警卫计算机信息网络安全防控策略浅析_计算机信息论文发表
警卫计算机信息网络安全防控策略浅析
吴晓佳
摘要:在分析警卫信息网络的运行特点以及在网络安全方面面临的主要问题的基础上,本文从物理隔离、外部防控、内部防范及管理制度四个方面构建了全方位、立体式的网络安全保障体系。外部防控侧重在安装防火墙、部署入侵检测系统、部署入侵检测系统等方面;内部防范侧重在身份认证、访问控制、部署防病毒系统、划分虚拟子网、采用高效的网管软件、应用服务器的审计、建立灾难恢复规划、涉密移动介质保密管理系统等方面。
关键词:警卫信息网络 网络安全 网络安全保障体系
0 引言
随着计算机信息技术的发展,信息全球化已成为人类社会发展的大趋势。网络给人们带来方便、快捷的信息交换方式的同时,也带来了各种各样的安全问题。警卫信息网络系统承载的是事关党和国家领导人相关活动的秘密级以上信息,网络的安全问题就显得尤其重要。
1 警卫信息化网络运行特点
1.1 信息资料密级高
广东省警卫局担负着党和国家领导人、重要外宾在粤期间,重要会议、重大活动的安全警卫工作。警卫业务涉及警卫对象行程、住地等信息,相关领导安全,密级高。
1.2 用户应用水平参差不齐
警卫干部外勤较多,信息化应用水平参差不齐。用户访问信息资料的方式各有差异,从而使得网络面临着众多不同的潜在的安全威胁,而且网络安全的责任不容易明确。
1.3 网络地域分散
广东省警卫网络地域分散,各地级市公安警卫部门都有接入点,属广域网结构。由于接入用户分散,管理难,存在较大的漏洞。
1.4 网络多样化
由于工作的需要,警卫人员往往需要访问互联网获取相关信息,并在公安网上处理非涉密的信息;而大部分信息敏感性高、具有密级,必须在本局内网中处理。三个网络并存,虽然物理隔离,但也带来一定的问题。
2 警卫信息化网络安全面临的主要问题
警卫信息化网络安全面临的问题来处各个方面,有客观因素,也有主观因素,有来自外在的,也有从内部发起的,总的概括起来有以下几点:
2.1 病毒感染
计算机病毒是一段恶意代码,对计算机及其系统、数据具有很强的破坏性。计算机网络一旦感染了病毒,轻则影响系统的正常使用,重则文件或数据损坏、丢失,甚至系统崩溃、无法运行,带来严重的后果。随着网络的普及,大容量移动存储介质的大量使用,病毒传播的途径越来越广泛,大大增加了计算机网络感染病毒的机会。
2.2 网络攻击
只要网络存在,就会有各种各样的攻击存在。网络黑客借助各种工具,破坏网络的有效性与完整性,占用在大量的网络资源、盗取重要数据、修改网络数据,对网络的正常工作造成了严重的影响。
2.3 安全漏洞
网络上的硬件、软件及操作系统都或多或少地存在一些缺陷,攻击者可以通过这些漏洞在未授权的情况下访问或破坏系统。安全漏洞威胁到操作系统、客户及服务器软件、路由器、防火墙的安全,从而使得整个计算机系统面临严重的安全考验。
2.4 管理方面的漏洞
如何对一个网络进行安全、有效的管理是整个网络安全的基础,如果管理不善,再强壮的网络都不安全。这些问题主要有:网络配置不当,安全级别设置太低;系统不设置账号与密码;重要数据不加密存放;随意安装不安全的网站;移动存储介质在内外网之间交叉使用;计算机没有安装防病毒软件或防火墙;操作系统没有及时打补丁、防病毒软件没有及时升级等等。
3、构建警卫信息化网络安全体系
警卫信息化网络的安全是指组成网络系统的硬件、软件及系统中的数据安全,不会因为各种原因受到有破坏、更改或泄露;系统连续可靠正常的运行,不会中断,影响到各项工作的正常开展。
由于影响警卫信息化网络安全的原因众多,因此必须建立“纵深防控”一体的安全体系,采取统一的安全策略来保证网络系统及数据的安全。归纳起来,我省警卫信息化网络主要从以下几个方面来保证网络的安全。
3.1 物理隔离
由于工作涉及内部网络(涉密)与外部网络(非涉密),按保密要求,内网与外网之间必须物理隔离,内网机房与外网机房分开,两种网线之间保持严格的距离,同时内外网主机也要分开放置,放置的台面绝缘。
3.2 外部防控
1) 安装防火墙
防火墙是一种网络安全的保障手段,是网络通信时执行的一种访问控制方式,其主要目标是通过控制进、出一个网络的权限,在内部和外部两个网络之间建立一个安全控制点,对进、出内部网络的服务和访问进行控制和审计,防止外部网络用户以非法手段进行内部网络,访问、干扰和破坏网络资源。在公安网接入前安装防火墙,有效隔绝来自公安网络的干扰。
2) 建立虚拟专用网
通过在公安网上使用网络加密机及服务器加密机等密码设备,建立警卫虚拟专用网(VPN)的形式进行网络加密,将本省各地市警卫部门及公安部警卫局连通起来,完成涉密信息的上传下达。目前我们采用的加密机均为国家有关部门指定的产品。
3) 部署入侵检测系统
在本局内网中部署入侵检测产品,监测局域网外部入侵,同时监视主服务器网段的异常行为,以防止来自局域网内部的攻击可无意的误用及滥用行为。
3.3 内部防范措施
1)身份认证
身份认证是网络安全的第一道防线,是用户在登录网络应用系统对身份的确认。用户只有在通过身份认证系统识别身份,根据用户身份与授权数据库确认访问权限后,用户才能访问相应的资源。我们采用指纹识别技术,用户用指纹登录网络应用系统,系统通过指纹确认用户身份,访问授权数据库,确定用户的访问权限。授权数据库由系统管理员事先根据用户职位、单位、工作及访问权限进行配置。
2)访问控制
访问控制决定了用户可以访问的网络范围、使用的协议与端口;以及可以访问系统的哪些资源。可以通过设置路由器的访问控制列表来实现对哪些数据包可以接受,哪些需要拒绝。
3)部署防病毒系统
在局域网内部应部署全方位的防病毒系统,由于病毒在网络中存储、传播、感染的方式各异,途径多种多样,必须实施对病毒的集中控制、以防为主、防杀结合的策略。我们选用趋势
4)划分虚拟子网
在局域网中,把不同单位划分成不同的虚拟子网(VLAN)。对于网络安全性较高的应用,如财务、人事等,划分成独立的虚拟子网,限制其它单位成员的访问,确保信息的安全与保密。
5)采用高效的网管软件
为有效地管理网络设备,合理分配各种网络资源,就需要采用高效的网管软件。我们正考虑使用华为的Quidview。它采用了组件化结构设计,通过安装不同的业务组件实现了设备管理、VPN监控与部署、软件升级管理、配置文件管理、告警和性能管理等功能,提供了从设备级到网络级全方位的网络管理。
6)启动应用服务器的审计功能
在本局内网及公安网的各项应用中我们启用了审计功能,对用户的所有操作进行记录。一来可以保证安全,在发生故障时可通过对日志进行追溯,从而找出原因,分清责任。
7)建立灾难恢复规划
数据是信息系统应用中最宝贵的财富之一,在信息系统中占主导地位。可由于不可预见的自然灾害、硬件故障、通讯线路损坏、病毒、木马、资源不足等引起的宕机、人为操作故障及存储介质的损坏等原因,数据都有可能损失。要保证系统安全运转,快速从灾难中恢复,就必须 建立灾难恢复规划,对网络系统安全、硬件、软件、数据等采取完善的备份措施,以应对突发事件。由于实时性要求不太高,硬件我们选用了HP StorageWorks DAT40×6磁带机,大幅度减少了管理的工作量,降低了备份过程中出现错误的机率;备份软件采用了VERITAS Backup Exec for Windows NT/2000。实现了Windows 2000/NT网络系统的自动备份。备份在日常运行过程中是自动定时调度的形式,不需要管理员人工干预。通过对磁带库的高级操作,可将备份所产生的IMAGE合并到一盘磁带上,交于异地保存。以便在灾难发生时,能快速恢复系统。
8)部署涉密移动介质保密管理系统
为杜绝移动存储介质在内外网之间交叉使用,我们在内网上部署了涉密介质管理系统,对涉密移动存储介质进行注册授权、身份验证、密级识别、访问控制、驱动级文件加解密、日志审计等,对计算机终端通讯端口和内网外联进行控制,有效地防止了移动存储介质在内、外网之间交叉使用,降低了通过移动存储介质泄密的风险。
3.4 制定完善的计算机网络使用规章制度
用户为了开机迅速能迅速启动,开机与系统登录密码都不设置,或者设置非常简单的密码。管理员为方便管理,使用了域策略,使得所有域成员都可通过域帐户进入别人的计算机进行操作。用户为了方便在内网与外网之间交换数据,在内外网之间交叉使用移动存储介质,导致病毒入侵或者敏感信息、密级数据的泄漏。因此必须制定严格的安全管理规范,严禁用户私自安装软件,交叉使用移动存储介质;制定安全策略,设定开机、屏保密码,密码强度要符合保密要求,并定期更换等。
4. 总结
警卫计算机信息网络安全依赖于技术与管理两个方面,本文从物理隔离、外部防控、内部防范及管理制度四个方面阐述了只有建立全方位、立体式的网络安全保障体系,才能保障警卫计算机信息网络的安全稳定运行,保证各应用系统及数据的安全、稳定、可控。
作者简介:吴晓佳(1971- ),女,汉族,四川省绵阳人,广东省警卫局技术装备处高级工程师, 上校,1996年7月毕业于南京大学电子科学与工程系,获硕士学位。
通信地址:广州市新河浦四横路13-15号 邮编 510080