国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

禹門口灌區(qū)信息化綜合系統(tǒng)網(wǎng)信息安全等級保護(hù)方案設(shè)計

2023-01-10 12:54:13張明晶
山西水利科技 2022年2期
關(guān)鍵詞:機(jī)房邊界信息系統(tǒng)

張明晶

(山西省水利水電勘測設(shè)計研究院有限公司 山西太原 030024)

1 概述

禹門口灌區(qū)信息化系統(tǒng)工程分布在禹門口灌區(qū)范圍內(nèi),涉及灌區(qū)內(nèi)干渠上主要的分水閘、提水泵站的信息采集和遠(yuǎn)程控制。禹門口灌區(qū)信息化系統(tǒng)工程建設(shè)期間的原有等保系統(tǒng)為1.0 系統(tǒng),該系統(tǒng)較為落后且不能分級管理。本設(shè)計對禹門口灌區(qū)信息化系統(tǒng)實行按等級管理并進(jìn)行等保系統(tǒng)的升級改造,系統(tǒng)設(shè)計主要分為安全管理體系、安全技術(shù)體系、安全運(yùn)維體系三個方面。安全技術(shù)細(xì)化即是對上網(wǎng)行為管理、VPN、等保一體機(jī)、基線核查、堡壘機(jī)、數(shù)據(jù)庫審計、日志審計、防火墻、IDP(入侵防御系統(tǒng))消防系統(tǒng)及動環(huán)系統(tǒng)等保系統(tǒng)軟硬件進(jìn)行升級改造,使系統(tǒng)的等保防御等級達(dá)到公安和網(wǎng)信部的要求,即進(jìn)入等保系統(tǒng)2.0時代。

2 方案總體拓?fù)湓O(shè)計

禹門口信息化等保系統(tǒng)按等級保護(hù)要求進(jìn)行設(shè)計,下文主要探討安全技術(shù)體系中安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境的安全控制項,同時提升軟硬件的設(shè)備參數(shù)用以增強(qiáng)系統(tǒng)安全控制能力。

2.1 安全物理環(huán)境

原有機(jī)房存在缺乏控制、人員隨意出入、線路老化、電磁干擾等風(fēng)險。新機(jī)房建設(shè)參照等級保護(hù)三級物理環(huán)境安全控制項的要求,結(jié)合《電子信息系統(tǒng)機(jī)房設(shè)計規(guī)范》(GB50174-2008)標(biāo)準(zhǔn)進(jìn)行建設(shè),涉及的主要領(lǐng)域包括設(shè)備和媒介防盜防損方面、環(huán)境安全方面等。這里面包含的內(nèi)容有:對物理空間位置進(jìn)行選擇、對物理數(shù)據(jù)訪問進(jìn)行內(nèi)部控制、防盜防損、防水防潮、防靜電及機(jī)房的溫濕度管控、機(jī)房的配電系統(tǒng)和電磁環(huán)境防護(hù)等方面的控制。主要分為兩個系統(tǒng)。

1)消防系統(tǒng)

機(jī)房設(shè)有獨立的消防系統(tǒng),設(shè)置火災(zāi)自動報警系統(tǒng),是采用氣體滅火。

2)動環(huán)系統(tǒng)

機(jī)房環(huán)控系統(tǒng)需要監(jiān)控的對象包括:配電(智能表)、UPS 電源(RS485 信息)、機(jī)房內(nèi)溫度、濕度、水浸、門開關(guān)狀態(tài)(門禁系統(tǒng))等,實現(xiàn)對機(jī)房環(huán)境全面監(jiān)測、及時報警、全面防護(hù)。調(diào)度中心設(shè)置接口軟件,報警信息入通信網(wǎng)絡(luò)系統(tǒng)的監(jiān)控終端。

機(jī)房門設(shè)置門禁系統(tǒng),既可聯(lián)網(wǎng)使用也可脫網(wǎng)獨立使用,可通過技術(shù)標(biāo)準(zhǔn)的RS232 或RS485 接口及通訊網(wǎng)絡(luò)協(xié)議,將門禁管理信息通過數(shù)據(jù)線傳輸給監(jiān)控終端,也可以接收信號解除門禁,進(jìn)行集中統(tǒng)一控制。

將視頻監(jiān)控單元亦接入機(jī)房的動力環(huán)境監(jiān)控中,可通過網(wǎng)絡(luò)實現(xiàn)遠(yuǎn)程訪問。

2.2 安全通信網(wǎng)絡(luò)

信息系統(tǒng)是等級保護(hù)管理的最終目標(biāo),該信息系統(tǒng)承載了生產(chǎn)、辦公、系統(tǒng)開發(fā)和測試等一系列服務(wù)。根據(jù)各個服務(wù)的性質(zhì)和特點,將信息系統(tǒng)劃分為若干個服務(wù)子系統(tǒng),重點確定每個服務(wù)子系統(tǒng)的安全防護(hù)等級。對信息系統(tǒng)等級保護(hù)劃分時應(yīng)考慮以下幾個方面。

1)相同的管理機(jī)構(gòu)

所有劃分的服務(wù)子系統(tǒng)可以同時被一個管理機(jī)構(gòu)控制,這樣能保證遵照一樣的安全風(fēng)險管理策略。

2)相似的業(yè)務(wù)類型

所有劃分的服務(wù)子系統(tǒng)具有同樣的業(yè)務(wù)類型和相似的安全需求,以便保證能夠遵照同樣的安全策略。

3)相同的物理位置、運(yùn)行環(huán)境或安全控制措施

所有劃分的服務(wù)子系統(tǒng)有的物理位置一樣,有的運(yùn)行環(huán)境差不多,有的安全問題一樣,這說明系統(tǒng)面臨的威脅差不多,可以采用類似的安全風(fēng)險控制技術(shù)以便實現(xiàn)系統(tǒng)安全的統(tǒng)一保護(hù)。

2.3 安全區(qū)域邊界

1)邊界防護(hù)

(1)外邊界設(shè)備能提供可控制的接口,以便跨界訪問和數(shù)據(jù)流的通信;

(2)邊界防護(hù)具備檢查或限制一些沒有經(jīng)過授權(quán)的外部設(shè)備連接到內(nèi)部網(wǎng)絡(luò);

(3)邊界防護(hù)具備分析檢查或限制工程內(nèi)部的網(wǎng)絡(luò)用戶在沒有經(jīng)過授權(quán)而聯(lián)到了外部信息網(wǎng)絡(luò)的行為;

(4)邊界防護(hù)應(yīng)保證無線網(wǎng)絡(luò)接入工程內(nèi)部網(wǎng)絡(luò)時,是經(jīng)過可被控制的邊界設(shè)備完成的。

在網(wǎng)絡(luò)邊界需要部署下一代防火墻,以便對邊界進(jìn)行安全訪問控制及安全檢測。在業(yè)務(wù)網(wǎng)出口邊界增加部署入侵防御設(shè)備,達(dá)到對網(wǎng)絡(luò)應(yīng)用層的保護(hù)。對于互聯(lián)網(wǎng)出口邊界前,部署上網(wǎng)行為管理器,用以管理內(nèi)外網(wǎng)之間的存取應(yīng)用技術(shù)。

2)安全審計體系及部分軟硬件升級改造

(1)堡壘機(jī)系統(tǒng)

在安全管理領(lǐng)域部署一套運(yùn)維審計系統(tǒng)(fort host),堡壘機(jī)實現(xiàn)控制和審計信息系統(tǒng)中關(guān)鍵硬件和軟件設(shè)備的運(yùn)行和維護(hù)行為。通過堡壘主機(jī)完成反向代理的部署工作模式,以此實現(xiàn)對管理企業(yè)用戶的身份鑒別?!皵?shù)字證書”和“用戶名+密碼”認(rèn)證方式可以同時作為等級三級保護(hù)的雙重認(rèn)證。

軟硬件改造:

①運(yùn)維安全管理系統(tǒng)軟件V3.0(適用于OSM-1000-V10,堡壘主機(jī)內(nèi)控管理平臺SBR-S10)(*1);

②技術(shù)支持服務(wù)(*1);

③軟件升級(OSM-1000-V10)(*1)。

(2)數(shù)據(jù)庫審計系統(tǒng)

數(shù)據(jù)庫審計系統(tǒng)可以對企業(yè)信息系統(tǒng)中各種常用數(shù)據(jù)庫進(jìn)行控制和審計,可以有效解析上述各種數(shù)據(jù)庫的服務(wù)項目編碼。

軟硬件改造:

數(shù)據(jù)庫安全審計系統(tǒng)軟件(*1);軟件升級(*3)。

(3)日志審計系統(tǒng)

建立工程網(wǎng)絡(luò)安全管理領(lǐng)域所有日志的標(biāo)準(zhǔn)收集和分析系統(tǒng),滿足用戶可以隨時查看相關(guān)數(shù)據(jù)界面。并且能保證日志審計管理系統(tǒng)記錄的時間學(xué)習(xí)內(nèi)容符合企業(yè)相關(guān)法律與法規(guī)。

軟硬件改造:

①計系統(tǒng)軟件V3.0(適用于LAS-1000-V20,Log-Base日志管理綜合審計系統(tǒng)SFD-A20)(*1);

②技術(shù)支持服務(wù)(*1);

③軟件升級(LAS-1000-V20)(*1)。

(4)基線核查系統(tǒng)

在工程網(wǎng)絡(luò)安全管理區(qū)設(shè)基線核查系統(tǒng),該系統(tǒng)能掃描出網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫等存在的安全方面漏洞及被測應(yīng)用系統(tǒng)的薄弱環(huán)節(jié),進(jìn)而通過圖形、報表對所得結(jié)果數(shù)據(jù)進(jìn)行詳細(xì)的管理分析,并提出相應(yīng)的補(bǔ)救措施建議。

軟硬件改造:

①基線核查系統(tǒng)軟件V3.0(適用于BVT-1000-V50,配置安全評估系統(tǒng)-50A)(*1);

②技術(shù)支持服務(wù)(*1);

③軟件升級(BVT-1000-V50)(*1)。

(5)殺毒軟件系統(tǒng)

在業(yè)務(wù)網(wǎng)絡(luò)中部署網(wǎng)絡(luò)防病毒系統(tǒng)進(jìn)行集中管理,保護(hù)服務(wù)器及終端系統(tǒng)安全。

在安全管理安全域中,可以部署防毒服務(wù)器,負(fù)責(zé)與終端計算機(jī)之間建立防毒策略。在網(wǎng)絡(luò)邊緣界面上依靠防火墻的隔離技術(shù)對流入流出的網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行跟蹤監(jiān)控。同時,防病毒系統(tǒng)可以為管理平臺提供病毒日志的查詢和統(tǒng)計。

軟硬件改造:

①防火墻軟件(*1);WAF、IPS 模塊功能,軟件升級(*3)。

②網(wǎng)絡(luò)層交換帶寬為4.0 Gbps,IPS 網(wǎng)絡(luò)運(yùn)營商單位時間傳送網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)為1.5 Gbps,并發(fā)連接的數(shù)量是180 萬,新連接數(shù)(信息物理系統(tǒng)CPS)為4 萬。

③硬件參數(shù):標(biāo)準(zhǔn)類型機(jī)架,單個電源輸入,10 個1 000 M(千兆)電口;(*1);

含:網(wǎng)絡(luò)入侵防御系統(tǒng)軟件V8.0。

(6)VPV 系統(tǒng)

通過在互聯(lián)網(wǎng)區(qū)部署VPV 系統(tǒng),給遠(yuǎn)方用戶提供比較安全的運(yùn)用環(huán)境。

軟硬件:

①專用1U 千兆硬件平臺;

含:VPN 網(wǎng)關(guān)管理軟件V7.0(*1);

②企業(yè)移動管理模塊(*1);

③企業(yè)移動管理接入授權(quán)(基礎(chǔ)版,EasyAPP)(*80);

2.4 安全計算環(huán)境

邊界內(nèi)部稱為安全計算環(huán)境,安全計算環(huán)境針對邊界內(nèi)部提出了安全控制要求,通常通過局域網(wǎng)將邊界內(nèi)部的所有對象,包括網(wǎng)絡(luò)、安全、服務(wù)器、終端等設(shè)備,還有應(yīng)用系統(tǒng)、數(shù)據(jù)對象,與各類系統(tǒng)軟件幾應(yīng)用軟件等連接起來,構(gòu)成復(fù)雜的計算環(huán)境。

系統(tǒng)主要安全控制點包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數(shù)據(jù)完整性與保密性、數(shù)據(jù)備份與恢復(fù)、剩余信息保護(hù)和個人信息保護(hù)??刂泣c要求基本類似,只是針對的對象不同。

3 結(jié)語

本文在對禹門口灌區(qū)信息化等保系統(tǒng)安全技術(shù)體系各層次可能存在的安全漏洞和安全風(fēng)險進(jìn)行分析的基礎(chǔ)上,提出了相應(yīng)解決方案。將工程建設(shè)期間的等保1.0 系統(tǒng)升級改造為等保2.0 系統(tǒng),完成在公安和網(wǎng)信部門的備案,實現(xiàn)系統(tǒng)上網(wǎng)運(yùn)行。升級后的等保系統(tǒng)通過提高網(wǎng)絡(luò)系統(tǒng)安全水平和防御能力,保障了企業(yè)的網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行,最終達(dá)到為灌區(qū)工程實現(xiàn)綜合、動態(tài)、有效的網(wǎng)絡(luò)安全防護(hù)能力,為工程信息化工作的推進(jìn)保駕護(hù)航的目的。

猜你喜歡
機(jī)房邊界信息系統(tǒng)
企業(yè)信息系統(tǒng)安全防護(hù)
哈爾濱軸承(2022年1期)2022-05-23 13:13:18
拓展閱讀的邊界
論中立的幫助行為之可罰邊界
基于區(qū)塊鏈的通航維護(hù)信息系統(tǒng)研究
電子制作(2018年11期)2018-08-04 03:25:54
信息系統(tǒng)審計中計算機(jī)審計的應(yīng)用
基于SG-I6000的信息系統(tǒng)運(yùn)檢自動化診斷實踐
N通信公司機(jī)房節(jié)能技改實踐
新型有線電視機(jī)房UPS系統(tǒng)的配置
大功率發(fā)射機(jī)房冷卻送風(fēng)改造
“偽翻譯”:“翻譯”之邊界行走者
宜良县| 方正县| 延川县| 滦南县| 天镇县| 北辰区| 吉木萨尔县| 金秀| 神农架林区| 集贤县| 安塞县| 瑞金市| 苍溪县| 咸宁市| 永登县| 富裕县| 虞城县| 清涧县| 大厂| 和林格尔县| 新平| 开鲁县| 利津县| 丹棱县| 新竹市| 永寿县| 岳阳市| 邵阳县| 凤城市| 历史| 九寨沟县| 慈利县| 江源县| 桐梓县| 通许县| 汉中市| 汾西县| 铅山县| 文昌市| 湟源县| 郑州市|