2市县级国土资源系统业务网络和信息安全防护体系建设
随着国土资源部“金土工程”的统一部署,分阶段地逐步落实到位,市县级国土资源系统网络和信息安全的设计也逐步分阶段进行建设部署。现阶段重点需要完成了以下几个方面建设:通过建立一套完善、先进、科学、有效的信息网络安全管理体系和管理制度,从管理上弥补技术上的不足,管理和技术相结合共同创造信息网络安全环境;通过部署防火墙达到访问控制的目的,阻挡非授权用户的非法访问;使用网闸实现国土资源业务内网与省政务网的有限数据交换;通过部署入侵防御设备,如IPS、IDS等,可以有效监控网络,发现异常访问的入侵者并将其隔离,阻挡其恶意攻击行为;在内网安装网络版杀毒软件,合理部署安全查杀策略,及时更新病毒库;建立内网安全管理及补丁分发系统,及时下发补丁策略减少系统漏洞,降低内部终端安全风险;建立起国土资源系统核心业务区域防护的“堡垒机”,对主机操作行为进行审计和管控。
2.1建立一套完善、先进、科学、有效的信息网络安全管理体系和管理制度
信息安全工作涉及信息网络系统的方方面面,工作内容极其繁杂,因此必须建立起一套行之有效的信息网络安全管理体系,明确相关工作人员职责,规范信息网络安全相关工作内容,建立规范化流程和应急响应体系,努力做到未雨绸缪、防患于未然,从而确保整个信息网络安全,以安全促发展:
(1)成立信息安全领导小组。单位一把手担任领导小组组长,下设信息安全领导小组办公室,各级国土资源单位信息中心主要承担本级的具体信息安全工作,其重要工作职责是保障国土资源系统网络与信息安全。
(2)实行多人负责,职责应明确。工作人员应对其所在岗位切实负起责任,明确角色,履行职责。
(3)制定科学完善的安全管理制度,建立应急响应体系。“三分技术、七分管理”,科学完善的信息安全管理体系是信息安全工作顺利进行下去的保障,信息安全工作中须要严格的操作规程来做规范和指导,各项安全管理制度中应明确责任、落实到人,明确工作内容与操作流程,应以实用可行为原则。
(4)定期组织开展各地市国土资源系统的信息安全管理工作专项检查,评估各地市信息系统在安全管理制度方面存在的风险,依据专项检查结果制定整改计划,不断改进、完善信息安全管理体系,加强网络与信息安全培训工作,从而不断促进国土资源系统信息安全建设。
2.2增强信息安全技术手段,建立安全防护技术体系
2.2.1防火墙
通过防火墙的部署,防止非授权用户的非法访问,为防火墙制订相应安全策略,对流经它的网络通信进行扫描、监测和限制,使得出入本单位内网的数据得到有效的访问控制,同时也使得当业务应用服务器遭受非法攻击时,不会影响到内部数据库服务器。通过端口控制,对本单位国土资源系统网络,以最小化原则仅开放需要使用的端口并指定特定的端口进行单向访问,对访问服务器的地址进行限制,从而有效防止来自非授权者的通信,实现网络与信息的安全防护。
2.2.2入侵防御系统(IPS)
入侵防御系统能够对网络中所有进出的数据包封包进行详细的7层协议分析,从而相较防火墙(仅具有4层数据包封包协议解析功能)能够更加有效地防止各类攻击行为。入侵防御系统通常可部署于防火墙与本单位局域网之间,双进双出,一条安全可行的路径是防火墙-入侵防御系统-核心交换机-接入交换机-防火墙-服务器群,另一条安全可行的路径是防火墙-入侵防御系统-核心交换机-接入交换机-内部局域网,依据服务器群和内部局域网的不同需求实施不同的安全策略。这样做既可以防御来自于外部对内部局域网的攻击,也可以防御来自内部终端用户对于重要服务器、数据库存储设备等核心设备的攻击。入侵防御系统旨在提供对各种入侵行为的监控和防御,可以通过配置内置的策略,实现对如下攻击行为进行监控和阻断:扫描探测行为、SQL注入攻击、恶意代码、木马后门、僵尸程序、溢出攻击、异常协议行为、流行蠕虫攻击、即时通讯行为、间谍软件、脆弱口令行为、数据库漏洞攻击、操作系统漏洞攻击等。值得一提的是,通过开放或禁止不同的网络应用访问行为,配置不同的带宽使用限制,提高带宽利用率。
2.2.3网闸(GAP)
网闸又叫安全隔离网闸,是一种能够在网络之间不存在链路层连接的情况下进行安全适度的数据交换。安全隔离网闸可以直接处理网络中应用层数据,使用存储转发的方法进行数据交换,在交换的同时,对应用数据进行各种安全检查和处理包括病毒查杀、安全隔离、安全审计、访问控制、协议转换等。网闸通常用于限制两个不同的网络之间,针对国土资源系统,可以部署在本单位局域网与存在物理连接的非本单位网络之间,管理员可以从本单位的网络对安全隔离网闸进行管理,也可以部署在本单位局域网内部两种不同安全级别的网络中间,如内部终端和核心设备之间,能够有效防止内部终端对核心设备的攻击。
2.2.4网络版防病毒系统
在本单位内网部署网络版防病毒系统,为内网终端提供防病毒服务。网络版防病毒系统通过在服务器部署服务控制端,使用服务控制端来控制所有安装防病毒系统终端的内网计算机进行统一的管理,包括病毒库更新、终端查杀、实时病毒监控等,同时,终端如果存在异常,会立马上报给服务端,病毒管理员可以通过服务端对局域网内全部终端用户的防病毒情况有一个全局性的把握,当内网爆发病毒时,能够及时有效地进行病毒查杀,避免大面积病毒感染事件。
2.2.5内网安全管理与补丁分发系统
内网终端安全往往成为传统信息安全工作中的一个盲区,内网终端长期不受管控,许多内网终端多年不升级,成为极其危险的机器,一旦内网计算机被人恶意使用,那么内网安全将受到极大的挑战。因此,通过在业务内网部署一套内网安全管理与补丁分发系统,对内网终端进行进入控制管理,提供标准化桌面管理,对终端的注册表和端口进行管控,对终端的网络流浪和行为进行监控,阻断非法外链,绑定IP等一系列的管理措施能够保障终端的使用安全。同时,补丁分发系统通过管理平台统一下发补丁包进行升级,有效地解决内网终端的补丁更新问题,弥补系统漏洞。
2.2.6部署关键业务网段的堡垒机,对核心业务访问进行安全审计
国土行业单位存在许多重要和敏感数据,对主机、数据库系统、业务系统的登入操作需进行有效的管理、控制和事后审计。堡垒机就相当于在服务器系统、数据库系统、网络设备等IT系统中设立一个门卫,通过堡垒机单点登入各个硬件和软件系统。堡垒机对登入账号能够进行有效的安全管理:定期更换账号、有效授权、对应不同的管理人员角色,授予不同的管理权限等。比如对数据库,有些用户的权限只能查询,有些用户有删除数据的权力,有些用户可以添加记录。虽然单个的系统都有类似的功能,但堡垒机能够将这些功能进行集中统一的管控,将零乱的权限条理化,从而提高管理效率。同时,堡垒机具备:事中控制功能、定义某种操作触发报警、防止误操作或者故意对系统的非法更改、有效的事后日志审计,所有账号的所有操作均有日志可查,能够进行事后的追溯和责任倒查,有效加强IT系统管理。
3总结
信息网络安全体系建设是一个持续的、全方位的、动态的过程,在建设中遵循整体性、动态性、均衡性、立体性的原则,应由统一的安全管理和安全策略机制指导整个安全系统的建设和管理,形成包括VPN、防火墙、入侵防御、安全审计、病毒防御、终端安全、管理安全等相互配合的安全保障体系。
期刊库(http://www.zgqkk.com),是一个专门从事期刊推广、投稿辅导的网站。
本站提供如何投稿辅导,寻求投稿辅导合作,快速投稿辅导,投稿辅导格式指导等解决方案:省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。
【免责声明】本文仅代表作者本人观点,与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。
646779424(普刊)
913775405(普刊)
867306987(核心)
271374912(核心)
