1、路网管理的信息平安加固方案研究 1信息平安的组成 1.1网络平安 网络平安主要通过硬件防火墙及防病毒系统来实现。硬件防火墙可以将整个网络有效分隔为内部网络、外部网络以及中立区,通过对每个区域配置不同的平安级别,可以保证核心业务系统的平安。防病毒系统用于保护整个网络防止受到病毒的入侵。 1.2数据平安 数据平安包括数据备份恢复、数据库平安管理、访问控制以及系统数据加密。数据存储以及关键应用效劳器均按照硬件冗余和数据备份方式配置。数据库系统通过数据库权限控制、身份认证、审计以及检查数据完整性和一致性加以保护。访问控制通过划分不同的vlan以及设置访问控制列表,对主机之间的访问进行控制。系统数据加密
2、考虑备份数据及传输数据进行加密,保证系统专有信息的平安及保护。 2系统现状 2.1现有系统构成 目前,路政分局路网管理系统划分为六大区域,即办公网区域、远程接入设备区域、视频会议终端区域、控制室接入区域、效劳器区域以及核心网络设备区域,如图1所示。 2.2平安防护现状 在机房及监控室设置了防静电地板、温湿度表、门禁系统、不间断电源系统等,从物理上保护信息平安。在政务外网出口处部署了防火墙系统,实现办公终端区域、路网管理业务区及市政务外网3个区域之间的逻辑隔离,防止非授权人员的分发访问,保证业务系统的正常运行。在广域网(如中国联通ip专网、中国电信cd-ma)与路政分局内部局域网之间部署了防火墙
3、系统,实现分局内部局域网与广域网之间的逻辑隔离,防止来自外部人员的非法探测与攻击,保证内网平安。在内网中部署网络版防病毒系统、网页防篡改系统、入侵检测设备以及漏洞扫描系统,用于防御病毒、木马等恶意代码的传播,保障重要web效劳器数据的完整性和可靠性,及时发现内网中的平安隐患,有效地防止内部人员的成心犯罪。建立全网统一身份认证及授权系统,确保用户身份的平安性和可靠性,并在此根底上实现了全面灵活的用户授权管理。 2.3存在风险 (1)内部终端主机未设置监控与审计,将出现非法外联等非授权访问控制事件。(2)内网未部署平安审计系统,无法控制用户上网行为、重要业务系统及重要数据库系统。(3)内网出口处未
4、部署应用层攻击检测与阻断设备,应用层不可防止会受到各种攻击。 3信息平安加固方案 3.1信息平安要求 路政分局路网管理系统必须按照国标信息平安技术信息系统平安等级保护根本要求(gb/t22239)中二级平安等级防护要求。第二级平安保护能力要求:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的平安漏洞和平安事件,在系统遭到损害后,能够在一段时间内恢复局部功能。 3.2实施方案 根据路政分局的实际平安需求,参照等级保护的相关要求,通过采用平安审计技术、内网管理技术以及入侵保护技术,加固现有网络平
5、安,以保障路政分局业务的持续正常运行,如图2路所示。(1)平安审计系统平安审计系统对系统运维信息、上网行为、数据图2路政分局路网管理系统构成图(加固)库操作行为、网络流量进行审计,并实现日志的统一保存。(2)内网平安管理系统内网平安管理系统在产品安装部署前保证所有终端与策略管理中心通过tcp/ip协议可以互联互通。策略管理中心部署在路政分局路网管理系统和oa系统业务系统的平安管理区域。平安代理部署在内部网络所有终端设备以及移动设备上。内网平安管理系统不仅能对内网终端进行身份认证和平安检查,防止内网终端非法外联行为,还能实现对内部终端用户行为进行审计。(3)入侵保护系统入侵保护系统部署在电子政务外网出口防火墙、远程接入防火墙与路网管理系统核心交换机与之间,防御来自政务外网、中国联通ip网、中国电信cd-ma网络的基于应用层的各种攻击。入侵保护系统高度融合高性能、高平安性、高可靠性和易操作性等特性,具备深度入侵防御、精细流量控制,以及全面用户上网行为监管等3大功能。 4结语 本文通过分析路政分局路网管理系统的现有网络结构存在的危害及风险,结合平安审计、内网管理、入侵保护等信息平安技术,系统性提出了信息平安加固方案。路政分局路网管理系统经过信息平安加固,在网络平安及数据平安方面得到了加强,有效地防止了数据被盗、恶意篡改等风险,对主机的上网、操作等行为实时监控。 第4页 共4页
