新闻出版总署书目管理系统的安全设计
开篇:润墨网以专业的文秘视角,为您筛选了一篇新闻出版总署书目管理系统的安全设计范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
新闻出版总署信息中心是在原中国版本图书馆基础上建立起来的综合性出版信息加工处理单位,担负着为领导机关、新闻出版行业乃至全社会提供各种出版信息服务的重任。在图书出版前,全国各地的出版单位通过广域网将基本书目信息上传至信息中心,由在版编目处进行编目加工,并将加工后的结果返还给出版社做为书目标准印刷在图书的版权页上。在图书出版后,征集藏馆处根据样书对书目数据进行进一步的加工,提供给各地图书馆作为采编数据使用。
在整个处理过程中数据单向流动,系统中的在版编目处要通过英特网与全国各地出版社进行数据交换,网上系统也要通过信息中心的专线将数据分析汇总结果到英特网上。要保证这样一个大型系统各个环节的数据安全,需要精心的设计和规划。
数据存储安全设计
1.利用硬件设备对数据的保护
每台服务器为不同的业务系统提供服务,同时又互为备份。数据存储设备选择了磁盘阵列,通过高速光纤与主机设备相连。实现了数据的分布管理。
2.操作系统级的数据保护措施
在操作系统上我们定制了定时执行的后台任务,在每天数据库会自动备份。
3.利用数据库管理系统对数据的保护
在数据库的设计上为每个部门定义了自己的数据库用户和数据表,避免了各业务系统的相互影响。
互联网的广泛使用给全国性信息搜集加工系统的建设带来了方便,同时也带来了安全隐患。经过技术分析和合理规划,我们得到了比较安全的英特网接入方案。
1.防火墙的使用
我们利用防火墙划分了三个网段,除了传统的内网和外网之外还增加了一个网段:DMZ(非军事化)区。将与英特网进行数据交换的邮件服务器、WEB服务器和服务器放置在DMZ区。防火墙禁止内外网段的直接通信,通过在防火墙上设置指定服务端口号的“管道”,允许英特网用户访问DMZ区的邮件和WEB服务。内部用户通过DMZ区的服务器对英特网进行访问,服务器可对访问加以限制。这样的设计在防火墙正常工作的状态下英特网用户没有机会对内网的服务器进行访问,即使所谓“黑客”通过访问攻占了位于DMZ区的服务器,防火墙还是禁止这些服务器对内网的访问。
2.利用安全邮件系统进行数据交换
在版编目处与各地出版社的数据交换是通过专用邮件系统完成的。我们开发的安全邮件系统进行了严格的定义,邮件由前端程序自动产生,数据中心的邮件读取程序能即时识别并抛弃非法邮件,这使系统及数据相对比较安全,除在邮件中嵌入身份识别信息外,不必另设身份认证系统。
数据使用安全及内部网络规划
我们根据部门和功能划分了虚拟子网、在应用软件中使用三层访问控制,可以一定程度地保护数据不被内部用户非法使用。
1.合理划分VLAN
网络方面我们利用中心交换机具有的三层交换能力,按部门进行了VLAN(虚拟子网)的划分。一般的终端用户只在本部门的子网内是可见的,各业务部门间的数据交换请求通过第三层交换来完成。通过对中心交换机的设置可以控制各网段间的访问,提高了本部门数据的安全性。同时由于VLAN的划分,降低了网段内的广播冲突,提高了网络的交换效率。
2.B/S结构对数据访问的控制
在应用软件设计方面采用了三层的B/S结构对数据库进行访问。采用这种方式终端用户不直接与数据库进行连接,而是通过浏览器访问内部WEB服务器和中间层应用服务器。
由于中间层应用服务器对数据库的读写接口是根据业务需求严格定义的,这样也就降低了普通用户对数据库修改的随意性。
随着信息化工作的展开和信息系统的互联,系统的安全问题日益受到人们的关注。让我们尽可能地去了解这些特性,把它们合理地运用到系统中,去保护宝贵的数据资源吧!