焦作大学学报网络工程师论文范文

发布时间：2014-08-21 14:34:54更新时间：2014-08-21 14:35:24所属分类：焦作大学学报浏览：1次

随着我国国际地位的不断提高和经济的持续发展，我国的网络信息和重要信息系统面临越来越多的威胁，网络违法犯罪持续大幅上升，计算机病毒传播和网络非法入侵十分猖獗，犯罪分子利用一些安全漏洞，使用木马间谍程序、网络钓鱼技术、黑客病毒技术等技术进行网

　　随着我国国际地位的不断提高和经济的持续发展，我国的网络信息和重要信息系统面临越来越多的威胁，网络违法犯罪持续大幅上升，计算机病毒传播和网络非法入侵十分猖獗，犯罪分子利用一些安全漏洞，使用木马间谍程序、网络钓鱼技术、黑客病毒技术等技术进行网络诈骗、网络盗窃、网络赌博等违法犯罪，给用户造成严重损失，因此，维护网络信息安全的任务非常艰巨、繁重，加强网络信息安全等级保护建设刻不容缓。

　　摘要：从物理安全、主机安全、网络安全、应用安全和数据安全五个方面介绍网络信息安全等级保护建设，结合特定的信息系统(医院信息管理系统)，介绍基于等级保护的网络安全技术要求、安全策略及安全技术，可供用户的等级保护建设参考。

　　关键词：焦作大学学报,等级保护,网络安全,信息安全,安全防范

　　1 网络信息安全等级保护

　　信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。网络信息安全等级保护体系包括技术和管理两大部分，如图1所示，其中技术要求分为数据安全、应用安全、网络安全、主机安全、物理安全五个方面进行建设。

　　图1 等级保护基本安全要求

　　1) 物理安全

　　物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。

　　2) 主机安全

　　主机系统安全是计算机设备(包括服务器、终端/工作站等)在操作系统及数据库系统层面的安全;通过部署终端安全管理系统(TSM)，准入认证网关(SACG)，以及专业主机安全加固服务，可以实现等级保护对主机安全防护要求。

　　3) 网络安全

　　网络是保障信息系统互联互通基础，网络安全防护重点是确保网络之间合法访问，检测，阻止内部，外部恶意攻击;通过部署统一威胁管理网关USG系列，入侵检测/防御系统NIP，Anti-DDoS等网络安全产品，为合法的用户提供合法网络访问，及时发现网络内部恶意攻击安全威胁。

　　4) 应用安全

　　应用安全就是保护系统的各种应用程序安全运行，包括各种基本应用，如：消息发送、web浏览等;业务应用，如：电子商务、电子政务等;部署的文档安全管理系统(DSM)，数据库审计UMA-DB，防病毒网关AVE等产品。并且通过安全网关USG实现数据链路传输IPSec VPN加密，数据灾备实现企业信息系统数据防护，降低数据因意外事故，或者丢失给造成危害。

　　5) 数据安全

　　数据安全主要是保护用户数据、系统数据、业务数据的保护;通过对所有信息系统，网络设备，安全设备，服务器，终端机的安全事件日志统一采集，分析，输出各类法规要求安全事件审计报告，制定标准安全事件应急响应工单流程。

　　2 应用实例

　　近年来卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作，某医院的核心系统按照等级保护三级标准建设信息系统安全体系，全面保护医院内网系统与外网系统的信息安全。

　　医院网络的安全建设核心内容是将网络进行全方位的安全防护，不是对整个系统进行同一等级的保护，而是针对系统内部的不同业务区域进行不同等级的保护;通过安全域划分，实现对不同系统的差异防护，并防止安全问题扩散。业务应用以及基础网络服务、日常办公终端之间都存在一定差异，各自可能具有不同的安全防护需求，因此需要将不同特性的系统进行归类划分安全域，并明确各域边界，分别考虑防护措施。经过梳理后的医院网络信息系统安全区域划分如图2所示，外网是一个星型的快速以太交换网，核心为一台高性能三层交换机，下联内网核心交换机，上联外网服务器区域交换机和DMZ隔离区，外联互联网出口路由器，内网交换机向下连接信息点(终端计算机)，外网核心交换机与内网核心交换机之间采用千兆光纤链路，内网交换机采用百兆双绞线链路下联终端计算机，外网的网络安全设计至关重要，直接影响到等级保护系统的安全性能。

　　图 2 医院网络信息系统安全区域划分图

　　2.1外网网络安全要求

　　系统定级为3级，且等级保护要求选择为S3A2G3，查找《信息系统安全等级保护基本要求》得到该系统的具体技术要求选择，外网网络安全要求必须满足如下要求：边界完整性检查(S3) 、入侵防范(G3) 、结构安全(G3) 、访问控制(G3) 、安全审计(G3) 、恶意代码防范(G3) 和网络设备防护(G3) 。

　　2.2网络安全策略

　　根据对医院外网机房区域安全保护等级达到安全等级保护3级的基本要求，制定相应的网络安全策略

　　1) 网络拓扑结构策略

　　要合理划分网段，利用网络中间设备的安全机制控制各网络间的访问。要采取一定的技术措施，监控网络中存在的安全隐患、脆弱点。并利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。

　　2) 访问控制策略

　　访问控制为网络访问提供了第一层访问控制，它控制哪些用户能够连入内部网络，那些用户能够通过哪种方式登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。

　　3) 网络入侵检测策略 　　系统中应该设置入侵检测策略，动态地监测网络内部活动并做出及时的响应。

　　4) 网络安全审计策略

　　系统中应该设置安全审计策略，收集并分析网络中的访问数据，从而发现违反安全策略的行为。

　　5) 运行安全策略

　　运行安全策略包括：建立全网的运行安全评估流程，定期评估和加固网络设备及安全设备。

　　2.3网络安全设计

　　根据对医院外网安全保护等级达到安全等级保护3级的基本要求，外网的网络安全设计包括网络访问控制，网络入侵防护，网络安全审计和其他安全设计。

　　1) 网络访问控制

　　实现以上等级保护的最有效方法就是在外网中关键网络位置部署防火墙类网关设备，采用一台天融信网络卫士猎豹防火墙、一台CISCO公司的PIX515和一台网络卫士入侵防御系统TopIDP。

　　①外网互联网边界防火墙：在局域网与互联网边界之间部署CISCO公司的PIX515百兆防火墙，该防火墙通过双绞线连接核心交换区域和互联网接入区域，对外网的互联网接入提供边界防护和访问控制。

　　②对外服务区域边界防火墙：对外服务区域与安全管理区域边界部署一台千兆防火墙(天融信NGFW4000-UF)，该防火墙通过光纤连接核心交换机和对外服务区域交换机，通过双绞线连接区域内服务器，对其他区域向对外服务区域及安全管理区域的访问行为进行控制，同时控制两个区域内部各服务器之间的访问行为。

　　③网络入侵防御系统：在托管机房区域边界部署一台网络入侵防御系统，该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机，为托管机房区域提供边界防护和访问控制。

　　2) 网络入侵防护

　　外网局域网的对外服务区域，防护级别为S2A2G2，重点要实现区域边界处入侵和攻击行为的检测，因此在局域网的内部区域边界部署网络入侵检测系统(天融信网络入侵防御系统TopIDP);对于外网托管机房的网站系统，防护级别为S3A2G3，由于其直接与互联网相连，不仅要实现区域边界处入侵和攻击行为的检测，还要能够有效防护互联网进来的攻击行为，因此在托管机房区域边界部署网络入侵防御系统(启明星辰天阗NS2200)。

　　①网络入侵防御系统：在托管机房区域边界部署一台采用通明模式的网络入侵防御系统，该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机，其主要用来防御来自互联网的攻击流量。

　　②网络入侵检测系统：在外网的核心交换机上部署一台千兆IDS系统，IDS监听端口类型需要和核心交换机对端的端口类型保持一致;在核心交换机上操作进行一对一监听端口镜像操作，将对外服务区域与核心交换区域之间链路，以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量，镜像至IDS监听端口;IDS用于对访问对外服务区域的数据流量，访问安全管理区域的数据流量，以及访问互联网的数据流量进行检测。

　　3) 网络安全审计

　　信息安全审计管理应该管理最重要的核心网络边界，在外网被审计对象不仅仅包括对外服务区域中的应用服务器和安全管理区域的服务器等的访问流量，还要对终端的互联网访问行为进行审计;此外重要网络设备和安全设备也需要列为审计和保护的对象。

　　由于终端的业务访问和互联网访问都需要在网络设备产生访问流量，因此在外网的核心交换机上部署网络行为审计系统(天融信网络行为审计 TopAudit)，交换机必需映射一个多对一抓包端口，网络审计引擎通过抓取网络中的数据包，并对抓到的包进行分析、匹配、统计，从而实现网络安全审计功能。

　　①在外网的核心交换机上部署一台千兆网络安全审计系统，监听端口类型需要和核心交换机对端的端口类型保持一致，使用光纤接口;

　　②在核心交换机上操作进行一对一监听端口镜像操作，将对外服务区域与核心交换区域之间链路，以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量，镜像至网络安全审计系统的监听端口;

　　③网络安全审计系统用于对访问对外服务区域的数据流量，访问安全管理区域的数据流量，以及访问互联网的数据流量进行安全审计;

　　④开启各区域服务器系统、网络设备和安全设备的日志审计功能。

　　4) 其他网络安全设计

　　其他网络安全设计包括边界完整性检查，恶意代码防范，网络设备防护，边界完整性检查等。

　　①边界完整性检查：在托管机房的网络设备上为托管区域服务器划分独立VLAN，并制定严格的策略，禁止其他VLAN的访问，只允许来自网络入侵防御系统外部接口的访问行为;对服务器系统进行安全加固，提升系统自身的安全访问控制能力;

　　②恶意代码防范：通过互联网边界的入侵防御系统对木马类、拒绝服务类、系统漏洞类、webcgi类、蠕虫类等恶意代码进行检测和清除;部署服务器防病毒系统，定期进行病毒库升级和全面杀毒，确保服务器具有良好的防病毒能力。

　　③网络设备防护：网络设备为托管机房单位提供，由其提供网络设备安全加固服务，应进行以下的安全加固：开启楼层接入交换机的接口安全特性，并作MAC绑定; 关闭不必要的服务(如：禁止CDP(Cisco Discovery Protocol)，禁止TCP、UDP Small服务等)， 登录要求和帐号管理， 其它安全要求(如：禁止从网络启动和自动从网络下载初始配置文件，禁止未使用或空闲的端口等)。

　　3 结束语

　　信息安全等级保护是实施国家信息安全战略的重大举措，也是我国建立信息安全保障体系的基本制度。作为国家信息安全保障体系建设的重要依据，在实行安全防护系统建设的过程中，应当按照等级保护的思想和基本要求进行建设，根据分级、分域、分系统进行安全建设的思路，针对一个特定的信息系统(医院信息管理系统)为例，提出全面的等级保护技术建设方案，希望能够为用户的等级保护建设提出参考。

　　参考文献：

　　[1] 徐宝海.市县级国土资源系统信息网络安全体系建设探讨[J].中国管理信息化，2014(4).

　　[2] 李光辉.全台网信息安全保障体系初探[J].电脑知识与技术，2013(33).

　　[3] 李茜.一个基于等级保护的高校数据中心信息系统安全方案[J].广西科学院学报，2013(2).

　　[4] 李昌俊.基于等级保护计检察信息系统网络安全体系[J].信息化建设，2013(2).

转载请注明来自：http://www.yueqikan.com/jzdxxb/43523.html

上一篇：焦作大学学报计算机论文范文
下一篇：焦作大学学报研究生论文范文参考