第1页共3页路网管理的信息平安加固方案研究1信息平安的组成1.1网络平安网络平安主要通过硬件防火墙及防病毒系统来实现。硬件防火墙可以将整个网络有效分隔为内部网络、外部网络以及中立区,通过对每个区域配置不同的平安级别,可以保证核心业务系统的平安。防病毒系统用于保护整个网络防止受到病毒的入侵。1.2数据平安数据平安包括数据备份恢复、数据库平安管理、访问控制以及系统数据加密。数据存储以及关键应用效劳器均按照硬件冗余和数据备份方式配置。数据库系统通过数据库权限控制、身份认证、审计以及检查数据完整性和一致性加以保护。访问控制通过划分不同的vlan以及设置访问控制列表,对主机之间的访问进行控制。系统数据加密考虑备份数据及传输数据进行加密,保证系统专有信息的平安及保护。2系统现状2.1现有系统构成目前,路政分局路网管理系统划分为六大区域,即办公网区域、远程接入设备区域、视频会议终端区域、控制室接入区域、效劳器区域以及核心网络设备区域,如图1所示。2.2平安防护现状在机房及监控室设置了防静电地板、温湿度表、门禁系统、不间断电源系统等,从物理上保护信息平安。在政务外网出口处部署了防火墙系统,实现办公终端区域、路网管理业务区及市政务外网3个区域之间的逻辑隔离,防止非授权人员的分发访问,保证业务系统的正常运行。在广域网(如中国联通ip专网、中国电信cd-ma)与路政分局内部局域网之间部署了防火墙系统,实现分局内部局域网与广域网之间的逻辑隔离,防止来自外部人员的非法探测与攻击,保证内网平安。在内网中部署网络版防病毒系统、网页防篡改系统、入侵检测设备以及漏洞扫描系统,用于防御病毒、木马等恶意代码的传播,保障重要第2页共3页web效劳器数据的完整性和可靠性,及时发现内网中的平安隐患有效地防止内部人员的成心犯罪。建立全网统一身份认证及授权系统,确保用户身份的平安性和可靠性,并在此根底上实现了全面灵活的用户授权管理。2.3存在风险(1)内部终端主机未设置监控与审计,将出现非法外联等非授权访问控制事件。(2)内网未部署平安审计系统,无法控制用户上网行为、重要业务系统及重要数据库系统。(3)内网出口处未部署应用层攻击检测与阻断设备,应用层不可防止会受到各种攻击。3信息平安加固方案3.1信息平安要求路政分局路网管理系统必须按照国标信息平安技术信息系统平安等级保护根本要求(gb/t22239)中二级平安等级防护要求。第二级平安保护能力要求:应能够防护系统...
