亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        道路客運聯(lián)網售票安全系統(tǒng)設計淺析

        2017-12-13 05:51:07高玉斌
        運輸經理世界 2017年8期
        關鍵詞:網段訪問控制IP地址

        文/高玉斌

        道路客運聯(lián)網售票安全系統(tǒng)設計淺析

        文/高玉斌

        道路客運聯(lián)網售票系統(tǒng)主要面向四類服務對象:出行公眾、汽車客運站、客運企業(yè)和行業(yè)主管部門。系統(tǒng)運行過程中存儲了大量的行業(yè)經營數據和旅客身份信息,如何保障系統(tǒng)安全、可靠、連續(xù)及穩(wěn)定性運行是非常重要的,安全系統(tǒng)的建設在項目中不可或缺。

        安全系統(tǒng)設計原則

        根據國家信息安全等級保護相關要求,安全系統(tǒng)建設以基本滿足安全保護要求為原則。道路客運聯(lián)網售票安全系統(tǒng)設計應堅持以下原則:

        1.嚴格執(zhí)行《信息系統(tǒng)安全等級保護基本要求》(GB/T22239-2008)、《信息技術安全技術信息安全管理體系要求》(GB/T22080-2008)、《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859-1999)等國家標準。

        2.堅持安全區(qū)域邊界保護的原則。區(qū)域邊界是信息系統(tǒng)中計算環(huán)境之間以及計算環(huán)境與通信網絡之間完成聯(lián)接的部件,安全區(qū)域邊界是具有確定安全等級保護能力的區(qū)域邊界。聯(lián)網售票安全系統(tǒng)應根據信息系統(tǒng)組成結構、訪問對象、保護監(jiān)控要求以及安全責任等元素進行合理的安全區(qū)域劃分,設計合理有效的區(qū)域邊界保護措施,實現(xiàn)安全區(qū)域之間的安全訪問控制。

        3.堅持縱深防御的原則??v深防御要在各個不同層面、不同方面實施安全方案,避免出現(xiàn)疏漏,不同安全方案之間需要相互配合,構成一個整體。聯(lián)網售票安全系統(tǒng)應從通信網絡、局域網絡邊界、局域網絡內部、各種業(yè)務應用平臺等各個層次落實安全措施,形成縱深防御體系。

        4.堅持動態(tài)發(fā)展的原則。聯(lián)網售票安全系統(tǒng)不僅考慮滿足目前基本的、必須的安全需求,還應考慮隨著汽車站客流量的增加和網絡安全技術的發(fā)展,不斷調整安全策略,應對不斷變化的網絡安全環(huán)境。

        安全系統(tǒng)技術設計

        道路客運聯(lián)網售票安全系統(tǒng)技術方面應從物理安全、網絡安全、主機安全、應用安全和數據安全等5個層面進行設計。

        (一)物理安全設計

        物理安全主要涉及的方面包括環(huán)境安全(防火、防水、防雷擊等)設備和介質的防盜竊防破壞等方面。具體的有:

        1.供配電系統(tǒng)

        機房的供配電系統(tǒng)要求能保證對機房內的主機、服務器、網絡設備、通訊設備等的電源供應在任何情況下都不會間斷,要求兩路以上的市電供應,N+1冗余的自備發(fā)電機系統(tǒng),并配備UPS系統(tǒng),具有穩(wěn)壓器、過壓防護設備等,能夠保障電力的安全穩(wěn)定不間斷供應。

        上圖:道路客運聯(lián)網售票安全系統(tǒng)關乎行業(yè)經營數據和旅客身份信息等

        下圖:道路客運聯(lián)網售票安全系統(tǒng)網絡拓撲圖

        2.防火防水

        機房應設置滅火設備和火災自動報警裝置,應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透。

        3.防雷擊

        為了保證機房的各種設備安全,機房應設置避雷裝置、交流電源地線,要求機房設有四種接地形式,即計算機專用直流邏輯地、配電系統(tǒng)交流工作地、安全保護地、防雷保護地。

        4.門禁

        機房應建立實用、高效的門禁系統(tǒng),門禁系統(tǒng)需要注意的原則是安全可靠、簡單易用、分級制度、中央控制和多種識別方式的結合。機房出入口應安排專人值守,控制、鑒別和記錄進入的人員,并對進入的人員審核批準。

        5.保安監(jiān)控

        機房的保安監(jiān)控包括閉路監(jiān)視系統(tǒng)、通道報警系統(tǒng)和人工監(jiān)控系統(tǒng)。

        (二)網絡安全設計

        聯(lián)網售票系統(tǒng)內外網兩個部分,通過安全隔離網閘進行內外網信息交換。網絡安全為聯(lián)網售票系統(tǒng)在網絡環(huán)境的安全運行提供支持。一方面,確保網絡設備的安全運行,提供有效的網絡服務,另一方面,確保在聯(lián)網售票業(yè)務網上傳輸數據的保密性、完整性和可用性等。

        網絡安全設計的重點包括:網絡結構、網絡邊界以及網絡設備自身安全等,具體包括:結構安全、訪問控制、安全審計、入侵防范等四個方面。

        結構安全。網絡規(guī)劃時應避免將重要網段部署在網絡邊界處且直接連接外部信息系統(tǒng),重要網段與其他網段之間采取可靠的技術隔離手段;采用IPS技術、防火墻技術,實現(xiàn)重要網段和其他網段的邏輯隔離;核心交換位置通過設備冗余保障業(yè)務;廣域網通過主備線路保障業(yè)務;通過帶寬保障技術保證重要主機能夠正常運行。

        對于道路客運聯(lián)網售票系統(tǒng)信息安全建設,應當以適度風險為核心,以重點保護為原則,從業(yè)務的角度出發(fā),保護重要的業(yè)務系統(tǒng)

        訪問控制。通過防火墻技術,對用戶網絡和互聯(lián)網之間的連接、和其它業(yè)務往來單位的網絡連接、用戶內部網絡不同部門之間的連接等進行訪問控制;用戶終端接入網絡進行有效控制。

        安全審計。通過安全審計系統(tǒng),對網絡流量監(jiān)測以及對異常流量識別和報警、對網絡設備運行情況監(jiān)測,對用戶行為進行安全升級。通過對以上方面的記錄分析,形成報表,并在一定情況下發(fā)出報警、阻斷等動作。

        入侵防范。通過入侵保護系統(tǒng)監(jiān)視所在網段內的各種數據包,對每一個數據包或可疑數據包進行分析,如果數據包與內置的規(guī)則吻合,入侵保護系統(tǒng)就會記錄事件的各種信息,并及時阻斷。

        1.IP地址規(guī)則

        根據聯(lián)網售票中心的網絡管理及應用需要,聯(lián)網售票中心的IP地址分為公網IP地址和私有IP地址兩部分。公網IP地址由聯(lián)網售票中心向ISP或NIC申請,在申請IP地址時應充分考慮其擴展性。私有IP地址由聯(lián)網售票中心自行設計,應該使用Internet保留的IP地址網段。

        在進行數據中心的IP地址規(guī)劃時,應注意以下幾點:

        (1)私有IP地址A類10.*.*.*,采用3000信息點以上的大型規(guī)模網絡。

        (2)私有IP地址B類172.16.*.*-172.31.*.*,采用2000信息點以下的中型規(guī)模網絡。

        (3)私有IP地址C類192.168.*.*,采用500信息點以下的小型規(guī)模網絡。

        (4)loopback地址采用32位掩碼,奇數表示路由器,偶數表示交換機。

        (5)網絡設備接口地址務采用30位掩碼的地址。核心設備,使用較小的一個地址(即:loopback地址較小的設備使用互聯(lián)地址中較小的一個)?;ヂ?lián)地址通常要聚合后發(fā)布,在規(guī)劃時要充分考慮使用連續(xù)的可聚合地址。

        2.內部網絡設計

        內部網絡劃分為網絡出口、核心數據、綜合應用和運維管理等。網絡出口區(qū)域由核心路由器、接入路由器、核心交換機組成,其中核心交換機與核心路由器各兩臺進行雙機熱備。核心數據區(qū)域放置數據庫服務器,與核心交換機連接。綜合應用區(qū)域部署應用服務器,與核心交換機連接。運維管理區(qū)域放置防病毒服務器。

        3.外部網絡設計

        等級保護是國家信息安全建設的重要政策,其核心是對信息系統(tǒng)分等級、按標準進行建設、管理和監(jiān)督。對于道路客運聯(lián)網售票系統(tǒng)信息安全建設,應當以適度風險為核心,以重點保護為原則,從業(yè)務的角度出發(fā),保護重要的業(yè)務系統(tǒng)。

        4.網絡管理

        網絡管理的目標是保證網絡的安全、暢通及負載均衡,以使網絡穩(wěn)定、高效地運行。

        (三)主機安全設計

        主機系統(tǒng)安全是包括服務器、終端等在內的計算機設備在操作系統(tǒng)及數據庫系統(tǒng)層面的安全,是保護信息系統(tǒng)安全的中堅力量。其涉及的控制點包括:身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范和資源控制等七個控制點。

        1.身份鑒別

        聯(lián)網售票中心系統(tǒng)的重要信息都集中在WEB服務器、數據庫內,對可訪問、操作這些服務器、數據庫的人員,進行的嚴格的限定,安全性較高。聯(lián)網售票中心采用數字證書USB KEY與口令相結合的方式來進行身份鑒別。

        2.訪問控制

        在聯(lián)網售票系統(tǒng)中實施訪問控制是為了保證系統(tǒng)資源(操作系統(tǒng)和數據庫管理系統(tǒng))受控合法地使用。用戶只能根據自己的權限大小來訪問系統(tǒng)資源,不得越權訪問。應限制默認賬戶的訪問權限,重命名系統(tǒng)默認賬戶,修改這些賬戶的默認口令。

        3.安全審計

        對主機進行安全審計,目的是為了保持對操作系統(tǒng)和數據庫系統(tǒng)的運行情況以及系統(tǒng)用戶行為的跟蹤,以便事后追蹤分析。審計范圍應覆蓋到服務器上的每個操作系統(tǒng)用戶和數據庫用戶,審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等。

        4.剩余信息保護

        為保證存儲在硬盤、內存或緩沖區(qū)中的信息不被非授權的訪問,操作系統(tǒng)應對這些剩余信息加以保護。用戶的鑒別信息、文件、目錄等資源所在的存儲空間,操作系統(tǒng)將其完全清除之后,才釋放或重新分配給其他用戶。

        5.入侵防范

        通過主機本身的安全審計功能、網絡防病毒系統(tǒng)的入侵防御模塊對主機進行入侵防范以及UTM的區(qū)域訪問控制等手段來加強主機入侵防范。

        6.惡意代碼防范

        定期對服務器、終端進行漏洞掃描、系統(tǒng)補丁安裝情況等安全評估及系統(tǒng)安全加固來預防惡意代碼的侵害。

        7.資源控制

        應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄;設置登錄終端的操作超時鎖定;監(jiān)視服務器的CPU、硬盤、內存、網絡等資源的使用情況;限制單個用戶對系統(tǒng)資源的最大或最小使用限度。

        (四)應用安全設計

        應用系統(tǒng)的安全和其自身的設計和實現(xiàn)技術密切相關,其存在的漏洞也會給系統(tǒng)的安全帶來嚴重的隱患,因此通過應用安全技術和應用系統(tǒng)相結合是防護應用層安全的重要手段。

        在應用層面運行著聯(lián)網售票系統(tǒng)的基于網絡的應用以及特定業(yè)務應用?;诰W絡的應用是形成其他應用的基礎,包括消息發(fā)送、web瀏覽等,對應用系統(tǒng)的安全保護最終就是如何保護系統(tǒng)的各種業(yè)務應用程序安全運行。

        (五)數據安全設計

        聯(lián)網售票系統(tǒng)處理的各種數據(用戶數據、系統(tǒng)數據、業(yè)務數據等)在維持系統(tǒng)正常運行上起著至關重要的作用。一旦數據遭到破壞(泄漏、修改、毀壞),都會在不同程度上造成影響,從而危害到聯(lián)網售票系統(tǒng)的正常運行。由于聯(lián)網售票系統(tǒng)的各個層面(網絡、主機、應用等)都對各類數據進行傳輸、存儲和處理等,因此,對數據的保護需要物理環(huán)境、網絡、數據庫和操作系統(tǒng)、應用程序等提供支持。

        (作者單位:山西省道路運輸管理局)

        猜你喜歡
        網段訪問控制IP地址
        鐵路遠動系統(tǒng)幾種組網方式IP地址的申請和設置
        單位遭遇蠕蟲類病毒攻擊
        基于SNMP的IP地址管理系統(tǒng)開發(fā)與應用
        黑龍江電力(2017年1期)2017-05-17 04:25:16
        ONVIF的全新主張:一致性及最訪問控制的Profile A
        動態(tài)自適應訪問控制模型
        通信學報(2016年11期)2016-08-16 03:20:32
        淺析云計算環(huán)境下等級保護訪問控制測評技術
        大數據平臺訪問控制方法的設計與實現(xiàn)
        Onvif雙網段開發(fā)在視頻監(jiān)控系統(tǒng)中的應用
        三層交換技術在大型醫(yī)療設備互聯(lián)時的應用
        用RedHatLinux9.0實現(xiàn)雙出口路由
        国产人在线成免费视频| 亚洲一区日本一区二区| 国产午夜精品久久精品| 亚洲乱妇熟女爽到高潮视频高清| 国产猛男猛女超爽免费视频| 成人精品视频一区二区| 小荡货奶真大水真多紧视频| 亚洲av无码不卡| 国产毛片网| 免费一级黄色大片久久久| 中文字幕精品永久在线| 三上悠亚亚洲精品一区| 日本护士xxxxhd少妇| 国语对白做受xxxxx在| 岛国AV一区二区三区在线观看| 国产喷白浆精品一区二区| 午夜视频一区二区在线观看| 狠狠躁天天躁无码中文字幕图| 最爽无遮挡行房视频| 色视频www在线播放国产人成| 精品国产91久久综合| 男人的天堂av你懂得| 国产太嫩了在线观看| 免费人成在线观看视频播放| 精品无码久久久久久久动漫| 人妻爽综合网| 国产日产高清一区二区三区| 午夜爽爽爽男女免费观看影院| 无码乱人伦一区二区亚洲一| 天天躁人人躁人人躁狂躁| 国产三级国产精品三级在专区| 那有一级内射黄片可以免费看| 丰满少妇作爱视频免费观看| 国产成人精品电影在线观看 | 国产亚洲成人精品久久| 真实国产乱子伦精品视频| 国産精品久久久久久久| 青青草视频网站免费观看| 自拍视频在线观看国产| 国内成+人 亚洲+欧美+综合在线| 456亚洲人成影视在线观看|