浅谈无锡环卫信息监管系统网络安全设计和建设.docVIP

浅谈无锡环卫信息监管系统网络安全设计和建设 　　【摘要】：随着计算机系统功能的日益完善和速度的不断提高，系统组成越来越复杂，系统规模越来越大，特别是Internet的迅速发展，存取控制、逻辑连接数量不断增加，软件规模空前膨胀，网络开发者太过于重视“美化”，例如外观、速度、简单易用，但是不够重视撰写安全的原始码，让网站和应用程序的弱点都暴露在黑客面前。 　　就计算机系统的应用而言，安全技术涉及计算机技术、通信技术、存取控制技术、校验认证技术、容错技术、加密技术、防病毒技术、抗干扰技术、防泄露技术等等，因此是一个非常复杂的综合问题，并且其技术、方法和措施都要随着系统应用环境的变化而不断变化。人们往往首先关注系统功能，然后才被动的从现象注意系统应用的安全问题。因此广泛存在着重应用、轻安全、法律意识淡薄的普遍现象。计算机系统的安全是相对不安全而言的，许多危险、隐患和攻击都是隐蔽的、潜在的、难以明确却又广泛存在的。 　　本文从分析无锡环卫信息监管系统网络安全现状出发，详细阐述了当前存在的隐患和弊端，明确指出了今夏网络安全建设的紧迫性。 　　【关键词】：环卫信息化、网络安全、设计、建设 　　中图分类号： TN711 文献标识码： A 文章编号： 　　一、网络结构与情况现状分析 　　无锡环卫信息监管系统所处网络结构主要由数据存储区、核心网络区与核心业务区3部分组成。 　　网络结构清晰简单，在网络接入层，服务器与办公终端通过与思科接入交换机3560V2相连接入内网，网络核心层由思科核心交换机3560G（单点）进行快速数据交换，在网络边界处，深信服设备串联防火墙配置静态路由接入互联网，并提供基础的安全防护功能。主要网络设备（诸如防火墙、核心交换机、深信服设备）cpu、内存等资源使用不存在紧张情况，存在性能闲余，有效实现网络设备对系统数据处理的冗余空间；部署深信服上网行为管理，并通过该设备进行带宽分配控制，保障基础应用满足高峰期业务带宽需求； 　　在思科核心交换机3560G上根据部门的工作职能、信息数据重要性进行vlan划分，将服务器区与业务终端区划分进不同网段进行管理； 　　在互联网边界处部署防火墙设备，启用访问控制功能，实现对网段级的数据流量允许/拒绝的过滤；同时通过部署深信服设备，实现对非法外联行为的有效检测和阻断，增强网络边界的安全性与完整性； 　　深信服设备采用透明模式部署，启用对arp攻击、DNS攻击，危险行为告警，并对端口扫描、恶意脚本、协议异常和病毒进行监视，并启用日志功能，对设备本身运行状况、网络流量、 用户行为进行详细记录，上述措施在一定程度上实现对网络攻击、入侵、异常等行为安全防范，提高网络内部的安全性。 　　二、网络安全问题风险与隐患分析 　　根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）要求，目前网络中存在如下安全问题以及它们所可能导致的风险与隐患： 　　网络拓扑图存在漏缺、网络结构混乱，外网服务器与内部办公服务器放置于同一网段，一旦外网服务器发生问题可能影响内部其他服务器；未及时更新、缺少详细标准或不完整的资料文档增加了排障、拓展、新设备（硬、软件）部署、网络规划设计等方面的工作量与工作难度，并且无法定位有效的网络基线，该问题易使对内部网络安全问题进行分析溯源时，造成盲区； 　　部署在网络边界处的深信服行为管理设备能够对部分攻击行为进行监视和告警，但依然存在无法覆盖之处，例如不存在有效措施对木马、后门、缓冲区溢出、IP碎片攻击和其他常见的网络攻击行为进行精确监测和定位，对入侵行为的防御能力较弱； 　　核心交换机与边界防火墙存在登录失败达到一定次数后结束会话，但无法对账户采用锁定、警告等安全措施，登录失败功能存在一定的不完善； 　　部分网络设备未通过安全配置或制度要求规范仅采用ssh等安全加密方式进行远程管理，开放telnet明文访问措施容易使管理鉴别信息等明感数据在传输过程中被窃听； 　　核心交换机上未根据相应安全规则配置ACL对vlan间互访进行安全控制，缺少安全策略严格控制内部vlan间访问，会削弱应用层面的安全功能，无法增强网络的安全性； 　　部分网络设备未启用日志审计功能，无法有效定位设备的安全事件与运行状况，发生安全问题或故障时，无法进行及时有效的溯源；缺少审计日志使得管理员无法及时掌握设备性能、安全操作以及异常状况等情况。 　　三、加强网络安全建设的设想 　　网络安全区域是由同一局域网交换机域中1 个或多个VLAN 组成的，区域与区域之间相互物理或逻辑隔离。因此，可以将网络安全区域的边界做为网络安全防护的限制点、检测点和中断点，实施网络用户认证，限制网络访问；检测网络数据流量，提供各种异常流量报警；监测网络运转情况，阻断各种攻击行