莫培培 王朋
摘 要:本文以天津海岸电台为例研究海岸电台信息安全等级保护,旨在提升海岸电台信息系统安全运行能力,增加信息系统抵御来自互联网网络攻击的能力,打造一个可信、可管、可控、可视的安全网络环境,为进出港口和海上航行的中外船用户提供可靠的公共和公益服务。
关键词:海岸电台;信息安全;等级保护
一、研究背景
随着网络技术的迅速发展和计算机应用的迅速普及,信息技术在各个领域均扮演着重要的角色,信息系统的全局性、基础性作用日渐加强,但是其面临的安全风险也高速增长,由于黑客攻击、病毒破坏等原因导致的经济损失和不良影响屡见不鲜。网络安全不仅仅关系到我国信息化建设的健康发展,而且也关系到国家在政治、经济以及国防方面的安全,同时也关系到我们国家社会的稳定。
海岸电台肩负着为交通安全畅通提供通信保障的职责,为进出港口和海上航行的中外船用户提供公共和公益服务。随着信息化水平的不断发展,海岸电台在服务方式和服务内容上不断丰富,与此同时,也应该高度重视数据保护与信息安全。通过做好信息安全等级保护工作,可以提升海岸电台信息系统安全运行能力,增加信息系统抵御来自互联网网络攻击的能力,打造一个可信、可管、可控、可视的安全网络环境,从而避免信息系统遭到破坏后泄露单位的数据,以最大程度避免因涉密数据的丢失或被窃而承担巨大的政治风险与经济损失。
二、现状分析
本文主要以天津海岸电台现状为例分析研究。
1、机房现状
天津海岸电台机房于2016年进行改造扩建,机房面积150平方米,机柜数量25个,内有监控摄像头,有温湿度控制系统,可监控机房内温湿度变化情况,机房采用2台30KW精密空调,以主备工作模式进行制冷。机房内采用静电地板设计,没有防电磁干扰设施。机房具有火灾自动消防装置。采用UPS+单路市电方式进行供电,有备用发电机。新扩建机房内未部署自动消防系统,导致自动消防覆盖面积为总机房面积的80%,没有达到自动消防系统全覆盖。由于机房面积扩展以及设备增加,导致机房温度控制需要与现有空调制冷能力不匹配。
2、网络结构现状
天津海岸电台网络结构主要分为海事信息专网和互联网区两大区域,专网与互联网之间通过隔离网闸进行隔离。互联网边界处部署了网神防火墙,并配置访问控制策略;互联网办公区边界处部署了天融信入侵检测系统和网康上网行为管理系统以及网神防毒墙;内网核心交换机采用冗余设计(VRRP),并旁路部署了网神漏洞扫描系统和网神日志审计系统以及运维堡垒机,内网边界处尚未部署安全设备。
3、数据资源现状
按照要求对不同系统进行不同周期的备份,并在完全备份时删除上一次备份内容。
4、安全管理现状
网络系统整体构架采用两层层次化模型网络架构,即由核心层、接入层组成。在内网核心交换机上划分VLAN和网关,整体网络中部署了防病毒网关、IPS、数据容灾备份系统。在整体网络中部署有相应的安全设备做安全防护,但部分安全设备过保,整体网络安全防护体系不够完善、区域划分不合理。目前业务系统OA等,部署于物理服务器以及vmware虚拟化服务器上。服务器为机架式服务器,固定于标准机柜与固定位置,并进行标识区分。服务器操作系统大部分都采用微软的Windows Server2008 R2系列操作系统。
三、研究方案
1、区域划分
根据业务功能以及安全需求的不同,可将海岸电台信息网络规划为互联网区域与海事专网区域,每个区域分为接入域、核心交换区、生产应用域、办公应用域、安全管理域、用户域等共 6个安全域。
2、网络环境改造
对原有网络架构进行合理性规划和调整。内网核心交换区新增核心交换机,做冗余提高整体网络健壮性。服务器、终端及应用系统做风险评估、渗透测试、安全加固。
3、网络边界安全加固
在和边界区域前各部署一台防火墙,实现不同安全域之间的安全边界隔离和访问控制。
4、网络及安全设备部署
防火墙部署——通过对全网网络拓扑结构进行分析,确定需要进行访问控制的网络边界位置,并使用防火墙等边界访问控制系统,解决边界安全问题、实现各个安全局间的网络访问控制。建议在各个边界部署防火墙,用来分隔各不同安全子域,对进出数据进行访问控制,阻止非法数据入侵到内网。
堡壘机部署——建议在外网中部署堡垒主机系统,为了给系统管理员查看审计信息提供方便性,内控堡垒主机提供了审计查看检索功能。系统管理员可以通过多种查询条件进行查看审计信息。总之,内控堡垒主机能够极大的保护内部网络设备及服务器资源的安全性,使得外部网络管理合理化,专业化,信息化。
数据库审计系统部署——内网整体安全规划,在安全管理区部署数据库审计系统实现不间断监测与保护数据库,有效保障数据库数据的完整性和真实性,并提供实时告警
5、安全安全加固服务
安全加固服务是加强网络信息系统安全性,对抗安全攻击而采取的一系列措施。安全加固服务是对整体网络建设提供的一系列安全服务。目的是全面提高信息系统的整体安全保护水平,主要做信息安全风险评估、数据库安全评估、网络安全评估、渗透测试、安全加固等服务。
6、应急预案和应急演练
根据海岸电台信息安全实际情况梳理和制定信息安全突发事件应急预案,由专业人员组织开展攻防应急演。
四、结束语
海岸电台内网以及外网信息安全建设整体规划是根据对现有信息系统的安全评估和需求分析的结果,并参考国内等级保护相关法规、标准和最佳实践。因此,信息安全保障体系的整体框架的实现,能够保证海岸电台信息系统的安全性和安全方面的合规性,通过合理规划,海岸电台可为用户提供更加可靠、及时的服务,保障海上船舶航行安全。
参考文献:
[1]侯明,李书领.大数据时代计算机网络信息安全及防护策略[J].信息记录材料,2021,22(10):40-41.
[2]杨明,陈思,胡丽彬.计算机网络信息安全问题及对策[J].计算机与网络,2021,47(15):42.
作者简介:莫培培,性别:女;出生年月:1993.01;籍贯:山东聊城;民族:汉;最高学历:研究生;目前职称:工程师;研究方向:信息化