政府网络安全体系理论研究
2014-07-23季莹莹虞成磊
季莹莹 虞成磊 王 波
(1.浙江省通信管理局 浙江 310012;2.杭州电子科技大学 浙江 310018;3.浙江省云和县机要局 浙江 323600)
0 引言
改善安全系统结构分配布局,改进系统功能,提高检测率,降低漏报率、误报率,提升安全系统速度,完善安全系统性能,对提高政府网络安全具有十分重要的意义。
1 相关研究
(1)网络安全防护体系:网络安全防护体系是由安全操作系统、应用系统、防火墙、网络监控、安全扫描、通信加密、网络反病毒等多个安全组件共同组成的,每个组件只能完成其中部分功能。
(2)原有政府网络安全分析:VPN专网安全隐患;服务器未隔离。主干网络交换机不统一。
2 政府网络安全体系改造方案
2.1 防火墙
把防火墙部署在内网核心交换机和互联网之间,网络结构安全中重要网络设备或安全设备的具备冗余能力相当重要,所以考虑到网络的高可用性,防火墙可以工作在双A状态,形成冗余双链路结构。
2.2 VPN
政府网络对重要业务数据在互联网传输的安全传输提出了如下基本要求:保证数据的真实性、完整性,保证通道的机密性,提供动态密钥交换功能和集中安全管理服务,提供安全防护措施和访问控制等。
2.3 IDS系统
在政府网络与信息系统边界处部署入侵监视设备来监视来自外网的木马、漏洞等攻击。
该入侵检测方案部署完成后,能够监视经过本网段的任何活动,进行实时动态的网络监视,根据数据包的特征,发现网络入侵行为,抵御来自外部和内部的各种网络入侵攻击事件。
入侵检测系统采用旁路的部署架构,需要在核心交换机上做镜像端口,通过交换机把经过交换机的所有数据都转发到入侵检测系统,入侵检测系统对接收到的数据进行分析,当发现攻击系统会产生报警或和防火墙进行联动来阻止攻击的发生。
3 改造后的政府网络
该改造方案对云和县政府网络与信息系统进行了安全域的划分,业务系统区作为整个云和县政府网络与信息系统的核心,也是此次网络安全改造中重点保护的对象。目前大部分的安全风险都来自于内网,终端PC可以任意访问服务器,在内网具有比较高的权限,用户的误操作、感染病毒、恶意攻击等都会给服务器带来很大的安全风险,所以对服务器区采用防火墙安全隔离,实现终端PC区域和业务区的安全隔离。
在云和县网络与互联网之间部署的防火墙实现两个网络之间的访问控制和安全隔离,再要采用相应的入侵防护技术和行为管理技术对数据进行深层次的攻击分析和检查,当发现攻击直接清除或者报警,这样就大大增加了云和县政府网络系统的安全性。
4 网络改造前后数据对比分析
由于网络安全设备的特殊性,对数据进行测试时,定义关键性数据比较困难,因此只能提取网络的多次监控结果来测试安全数据是否起到了其应有的作用。本文以云和县访问市信息中心等七个较为有意义端点的网络ping(长度=1518Byte 时间1小时)的平均延时和丢包率,作为进行云和县改造前后网络情况对比参考数据并加以分析。
4.1 网络改造前的数据
网络改造前的平均延时及丢包率如表1及表2所示:
表1 网络改造前的平均延时(ms)
表2 网络改造前的丢包率(%)
4.2 网络改造后的数据
网络改造后的平均延时及丢包率如表3及表4所示:
表3 网络改造后的平均延时(ms)
表4 网络改造后的丢包率(%)
4.3 总结分析
从测试结果来看,可发现政府网受到职业黑客的攻击概率较低,大多数是病毒引起的网络拥堵,因此及时准确发现拥堵原因和查找病毒的源头成为网络管理者首要关注的问题。
5 结束语
随着政府网络在政府工作中越来越广泛的被应用,政府网络安全问题也日益突出。本文以丽水市云和县政府网络为例,在原有政府网络的安全检测系统结构上,提出了具体的网络安全改造方案,通过网络安全改造前后的测试数据分析得出,网络改造后政府网受到职业黑客的攻击概率大大降低,因此对提高政府网络安全具有十分重要的意义。
[1]马丰,张应利,杨玉凤.电子政务安全中常用网络技术[J].工业工程.2004,7(2)
[2]陈爱民.计算机的安全与保密[M].北京:电子工业出版社.2002.