第51期:构筑信息网络安全,保障数字增城建设
安全是互联网发展的前提和基础。互联网服务必须建立在网络安全的基石之上。当前,网络安全已经成为国际社会的焦点问题。黑客攻击、传播病毒、窃取信息、侵犯隐私等行为暗流涌动,广大人民和企事业单位对信息安全的呼声十分强烈。近年来,我市大力推广信息化建设,建立了各种业务信息系统,大大提高了办公的效率和服务群众的能力,但随之而来信息安全威胁日益增大。针对信息网络安全问题,市城乡规划局从网络架构、信息加密,容灾数据备份等方面建立了严谨的安全体制,形成牢固的网络防线,保证信息安全。
一、网络安全威胁分析
日前,美国国家安全局前雇员爱德华•斯诺登曝光了包括“棱镜”在内的美政府多个秘密监视项目,引起全世界震惊。我们应该借此机会深刻反思,关注信息网络安全问题,抓住技术潮流,建设安全信息网络。信息网络安全是指防止信息网络本身及其采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制,即保障信息的可用性、机密性、完整性、可控性、不可抵赖性。常见的网络安全威胁来源有:
(一)拒绝服务攻击
拒绝服务攻击即攻击者想办法让目标机器停止提供服务:一是迫使服务器的缓冲区被占满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。
(二)活跃木马
木马(Trojan)这个名字来源于古希腊传说(即
代指特洛伊木马计的故事)。“木马”程序通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。
(三)SQL注入分析
SQL注入攻击是目前流行的攻击方式,可以对网站的数据库进行窃取、破坏等,甚至可以通过利用数据库中的一些内置函数或存储过程来获服务器主机的信息或访问权,从而达到窃取、破坏数据等目的。
(四)蠕虫病毒
蠕虫病毒是能够自我复制的一组计算机指令或者程序代码。它通过修改其他程序的方法将自己拷贝到其他程序中,从而感染其他程序,对计算机资源进行破坏。典型病毒代表:熊猫烧香。
二、构筑网络安全,保障数字增城建设
市城乡规划局现在正处于建设数字增城关键时期,而保证信息数据安全是建设数字增城的必要前提。针对形形色色的网络威胁,市城乡规划局根据自身实际情况,构筑牢固网络安全体系作防线,保障数字增城建设。
(一)物理隔离网闸建设
为使办公内网的信息数据避免受到来自互联网和政务网等内网以外的网络安全威胁,市城乡规划局通过物理隔离网闸连接内网与内网以外的网络。网闸就好比一个网络屏障,保证所连接的两个网络之间不存在直接物理连接通信,信息数据通过网闸内部私有协议加密传输,从而从物理上隔离、阻断了具有潜在攻击可能的一切链接,保证内网与政务网之间的信息能够快捷、便利、安全地交换。其工作原理如图1所示。
图1 网闸工作示意图
外网接入分为有线和无线接入,以适应多手段,多方式的办公需求。无线网路和有线网络设置为不同的网段,这样就客观上断绝了存储于有线网络的保密数据通过无线网络流出的可能性。同时通过上网行为管理器实现对无线上网的管理。有线网络则是首先通过物理隔离网闸,采用代理上网的方式,允许通过认证的用户连接至互联网,同时也相应的通过上网行为管理器来实现对上网行为的策略、审计和流量控制管理,提供高效的内外网交换通道。
(二)内网数据保密建设
圆周率文件智能锁控制服务中心软件是用于解决内部文件解密过程的自动化管理。授权用户只有在客户端登录相应的服务器后才能实现对加密文件的解密。在服务端能对个人解密的文件实现自动备份,且对每次操作都有详细的记录,使得客户端解密操作具有不可否认性。服务器的建立,使外传文件解密的过程变得更加简单安全。同时在服务器端的客户机管理平台上,还可以通过相应权限的设置保证存储于客户端的cad数据的不会通过USB、剪切板、打印机等途径流传。
(三)数据发布保密建设
数据发布采用圆周率图形金甲程序来解决AutoCAD数据在外发过程中被恶意泄漏的问题(图2)。将数据与硬件狗绑定即必须插上硬件狗才能使用数据,来对AutoCAD图纸进行安全管理,使数据具有唯一拷贝,无法复制传播。
硬件狗包括发布狗与数据狗。数据发布者通过使用发布狗生成加密文件,保存发布者版权信息和加密密钥信息;数据狗含有加密图形文件授权信息,授权使用者(用图单位)可以通过此正确打开图形文件,没有数据狗的非法使用者即使得到加密后的AutoCAD数据,也无法正常浏览图形文件。
(四)容灾与数据备份
灾难随时可能发生,但如果提前预警,就可以采取相应的准备措施,以减轻灾难所造成的后果。对于信息系统来说,会存在哪些潜在的灾难?典型的灾难如地震等自然灾害都会导致系统服务出现不可预测的中断,如网络中断等;同时,人为因素的破坏也会造成灾难,如恐怖袭击、黑客恶意破坏等。因此,信息网络安全建设不能忽视容灾问题。
市城乡规划局立足实际需要,建立先进的容灾机制:通过在LAN或WAN上将多台存储服务器连接起来,通过Netapp软件尽可能将数据镜像存储到一个或多个服务器上。Netapp软件不断地更新镜像数据,以确保数据是最新的,并且能够用于数据恢复、减少磁带备份、发布只读数据、在非生产性服务器上进行测试、执行联机数据迁移等等。该机制通过自动更新这些数据,并支持对镜像数据的本地访问方式,使得数据在其中一台存储服务器因灾难而损坏的情况下,也可以即时从其他一个或者多个存储服务器中恢复过来。
图2 图形金甲发布数据加密设置
三、结语
尽管建立了较为完善的网络安全机制,但网络安全威胁无处不在,且网络攻击的技术不断发展,网络安全建设一刻不能放松。加强信息安全保障工作,坚持管理与技术并重,并进一步加强信息网络
安全专业技术人员队伍建设,提高信息网络管理和使用单位信息安全管理的技术防范水平,是做好信息网络安全保障工作,维护信息网络安全的一项重要措施。
(作者 单湛波 陈振宇)
