環(huán)保廳信息安全保障體系初探論文

　　摘要：本文介紹了河北省環(huán)保廳從網(wǎng)絡(luò)層、應(yīng)用層、系統(tǒng)層幾方面入手構(gòu)筑的系統(tǒng)信息安全保障體系，詳細論述了本單位采用的防火墻、入侵檢測、網(wǎng)絡(luò)殺毒、數(shù)據(jù)備份等系統(tǒng)的主要功能及在網(wǎng)絡(luò)信息安全防護發(fā)揮的作用。

　　【關(guān)鍵詞】信息安全；保障體系；防火墻技術(shù)

　　網(wǎng)絡(luò)殺毒信息化網(wǎng)絡(luò)建設(shè)的目的在于應(yīng)用，而應(yīng)用的基礎(chǔ)在于安全。隨著我廳電子政務(wù)的快速發(fā)展，我廳已建成內(nèi)外網(wǎng)物理分開的局域網(wǎng)，該網(wǎng)上運行有辦公自動化、在線監(jiān)控、網(wǎng)上審批、排污申報、企業(yè)環(huán)境保護信用、電子公文傳輸系統(tǒng)、網(wǎng)站發(fā)布等多個應(yīng)用系統(tǒng)。如何確保網(wǎng)絡(luò)的安全暢通、保護信息數(shù)據(jù)安全、保障系統(tǒng)不被攻擊成為我廳信息化建設(shè)中一項重點工作。結(jié)合目前網(wǎng)絡(luò)、應(yīng)用環(huán)境，我廳從網(wǎng)絡(luò)層安全、應(yīng)用層安全、系統(tǒng)層安全入手，采用防火墻、入侵檢測系統(tǒng)、網(wǎng)絡(luò)殺毒、數(shù)據(jù)備份四大措施，構(gòu)成我廳網(wǎng)絡(luò)信息安全屏障，防止信息資源的價值不受損害，確保信息資源面臨最小的風險和獲取最大的安全利益，使信息化應(yīng)用服務(wù)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和信息化內(nèi)容能夠抵御安全的威脅而具有完整性、真實性、保密性、可用性和可控性的能力。

　　1運用防火墻技術(shù)

　　網(wǎng)絡(luò)防火墻一般放在外網(wǎng)和內(nèi)網(wǎng)之間，作為局域網(wǎng)和外部公共網(wǎng)絡(luò)之間的第一道屏障，是各單位最先購置的網(wǎng)絡(luò)安全產(chǎn)品之一。它的主要作用是加強網(wǎng)絡(luò)之間的訪問控制，防止外部網(wǎng)絡(luò)的用戶采用非法的方式通過互聯(lián)網(wǎng)網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，訪問局域網(wǎng)內(nèi)部的網(wǎng)絡(luò)資源，保護局域網(wǎng)環(huán)境的網(wǎng)絡(luò)互聯(lián)設(shè)備。主要針對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實施檢查，從而判定網(wǎng)絡(luò)之間的通信是否被允許，并且監(jiān)控網(wǎng)絡(luò)運行狀態(tài)是否正常。我廳采用NGFW4000-UF（TG-5030）防火墻。該產(chǎn)品采用獨創(chuàng)的核檢測技術(shù)，在內(nèi)核上支持防病毒，防火墻能夠抵御synflood、smurfattack、teardropattack、pingofdeath、landbasedattack、pingsweep攻擊等多種DOS和DDOS攻擊。系統(tǒng)基于IP地址、端口、時間、用戶名、文件、網(wǎng)址、關(guān)鍵字、MAC地址等多種方式進行訪問控制。支持TOPSEC、OPSEC聯(lián)動協(xié)議，能與國內(nèi)外主流IDS系統(tǒng)實現(xiàn)聯(lián)動，保障系統(tǒng)的安全性。支持與交換機的Trunk接口連接，并且能夠?qū)崿F(xiàn)Vlan間行路由。通過防火墻把我廳網(wǎng)絡(luò)設(shè)備分為三個區(qū)：內(nèi)、中間區(qū)、外，其中WWW服務(wù)器、郵件服務(wù)器放在中間區(qū)，對不同的區(qū)配置不同的安全策略，如我們對外只允許http、pop3、smtp三種協(xié)議訪問我廳網(wǎng)絡(luò)。通過對防火墻安全策略的有效設(shè)置，達到阻斷某些網(wǎng)站對我廳網(wǎng)絡(luò)訪問的目的，徹底消除某些不良網(wǎng)站的潛在威脅，從網(wǎng)絡(luò)的最外層保護了信息安全。

　　2運用入侵檢測系統(tǒng)

　　入侵檢測被是防火墻之后的第二道安全的閘門，它并行安裝在網(wǎng)絡(luò)中，在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行安全監(jiān)測，及時發(fā)現(xiàn)有入侵行為特征的網(wǎng)絡(luò)行為，并向管理員進行報警，由管理員及時采取安全措施，阻斷攻擊行為。入侵檢測系統(tǒng)也可以和防火墻和路由器配合工作來提高網(wǎng)絡(luò)安全。我廳采用的TYLMIDS是網(wǎng)絡(luò)攻擊和違規(guī)行為識別與響應(yīng)系統(tǒng)。該設(shè)備實時監(jiān)視系統(tǒng)審計信息和網(wǎng)絡(luò)上的數(shù)據(jù)流，分析通訊數(shù)據(jù)，尋找網(wǎng)絡(luò)上的攻擊行為和其它違規(guī)的網(wǎng)絡(luò)活動。如果檢測到網(wǎng)絡(luò)上的攻擊和違規(guī)的網(wǎng)絡(luò)行為時，設(shè)備能夠按用戶設(shè)定的安全策略自動進行攻擊的響應(yīng)。該設(shè)備的控制核心是一個標準的安全資源管理平臺，不但可以管理探測器，還可以管理網(wǎng)絡(luò)中的防病毒、防火墻、交換機、路由器等網(wǎng)絡(luò)產(chǎn)品，同時實時監(jiān)控網(wǎng)絡(luò)產(chǎn)品的運行狀態(tài)，CPU，內(nèi)存的運行情況。這樣，該系統(tǒng)不僅可以被動的監(jiān)視網(wǎng)絡(luò)情況，還可以主動和防火墻等聯(lián)動采取阻斷措施，使阻斷更有效，而且變?yōu)閯討B(tài)執(zhí)行。目前，我們通過該系統(tǒng)監(jiān)測交換機每個端口的計算機，發(fā)現(xiàn)數(shù)據(jù)量異常，通過關(guān)閉端口使該機器不能上網(wǎng)，然后通過監(jiān)測記錄分析機器大概中了哪種病毒，然后令其殺毒打補丁。該系統(tǒng)的使用大大提高了網(wǎng)絡(luò)的管理能力，提高了工作效率。實踐證明，入侵檢測系統(tǒng)是安全防御體系的一個重要組成部分，通過與防火墻聯(lián)動，增強網(wǎng)絡(luò)防御能力。

　　3網(wǎng)絡(luò)殺毒

　　網(wǎng)絡(luò)層通信有防火墻和入侵檢測系統(tǒng)做防護，那么應(yīng)用層的病毒入侵也是對信息安全的一大威脅。我廳采用卡巴斯基殺毒軟件網(wǎng)絡(luò)版解決方案。它通過系統(tǒng)中心的統(tǒng)一管理，為我廳服務(wù)器、電腦提供靈活、方便的網(wǎng)絡(luò)防病毒支持，可以確保內(nèi)部網(wǎng)絡(luò)不受病毒侵擾。系統(tǒng)中心部署在環(huán)保廳中心機房，對整個網(wǎng)絡(luò)終端設(shè)備實現(xiàn)遠程管理、智能升級、遠程報警、自動分發(fā)等多種功能，高效地管理和保護所有的病毒入口。通過管理員控制臺軟件，管理員能夠在網(wǎng)絡(luò)內(nèi)任意計算機上實現(xiàn)對整個網(wǎng)絡(luò)的集中控制管理，監(jiān)測到整個網(wǎng)絡(luò)環(huán)境中各個節(jié)點的病毒監(jiān)測狀態(tài)。實現(xiàn)全面集中全網(wǎng)查殺毒、全網(wǎng)遠程設(shè)置、遠程殺毒、遠程報警、集中式授權(quán)管理、移動式管理、監(jiān)控郵件、監(jiān)控郵件客戶端等多種管理功能�？ò退够鶜⒍拒浖�網(wǎng)絡(luò)版提供多種升級方式及自動分發(fā)的功能，并且支持多種的網(wǎng)絡(luò)連接方式，具有升級更加方便、更新及時的特點。網(wǎng)絡(luò)管理員可以十分輕松地按照事先設(shè)定的升級方式，實現(xiàn)全網(wǎng)內(nèi)設(shè)備防病毒庫的統(tǒng)一升級，而且盡快將新版本部署到全部計算機上，以保證卡巴斯基殺毒軟件網(wǎng)絡(luò)版保持最新版本的狀態(tài)，而且版本一致，杜絕由于版本不一致而可能造成的安全隱患、安全漏洞。在應(yīng)用層安全方面，我廳采用卡巴斯基防病毒軟件，形成信息安全的又一防護措施。

　　4數(shù)據(jù)備份

　　網(wǎng)絡(luò)、應(yīng)用環(huán)境安全了，那么系統(tǒng)層數(shù)據(jù)的安全就是最后一道需要防護的實體了。在過去實施數(shù)據(jù)備份前，我們對內(nèi)外網(wǎng)數(shù)據(jù)資源的備份基本上是本機人工備份的方式，存在不能實現(xiàn)在線備份、無法進行集中等問題，導致備份的人力和時間耗費大、恢復(fù)慢等。伴隨著環(huán)保應(yīng)用系統(tǒng)的增加，數(shù)據(jù)量也呈現(xiàn)幾何級數(shù)的增加，人工備份無法滿足現(xiàn)階段工作的需要。急需搭建一個具高可用性、自動化的數(shù)據(jù)備份恢復(fù)系統(tǒng)，如果系統(tǒng)出現(xiàn)異常情況，可以實現(xiàn)業(yè)務(wù)系統(tǒng)的快速恢復(fù)，以便將損失降到最低�，F(xiàn)在省環(huán)保廳應(yīng)用系統(tǒng)的數(shù)據(jù)主要分內(nèi)網(wǎng)數(shù)據(jù)和外網(wǎng)數(shù)據(jù)兩大部分。其中，內(nèi)網(wǎng)數(shù)據(jù)包括辦公自動化、行政許可審批等業(yè)務(wù)數(shù)據(jù)，外網(wǎng)包括網(wǎng)站發(fā)布系統(tǒng)等，數(shù)據(jù)庫基本是SQLServer數(shù)據(jù)庫。對于這兩部分數(shù)據(jù)系統(tǒng)，均需要實現(xiàn)實時自動化的數(shù)據(jù)備份，因此數(shù)據(jù)備份軟件要能夠?qū)ο到y(tǒng)數(shù)據(jù)實現(xiàn)集中、統(tǒng)一、自動化的備份。我廳采用集中統(tǒng)一的備份策略管理。通過VERITASNetbackupMasterServer，實現(xiàn)對所有數(shù)據(jù)庫和應(yīng)用系統(tǒng)的備份工作集中的監(jiān)控與管理。該服務(wù)器同時部署了NBUMediaServer應(yīng)用，將本機的數(shù)據(jù)或客戶端的數(shù)據(jù)備份到磁帶庫中，實現(xiàn)數(shù)據(jù)介質(zhì)保存。NetBackup客戶端軟件安裝在其他非主要的服務(wù)器上，負責將各自服務(wù)器上的數(shù)據(jù)通過網(wǎng)絡(luò)傳送給主服務(wù)器以實現(xiàn)備份。SQLServer安裝了相應(yīng)的數(shù)據(jù)庫代理，實現(xiàn)了NetBackup與SQLServerAPI的集成，從而完成數(shù)據(jù)庫的在線熱備份。VERITASNetbackup提供了數(shù)據(jù)備份管理平臺以及一套完整的備份和恢復(fù)策略，從而實現(xiàn)了開放、可靠、快速、自動、實時的數(shù)據(jù)備份與恢復(fù)。系統(tǒng)管理員通過直觀的圖形管理界面，實時監(jiān)測備份過程、選定需要恢復(fù)的數(shù)據(jù)備份項目，保障了數(shù)據(jù)安全，確保了系統(tǒng)穩(wěn)定可靠的運行，為業(yè)務(wù)的快速發(fā)展提供了堅實保障。通過以上介紹，可以看出，我廳在信息安全上積極地采取了防護措施，采用了防火墻、入侵檢測系統(tǒng)、網(wǎng)絡(luò)防病毒軟件以及數(shù)據(jù)備份措施對網(wǎng)絡(luò)信息進行防護，這套安全系統(tǒng)在運行后，通過各種日志等可以看出他的成果，這套構(gòu)成四層防線的防護措施，確實為我們的網(wǎng)絡(luò)帶來了安全保障。信息安全是一個正在逐漸發(fā)展的行業(yè)，另外信息安全又是一個相對的概念，任何措施都不能保證網(wǎng)絡(luò)的絕對安全，所以我廳沒有一次性購買齊備所有現(xiàn)有的安全設(shè)備，而是在不斷發(fā)展，不斷改進中逐漸加入新的系統(tǒng)，就現(xiàn)在運行的系統(tǒng)看，雖然已經(jīng)有了不錯的功效，但是也還是可以繼續(xù)擴充的，比如，可以增加漏洞掃描軟件，增加防木馬軟件等等。信息安全技術(shù)正在不斷發(fā)展，我廳會不斷地加強防護，為環(huán)保信息安全保駕護航。

【環(huán)保廳信息安全保障體系初探論文】相關(guān)文章：

高職信息安全保障體系構(gòu)建與運用論文10-09

檔案信息安全平臺建設(shè)初探論文10-11

保障體系構(gòu)建下的檔案信息安全的研究論文10-09

數(shù)字檔案信息安全保障體系分析優(yōu)秀論文10-09

計算機網(wǎng)絡(luò)信息安全與防護措施初探論文10-11

網(wǎng)絡(luò)環(huán)境下檔案信息管理初探論文10-11

會計信息質(zhì)量保障體系的構(gòu)建論文10-09

高校檔案管理信息化初探管理論文10-10

醫(yī)院計算機信息管理系統(tǒng)建設(shè)初探的論文10-09

電子檔案的信息安全論文10-09