全国美术馆藏品普查信息系统技术路线(3)

作者:网站采编
关键词:
摘要：4.安全性与可靠性设计 （1）参照安全等级保护三级的网络架构。 普查数据中心参照安全等级保护的指导思想，构建集技术和管理于一体的安全建设、安全

4.安全性与可靠性设计

（1）参照安全等级保护三级的网络架构。

普查数据中心参照安全等级保护的指导思想，构建集技术和管理于一体的安全建设、安全运维、安全测评体系，从信息系统结构和安全性等方面增强现有信息系统，从而实现有效的分区管理，针对各个安全区域内接入的用户类型，执行严格的访问控制策略，体现出差异化的策略设计和“重点资产、重点防护”的设计原则，在重要的并且是容易发生安全事件的数据中心边界、互联网边界，综合采用了访问控制、监测和审计措施，形成多层次的保护；实现有效的攻击防护，通过多种安全技术，部署多层防护，通过终端安全管理、服务器防护、边界访问控制、内容安全检测、弱点安全扫描等技术，提升抗攻击能力；实现有效的内部加固，引入弱点扫描系统、服务器核心防护、网站应用安全等技术，对信息网络的关键节点和要素进行针对性的防范，及时采取修补措施，防止信息系统被攻击。目前，普查数据中心设于中国美术馆的机房，应统筹考虑。近两年，中国美术馆基础设施建设取得较大进展，骨干网络基本实现了参照安全等级保护三级的要求部署。通过本次美术普查数据中心的建设，补齐双链路接入、负载均衡等设备。目前，通过分别引入不同的安全设备供应商，实现双链路互为备份；部署抗DDOS攻击系统、入侵保护系统（IPS）、漏洞扫描系统和防火墙、安全审计系统、流控系统、上网行为管理系统；增加安全管理区，部署了安全管理服务器、运维服务器、防病毒服务器、日志管理服务器、身份认证服务器；部署了终端保护系统、主机加固系统。参见拓扑图。

（2）基于身份认证系统的单点登录。

身份认证系统（CA）主要包括自建证书子系统、身份认证子系统、安全审计子系统、安全客户端等。其中，自建证书子系统主要为业务系统的用户发放数字证书，同时对发放的数字证书进行管理，包括数字证书的存储、更新、恢复和注销等；身份认证子系统利用发放的数字证书为业务系统提供身份认证服务接口，对业务系统用户身份进行认证；安全审计子系统确认每一位登陆的客户的详细情况，并且能够防止用户修改系统信息，以及不能对自身提交的信息进行否认。系统安全客户端由终端密码设备（USB-Key）和相关的密码服务驱动接口组成，并存储数字证书。由于USB-Key携带方便，便于管理，同时，所有的加密运算过程和密码要素存储都在USBKey内进行，因此有极高的安全性。为确保数据安全、避免非授权操作、确保操作留痕，本次普查涉及到数据的操作时，均要求以USB-Key内置的身份证书才可登录，实现基于数字证书的用户身份安全认证、访问控制、数据传输加密。为此，普查数据中心自建了身份认证系统，包括加密机、证书注册、证书发放、认证、日志等环节。单点登录（SSO）是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。本次普查信息系统以统一用户管理为基础，通过基于USB-Key的单点登录，为所有应用系统提供统一的认证方式和认证策略，实现一次登录到多个应用系统。

（3）采用基于故障转移集群的虚拟机架构。

故障转移群集是一种高可用性的基础结构层，由多台计算机组成，每台计算机相当于一个冗余节点，整个群集系统允许某部分节点掉线、故障或损坏而不影响整个系统的正常运作。一台服务器接管另一台发生故障的服务器的过程称为“故障转移”。如果一台服务器变为不可用，则另一台服务器自动接管发生故障的服务器并继续处理任务，从而提升系统的可靠性。虚拟架构以一种独特的文件方式存储其他运行的虚拟机，当运行虚拟机的物理服务器硬件故障后，虚拟架构依然可利用共享存储上完整的虚拟机文件，迅速重启虚拟机，以保证失效系统的尽快恢复，实现快速的系统恢复，提高运营效率。所以，虚拟机可以用更少的硬件设备，实现更高的资源利用率。考虑到中国美术馆机房空间条件的限制及业务的需求，美术普查服务器主要选择刀片机，组成故障转移集群；在故障转移集群中设置虚拟服务器，从而保证较好的稳定性、可用性、可维护性。同时，虚拟服务器也可以根据业务要求灵活调整。

5.项目管理。

上一页

1

2

3

4

下一页

文章来源：《信息系统工程》 网址: http://www.xxxtgc.cn/qikandaodu/2021/0320/1130.html

上一篇：结构化文本格式对音乐编辑出版思维的影响
下一篇：资讯