试论上海交通安全信息网对信息安全的研究
  作者:未知    来源:在线整理     查看:548次 字体:

  论文摘要:随着计算机网络的迅猛发展,网络已经进入了千家万户,与此同时网络信息安全必然成了一个不可忽视的环节。上海交通安全信息网为广大市民提供交通安全信息、违蕈查询、邮件等多项服务,本文对此平台做了信息安全方面的研究,已经实际运用并取得了良好的效果。
  论文关键词:网络 信息安全 防火墙 负载均衡

  1引言
  随着计算机和电子通讯技术的飞速发展,网络的应用越来越广泛,国内政府部门都不约而同地意识到利用网络传递信息可以在一定程度上提高办事效率、提高政府的对外形象。上海市交警总队已经建成上海交通安全信息网,通过Internet宣传交通法规以及交通违规的查询,与传统的方式相比较有着明显的投资少收益大的效果。另一方面随着生活条件不断提高,私家车的比例越来越高,对于通过网络了解交通法规以及交通违规查询的需求越来越大,上海交通安全信息网越来越成为一个市民离不开的门户网站。正因为这样,网站信息化安全问题的重要性就日益凸现出来。
  目前交通安全信息网的服务器主要承载的应用有以下几个方面:网站web服务器;主网站数据库;电子监控/违法记分查询数据库;第四焦点点播/交通安全联席会议平台;邮件服务器等。交通安全信息网服务器托管在上海电信的机房,该机房提供100M共享网络。在所有的服务器前段架设了CISCO防火墙,根据需要对公网开设了相应的端口。现有配置架构如图1所示。


    2存在的安全问题
  
  下面从五个方面对该现有系统存在的风险进行分析.

  2.1物理安全风险分析
  网络的物理安全的风险是多种多样的。包括地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提,现有系统主要托管在电信机房,物理的安全风险相对比较小。
  
  2.2网络平台的安全风险分析
  网络平台的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。现有系统主要对外提供www、EMAIL等服务,已经部署了一个防火墙,做了适当的内、外网隔离。但还是会受到电信托管机房网络平台因素的影响,会影响现有系统对外提供的服务。一个好的网络结构将大大避免网络平台带来的安全风险,安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安全系统成功的建设。
  2.3系统的安全风险分析
  网络操作系统、网络硬件平台的可靠性:对于所有人来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的WindowsNT或者其他任何商用UNIX操作系统。我们可以这样讲:没有完全安全的操作系统。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能可靠的操作系统和硬件平台。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。现有的系统必须作必要的加固才能避免系统的安全风险。
  2.4管理的安全风险分析
  管理是网络安全中最重要的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。需要建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。现有系统这个环节比较缺乏。
  2.5对外应用晌应的风险分析
  根据目前情况网站每日的总访问人次在110000人次以上,从访问的次数上看问题并不大,每天平均每秒才1人次左右,但由于访问该网站高峰时间段比较集中,主要集中在每天上午的9点到l1点之间,所以会造成服务器瞬时的并发数大于500,造成服务器对外应用响应的间歇故障风险,前期已经对服务器作了优化处理,但这种风险依然存在。另外随着私家车的不断增加,对于交通安全信息网站的访问需求也将会不断增加,网站对外应用响应的风险也就越来越大。
  3解决方案
  3.1提出解决方案的原则
  根据以上的安全需求分析及相应的安全建议内容,我们遵循以下原则推荐安全解决方案来帮助用户建立网站系统的安全防御体系:
  (1)综合性、整体性原则:应用系统丁程的观点、方法,分析网络的安全及具体措施。也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全陛原则,根据规定的安全策略制定出合理的网络安全体系结构。
  (2)需求、风险、代价平衡的原则:对任意一个网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际地研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
  (3)一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。
  (4)易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
  (5)分步实施原则:由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需要相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
  (6)多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层仍可保护信息的安全。
  (7)可评价性原则:如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
  3.2解决方案说明和拓扑图
  介于上面的原则,以及网络的实际情况和安全需求的分析,我们建议以下的安全解决方案:调整原先部署的防火墙设备;部署入侵检测设备;部署防毒、防垃圾网关;IDC的应用监测服务;服务器的负载均衡;安全维护制度以及应急预案。新的网络拓扑图如2所示。

  3.2.1防火墙部署
  现有系统已经部署有思科防火墙,调整加固现有防火墙有效确保安全是首要任务。通过防火墙的过滤规则,限制INTERNET用户对www、Emai1服务器的访问,将访问权限控制在最小的限度。通过过滤规则,对远程更新的时间、来源(通过IP地址)进行限制。通过防火墙来开放必要的应用服务端口,其它端口可以全部关闭,减少不必要的安全隐患;需要防火墙物理上隔离互联网和内部网,控制进出网络的信息流;排除网络上的病毒恶意扫描及蠕虫攻击对网站服务器的影响,需要防火墙过

[1] [2]  下一页

  • 上一篇论文:
  • 下一篇论文:
  •   相关论文
    计算机网络安全面临的问题及防范措施
    浅析计算机信息管理在网络安全中的应用
    对作为青春亚文化的网络同人小说的解读
    网络电视台大发展
    计算机网络安全初探
    浅析计算机网络安全威胁和防范措施
    计算机网络安全隐患及对策的探讨
    教育信息化与大学生素质教育模式研究
    探析网络环境下图书管理员综合素质的提高
    X80防火墙维护经验浅谈