admin 规划管理信息系统,是利用成熟的地理信息系统平台,结合规划管理实际情况,通过将规划相关空间信息和文档信息紧密结合,形成集地理信息办公图文信息规划控规等各种信息于一体的信息平台。但近年来随着规划管理部门信息化建设的不断深入,在规范业务审批、方便业务审批的同时,一旦涉密数据被窃取或者被侵入者恶意篡改,这势必会对规划管理部门带来巨大影响和损失,所以提高数据存储和网络传输的安全性,是保证规划管理系统正常运行的关键步骤。
一、规划管理系统中常用网络安全技术
1、防火墙技术
近年来,各种网络安全技术日新月异,但截至目前,防火墙仍然是网络安全技术中常用的技术。防火墙对网络安全具有很好的保护作用,侵入者必须先穿越防火墙的安全防线,才能到达指定目标计算机。通过提高防火墙的安全等级,进一步提高系统的网络安全。
采用防火墙技术的主要优点有:
1) 防火墙可以增加系统安全策略。
2)防火墙能够有效记录Internet上的活动。
3) 防火墙可以限制暴露用户点。它可以隔离网络中一个网段和另一个网段。这样可以禁止受侵入网段向其他网段进行病毒传播。
4)防火墙是一个网络传输的检查站。所有网络传输的信息都必须经过防火墙,经过防火墙的检查,可以将病毒、木马、非法侵入等非法访问拒之门外。
2、虚拟网技术
虚拟网技术主要是基于局域网交换技术QTM与以太网交换)。该技术是将传统的基于广播的局域网技术转变为面向连接的技术。因此,限制了局域网通信的范围而降低了路由器的开销。
通过以上的运行机制,网络传输信息只能到达指定的传输地址。因此,防止了基于网络监听的入侵手段。通过虚拟网设置访问控制,使虚拟网以外的网络不能够直接访问虚拟网内的节点,从而保证了系统的安全。
3、VPN技术
本系统移动办公平台、其他地市办公平台与系统的网络传输,是采用VPN虚拟专用网)技术进行网络通信。使用VPN技术有以下优点:
1)使用VPN可减低成本。通过政务外网建立VPN隧道,就可以节省大量的通信费用,而不必再次投入人力、物力去安装维护设备和远程访问设备。
2)数据传输安全可靠。VPN产品都采用了加密和身份验证等安全技术,确保了用户连接的可靠性和保密性。
3)连接简单方便。用户首次安装时,经简单配置就可完成,再次使用无需任何操作,系统可直接登录专用网络。
4)安全控制。VPN技术使管理人员利用ISP的设施及服务,同时又掌握了网络安全的控制权。管理员只利用ISP提供的网络资源,通过安全设置和网络管理来实现自己的管理。
VPN采用隧道技术、加密解密技术、密钥管理技术、身份验证技术确保网络传输的数据安全。
4、杀毒软件
本系统服务器及客户端,均采用金山毒霸作为杀毒软件。它的主要功能是监控、杀毒全面可靠,占用资源小,速度快。与之配合使用的软件(金山清理专家、金山网镖等),集杀毒、防毒、防木马、防漏洞等功能为一体,确保了系统服务器的安全。
二、规划管理系统数据库加密
规划审批数据大部分都保存在数据库中,因此,使用数据库加密是信息系统安全最简单,也是最直接的方式。数据库加密,主要是通过系统中加密、服务器端加密和客户端加密三种方式。
系统中加密。将数据先在内存中加密,使之无法辨认数据库文件中的数据关系,然后系统把加密后的数据写入数据库中,读取时再逆向解密,这种加密技术简单、方便。
服务器端加密。这种加密技术是在物理存取前完成加密解密。这种加密方式功能强大,别且不会影响数据库的性能,并且可以实现信息系统与数据库间的松耦合。
在客户端进行加密。这种加密技术,是在客户端完成数据的加密、解密,不会影响数据库服务器的性能,并且,可以实现网络传输的数据安全。
1、规划管理系统中常用数据库加密技术
本系统数据库,从以下四方面,保证了数据库的安全。
1)身份认证。用户除了凭用户名、口令以外,还必须提供按照系统安全要求而设置的“终端密钥”,否则无法登陆数据库。
2)信息通信加密。关于所有对数据库的访问,为了保证数据的安全性,对每一次网络访问,数据都必须在加密以后进行传输。做到通信一次加密一次的原则,防止数据被恶意篡改。
3)数据库存储加密。数据库采用数据项级别的加密,对于数据库中的不同记录,不同字段都采用不同的密钥加密,配合其他校验措施来保证数据库中数据在存储时的保密性和安全性,有效防止了数据的非法访问和修改。
4)数据库的加密设置。对于涉密的审批数据,我们采用先择性加密方式,对需要机密的列进行加密,提高数据库的访问速度,改善因加密数据所造成的数据读取性能。
2、规划管理系统中数据库加密的基本要求
1)字段加密。
2)动态密钥。
3)合理处理数据。
4)以不影响合法用户操作为前提。
5)防止数据非法拷贝。
3、数据库加密策略的网络结构
Web浏览器向服务器发送网络请求,服务器端将请求数据首先发送到数据库加密引擎进行处理,然后将数据返回客户端。如果该请求是存储操作,加密引擎先将数据加密后再存人数据库;如用户有权访问涉密数据时,加密引擎先将加密的数据在解密后返回客户端。数据库加密策略的网络结构如图1所示。
三、规划管理信息系统加密
1、用户登录加密验证
用户的登录功能,是用户进入系统的第一道安全防线。对登录用户进行合法性验证、权限验证,是保证整个系统安全的重要组成部分之一。用户登录功能采用了口令校验技术、ePass卡密钥两种方式进行验证。
口令校验是在新增用户时,采用MD5的加密方式,将加密后的密码存入数据库,在用户登录时,将用户输入的密码进行MD5加密,并与用户名一起发送到后台,与数据库中的数据进行对比。验证成功后,根据用户ID,查询该用户的操作权限、系统功能权限,并将其结果返回客户端,将其权限赋予该用户。
ePass卡密钥验证。ePass卡是采用USB接口的客户端身份验证的硬件设备,内置随机查询数字生成器和MD5加密算法,并含有系统安全文件,保存数字证书和预设密钥。用户在登录系统时,在用户名及密码验证通过以后,通过查询该用户对应epass卡信息与客户端设备中数字证书是否一致,来确定该用户的可靠身份。
2、信息系统表单加密
本系统无论前台显示页面,还是系统审批流程中自定义的表单,均使用了HTML协议进行数据传输。因此,对表单进行加密,就显得尤为重要了。本系统采用jCryption技术,实现表单的数据加密。
jCryption在网页客户端使用JS对所提交表单进行RSA数据加密,服务器端负责对接收到的加密数据进行解密,以保证数据在传输过程中的安全。
小知识之防火墙技术
所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
