四道屏障构筑河北环保厅信息安全保`障体系.docVIP

四道屏障构筑河北环保厅信息安全保障体系 　　摘 要本文介绍了河北省环保厅从网络层、应用层、系统层几方面入手构筑的系统信息安全保障体系，详细论述了本单位采用的防火墙、入侵检测、网络杀毒、数据备份等系统的主要功能及在网络信息安全防护发挥的作用 【关键词】信息安全 保障体系 防火墙技术 网络杀毒 信息化网络建设的目的在于应用，而应用的基础在于安全。随着我厅电子政务的快速发展，我厅已建成内外网物理分开的局域网，该网上运行有办公自动化、在线监控、网上审批、排污申报、企业环境保护信用、电子公文传输系统、网站发布等多个应用系统。如何确保网络的安全畅通、保护信息数据安全、保障系统不被攻击成为我厅信息化建设中一项重点工作。结合目前网络、应用环境，我厅从网络层安全、应用层安全、系统层安全入手，采用防火墙、入侵检测系统、网络杀毒、数据备份四大措施，构成我厅网络信息安全屏障，防止信息资源的价值不受损害，确保信息资源面临最小的风险和获取最大的安全利益，使信息化应用服务、网络基础设施和信息化内容能够抵御安全的威胁而具有完整性、真实性、保密性、可用性和可控性的能力 1 运用防火墙技术 网络防火墙一般放在外网和内网之间，作为局域网和外部公共网络之间的第一道屏障，是各单位最先购置的网络安全产品之一。它的主要作用是加强网络之间的访问控制，防止外部网络的用户采用非法的方式通过互联网网络进入内部网络，访问局域网内部的网络资源，保护局域网环境的网络互联设备。主要针对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查，从而判定网络之间的通信是否被允许，并且监控网络运行状态是否正常 我厅采用NGFW4000-UF（TG-5030）防火墙。该产品采用独创的核检测技术，在内核上支持防病毒，防火墙能够抵御syn flood、smurf attack、teardrop attack、ping of death、land based attack、ping sweep攻击等多种DOS和DDOS攻击。系统基于IP地址、端口、时间、用户名、文件、网址、关键字、MAC地址等多种方式进行访问控制。支持TOPSEC、OPSEC联动协议，能与国内外主流IDS系统实现联动，保障系统的安全性。支持与交换机的Trunk接口连接，并且能够实现Vlan间行路由 通过防火墙把我厅网络设备分为三个区：内、中间区、外，其中WWW服务器、邮件服务器放在中间区，对不同的区配置不同的安全策略，如我们对外只允许http、pop3、smtp三种协议访问我厅网络。通过对防火墙安全策略的有效设置，达到阻断某些网站对我厅网络访问的目的，彻底消除某些不良网站的潜在威胁，从网络的最外层保护了信息安全 2 运用入侵检测系统 入侵检测被是防火墙之后的第二道安全的闸门，它并行安装在网络中，在不影响网络性能的情况下对网络进行安全监测，及时发现有入侵行为特征的网络行为，并向管理员进行报警，由管理员及时采取安全措施，阻断攻击行为。入侵检测系统也可以和防火墙和路由器配合工作来提高网络安全 我厅采用的TYLMIDS是网络攻击和违规行为识别与响应系统。该设备实时监视系统审计信息和网络上的数据流，分析通讯数据，寻找网络上的攻击行为和其它违规的网络活动。如果检测到网络上的攻击和违规的网络行为时，设备能够按用户设定的安全策略自动进行攻击的响应。该设备的控制核心是一个标准的安全资源管理平台，不但可以管理探测器，还可以管理网络中的防病毒、防火墙、交换机、路由器等网络产品，同时实时监控网络产品的运行状态，CPU，内存的运行情况。这样，该系统不仅可以被动的监视网络情况，还可以主动和防火墙等联动采取阻断措施，使阻断更有效，而且变为动态执行 目前，我们通过该系统监测交换机每个端口的计算机，发现数据量异常，通过关闭端口使该机器不能上网，然后通过监测记录分析机器大概中了哪种病毒，然后令其杀毒打补丁。该系统的使用大大提高了网络的管理能力，提高了工作效率 实践证明，入侵检测系统是安全防御体系的一个重要组成部分，通过与防火墙联动，增强网络防御能力 3 网络杀毒 网络层通信有防火墙和入侵检测系统做防护，那么应用层的病毒入侵也是对信息安全的一大威胁。我厅采用卡巴斯基杀毒软件网络版解决方案。它通过系统中心的统一管理，为我厅服务器、电脑提供灵活、方便的网络防病毒支持，可以确保内部网络不受病毒侵扰 系统中心部署在环保厅中心机房，对整个网络终端设备实现远程管理、智能升级、远程报警、自动分发等多种功能，高效地管理和保护所有的病毒入口 通过管理员控制台软件，管理员能够在网络内任意计算机上实现对整个网络的集中控制管理，监测到整个网络环境中各个节点的病毒监测状态。实现全面集中全网查杀毒、全网远程设置、远程杀毒、远程报警