|
|
北京市公安局消防局网络安全建设实例北京市公安局消防局王飞箕鲜军攀声鲜巡赘漪墨一、消防网络安全系统简介北京市公安局消防局办公信息网作为全局统一的计算机信息网络,提供宽带、高速、安全、便捷的多媒体交换办公平台,主要功能包括:数据、视频、语音、多媒体通信、视频会议、数据共享、安全防护等功能,满足多媒体网络通信的要求。
在网络架构上表现为典型的树状结构,由机关局域网、纵向网、互联网组成。
从纵向的角度可分为三级,总队机关作为交互中心为网络的顶级节点、各区县消防支(大)队为二级节点、各消防中队为三级节点。从横向的角度可分为两个安全域,包括处理涉密信息的与互联网物理隔离的公安内网,和提供公众服务与其他相关单位互联的外网,组成宽带多媒体综合信息网。
北京市公安局消防局在网络建设伊始,就充分认一识到了网络安全对消防信息化的重要意义,始终将网络安全建设作为系统整体建设的重要组成部分,积极采用软硬件建设并重的方式加强网络安全建设。针对网络安全威胁来源投入巨额资金,采购部署了防火墙、入侵检测、漏洞扫描、网络防病毒软件、"一机两网"监控、网管系统等大量网络安全设备,同时从管理上制定信息网络安全策略和安全管理规章制度,对计算机操作人员进行有针对性的培训教育,从而构建了一整套全方位的网络安全防护体系。
加强网络安全的软硬件设备建设针对公安内网平台面临的安全风险,在网络系统建设中,扎实加强网络安全的软硬件设备建设,从边界防护、系统加固、逻辑隔离、物理隔离四个方面进行网络安全规划设计,有效地对抗了物理层、网络层、系统层、应用层、管理层的安全风险。
防火墙子系统根据消防局网络结构的特点和对信息网络安全级别不同的要求,采用集防火墙、VPN、SSL一们N、带宽管理、反病毒、反垃圾邮件等多功能于一体的综合性网关产品天融信网络卫士防火墙NGFW400o一UF,将其设置在公安内网重要数据区和调度指挥中心局域网的入口处,实现针对网络边界的隔离与访问控制,将公安内网划分为多个安全域,在安全域之间实现严格的授权访问控制,确保边界安全,同时实时进行网络行为、内容和状态分析,从而规避网络层的安全风险。
入侵检测系统为防止非法数据进入保护区域,实时检侧重要网络资源的访问行为,针对公安内网中异常的访问及数据包提出报警,以便网络管理人员采取有效的措施,防范重要的信息资产遭到破坏。
同时,在入侵检测探测器与防火墙之间建立互动响应体系,当探测器检侧到攻击行为时,向防火墙发出指令,防火墙根据入侵检测系统上报的信息,自动生成动态访问控制规则,对发出异常访问及数据包的源地址给予阻断。
网络防病毒软件实时查杀各种网络病毒,可避免电子政务网络遭到病毒的侵害,并且网络型的防病毒系统实现了统一升级,避免出现防病毒的"短板",给病毒的传播造成"可乘之机"。
按照公安部的病毒防杀要求,对接入公安网的计算机统一安装了"KILLZO00"及"瑞星"等杀毒软件,定时统一对杀毒软件病毒库进行升级,同时要求所有计算机每日必须查杀一次病毒,当发现病毒杀不掉的情况及时向通信处负责病毒维护的技术人员汇报。在使用过程中,对监控发现存在病毒的计算机的使用单位给予全局通报,并断网一个月。
"一机两网"监控系统在公安部的统一部署下,在公安内部办公网络所有计算机中安装"一机两网"监控系统,对全网的计算机进行实时监控,防止"一机两网"现象的发生,降低病毒扩散到公安内网的几率C,(5)网管系统购置安装一套"preside''网管系统实现网络设备和线路远程管理和维护,及时发现并排除网络故障、漏洞。
虚拟网划分由于机关接入办公网的计算机数量较多,为便于管理和控制网络广播风暴的发生,把局域网划分为丈转下页电厂MIS系统的网络安全设计东北电力设计院档案数字化中心张刚缘粼篡翼笠军笠芍竿犷下在当今信息社会中,信息量越来越大,保证信息安全就成为企业的重要事情。
电厂是保证国民经济正常运行的基础,发电机组是常年24小时运行,为保证企业的上网电价更有竞争力,保证企业的正常决策,电厂MIS系统的安全性就显得尤为重要。
电厂MIS安全性的设计思想就是要保证Mls系统安全可靠地运行,既要防止Ifltemet上的病毒、黑客的恶意侵袭,也要防止企业内任何的不当操作对系统造成的损害。电厂是一个24小时生产的关系国计民生的企业,它是由辅助车间系统、集中控制系统、515系统、MIS系统组成。如图1所示。
图)电厂各系统的连接关系MIS系统向下连接515系统,并通过515系统与控制系统相连,向上与集团公司、网调系统和Inten刁et相连。由于电厂分为一期、二期,有的还有三期和四期,因此MIS在建设上也是分期进行的,这些MIS系统既有同控制系统相连的相对独立性,又有与前期MIS系统全厂相通、数据管理透明的密不可分的联系。因此,Mls系统的安全设计也要考虑到MIS系统的横向连接的安全性和操作的独立性,尽量减少相互间的影响。
要保证MIS系统的安全,要从以下几个方面着手:
数据的安全性这可以通过数据库的安全设计和数据备份,数据库的审计规则的正确制定,用户在上网获取账号时权利的合理设定来保证。这些都是要通过严格的管理来实现的。没有严格的数据安全管理,就不会有数据的安全性。
使用防火墙,阻止Intemet上的病毒和非法用户对系统的侵害。在本期MIS与其它已存在的前期MIS系统中,使用交换机+千兆防火墙方式进行连接,在防火墙上进行必要的安全设置,并通过交换机设置成两个VLAN,防止病毒、黑客软件在内部互相串扰。
在MIS系统对外的连接线路(如I门ten〕et)(接上页)8个虚拟子网(VLAN卜·VLANS)。根据各、飞AN间的安全访问级别不同,实现各明JAN间的安全访问控制。
文章来源:www.shlunwen.com/ |
|
发表于 2012-10-8 14:23
