專(zhuān)利名稱(chēng)：用于it系統(tǒng)應(yīng)用考評(píng)拓展平臺(tái)的安全系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本實(shí)用新型涉及軟硬件安全防護(hù)領(lǐng)域，特別一種用于IT系統(tǒng)應(yīng)用考評(píng)拓展平臺(tái)的安全系統(tǒng)。
背景技術(shù)：
實(shí)現(xiàn)生產(chǎn)精細(xì)化管理的目標(biāo)，國(guó)家電網(wǎng)公司于2006年確定組織開(kāi)發(fā)生產(chǎn)管理系統(tǒng)(以下簡(jiǎn)稱(chēng)IT系統(tǒng))。該項(xiàng)目由國(guó)網(wǎng)電力科學(xué)研究院負(fù)責(zé)開(kāi)發(fā)實(shí)施。綦南供電局在市公司統(tǒng)一安排和部署下，2009年5月開(kāi)始啟動(dòng)IT系統(tǒng)的推廣建設(shè)工作，經(jīng)過(guò)上線運(yùn)行，IT系統(tǒng)運(yùn)行穩(wěn)定、功能完善，規(guī)范、高效地促進(jìn)了安全生產(chǎn)工作開(kāi)展，應(yīng)用效果良好。但由于發(fā)生數(shù)據(jù)交換的各方并非面對(duì)面進(jìn)行，且所有數(shù)據(jù)以電子化形式存在，有可能出現(xiàn)這樣一些安全問(wèn)題身份的假冒；信息通過(guò)網(wǎng)絡(luò)傳輸時(shí)被截獲或被竊??；網(wǎng)絡(luò)上傳遞的信息被他人非法篡改等問(wèn)題。對(duì)于IT系統(tǒng)來(lái)說(shuō)，為了提高系統(tǒng)的安全性，解決網(wǎng)上檢驗(yàn)客戶(hù)的真實(shí)身份問(wèn)題， 防止客戶(hù)信息及密碼被竊取，實(shí)現(xiàn)信息在網(wǎng)絡(luò)傳輸上的保密性、系統(tǒng)身份認(rèn)證的可靠性、數(shù)據(jù)傳輸?shù)耐暾?、信息的不可抵?lài)性、信息的唯一性，因而有必要在IT系統(tǒng)應(yīng)用平臺(tái)上，采取行之有效的措施，建立了一套完整的安全體系。
發(fā)明內(nèi)容有鑒于此，本實(shí)用新型的目的是提供一種用于IT系統(tǒng)應(yīng)用考評(píng)拓展平臺(tái)的安全系統(tǒng)，全面提高了 IT系統(tǒng)應(yīng)用考評(píng)平臺(tái)的安全性。本實(shí)用新型的目的是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的用于IT系統(tǒng)應(yīng)用考評(píng)拓展平臺(tái)的安全系統(tǒng)，包括系統(tǒng)防護(hù)系統(tǒng)和網(wǎng)絡(luò)防護(hù)系統(tǒng)；所述系統(tǒng)防護(hù)系統(tǒng)包括服務(wù)器UPS管理模塊和數(shù)據(jù)庫(kù)雙重用戶(hù)管理模塊，所述服務(wù)器UPS管理模塊采用采用雙機(jī)熱備方式；所述網(wǎng)絡(luò)防護(hù)系統(tǒng)包括網(wǎng)絡(luò)交換機(jī)、服務(wù)器群、客戶(hù)端群和INTERNET，所述網(wǎng)絡(luò)交換機(jī)分別與服務(wù)器群、客戶(hù)端群相連接，還包括通信線路、網(wǎng)絡(luò)防火墻、IPS、ISA服務(wù)器，所述INTERNET通過(guò)通信線路與網(wǎng)絡(luò)防火墻連接，所述網(wǎng)絡(luò)防火墻、IPS、ISA服務(wù)器依次連接， 所述ISA服務(wù)器與網(wǎng)絡(luò)交換機(jī)相連接。進(jìn)一步，所述數(shù)據(jù)庫(kù)雙重用戶(hù)管理模塊采用雙重用戶(hù)管理模式；進(jìn)一步，所述通信線路包括兩路由不同運(yùn)營(yíng)商提供的通信線路。本實(shí)用新型的有益效果是本實(shí)用新型的使用，從系統(tǒng)防護(hù)和網(wǎng)絡(luò)防護(hù)兩方面入手，有效提高了 IT系統(tǒng)的安全性，全面解決了系統(tǒng)面臨的斷電安全、黑客攻擊、網(wǎng)絡(luò)停擺以及網(wǎng)絡(luò)泄密等問(wèn)題，為IT系統(tǒng)的順利運(yùn)行提供了一道堅(jiān)固的保障。本實(shí)用新型的其他優(yōu)點(diǎn)、目標(biāo)和特征在某種程度上將在隨后的說(shuō)明書(shū)中進(jìn)行闡述，并且在某種程度上，用于對(duì)下文的考察研究對(duì)本領(lǐng)域技術(shù)人員而言將是顯而易見(jiàn)的，或者可以從本實(shí)用新型的實(shí)踐中得到教導(dǎo)。本實(shí)用新型的目標(biāo)和其他優(yōu)點(diǎn)可以通過(guò)下面的說(shuō)明書(shū)和權(quán)利要求書(shū)來(lái)實(shí)現(xiàn)和獲得。

為了使本實(shí)用新型的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合附圖對(duì)本實(shí)用新型作進(jìn)一步的詳細(xì)描述，其中圖1為本實(shí)用新型的連接結(jié)構(gòu)示意圖。
具體實(shí)施方式
以下將參照附圖，對(duì)本實(shí)用新型的優(yōu)選實(shí)施例進(jìn)行詳細(xì)的描述。應(yīng)當(dāng)理解，優(yōu)選實(shí)施例僅為了說(shuō)明本實(shí)用新型，而不是為了限制本實(shí)用新型的保護(hù)范圍。如圖所示，本實(shí)用新型的用于IT系統(tǒng)應(yīng)用考評(píng)拓展平臺(tái)的安全系統(tǒng)，包括系統(tǒng)防護(hù)系統(tǒng)1和網(wǎng)絡(luò)防護(hù)系統(tǒng)2 ；所述系統(tǒng)防護(hù)系統(tǒng)1包括服務(wù)器UPS管理模塊11和數(shù)據(jù)庫(kù)雙重用戶(hù)管理模塊12， 所述服務(wù)器UPS管理模塊11采用采用雙機(jī)熱備方式，以保證數(shù)據(jù)安全。所述數(shù)據(jù)庫(kù)雙重用戶(hù)管理模塊采用雙重用戶(hù)管理模式，從而增加了禁止非法人員闖入數(shù)據(jù)庫(kù)系統(tǒng)的可能性，在數(shù)據(jù)庫(kù)中定義系統(tǒng)專(zhuān)用的用戶(hù)管理表體系，包括用戶(hù)基本表、角色基本表及其他關(guān)系表。依據(jù)系統(tǒng)專(zhuān)用的用戶(hù)管理表進(jìn)行用戶(hù)資格審查。如果用戶(hù)管理表上記錄有權(quán)訪問(wèn)，而DBMS用戶(hù)管理表上記錄為無(wú)權(quán)，則DBMS提示錯(cuò)誤并拒絕訪問(wèn)；反之則由系統(tǒng)報(bào)錯(cuò)并拒絕訪問(wèn)。只有兩者都記錄有效，用戶(hù)才能訪問(wèn)數(shù)據(jù)庫(kù)。所述網(wǎng)絡(luò)防護(hù)系統(tǒng)2包括網(wǎng)絡(luò)交換機(jī)21、服務(wù)器群22、客戶(hù)端群23和INTERNET M，所述網(wǎng)絡(luò)交換機(jī)21分別與服務(wù)器群22、客戶(hù)端群23相連接，還包括通信線路25、網(wǎng)絡(luò)防火墻^、IPS服務(wù)器27、ISA服務(wù)器觀，所述INTERNET 24通過(guò)通信線路與網(wǎng)絡(luò)防火墻沈連接，所述網(wǎng)絡(luò)防火墻^KIPS服務(wù)器、ISA服務(wù)器依次連接，所述ISA服務(wù)器與網(wǎng)絡(luò)交換機(jī) 21相連接。本實(shí)施例中，所述通信線路包括兩路由不同運(yùn)營(yíng)商提供的通信線路，從而實(shí)現(xiàn)線路的高可用性。網(wǎng)絡(luò)防火墻能夠提供諸如IPSec協(xié)議支持、用于規(guī)則集的防火墻、用于OSPE V2路由協(xié)議的安全認(rèn)證、信息加密與分布式密鑰管理等功能，能夠?qū)崿F(xiàn)身份鑒別、數(shù)據(jù)簽名和數(shù)據(jù)完整性驗(yàn)證，能夠?qū)P數(shù)據(jù)包進(jìn)行智能加密，可以提供安全VPN通道、抗源地址欺騙、抗源路由攻擊、抗極小數(shù)據(jù)和抗重疊分片的分組過(guò)濾功能及實(shí)現(xiàn)用于硬件的信息加密，能夠阻止非授權(quán)人員的入侵等。入侵防御系統(tǒng)是指具有檢測(cè)并阻止已知或者未知攻擊的內(nèi)嵌硬件設(shè)備或軟件系統(tǒng)，它分為網(wǎng)絡(luò)入侵防御系統(tǒng)(Network Intrusion Prevention System, NIPS)和主機(jī)入侵防御系統(tǒng)(Host Intrusion Prevention System, HIPS)，NIPS —般部署于網(wǎng)絡(luò)的進(jìn)出口處，即在數(shù)據(jù)轉(zhuǎn)發(fā)的路徑上，可以根據(jù)事先設(shè)定的安全策略，對(duì)經(jīng)過(guò)的每個(gè)數(shù)據(jù)包進(jìn)行深度檢測(cè)，如協(xié)議分析跟蹤，流量統(tǒng)計(jì)分析、特征匹配、事件關(guān)聯(lián)分析等，一旦發(fā)現(xiàn)隱藏域其中的攻擊行為，則可以根據(jù)該攻擊的危險(xiǎn)級(jí)別立即采取相應(yīng)的防御措施，如丟棄報(bào)文、切斷應(yīng)用會(huì)話(huà)、切斷TCP連接、向管理中心呢報(bào)警等。最后說(shuō)明的是，以上實(shí)施例僅用以說(shuō)明本實(shí)用新型的技術(shù)方案而非限制，盡管參照較佳實(shí)施例對(duì)本實(shí)用新型進(jìn)行了詳細(xì)說(shuō)明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解，可以對(duì)本實(shí)用新型的技術(shù)方案進(jìn)行修改或者等同替換，而不脫離本技術(shù)方案的宗旨和范圍，其均應(yīng)涵蓋在本實(shí)用新型的權(quán)利要求范圍當(dāng)中。
權(quán)利要求1.用于IT系統(tǒng)應(yīng)用考評(píng)拓展平臺(tái)的安全系統(tǒng)，其特征在于所述安全系統(tǒng)包括系統(tǒng)防護(hù)系統(tǒng)和網(wǎng)絡(luò)防護(hù)系統(tǒng)；所述系統(tǒng)防護(hù)系統(tǒng)包括服務(wù)器UPS管理模塊和數(shù)據(jù)庫(kù)雙重用戶(hù)管理模塊，所述服務(wù)器 UPS管理模塊采用雙機(jī)熱備方式；所述網(wǎng)絡(luò)防護(hù)系統(tǒng)包括網(wǎng)絡(luò)交換機(jī)、服務(wù)器群、客戶(hù)端群和INTERNET，所述網(wǎng)絡(luò)交換機(jī)分別與服務(wù)器群、客戶(hù)端群相連接，還包括通信線路、網(wǎng)絡(luò)防火墻、IPS、ISA服務(wù)器，所述 INTERNET通過(guò)通信線路與網(wǎng)絡(luò)防火墻連接，所述網(wǎng)絡(luò)防火墻、IPS、ISA服務(wù)器依次連接，所述ISA服務(wù)器與網(wǎng)絡(luò)交換機(jī)相連接。
2.根據(jù)權(quán)利要求1所述的用于IT系統(tǒng)應(yīng)用考評(píng)拓展平臺(tái)的安全系統(tǒng)，其特征在于所述數(shù)據(jù)庫(kù)雙重用戶(hù)管理模塊采用雙重用戶(hù)管理模式。
3.根據(jù)權(quán)利要求1或2所述的用于IT系統(tǒng)應(yīng)用考評(píng)拓展平臺(tái)的安全系統(tǒng)，其特征在于所述通信線路包括兩路由不同運(yùn)營(yíng)商提供的通信線路。
專(zhuān)利摘要本實(shí)用新型公開(kāi)了一種用于IT系統(tǒng)應(yīng)用考評(píng)拓展平臺(tái)的安全系統(tǒng)，所述平臺(tái)安全裝置包括系統(tǒng)防護(hù)系統(tǒng)和網(wǎng)絡(luò)防護(hù)系統(tǒng)；所述系統(tǒng)防護(hù)系統(tǒng)包括服務(wù)器UPS管理模塊和數(shù)據(jù)庫(kù)雙重用戶(hù)管理模塊，所述服務(wù)器UPS管理模塊采用采用雙機(jī)熱備方式；所述網(wǎng)絡(luò)防護(hù)系統(tǒng)包括網(wǎng)絡(luò)交換機(jī)、服務(wù)器群、客戶(hù)端群和INTERNET，所述網(wǎng)絡(luò)交換機(jī)分別與服務(wù)器群、客戶(hù)端群相連接，還包括通信線路、網(wǎng)絡(luò)防火墻、IPS、ISA服務(wù)器，所述INTERNET通過(guò)通信線路與網(wǎng)絡(luò)防火墻連接，所述網(wǎng)絡(luò)防火墻、IPS、ISA服務(wù)器依次連接，所述ISA服務(wù)器與網(wǎng)絡(luò)交換機(jī)相連接，本實(shí)用新型能夠兼顧系統(tǒng)安全防護(hù)和網(wǎng)絡(luò)安全防護(hù)的需要，具有全面的安全防護(hù)作用，易于實(shí)施，效果明顯，有限保證了系統(tǒng)運(yùn)行的安全。
文檔編號(hào)H04L12/24GK202004793SQ20112011769
公開(kāi)日2011年10月5日 申請(qǐng)日期2011年4月20日 優(yōu)先權(quán)日2011年4月20日
發(fā)明者朱韻攸, 李軍, 胡思國(guó) 申請(qǐng)人:重慶市電力公司綦南供電局