计算机网络论文

您当前的位置:学术堂 > 计算机论文 > 计算机网络论文 >

气象信息网络安全设备的部署与完善

来源:福建电脑 作者:李良宗;郑栋栋
发布于:2018-05-04 共3048字
  摘要:漳州市气象网络安全的建设以国家等级保护相关政策和技术标准要求为依据, 结合信息网络安全现状, 从外网系统和内网系统构建相应的安全保障系统, 以主机安全、网络安全、数据安全、应用安全、安全管理为目标, 建成“分区分域、多层防护”的市级气象信息网络安全防御体系。
  
  关键词:气象; 网络安全; 安全防护;
  
  在气象局机房内部署网络安全系统, 按照网络安全管理二级标准, 完善全市信息安全体系, 加强市、县信息网络安全, 在互联网连接部分部署防火墙、入侵检测等设备, 局域网内部计算机上安装集中式防病毒软件, 及时进行病毒定义更新。同时增加数据库审计系统, 实现对数据库非法调用进行监控管理与及时预警。网络安全系统按照等级保护要求, 结合实际业务系统, 对网络核心业务系统进行充分调研及详细分析, 将网络核心业务系统系统建设成为一个及满足业务需要, 又符合等级保护系统要求的业务平台。
  
  建设一套符合国家政策要求、覆盖全面、重点突出、持续运行的信息安全保障体系, 达到国内一流的信息安全保障水平, 支撑和保障信息系统和业务的安全稳定运行。该体系覆盖信息系统安全所要求的各项内容, 符合信息系统的业务特性和发展战略, 满足网络信息安全要求。
  
  1 气象网络安全建设的技术性能要求
  
  漳州市气象局安全策略与管理体系依据国际国内规范及标准, 参考信息网络安全管理标准的最佳实践ISO 27001, 结合漳州市气象局的实际情况, 标准进行建设。
  
  所有设备设施在部署过程中要求不影响日常工作或将影响降低到最低为前提的情况下制定的, 在目标时间内完成对下一代防火墙系统、网络准入控制系统、网络/数据库审计系统、网闸系统、入侵防御系统、漏洞扫描系统、服务器、上网行为管理系统、杀毒软件系统的安装及测试。应保证在规定时间范围内, 尽量缩小网络的断网时间, 减少因此带来的不便和损失。
  
  2 气象信息网络安全设备的部署
  
  网络安全系统的安全措施框架依据“积极防御、综合防范”的方针, 以及“管理与技术并重”的原则, 并结合了等级保护的基本要求;部署以下子系统:
  
  2.1 下一代防火墙系统
  
  为保证业务在后续发展, 在内网核心边界与外网区域之间部署一台下一代防火墙设备, 对气象内部联络中重要的安全域进行边界权限控制, 严格控制出入网络及各个重要安全区域的权限, 明确访问的用户、访问的对象及访问的种类, 保障正常访问的进行, 拒绝非法及越权访问;同时有效预防、处理不正常的网络访问, 确保内网网络正常访问活动。重点是实现内网与外部网络的隔离。
  
  2.2 网络准入控制系统
  
  在内网安全运维管理区域旁路部署网络准入控制系统, 能够画出办公终端接入的安全线, 去除一些不安全的设备和人员接入网络, 规范用户接入网络的行为。网络准入控制策略可从网络准入身份认证、完整性健康检查、接入管理、隔离修复四方面实现。满足相关法律法规、内控要求。并提供日志查询功能, 做到责任认定, 有据可查。
  
  2.3 网络/数据库审计系统
  

  在核心内网交换机上部署网络行为/数据库审计设备, 通过旁路侦听的方式进行数据采集, 实现对用户网络访问行为 (HTTP、TELNET、FTP、Mail等) 和相关内容的记录、分析和还原, 对信息系统用户擅自访问非授权的敏感信息或蓄意篡改和破坏重要信息数据等行为进行监视和警示。
  
  通过数据库审计系统, 实时地、智能地解析网络上和被审计数据库相关的登录、注销, 对数据库表和字段的插入、删除、修改、查询、执行存储过程等操作, 能够精确到SQL操作语句, 并能及时判断出违规操作行为并进行记录、报警, 实现数据库的实时监控, 从而在网络上建立起一套数据安全告警和审计机制, 为数据库系统的安全运行及事后审计提供有力保障。
  
  2.4 网闸系统
  
  通过在政务外网边界接入区部署安全网闸采系统, 符合等保要求。将整个网络有效地进行安全域隔离, 可以实现所需要的安全控制、防病毒、抗拒绝服务攻击。
  
  2.5 入侵防御系统
  
  在气象内网区核心交换机上旁路部署入侵防御系统, 网络入侵防御系统能够实时检测来自外部网络人员利用网络和系统自身薄弱点进行的非法入侵和攻击、产生大量异常访问导致服务器资源耗尽Do S/DDo S攻击, 以及非法操作的木马、蠕虫等恶意程序, 并对检测到的非法流量进行积极阻断, 同时向管理员通报攻击信息, 避免税务信息系统因遭受外界网络的恶意攻击而导致正常的网络通讯和业务服务中断、计算机系统崩溃、数据泄密或丢失等等, 影响业务服务和信息交互的正常进行。
  
  2.6 病毒过滤网关
  
  当前, 网络病毒、蠕虫、木马、流氓软件等各类恶意代码已经成为联网的信息系统所面临的重要威胁之一, 在气象部门的网络平台的边界防护区部署具备恶意代码检测和过滤功能的病毒过滤网关, 对进出的网络数据流进行病毒、恶意代码扫描和和过滤处理, 并提供病毒代码库的自动或手动升级, 彻底阻断病毒、蠕虫及各种恶意代码向网络内部传播。
  
  2.7 漏洞扫描系统
  
  在内网安全运维管理区域中旁路部署一套网络漏洞扫描系统, 由专门的管理员负责, 连接在核心交换机上, 以本地扫描或远程扫描的方式, 对各台重要的网络设备、主机系统及相应的操作系统、应用系统等进行全面的漏洞扫描和安全评估。通过从不同角度对网络进行扫描, 可以发现网络结构和配置方面的漏洞, 以及各个设备和系统的各种端口分配、提供的服务、服务软件版本等存在的安全弱点。系统提供详尽的扫描分析报告和漏洞修补建议, 帮助管理员实现对政务内网, 尤其是其中的重要服务器主机系统的安全加固, 提升安全等级。网络漏洞扫描设备支持进行远程的管理和扫描, 能够进行自动和手动的漏洞库升级, 保证随时拥有检测最新漏洞的能力。
  
  2.8 上网行为管理系统
  
  在互联网区域部署网络上网行为管理系统, 需要及时更新应用规则库, 并按照规定制定审计规则。通过在线监测的方式进行数据采集, 能够分析网络中的数据包、流量信息, 通过对相关协议进行分析, 对网络通信行为和内容进行记录和统计, 帮助发现网络中的异常流量和违规行为。上网行为审计的重点对象是内网用户终端的网络访问行为, 支持多种网络应用协议的监控、还原和审计, 例如对通过HTTP、FTP、SMTP等方式访问业务系统的用户登录、用户登录IP地址、访问时间、访问内容等进行监控和审计。上网行为管理系统能够对网络中的流量控制以及上网行为审计做全面的监控与审计策略, 以有效保护重要数据的安全性, 并为事后取证提供支持。
  
  3 漳州市气象信息网络结构形式
  
  经过近网络安全环境的改造和不断完善, 漳州市气象网络按照网络不同的用途进行不同的安全要求:一是安全等级要求最高的气象内部局域网, 主要用于气象专用数据的传输和内部信息的流转;二是以执法专线与相关政府机构连接的政务专网;三是通过网闸进行数据转换接入的气象网站, 供用户、大众浏览使用的互联网。
  
  4 气象信息网络安全的完善思路
  

  通过气象网络安全方面的建设, 首先要加强本部门业务科技人员的安全意识, 制定规范、严格的流程管理制度和业务流程。做到责任明确, 通过网络硬件设备记录详细的网络访问行为, 通过安全审计功能, 能及时发现不文明的网络行为。通过定期的组织信息安全方面的培训, 对气象部门网络和个人电脑、服务器的关键点进行长期信息收集、分析得出薄弱点和加强防护之处提高网络安全的效率, 规避风险。
  
  图1 漳州市气象局网络结构图
  
  
  
  参考文献
  
  [1]林志雄等。地理知识云服务系统的安全等级保方案设计与安全功能逻辑评估。互联网论文库。2016
  [2]陈进等。浅析信息安全风险与防护策略[J].福建电脑。2011, 27 (8)
  [3]蒋志田等。电子政务系统安全问题的研究与实践[J].北京邮电大学。2009, 15 (13)
原文出处:李良宗,郑栋栋.浅谈漳州市气象局网络安全建设[J].福建电脑,2018,34(04):106-107.
相关内容推荐
相关标签:网络安全论文计算机网络安全论文
返回:计算机网络论文