莫培培　王朋

摘? 要：本文以天津海岸電臺為例研究海岸電臺信息安全等級保護(hù)，旨在提升海岸電臺信息系統(tǒng)安全運(yùn)行能力，增加信息系統(tǒng)抵御來自互聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊的能力，打造一個可信、可管、可控、可視的安全網(wǎng)絡(luò)環(huán)境，為進(jìn)出港口和海上航行的中外船用戶提供可靠的公共和公益服務(wù)。

關(guān)鍵詞：海岸電臺;信息安全;等級保護(hù)

一、研究背景

隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和計(jì)算機(jī)應(yīng)用的迅速普及，信息技術(shù)在各個領(lǐng)域均扮演著重要的角色，信息系統(tǒng)的全局性、基礎(chǔ)性作用日漸加強(qiáng)，但是其面臨的安全風(fēng)險也高速增長，由于黑客攻擊、病毒破壞等原因?qū)е碌慕?jīng)濟(jì)損失和不良影響屢見不鮮。網(wǎng)絡(luò)安全不僅僅關(guān)系到我國信息化建設(shè)的健康發(fā)展，而且也關(guān)系到國家在政治、經(jīng)濟(jì)以及國防方面的安全，同時也關(guān)系到我們國家社會的穩(wěn)定。

海岸電臺肩負(fù)著為交通安全暢通提供通信保障的職責(zé)，為進(jìn)出港口和海上航行的中外船用戶提供公共和公益服務(wù)。隨著信息化水平的不斷發(fā)展，海岸電臺在服務(wù)方式和服務(wù)內(nèi)容上不斷豐富，與此同時，也應(yīng)該高度重視數(shù)據(jù)保護(hù)與信息安全。通過做好信息安全等級保護(hù)工作，可以提升海岸電臺信息系統(tǒng)安全運(yùn)行能力，增加信息系統(tǒng)抵御來自互聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊的能力，打造一個可信、可管、可控、可視的安全網(wǎng)絡(luò)環(huán)境，從而避免信息系統(tǒng)遭到破壞后泄露單位的數(shù)據(jù)，以最大程度避免因涉密數(shù)據(jù)的丟失或被竊而承擔(dān)巨大的政治風(fēng)險與經(jīng)濟(jì)損失。

二、現(xiàn)狀分析

本文主要以天津海岸電臺現(xiàn)狀為例分析研究。

1、機(jī)房現(xiàn)狀

天津海岸電臺機(jī)房于2016年進(jìn)行改造擴(kuò)建，機(jī)房面積150平方米，機(jī)柜數(shù)量25個，內(nèi)有監(jiān)控?cái)z像頭，有溫濕度控制系統(tǒng)，可監(jiān)控機(jī)房內(nèi)溫濕度變化情況，機(jī)房采用2臺30KW精密空調(diào)，以主備工作模式進(jìn)行制冷。機(jī)房內(nèi)采用靜電地板設(shè)計(jì)，沒有防電磁干擾設(shè)施。機(jī)房具有火災(zāi)自動消防裝置。采用UPS+單路市電方式進(jìn)行供電，有備用發(fā)電機(jī)。新擴(kuò)建機(jī)房內(nèi)未部署自動消防系統(tǒng)，導(dǎo)致自動消防覆蓋面積為總機(jī)房面積的80%，沒有達(dá)到自動消防系統(tǒng)全覆蓋。由于機(jī)房面積擴(kuò)展以及設(shè)備增加，導(dǎo)致機(jī)房溫度控制需要與現(xiàn)有空調(diào)制冷能力不匹配。

2、網(wǎng)絡(luò)結(jié)構(gòu)現(xiàn)狀

天津海岸電臺網(wǎng)絡(luò)結(jié)構(gòu)主要分為海事信息專網(wǎng)和互聯(lián)網(wǎng)區(qū)兩大區(qū)域，專網(wǎng)與互聯(lián)網(wǎng)之間通過隔離網(wǎng)閘進(jìn)行隔離?；ヂ?lián)網(wǎng)邊界處部署了網(wǎng)神防火墻，并配置訪問控制策略;互聯(lián)網(wǎng)辦公區(qū)邊界處部署了天融信入侵檢測系統(tǒng)和網(wǎng)康上網(wǎng)行為管理系統(tǒng)以及網(wǎng)神防毒墻;內(nèi)網(wǎng)核心交換機(jī)采用冗余設(shè)計(jì)（VRRP），并旁路部署了網(wǎng)神漏洞掃描系統(tǒng)和網(wǎng)神日志審計(jì)系統(tǒng)以及運(yùn)維堡壘機(jī)，內(nèi)網(wǎng)邊界處尚未部署安全設(shè)備。

3、數(shù)據(jù)資源現(xiàn)狀

按照要求對不同系統(tǒng)進(jìn)行不同周期的備份，并在完全備份時刪除上一次備份內(nèi)容。

4、安全管理現(xiàn)狀

網(wǎng)絡(luò)系統(tǒng)整體構(gòu)架采用兩層層次化模型網(wǎng)絡(luò)架構(gòu)，即由核心層、接入層組成。在內(nèi)網(wǎng)核心交換機(jī)上劃分VLAN和網(wǎng)關(guān)，整體網(wǎng)絡(luò)中部署了防病毒網(wǎng)關(guān)、IPS、數(shù)據(jù)容災(zāi)備份系統(tǒng)。在整體網(wǎng)絡(luò)中部署有相應(yīng)的安全設(shè)備做安全防護(hù)，但部分安全設(shè)備過保，整體網(wǎng)絡(luò)安全防護(hù)體系不夠完善、區(qū)域劃分不合理。目前業(yè)務(wù)系統(tǒng)OA等，部署于物理服務(wù)器以及vmware虛擬化服務(wù)器上。服務(wù)器為機(jī)架式服務(wù)器，固定于標(biāo)準(zhǔn)機(jī)柜與固定位置，并進(jìn)行標(biāo)識區(qū)分。服務(wù)器操作系統(tǒng)大部分都采用微軟的Windows Server2008 R2系列操作系統(tǒng)。

三、研究方案

1、區(qū)域劃分

根據(jù)業(yè)務(wù)功能以及安全需求的不同，可將海岸電臺信息網(wǎng)絡(luò)規(guī)劃為互聯(lián)網(wǎng)區(qū)域與海事專網(wǎng)區(qū)域，每個區(qū)域分為接入域、核心交換區(qū)、生產(chǎn)應(yīng)用域、辦公應(yīng)用域、安全管理域、用戶域等共 6個安全域。

2、網(wǎng)絡(luò)環(huán)境改造

對原有網(wǎng)絡(luò)架構(gòu)進(jìn)行合理性規(guī)劃和調(diào)整。內(nèi)網(wǎng)核心交換區(qū)新增核心交換機(jī)，做冗余提高整體網(wǎng)絡(luò)健壯性。服務(wù)器、終端及應(yīng)用系統(tǒng)做風(fēng)險評估、滲透測試、安全加固。

3、網(wǎng)絡(luò)邊界安全加固

在和邊界區(qū)域前各部署一臺防火墻，實(shí)現(xiàn)不同安全域之間的安全邊界隔離和訪問控制。

4、網(wǎng)絡(luò)及安全設(shè)備部署

防火墻部署——通過對全網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行分析，確定需要進(jìn)行訪問控制的網(wǎng)絡(luò)邊界位置，并使用防火墻等邊界訪問控制系統(tǒng)，解決邊界安全問題、實(shí)現(xiàn)各個安全局間的網(wǎng)絡(luò)訪問控制。建議在各個邊界部署防火墻，用來分隔各不同安全子域，對進(jìn)出數(shù)據(jù)進(jìn)行訪問控制，阻止非法數(shù)據(jù)入侵到內(nèi)網(wǎng)。

堡壘機(jī)部署——建議在外網(wǎng)中部署堡壘主機(jī)系統(tǒng)，為了給系統(tǒng)管理員查看審計(jì)信息提供方便性，內(nèi)控堡壘主機(jī)提供了審計(jì)查看檢索功能。系統(tǒng)管理員可以通過多種查詢條件進(jìn)行查看審計(jì)信息。總之，內(nèi)控堡壘主機(jī)能夠極大的保護(hù)內(nèi)部網(wǎng)絡(luò)設(shè)備及服務(wù)器資源的安全性，使得外部網(wǎng)絡(luò)管理合理化，專業(yè)化，信息化。

數(shù)據(jù)庫審計(jì)系統(tǒng)部署——內(nèi)網(wǎng)整體安全規(guī)劃，在安全管理區(qū)部署數(shù)據(jù)庫審計(jì)系統(tǒng)實(shí)現(xiàn)不間斷監(jiān)測與保護(hù)數(shù)據(jù)庫，有效保障數(shù)據(jù)庫數(shù)據(jù)的完整性和真實(shí)性，并提供實(shí)時告警

5、安全安全加固服務(wù)

安全加固服務(wù)是加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)安全性，對抗安全攻擊而采取的一系列措施。安全加固服務(wù)是對整體網(wǎng)絡(luò)建設(shè)提供的一系列安全服務(wù)。目的是全面提高信息系統(tǒng)的整體安全保護(hù)水平，主要做信息安全風(fēng)險評估、數(shù)據(jù)庫安全評估、網(wǎng)絡(luò)安全評估、滲透測試、安全加固等服務(wù)。

6、應(yīng)急預(yù)案和應(yīng)急演練

根據(jù)海岸電臺信息安全實(shí)際情況梳理和制定信息安全突發(fā)事件應(yīng)急預(yù)案，由專業(yè)人員組織開展攻防應(yīng)急演。

四、結(jié)束語

海岸電臺內(nèi)網(wǎng)以及外網(wǎng)信息安全建設(shè)整體規(guī)劃是根據(jù)對現(xiàn)有信息系統(tǒng)的安全評估和需求分析的結(jié)果，并參考國內(nèi)等級保護(hù)相關(guān)法規(guī)、標(biāo)準(zhǔn)和最佳實(shí)踐。因此，信息安全保障體系的整體框架的實(shí)現(xiàn)，能夠保證海岸電臺信息系統(tǒng)的安全性和安全方面的合規(guī)性，通過合理規(guī)劃，海岸電臺可為用戶提供更加可靠、及時的服務(wù)，保障海上船舶航行安全。

參考文獻(xiàn)：

[1]侯明，李書領(lǐng).大數(shù)據(jù)時代計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略[J].信息記錄材料，2021，22（10）：40-41.

[2]楊明，陳思，胡麗彬.計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題及對策[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2021，47（15）：42.

作者簡介：莫培培，性別：女;出生年月：1993.01;籍貫：山東聊城;民族：漢;最高學(xué)歷：研究生;目前職稱：工程師;研究方向：信息化