本站小编为你精心准备了基于网络安全的网络信息论文参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。
随着系统的实施,黑龙江省“金保工程”业务处理对计算机网络的依赖程度将逐步增大,安全问题不容忽视。针对信息系统网络方面可能面临的各种风险和安全威胁,建立了多层次、立体交叉的网络安全屏障,以确保系统安全、稳定运行。主要体现在以下几个层面。
1物理层面
物理层面的风险主要是指由于计算机硬件设备损坏而影响系统正常运行,物理层面是整个网络系统安全的第一道防线。在物理层面的安全屏障主要有:(1)建立灾备中心。中心平台包括数据中心、灾备中心和监控中心。数据中心是整个系统的核心,与数据中心不同物理地址的灾备中心是数据中心的备份。目前,通过远程磁带备份系统,每天将数据中心内的数据备份到灾备中心磁带库,并将磁带转移到其它地点。最大限度在24小时之内恢复受损数据。二期建设将在灾备中心建立与数据中心相同的网络平台,实现数据中心的应用级灾备。(2)设备和线路冗余配置。为了防止数据中心所有设备和网络的单点故障导致服务中断,在平台和网络的设计上采用完全冗余的配置。一是中心平台所有的核心设备均采用两台或多台双机冗余热备和负载均衡机制。二是在线路上,采用一主一备网络连接,“省-市地”主干网以覆盖全省各市地的电子政务网为主,以基于互联网的10M光纤为备份,所有连接节点均有两个以上的路由连接数据中心。(3)完善机房环境。中心平台和各市地的中心节点机房建设均按国家A级机房标准规划,基本设施包括:多路互投供电和不间断电源UPS,六面体屏蔽,防雷、防静电、防盗、防火、防水、防尘等系统,温度和湿度控制系统。同时建立严格的机房管理制度,有利地保障了系统的稳定运行。
2网络层面
计算机网络互联在大大扩展信息资源共享空间的同时,也将其自身暴露在更多危险攻击之下。信息系统也同样承担着非法接入、非法访问、病毒传播等风险。网络层面的安全屏障主要有:(1)路由策略。由于信息系统的网络大部线路是基于公网的VPN通道,因此在出口处的VPN设备必然要与公网连接,为防止来自公网的非法访问,内网用户的IP地址使用了RFC1918所定义的私有网络地址,这种地址外部用户不能够直接访问,同时连接外网的VPN设备也不把到公网的路由广播到内部网络。这样可以保证内网用户和外网用户双方都无法直接互相访问。(2)防火墙访问控制。在中心平台和每个地市中心节点都安装了一台做访问控制的防火墙,这台防火墙只允许内部数据通过,任何内外之间的直接访问都会被防火墙所隔离,有效的防止了外部非法访问。(3)多层面用户身份认证。在网络上用户的合法性和该用户拥有的合法权限均通过多个层面的身份认证系统来确认,这些认证包括VPN密钥认证、Radius身份认证、终端设备和数字密钥身份认证、业务系统登录认证等。如果黑客想要冒充合法用户进入时,由于没有密钥口令,连接请求将会被拒绝。网络最终要做到每个用户在信息中心登记后分配给其单独的用户名和口令,并定期更新口令。为了加强对用户的身份认证,还在应用层上对用户所持有的数字密钥进行验证,只有各方面信息完全吻合的用户才能被认定为合法用户,授予登录访问权限。而且因采用分层管理,合法用户也无法访问到与其无关的服务内容。(4)使用访问列表控制非法连接。访问控制列表是应用在路由器接口的指令列表,这些指令列表可以控制路由器的数据接收。通过灵活地增加访问控制列表,可以过滤流入和流出路由器接口的数据包。(5)设置网络防病毒系统。在系统中部署了网络防病毒软件,在省数据中心设置了一台防病毒根服务器,在各地市中心设置防病毒分支服务器。网络管理员只要定期升级根服务器,全省的防病毒软件客户端就可以通过分支的防病毒服务器随时自动进行升级。(6)通过访问控制隔断病毒传播途径。多数病毒的传播途径都是有规律可循的。当某种病毒流传时,根据其网络传播特点,在网络路由转发设备上制定相应的访问控制列表,就可将病毒控制在最小范围内来处理,而不会大面积传播。
3应用层面和数据层面
应用和数据两个层面的风险主要有:非法用户(入侵者)对网络进行探测扫描、通过攻击程序对应用层主机的漏洞进行攻击、使服务器超负荷工作以至拒绝服务甚至系统瘫痪。由于系统采用的是基于公网的VPN技术,信息需要通过公网传输,在公网上,信息有可能会被人截获,造成信息泄漏或数据被修改后再发送,从而造成数据破坏。用于数据层面的屏障主要有:(1)在通过公网建立VPN连接时,所有传输数据都经过加密,以防止在传输过程中被窃听或篡改。(2)防止非法用户进入并攻击系统。首先是防止非法用户连接到内部网络,具体措施已在前面网络层面论述。而对已经连接到内部网络中的非法用户,要防止其对服务器进行攻击。解决此问题的措施主要有:①对关键服务器采用负载均衡交换机进行端口映射。负载均衡交换机对访问没有进行映射端口的数据包直接丢弃,使针对服务器的端口扫描和漏洞攻击无效,使非法用户无法远程对服务器进行直接访问,也就不能发起直接攻击;②入侵检测系统随时对入侵行为进行报警和记录。在数据中心和各地市中心都配置了入侵检测系统,随时监控着网络上的数据流量,检测到攻击特征的数据后立即告警,以便迅速采取进一步的措施,同时也为事后审核及追查攻击源头提供参考;③使用漏洞扫描系统进行主动的安全防护。信息中心配备了便携式的漏洞扫描系统,由管理员根据需要不定期的扫描系统内服务器和网络设备的漏洞,通过自身的主动监测,发现系统漏洞并及时弥补,对网络入侵做到防范于未然,同时建立系统安全报告,对整个系统的安全状况提供客观的评估标准。
4结束语
黑龙江省“金保工程”信息系统在网络系统方面的安全机制是整体的、动态的。不仅包括物理安全、系统安全、网络安全、应用安全等多层面的内容,并且配置了负载均衡交换机、防火墙、IDS、VPN、漏洞扫描、防病毒、身份认证等多种安全设备和安全技术手段,同时还建立完善的安全管理体制,有效地实现整体安全,建筑一道可靠的网络安全屏障,确保信息系统稳定运行。
作者:陈帅单位:黑龙江省人力资源和社会保障信息中心