- 相关推荐
环保厅信息安全保障体系初探论文
摘要:本文介绍了河北省环保厅从网络层、应用层、系统层几方面入手构筑的系统信息安全保障体系,详细论述了本单位采用的防火墙、入侵检测、网络杀毒、数据备份等系统的主要功能及在网络信息安全防护发挥的作用。
【关键词】信息安全;保障体系;防火墙技术
网络杀毒信息化网络建设的目的在于应用,而应用的基础在于安全。随着我厅电子政务的快速发展,我厅已建成内外网物理分开的局域网,该网上运行有办公自动化、在线监控、网上审批、排污申报、企业环境保护信用、电子公文传输系统、网站发布等多个应用系统。如何确保网络的安全畅通、保护信息数据安全、保障系统不被攻击成为我厅信息化建设中一项重点工作。结合目前网络、应用环境,我厅从网络层安全、应用层安全、系统层安全入手,采用防火墙、入侵检测系统、网络杀毒、数据备份四大措施,构成我厅网络信息安全屏障,防止信息资源的价值不受损害,确保信息资源面临最小的风险和获取最大的安全利益,使信息化应用服务、网络基础设施和信息化内容能够抵御安全的威胁而具有完整性、真实性、保密性、可用性和可控性的能力。
1运用防火墙技术
网络防火墙一般放在外网和内网之间,作为局域网和外部公共网络之间的第一道屏障,是各单位最先购置的网络安全产品之一。它的主要作用是加强网络之间的访问控制,防止外部网络的用户采用非法的方式通过互联网网络进入内部网络,访问局域网内部的网络资源,保护局域网环境的网络互联设备。主要针对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,从而判定网络之间的通信是否被允许,并且监控网络运行状态是否正常。我厅采用NGFW4000-UF(TG-5030)防火墙。该产品采用独创的核检测技术,在内核上支持防病毒,防火墙能够抵御synflood、smurfattack、teardropattack、pingofdeath、landbasedattack、pingsweep攻击等多种DOS和DDOS攻击。系统基于IP地址、端口、时间、用户名、文件、网址、关键字、MAC地址等多种方式进行访问控制。支持TOPSEC、OPSEC联动协议,能与国内外主流IDS系统实现联动,保障系统的安全性。支持与交换机的Trunk接口连接,并且能够实现Vlan间行路由。通过防火墙把我厅网络设备分为三个区:内、中间区、外,其中WWW服务器、邮件服务器放在中间区,对不同的区配置不同的安全策略,如我们对外只允许http、pop3、smtp三种协议访问我厅网络。通过对防火墙安全策略的有效设置,达到阻断某些网站对我厅网络访问的目的,彻底消除某些不良网站的潜在威胁,从网络的最外层保护了信息安全。
2运用入侵检测系统
入侵检测被是防火墙之后的第二道安全的闸门,它并行安装在网络中,在不影响网络性能的情况下对网络进行安全监测,及时发现有入侵行为特征的网络行为,并向管理员进行报警,由管理员及时采取安全措施,阻断攻击行为。入侵检测系统也可以和防火墙和路由器配合工作来提高网络安全。我厅采用的TYLMIDS是网络攻击和违规行为识别与响应系统。该设备实时监视系统审计信息和网络上的数据流,分析通讯数据,寻找网络上的攻击行为和其它违规的网络活动。如果检测到网络上的攻击和违规的网络行为时,设备能够按用户设定的安全策略自动进行攻击的响应。该设备的控制核心是一个标准的安全资源管理平台,不但可以管理探测器,还可以管理网络中的防病毒、防火墙、交换机、路由器等网络产品,同时实时监控网络产品的运行状态,CPU,内存的运行情况。这样,该系统不仅可以被动的监视网络情况,还可以主动和防火墙等联动采取阻断措施,使阻断更有效,而且变为动态执行。目前,我们通过该系统监测交换机每个端口的计算机,发现数据量异常,通过关闭端口使该机器不能上网,然后通过监测记录分析机器大概中了哪种病毒,然后令其杀毒打补丁。该系统的使用大大提高了网络的管理能力,提高了工作效率。实践证明,入侵检测系统是安全防御体系的一个重要组成部分,通过与防火墙联动,增强网络防御能力。
3网络杀毒
网络层通信有防火墙和入侵检测系统做防护,那么应用层的病毒入侵也是对信息安全的一大威胁。我厅采用卡巴斯基杀毒软件网络版解决方案。它通过系统中心的统一管理,为我厅服务器、电脑提供灵活、方便的网络防病毒支持,可以确保内部网络不受病毒侵扰。系统中心部署在环保厅中心机房,对整个网络终端设备实现远程管理、智能升级、远程报警、自动分发等多种功能,高效地管理和保护所有的病毒入口。通过管理员控制台软件,管理员能够在网络内任意计算机上实现对整个网络的集中控制管理,监测到整个网络环境中各个节点的病毒监测状态。实现全面集中全网查杀毒、全网远程设置、远程杀毒、远程报警、集中式授权管理、移动式管理、监控邮件、监控邮件客户端等多种管理功能。卡巴斯基杀毒软件网络版提供多种升级方式及自动分发的功能,并且支持多种的网络连接方式,具有升级更加方便、更新及时的特点。网络管理员可以十分轻松地按照事先设定的升级方式,实现全网内设备防病毒库的统一升级,而且尽快将新版本部署到全部计算机上,以保证卡巴斯基杀毒软件网络版保持最新版本的状态,而且版本一致,杜绝由于版本不一致而可能造成的安全隐患、安全漏洞。在应用层安全方面,我厅采用卡巴斯基防病毒软件,形成信息安全的又一防护措施。
4数据备份
网络、应用环境安全了,那么系统层数据的安全就是最后一道需要防护的实体了。在过去实施数据备份前,我们对内外网数据资源的备份基本上是本机人工备份的方式,存在不能实现在线备份、无法进行集中等问题,导致备份的人力和时间耗费大、恢复慢等。伴随着环保应用系统的增加,数据量也呈现几何级数的增加,人工备份无法满足现阶段工作的需要。急需搭建一个具高可用性、自动化的数据备份恢复系统,如果系统出现异常情况,可以实现业务系统的快速恢复,以便将损失降到最低。现在省环保厅应用系统的数据主要分内网数据和外网数据两大部分。其中,内网数据包括办公自动化、行政许可审批等业务数据,外网包括网站发布系统等,数据库基本是SQLServer数据库。对于这两部分数据系统,均需要实现实时自动化的数据备份,因此数据备份软件要能够对系统数据实现集中、统一、自动化的备份。我厅采用集中统一的备份策略管理。通过VERITASNetbackupMasterServer,实现对所有数据库和应用系统的备份工作集中的监控与管理。该服务器同时部署了NBUMediaServer应用,将本机的数据或客户端的数据备份到磁带库中,实现数据介质保存。NetBackup客户端软件安装在其他非主要的服务器上,负责将各自服务器上的数据通过网络传送给主服务器以实现备份。SQLServer安装了相应的数据库代理,实现了NetBackup与SQLServerAPI的集成,从而完成数据库的在线热备份。VERITASNetbackup提供了数据备份管理平台以及一套完整的备份和恢复策略,从而实现了开放、可靠、快速、自动、实时的数据备份与恢复。系统管理员通过直观的图形管理界面,实时监测备份过程、选定需要恢复的数据备份项目,保障了数据安全,确保了系统稳定可靠的运行,为业务的快速发展提供了坚实保障。通过以上介绍,可以看出,我厅在信息安全上积极地采取了防护措施,采用了防火墙、入侵检测系统、网络防病毒软件以及数据备份措施对网络信息进行防护,这套安全系统在运行后,通过各种日志等可以看出他的成果,这套构成四层防线的防护措施,确实为我们的网络带来了安全保障。信息安全是一个正在逐渐发展的行业,另外信息安全又是一个相对的概念,任何措施都不能保证网络的绝对安全,所以我厅没有一次性购买齐备所有现有的安全设备,而是在不断发展,不断改进中逐渐加入新的系统,就现在运行的系统看,虽然已经有了不错的功效,但是也还是可以继续扩充的,比如,可以增加漏洞扫描软件,增加防木马软件等等。信息安全技术正在不断发展,我厅会不断地加强防护,为环保信息安全保驾护航。
【环保厅信息安全保障体系初探论文】相关文章:
高职信息安全保障体系构建与运用论文10-09
档案信息安全平台建设初探论文10-11
保障体系构建下的档案信息安全的研究论文10-09
数字档案信息安全保障体系分析优秀论文10-09
计算机网络信息安全与防护措施初探论文10-11
网络环境下档案信息管理初探论文10-11
会计信息质量保障体系的构建论文10-09
高校档案管理信息化初探管理论文10-10
医院计算机信息管理系统建设初探的论文10-09
电子档案的信息安全论文10-09