信息安全集成实施方案

信息安全集成实施方案（精选9篇）

信息安全集成实施方案篇1

把企业各种应用系统、数据资源和互联网资源统一集成到企业信息门户之下，根据每个用户使用特点和角色的不同，形成个性化的应用界面，并通过对事件和消息的处理传输把用户有机地联系在一起。它不仅仅局限于建立一个企业网站，提供一些企业、产品、服务信息，更重要的是要求企业能实现多业务系统的集成、能对客户的各种要求做出快速响应、并且能对整个供应链进行统一管理。同面向公众的信息门户相比，企业信息门户肩负着企业最重要的使命--为企业客户的投资增值创建最高效率的业务模式，其功能和特性都围绕着企业间竞争所需的一切高效率而生成，其最突出的特性就是对信息交流的实时双向性的要求。在此基础上，随着具体功能的增加则可区分出不同的企业信息门户应用的水平。

解决方案

华科企业信息门户平台集成解决方案通过在传统的门户架构上增加一系列相关的增值和整合服务，增加原有门户的投资价值，使原有门户平台形成更完整的企业统一信息整合平台。

华科企业门户集成解决方案强调以用户为中心，重视流程及整体工作效能，提供统一登录界面，实现信息的集中访问。帮助企业创建一个提供支持信息访问、传递，以及跨组织工作的集成化商务环境。不仅把企业级的后端内容表现出来，同时也将企业级的后端的应用表现出来。

华科企业门户解决方案集成了流行的PKI体系，用数字证书的方式实现企业的安全认证、身份识别，并提供了对在应用系统流转的数据内容进行数字签名的支持。

企业信息门户的功能并不仅仅是发布新闻，它真正的目的是为了处理业务流程，集中管理信息资源，统一管理知识资产，提升企业运营效率。无论是企业客户还是员工，只要登录进企业信息门户，将能够获得与自己相关的统一的业务视图，进行业务处理、协作办公，并可以进入对应的业务系统，真正的去完成实际业务。

主要功能

华科企业信息门户继承了传统门户方案的基本功能，提供统一的信息访问渠道、集成单点登录、强大的内容管理能力、个性化的应用服务、展现集成等功能，同时提供系统扩展方案，提升了传统门户的集成扩展能力。

统一的任务中心

华科企业信息门户提供了统一的任务中心，用于集成各个应用系统以及办公系统的任务信息，为企业客户和用户提供了一个统一的工作中心，与当前用户相关的所有工作信息被集成到一个统一的视图，进行集中的工作办理。

任务中心提供查询与统计的功能，方便使用人员与管理人员进行任务的历史查询与定期统计。

任务中心支持独立的与应用无关的任务分派、任务监控，方便工作人员之间的协作办公。

任务中心提供了与消息中心的集成，支持任务提醒消息多种发送途径和统一调度。

任务中心提供与应用系统和办公系统简单方便的集成方式，可以支持传统的业务应用、办公应用、项目管理应用、业务流程等。

统一的消息中心

华科企业信息门户提供了统一的消息中心平台，集中为人员协作通讯、各个应用系统提醒提供统一的信息调度发送功能。

消息中心提供多种通讯方式，点对点方式、群发模式、提醒模式。

消息中心提供多种消息发送途径，包含手机短信、邮件、客户端工具、门户消息等，

消息中心支持多种消息格式，包含文本格式、文件传输、视频、音频等。

消息中心支持多种消息发送途径之间的转换，如短信转邮件、邮件转短信等。

统一的用户管理中心

华科企业信息门户提供了统一的用户管理中心，解决企业中各个信息系统中用户信息统一管理的问题。用户管理中心集中管理企业信息系统用户信息，并提供完整的用户生命周期管理，包括用户的登记、变更、注销等活动的申请审批流程。

用户信息由用户管理中心统一维护，供各个应用系统调用，同时支持对不同业务系统不同存储方式的信息同步，如关系数据库，LDAP，AD等。

统一的搜索引擎

华科企业信息门户解决方案提供统一的搜索引擎产品，并提供与门户系统以及各个应用系统的集成。支持对各种结构化以及非结构化信息的统一搜索，并最终在门户上统一展现，为用户集中提供的搜索结果

统一的流程中心

华科企业信息门户解决方案提供统一的流程引擎，是一个统一解决企业内部业务系统集成问题的新方案，从不同的层面支持企业的业务流程。

流程引擎平台层的提供的开发和运行时框架，将所有业务集成组件统一到一个单一、灵活的环境之下。这些组件涵盖业务流程管理、数据转换、业务伙伴集成、连通性、消息代理、应用监控和用户交互。为速交付业务集成、简化生产管理，提供了通用的开发环境，整合了业务集成领域各种不同的部件，其中包括 ERP、CRM、遗留应用、供应链和业务伙伴集成。

流程中心与消息中心、用户中心、日志中心、任务中心的集成，可以完成流程应用的快速实现。

统一的表单中心

华科企业信息门户表单中心为企业提供了快速搜集业务信息的工具，表单中心与流程引擎的结合使用可以快速定制新的流程应用，为企业流程改造和持续改进提供了方面的工具。

表单可以用设计工具进行客户化定制，支持丰富的客户端交互组件，支持客户端打印，客户端数据导出，安全信息屏蔽等功能

表单中心支持与流程引擎的接口，提供了简便的定制方式。

统一的数据中心

华科企业信息门户提供数据管理中心，统一管理企业基础信息资源，解决多个应用系统基础资源信息不同步问题，减少信息孤岛。

基础资源信息由数据管理中心统一定义、维护，建立唯一、完整的信息资源库，各个应用系统统一进行调用同步。

统一的文档中心

华科企业信息门户统一文档中心，统一管理企业的非结构化文档。实现企业文档的集中存储和全生命周期管理，包括文档的登记上传、变更、归档、安全控制流程。

统一的日志中心

华科企业信息门户日志中心提供统一的行为审计库，为各个应用提供的统一的行为日志记录规范。

支持对入库日志的集中查询。为管理人员提供多视图的统计功能。包括统一的用户行为统计、应用系统行为统计、组织行为统计等视图。

方案特点

兼容性

华科企业信息门户集成方案基于标准的J2EE模式，支持流行的门户平台IBM WebSphere Portal、BEA WebLogic Porta等

可扩展性

可根据业务需要进行扩展，从技术和体系结构上保证今后系统升级或者数据库更换时能够使企业门户平台平滑的移植到新的环境，并可继续正常运行。

广泛采用了业界主流和开放的技术标准和设计模式，提供开放的、平台级的应用编程接口和管理工具，使得系统在集成新的应用和采用新的运行平台时，具有良好的可扩展性。

安全性

华科企业信息门户提供多种用户认证方式，支持PKI技术，提供数字证书和数字签名技术的集成。

可移植性

可以运行于各种Unix、Linux和Windows操作系统之上，具有跨平台性，系统开放性好，能够适应各种硬件环境的需要

独立可插拔

信息安全集成实施方案篇2

将PKI/CA技术、中间件等技术研究结合起来, 构建一个以电子签名法为法律依据、以PKI/CA技术为安全保障、以消息中间件为信息交换通道的系统集成模型。为了实现系统即插即用机制, 集成模型还引入了电子印章系统来模拟现实中的“大红印章”和“个人签字”, 引入“电子凭证库”来模拟现实中存放纸质凭证或文件的文件柜, 引入消息中间件来保证现实中文件的传送。这些技术的引入保证了各方系统进行很小的改造就可实现跨部门、跨行业系统的安全集成。

1 基于信息安全技术的集成框架

基于PKI/CA技术的跨行业集成框架按照分层的思想进行设计, 利用了PKI/CA技术作为数据传输的安全保障, 利用消息中间件作为数据传输的通道, 屏蔽各方系统的异构性, 从而将跨部门、跨行业的信息系统进行集成。从技术上看, 系统集成后, 各方系统将是对等部署结构。从单方来看, 该框架结构可分为与内部系统接口、电子凭证库系统、电子印章系统、时间戳系统、PKI/CA基础设施、直达通道、收发系统7个部分。结构如图1所示 :

1.1 PKI/CA 基础设施

以数字证书为核心的PKI/CA技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证, 从而保证: 信息除发送方和接收方外不被其他人窃取; 信息在传输过程中不被篡改; 接收方能够通过数字证书来确认发送方的身份; 发送方对于自己的信息不能抵赖。

1.2 与内部系统接口

一方面主要负责将业务系统中存储的业务数据、电子印章等按照预先确定的规范组成相应的xml电子报文, 再传入电子凭证库系统; 另一方面, 从电子凭证库系统中接收对方传入的xml格式报文, 解密后传入内部系统。此外, 还可实现直接与收发系统连接, 实现不需要安全保障机制的普通查询等业务, 以提高数据交换效率。

1.3 电子凭证库系统

电子凭证库系统可形象描述为现实中存放文件的“铁皮柜”, 是整个集成框架的核心部分。包括电子凭证模板管理、传输队列路由管理、安全管理、凭证管理等4大功能。凭证模板管理模块按照双方的约定, 设计传输凭证的样式以及具体的签章个数及位置; 传输队列路由管理模块用来记录凭证传出的去向和接收的来源; 安全管理模块用来控制使用电子凭证库系统的范围, 避免未经允许的用户使用电子凭证库 ,此外还包括预留印鉴的校对、详细记录各种日志信息, 实现对凭证操作的可追溯等功能; 凭证管理模块用来实现电子凭证收发、作废、恢复、查询、打印、状态监控、归档等功能。

1.4 电子印章系统

电子印章系统可形象描述为现实中存放大红印章的保险柜。其功能包括公章管理、私章管理及印章备案管理。在实现上, 将CA证书与电子印章图片进行绑定, 从而保证某个印章图片与具体的CA证书有关。

1.5 时间戳系统

时间戳系统基于PKI技术, 对外提供精确可信的时间戳服务。它采用精确的时间源、高强度高标准的安全机制, 以确认系统处理数据在某一时间的存在性和相关操作的相对时间顺序, 为信息系统中的时间防抵赖提供基础服务。

1.6 直达通道

用于实时性强的数据传输处理。例如某些查询服务, 可通过明文进行系统间数据传输。

1.7 基于消息中间件的收发系统

充分利用消息中间件高效可靠的消息传递机制进行平台无关的数据交流, 并基于数据通信来进行分布式系统的集成。通过提供消息传递和消息排队模型, 实现跨行业系统间电子凭证信息的发送和接收, 发送者将消息发送给消息服务器 ,消息服务器将消息存放在若干队列中, 在合适的时候再将消息转发给接收者。消息中间件能在不同平台之间通信, 它常被用来屏蔽掉各种平台及协议之间的特性, 实现应用程序之间的协同操作。

2 基于 PKI/CA 技术的集成框架实现

在集成多个异构系统时, 首先需要各方商定交换凭证的格式, 即交换报文规范。其次, 要规范电子凭证格式、电子印章格式, 可以互联互通。第三, 要规范电子凭证库系统、电子印章系统等软件服务系统的服务接口, 为各方异构系统提供交换服务。第四, 各方要改造已有系统, 使其与集成框架进行对接。下面就最重要的报文规范和各方系统改造方案进行说明。

2.1规范交换报文

双方之间数据交换标准需要进行严格的约定, 需要制定标准报文规范[1]以实现双方或多方系统互联互通。报文分报文头和报文体两部分: 报文头是交换各方进行数据交换的相关信息, 主要是为电子凭证在消息中间件上按照消息传输时增加的头信息; 报文体包括电子凭证数量和电子凭证信息两个部分。电子凭证数量用于描述报文中所包含的电子凭证的笔数, 电子凭证信息可包括一笔或多笔电子凭证, 每笔凭证由凭证状态、附加信息、业务凭证原文、签名信息以及签章信息5个部分组成。

一个完整的报文示例如下:

2.2 实现步骤

业务系统产生凭证, 加盖印章之后, 需要存放入凭证库,并通过收发通道发送给接收方, 具体实现步骤如下:

(1) 甲方业务系统调用内部系统服务接口生成凭证原文 ,凭证格式参照2.1小节。

(2) 甲方业务系统通过内部服务接口调用电子凭证服务系统接口对凭证进行签章。

(3) 甲方电子凭证库系统调用电子印章系统接口加盖电子印章。首先对凭证已经存在的签章进行校验, 如果存在原文纂改, 则直接返回错误; 校验通过后, 再对凭证进行签章。其原理本地取出已烧入Usb Key的印章图片的Hash摘要送入电子印章系统验章, 验章通过后调用时间戳服务系统接口加盖时间戳, 然后将凭证原文的Hash摘要和带时间戳的电子印章Hash摘要送入Usb Key中进行私钥签名。

(4) 甲方内部服务接口通过电子凭证库系统调用收发通道的发送接口, 利用数字信封技术发送到接收方 (乙方)。

(5) 乙方系统进行接收、解开数字信封、验章、校验业务数据一系列操作后将凭证回单, 回单时也要进行电子签章等一系列操作。

(6) 甲方电子凭证库系统定时从收发通道中读取数据 ,并进行打开数字信封、解密、验章等操作, 通过验证之后 ,放入甲方的电子凭证库中。

(7) 甲方业务系统接口定期从凭证库中查询凭证回单 ,通过一些业务逻辑验证之后 , 存放入甲方业务系统的数据库中。

(8) 甲方业务系统客户端调用刷新界面来查看已回单的业务数据, 并调用电子凭证系统接口打印电子凭证。

3 实例和应用效果

本研究成果已应用于河北省预算单位、财政厅、河北省内绝大多数商业银行和中国人民银行石家庄中心支行系统间的衔接, 实现预算审批、资金申请、电子支付、清算等事项。财政厅使用的政府财政管理信息系统主要用于预算填制、审批。人行使用的Tips系统主要用于资金清算。商业银行系统主要用于资金的支付。由于所属不同的责任主体, 各方系统不可能重新开发为一套业务系统, 原来采用信息流辅助业务控制的办法进行信息系统整合, 即信息可通过一定办法进行交换, 业务上通过纸质凭证加盖公章, 再由人工传递到相关单位进行纸质凭证核对。通过引入基于PKI基础设施的系统集成模型, 将三方系统从预算审批到资金支付, 再到资金清算的全链条贯通, 完全实现了信息流、业务流的自动化运转,大大提高了业务办公安全性、资金支付效率, 压缩了行政办公成本。仅省本级财政部门本身就可节约纸张100万张/年,并减少了公车传递纸质凭证、人工盖章、验章所需时间, 更重要的是由于引入了电子签名技术, 杜绝了“萝卜章”, 资金支付的安全性得到了有效保障。

4 结语

中小企业信息安全整体方案篇3

【关键词】信息安全；网络安全；安全防护；

前言

在日常的企业办公中，总部和各分公司以及出差的员工都需要实时地进行资源共享和信息传输，企业和企业之间的业务来往也是非常依赖于网络。但是由于互联网的通信协议原始设计的局限性和互联网的开放性，信息采用明文传输，导致互联网的安全性问题越来越严重，网络攻击、非法访问、窃取信息等不断发生，给企业的正常运行带来严重的安全隐患，有时会造成巨大的损失。网络攻击，会造成企业的服务器瘫痪；信息窃取，会造成企业的商业机密泄漏，内部服务器被非法访问，会破坏传输信息的完整性或者被假冒；网络病毒，会造成整个公司的服务器被病毒感染，使得公司网络陷入瘫痪，造成公司系统的崩溃。目前的现状是信息和网络技术发展迅速，信息的安全技术相对滞后，用户在引入安全设备和系统时，有些是缺乏培训和学习，有些是对信息安全的重要性与技术认识不足，最终致使安全设备系统没有能够使其发挥最大的作用。比如对某些通信和操作需要限制，管理员没有意识到或是为了方便，设置成全开放状态等等，造成了网络漏洞。

1.企业安全需求分析

根据企业网络现状及发展趋势，对信息的保护方式进行安全需求分析主要从以下几个方面进行考虑

1.1网络传输保护：主要是数据加密，防窃听保护。

1.2密码账户信息保护：对网络银行和客户信息进行保护，防止泄露。

1.3网络的病毒防护：采用网络防病毒系统，对网内一些可能携带病毒的设备定期进行防护与查杀。

1.4侵检测系统：广域网接入部分设置入侵检测系统。

1.5系统漏洞的分析：安装漏洞分析软件和设备。

2.具体措施

2.1重要数据备份：重要数据信息一定做到定期备份

2.2网络安全结构可伸缩性：安全设备的可伸缩性，能根据需要随时进行功能、规模的扩展。

2.3安全审计：主要包括内容审计和网络通信审计

2.4网络设备防雷：埋设地线，做好防雷设施布控。

2.5重要信息点的防电磁泄露：安装好屏蔽设施设备，

3.安全解决方案

3.1物理安全和运行安全

企业网络系统的物理安全要求是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾和雷击等环境事故，以及人为操作失误或错误，及各种计算机犯罪行为导致的破坏过程。企业的运行安全即计算机与网络设备运行过程中的系统安全，是指对网络与信息系统的运行过程和运行状态的保护。主要的保护方式有风险分析与漏洞扫描、防火墙与物理隔离、病毒防治、访问控制、安全审计、源路由过滤、数据备份、入侵检测等。

3.2选择和购买安全硬件和软件产品

3.2.1硬件产品主要是防火墙的选购。

对于防火墙的选购要具备明确防火墙保护对象和需求的安全等级、根据安全级别确定防火墙的安全标准、选用功能适中且能扩展和安全有保障的防火墙、能满足不同平台需求，并可集成于网络设备中、应能提供良好地售后服务的产品等要求。

3.2.2软件产品主要是杀毒软件的选择。

本方案中在选择杀毒软件时应当注意几个方面的要求：具有优秀的病毒防治技术、程序内核安全可靠、有对付国产和国外病毒的能力、系统资源占用低，性能优越、易管理和使用、集成度高、可调控系统资源的占用率、有便捷的网络化自动升级等优点。

3.2.3网络规划与子网划分组网规则。

规划网络要规划到未来的三到六年。并且在未来，企业的电脑会不断增加。比较环形、星形、总线形三种基本拓扑结构，星形连接在用户接入网络时具有更大的灵活性。当系统不断发展或系统发生重大变化时，这种优点将变得更加突出，所以选择星形网络最好。

3.2.4网络隔离与访问控制。

网络安全是一个综合的系统工程，是由许多因素决定的，仅仅采用高档的安全产品并不能解决全部问题，对安全设备的管理要求也是非常高的。如果安全产品在管理上是各自管理，很容易因为某个设备的设置不当，造成整个网络出现重大安全隐患。技术员不够专业，上述现象就会更加容易出现；具体企业的维护人员的水平也有差异，配置的差异容易造成错误进而使网络中断。所以，选择安全设备就应当尽量选择可以进行网络化集中管理的设备，这样集成化管理的设备由少量的专业人员对其进行管理、配置，会成倍的提高整体网络的安全性和稳定性。

3.2.5操作系统安全增强。

企业各级网络系统平台的安全主要是指操作系统的安全。由于目前主要的操作系统平台是建立在国外产品的基础上，因而存在很大的安全隐患，因此要加强对系统后门程序的管理，对一些可能被利用的后门程序要及时进行系统的补丁升级。

3.2.6应用系统安全。

企业应用的系统安全，首先包括用户进入系统的身份鉴别与控制，使用网络各种资源的权限管理和访问控制，涉及到安全相关的操作一定要进行审计等。用户按等级分类，分为各级管理员用户和各类业务用户。数据库系统、E-MAIL服务、WWW服务、VPN、FTP和TELNET应用中服务器系统自身的安全非常重要，这些系统提供安全的服务也非常重要。本方案中，应用漏洞扫描设备对网络系统进行定期扫描，对存在的网络漏洞、系统漏洞、操作系统漏洞、应用程序漏洞、等进行探测、扫描，发现漏洞及时告警，自动提供解决措施或给出参考意见，及时提醒网络安全管理员作好相应调整。

3.2.7重点主机防护。

为重点主机，堡垒机建立主机防御系统，对于一些重要的资源，我们可以采用主机入侵防御系统这种功能限定不同应用程序的访问权限，只允许已知的合法的应用程序访问这些资源。

3.2.8连接与传输安全。

由于企业中心内部网络存在两套网络系统，其中一套为企业对内网，内网主要运行的是内部办公、业务系统，生产系统等；另一套是外网与INTERNET相连，通常是通过宽带接入，与企业系统内部的上、下级机构网络相连。跨越INTERNET通过公共线路建立的企业集团内部局域网，通过网络进行信息共享、数据交换。INTERNET本身就缺乏有效的安全保护，信息传输过程中如果不采取相应的安全措施，非常容易受到网络上其他主机的监听而造成重要信息的泄密或被非法篡改的严重后果。所以在每一级的中心网络安装一台VPN设备和一台VPN认证服务器（VPN-CA），在所属的直属单位的网络接入处安装一台VPN设备，由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。这样就能有效地避免数据传输过程中面临的安全威胁。

4.结束语

信息安全整改方案篇4

为深入贯彻落实市网络与信息安全协调小组办公室《关于加强网络与信息安全整改工作的通知》(东信安办发〔2014〕4号)文件精神，保障县政府门户网站安全运行，针对我县政府网站存在的问题，我们采取软硬件升级、漏洞修补、加强管理等措施，从三个方面做好了政府网站网络与信息安全工作。

一、对网站漏洞及时进行修补完善

接到省电子产品监督检验所和省网络与信息安全应急支援中心对我县政府网站做的网站安全检测报告后，我们详细研究分析了报告资料，及时联系了网站开发公司，对网站存在的SQL注入高危漏洞进行了修补完善，并在网站服务器上加装安全监控软件，使我县政府网站减少了可能存在的漏洞风险，降低了数据库被注入修改的可能性。

二、加强对硬件安全防护设备的升级

为确保网站安全运行范文写作，20，我们新上了安全网关(SG)和WEB应用防护系统(WAF)，安全网关采用先进的多核CPU硬件构架，同时集成了防火墙、VPN、抗拒绝服务、流量管理、入侵检测及防护、上网行为管理、资料过滤等多种功能模块，实现了立体化、全方位的保护网络安全;绿盟WEB应用防护系统能够对数据盗窃、网页篡改、网站挂马、虚假信息传播、针对客户端的攻击等行为，供给完善的防护措施。同时，针对WEB应用漏洞数量多、变化快、个性化的特点，我们还定期对WEB应用防护系统进行软件升级，安装了补丁程序，保护了服务器上的网站安全。自安装硬件安全防护设备以来，网站没出现任何安全性问题。

三、继续加强对政府网站的安全管理

信息安全解决方案篇5

实行等级保护的总体目标是为了统一信息安全保护工作，推进规范化、法制化建设，保障安全，促进发展，完善我国信息安全法规和标准体系，提高我国信息安全和信息系统安全建设的整体水平。

等级保护工作的三个方面：对信息系统分等级实施安全保护;对信息系统中使用的信息安全产品实行分等级管理;对信息系统中发生的信息安全事件分等级响应、处置。信息系统安全体系结构

等级保护基本要求(二、三级)技术要求：物理安全、网络安全、主机系统安全、应用安全、数据安全。管理要求：安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。

防火墙是不同网络或网络安全域之间信息的唯一出入口，能根据制定的安全策略(允许、拒绝及监视等)控制出入网络的数据流，且本身具有较强的抗攻击能力。防火墙不能过滤应用层的非法攻击，如编码攻击;防火墙对不通过它的连接无能为力，如内网攻击，防火墙采用静态安全策略技术，因此无法动态防御新的攻击。

网络安全审计管理通过对网络中流动的数据进行审计分析，能够监控到内部网络中的外网访问行为，如邮件、MSN/QQ聊天、Web访问、网络游戏、文件传输、在线电影频道等等行为;能够实现对所监控网络进行基于业务的带宽分配、流量限制等。尤其针对网络中的BT、电驴、迅雷等p2p的文件传输行为能有效地进行控制，以控制非业务网络行为所占用的带宽资源，从而保证正常业务顺畅进行。

数据备份和恢复可提供自动机制对重要信息进行本地和异地备份;提供恢复重要信息的功能;提供重要网络设备、通信线路和服务器的硬件冗余;提供重要业务系统的本地系统级热备份。

泰森科技信息安全解决方案特点：

一致性：网络安全问题应与整个网络的工作周期(或生命周期)同时存在，制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等均有安全的内容及措施，

易操作性：安全措施需要人为去完成，操作方便可提升了安全性。

分步实施：随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的，分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。

信息安全意识培养方案篇6

学校领导高度重视这项活动立即组织班主任召开紧急会议，把活动列入重要议事日程，加强组织领导和统筹协调，成立网络活动安全小组，制定工作方案。

活动中我校结合学生实际开展了网络校园“安全日”活动，利用LED电子屏滚动播放网络安全宣传标语，并通过多种形式向全体师生进行网络安全教育，提高他们对网络安全的认识。

一是召开“网络安全”教育主题班会组织全体师生学习“网络安全法”增强网络安全意识，树立正确网络观。

二是开展网络安全校园主题日活动，各班上一堂网络安全教育课帮助学生了解、熟悉、掌握必要的网络安全常识和法律法规知识，增强网络安全防护意识和自我保护能力。

三是加大网络安全知识和防护技能宣传。学校通过手抄报、黑板报评比等形式展示网络安全成果，将安全、健康、文明上网理念植于心，外践于行，营造良好网络安全氛围。

四是进行信息安全宣讲。在信息安全宣传周期间，学校聘请公安局法制领导到校，开一次网络及信息安全知识主题讲座，进一步普及信息安全常识和法律法规知识，提升学生信息安全防范意识和自我保护能力。

五、多渠道宣传信息安全知识。召开家长会、建立家长微信群，增加信息安全宣传知识，宣传信息安全法律法规、政策文件、学校信息安全活动等。

信息安全集成实施方案篇7

随着校园信息化建设的深入,各高校完成了包括网络基础设施、网络基本服务系统、应用支撑系统、信息服务系统等的建设。但是,经过一段时间的运行后,出现了三大问题:信息缺乏有效共享;应用缺乏有效集成;用户缺乏统一的接口。

造成这些问题的原因是校园信息化建设没有形成一套统一、完善的理论和方法,因此在建设过程中都是各自为战,不同部门或同一部门内部大多存在多套信息管理系统,这些独立系统逐渐形成了所谓的“信息孤岛”。校园信息化建设迫切需要一种松耦合、跨平台的分布式体系结构来重用已有功能模块,使得旧有系统方便地纳入到新系统,充分利用已有系统,并在此基础上提供新的服务。2004年初业界推出SOA (Service-Oriented Architecture,面向服务的软件体系架构),为上述问题提供了一种有效的解决方案。

1 SOA简介及实现

SOA是一种在计算环境中设计、开发、部署和管理离散逻辑单元(服务)的模型,是一种架构模型和一套设计方法学,其目的是最大限度地重用应用程序中已有的服务。SOA是一种松散耦合的应用程序体系结构,在这种体系结构中,应用程序的不同功能单元被包装为服务,每个服务带有明确可调用的接口,服务的接口采用中立的方式进行定义,独立于实现服务的硬件平台、操作系统和编程语言。系统中的服务可以以统一、通用的方式交互,服务之间的相互通信,可以是简单的数据传递,也可以以定义好的顺序调用多个服务进行服务组合。SOA的关键是服务的概念,定义了系统由哪些服务组成,描述了服务之问的交互,并将服务映射到一个或多个具体技术的实现[1]。在SOA的体系结构中包括:服务使用者,服务提供者和服务注册中心。

由于Web服务应用广泛,各种关键技术十分成熟,而且实现SOA模型最常见的方式是通过HTTP传递的SOAP( Simple Object Access Protocol,简单对象访问协议)消息,所以现有的Web服务提供了实现SOA最好的方式 [2]。基于Web服务的SOA架构模型如图1所示[3],该模型的运行过程是:①服务提供者将Web服务的WSDL描述发布到服务注册中心;②服务使用者从服务注册中心查询Web服务;③服务注册中心返回给服务使用者该Web服务的WSDL描述;④服务使用者根据WSDL描述中的入口地址,向服务提供者发送调用请求;⑤服务提供者返回给服务使用者调用结果。

2 校园集成信息系统的整体设计

本系统的设计思想是将校园网上的分散的信息管理系统进行基于SOA的集成:添加一个服务注册中心,把原来各个系统提供的信息服务封装后通过接口作为整个系统的服务提供者,原有校园网各个系统的用户成为整个系统的服务使用者。在系统中用统一身份认证服务来代替原来各个系统的身份认证模块,并把校园网用户的手机号码进行关联,利用专用服务器处理手机与校园网之间的信息交互服务。

本文设计的校园集成信息系统的整体架构如图2所示。

2.1 统一身份认证服务的功能设计[4]

统一身份认证服务主要需要具备三项功能。

(1)用户注册:

用户在统一身份认证服务中注册账号。

(2)账号关联:

如果用户之前已经在相关的应用系统中拥有账号,同时也已经设置了相应的权限,那么用户能够将这些应用系统的账号与统一身份认证服务的账号进行关联。

(3)用户认证:

用户首先登录统一身份认证服务,并获取权限令牌。

统一身份认证服务的工作流程如下:

用户使用在统一认证服务器注册的用户名和密码登陆统一认证服务;统一认证服务器创建了一个会话,同时将与该会话关联的访问认证令牌返回给用户; 用户使用这个访问认证令牌访问某个支持统一身份认证服务的应用系统;该应用系统将访问认证令牌传入统一身份认证服务器,认证访问认证令牌的有效性; 统一身份认证服务器确认认证令牌的有效性;应用系统接收访问,并返回访问结果,如果需要提高访问效率的话,应用系统可选择返回其自身的认证令牌已使得用户之后可以使用这个私有令牌持续访问。

另外,统一身份认证服务器在实现与移动通信网络的连接时,还需要将校园网上传递过来的信息添加上相关身份认证信息(手机号码)并转发到移动通信网络中相应服务器。

2.2 原有信息系统的服务封装

原有信息系统的服务封装不仅仅涉及到服务内容的封装,因为服务封装的目的是为了复用,还要考虑到服务的注册,用户的查询调用以及相关的数据库关联,需要一个完善的应用架构来实现。

现在使用较为广泛的一种SOA应用架构可以分为表示层(UI)、服务发布层(Web Services)、业务逻辑层(BLL)和数据访问层(DAL)四层[5]。

(1)表示层:

实现用户交互界面,例如Web浏览器、Windows界面等。该层是面向用户的一层,通过提供用户交互界面,接受用户交互,判断界面数据的有效性。

(2)业务发布层:

将业务逻辑层中的各种细粒度服务通过聚合封装成易用的粗粒度服务,通过Web Services发布各种粗粒度服务,以接受上层表示层调用,此外还有一些延伸服务。该层是面向服务的一层,通过该层实现SOA架构的服务发布功能。

(3)业务逻辑层:

将各种业务逻辑封装为相互独立的细粒度服务,以接受上层粗粒度服务的调用。此外,该层管理着对事务和异常的处理,以及连接的操作。该层被设计成无状态面向服务的模式,通过该层实现SOA架构的服务功能。

(4)数据访问层:

数据访问逻辑组件从数据库中检索数据并把实体数据保存回数据库中。

2.3 手机与校园网信息交互设计

目前,手机普及率已相当高,是计算机之外另一个被广泛使用的信息终端,因此利用手机与校园网进行信息交互,可以更大地提高信息交流的灵活性。

本文设计的主要思路,是将手机号码绑定到统一身份认证服务器的数据库中,如某一个手机号对应某一个学号。在现行2G移动通信网络下,手机与校园网进行信息交互的主要途径是短信。手机用户可以通过短信进行查询和一定的操作,校园网则通过短信提供信息服务。

根据流行的手机与计算机信息交互的模式[6],设计出的手机与校园网的信息交互流程图如图3所示:

其中,手机与校园网通信服务器用来连接移动通信网络和校园网,统一身份认证服务器完成对手机用户的号码绑定和信息的转发。考虑到学校的实际情况,信息的交互主要由校园集成信息系统发起。

下面将以开发图书馆可提供的信息新服务为例来说明以上手机与校园网的信息交互流程。

图书馆可以推出手机提醒和手机续借等信息新服务。图书馆的计算机每天都会自动检查图书借阅情况,发现有即将超期的图书时,先根据借阅该书的借阅证号及书名编写信息,如:“你所借阅的《XXXXXX》将在本周五到期,请及时归还。如需要续借,请回复XJ。”然后把该信息发送到统一身份认证服务器,统一身份认证服务器根据借阅证号到数据库中找到绑定的手机号,然后把手机号和图书馆发送过来的信息一起发送到手机与校园网通信专用服务器,手机与校园网通信专用服务趋则请求移动通信网络根据此手机号发送该信息到手机用户。用户收到信息,可选择去图书馆还书,或者回复“XJ”,则信息逆向回到图书馆,图书馆根据用户要求自动进行续借。

手机的便携性使得信息的传达实时性更好,例如学校需要发布紧急通知给大部分人或特定人群时,效果远远好于在校内网站上发布公告传送邮件或发送消息。

3 结论与展望

通过对高校信息系统集成的研究,本文提出了基于SOA(面向服务的软件体系架构)的系统集成模型。此模型通过统一身份认证,为高校信息系统的集成提供了一种较为通用的方案,同时将手机融入了校园网。随着3G的部署,手机终端将拥有更强的与校园网进行信息交互的能力。

参考文献

[1]高岩,张少鑫,张斌,等.基于SOA架构的Web服务组合系统[J].小型微型计算机系统,2007(4).

[2]Eric Newcomer,Greg Lomow,Understanding SOA with Web Services(中文版)[M].徐涵,译.电子工业出版社,2006.

[3]陈丹,袁捷.基于SOA的分布式科研信息系统[J].计算机工程与设计,2006,27(24).

[4]柴晓路.Web Service Case Study:统一身份认证服务[EB/OL].http://blog.csdn.net/ccsdba/archive/2006/09/15/1226970.aspx.

[5]宋亚萍,许红,王瑞军.基于SOA的现代铁路货运物流信息平台研究[J].物流技术,2007,26(3).

信息系统安全的一种解决方案篇8

关键词：信息系统；权限管理；数据加密；数字签名

中图分类号：TP309.2文献标识码：A文章编号：1007-9599 (2011) 05-0000-02

Information System Security Solutions

Qi Shifeng

（Computer Sciences School,Panzhihua University,Panzhihua617000,China）

Abstract:Security is inevitable for every information system.This paper provides solutions to the information system security by using the relevant technologies such as firewalls externally,and internally authority administration,data encryption,digital signatures and so on.Practice has proved these solutions and their reference value.

Keywords:Information System;Authority;Data encryption;Digital Signatures

一、引言

信息系统的迅速发展和广泛应用，显示了它的巨大生命力；另一方面也体现了人类社会对信息系统的依赖性越来越强。但信息系统的安全是一个不可回避的问题，一者信息系统管理着核心数据，一旦安全出现问题，后果不堪设想；再者现在信息系统大多运行环境是基于TCP/IP的，众所周知，TCP/IP协议本身是不安全的，因此必须充分考虑信息系统的安全性。信息系统的安全问题已成为全球性的社会问题，也是信息系统建设和管理的主要瓶颈。

二、一种解决方案

信息系统的安全包括很多方面，一般说来，可以分为外部安全和内部安全两方面。对外的安全主要是防止非法攻击，本方案通过第三方防火墙来实现。内部的安全主要是保证数据安全，本方案提出两个方面的解决：①权限管理；②数据加密。

（一）防火墙技术

防火墙是一种综合性的技术，它是一种计算机硬件和软件的结合。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问，它实际上是一种隔离技术。工作原理如图1所示。

图1防火墙工作原理

（二）权限管理

构建强健的权限管理系统，对保证信息系统的安全性是十分重要的。基于角色的访问控制（Role-Based Access Control，简称RBAC）方法是目前公认的解决大型企业的统一资源访问控制的有效方法。其显著的两大特征是：

1.减小授权管理的复杂性，降低管理开销。

2.灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性。

一个完整的权限管理系统应该包括：用户、角色、资源、操作这四种主体，他们简化的关系可以简化为图2。

图2 权限管理四种主体关系图

RBAC认为权限授权实际上是Who、What、How的问题。可简单表述为这样的逻辑表达式：判断“Who对What（Which）进行How的操作”是否为真。

本方案权限管理采用“用户—角色—功能权限—数据对象权限”权限管理模式管理权限。具体参见图3。

图3 权限管理模型

图3所示的权限管理模型实现过程如下：

1.划分用户角色级别：系统管理员根据用户岗位职责要求对其功能权限进行分配和管理。

2.划分功能控制单元：功能控制单元即权限控制的对象。功能控制单元根据功能结构树按层次进行划分。

3.权限管理实现：例如，当新员工加盟时、系统首先为其分配一个系统账号，当给他分配岗位时、便自动有了该岗位对应角色的权限。当然如果该用户有本系统的一些单独的功能使用权限，可以提出申请经批准后由系统管理员分配。

（三）数据安全保证

1.实现技术

（1）数据加密。数据加密技术是指将一个信息（或称明文）经过加密钥匙及加密函数转换，变成无意义的密文，从而达到使非法用户无法获取信息真实内容。另一方面接收方则将此密文经过解密函数及解密钥匙还原成明文。常见的对称密钥加密算法有DES加密算法和IDEA加密算法，用得最多的公开密钥加密算法是RSA加密算法。

（2）数字签名。数字签名技术是在公钥加密系统的基础上建立起来的。数字签名就是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据，防止被人（例如接收者）进行伪造。用来模拟现实生活中的签名或印章。

2.实施策略

本方案中，系统的数据安全保证主要是依靠上述的数据加密技术和数字签名技术来实现，具体的实施策略如图4所示。

图4 混合加密和数字签名联合使用的实施策略

在图4中，将其数据安全保证实现过程分为四步：数据加密、数据签名，验证入库、数据解密。

（1）数据加密：当需要将核心信息放入数据库时，信息发送方随机生成本次通信用的DES或IDEA密钥K，用密钥K加密压缩的明文M得到密文Cm，用系统的RSA公钥加密密钥K得到Ck，再将Cm和Ck合成密文C。

（2）数字签名：信息发送方对数据加密时生成的密文C进行MD5运算，产生一个消息摘要MD，再用自己的RSA私钥对MD进行解密来形成发送方的数字签名Cd，并将Cd和C合成密文Cc。

（3）验证入库：数据库服务器收到Cc后，将其分解为Cd和C。用发送方的RSA公钥加密Cd得到MD，然后对C进行MD5运算，产生一个消息摘要MD1。比较MD和MD1，如果相同，将合成密文C放入仓库，否则不与入库。

（4）数据解密：对于有权访问核心数据的用户，系统将向其提供RSA私钥，访问时首先从数据检出合成密文C，将C分解成Cm和Ck；并用系统提供的RSA私钥对Ck解密得到密钥K，用密钥K对Cm解密得到明文M。

三、小结

“三分技术，七分管理”是技术与管理策略在整个信息安全保障策略中各自重要性的体现，没有完善的管理，技术就是再先进，也是无济于事的。本文提出的这种信息系统安全的解决方案，已成功应用于系统的设计和开发实践，与应用系统具有良好的集成。当然这种方案并不一定是最好或最合理的保证信息系统安全的解决方案。但希望能够抛砖引玉，使各位同仁在此类问题上找到更合理更安全的解决方案。

参考文献：

[1]向模军.基于QFD的新产品开发决策支持系统研究与实现[C].硕士论文.成都:电子科技大学,2007

[2]唐成华,陈新度,陈新.管理信息系统中多用户权限管理的研究及实现[J].计算机应用研究,2004,21(3):217-219

[3]祖峰,熊忠阳,冯永.信息系统权限管理新方法及实现[J].重庆大学学报:自然科学版,2003,26(11):91-94

[4]陈汇远.计算机信息系统安全技术的研究及其应用[C]:硕士论文.北京:铁道部科学研究院,2004

[基金项目]基于无线传感器网络的多参数监测的粮情测控系统（No：06c26211400735）

信息安全集成实施方案篇9

实施方案

为进一步加强网络与信息安全管理工作，提高网络与信息安全保护水平，根据省、市要求，决定从年月日至月日，对全专项检查。

一、工作目标

通过专项检查，认真查找网络与信息安全存在的隐患和漏洞，增强各单位的安全意识；全面落实安全组织、安全制度和技术防范措施，建立和完善安全防范机制，确保网络与信息安全。

二、组织领导

成立牵头，县公安局、县保密局等相关部门组成，负责对全政府网络与信息安全检查工作的督导，对重要信息系统进行现场检查，并做好检查的汇总分析和上报工作。各单位要制定具体的安全检查方案，并组织实施。

三、检查范围

专项检查的重点是党政机关门户网站和办公系统，以及基础信息网络（公众电信基础网络、广播电视传输网）和关系国计民生、国家安全、经济命脉、社会稳定的重要信息系统（金融、电力、交通、税务、财政、社会保障、供电供水等）。

四、专项检查内容

（一）信息网络安全组织落实情况。信息安全工作职责的主管领导、专职信息安全员等设置情况。

（二）信息网络安全管理规章制度的建立和落实情况。各单位制订相关的信息网络安全管理制度，重点是信息网络系统中软环境、物理环境、运行环境、软件和数据环境等方面管理制度。机房安全、系统运行、人员管理、密码口令、网络通信安全、数据管理、信息发布审核登记、病毒检测、网络安全漏洞检测、账号使用登记和操作权限管理、安全事件倒查、领导责任追究等制度建立和执行情况。

（三）技术防范措施落实情况。各单位在实体、信息、运行、系统和网络安全等方面，是否制定安全建设规划和实施方案及应急计划。在防攻击、防病毒、防篡改、防瘫痪、防窃密方面，是否有科学、合理、有效的安全技术防范措施。党政重要系统中使用的信息产品和外包服务，是否经过国家认监委、工信部、公安、安全、密码管理等相关部门认证。

（四）执行计算机信息系统安全案件、事件报告制度情况。发生信息安全事件，是否按照报告制度向有关部门报告。

（五）有害信息的制止和防范情况。重点对利用互联网散布政治谣言、扰乱社会秩序、宣扬邪教和封建迷信，以及传播淫秽、色情、暴力、赌博等有害信息进行检查。

（六）党政机关保密工作。重点检查保密规章制度建设、领导干部的保密工作，重大涉密活动和重要会议的各项内容事先是-2-

否经过保密审查审批，国家秘密文件、资料和其它物品的管理，涉密的电子设备、通信和办公自动化系统是否符合保密要求。

（七）重要信息系统等级保护工作开展情况。重点检查等级保护工作部署和组织实施情况，信息系统安全等级保护定级备案情况，信息安全设施建设情况和信息安全整改情况。

五、专项检查方法与步骤

本次专项检查分三个阶段进行：

（一）自查阶段：日—月日。

各单位根据专项检查内容对本单位的网络与信息安全工作进行一次全面的自查，对存在的突出安全隐患进行整改，切实加强本单位网络与信息安全的防护工作。

（二）抽查阶段：日—月

县网络与信息安全专项检查工作组组织有关单位对部分单位进行抽查和信息安全风险测评，并提出整改意见。

（三）整改阶段：日—月日。