曹揚帆　鄭韜等

摘要：隨著山西煤炭等企業(yè)的整改，超載超限的治理任務(wù)艱巨。一些先進的技術(shù)以及現(xiàn)代化的網(wǎng)絡(luò)設(shè)備應(yīng)用到治理超載系統(tǒng)中，可以提升治超任務(wù)的方便性與快捷性，同時也使得治超工作能夠做到準確無誤。該文主要是通過對大同市科技治超網(wǎng)網(wǎng)絡(luò)需求進行分析，對科技治超網(wǎng)的網(wǎng)絡(luò)安全系統(tǒng)進行了全方位的設(shè)計，包括設(shè)備、系統(tǒng)、數(shù)據(jù)以及管理等方面的安全，其中涉及到的技術(shù)有防火墻、防病毒、入侵檢測、虛擬局域網(wǎng)、數(shù)據(jù)加密及備份技術(shù)，并給出了相應(yīng)的安全設(shè)計與實現(xiàn)方式。通過這些安全方面的設(shè)計與實施，可以為治超系統(tǒng)的安全提供可靠的保障，提高治超工作的科學性與高效性。

關(guān)鍵詞：科技治超；網(wǎng)絡(luò)；安全系統(tǒng)

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）32-7588-03

1 概述

1.1 課題來源及主要研究內(nèi)容

隨著新經(jīng)濟時代的發(fā)展，網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，信息化概念深入人心。山西省是煤炭工業(yè)大省，超載超重現(xiàn)象普遍存在。信息技術(shù)在不斷發(fā)展，原本的人工治超工作中的檢查車輛、手工制表、數(shù)據(jù)分析以及資料查詢一些過程都可以直接通過科技治超的網(wǎng)絡(luò)監(jiān)控系統(tǒng)以及數(shù)據(jù)處理系統(tǒng)代替完成，提高工作效率。大同市科技治超網(wǎng)絡(luò)系統(tǒng)是山西省科技治超網(wǎng)絡(luò)系統(tǒng)的一個重要組成部分。該網(wǎng)絡(luò)是專用網(wǎng)絡(luò)，如何提高網(wǎng)絡(luò)系統(tǒng)安全性，保障工作順利進行，保障網(wǎng)絡(luò)中的信息安全便顯得尤為重要。

1.2 安全風險分析

1.2.1 物理層安全分析

1） 環(huán)境安全：纜線等周圍存在一些可能是信息被竊取的隱患或者被破壞的隱患；

2） 設(shè)備安全：因斷電等等及其他原因?qū)е碌年P(guān)鍵設(shè)備的損壞或者服務(wù)中斷和數(shù)據(jù)丟失。也可能因防盜措施不力使得重要設(shè)備被盜竊，造成國家的重大損失。同時服務(wù)器等一些關(guān)鍵設(shè)備對室內(nèi)溫度有嚴格的要求，若溫度過高可能導(dǎo)致設(shè)備損壞。

1.2.2 系統(tǒng)運行安全分析

系統(tǒng)安全體現(xiàn)在：數(shù)據(jù)的備份和恢復(fù)、惡意代碼和計算機病毒的預(yù)防等方面；

1） 備份與恢復(fù)不到位造成的數(shù)據(jù)的丟失。

2） 主機在信息導(dǎo)入時可能感染病毒等造成文件丟失，可能使系統(tǒng)無法正常運行甚至癱瘓。

3） 對安全保密設(shè)備配置不合理，無法發(fā)揮安全防護能力。

1.2.3 信息安全分析

1） 系統(tǒng)和數(shù)據(jù)庫存在安全漏洞。

2） 訪問控制措施不到位：應(yīng)用系統(tǒng)的訪問控制不能達到精確控制的需要。

1.2.4 管理安全分析

1） 缺乏所需的防護設(shè)備，造成未被授權(quán)的人員進入受控區(qū)域；一些重要設(shè)備擺放在易被盜取的位置。

2） 內(nèi)部人員無意中可能泄露系統(tǒng)管理的信息。

2 科技治超網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計與實現(xiàn)

2.1 網(wǎng)絡(luò)平臺

2.1.1 防火墻的布置

大同市科技治超網(wǎng)市中心所用的防火墻為F1000-S-E1，它具有虛擬防火墻、攻擊防范、流量控制、等除傳統(tǒng)防火墻所具有的功能，可以構(gòu)建多種形式的VPN。各縣區(qū)所采用的防火墻為U200-M，也具有防火墻、VPN、病毒防護等功能。由于市中心安裝有各種服務(wù)器等設(shè)計數(shù)據(jù)安全的設(shè)備，所以在服務(wù)器出口安裝防火墻F1000-S-E1，而在各縣區(qū)數(shù)據(jù)相對較少，對數(shù)據(jù)的安全要求相對較低，所以布置了防火墻U200-M，具體拓撲如圖1。

2.1.3 vpn技術(shù)的使用

vpn技術(shù)解決了遠程接入科技治超網(wǎng)的瓶頸問題。vpn技術(shù)的使用一般也都是通過防火墻實現(xiàn)的，如圖1所示，支持vpn的是vpn網(wǎng)關(guān)F1000-S-AI，它實現(xiàn)了遠程接入而同時又保護了整個網(wǎng)絡(luò)的安全。

2.1.4 入侵檢測系統(tǒng)的部署

入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備，無須跨接在任何鏈路上不產(chǎn)生任何網(wǎng)絡(luò)流量便可工作。結(jié)合科技治超網(wǎng)的拓撲分析可知將入侵檢測系統(tǒng)部署在和服務(wù)器相連接的核心交換機S12508上最為合適。

2.2 系統(tǒng)和應(yīng)用平臺

2.2.1 防病毒系統(tǒng)的實施

根據(jù)大同市科技治超網(wǎng)的特點，該系統(tǒng)在實施時可以在管理上進行分布管理，而由市中心防病毒服務(wù)器集中控制。目前大同市中心防病毒服務(wù)器安裝了瑞星防病毒軟件，由市一級防病毒服務(wù)器控制各縣區(qū)二級防病毒服務(wù)器，再由各縣區(qū)服務(wù)器對所屬系統(tǒng)的設(shè)備進行防病毒控制。防病毒服務(wù)器分為市中心的以及服務(wù)器和各縣區(qū)的二級服務(wù)器，以及服務(wù)器控制二級服務(wù)器，再由二級服務(wù)器控制各自范圍內(nèi)的客戶端。

2.2.2 漏洞掃描系統(tǒng)的實施

前文已經(jīng)提到在內(nèi)外網(wǎng)之間部署防火墻，防火墻是外網(wǎng)進入內(nèi)網(wǎng)的第一道屏障，當然能夠很大程度上保護治超網(wǎng)絡(luò)的安全，但是防火墻并不是萬能的，它也存在一些漏洞和盲點，這就有必要再在內(nèi)部網(wǎng)絡(luò)上部署漏洞掃描系統(tǒng)。大同市科技治超網(wǎng)管理軟件及服務(wù)器在更新時都會存在漏洞，系統(tǒng)很容易被侵入。漏洞掃描系統(tǒng)在部署時分為兩級，第一級系統(tǒng)布設(shè)在市中心，作為全網(wǎng)的監(jiān)控中心，第二級系統(tǒng)布設(shè)在各縣區(qū)，對本區(qū)局域網(wǎng)的漏洞進行掃描及安全評估。通常，只對服務(wù)器等進行一次漏洞掃描，對于科技治超網(wǎng)而言，網(wǎng)絡(luò)系統(tǒng)是不斷更新和變化的，在更新后，以前安全的軟件服務(wù)器等也可能會存在漏洞。這時候就需要采用合理的時間間隔對服務(wù)器、客戶機以及系統(tǒng)軟件進行漏洞掃描，盡量關(guān)閉不用的服務(wù)器，以便于管理。

2.2.3 系統(tǒng)的備份與冗余

考慮到大同市科技治超網(wǎng)對數(shù)據(jù)的可靠性要求較高，采用專用服務(wù)器對其他服務(wù)器等終端的數(shù)據(jù)加以備份。在進行備份方式的選擇上主要考慮系統(tǒng)的運行環(huán)境，操作系統(tǒng)類型等等一些相關(guān)參數(shù)。這樣在其他系統(tǒng)出現(xiàn)問題或丟失數(shù)據(jù)時可以進行恢復(fù)。

在科技治超網(wǎng)的備份服務(wù)器上安裝了Backup Exec軟件，在其他服務(wù)器需要備份的時候可以對其進行備份。同時在備份服務(wù)器上安裝了SQL數(shù)據(jù)庫備份軟件，在數(shù)據(jù)庫的數(shù)據(jù)出現(xiàn)問題時可通過已有的備份對數(shù)據(jù)庫的數(shù)據(jù)進行恢復(fù)。

2.3 安全管理平臺

2.3.1 對管理人員的管理

大同市科技治超網(wǎng)的管理人員主要包括設(shè)備管理員，軟件安全管理員，系統(tǒng)運行安全管理員，在對管理人員的選拔上要嚴格按照相關(guān)制度進行選拔，選好人以后對相關(guān)的管理人員進行相應(yīng)的技術(shù)培訓。在工作過程中對這些人員的業(yè)務(wù)素養(yǎng)定期考核。

2.3.2 對硬件的安全管理

硬件平臺的安全措施有：

1）所有設(shè)備都鎖在機柜內(nèi)，機柜門鑰匙進行專人控制。

2）設(shè)備端口上所有的連接線均粘貼線標，對沒有粘貼線標的線路檢查時要予以拔除。

3）機柜內(nèi)所有設(shè)備的電源均接入到機柜內(nèi)的防雷插板上，機柜及設(shè)備均接地。

2.3.3 對軟件的安全管理

對軟件的安全管理主要就是針對操作系統(tǒng)、應(yīng)用型軟件以及數(shù)據(jù)庫的管理。在購買軟件以后，對軟件登記在冊，由相應(yīng)的專業(yè)管理員進行保管，在安裝時在專業(yè)人員指導(dǎo)下安裝。

2.3.4 對系統(tǒng)運行環(huán)境的管理

3 結(jié)束語

本文針對大同市科技治超網(wǎng)的安全系統(tǒng)的設(shè)計一方面是根據(jù)具體的真實的網(wǎng)絡(luò)設(shè)計進行分析。在業(yè)務(wù)運行穩(wěn)定后，明確羅列出了明細的訪問需求的情況下，屏蔽掉必須屏蔽的東西，制定了準確的防火墻策略。當今社會網(wǎng)絡(luò)發(fā)展迅猛，網(wǎng)絡(luò)設(shè)備的更新加快，該安全系統(tǒng)并不能夠保證新入侵技術(shù)下的系統(tǒng)的絕對安全，但是文中的設(shè)計已足以保障目前科技治超網(wǎng)的安全需求，新的需求則有待在實踐中檢驗。

參考文獻：

[1] 王春，林海波.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].北京：清華大學出版社，2009.

[2] 雷震甲.網(wǎng)絡(luò)工程師教程[M].北京：清華大學出版社，2009.

[3] 譚偉賢，楊力平.計算機網(wǎng)絡(luò)安全教程[M].長沙：國防工業(yè)出版社，2011.

[4] Ptacek，Newsham.Evasion and Denial of Service Eluding Network Instruction Election [M].Secure Networks，2008.

摘要：隨著山西煤炭等企業(yè)的整改，超載超限的治理任務(wù)艱巨。一些先進的技術(shù)以及現(xiàn)代化的網(wǎng)絡(luò)設(shè)備應(yīng)用到治理超載系統(tǒng)中，可以提升治超任務(wù)的方便性與快捷性，同時也使得治超工作能夠做到準確無誤。該文主要是通過對大同市科技治超網(wǎng)網(wǎng)絡(luò)需求進行分析，對科技治超網(wǎng)的網(wǎng)絡(luò)安全系統(tǒng)進行了全方位的設(shè)計，包括設(shè)備、系統(tǒng)、數(shù)據(jù)以及管理等方面的安全，其中涉及到的技術(shù)有防火墻、防病毒、入侵檢測、虛擬局域網(wǎng)、數(shù)據(jù)加密及備份技術(shù)，并給出了相應(yīng)的安全設(shè)計與實現(xiàn)方式。通過這些安全方面的設(shè)計與實施，可以為治超系統(tǒng)的安全提供可靠的保障，提高治超工作的科學性與高效性。

關(guān)鍵詞：科技治超；網(wǎng)絡(luò)；安全系統(tǒng)

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）32-7588-03

1 概述

1.1 課題來源及主要研究內(nèi)容

隨著新經(jīng)濟時代的發(fā)展，網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，信息化概念深入人心。山西省是煤炭工業(yè)大省，超載超重現(xiàn)象普遍存在。信息技術(shù)在不斷發(fā)展，原本的人工治超工作中的檢查車輛、手工制表、數(shù)據(jù)分析以及資料查詢一些過程都可以直接通過科技治超的網(wǎng)絡(luò)監(jiān)控系統(tǒng)以及數(shù)據(jù)處理系統(tǒng)代替完成，提高工作效率。大同市科技治超網(wǎng)絡(luò)系統(tǒng)是山西省科技治超網(wǎng)絡(luò)系統(tǒng)的一個重要組成部分。該網(wǎng)絡(luò)是專用網(wǎng)絡(luò)，如何提高網(wǎng)絡(luò)系統(tǒng)安全性，保障工作順利進行，保障網(wǎng)絡(luò)中的信息安全便顯得尤為重要。

1.2 安全風險分析

1.2.1 物理層安全分析

1） 環(huán)境安全：纜線等周圍存在一些可能是信息被竊取的隱患或者被破壞的隱患；

2） 設(shè)備安全：因斷電等等及其他原因?qū)е碌年P(guān)鍵設(shè)備的損壞或者服務(wù)中斷和數(shù)據(jù)丟失。也可能因防盜措施不力使得重要設(shè)備被盜竊，造成國家的重大損失。同時服務(wù)器等一些關(guān)鍵設(shè)備對室內(nèi)溫度有嚴格的要求，若溫度過高可能導(dǎo)致設(shè)備損壞。

1.2.2 系統(tǒng)運行安全分析

系統(tǒng)安全體現(xiàn)在：數(shù)據(jù)的備份和恢復(fù)、惡意代碼和計算機病毒的預(yù)防等方面；

1） 備份與恢復(fù)不到位造成的數(shù)據(jù)的丟失。

2） 主機在信息導(dǎo)入時可能感染病毒等造成文件丟失，可能使系統(tǒng)無法正常運行甚至癱瘓。

3） 對安全保密設(shè)備配置不合理，無法發(fā)揮安全防護能力。

1.2.3 信息安全分析

1） 系統(tǒng)和數(shù)據(jù)庫存在安全漏洞。

2） 訪問控制措施不到位：應(yīng)用系統(tǒng)的訪問控制不能達到精確控制的需要。

1.2.4 管理安全分析

1） 缺乏所需的防護設(shè)備，造成未被授權(quán)的人員進入受控區(qū)域；一些重要設(shè)備擺放在易被盜取的位置。

2） 內(nèi)部人員無意中可能泄露系統(tǒng)管理的信息。

2 科技治超網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計與實現(xiàn)

2.1 網(wǎng)絡(luò)平臺

2.1.1 防火墻的布置

大同市科技治超網(wǎng)市中心所用的防火墻為F1000-S-E1，它具有虛擬防火墻、攻擊防范、流量控制、等除傳統(tǒng)防火墻所具有的功能，可以構(gòu)建多種形式的VPN。各縣區(qū)所采用的防火墻為U200-M，也具有防火墻、VPN、病毒防護等功能。由于市中心安裝有各種服務(wù)器等設(shè)計數(shù)據(jù)安全的設(shè)備，所以在服務(wù)器出口安裝防火墻F1000-S-E1，而在各縣區(qū)數(shù)據(jù)相對較少，對數(shù)據(jù)的安全要求相對較低，所以布置了防火墻U200-M，具體拓撲如圖1。

2.1.3 vpn技術(shù)的使用

vpn技術(shù)解決了遠程接入科技治超網(wǎng)的瓶頸問題。vpn技術(shù)的使用一般也都是通過防火墻實現(xiàn)的，如圖1所示，支持vpn的是vpn網(wǎng)關(guān)F1000-S-AI，它實現(xiàn)了遠程接入而同時又保護了整個網(wǎng)絡(luò)的安全。

2.1.4 入侵檢測系統(tǒng)的部署

入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備，無須跨接在任何鏈路上不產(chǎn)生任何網(wǎng)絡(luò)流量便可工作。結(jié)合科技治超網(wǎng)的拓撲分析可知將入侵檢測系統(tǒng)部署在和服務(wù)器相連接的核心交換機S12508上最為合適。

2.2 系統(tǒng)和應(yīng)用平臺

2.2.1 防病毒系統(tǒng)的實施

根據(jù)大同市科技治超網(wǎng)的特點，該系統(tǒng)在實施時可以在管理上進行分布管理，而由市中心防病毒服務(wù)器集中控制。目前大同市中心防病毒服務(wù)器安裝了瑞星防病毒軟件，由市一級防病毒服務(wù)器控制各縣區(qū)二級防病毒服務(wù)器，再由各縣區(qū)服務(wù)器對所屬系統(tǒng)的設(shè)備進行防病毒控制。防病毒服務(wù)器分為市中心的以及服務(wù)器和各縣區(qū)的二級服務(wù)器，以及服務(wù)器控制二級服務(wù)器，再由二級服務(wù)器控制各自范圍內(nèi)的客戶端。

2.2.2 漏洞掃描系統(tǒng)的實施

前文已經(jīng)提到在內(nèi)外網(wǎng)之間部署防火墻，防火墻是外網(wǎng)進入內(nèi)網(wǎng)的第一道屏障，當然能夠很大程度上保護治超網(wǎng)絡(luò)的安全，但是防火墻并不是萬能的，它也存在一些漏洞和盲點，這就有必要再在內(nèi)部網(wǎng)絡(luò)上部署漏洞掃描系統(tǒng)。大同市科技治超網(wǎng)管理軟件及服務(wù)器在更新時都會存在漏洞，系統(tǒng)很容易被侵入。漏洞掃描系統(tǒng)在部署時分為兩級，第一級系統(tǒng)布設(shè)在市中心，作為全網(wǎng)的監(jiān)控中心，第二級系統(tǒng)布設(shè)在各縣區(qū)，對本區(qū)局域網(wǎng)的漏洞進行掃描及安全評估。通常，只對服務(wù)器等進行一次漏洞掃描，對于科技治超網(wǎng)而言，網(wǎng)絡(luò)系統(tǒng)是不斷更新和變化的，在更新后，以前安全的軟件服務(wù)器等也可能會存在漏洞。這時候就需要采用合理的時間間隔對服務(wù)器、客戶機以及系統(tǒng)軟件進行漏洞掃描，盡量關(guān)閉不用的服務(wù)器，以便于管理。

2.2.3 系統(tǒng)的備份與冗余

考慮到大同市科技治超網(wǎng)對數(shù)據(jù)的可靠性要求較高，采用專用服務(wù)器對其他服務(wù)器等終端的數(shù)據(jù)加以備份。在進行備份方式的選擇上主要考慮系統(tǒng)的運行環(huán)境，操作系統(tǒng)類型等等一些相關(guān)參數(shù)。這樣在其他系統(tǒng)出現(xiàn)問題或丟失數(shù)據(jù)時可以進行恢復(fù)。

在科技治超網(wǎng)的備份服務(wù)器上安裝了Backup Exec軟件，在其他服務(wù)器需要備份的時候可以對其進行備份。同時在備份服務(wù)器上安裝了SQL數(shù)據(jù)庫備份軟件，在數(shù)據(jù)庫的數(shù)據(jù)出現(xiàn)問題時可通過已有的備份對數(shù)據(jù)庫的數(shù)據(jù)進行恢復(fù)。

2.3 安全管理平臺

2.3.1 對管理人員的管理

大同市科技治超網(wǎng)的管理人員主要包括設(shè)備管理員，軟件安全管理員，系統(tǒng)運行安全管理員，在對管理人員的選拔上要嚴格按照相關(guān)制度進行選拔，選好人以后對相關(guān)的管理人員進行相應(yīng)的技術(shù)培訓。在工作過程中對這些人員的業(yè)務(wù)素養(yǎng)定期考核。

2.3.2 對硬件的安全管理

硬件平臺的安全措施有：

1）所有設(shè)備都鎖在機柜內(nèi)，機柜門鑰匙進行專人控制。

2）設(shè)備端口上所有的連接線均粘貼線標，對沒有粘貼線標的線路檢查時要予以拔除。

3）機柜內(nèi)所有設(shè)備的電源均接入到機柜內(nèi)的防雷插板上，機柜及設(shè)備均接地。

2.3.3 對軟件的安全管理

對軟件的安全管理主要就是針對操作系統(tǒng)、應(yīng)用型軟件以及數(shù)據(jù)庫的管理。在購買軟件以后，對軟件登記在冊，由相應(yīng)的專業(yè)管理員進行保管，在安裝時在專業(yè)人員指導(dǎo)下安裝。

2.3.4 對系統(tǒng)運行環(huán)境的管理

3 結(jié)束語

本文針對大同市科技治超網(wǎng)的安全系統(tǒng)的設(shè)計一方面是根據(jù)具體的真實的網(wǎng)絡(luò)設(shè)計進行分析。在業(yè)務(wù)運行穩(wěn)定后，明確羅列出了明細的訪問需求的情況下，屏蔽掉必須屏蔽的東西，制定了準確的防火墻策略。當今社會網(wǎng)絡(luò)發(fā)展迅猛，網(wǎng)絡(luò)設(shè)備的更新加快，該安全系統(tǒng)并不能夠保證新入侵技術(shù)下的系統(tǒng)的絕對安全，但是文中的設(shè)計已足以保障目前科技治超網(wǎng)的安全需求，新的需求則有待在實踐中檢驗。

參考文獻：

[1] 王春，林海波.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].北京：清華大學出版社，2009.

[2] 雷震甲.網(wǎng)絡(luò)工程師教程[M].北京：清華大學出版社，2009.

[3] 譚偉賢，楊力平.計算機網(wǎng)絡(luò)安全教程[M].長沙：國防工業(yè)出版社，2011.

[4] Ptacek，Newsham.Evasion and Denial of Service Eluding Network Instruction Election [M].Secure Networks，2008.

摘要：隨著山西煤炭等企業(yè)的整改，超載超限的治理任務(wù)艱巨。一些先進的技術(shù)以及現(xiàn)代化的網(wǎng)絡(luò)設(shè)備應(yīng)用到治理超載系統(tǒng)中，可以提升治超任務(wù)的方便性與快捷性，同時也使得治超工作能夠做到準確無誤。該文主要是通過對大同市科技治超網(wǎng)網(wǎng)絡(luò)需求進行分析，對科技治超網(wǎng)的網(wǎng)絡(luò)安全系統(tǒng)進行了全方位的設(shè)計，包括設(shè)備、系統(tǒng)、數(shù)據(jù)以及管理等方面的安全，其中涉及到的技術(shù)有防火墻、防病毒、入侵檢測、虛擬局域網(wǎng)、數(shù)據(jù)加密及備份技術(shù)，并給出了相應(yīng)的安全設(shè)計與實現(xiàn)方式。通過這些安全方面的設(shè)計與實施，可以為治超系統(tǒng)的安全提供可靠的保障，提高治超工作的科學性與高效性。

關(guān)鍵詞：科技治超；網(wǎng)絡(luò)；安全系統(tǒng)

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）32-7588-03

1 概述

1.1 課題來源及主要研究內(nèi)容

隨著新經(jīng)濟時代的發(fā)展，網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，信息化概念深入人心。山西省是煤炭工業(yè)大省，超載超重現(xiàn)象普遍存在。信息技術(shù)在不斷發(fā)展，原本的人工治超工作中的檢查車輛、手工制表、數(shù)據(jù)分析以及資料查詢一些過程都可以直接通過科技治超的網(wǎng)絡(luò)監(jiān)控系統(tǒng)以及數(shù)據(jù)處理系統(tǒng)代替完成，提高工作效率。大同市科技治超網(wǎng)絡(luò)系統(tǒng)是山西省科技治超網(wǎng)絡(luò)系統(tǒng)的一個重要組成部分。該網(wǎng)絡(luò)是專用網(wǎng)絡(luò)，如何提高網(wǎng)絡(luò)系統(tǒng)安全性，保障工作順利進行，保障網(wǎng)絡(luò)中的信息安全便顯得尤為重要。

1.2 安全風險分析

1.2.1 物理層安全分析

1） 環(huán)境安全：纜線等周圍存在一些可能是信息被竊取的隱患或者被破壞的隱患；

2） 設(shè)備安全：因斷電等等及其他原因?qū)е碌年P(guān)鍵設(shè)備的損壞或者服務(wù)中斷和數(shù)據(jù)丟失。也可能因防盜措施不力使得重要設(shè)備被盜竊，造成國家的重大損失。同時服務(wù)器等一些關(guān)鍵設(shè)備對室內(nèi)溫度有嚴格的要求，若溫度過高可能導(dǎo)致設(shè)備損壞。

1.2.2 系統(tǒng)運行安全分析

系統(tǒng)安全體現(xiàn)在：數(shù)據(jù)的備份和恢復(fù)、惡意代碼和計算機病毒的預(yù)防等方面；

1） 備份與恢復(fù)不到位造成的數(shù)據(jù)的丟失。

2） 主機在信息導(dǎo)入時可能感染病毒等造成文件丟失，可能使系統(tǒng)無法正常運行甚至癱瘓。

3） 對安全保密設(shè)備配置不合理，無法發(fā)揮安全防護能力。

1.2.3 信息安全分析

1） 系統(tǒng)和數(shù)據(jù)庫存在安全漏洞。

2） 訪問控制措施不到位：應(yīng)用系統(tǒng)的訪問控制不能達到精確控制的需要。

1.2.4 管理安全分析

1） 缺乏所需的防護設(shè)備，造成未被授權(quán)的人員進入受控區(qū)域；一些重要設(shè)備擺放在易被盜取的位置。

2） 內(nèi)部人員無意中可能泄露系統(tǒng)管理的信息。

2 科技治超網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計與實現(xiàn)

2.1 網(wǎng)絡(luò)平臺

2.1.1 防火墻的布置

大同市科技治超網(wǎng)市中心所用的防火墻為F1000-S-E1，它具有虛擬防火墻、攻擊防范、流量控制、等除傳統(tǒng)防火墻所具有的功能，可以構(gòu)建多種形式的VPN。各縣區(qū)所采用的防火墻為U200-M，也具有防火墻、VPN、病毒防護等功能。由于市中心安裝有各種服務(wù)器等設(shè)計數(shù)據(jù)安全的設(shè)備，所以在服務(wù)器出口安裝防火墻F1000-S-E1，而在各縣區(qū)數(shù)據(jù)相對較少，對數(shù)據(jù)的安全要求相對較低，所以布置了防火墻U200-M，具體拓撲如圖1。

2.1.3 vpn技術(shù)的使用

vpn技術(shù)解決了遠程接入科技治超網(wǎng)的瓶頸問題。vpn技術(shù)的使用一般也都是通過防火墻實現(xiàn)的，如圖1所示，支持vpn的是vpn網(wǎng)關(guān)F1000-S-AI，它實現(xiàn)了遠程接入而同時又保護了整個網(wǎng)絡(luò)的安全。

2.1.4 入侵檢測系統(tǒng)的部署

入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備，無須跨接在任何鏈路上不產(chǎn)生任何網(wǎng)絡(luò)流量便可工作。結(jié)合科技治超網(wǎng)的拓撲分析可知將入侵檢測系統(tǒng)部署在和服務(wù)器相連接的核心交換機S12508上最為合適。

2.2 系統(tǒng)和應(yīng)用平臺

2.2.1 防病毒系統(tǒng)的實施

根據(jù)大同市科技治超網(wǎng)的特點，該系統(tǒng)在實施時可以在管理上進行分布管理，而由市中心防病毒服務(wù)器集中控制。目前大同市中心防病毒服務(wù)器安裝了瑞星防病毒軟件，由市一級防病毒服務(wù)器控制各縣區(qū)二級防病毒服務(wù)器，再由各縣區(qū)服務(wù)器對所屬系統(tǒng)的設(shè)備進行防病毒控制。防病毒服務(wù)器分為市中心的以及服務(wù)器和各縣區(qū)的二級服務(wù)器，以及服務(wù)器控制二級服務(wù)器，再由二級服務(wù)器控制各自范圍內(nèi)的客戶端。

2.2.2 漏洞掃描系統(tǒng)的實施

前文已經(jīng)提到在內(nèi)外網(wǎng)之間部署防火墻，防火墻是外網(wǎng)進入內(nèi)網(wǎng)的第一道屏障，當然能夠很大程度上保護治超網(wǎng)絡(luò)的安全，但是防火墻并不是萬能的，它也存在一些漏洞和盲點，這就有必要再在內(nèi)部網(wǎng)絡(luò)上部署漏洞掃描系統(tǒng)。大同市科技治超網(wǎng)管理軟件及服務(wù)器在更新時都會存在漏洞，系統(tǒng)很容易被侵入。漏洞掃描系統(tǒng)在部署時分為兩級，第一級系統(tǒng)布設(shè)在市中心，作為全網(wǎng)的監(jiān)控中心，第二級系統(tǒng)布設(shè)在各縣區(qū)，對本區(qū)局域網(wǎng)的漏洞進行掃描及安全評估。通常，只對服務(wù)器等進行一次漏洞掃描，對于科技治超網(wǎng)而言，網(wǎng)絡(luò)系統(tǒng)是不斷更新和變化的，在更新后，以前安全的軟件服務(wù)器等也可能會存在漏洞。這時候就需要采用合理的時間間隔對服務(wù)器、客戶機以及系統(tǒng)軟件進行漏洞掃描，盡量關(guān)閉不用的服務(wù)器，以便于管理。

2.2.3 系統(tǒng)的備份與冗余

考慮到大同市科技治超網(wǎng)對數(shù)據(jù)的可靠性要求較高，采用專用服務(wù)器對其他服務(wù)器等終端的數(shù)據(jù)加以備份。在進行備份方式的選擇上主要考慮系統(tǒng)的運行環(huán)境，操作系統(tǒng)類型等等一些相關(guān)參數(shù)。這樣在其他系統(tǒng)出現(xiàn)問題或丟失數(shù)據(jù)時可以進行恢復(fù)。

在科技治超網(wǎng)的備份服務(wù)器上安裝了Backup Exec軟件，在其他服務(wù)器需要備份的時候可以對其進行備份。同時在備份服務(wù)器上安裝了SQL數(shù)據(jù)庫備份軟件，在數(shù)據(jù)庫的數(shù)據(jù)出現(xiàn)問題時可通過已有的備份對數(shù)據(jù)庫的數(shù)據(jù)進行恢復(fù)。

2.3 安全管理平臺

2.3.1 對管理人員的管理

大同市科技治超網(wǎng)的管理人員主要包括設(shè)備管理員，軟件安全管理員，系統(tǒng)運行安全管理員，在對管理人員的選拔上要嚴格按照相關(guān)制度進行選拔，選好人以后對相關(guān)的管理人員進行相應(yīng)的技術(shù)培訓。在工作過程中對這些人員的業(yè)務(wù)素養(yǎng)定期考核。

2.3.2 對硬件的安全管理

硬件平臺的安全措施有：

1）所有設(shè)備都鎖在機柜內(nèi)，機柜門鑰匙進行專人控制。

2）設(shè)備端口上所有的連接線均粘貼線標，對沒有粘貼線標的線路檢查時要予以拔除。

3）機柜內(nèi)所有設(shè)備的電源均接入到機柜內(nèi)的防雷插板上，機柜及設(shè)備均接地。

2.3.3 對軟件的安全管理

對軟件的安全管理主要就是針對操作系統(tǒng)、應(yīng)用型軟件以及數(shù)據(jù)庫的管理。在購買軟件以后，對軟件登記在冊，由相應(yīng)的專業(yè)管理員進行保管，在安裝時在專業(yè)人員指導(dǎo)下安裝。

2.3.4 對系統(tǒng)運行環(huán)境的管理

3 結(jié)束語

本文針對大同市科技治超網(wǎng)的安全系統(tǒng)的設(shè)計一方面是根據(jù)具體的真實的網(wǎng)絡(luò)設(shè)計進行分析。在業(yè)務(wù)運行穩(wěn)定后，明確羅列出了明細的訪問需求的情況下，屏蔽掉必須屏蔽的東西，制定了準確的防火墻策略。當今社會網(wǎng)絡(luò)發(fā)展迅猛，網(wǎng)絡(luò)設(shè)備的更新加快，該安全系統(tǒng)并不能夠保證新入侵技術(shù)下的系統(tǒng)的絕對安全，但是文中的設(shè)計已足以保障目前科技治超網(wǎng)的安全需求，新的需求則有待在實踐中檢驗。

參考文獻：

[1] 王春，林海波.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].北京：清華大學出版社，2009.

[2] 雷震甲.網(wǎng)絡(luò)工程師教程[M].北京：清華大學出版社，2009.

[3] 譚偉賢，楊力平.計算機網(wǎng)絡(luò)安全教程[M].長沙：國防工業(yè)出版社，2011.

[4] Ptacek，Newsham.Evasion and Denial of Service Eluding Network Instruction Election [M].Secure Networks，2008.