(wù)而繼續(xù)向客戶提供各種服務(wù)，而客戶并不會感覺到異常。

對于管理信息系統(tǒng)的安全，除在系統(tǒng)設(shè)計(jì)上增加以上安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強(qiáng)系統(tǒng)的安全管理。安全系統(tǒng)需要由人來計(jì)劃和管理，任何系統(tǒng)安全設(shè)施也不能完全由計(jì)算機(jī)系統(tǒng)獨(dú)立承擔(dān)系統(tǒng)安全保障。諸多不安全因素恰恰反映在組織管理和人員因素方面。制定系統(tǒng)安全策略和安裝網(wǎng)絡(luò)安全系統(tǒng)只是安全性實(shí)施的第一步，各單位同時(shí)必須制定詳細(xì)的系統(tǒng)安全管理規(guī)定，各級組織機(jī)構(gòu)均嚴(yán)格遵守執(zhí)行，認(rèn)真維護(hù)各自負(fù)責(zé)的系統(tǒng)安全才能保證整個(gè)系統(tǒng)網(wǎng)絡(luò)的安全性。

建筑資質(zhì)代辦咨詢熱線：13198516101

版權(quán)聲明：本文采用知識共享 署名4.0國際許可協(xié)議 [BY-NC-SA] 進(jìn)行授權(quán)

文章名稱：《電力部門如何維護(hù)管理信息系統(tǒng)的安全》

文章鏈接：http://www.kaputelugumatrimony.com/38723.html

該作品系作者結(jié)合建筑標(biāo)準(zhǔn)規(guī)范、政府官網(wǎng)及互聯(lián)網(wǎng)相關(guān)知識整合。如若侵權(quán)請通過投訴通道提交信息，我們將按照規(guī)定及時(shí)處理。