環(huán)保廳信息安全保障體系初探論文

　　摘要：本文介紹了河北省環(huán)保廳從網(wǎng)絡(luò)層、應(yīng)用層、系統(tǒng)層幾方面入手構(gòu)筑的系統(tǒng)信息安全保障體系，詳細(xì)論述了本單位采用的防火墻、入侵檢測(cè)、網(wǎng)絡(luò)殺毒、數(shù)據(jù)備份等系統(tǒng)的主要功能及在網(wǎng)絡(luò)信息安全防護(hù)發(fā)揮的作用。

　　【關(guān)鍵詞】信息安全；保障體系；防火墻技術(shù)

　　網(wǎng)絡(luò)殺毒信息化網(wǎng)絡(luò)建設(shè)的目的在于應(yīng)用，而應(yīng)用的基礎(chǔ)在于安全。隨著我廳電子政務(wù)的快速發(fā)展，我廳已建成內(nèi)外網(wǎng)物理分開(kāi)的局域網(wǎng)，該網(wǎng)上運(yùn)行有辦公自動(dòng)化、在線監(jiān)控、網(wǎng)上審批、排污申報(bào)、企業(yè)環(huán)境保護(hù)信用、電子公文傳輸系統(tǒng)、網(wǎng)站發(fā)布等多個(gè)應(yīng)用系統(tǒng)。如何確保網(wǎng)絡(luò)的安全暢通、保護(hù)信息數(shù)據(jù)安全、保障系統(tǒng)不被攻擊成為我廳信息化建設(shè)中一項(xiàng)重點(diǎn)工作。結(jié)合目前網(wǎng)絡(luò)、應(yīng)用環(huán)境，我廳從網(wǎng)絡(luò)層安全、應(yīng)用層安全、系統(tǒng)層安全入手，采用防火墻、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)殺毒、數(shù)據(jù)備份四大措施，構(gòu)成我廳網(wǎng)絡(luò)信息安全屏障，防止信息資源的價(jià)值不受損害，確保信息資源面臨最小的風(fēng)險(xiǎn)和獲取最大的安全利益，使信息化應(yīng)用服務(wù)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和信息化內(nèi)容能夠抵御安全的威脅而具有完整性、真實(shí)性、保密性、可用性和可控性的能力。

　　1運(yùn)用防火墻技術(shù)

　　網(wǎng)絡(luò)防火墻一般放在外網(wǎng)和內(nèi)網(wǎng)之間，作為局域網(wǎng)和外部公共網(wǎng)絡(luò)之間的第一道屏障，是各單位最先購(gòu)置的網(wǎng)絡(luò)安全產(chǎn)品之一。它的主要作用是加強(qiáng)網(wǎng)絡(luò)之間的訪問(wèn)控制，防止外部網(wǎng)絡(luò)的用戶采用非法的方式通過(guò)互聯(lián)網(wǎng)網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問(wèn)局域網(wǎng)內(nèi)部的網(wǎng)絡(luò)資源，保護(hù)局域網(wǎng)環(huán)境的網(wǎng)絡(luò)互聯(lián)設(shè)備。主要針對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來(lái)實(shí)施檢查，從而判定網(wǎng)絡(luò)之間的通信是否被允許，并且監(jiān)控網(wǎng)絡(luò)運(yùn)行狀態(tài)是否正常。我廳采用NGFW4000-UF（TG-5030）防火墻。該產(chǎn)品采用獨(dú)創(chuàng)的核檢測(cè)技術(shù)，在內(nèi)核上支持防病毒，防火墻能夠抵御synflood、smurfattack、teardropattack、pingofdeath、landbasedattack、pingsweep攻擊等多種DOS和DDOS攻擊。系統(tǒng)基于IP地址、端口、時(shí)間、用戶名、文件、網(wǎng)址、關(guān)鍵字、MAC地址等多種方式進(jìn)行訪問(wèn)控制。支持TOPSEC、OPSEC聯(lián)動(dòng)協(xié)議，能與國(guó)內(nèi)外主流IDS系統(tǒng)實(shí)現(xiàn)聯(lián)動(dòng)，保障系統(tǒng)的安全性。支持與交換機(jī)的Trunk接口連接，并且能夠?qū)崿F(xiàn)Vlan間行路由。通過(guò)防火墻把我廳網(wǎng)絡(luò)設(shè)備分為三個(gè)區(qū)：內(nèi)、中間區(qū)、外，其中WWW服務(wù)器、郵件服務(wù)器放在中間區(qū)，對(duì)不同的區(qū)配置不同的安全策略，如我們對(duì)外只允許http、pop3、smtp三種協(xié)議訪問(wèn)我廳網(wǎng)絡(luò)。通過(guò)對(duì)防火墻安全策略的有效設(shè)置，達(dá)到阻斷某些網(wǎng)站對(duì)我廳網(wǎng)絡(luò)訪問(wèn)的目的，徹底消除某些不良網(wǎng)站的潛在威脅，從網(wǎng)絡(luò)的最外層保護(hù)了信息安全。

　　2運(yùn)用入侵檢測(cè)系統(tǒng)

　　入侵檢測(cè)被是防火墻之后的第二道安全的閘門，它并行安裝在網(wǎng)絡(luò)中，在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行安全監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)有入侵行為特征的網(wǎng)絡(luò)行為，并向管理員進(jìn)行報(bào)警，由管理員及時(shí)采取安全措施，阻斷攻擊行為。入侵檢測(cè)系統(tǒng)也可以和防火墻和路由器配合工作來(lái)提高網(wǎng)絡(luò)安全。我廳采用的TYLMIDS是網(wǎng)絡(luò)攻擊和違規(guī)行為識(shí)別與響應(yīng)系統(tǒng)。該設(shè)備實(shí)時(shí)監(jiān)視系統(tǒng)審計(jì)信息和網(wǎng)絡(luò)上的數(shù)據(jù)流，分析通訊數(shù)據(jù)，尋找網(wǎng)絡(luò)上的攻擊行為和其它違規(guī)的網(wǎng)絡(luò)活動(dòng)。如果檢測(cè)到網(wǎng)絡(luò)上的攻擊和違規(guī)的網(wǎng)絡(luò)行為時(shí)，設(shè)備能夠按用戶設(shè)定的安全策略自動(dòng)進(jìn)行攻擊的響應(yīng)。該設(shè)備的控制核心是一個(gè)標(biāo)準(zhǔn)的安全資源管理平臺(tái)，不但可以管理探測(cè)器，還可以管理網(wǎng)絡(luò)中的防病毒、防火墻、交換機(jī)、路由器等網(wǎng)絡(luò)產(chǎn)品，同時(shí)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)產(chǎn)品的運(yùn)行狀態(tài)，CPU，內(nèi)存的運(yùn)行情況。這樣，該系統(tǒng)不僅可以被動(dòng)的監(jiān)視網(wǎng)絡(luò)情況，還可以主動(dòng)和防火墻等聯(lián)動(dòng)采取阻斷措施，使阻斷更有效，而且變?yōu)閯?dòng)態(tài)執(zhí)行。目前，我們通過(guò)該系統(tǒng)監(jiān)測(cè)交換機(jī)每個(gè)端口的計(jì)算機(jī)，發(fā)現(xiàn)數(shù)據(jù)量異常，通過(guò)關(guān)閉端口使該機(jī)器不能上網(wǎng)，然后通過(guò)監(jiān)測(cè)記錄分析機(jī)器大概中了哪種病毒，然后令其殺毒打補(bǔ)丁。該系統(tǒng)的使用大大提高了網(wǎng)絡(luò)的管理能力，提高了工作效率。實(shí)踐證明，入侵檢測(cè)系統(tǒng)是安全防御體系的一個(gè)重要組成部分，通過(guò)與防火墻聯(lián)動(dòng)，增強(qiáng)網(wǎng)絡(luò)防御能力。

　　3網(wǎng)絡(luò)殺毒

　　網(wǎng)絡(luò)層通信有防火墻和入侵檢測(cè)系統(tǒng)做防護(hù)，那么應(yīng)用層的病毒入侵也是對(duì)信息安全的一大威脅。我廳采用卡巴斯基殺毒軟件網(wǎng)絡(luò)版解決方案。它通過(guò)系統(tǒng)中心的統(tǒng)一管理，為我廳服務(wù)器、電腦提供靈活、方便的網(wǎng)絡(luò)防病毒支持，可以確保內(nèi)部網(wǎng)絡(luò)不受病毒侵?jǐn)_。系統(tǒng)中心部署在環(huán)保廳中心機(jī)房，對(duì)整個(gè)網(wǎng)絡(luò)終端設(shè)備實(shí)現(xiàn)遠(yuǎn)程管理、智能升級(jí)、遠(yuǎn)程報(bào)警、自動(dòng)分發(fā)等多種功能，高效地管理和保護(hù)所有的病毒入口。通過(guò)管理員控制臺(tái)軟件，管理員能夠在網(wǎng)絡(luò)內(nèi)任意計(jì)算機(jī)上實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的集中控制管理，監(jiān)測(cè)到整個(gè)網(wǎng)絡(luò)環(huán)境中各個(gè)節(jié)點(diǎn)的病毒監(jiān)測(cè)狀態(tài)。實(shí)現(xiàn)全面集中全網(wǎng)查殺毒、全網(wǎng)遠(yuǎn)程設(shè)置、遠(yuǎn)程殺毒、遠(yuǎn)程報(bào)警、集中式授權(quán)管理、移動(dòng)式管理、監(jiān)控郵件、監(jiān)控郵件客戶端等多種管理功能�？ò退够鶜⒍拒浖�網(wǎng)絡(luò)版提供多種升級(jí)方式及自動(dòng)分發(fā)的功能，并且支持多種的網(wǎng)絡(luò)連接方式，具有升級(jí)更加方便、更新及時(shí)的特點(diǎn)。網(wǎng)絡(luò)管理員可以十分輕松地按照事先設(shè)定的升級(jí)方式，實(shí)現(xiàn)全網(wǎng)內(nèi)設(shè)備防病毒庫(kù)的統(tǒng)一升級(jí)，而且盡快將新版本部署到全部計(jì)算機(jī)上，以保證卡巴斯基殺毒軟件網(wǎng)絡(luò)版保持最新版本的狀態(tài)，而且版本一致，杜絕由于版本不一致而可能造成的安全隱患、安全漏洞。在應(yīng)用層安全方面，我廳采用卡巴斯基防病毒軟件，形成信息安全的又一防護(hù)措施。

　　4數(shù)據(jù)備份

　　網(wǎng)絡(luò)、應(yīng)用環(huán)境安全了，那么系統(tǒng)層數(shù)據(jù)的安全就是最后一道需要防護(hù)的實(shí)體了。在過(guò)去實(shí)施數(shù)據(jù)備份前，我們對(duì)內(nèi)外網(wǎng)數(shù)據(jù)資源的備份基本上是本機(jī)人工備份的方式，存在不能實(shí)現(xiàn)在線備份、無(wú)法進(jìn)行集中等問(wèn)題，導(dǎo)致備份的人力和時(shí)間耗費(fèi)大、恢復(fù)慢等。伴隨著環(huán)保應(yīng)用系統(tǒng)的增加，數(shù)據(jù)量也呈現(xiàn)幾何級(jí)數(shù)的增加，人工備份無(wú)法滿足現(xiàn)階段工作的需要。急需搭建一個(gè)具高可用性、自動(dòng)化的數(shù)據(jù)備份恢復(fù)系統(tǒng)，如果系統(tǒng)出現(xiàn)異常情況，可以實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的快速恢復(fù)，以便將損失降到最低�，F(xiàn)在省環(huán)保廳應(yīng)用系統(tǒng)的數(shù)據(jù)主要分內(nèi)網(wǎng)數(shù)據(jù)和外網(wǎng)數(shù)據(jù)兩大部分。其中，內(nèi)網(wǎng)數(shù)據(jù)包括辦公自動(dòng)化、行政許可審批等業(yè)務(wù)數(shù)據(jù)，外網(wǎng)包括網(wǎng)站發(fā)布系統(tǒng)等，數(shù)據(jù)庫(kù)基本是SQLServer數(shù)據(jù)庫(kù)。對(duì)于這兩部分?jǐn)?shù)據(jù)系統(tǒng)，均需要實(shí)現(xiàn)實(shí)時(shí)自動(dòng)化的數(shù)據(jù)備份，因此數(shù)據(jù)備份軟件要能夠?qū)ο到y(tǒng)數(shù)據(jù)實(shí)現(xiàn)集中、統(tǒng)一、自動(dòng)化的備份。我廳采用集中統(tǒng)一的備份策略管理。通過(guò)VERITASNetbackupMasterServer，實(shí)現(xiàn)對(duì)所有數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)的備份工作集中的監(jiān)控與管理。該服務(wù)器同時(shí)部署了NBUMediaServer應(yīng)用，將本機(jī)的數(shù)據(jù)或客戶端的數(shù)據(jù)備份到磁帶庫(kù)中，實(shí)現(xiàn)數(shù)據(jù)介質(zhì)保存。NetBackup客戶端軟件安裝在其他非主要的服務(wù)器上，負(fù)責(zé)將各自服務(wù)器上的數(shù)據(jù)通過(guò)網(wǎng)絡(luò)傳送給主服務(wù)器以實(shí)現(xiàn)備份。SQLServer安裝了相應(yīng)的數(shù)據(jù)庫(kù)代理，實(shí)現(xiàn)了NetBackup與SQLServerAPI的集成，從而完成數(shù)據(jù)庫(kù)的在線熱備份。VERITASNetbackup提供了數(shù)據(jù)備份管理平臺(tái)以及一套完整的備份和恢復(fù)策略，從而實(shí)現(xiàn)了開(kāi)放、可靠、快速、自動(dòng)、實(shí)時(shí)的數(shù)據(jù)備份與恢復(fù)。系統(tǒng)管理員通過(guò)直觀的圖形管理界面，實(shí)時(shí)監(jiān)測(cè)備份過(guò)程、選定需要恢復(fù)的數(shù)據(jù)備份項(xiàng)目，保障了數(shù)據(jù)安全，確保了系統(tǒng)穩(wěn)定可靠的運(yùn)行，為業(yè)務(wù)的快速發(fā)展提供了堅(jiān)實(shí)保障。通過(guò)以上介紹，可以看出，我廳在信息安全上積極地采取了防護(hù)措施，采用了防火墻、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)防病毒軟件以及數(shù)據(jù)備份措施對(duì)網(wǎng)絡(luò)信息進(jìn)行防護(hù)，這套安全系統(tǒng)在運(yùn)行后，通過(guò)各種日志等可以看出他的成果，這套構(gòu)成四層防線的防護(hù)措施，確實(shí)為我們的網(wǎng)絡(luò)帶來(lái)了安全保障。信息安全是一個(gè)正在逐漸發(fā)展的行業(yè)，另外信息安全又是一個(gè)相對(duì)的概念，任何措施都不能保證網(wǎng)絡(luò)的絕對(duì)安全，所以我廳沒(méi)有一次性購(gòu)買齊備所有現(xiàn)有的安全設(shè)備，而是在不斷發(fā)展，不斷改進(jìn)中逐漸加入新的系統(tǒng)，就現(xiàn)在運(yùn)行的系統(tǒng)看，雖然已經(jīng)有了不錯(cuò)的功效，但是也還是可以繼續(xù)擴(kuò)充的，比如，可以增加漏洞掃描軟件，增加防木馬軟件等等。信息安全技術(shù)正在不斷發(fā)展，我廳會(huì)不斷地加強(qiáng)防護(hù)，為環(huán)保信息安全保駕護(hù)航。

【環(huán)保廳信息安全保障體系初探論文】相關(guān)文章：

高職信息安全保障體系構(gòu)建與運(yùn)用論文10-09

檔案信息安全平臺(tái)建設(shè)初探論文10-11

保障體系構(gòu)建下的檔案信息安全的研究論文10-09

數(shù)字檔案信息安全保障體系分析優(yōu)秀論文10-09

計(jì)算機(jī)網(wǎng)絡(luò)信息安全與防護(hù)措施初探論文10-11

網(wǎng)絡(luò)環(huán)境下檔案信息管理初探論文10-11

會(huì)計(jì)信息質(zhì)量保障體系的構(gòu)建論文10-09

高校檔案管理信息化初探管理論文10-10

醫(yī)院計(jì)算機(jī)信息管理系統(tǒng)建設(shè)初探的論文10-09

電子檔案的信息安全論文10-09