環(huán)保廳信息安全保障體系初探論文

　　摘要：本文介紹了河北省環(huán)保廳從網(wǎng)絡(luò )層、應用層、系統層幾方面入手構筑的系統信息安全保障體系，詳細論述了本單位采用的防火墻、入侵檢測、網(wǎng)絡(luò )殺毒、數據備份等系統的主要功能及在網(wǎng)絡(luò )信息安全防護發(fā)揮的作用。

　　【關(guān)鍵詞】信息安全；保障體系；防火墻技術(shù)

　　網(wǎng)絡(luò )殺毒信息化網(wǎng)絡(luò )建設的目的在于應用，而應用的基礎在于安全。隨著(zhù)我廳電子政務(wù)的快速發(fā)展，我廳已建成內外網(wǎng)物理分開(kāi)的局域網(wǎng)，該網(wǎng)上運行有辦公自動(dòng)化、在線(xiàn)監控、網(wǎng)上審批、排污申報、企業(yè)環(huán)境保護信用、電子公文傳輸系統、網(wǎng)站發(fā)布等多個(gè)應用系統。如何確保網(wǎng)絡(luò )的安全暢通、保護信息數據安全、保障系統不被攻擊成為我廳信息化建設中一項重點(diǎn)工作。結合目前網(wǎng)絡(luò )、應用環(huán)境，我廳從網(wǎng)絡(luò )層安全、應用層安全、系統層安全入手，采用防火墻、入侵檢測系統、網(wǎng)絡(luò )殺毒、數據備份四大措施，構成我廳網(wǎng)絡(luò )信息安全屏障，防止信息資源的價(jià)值不受損害，確保信息資源面臨最小的風(fēng)險和獲取最大的安全利益，使信息化應用服務(wù)、網(wǎng)絡(luò )基礎設施和信息化內容能夠抵御安全的威脅而具有完整性、真實(shí)性、保密性、可用性和可控性的能力。

　　1運用防火墻技術(shù)

　　網(wǎng)絡(luò )防火墻一般放在外網(wǎng)和內網(wǎng)之間，作為局域網(wǎng)和外部公共網(wǎng)絡(luò )之間的第一道屏障，是各單位最先購置的網(wǎng)絡(luò )安全產(chǎn)品之一。它的主要作用是加強網(wǎng)絡(luò )之間的訪(fǎng)問(wèn)控制，防止外部網(wǎng)絡(luò )的用戶(hù)采用非法的方式通過(guò)互聯(lián)網(wǎng)網(wǎng)絡(luò )進(jìn)入內部網(wǎng)絡(luò )，訪(fǎng)問(wèn)局域網(wǎng)內部的網(wǎng)絡(luò )資源，保護局域網(wǎng)環(huán)境的網(wǎng)絡(luò )互聯(lián)設備。主要針對兩個(gè)或多個(gè)網(wǎng)絡(luò )之間傳輸的數據包按照一定的安全策略來(lái)實(shí)施檢查，從而判定網(wǎng)絡(luò )之間的通信是否被允許，并且監控網(wǎng)絡(luò )運行狀態(tài)是否正常。我廳采用NGFW4000-UF（TG-5030）防火墻。該產(chǎn)品采用獨創(chuàng )的核檢測技術(shù)，在內核上支持防病毒，防火墻能夠抵御synflood、smurfattack、teardropattack、pingofdeath、landbasedattack、pingsweep攻擊等多種DOS和DDOS攻擊。系統基于IP地址、端口、時(shí)間、用戶(hù)名、文件、網(wǎng)址、關(guān)鍵字、MAC地址等多種方式進(jìn)行訪(fǎng)問(wèn)控制。支持TOPSEC、OPSEC聯(lián)動(dòng)協(xié)議，能與國內外主流IDS系統實(shí)現聯(lián)動(dòng)，保障系統的安全性。支持與交換機的Trunk接口連接，并且能夠實(shí)現Vlan間行路由。通過(guò)防火墻把我廳網(wǎng)絡(luò )設備分為三個(gè)區：內、中間區、外，其中WWW服務(wù)器、郵件服務(wù)器放在中間區，對不同的區配置不同的安全策略，如我們對外只允許http、pop3、smtp三種協(xié)議訪(fǎng)問(wèn)我廳網(wǎng)絡(luò )。通過(guò)對防火墻安全策略的有效設置，達到阻斷某些網(wǎng)站對我廳網(wǎng)絡(luò )訪(fǎng)問(wèn)的目的，徹底消除某些不良網(wǎng)站的潛在威脅，從網(wǎng)絡(luò )的最外層保護了信息安全。

　　2運用入侵檢測系統

　　入侵檢測被是防火墻之后的第二道安全的閘門(mén)，它并行安裝在網(wǎng)絡(luò )中，在不影響網(wǎng)絡(luò )性能的情況下對網(wǎng)絡(luò )進(jìn)行安全監測，及時(shí)發(fā)現有入侵行為特征的網(wǎng)絡(luò )行為，并向管理員進(jìn)行報警，由管理員及時(shí)采取安全措施，阻斷攻擊行為。入侵檢測系統也可以和防火墻和路由器配合工作來(lái)提高網(wǎng)絡(luò )安全。我廳采用的TYLMIDS是網(wǎng)絡(luò )攻擊和違規行為識別與響應系統。該設備實(shí)時(shí)監視系統審計信息和網(wǎng)絡(luò )上的數據流，分析通訊數據，尋找網(wǎng)絡(luò )上的攻擊行為和其它違規的網(wǎng)絡(luò )活動(dòng)。如果檢測到網(wǎng)絡(luò )上的攻擊和違規的網(wǎng)絡(luò )行為時(shí)，設備能夠按用戶(hù)設定的安全策略自動(dòng)進(jìn)行攻擊的響應。該設備的控制核心是一個(gè)標準的安全資源管理平臺，不但可以管理探測器，還可以管理網(wǎng)絡(luò )中的防病毒、防火墻、交換機、路由器等網(wǎng)絡(luò )產(chǎn)品，同時(shí)實(shí)時(shí)監控網(wǎng)絡(luò )產(chǎn)品的運行狀態(tài)，CPU，內存的運行情況。這樣，該系統不僅可以被動(dòng)的監視網(wǎng)絡(luò )情況，還可以主動(dòng)和防火墻等聯(lián)動(dòng)采取阻斷措施，使阻斷更有效，而且變?yōu)閯?dòng)態(tài)執行。目前，我們通過(guò)該系統監測交換機每個(gè)端口的計算機，發(fā)現數據量異常，通過(guò)關(guān)閉端口使該機器不能上網(wǎng)，然后通過(guò)監測記錄分析機器大概中了哪種病毒，然后令其殺毒打補丁。該系統的使用大大提高了網(wǎng)絡(luò )的管理能力，提高了工作效率。實(shí)踐證明，入侵檢測系統是安全防御體系的一個(gè)重要組成部分，通過(guò)與防火墻聯(lián)動(dòng)，增強網(wǎng)絡(luò )防御能力。

　　3網(wǎng)絡(luò )殺毒

　　網(wǎng)絡(luò )層通信有防火墻和入侵檢測系統做防護，那么應用層的病毒入侵也是對信息安全的一大威脅。我廳采用卡巴斯基殺毒軟件網(wǎng)絡(luò )版解決方案。它通過(guò)系統中心的統一管理，為我廳服務(wù)器、電腦提供靈活、方便的網(wǎng)絡(luò )防病毒支持，可以確保內部網(wǎng)絡(luò )不受病毒侵擾。系統中心部署在環(huán)保廳中心機房，對整個(gè)網(wǎng)絡(luò )終端設備實(shí)現遠程管理、智能升級、遠程報警、自動(dòng)分發(fā)等多種功能，高效地管理和保護所有的病毒入口。通過(guò)管理員控制臺軟件，管理員能夠在網(wǎng)絡(luò )內任意計算機上實(shí)現對整個(gè)網(wǎng)絡(luò )的集中控制管理，監測到整個(gè)網(wǎng)絡(luò )環(huán)境中各個(gè)節點(diǎn)的病毒監測狀態(tài)。實(shí)現全面集中全網(wǎng)查殺毒、全網(wǎng)遠程設置、遠程殺毒、遠程報警、集中式授權管理、移動(dòng)式管理、監控郵件、監控郵件客戶(hù)端等多種管理功能�？ò退够鶜⒍拒浖�網(wǎng)絡(luò )版提供多種升級方式及自動(dòng)分發(fā)的功能，并且支持多種的網(wǎng)絡(luò )連接方式，具有升級更加方便、更新及時(shí)的特點(diǎn)。網(wǎng)絡(luò )管理員可以十分輕松地按照事先設定的升級方式，實(shí)現全網(wǎng)內設備防病毒庫的統一升級，而且盡快將新版本部署到全部計算機上，以保證卡巴斯基殺毒軟件網(wǎng)絡(luò )版保持最新版本的狀態(tài)，而且版本一致，杜絕由于版本不一致而可能造成的安全隱患、安全漏洞。在應用層安全方面，我廳采用卡巴斯基防病毒軟件，形成信息安全的又一防護措施。

　　4數據備份

　　網(wǎng)絡(luò )、應用環(huán)境安全了，那么系統層數據的安全就是最后一道需要防護的實(shí)體了。在過(guò)去實(shí)施數據備份前，我們對內外網(wǎng)數據資源的備份基本上是本機人工備份的方式，存在不能實(shí)現在線(xiàn)備份、無(wú)法進(jìn)行集中等問(wèn)題，導致備份的人力和時(shí)間耗費大、恢復慢等。伴隨著(zhù)環(huán)保應用系統的增加，數據量也呈現幾何級數的增加，人工備份無(wú)法滿(mǎn)足現階段工作的需要。急需搭建一個(gè)具高可用性、自動(dòng)化的數據備份恢復系統，如果系統出現異常情況，可以實(shí)現業(yè)務(wù)系統的快速恢復，以便將損失降到最低�，F在省環(huán)保廳應用系統的數據主要分內網(wǎng)數據和外網(wǎng)數據兩大部分。其中，內網(wǎng)數據包括辦公自動(dòng)化、行政許可審批等業(yè)務(wù)數據，外網(wǎng)包括網(wǎng)站發(fā)布系統等，數據庫基本是SQLServer數據庫。對于這兩部分數據系統，均需要實(shí)現實(shí)時(shí)自動(dòng)化的數據備份，因此數據備份軟件要能夠對系統數據實(shí)現集中、統一、自動(dòng)化的備份。我廳采用集中統一的備份策略管理。通過(guò)VERITASNetbackupMasterServer，實(shí)現對所有數據庫和應用系統的備份工作集中的監控與管理。該服務(wù)器同時(shí)部署了NBUMediaServer應用，將本機的數據或客戶(hù)端的數據備份到磁帶庫中，實(shí)現數據介質(zhì)保存。NetBackup客戶(hù)端軟件安裝在其他非主要的服務(wù)器上，負責將各自服務(wù)器上的數據通過(guò)網(wǎng)絡(luò )傳送給主服務(wù)器以實(shí)現備份。SQLServer安裝了相應的數據庫代理，實(shí)現了NetBackup與SQLServerAPI的集成，從而完成數據庫的在線(xiàn)熱備份。VERITASNetbackup提供了數據備份管理平臺以及一套完整的備份和恢復策略，從而實(shí)現了開(kāi)放、可靠、快速、自動(dòng)、實(shí)時(shí)的數據備份與恢復。系統管理員通過(guò)直觀(guān)的圖形管理界面，實(shí)時(shí)監測備份過(guò)程、選定需要恢復的數據備份項目，保障了數據安全，確保了系統穩定可靠的運行，為業(yè)務(wù)的快速發(fā)展提供了堅實(shí)保障。通過(guò)以上介紹，可以看出，我廳在信息安全上積極地采取了防護措施，采用了防火墻、入侵檢測系統、網(wǎng)絡(luò )防病毒軟件以及數據備份措施對網(wǎng)絡(luò )信息進(jìn)行防護，這套安全系統在運行后，通過(guò)各種日志等可以看出他的成果，這套構成四層防線(xiàn)的防護措施，確實(shí)為我們的網(wǎng)絡(luò )帶來(lái)了安全保障。信息安全是一個(gè)正在逐漸發(fā)展的行業(yè)，另外信息安全又是一個(gè)相對的概念，任何措施都不能保證網(wǎng)絡(luò )的絕對安全，所以我廳沒(méi)有一次性購買(mǎi)齊備所有現有的安全設備，而是在不斷發(fā)展，不斷改進(jìn)中逐漸加入新的系統，就現在運行的系統看，雖然已經(jīng)有了不錯的功效，但是也還是可以繼續擴充的，比如，可以增加漏洞掃描軟件，增加防木馬軟件等等。信息安全技術(shù)正在不斷發(fā)展，我廳會(huì )不斷地加強防護，為環(huán)保信息安全保駕護航。

【環(huán)保廳信息安全保障體系初探論文】相關(guān)文章：

網(wǎng)絡(luò )信息安全與防范論文05-23

網(wǎng)絡(luò )信息安全與防范論文11-05

計算機信息安全論文09-15

信息安全管理論文06-20

信息安全管理論文11-10

計算機信息安全論文05-21

網(wǎng)絡(luò )信息安全與防范論文[合集]05-25

信息安全管理論文(通用)06-14

計算機信息安全論文【精華】11-14

信息安全管理論文經(jīng)典15篇06-21