1、服务器安全 论文离合器设计论文对网站服务器安全动态集成技术的探讨摘要: 分析网站服务器的安全现状,提出安全管理集成化的几大原理,主要对网站服务器安全动态集成技术原理进行探讨。 关键词: 信息安全;集成工程;安全管理 随着我国经济的迅猛发展,市场竞争越来越白热化,竞争的关键开始从技术、产品等硬件资源向咨询、管理、集成、评估等上转变。因而,在信息安全管理方面,要重视各种资源的结合,把管理、技术、人员进行合理集成。 1 计算机设备网络服务器安全现状 当前,在 IT 运营中经常面临以下困扰:承担企业核心应用的服务器发展路线不清晰,IT 系统无法与时俱进系统平台正面临迁移的风险,但缺乏迁移的技术保障 I
2、T 预算有限,需要长期的投资保护系统性能不强,无法保障业务安全稳定的运行。服务器需要稳定的系统平台以及清晰稳定的产品路线,保证IT 系统持续安全运行。保护长期 IT 投资,RAS 创新功能,为稳定运行提供坚实基础。集出色的可靠性、可用性、可服务性于一体,大大提升系统稳定性。采用世界上最快的 POWER6 处理器,主频突破 5.00GHz,CPU 的出错几率减少30%。 2 集成工程原理 1)系统工程原理。系统工程是一种建立和管理系统的方法,它在实践中把所要研究和管理的某个对象视为系统,进而采取系统的理论和方法,求得技术先进、经济合理、时间最省以及整体协调运转的最佳效果,是对所有系统都具有普遍意
3、义的科学方法并在现代信息安全管理中得到日益广泛的应用。 2)互补增值原理。安全产品之间、安全产品与管理之间存在互补增殖的情况,这是因为一方面安全管理的无缝连接不仅增强了整体安全的配合,还充分提高安全资源的共享性,安全和攻击是对应的,但一般攻击都是单手段进行或各种手段的组合,安全防护的互补增殖使攻击成本呈指数增长;另一方面还体现在安全信息安全的整体使用,会使安全被动防御的某些功能和特性应用成为系统的一项新功能。 3)木桶原理。在信息安全管理实践中,安全取决于整个系统最薄弱的那块木头,这与互补增殖并不矛盾,这是因为,在信息安全的复杂系统中,不仅仅有并联的关系,还有大量串联的过程,在安全管理中,应保
4、持整个安全规划的各个部分均衡考虑。 4)风险代价原理。所谓风险管理,是指经济单位和个人在对风险进行识别、预测、评价的基础之上,优化各种风险处理技术,以一定的风险处理成本达到有效控制和处理风险的过程。风险管理包括风险识别、风险估测、风险评价、选择风险处理方法和效果评价等五个方面。风险管理最为重要的因素是风险处理方法。 3 动态性原理与 PDR 模型 由于攻击手段的动态性决定了信息安全防护并非是一件一劳永逸的事情,即需要不断分析完善的一个动态的过程,而是不断实施 J 反馈 J 改进的过程。传统信息系统安全的概念,在于建立一个没有漏洞的系统和无法侵入的系统。因此,传统信息系统安全的实践在于不断追求消
5、灭漏洞。现代信息系统安全概念是面向空间、时间、功能和人员的全方位的动态安全概念。其核心环节包括:安全防护、安全检测和安全事件反应,将上述三个单词的首字母相加,即是信息与信息系统安全的基本方法模型:PDR 安全模型。国内外不同研究者根据IC模型发展出了 P2DR 和 PDRR 等模型。在实践中基础上,作者提出了基于系统工程原理、风险代价原理、木桶原理、互补增殖原理的面向用户,包含信息系统安全的安全策略、安全功能、安全管理、安全维护、安全检测、安全恢复和安全测评等概念的全面信息安全理论:整体安全保护、安全检测和安全事件反应暨 IPDR 模型.与传统的 PDR 理论相比,作者更注重信息安全理论和实现
6、上的整体性。IPDR 模型的纵向整体性:信息安全项目管理纵向的信息安全的整体性主要体现在安全策略的战略性和指导性、安全管理的持续性和广泛性、安全维护的长期性和扩展性、安全测评的完备性和权威性。通过对用户安全需求的深入了解,在正确的安全理念指导下,通过科学的项目管理方法,实施包括安全需求分析,系统规划,工程实施,测试与验收,安全等级评估,技术支持服务和动态的安全咨询顾问服务在内的完整的信息安全过程。IPDR 模型最主要的特点在于其面向用户和信息系统安全实施过程,强调从安全产品、安全功能到安全策略、项目管理、安全管理、系统规划、测试和验收、安全维护和动态的安全咨询服务的一致性和完整性。许多研究者都
7、将安全管理的第一步定义为安全需求分析,从实际应用情况来说,安全需求与一般的系统集成或 MIS 系统有很大不同,作者借用管理学双因素理论来说明,如果说系统集成或 MIS 是需求者的激励因素的话,那么,安全则是需求的保健因素,信息需求的保健因素特点是并不能提高信息的效率和功能的(从某种意义上来讲):往往安全与效率是一对矛盾,但离开安全,却又是不行的;另外一个重要特点就是需求者往往并不知道自己的需求是什么。 4 基于信息安全保健因素的特点,安全管理的流程为如下 1)网络安全漏洞可能性分析。2)评估漏洞可能造成的损失情况。3)预测各种隐患产生的概率。4)明确准备付出的代价。5)制定可行的技术与管理安全
8、保护策略。 安全因素管理(安全鲁棒性、环境、边界、法律限制等); 安全功能管理(防火墙、防病毒、扫描和入侵检测、防干扰、认证、识别技术、安全操作系统等等); 安全过程管理(安全策略、安全规划、安全审计、安全培训等等)。6)工程实施方案(产品的选购与定制)。7)制定配套的法规、条例和管理办法。8)管理信息系统安全的评估。 IPDR 模型的横向整体性:信息安全技术集成管理横向的整体性。横向的信息安全的整体性主要体现在安全产品、安全功能的针对性和完备性。在合适的位置,选择合适的产品,采用合适的安全策略,以达到各类安全产品之间的紧密配合和相互补充。在技术实施方面,要考虑系统的以下方面: 1)安全保护相
9、关因素(目标、对象、方式、成本);2)信息基础设施安全(硬件设施、软件设施、管理者);3)管理信息系统体系结构安全(网络结构、局域网); 信息流结构安全; 信息存取方式安全(主机方式、B/S,C/S); 基础功能安全(信息生成、信息处理、信息传输、信息存储)。 在实践中一般将安全需求按如下层次进行组织:网络安全;系统安全;用户安全;应用系统安全;数据安全。 5 结论 通过以上研究,对安全管理的系统性原理、动态性原理、风险代价原理、木桶原理、互补增殖原理进行了探究,对信息安全提出了 IPDR 模型,研究表明,根据以上原理的基于保健因素的集成化整合信息安全较为全面、系统和科学地建立了可行的流程和模型体系。 参考文献: 1魏忠、邓高峰,信息安全管理集成原理探究J.计算机工程与运用,2006(5). 2李宝山、刘志伟,集成管理世纪的企业制胜之道J.企业活力,2009(5). 3朱今,作为社会技术的综合集成方法J.科学技术与辩证法,2007(9).
