導(dǎo)語：路網(wǎng)管理的信息安全加固方案研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1信息安全的組成

1.1網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要通過硬件防火墻及防病毒系統(tǒng)來實現(xiàn)。硬件防火墻可以將整個網(wǎng)絡(luò)有效分隔為內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)以及中立區(qū)，通過對每個區(qū)域配置不同的安全級別，可以保證核心業(yè)務(wù)系統(tǒng)的安全。防病毒系統(tǒng)用于保護(hù)整個網(wǎng)絡(luò)避免受到病毒的入侵。

1.2數(shù)據(jù)安全

數(shù)據(jù)安全包括數(shù)據(jù)備份恢復(fù)、數(shù)據(jù)庫安全管理、訪問控制以及系統(tǒng)數(shù)據(jù)加密。數(shù)據(jù)存儲以及關(guān)鍵應(yīng)用服務(wù)器均按照硬件冗余和數(shù)據(jù)備份方式配置。數(shù)據(jù)庫系統(tǒng)通過數(shù)據(jù)庫權(quán)限控制、身份認(rèn)證、審計以及檢查數(shù)據(jù)完整性和一致性加以保護(hù)。訪問控制通過劃分不同的VLAN以及設(shè)置訪問控制列表，對主機之間的訪問進(jìn)行控制。系統(tǒng)數(shù)據(jù)加密考慮備份數(shù)據(jù)及傳輸數(shù)據(jù)進(jìn)行加密，保證系統(tǒng)專有信息的安全及保護(hù)。

2系統(tǒng)現(xiàn)狀

2.1現(xiàn)有系統(tǒng)構(gòu)成

目前，路政分局路網(wǎng)管理系統(tǒng)劃分為六大區(qū)域，即辦公網(wǎng)區(qū)域、遠(yuǎn)程接入設(shè)備區(qū)域、視頻會議終端區(qū)域、控制室接入?yún)^(qū)域、服務(wù)器區(qū)域以及核心網(wǎng)絡(luò)設(shè)備區(qū)域，如圖1所示。

2.2安全防護(hù)現(xiàn)狀

在機房及監(jiān)控室設(shè)置了防靜電地板、溫濕度表、門禁系統(tǒng)、不間斷電源系統(tǒng)等，從物理上保護(hù)信息安全。在政務(wù)外網(wǎng)出口處部署了防火墻系統(tǒng)，實現(xiàn)辦公終端區(qū)域、路網(wǎng)管理業(yè)務(wù)區(qū)及市政務(wù)外網(wǎng)3個區(qū)域之間的邏輯隔離，防止非授權(quán)人員的分發(fā)訪問，保證業(yè)務(wù)系統(tǒng)的正常運行。在廣域網(wǎng)(如中國聯(lián)通IP專網(wǎng)、中國電信CD-MA)與路政分局內(nèi)部局域網(wǎng)之間部署了防火墻系統(tǒng)，實現(xiàn)分局內(nèi)部局域網(wǎng)與廣域網(wǎng)之間的邏輯隔離，防止來自外部人員的非法探測與攻擊，保證內(nèi)網(wǎng)安全。在內(nèi)網(wǎng)中部署網(wǎng)絡(luò)版防病毒系統(tǒng)、網(wǎng)頁防篡改系統(tǒng)、入侵檢測設(shè)備以及漏洞掃描系統(tǒng)，用于防御病毒、木馬等惡意代碼的傳播，保障重要WEB服務(wù)器數(shù)據(jù)的完整性和可靠性，及時發(fā)現(xiàn)內(nèi)網(wǎng)中的安全隱患，有效地防止內(nèi)部人員的故意犯罪。建立全網(wǎng)統(tǒng)一身份認(rèn)證及授權(quán)系統(tǒng)，確保用戶身份的安全性和可靠性，并在此基礎(chǔ)上實現(xiàn)了全面靈活的用戶授權(quán)管理。

2.3存在風(fēng)險

(1)內(nèi)部終端主機未設(shè)置監(jiān)控與審計，將出現(xiàn)非法外聯(lián)等非授權(quán)訪問控制事件。(2)內(nèi)網(wǎng)未部署安全審計系統(tǒng)，無法控制用戶上網(wǎng)行為、重要業(yè)務(wù)系統(tǒng)及重要數(shù)據(jù)庫系統(tǒng)。(3)內(nèi)網(wǎng)出口處未部署應(yīng)用層攻擊檢測與阻斷設(shè)備，應(yīng)用層不可避免會受到各種攻擊。

3信息安全加固方案

3.1信息安全要求

路政分局路網(wǎng)管理系統(tǒng)必須按照國標(biāo)《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T22239)中二級安全等級防護(hù)要求。第二級安全保護(hù)能力要求:應(yīng)能夠防護(hù)系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內(nèi)恢復(fù)部分功能。

3.2實施方案

根據(jù)路政分局的實際安全需求，參照等級保護(hù)的相關(guān)要求，通過采用安全審計技術(shù)、內(nèi)網(wǎng)管理技術(shù)以及入侵保護(hù)技術(shù)，加固現(xiàn)有網(wǎng)絡(luò)安全，以保障路政分局業(yè)務(wù)的持續(xù)正常運行，如圖2路所示。(1)安全審計系統(tǒng)安全審計系統(tǒng)對系統(tǒng)運維信息、上網(wǎng)行為、數(shù)據(jù)圖2路政分局路網(wǎng)管理系統(tǒng)構(gòu)成圖(加固)庫操作行為、網(wǎng)絡(luò)流量進(jìn)行審計，并實現(xiàn)日志的統(tǒng)一保存。(2)內(nèi)網(wǎng)安全管理系統(tǒng)內(nèi)網(wǎng)安全管理系統(tǒng)在產(chǎn)品安裝部署前保證所有終端與策略管理中心通過TCP/IP協(xié)議可以互聯(lián)互通。策略管理中心部署在路政分局路網(wǎng)管理系統(tǒng)和OA系統(tǒng)業(yè)務(wù)系統(tǒng)的安全管理區(qū)域。安全部署在內(nèi)部網(wǎng)絡(luò)所有終端設(shè)備以及移動設(shè)備上。內(nèi)網(wǎng)安全管理系統(tǒng)不僅能對內(nèi)網(wǎng)終端進(jìn)行身份認(rèn)證和安全檢查，防止內(nèi)網(wǎng)終端非法外聯(lián)行為，還能實現(xiàn)對內(nèi)部終端用戶行為進(jìn)行審計。(3)入侵保護(hù)系統(tǒng)入侵保護(hù)系統(tǒng)部署在電子政務(wù)外網(wǎng)出口防火墻、遠(yuǎn)程接入防火墻與路網(wǎng)管理系統(tǒng)核心交換機與之間，防御來自政務(wù)外網(wǎng)、中國聯(lián)通IP網(wǎng)、中國電信CD-MA網(wǎng)絡(luò)的基于應(yīng)用層的各種攻擊。入侵保護(hù)系統(tǒng)高度融合高性能、高安全性、高可靠性和易操作性等特性，具備深度入侵防御、精細(xì)流量控制，以及全面用戶上網(wǎng)行為監(jiān)管等3大功能。

4結(jié)語

本文通過分析路政分局路網(wǎng)管理系統(tǒng)的現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)存在的危害及風(fēng)險，結(jié)合安全審計、內(nèi)網(wǎng)管理、入侵保護(hù)等信息安全技術(shù)，系統(tǒng)性提出了信息安全加固方案。路政分局路網(wǎng)管理系統(tǒng)經(jīng)過信息安全加固，在網(wǎng)絡(luò)安全及數(shù)據(jù)安全方面得到了加強，有效地避免了數(shù)據(jù)被盜、惡意篡改等風(fēng)險，對主機的上網(wǎng)、操作等行為實時監(jiān)控。

本文作者：俞惠菊王寧工作單位：交通運輸部公路科學(xué)研究院