靳秀英   谷岩   于娜

河北省环境信息中心 050051

作者简介：靳秀英（1972.07—），女，籍贯：河北滦南，本科，职称：高级工程师，研究方向计算机技术在环境保护中的应用。

 

摘要：本文介绍了河北省环保厅从网络层、应用层、系统层几方面入手构筑的系统信息安全保障体系，详细论述了本单位采用的防火墙、入侵检测、 网络杀毒、数据备份等系统的主要功能及在网络信息安全方面发挥的作用。

关键词：信息安全 保障体系

 

     信息网络建设的目的在于应用，而应用的基础在于安全。随着我厅电子政务的快速发展，我厅已建成内外网物理分开的局域网，该网上运行有办公自动化、在线监控、网上审批、排污申报、企业环境保护信用、电子公文传输系统、网站发布等多个应用系统。如何确保网络的安全畅通、保护信息数据安全、保障系统不被攻击成为我厅信息化建设中一项重点工作。结合目前网络、应用环境，我厅从网络层安全、应用层安全、系统层安全入手，采用防火墙、入侵检测系统、网络杀毒、数据备份四大措施，构成我厅网络信息安全的四大屏障，保护信息资源价值不受侵犯，保证信息资产面临最小的风险和获取最大的安全利益，使信息基础设施、信息应用服务和信息内容能够抵御安全威胁而具有保密性、完整性、真实性、可用性和可控性的能力。

    一、运用防火墙技术

网络防火墙一般放在外网和内网之间，作为内部网络与外部公共网络之间的第一道屏障，是最先受到人们重视的网络安全产品之一。它是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

我厅采用NGFW4000-UF(TG-5030)防火墙。 该产品采用独创的核检测技术，在内核上实现对病毒防护，内容过滤（如HTTP、POP3、FTP、TELNET、SNMP）和入侵检测（IDS）功能，还可以和IDS实现联动。这不但提高了安全性，而且保证了性能。同时它具有的带宽管理完全虚拟了网络带宽应用的实际环境，并实现多层次的分布式管理模式。可以实现带宽分层、带宽分级、带宽分配管理，优化网络资源的应用，提高网络资源应用效率。

通过防火墙把我厅网络设备分为三个区：内、中间区、外，其中WWW服务器、邮件服务器放在中间区，对不同的区配置不同的安全策略，如我们对外只允许http、pop3、smtp三种协议访问我厅网络。通过对防火墙安全策略的有效设置，达到阻断某些网站对我厅网络访问的目的，彻底消除某些不良网站的潜在威胁，从网络的最外层保护了信息安全。

     二、运用入侵检测系统

入侵检测被认为是防火墙之后的第二道安全闸门，它并行在网络中，在不影响网络性能的情况下能对网络进行监测，及时发现有入侵行为特征的网络行为，并向管理员进行报警，由管理员及时采取安全措施，阻断攻击行为。入侵检测系统也可以和防火墙和路由器配合工作来提高网络安全。

    我厅采用的TYLMIDS是网络攻击和违规行为识别与响应系统。通过实时监视网络上的数据流和系统审计信息，分析网络通讯数据，寻找网络攻击行为和其它违规网络活动，来保护网络。当检测到网络攻击和违规网络活动时，TYLMIDS能够按用户安全策略自动进行攻击响应。TYLMIDS 的控制中心是一个标准的安全产品资源管理平台， 不但可以管理TYLMIDS的探测器，还可以管理网络中的防火墙、防病毒、路由器、交换机等网络产品，可以实时监测网络产品的运行状态，CPU，内存的运行情况。这样，该系统不仅可以被动的监视网络情况，还可以主动和防火墙等联动采取阻断措施，使阻断更有效，而且变为动态执行。

 目前，我们通过该系统监测交换机每个端口的计算机，发现数据量异常，通过关闭端口使该机器不能上网，然后通过监测记录分析机器大概中了哪种病毒，然后令其杀毒打补丁。该系统的使用大大提高了网络的管理能力，提高了工作效率。

实践证明，入侵检测系统是安全防御体系的一个重要组成部分，通过与防火墙联动，增强网络防御能力。  

三、网络杀毒

网络层通信有防火墙和入侵检测系统做防护，那么应用层的病毒入侵也是对信息安全的一大威胁。我厅采用卡巴斯基杀毒软件网络版解决方案。它通过一个系统中心的统一管理，为我厅提供灵活、快捷的网络防病毒支持，可以确保内部网络不受病毒侵扰。 

　　系统中心可以方便的在整个网络内实现远程管理、智能升级、自动分发、远程报警等多种功能，有效地管理和保护所有的病毒入口。 

借助管理员控制台，管理员可在网络任意计算机上实现对整个网络进行集中控制管理，清楚地掌握整个网络环境中各个节点的病毒监测状态。实现全面集中全网查杀毒、全网远程设置、远程杀毒、远程报警、移动式管理、集中式授权管理、全面监控邮件服务器、全面监控邮件客户端等多种复杂的管理功能。

卡巴斯基杀毒软件网络版提供了多种升级方式以及自动分发的功能，而且支持多种网络连接方式，具有升级方便、更新及时的特点，网络管理员可以十分轻松地按照预先设定的升级方式实现全网内的统一升级，并且采用均衡流量的策略，尽快将新版本部署到全部计算机上，保证卡巴斯基杀毒软件网络版时刻都是最新的，而且版本一致，完全杜绝了由于版本不一致而可能造成的安全漏洞和安全隐患。

 　 在应用层安全方面，我厅采用卡巴斯基防病毒软件，形成信息安全的又一防护措施。

    四、数据备份    

    网络、应用环境安全了，那么系统层数据的安全就是最后一道需要防护的实体了。

   在过去实施数据备份前，我们对内外网数据的备份基本上是采用相互独立的本机人工备份方式，存在无法进行集中备份、人力和时间耗费大、不能实现在线备份等诸多问题。随着系统数据量的不断增加，我们希望能够搭建一个具有更高可用性、性能价格比高的数据保护系统，即使出现异常情况，也可以实现业务系统的快速恢复，将损失降到最低。 

　　现在我厅系统数据主要分内网数据和外网数据两大部分。其中，内网数据包括办公自动化、行政许可审批等业务数据，外网包括网站发布系统等，数据库基本是SQL数据库。对于这两部分数据系统，均要求实现在线、自动化数据备份，因此数据备份软件要能够对系统数据实现集中、统一、自动化的备份。 

　　我厅采用集中统一的备份策略管理。通过Netbackup Master Server，对整个数据库和应用系统的备份工作进行集中的管理、监控。该服务器同时也可以是一个NBU Media Server服务器，负责将本机的数据或客户端的数据备份到磁带库中。NetBackup Client则安装在其他非主要服务器上，负责将各自服务器上的数据通过网络送给主服务器备份。同时，SQL Server还安装了相应的数据库代理， 负责NetBackup与SQL Server API的集成，完成数据库的在线热备份。　　VERITAS Netbackup建立了数据备份平台以及一套完整的备份和恢复策略，实现了可靠、开放、自动、快速、实时的数据保护和恢复。系统管理员只需要通过直观的图形管理界面，即可实时监测备份过程、选定需要恢复的数据备份项目，确保了系统稳定可靠的运行，为业务的快速发展提供了坚实基础。 

通过以上介绍，可以看出，我厅在信息安全上积极地采取了防护措施，采用了防火墙、入侵检测系统、网络防病毒软件以及数据备份措施对网络信息进行防护，这套安全系统在运行后，通过各种日志等可以看出他的成果，这套构成四层防线的防护措施，确实为我们的网络带来了安全保障。

信息安全是一个正在逐渐发展的行业，另外信息安全又是一个相对的概念，任何措施都不能保证网络的绝对安全，所以我厅没有一次性购买齐备所有现有的安全设备，而是在不断发展，不断改进中逐渐加入新的系统，就现在运行的系统看，虽然已经有了不错的功效，但是也还是可以继续扩充的，比如，可以增加漏洞扫描软件，增加防木马软件等等。信息安全技术正在不断发展，我厅会不断地加强防护，为环保信息安全保驾护航。