曹揚(yáng)帆　鄭韜等

摘要：隨著山西煤炭等企業(yè)的整改，超載超限的治理任務(wù)艱巨。一些先進(jìn)的技術(shù)以及現(xiàn)代化的網(wǎng)絡(luò)設(shè)備應(yīng)用到治理超載系統(tǒng)中，可以提升治超任務(wù)的方便性與快捷性，同時(shí)也使得治超工作能夠做到準(zhǔn)確無誤。該文主要是通過對(duì)大同市科技治超網(wǎng)網(wǎng)絡(luò)需求進(jìn)行分析，對(duì)科技治超網(wǎng)的網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行了全方位的設(shè)計(jì)，包括設(shè)備、系統(tǒng)、數(shù)據(jù)以及管理等方面的安全，其中涉及到的技術(shù)有防火墻、防病毒、入侵檢測(cè)、虛擬局域網(wǎng)、數(shù)據(jù)加密及備份技術(shù)，并給出了相應(yīng)的安全設(shè)計(jì)與實(shí)現(xiàn)方式。通過這些安全方面的設(shè)計(jì)與實(shí)施，可以為治超系統(tǒng)的安全提供可靠的保障，提高治超工作的科學(xué)性與高效性。

關(guān)鍵詞：科技治超；網(wǎng)絡(luò)；安全系統(tǒng)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）32-7588-03

1 概述

1.1 課題來源及主要研究內(nèi)容

隨著新經(jīng)濟(jì)時(shí)代的發(fā)展，網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，信息化概念深入人心。山西省是煤炭工業(yè)大省，超載超重現(xiàn)象普遍存在。信息技術(shù)在不斷發(fā)展，原本的人工治超工作中的檢查車輛、手工制表、數(shù)據(jù)分析以及資料查詢一些過程都可以直接通過科技治超的網(wǎng)絡(luò)監(jiān)控系統(tǒng)以及數(shù)據(jù)處理系統(tǒng)代替完成，提高工作效率。大同市科技治超網(wǎng)絡(luò)系統(tǒng)是山西省科技治超網(wǎng)絡(luò)系統(tǒng)的一個(gè)重要組成部分。該網(wǎng)絡(luò)是專用網(wǎng)絡(luò)，如何提高網(wǎng)絡(luò)系統(tǒng)安全性，保障工作順利進(jìn)行，保障網(wǎng)絡(luò)中的信息安全便顯得尤為重要。

1.2 安全風(fēng)險(xiǎn)分析

1.2.1 物理層安全分析

1） 環(huán)境安全：纜線等周圍存在一些可能是信息被竊取的隱患或者被破壞的隱患；

2） 設(shè)備安全：因斷電等等及其他原因?qū)е碌年P(guān)鍵設(shè)備的損壞或者服務(wù)中斷和數(shù)據(jù)丟失。也可能因防盜措施不力使得重要設(shè)備被盜竊，造成國家的重大損失。同時(shí)服務(wù)器等一些關(guān)鍵設(shè)備對(duì)室內(nèi)溫度有嚴(yán)格的要求，若溫度過高可能導(dǎo)致設(shè)備損壞。

1.2.2 系統(tǒng)運(yùn)行安全分析

系統(tǒng)安全體現(xiàn)在：數(shù)據(jù)的備份和恢復(fù)、惡意代碼和計(jì)算機(jī)病毒的預(yù)防等方面；

1） 備份與恢復(fù)不到位造成的數(shù)據(jù)的丟失。

2） 主機(jī)在信息導(dǎo)入時(shí)可能感染病毒等造成文件丟失，可能使系統(tǒng)無法正常運(yùn)行甚至癱瘓。

3） 對(duì)安全保密設(shè)備配置不合理，無法發(fā)揮安全防護(hù)能力。

1.2.3 信息安全分析

1） 系統(tǒng)和數(shù)據(jù)庫存在安全漏洞。

2） 訪問控制措施不到位：應(yīng)用系統(tǒng)的訪問控制不能達(dá)到精確控制的需要。

1.2.4 管理安全分析

1） 缺乏所需的防護(hù)設(shè)備，造成未被授權(quán)的人員進(jìn)入受控區(qū)域；一些重要設(shè)備擺放在易被盜取的位置。

2） 內(nèi)部人員無意中可能泄露系統(tǒng)管理的信息。

2 科技治超網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

2.1 網(wǎng)絡(luò)平臺(tái)

2.1.1 防火墻的布置

大同市科技治超網(wǎng)市中心所用的防火墻為F1000-S-E1，它具有虛擬防火墻、攻擊防范、流量控制、等除傳統(tǒng)防火墻所具有的功能，可以構(gòu)建多種形式的VPN。各縣區(qū)所采用的防火墻為U200-M，也具有防火墻、VPN、病毒防護(hù)等功能。由于市中心安裝有各種服務(wù)器等設(shè)計(jì)數(shù)據(jù)安全的設(shè)備，所以在服務(wù)器出口安裝防火墻F1000-S-E1，而在各縣區(qū)數(shù)據(jù)相對(duì)較少，對(duì)數(shù)據(jù)的安全要求相對(duì)較低，所以布置了防火墻U200-M，具體拓?fù)淙鐖D1。

2.1.3 vpn技術(shù)的使用

vpn技術(shù)解決了遠(yuǎn)程接入科技治超網(wǎng)的瓶頸問題。vpn技術(shù)的使用一般也都是通過防火墻實(shí)現(xiàn)的，如圖1所示，支持vpn的是vpn網(wǎng)關(guān)F1000-S-AI，它實(shí)現(xiàn)了遠(yuǎn)程接入而同時(shí)又保護(hù)了整個(gè)網(wǎng)絡(luò)的安全。

2.1.4 入侵檢測(cè)系統(tǒng)的部署

入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽設(shè)備，無須跨接在任何鏈路上不產(chǎn)生任何網(wǎng)絡(luò)流量便可工作。結(jié)合科技治超網(wǎng)的拓?fù)浞治隹芍獙⑷肭謾z測(cè)系統(tǒng)部署在和服務(wù)器相連接的核心交換機(jī)S12508上最為合適。

2.2 系統(tǒng)和應(yīng)用平臺(tái)

2.2.1 防病毒系統(tǒng)的實(shí)施

根據(jù)大同市科技治超網(wǎng)的特點(diǎn)，該系統(tǒng)在實(shí)施時(shí)可以在管理上進(jìn)行分布管理，而由市中心防病毒服務(wù)器集中控制。目前大同市中心防病毒服務(wù)器安裝了瑞星防病毒軟件，由市一級(jí)防病毒服務(wù)器控制各縣區(qū)二級(jí)防病毒服務(wù)器，再由各縣區(qū)服務(wù)器對(duì)所屬系統(tǒng)的設(shè)備進(jìn)行防病毒控制。防病毒服務(wù)器分為市中心的以及服務(wù)器和各縣區(qū)的二級(jí)服務(wù)器，以及服務(wù)器控制二級(jí)服務(wù)器，再由二級(jí)服務(wù)器控制各自范圍內(nèi)的客戶端。

2.2.2 漏洞掃描系統(tǒng)的實(shí)施

前文已經(jīng)提到在內(nèi)外網(wǎng)之間部署防火墻，防火墻是外網(wǎng)進(jìn)入內(nèi)網(wǎng)的第一道屏障，當(dāng)然能夠很大程度上保護(hù)治超網(wǎng)絡(luò)的安全，但是防火墻并不是萬能的，它也存在一些漏洞和盲點(diǎn)，這就有必要再在內(nèi)部網(wǎng)絡(luò)上部署漏洞掃描系統(tǒng)。大同市科技治超網(wǎng)管理軟件及服務(wù)器在更新時(shí)都會(huì)存在漏洞，系統(tǒng)很容易被侵入。漏洞掃描系統(tǒng)在部署時(shí)分為兩級(jí)，第一級(jí)系統(tǒng)布設(shè)在市中心，作為全網(wǎng)的監(jiān)控中心，第二級(jí)系統(tǒng)布設(shè)在各縣區(qū)，對(duì)本區(qū)局域網(wǎng)的漏洞進(jìn)行掃描及安全評(píng)估。通常，只對(duì)服務(wù)器等進(jìn)行一次漏洞掃描，對(duì)于科技治超網(wǎng)而言，網(wǎng)絡(luò)系統(tǒng)是不斷更新和變化的，在更新后，以前安全的軟件服務(wù)器等也可能會(huì)存在漏洞。這時(shí)候就需要采用合理的時(shí)間間隔對(duì)服務(wù)器、客戶機(jī)以及系統(tǒng)軟件進(jìn)行漏洞掃描，盡量關(guān)閉不用的服務(wù)器，以便于管理。

2.2.3 系統(tǒng)的備份與冗余

考慮到大同市科技治超網(wǎng)對(duì)數(shù)據(jù)的可靠性要求較高，采用專用服務(wù)器對(duì)其他服務(wù)器等終端的數(shù)據(jù)加以備份。在進(jìn)行備份方式的選擇上主要考慮系統(tǒng)的運(yùn)行環(huán)境，操作系統(tǒng)類型等等一些相關(guān)參數(shù)。這樣在其他系統(tǒng)出現(xiàn)問題或丟失數(shù)據(jù)時(shí)可以進(jìn)行恢復(fù)。

在科技治超網(wǎng)的備份服務(wù)器上安裝了Backup Exec軟件，在其他服務(wù)器需要備份的時(shí)候可以對(duì)其進(jìn)行備份。同時(shí)在備份服務(wù)器上安裝了SQL數(shù)據(jù)庫備份軟件，在數(shù)據(jù)庫的數(shù)據(jù)出現(xiàn)問題時(shí)可通過已有的備份對(duì)數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行恢復(fù)。

2.3 安全管理平臺(tái)

2.3.1 對(duì)管理人員的管理

大同市科技治超網(wǎng)的管理人員主要包括設(shè)備管理員，軟件安全管理員，系統(tǒng)運(yùn)行安全管理員，在對(duì)管理人員的選拔上要嚴(yán)格按照相關(guān)制度進(jìn)行選拔，選好人以后對(duì)相關(guān)的管理人員進(jìn)行相應(yīng)的技術(shù)培訓(xùn)。在工作過程中對(duì)這些人員的業(yè)務(wù)素養(yǎng)定期考核。

2.3.2 對(duì)硬件的安全管理

硬件平臺(tái)的安全措施有：

1）所有設(shè)備都鎖在機(jī)柜內(nèi)，機(jī)柜門鑰匙進(jìn)行專人控制。

2）設(shè)備端口上所有的連接線均粘貼線標(biāo)，對(duì)沒有粘貼線標(biāo)的線路檢查時(shí)要予以拔除。

3）機(jī)柜內(nèi)所有設(shè)備的電源均接入到機(jī)柜內(nèi)的防雷插板上，機(jī)柜及設(shè)備均接地。

2.3.3 對(duì)軟件的安全管理

對(duì)軟件的安全管理主要就是針對(duì)操作系統(tǒng)、應(yīng)用型軟件以及數(shù)據(jù)庫的管理。在購買軟件以后，對(duì)軟件登記在冊(cè)，由相應(yīng)的專業(yè)管理員進(jìn)行保管，在安裝時(shí)在專業(yè)人員指導(dǎo)下安裝。

2.3.4 對(duì)系統(tǒng)運(yùn)行環(huán)境的管理

3 結(jié)束語

本文針對(duì)大同市科技治超網(wǎng)的安全系統(tǒng)的設(shè)計(jì)一方面是根據(jù)具體的真實(shí)的網(wǎng)絡(luò)設(shè)計(jì)進(jìn)行分析。在業(yè)務(wù)運(yùn)行穩(wěn)定后，明確羅列出了明細(xì)的訪問需求的情況下，屏蔽掉必須屏蔽的東西，制定了準(zhǔn)確的防火墻策略。當(dāng)今社會(huì)網(wǎng)絡(luò)發(fā)展迅猛，網(wǎng)絡(luò)設(shè)備的更新加快，該安全系統(tǒng)并不能夠保證新入侵技術(shù)下的系統(tǒng)的絕對(duì)安全，但是文中的設(shè)計(jì)已足以保障目前科技治超網(wǎng)的安全需求，新的需求則有待在實(shí)踐中檢驗(yàn)。

參考文獻(xiàn)：

[1] 王春，林海波.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].北京：清華大學(xué)出版社，2009.

[2] 雷震甲.網(wǎng)絡(luò)工程師教程[M].北京：清華大學(xué)出版社，2009.

[3] 譚偉賢，楊力平.計(jì)算機(jī)網(wǎng)絡(luò)安全教程[M].長沙：國防工業(yè)出版社，2011.

[4] Ptacek，Newsham.Evasion and Denial of Service Eluding Network Instruction Election [M].Secure Networks，2008.

摘要：隨著山西煤炭等企業(yè)的整改，超載超限的治理任務(wù)艱巨。一些先進(jìn)的技術(shù)以及現(xiàn)代化的網(wǎng)絡(luò)設(shè)備應(yīng)用到治理超載系統(tǒng)中，可以提升治超任務(wù)的方便性與快捷性，同時(shí)也使得治超工作能夠做到準(zhǔn)確無誤。該文主要是通過對(duì)大同市科技治超網(wǎng)網(wǎng)絡(luò)需求進(jìn)行分析，對(duì)科技治超網(wǎng)的網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行了全方位的設(shè)計(jì)，包括設(shè)備、系統(tǒng)、數(shù)據(jù)以及管理等方面的安全，其中涉及到的技術(shù)有防火墻、防病毒、入侵檢測(cè)、虛擬局域網(wǎng)、數(shù)據(jù)加密及備份技術(shù)，并給出了相應(yīng)的安全設(shè)計(jì)與實(shí)現(xiàn)方式。通過這些安全方面的設(shè)計(jì)與實(shí)施，可以為治超系統(tǒng)的安全提供可靠的保障，提高治超工作的科學(xué)性與高效性。

關(guān)鍵詞：科技治超；網(wǎng)絡(luò)；安全系統(tǒng)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）32-7588-03

1 概述

1.1 課題來源及主要研究內(nèi)容

隨著新經(jīng)濟(jì)時(shí)代的發(fā)展，網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，信息化概念深入人心。山西省是煤炭工業(yè)大省，超載超重現(xiàn)象普遍存在。信息技術(shù)在不斷發(fā)展，原本的人工治超工作中的檢查車輛、手工制表、數(shù)據(jù)分析以及資料查詢一些過程都可以直接通過科技治超的網(wǎng)絡(luò)監(jiān)控系統(tǒng)以及數(shù)據(jù)處理系統(tǒng)代替完成，提高工作效率。大同市科技治超網(wǎng)絡(luò)系統(tǒng)是山西省科技治超網(wǎng)絡(luò)系統(tǒng)的一個(gè)重要組成部分。該網(wǎng)絡(luò)是專用網(wǎng)絡(luò)，如何提高網(wǎng)絡(luò)系統(tǒng)安全性，保障工作順利進(jìn)行，保障網(wǎng)絡(luò)中的信息安全便顯得尤為重要。

1.2 安全風(fēng)險(xiǎn)分析

1.2.1 物理層安全分析

1） 環(huán)境安全：纜線等周圍存在一些可能是信息被竊取的隱患或者被破壞的隱患；

2） 設(shè)備安全：因斷電等等及其他原因?qū)е碌年P(guān)鍵設(shè)備的損壞或者服務(wù)中斷和數(shù)據(jù)丟失。也可能因防盜措施不力使得重要設(shè)備被盜竊，造成國家的重大損失。同時(shí)服務(wù)器等一些關(guān)鍵設(shè)備對(duì)室內(nèi)溫度有嚴(yán)格的要求，若溫度過高可能導(dǎo)致設(shè)備損壞。

1.2.2 系統(tǒng)運(yùn)行安全分析

系統(tǒng)安全體現(xiàn)在：數(shù)據(jù)的備份和恢復(fù)、惡意代碼和計(jì)算機(jī)病毒的預(yù)防等方面；

1） 備份與恢復(fù)不到位造成的數(shù)據(jù)的丟失。

2） 主機(jī)在信息導(dǎo)入時(shí)可能感染病毒等造成文件丟失，可能使系統(tǒng)無法正常運(yùn)行甚至癱瘓。

3） 對(duì)安全保密設(shè)備配置不合理，無法發(fā)揮安全防護(hù)能力。

1.2.3 信息安全分析

1） 系統(tǒng)和數(shù)據(jù)庫存在安全漏洞。

2） 訪問控制措施不到位：應(yīng)用系統(tǒng)的訪問控制不能達(dá)到精確控制的需要。

1.2.4 管理安全分析

1） 缺乏所需的防護(hù)設(shè)備，造成未被授權(quán)的人員進(jìn)入受控區(qū)域；一些重要設(shè)備擺放在易被盜取的位置。

2） 內(nèi)部人員無意中可能泄露系統(tǒng)管理的信息。

2 科技治超網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

2.1 網(wǎng)絡(luò)平臺(tái)

2.1.1 防火墻的布置

大同市科技治超網(wǎng)市中心所用的防火墻為F1000-S-E1，它具有虛擬防火墻、攻擊防范、流量控制、等除傳統(tǒng)防火墻所具有的功能，可以構(gòu)建多種形式的VPN。各縣區(qū)所采用的防火墻為U200-M，也具有防火墻、VPN、病毒防護(hù)等功能。由于市中心安裝有各種服務(wù)器等設(shè)計(jì)數(shù)據(jù)安全的設(shè)備，所以在服務(wù)器出口安裝防火墻F1000-S-E1，而在各縣區(qū)數(shù)據(jù)相對(duì)較少，對(duì)數(shù)據(jù)的安全要求相對(duì)較低，所以布置了防火墻U200-M，具體拓?fù)淙鐖D1。

2.1.3 vpn技術(shù)的使用

vpn技術(shù)解決了遠(yuǎn)程接入科技治超網(wǎng)的瓶頸問題。vpn技術(shù)的使用一般也都是通過防火墻實(shí)現(xiàn)的，如圖1所示，支持vpn的是vpn網(wǎng)關(guān)F1000-S-AI，它實(shí)現(xiàn)了遠(yuǎn)程接入而同時(shí)又保護(hù)了整個(gè)網(wǎng)絡(luò)的安全。

2.1.4 入侵檢測(cè)系統(tǒng)的部署

入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽設(shè)備，無須跨接在任何鏈路上不產(chǎn)生任何網(wǎng)絡(luò)流量便可工作。結(jié)合科技治超網(wǎng)的拓?fù)浞治隹芍獙⑷肭謾z測(cè)系統(tǒng)部署在和服務(wù)器相連接的核心交換機(jī)S12508上最為合適。

2.2 系統(tǒng)和應(yīng)用平臺(tái)

2.2.1 防病毒系統(tǒng)的實(shí)施

根據(jù)大同市科技治超網(wǎng)的特點(diǎn)，該系統(tǒng)在實(shí)施時(shí)可以在管理上進(jìn)行分布管理，而由市中心防病毒服務(wù)器集中控制。目前大同市中心防病毒服務(wù)器安裝了瑞星防病毒軟件，由市一級(jí)防病毒服務(wù)器控制各縣區(qū)二級(jí)防病毒服務(wù)器，再由各縣區(qū)服務(wù)器對(duì)所屬系統(tǒng)的設(shè)備進(jìn)行防病毒控制。防病毒服務(wù)器分為市中心的以及服務(wù)器和各縣區(qū)的二級(jí)服務(wù)器，以及服務(wù)器控制二級(jí)服務(wù)器，再由二級(jí)服務(wù)器控制各自范圍內(nèi)的客戶端。

2.2.2 漏洞掃描系統(tǒng)的實(shí)施

前文已經(jīng)提到在內(nèi)外網(wǎng)之間部署防火墻，防火墻是外網(wǎng)進(jìn)入內(nèi)網(wǎng)的第一道屏障，當(dāng)然能夠很大程度上保護(hù)治超網(wǎng)絡(luò)的安全，但是防火墻并不是萬能的，它也存在一些漏洞和盲點(diǎn)，這就有必要再在內(nèi)部網(wǎng)絡(luò)上部署漏洞掃描系統(tǒng)。大同市科技治超網(wǎng)管理軟件及服務(wù)器在更新時(shí)都會(huì)存在漏洞，系統(tǒng)很容易被侵入。漏洞掃描系統(tǒng)在部署時(shí)分為兩級(jí)，第一級(jí)系統(tǒng)布設(shè)在市中心，作為全網(wǎng)的監(jiān)控中心，第二級(jí)系統(tǒng)布設(shè)在各縣區(qū)，對(duì)本區(qū)局域網(wǎng)的漏洞進(jìn)行掃描及安全評(píng)估。通常，只對(duì)服務(wù)器等進(jìn)行一次漏洞掃描，對(duì)于科技治超網(wǎng)而言，網(wǎng)絡(luò)系統(tǒng)是不斷更新和變化的，在更新后，以前安全的軟件服務(wù)器等也可能會(huì)存在漏洞。這時(shí)候就需要采用合理的時(shí)間間隔對(duì)服務(wù)器、客戶機(jī)以及系統(tǒng)軟件進(jìn)行漏洞掃描，盡量關(guān)閉不用的服務(wù)器，以便于管理。

2.2.3 系統(tǒng)的備份與冗余

考慮到大同市科技治超網(wǎng)對(duì)數(shù)據(jù)的可靠性要求較高，采用專用服務(wù)器對(duì)其他服務(wù)器等終端的數(shù)據(jù)加以備份。在進(jìn)行備份方式的選擇上主要考慮系統(tǒng)的運(yùn)行環(huán)境，操作系統(tǒng)類型等等一些相關(guān)參數(shù)。這樣在其他系統(tǒng)出現(xiàn)問題或丟失數(shù)據(jù)時(shí)可以進(jìn)行恢復(fù)。

在科技治超網(wǎng)的備份服務(wù)器上安裝了Backup Exec軟件，在其他服務(wù)器需要備份的時(shí)候可以對(duì)其進(jìn)行備份。同時(shí)在備份服務(wù)器上安裝了SQL數(shù)據(jù)庫備份軟件，在數(shù)據(jù)庫的數(shù)據(jù)出現(xiàn)問題時(shí)可通過已有的備份對(duì)數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行恢復(fù)。

2.3 安全管理平臺(tái)

2.3.1 對(duì)管理人員的管理

大同市科技治超網(wǎng)的管理人員主要包括設(shè)備管理員，軟件安全管理員，系統(tǒng)運(yùn)行安全管理員，在對(duì)管理人員的選拔上要嚴(yán)格按照相關(guān)制度進(jìn)行選拔，選好人以后對(duì)相關(guān)的管理人員進(jìn)行相應(yīng)的技術(shù)培訓(xùn)。在工作過程中對(duì)這些人員的業(yè)務(wù)素養(yǎng)定期考核。

2.3.2 對(duì)硬件的安全管理

硬件平臺(tái)的安全措施有：

1）所有設(shè)備都鎖在機(jī)柜內(nèi)，機(jī)柜門鑰匙進(jìn)行專人控制。

2）設(shè)備端口上所有的連接線均粘貼線標(biāo)，對(duì)沒有粘貼線標(biāo)的線路檢查時(shí)要予以拔除。

3）機(jī)柜內(nèi)所有設(shè)備的電源均接入到機(jī)柜內(nèi)的防雷插板上，機(jī)柜及設(shè)備均接地。

2.3.3 對(duì)軟件的安全管理

對(duì)軟件的安全管理主要就是針對(duì)操作系統(tǒng)、應(yīng)用型軟件以及數(shù)據(jù)庫的管理。在購買軟件以后，對(duì)軟件登記在冊(cè)，由相應(yīng)的專業(yè)管理員進(jìn)行保管，在安裝時(shí)在專業(yè)人員指導(dǎo)下安裝。

2.3.4 對(duì)系統(tǒng)運(yùn)行環(huán)境的管理

3 結(jié)束語

本文針對(duì)大同市科技治超網(wǎng)的安全系統(tǒng)的設(shè)計(jì)一方面是根據(jù)具體的真實(shí)的網(wǎng)絡(luò)設(shè)計(jì)進(jìn)行分析。在業(yè)務(wù)運(yùn)行穩(wěn)定后，明確羅列出了明細(xì)的訪問需求的情況下，屏蔽掉必須屏蔽的東西，制定了準(zhǔn)確的防火墻策略。當(dāng)今社會(huì)網(wǎng)絡(luò)發(fā)展迅猛，網(wǎng)絡(luò)設(shè)備的更新加快，該安全系統(tǒng)并不能夠保證新入侵技術(shù)下的系統(tǒng)的絕對(duì)安全，但是文中的設(shè)計(jì)已足以保障目前科技治超網(wǎng)的安全需求，新的需求則有待在實(shí)踐中檢驗(yàn)。

參考文獻(xiàn)：

[1] 王春，林海波.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].北京：清華大學(xué)出版社，2009.

[2] 雷震甲.網(wǎng)絡(luò)工程師教程[M].北京：清華大學(xué)出版社，2009.

[3] 譚偉賢，楊力平.計(jì)算機(jī)網(wǎng)絡(luò)安全教程[M].長沙：國防工業(yè)出版社，2011.

[4] Ptacek，Newsham.Evasion and Denial of Service Eluding Network Instruction Election [M].Secure Networks，2008.

摘要：隨著山西煤炭等企業(yè)的整改，超載超限的治理任務(wù)艱巨。一些先進(jìn)的技術(shù)以及現(xiàn)代化的網(wǎng)絡(luò)設(shè)備應(yīng)用到治理超載系統(tǒng)中，可以提升治超任務(wù)的方便性與快捷性，同時(shí)也使得治超工作能夠做到準(zhǔn)確無誤。該文主要是通過對(duì)大同市科技治超網(wǎng)網(wǎng)絡(luò)需求進(jìn)行分析，對(duì)科技治超網(wǎng)的網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行了全方位的設(shè)計(jì)，包括設(shè)備、系統(tǒng)、數(shù)據(jù)以及管理等方面的安全，其中涉及到的技術(shù)有防火墻、防病毒、入侵檢測(cè)、虛擬局域網(wǎng)、數(shù)據(jù)加密及備份技術(shù)，并給出了相應(yīng)的安全設(shè)計(jì)與實(shí)現(xiàn)方式。通過這些安全方面的設(shè)計(jì)與實(shí)施，可以為治超系統(tǒng)的安全提供可靠的保障，提高治超工作的科學(xué)性與高效性。

關(guān)鍵詞：科技治超；網(wǎng)絡(luò)；安全系統(tǒng)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）32-7588-03

1 概述

1.1 課題來源及主要研究內(nèi)容

隨著新經(jīng)濟(jì)時(shí)代的發(fā)展，網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，信息化概念深入人心。山西省是煤炭工業(yè)大省，超載超重現(xiàn)象普遍存在。信息技術(shù)在不斷發(fā)展，原本的人工治超工作中的檢查車輛、手工制表、數(shù)據(jù)分析以及資料查詢一些過程都可以直接通過科技治超的網(wǎng)絡(luò)監(jiān)控系統(tǒng)以及數(shù)據(jù)處理系統(tǒng)代替完成，提高工作效率。大同市科技治超網(wǎng)絡(luò)系統(tǒng)是山西省科技治超網(wǎng)絡(luò)系統(tǒng)的一個(gè)重要組成部分。該網(wǎng)絡(luò)是專用網(wǎng)絡(luò)，如何提高網(wǎng)絡(luò)系統(tǒng)安全性，保障工作順利進(jìn)行，保障網(wǎng)絡(luò)中的信息安全便顯得尤為重要。

1.2 安全風(fēng)險(xiǎn)分析

1.2.1 物理層安全分析

1） 環(huán)境安全：纜線等周圍存在一些可能是信息被竊取的隱患或者被破壞的隱患；

2） 設(shè)備安全：因斷電等等及其他原因?qū)е碌年P(guān)鍵設(shè)備的損壞或者服務(wù)中斷和數(shù)據(jù)丟失。也可能因防盜措施不力使得重要設(shè)備被盜竊，造成國家的重大損失。同時(shí)服務(wù)器等一些關(guān)鍵設(shè)備對(duì)室內(nèi)溫度有嚴(yán)格的要求，若溫度過高可能導(dǎo)致設(shè)備損壞。

1.2.2 系統(tǒng)運(yùn)行安全分析

系統(tǒng)安全體現(xiàn)在：數(shù)據(jù)的備份和恢復(fù)、惡意代碼和計(jì)算機(jī)病毒的預(yù)防等方面；

1） 備份與恢復(fù)不到位造成的數(shù)據(jù)的丟失。

2） 主機(jī)在信息導(dǎo)入時(shí)可能感染病毒等造成文件丟失，可能使系統(tǒng)無法正常運(yùn)行甚至癱瘓。

3） 對(duì)安全保密設(shè)備配置不合理，無法發(fā)揮安全防護(hù)能力。

1.2.3 信息安全分析

1） 系統(tǒng)和數(shù)據(jù)庫存在安全漏洞。

2） 訪問控制措施不到位：應(yīng)用系統(tǒng)的訪問控制不能達(dá)到精確控制的需要。

1.2.4 管理安全分析

1） 缺乏所需的防護(hù)設(shè)備，造成未被授權(quán)的人員進(jìn)入受控區(qū)域；一些重要設(shè)備擺放在易被盜取的位置。

2） 內(nèi)部人員無意中可能泄露系統(tǒng)管理的信息。

2 科技治超網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

2.1 網(wǎng)絡(luò)平臺(tái)

2.1.1 防火墻的布置

大同市科技治超網(wǎng)市中心所用的防火墻為F1000-S-E1，它具有虛擬防火墻、攻擊防范、流量控制、等除傳統(tǒng)防火墻所具有的功能，可以構(gòu)建多種形式的VPN。各縣區(qū)所采用的防火墻為U200-M，也具有防火墻、VPN、病毒防護(hù)等功能。由于市中心安裝有各種服務(wù)器等設(shè)計(jì)數(shù)據(jù)安全的設(shè)備，所以在服務(wù)器出口安裝防火墻F1000-S-E1，而在各縣區(qū)數(shù)據(jù)相對(duì)較少，對(duì)數(shù)據(jù)的安全要求相對(duì)較低，所以布置了防火墻U200-M，具體拓?fù)淙鐖D1。

2.1.3 vpn技術(shù)的使用

vpn技術(shù)解決了遠(yuǎn)程接入科技治超網(wǎng)的瓶頸問題。vpn技術(shù)的使用一般也都是通過防火墻實(shí)現(xiàn)的，如圖1所示，支持vpn的是vpn網(wǎng)關(guān)F1000-S-AI，它實(shí)現(xiàn)了遠(yuǎn)程接入而同時(shí)又保護(hù)了整個(gè)網(wǎng)絡(luò)的安全。

2.1.4 入侵檢測(cè)系統(tǒng)的部署

入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽設(shè)備，無須跨接在任何鏈路上不產(chǎn)生任何網(wǎng)絡(luò)流量便可工作。結(jié)合科技治超網(wǎng)的拓?fù)浞治隹芍獙⑷肭謾z測(cè)系統(tǒng)部署在和服務(wù)器相連接的核心交換機(jī)S12508上最為合適。

2.2 系統(tǒng)和應(yīng)用平臺(tái)

2.2.1 防病毒系統(tǒng)的實(shí)施

根據(jù)大同市科技治超網(wǎng)的特點(diǎn)，該系統(tǒng)在實(shí)施時(shí)可以在管理上進(jìn)行分布管理，而由市中心防病毒服務(wù)器集中控制。目前大同市中心防病毒服務(wù)器安裝了瑞星防病毒軟件，由市一級(jí)防病毒服務(wù)器控制各縣區(qū)二級(jí)防病毒服務(wù)器，再由各縣區(qū)服務(wù)器對(duì)所屬系統(tǒng)的設(shè)備進(jìn)行防病毒控制。防病毒服務(wù)器分為市中心的以及服務(wù)器和各縣區(qū)的二級(jí)服務(wù)器，以及服務(wù)器控制二級(jí)服務(wù)器，再由二級(jí)服務(wù)器控制各自范圍內(nèi)的客戶端。

2.2.2 漏洞掃描系統(tǒng)的實(shí)施

前文已經(jīng)提到在內(nèi)外網(wǎng)之間部署防火墻，防火墻是外網(wǎng)進(jìn)入內(nèi)網(wǎng)的第一道屏障，當(dāng)然能夠很大程度上保護(hù)治超網(wǎng)絡(luò)的安全，但是防火墻并不是萬能的，它也存在一些漏洞和盲點(diǎn)，這就有必要再在內(nèi)部網(wǎng)絡(luò)上部署漏洞掃描系統(tǒng)。大同市科技治超網(wǎng)管理軟件及服務(wù)器在更新時(shí)都會(huì)存在漏洞，系統(tǒng)很容易被侵入。漏洞掃描系統(tǒng)在部署時(shí)分為兩級(jí)，第一級(jí)系統(tǒng)布設(shè)在市中心，作為全網(wǎng)的監(jiān)控中心，第二級(jí)系統(tǒng)布設(shè)在各縣區(qū)，對(duì)本區(qū)局域網(wǎng)的漏洞進(jìn)行掃描及安全評(píng)估。通常，只對(duì)服務(wù)器等進(jìn)行一次漏洞掃描，對(duì)于科技治超網(wǎng)而言，網(wǎng)絡(luò)系統(tǒng)是不斷更新和變化的，在更新后，以前安全的軟件服務(wù)器等也可能會(huì)存在漏洞。這時(shí)候就需要采用合理的時(shí)間間隔對(duì)服務(wù)器、客戶機(jī)以及系統(tǒng)軟件進(jìn)行漏洞掃描，盡量關(guān)閉不用的服務(wù)器，以便于管理。

2.2.3 系統(tǒng)的備份與冗余

考慮到大同市科技治超網(wǎng)對(duì)數(shù)據(jù)的可靠性要求較高，采用專用服務(wù)器對(duì)其他服務(wù)器等終端的數(shù)據(jù)加以備份。在進(jìn)行備份方式的選擇上主要考慮系統(tǒng)的運(yùn)行環(huán)境，操作系統(tǒng)類型等等一些相關(guān)參數(shù)。這樣在其他系統(tǒng)出現(xiàn)問題或丟失數(shù)據(jù)時(shí)可以進(jìn)行恢復(fù)。

在科技治超網(wǎng)的備份服務(wù)器上安裝了Backup Exec軟件，在其他服務(wù)器需要備份的時(shí)候可以對(duì)其進(jìn)行備份。同時(shí)在備份服務(wù)器上安裝了SQL數(shù)據(jù)庫備份軟件，在數(shù)據(jù)庫的數(shù)據(jù)出現(xiàn)問題時(shí)可通過已有的備份對(duì)數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行恢復(fù)。

2.3 安全管理平臺(tái)

2.3.1 對(duì)管理人員的管理

大同市科技治超網(wǎng)的管理人員主要包括設(shè)備管理員，軟件安全管理員，系統(tǒng)運(yùn)行安全管理員，在對(duì)管理人員的選拔上要嚴(yán)格按照相關(guān)制度進(jìn)行選拔，選好人以后對(duì)相關(guān)的管理人員進(jìn)行相應(yīng)的技術(shù)培訓(xùn)。在工作過程中對(duì)這些人員的業(yè)務(wù)素養(yǎng)定期考核。

2.3.2 對(duì)硬件的安全管理

硬件平臺(tái)的安全措施有：

1）所有設(shè)備都鎖在機(jī)柜內(nèi)，機(jī)柜門鑰匙進(jìn)行專人控制。

2）設(shè)備端口上所有的連接線均粘貼線標(biāo)，對(duì)沒有粘貼線標(biāo)的線路檢查時(shí)要予以拔除。

3）機(jī)柜內(nèi)所有設(shè)備的電源均接入到機(jī)柜內(nèi)的防雷插板上，機(jī)柜及設(shè)備均接地。

2.3.3 對(duì)軟件的安全管理

對(duì)軟件的安全管理主要就是針對(duì)操作系統(tǒng)、應(yīng)用型軟件以及數(shù)據(jù)庫的管理。在購買軟件以后，對(duì)軟件登記在冊(cè)，由相應(yīng)的專業(yè)管理員進(jìn)行保管，在安裝時(shí)在專業(yè)人員指導(dǎo)下安裝。

2.3.4 對(duì)系統(tǒng)運(yùn)行環(huán)境的管理

3 結(jié)束語

本文針對(duì)大同市科技治超網(wǎng)的安全系統(tǒng)的設(shè)計(jì)一方面是根據(jù)具體的真實(shí)的網(wǎng)絡(luò)設(shè)計(jì)進(jìn)行分析。在業(yè)務(wù)運(yùn)行穩(wěn)定后，明確羅列出了明細(xì)的訪問需求的情況下，屏蔽掉必須屏蔽的東西，制定了準(zhǔn)確的防火墻策略。當(dāng)今社會(huì)網(wǎng)絡(luò)發(fā)展迅猛，網(wǎng)絡(luò)設(shè)備的更新加快，該安全系統(tǒng)并不能夠保證新入侵技術(shù)下的系統(tǒng)的絕對(duì)安全，但是文中的設(shè)計(jì)已足以保障目前科技治超網(wǎng)的安全需求，新的需求則有待在實(shí)踐中檢驗(yàn)。

參考文獻(xiàn)：

[1] 王春，林海波.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].北京：清華大學(xué)出版社，2009.

[2] 雷震甲.網(wǎng)絡(luò)工程師教程[M].北京：清華大學(xué)出版社，2009.

[3] 譚偉賢，楊力平.計(jì)算機(jī)網(wǎng)絡(luò)安全教程[M].長沙：國防工業(yè)出版社，2011.

[4] Ptacek，Newsham.Evasion and Denial of Service Eluding Network Instruction Election [M].Secure Networks，2008.