導(dǎo)語(yǔ)：路網(wǎng)管理的信息安全加固方案研究一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1信息安全的組成

1.1網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要通過(guò)硬件防火墻及防病毒系統(tǒng)來(lái)實(shí)現(xiàn)。硬件防火墻可以將整個(gè)網(wǎng)絡(luò)有效分隔為內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)以及中立區(qū)，通過(guò)對(duì)每個(gè)區(qū)域配置不同的安全級(jí)別，可以保證核心業(yè)務(wù)系統(tǒng)的安全。防病毒系統(tǒng)用于保護(hù)整個(gè)網(wǎng)絡(luò)避免受到病毒的入侵。

1.2數(shù)據(jù)安全

數(shù)據(jù)安全包括數(shù)據(jù)備份恢復(fù)、數(shù)據(jù)庫(kù)安全管理、訪問(wèn)控制以及系統(tǒng)數(shù)據(jù)加密。數(shù)據(jù)存儲(chǔ)以及關(guān)鍵應(yīng)用服務(wù)器均按照硬件冗余和數(shù)據(jù)備份方式配置。數(shù)據(jù)庫(kù)系統(tǒng)通過(guò)數(shù)據(jù)庫(kù)權(quán)限控制、身份認(rèn)證、審計(jì)以及檢查數(shù)據(jù)完整性和一致性加以保護(hù)。訪問(wèn)控制通過(guò)劃分不同的VLAN以及設(shè)置訪問(wèn)控制列表，對(duì)主機(jī)之間的訪問(wèn)進(jìn)行控制。系統(tǒng)數(shù)據(jù)加密考慮備份數(shù)據(jù)及傳輸數(shù)據(jù)進(jìn)行加密，保證系統(tǒng)專有信息的安全及保護(hù)。

2系統(tǒng)現(xiàn)狀

2.1現(xiàn)有系統(tǒng)構(gòu)成

目前，路政分局路網(wǎng)管理系統(tǒng)劃分為六大區(qū)域，即辦公網(wǎng)區(qū)域、遠(yuǎn)程接入設(shè)備區(qū)域、視頻會(huì)議終端區(qū)域、控制室接入?yún)^(qū)域、服務(wù)器區(qū)域以及核心網(wǎng)絡(luò)設(shè)備區(qū)域，如圖1所示。

2.2安全防護(hù)現(xiàn)狀

在機(jī)房及監(jiān)控室設(shè)置了防靜電地板、溫濕度表、門禁系統(tǒng)、不間斷電源系統(tǒng)等，從物理上保護(hù)信息安全。在政務(wù)外網(wǎng)出口處部署了防火墻系統(tǒng)，實(shí)現(xiàn)辦公終端區(qū)域、路網(wǎng)管理業(yè)務(wù)區(qū)及市政務(wù)外網(wǎng)3個(gè)區(qū)域之間的邏輯隔離，防止非授權(quán)人員的分發(fā)訪問(wèn)，保證業(yè)務(wù)系統(tǒng)的正常運(yùn)行。在廣域網(wǎng)(如中國(guó)聯(lián)通IP專網(wǎng)、中國(guó)電信CD-MA)與路政分局內(nèi)部局域網(wǎng)之間部署了防火墻系統(tǒng)，實(shí)現(xiàn)分局內(nèi)部局域網(wǎng)與廣域網(wǎng)之間的邏輯隔離，防止來(lái)自外部人員的非法探測(cè)與攻擊，保證內(nèi)網(wǎng)安全。在內(nèi)網(wǎng)中部署網(wǎng)絡(luò)版防病毒系統(tǒng)、網(wǎng)頁(yè)防篡改系統(tǒng)、入侵檢測(cè)設(shè)備以及漏洞掃描系統(tǒng)，用于防御病毒、木馬等惡意代碼的傳播，保障重要WEB服務(wù)器數(shù)據(jù)的完整性和可靠性，及時(shí)發(fā)現(xiàn)內(nèi)網(wǎng)中的安全隱患，有效地防止內(nèi)部人員的故意犯罪。建立全網(wǎng)統(tǒng)一身份認(rèn)證及授權(quán)系統(tǒng)，確保用戶身份的安全性和可靠性，并在此基礎(chǔ)上實(shí)現(xiàn)了全面靈活的用戶授權(quán)管理。

2.3存在風(fēng)險(xiǎn)

(1)內(nèi)部終端主機(jī)未設(shè)置監(jiān)控與審計(jì)，將出現(xiàn)非法外聯(lián)等非授權(quán)訪問(wèn)控制事件。(2)內(nèi)網(wǎng)未部署安全審計(jì)系統(tǒng)，無(wú)法控制用戶上網(wǎng)行為、重要業(yè)務(wù)系統(tǒng)及重要數(shù)據(jù)庫(kù)系統(tǒng)。(3)內(nèi)網(wǎng)出口處未部署應(yīng)用層攻擊檢測(cè)與阻斷設(shè)備，應(yīng)用層不可避免會(huì)受到各種攻擊。

3信息安全加固方案

3.1信息安全要求

路政分局路網(wǎng)管理系統(tǒng)必須按照國(guó)標(biāo)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239)中二級(jí)安全等級(jí)防護(hù)要求。第二級(jí)安全保護(hù)能力要求:應(yīng)能夠防護(hù)系統(tǒng)免受來(lái)自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。

3.2實(shí)施方案

根據(jù)路政分局的實(shí)際安全需求，參照等級(jí)保護(hù)的相關(guān)要求，通過(guò)采用安全審計(jì)技術(shù)、內(nèi)網(wǎng)管理技術(shù)以及入侵保護(hù)技術(shù)，加固現(xiàn)有網(wǎng)絡(luò)安全，以保障路政分局業(yè)務(wù)的持續(xù)正常運(yùn)行，如圖2路所示。(1)安全審計(jì)系統(tǒng)安全審計(jì)系統(tǒng)對(duì)系統(tǒng)運(yùn)維信息、上網(wǎng)行為、數(shù)據(jù)圖2路政分局路網(wǎng)管理系統(tǒng)構(gòu)成圖(加固)庫(kù)操作行為、網(wǎng)絡(luò)流量進(jìn)行審計(jì)，并實(shí)現(xiàn)日志的統(tǒng)一保存。(2)內(nèi)網(wǎng)安全管理系統(tǒng)內(nèi)網(wǎng)安全管理系統(tǒng)在產(chǎn)品安裝部署前保證所有終端與策略管理中心通過(guò)TCP/IP協(xié)議可以互聯(lián)互通。策略管理中心部署在路政分局路網(wǎng)管理系統(tǒng)和OA系統(tǒng)業(yè)務(wù)系統(tǒng)的安全管理區(qū)域。安全部署在內(nèi)部網(wǎng)絡(luò)所有終端設(shè)備以及移動(dòng)設(shè)備上。內(nèi)網(wǎng)安全管理系統(tǒng)不僅能對(duì)內(nèi)網(wǎng)終端進(jìn)行身份認(rèn)證和安全檢查，防止內(nèi)網(wǎng)終端非法外聯(lián)行為，還能實(shí)現(xiàn)對(duì)內(nèi)部終端用戶行為進(jìn)行審計(jì)。(3)入侵保護(hù)系統(tǒng)入侵保護(hù)系統(tǒng)部署在電子政務(wù)外網(wǎng)出口防火墻、遠(yuǎn)程接入防火墻與路網(wǎng)管理系統(tǒng)核心交換機(jī)與之間，防御來(lái)自政務(wù)外網(wǎng)、中國(guó)聯(lián)通IP網(wǎng)、中國(guó)電信CD-MA網(wǎng)絡(luò)的基于應(yīng)用層的各種攻擊。入侵保護(hù)系統(tǒng)高度融合高性能、高安全性、高可靠性和易操作性等特性，具備深度入侵防御、精細(xì)流量控制，以及全面用戶上網(wǎng)行為監(jiān)管等3大功能。

4結(jié)語(yǔ)

本文通過(guò)分析路政分局路網(wǎng)管理系統(tǒng)的現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)存在的危害及風(fēng)險(xiǎn)，結(jié)合安全審計(jì)、內(nèi)網(wǎng)管理、入侵保護(hù)等信息安全技術(shù)，系統(tǒng)性提出了信息安全加固方案。路政分局路網(wǎng)管理系統(tǒng)經(jīng)過(guò)信息安全加固，在網(wǎng)絡(luò)安全及數(shù)據(jù)安全方面得到了加強(qiáng)，有效地避免了數(shù)據(jù)被盜、惡意篡改等風(fēng)險(xiǎn)，對(duì)主機(jī)的上網(wǎng)、操作等行為實(shí)時(shí)監(jiān)控。

本文作者：俞惠菊王寧工作單位：交通運(yùn)輸部公路科學(xué)研究院