构建测绘生产网网络安全体系

2012-08-15 00:52王晓波
科技传播 2012年16期
关键词:保密防火墙机房

刘 楠,王晓波

1.青海省基础地理信息中心,青海西宁 810000

2.青海省基础地理信息中心,青海西宁 810000

在测绘行业中,地理信息的采集、加工、处理越来越现代化,智能化,而对测绘成果的利用也是向着服务网络化和应用社会化的方向发展。网络作为地理信息的载体,可以加快从数据采集到成果应用的转化,从而实现为现代高速发展的社会提供实时准却的地理信息。网络在为测绘行业带来高效、便捷的同时,也提出了有效保护地理数据不被他人窃取盗用的要求。因此在测绘数据加工生产的过程中,通过有效的网络安全策略来保护地理信息数据显得非常重要。

1 网络安全要素分析

网络安全要素主要包括4个方面:1)网络运行系统安全;2)网络系统信息安全;3)网络信息传播安全;4)网络信息内容的安全。由此可见,网络安全包含的内容广泛,对于其网络安全体系的建立和策略,不仅仅只包括安全防护工作,还包括管理、监控、技术跟新等内容。对此,在本体系的构建中,我们以安全管理为主,采用技术手段和相关硬件设备构建网络安全体系,通过人工干预,对正在发生的攻击做出及时响应,并在事后采取防范措施和恢复措施,防止类似攻击再次发生,将损失最小化[1]。

2 测绘生产网安全体系构建的思路与实现

2.1 测绘生产网安全管理

2.1.1 建立健全安全管理制度

同其它信息相比,地理信息数据牵涉到国家的政治、军事、经济利益,涉及国家的机密。这些地理信息只有部分个人、部分单位有权生产、拥有和使用,其他个人、机构不能访问、使用、占有、修改这些数据。因此在安全管理制度中除了制定一般的网络安全管理制度外,还需要依照国家保密法律、法规和有关规定制定相关的保密管理制度以及保密管理措施。在本体系的构建中,采取了如下措施,首先根据现行相关法律法规制定了一系列配套制度。对落实这些制度的情况进行定期或不定期的检查,及时解决工作中的问题。

2.1.2 加强网络安全、保密管理工作的宣传和教育

网络的安全管理主要包括加强计算机用户安全教育以及完善安全管理功能,促进计算机用户学习法律法规的意识,明确计算机用户和系统管理人应履行的权利和义务。在保密管理工作方面,要强化涉密人员的保密教育,切实增强保密意识,筑牢严守国家秘密的思想防线。在本体系的构建中,对所有参与涉密的人员都进行了保密培训并签订了保密协议,加强了生产人员的保密意识。除此之外,还对参与生产的人员进行了相关计算机安全使用方面的培训[2]。

2.2 测绘生产网网络安全体系

2.2.1 网络基础设施安全建设

在网络基础设施方面,机房作为生产数据加工存放的地方,其防火、防盗以及设备的支撑环境,都是保证网络安全运行的基础。为此在本方按中我们采取如下措施来消除。1)为了消除环境隐患,机房购置了大型多功能空调设备,用以保证机房的温度、湿度恒定;在机房四周放置了氯丙烷气体灭火系统;2)为了防止电压过高,电源不足、不合格电源和突然断电对设备的不安全影响,机房采用双电力线接入,并配备了UPS系统。在每个机柜中配备了两部16A滤波电源接入和专用接地铜线,从而保证了每个机柜有足够的功率安全地接入服务器;3)安防方面,网络机房安装了电子摄像头,配备了门径系统,只允许授权的人员进出机房;4)设备存放与安全使用。在生产网中,为了有效的保护涉密数据,存放服务器的机柜采用了电磁屏蔽机柜;机柜间网络布线主要采用六类屏蔽双绞线缆。由于本方案中,各个数据生产作业室分布在大楼的不同楼层内,因此与机房通信的交换机全部用光纤连接后再用六类屏蔽双绞线与桌面计算机相连。除此之外,设备的管理,遵循“统一购置,统一编号,统一备案,跟踪管理,集中报废”的原则,严格控制发放范围。所有设备在入网前,需由网络安全负责人对设备的涉密情况、基本配置信息、用途、使用人、安装的软件、使用的端口和服务、MAC地址等等级备案并进行安全审核,合格后方可入网与处理重要信息。

2.2.2 采用网络安全相关的技术

在网络安全技术方面,一般采用防火墙和入侵检测两种技术。1)防火墙技术。该技术能执行访问控制,在使用期间同意允许访问的用户与数据进入内部网络,拒绝不允许访问的用户与数据进入内部网络,这样能最大限度的阻止网络黑客的访问,提高内部网络的安全性;2)入侵检测技术。改技术能弥补单纯的防火墙技术暴露出明显的不足和弱点,为网络安全提供实时的入侵检测及采取相应的防护手段。入侵检测是对防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性[3]。

本方案中,采用了华为公司生产的USG5160防火墙。在防火墙的内部,是由各个单位的服务器、磁盘阵列等组成的网络,而防火墙外部是由各个单位的数据加部门组成的一个网络。(在这种网络结构中,通过对防火墙安全策略的配置,可以有效的防止各个作业PC机对服务器的恶意攻击。由于生产网是一个相对独立的网络,每台计算机IP是固定的,用户对服务器的访问相对可控,因此采用了基于主机的入侵检测技术。我们通过系统日志分析软件定期分析系统日志的方法来监测系统是否有非法访问。通过对这些日志的分析,可以使系统管理员在小范围内、审计和评估系统。

2.2.3 加强防范网络病毒

随着网络技术的发展,安全技术也不断升级,但是与此同时,病毒跟新和传播的速度也不断加快。对此应不断加强防范网络病毒,更新杀毒软件,尽量满足网络病毒防范的要求,提升计算机网络安全。

综上所述,网络安全在测绘数据加工生产过程中非常关键,作为测绘行业工作人员,在充分利用网络为测绘数据加工生产带来高效、便捷的同时,还应不断更新网络技术,加强网络监管,让测绘数据加工生产安全、高效,进一却确保测绘数据准确可靠。

[1]周烨,杨怀龙.浅谈测绘生产网络的数据安全[J].信息系统工程,2012(2).

[2]刘磊.基于网络环境的数字测绘生产安全体系[J].现代测绘,2006(4).

[3]彭纪伟,张秦罡.数字测绘生产所面临的安全威胁及其应对措施[J].测绘,2009(2).

猜你喜欢
保密防火墙机房
多措并举筑牢安全保密防线
《信息安全与通信保密》征稿函
构建防控金融风险“防火墙”
论中国共产党的保密观
N通信公司机房节能技改实践
新型有线电视机房UPS系统的配置
大功率发射机房冷却送风改造
在舌尖上筑牢抵御“僵尸肉”的防火墙
下一代防火墙要做的十件事
谈有线电视前端机房的防雷接地