構(gòu)建測(cè)繪生產(chǎn)網(wǎng)網(wǎng)絡(luò)安全體系

劉 楠，王曉波

1.青海省基礎(chǔ)地理信息中心，青海西寧 810000

2.青海省基礎(chǔ)地理信息中心，青海西寧 810000

在測(cè)繪行業(yè)中，地理信息的采集、加工、處理越來(lái)越現(xiàn)代化，智能化，而對(duì)測(cè)繪成果的利用也是向著服務(wù)網(wǎng)絡(luò)化和應(yīng)用社會(huì)化的方向發(fā)展。網(wǎng)絡(luò)作為地理信息的載體，可以加快從數(shù)據(jù)采集到成果應(yīng)用的轉(zhuǎn)化，從而實(shí)現(xiàn)為現(xiàn)代高速發(fā)展的社會(huì)提供實(shí)時(shí)準(zhǔn)卻的地理信息。網(wǎng)絡(luò)在為測(cè)繪行業(yè)帶來(lái)高效、便捷的同時(shí)，也提出了有效保護(hù)地理數(shù)據(jù)不被他人竊取盜用的要求。因此在測(cè)繪數(shù)據(jù)加工生產(chǎn)的過(guò)程中，通過(guò)有效的網(wǎng)絡(luò)安全策略來(lái)保護(hù)地理信息數(shù)據(jù)顯得非常重要。

1 網(wǎng)絡(luò)安全要素分析

網(wǎng)絡(luò)安全要素主要包括4個(gè)方面：1）網(wǎng)絡(luò)運(yùn)行系統(tǒng)安全；2）網(wǎng)絡(luò)系統(tǒng)信息安全；3）網(wǎng)絡(luò)信息傳播安全；4）網(wǎng)絡(luò)信息內(nèi)容的安全。由此可見(jiàn)，網(wǎng)絡(luò)安全包含的內(nèi)容廣泛，對(duì)于其網(wǎng)絡(luò)安全體系的建立和策略，不僅僅只包括安全防護(hù)工作，還包括管理、監(jiān)控、技術(shù)跟新等內(nèi)容。對(duì)此，在本體系的構(gòu)建中，我們以安全管理為主，采用技術(shù)手段和相關(guān)硬件設(shè)備構(gòu)建網(wǎng)絡(luò)安全體系，通過(guò)人工干預(yù)，對(duì)正在發(fā)生的攻擊做出及時(shí)響應(yīng)，并在事后采取防范措施和恢復(fù)措施，防止類似攻擊再次發(fā)生，將損失最小化[1]。

2 測(cè)繪生產(chǎn)網(wǎng)安全體系構(gòu)建的思路與實(shí)現(xiàn)

2.1 測(cè)繪生產(chǎn)網(wǎng)安全管理

2.1.1 建立健全安全管理制度

同其它信息相比，地理信息數(shù)據(jù)牽涉到國(guó)家的政治、軍事、經(jīng)濟(jì)利益，涉及國(guó)家的機(jī)密。這些地理信息只有部分個(gè)人、部分單位有權(quán)生產(chǎn)、擁有和使用，其他個(gè)人、機(jī)構(gòu)不能訪問(wèn)、使用、占有、修改這些數(shù)據(jù)。因此在安全管理制度中除了制定一般的網(wǎng)絡(luò)安全管理制度外，還需要依照國(guó)家保密法律、法規(guī)和有關(guān)規(guī)定制定相關(guān)的保密管理制度以及保密管理措施。在本體系的構(gòu)建中，采取了如下措施，首先根據(jù)現(xiàn)行相關(guān)法律法規(guī)制定了一系列配套制度。對(duì)落實(shí)這些制度的情況進(jìn)行定期或不定期的檢查，及時(shí)解決工作中的問(wèn)題。

2.1.2 加強(qiáng)網(wǎng)絡(luò)安全、保密管理工作的宣傳和教育

網(wǎng)絡(luò)的安全管理主要包括加強(qiáng)計(jì)算機(jī)用戶安全教育以及完善安全管理功能，促進(jìn)計(jì)算機(jī)用戶學(xué)習(xí)法律法規(guī)的意識(shí)，明確計(jì)算機(jī)用戶和系統(tǒng)管理人應(yīng)履行的權(quán)利和義務(wù)。在保密管理工作方面，要強(qiáng)化涉密人員的保密教育，切實(shí)增強(qiáng)保密意識(shí)，筑牢嚴(yán)守國(guó)家秘密的思想防線。在本體系的構(gòu)建中，對(duì)所有參與涉密的人員都進(jìn)行了保密培訓(xùn)并簽訂了保密協(xié)議，加強(qiáng)了生產(chǎn)人員的保密意識(shí)。除此之外，還對(duì)參與生產(chǎn)的人員進(jìn)行了相關(guān)計(jì)算機(jī)安全使用方面的培訓(xùn)[2]。

2.2 測(cè)繪生產(chǎn)網(wǎng)網(wǎng)絡(luò)安全體系

2.2.1 網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全建設(shè)

在網(wǎng)絡(luò)基礎(chǔ)設(shè)施方面，機(jī)房作為生產(chǎn)數(shù)據(jù)加工存放的地方，其防火、防盜以及設(shè)備的支撐環(huán)境，都是保證網(wǎng)絡(luò)安全運(yùn)行的基礎(chǔ)。為此在本方按中我們采取如下措施來(lái)消除。1）為了消除環(huán)境隱患，機(jī)房購(gòu)置了大型多功能空調(diào)設(shè)備，用以保證機(jī)房的溫度、濕度恒定；在機(jī)房四周放置了氯丙烷氣體滅火系統(tǒng)；2）為了防止電壓過(guò)高，電源不足、不合格電源和突然斷電對(duì)設(shè)備的不安全影響，機(jī)房采用雙電力線接入，并配備了UPS系統(tǒng)。在每個(gè)機(jī)柜中配備了兩部16A濾波電源接入和專用接地銅線，從而保證了每個(gè)機(jī)柜有足夠的功率安全地接入服務(wù)器；3）安防方面，網(wǎng)絡(luò)機(jī)房安裝了電子攝像頭，配備了門徑系統(tǒng)，只允許授權(quán)的人員進(jìn)出機(jī)房；4）設(shè)備存放與安全使用。在生產(chǎn)網(wǎng)中，為了有效的保護(hù)涉密數(shù)據(jù)，存放服務(wù)器的機(jī)柜采用了電磁屏蔽機(jī)柜；機(jī)柜間網(wǎng)絡(luò)布線主要采用六類屏蔽雙絞線纜。由于本方案中，各個(gè)數(shù)據(jù)生產(chǎn)作業(yè)室分布在大樓的不同樓層內(nèi)，因此與機(jī)房通信的交換機(jī)全部用光纖連接后再用六類屏蔽雙絞線與桌面計(jì)算機(jī)相連。除此之外，設(shè)備的管理，遵循“統(tǒng)一購(gòu)置，統(tǒng)一編號(hào)，統(tǒng)一備案，跟蹤管理，集中報(bào)廢”的原則，嚴(yán)格控制發(fā)放范圍。所有設(shè)備在入網(wǎng)前，需由網(wǎng)絡(luò)安全負(fù)責(zé)人對(duì)設(shè)備的涉密情況、基本配置信息、用途、使用人、安裝的軟件、使用的端口和服務(wù)、MAC地址等等級(jí)備案并進(jìn)行安全審核，合格后方可入網(wǎng)與處理重要信息。

2.2.2 采用網(wǎng)絡(luò)安全相關(guān)的技術(shù)

在網(wǎng)絡(luò)安全技術(shù)方面，一般采用防火墻和入侵檢測(cè)兩種技術(shù)。1）防火墻技術(shù)。該技術(shù)能執(zhí)行訪問(wèn)控制，在使用期間同意允許訪問(wèn)的用戶與數(shù)據(jù)進(jìn)入內(nèi)部網(wǎng)絡(luò)，拒絕不允許訪問(wèn)的用戶與數(shù)據(jù)進(jìn)入內(nèi)部網(wǎng)絡(luò)，這樣能最大限度的阻止網(wǎng)絡(luò)黑客的訪問(wèn)，提高內(nèi)部網(wǎng)絡(luò)的安全性；2）入侵檢測(cè)技術(shù)。改技術(shù)能彌補(bǔ)單純的防火墻技術(shù)暴露出明顯的不足和弱點(diǎn)，為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段。入侵檢測(cè)是對(duì)防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性[3]。

本方案中，采用了華為公司生產(chǎn)的USG5160防火墻。在防火墻的內(nèi)部，是由各個(gè)單位的服務(wù)器、磁盤陣列等組成的網(wǎng)絡(luò)，而防火墻外部是由各個(gè)單位的數(shù)據(jù)加部門組成的一個(gè)網(wǎng)絡(luò)。（在這種網(wǎng)絡(luò)結(jié)構(gòu)中，通過(guò)對(duì)防火墻安全策略的配置，可以有效的防止各個(gè)作業(yè)PC機(jī)對(duì)服務(wù)器的惡意攻擊。由于生產(chǎn)網(wǎng)是一個(gè)相對(duì)獨(dú)立的網(wǎng)絡(luò)，每臺(tái)計(jì)算機(jī)IP是固定的，用戶對(duì)服務(wù)器的訪問(wèn)相對(duì)可控，因此采用了基于主機(jī)的入侵檢測(cè)技術(shù)。我們通過(guò)系統(tǒng)日志分析軟件定期分析系統(tǒng)日志的方法來(lái)監(jiān)測(cè)系統(tǒng)是否有非法訪問(wèn)。通過(guò)對(duì)這些日志的分析，可以使系統(tǒng)管理員在小范圍內(nèi)、審計(jì)和評(píng)估系統(tǒng)。

2.2.3 加強(qiáng)防范網(wǎng)絡(luò)病毒

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，安全技術(shù)也不斷升級(jí)，但是與此同時(shí)，病毒跟新和傳播的速度也不斷加快。對(duì)此應(yīng)不斷加強(qiáng)防范網(wǎng)絡(luò)病毒，更新殺毒軟件，盡量滿足網(wǎng)絡(luò)病毒防范的要求，提升計(jì)算機(jī)網(wǎng)絡(luò)安全。

綜上所述，網(wǎng)絡(luò)安全在測(cè)繪數(shù)據(jù)加工生產(chǎn)過(guò)程中非常關(guān)鍵，作為測(cè)繪行業(yè)工作人員，在充分利用網(wǎng)絡(luò)為測(cè)繪數(shù)據(jù)加工生產(chǎn)帶來(lái)高效、便捷的同時(shí)，還應(yīng)不斷更新網(wǎng)絡(luò)技術(shù)，加強(qiáng)網(wǎng)絡(luò)監(jiān)管，讓測(cè)繪數(shù)據(jù)加工生產(chǎn)安全、高效，進(jìn)一卻確保測(cè)繪數(shù)據(jù)準(zhǔn)確可靠。

[1]周燁，楊懷龍.淺談測(cè)繪生產(chǎn)網(wǎng)絡(luò)的數(shù)據(jù)安全[J].信息系統(tǒng)工程，2012(2).

[2]劉磊.基于網(wǎng)絡(luò)環(huán)境的數(shù)字測(cè)繪生產(chǎn)安全體系[J].現(xiàn)代測(cè)繪，2006(4).

[3]彭紀(jì)偉，張秦罡.數(shù)字測(cè)繪生產(chǎn)所面臨的安全威脅及其應(yīng)對(duì)措施[J].測(cè)繪，2009(2).