市县级国土资源系统信息网络安全体系建设探讨(3)

　　入侵防御系统能够对网络中所有进出的数据包封包进行详细的7层协议分析，从而相较防火墙（仅具有4层数据包封包协议解析功能）能够更加有效地防止各类攻击行为。入侵防御系统通常可部署于防火墙与本单位局域网之间，双进双出，一条安全可行的路径是防火墙-入侵防御系统-核心交换机-接入交换机-防火墙-服务器群，另一条安全可行的路径是防火墙-入侵防御系统-核心交换机-接入交换机-内部局域网，依据服务器群和内部局域网的不同需求实施不同的安全策略。这样做既可以防御来自于外部对内部局域网的攻击，也可以防御来自内部终端用户对于重要服务器、数据库存储设备等核心设备的攻击。入侵防御系统旨在提供对各种入侵行为的监控和防御，可以通过配置内置的策略，实现对如下攻击行为进行监控和阻断：扫描探测行为、SQL注入攻击、恶意代码、木马后门、僵尸程序、溢出攻击、异常协议行为、流行蠕虫攻击、即时通讯行为、间谍软件、脆弱口令行为、数据库漏洞攻击、操作系统漏洞攻击等。值得一提的是，通过开放或禁止不同的网络应用访问行为，配置不同的带宽使用限制，提高带宽利用率。

　　2.2.3网闸（GAP）

　　网闸又叫安全隔离网闸，是一种能够在网络之间不存在链路层连接的情况下进行安全适度的数据交换。安全隔离网闸可以直接处理网络中应用层数据，使用存储转发的方法进行数据交换，在交换的同时，对应用数据进行各种安全检查和处理包括病毒查杀、安全隔离、安全审计、访问控制、协议转换等。网闸通常用于限制两个不同的网络之间，针对国土资源系统，可以部署在本单位局域网与存在物理连接的非本单位网络之间，管理员可以从本单位的网络对安全隔离网闸进行管理，也可以部署在本单位局域网内部两种不同安全级别的网络中间，如内部终端和核心设备之间，能够有效防止内部终端对核心设备的攻击。

　　2.2.4网络版防病毒系统

　　在本单位内网部署网络版防病毒系统，为内网终端提供防病毒服务。网络版防病毒系统通过在服务器部署服务控制端，使用服务控制端来控制所有安装防病毒系统终端的内网计算机进行统一的管理，包括病毒库更新、终端查杀、实时病毒监控等，同时，终端如果存在异常，会立马上报给服务端，病毒管理员可以通过服务端对局域网内全部终端用户的防病毒情况有一个全局性的把握，当内网爆发病毒时，能够及时有效地进行病毒查杀，避免大面积病毒感染事件。

　　2.2.5内网安全管理与补丁分发系统

　　内网终端安全往往成为传统信息安全工作中的一个盲区，内网终端长期不受管控，许多内网终端多年不升级，成为极其危险的机器，一旦内网计算机被人恶意使用，那么内网安全将受到极大的挑战。因此，通过在业务内网部署一套内网安全管理与补丁分发系统，对内网终端进行进入控制管理，提供标准化桌面管理，对终端的注册表和端口进行管控，对终端的网络流浪和行为进行监控，阻断非法外链，绑定IP等一系列的管理措施能够保障终端的使用安全。同时，补丁分发系统通过管理平台统一下发补丁包进行升级，有效地解决内网终端的补丁更新问题，弥补系统漏洞。

　　2.2.6部署关键业务网段的堡垒机，对核心业务访问进行安全审计

　　国土行业单位存在许多重要和敏感数据，对主机、数据库系统、业务系统的登入操作需进行有效的管理、控制和事后审计。堡垒机就相当于在服务器系统、数据库系统、网络设备等IT系统中设立一个门卫，通过堡垒机单点登入各个硬件和软件系统。堡垒机对登入账号能够进行有效的安全管理：定期更换账号、有效授权、对应不同的管理人员角色，授予不同的管理权限等。比如对数据库，有些用户的权限只能查询，有些用户有删除数据的权力，有些用户可以添加记录。虽然单个的系统都有类似的功能，但堡垒机能够将这些功能进行集中统一的管控，将零乱的权限条理化，从而提高管理效率。同时，堡垒机具备：事中控制功能、定义某种操作触发报警、防止误操作或者故意对系统的非法更改、有效的事后日志审计，所有账号的所有操作均有日志可查，能够进行事后的追溯和责任倒查，有效加强IT系统管理。

　　3总结

　　信息网络安全体系建设是一个持续的、全方位的、动态的过程，在建设中遵循整体性、动态性、均衡性、立体性的原则，应由统一的安全管理和安全策略机制指导整个安全系统的建设和管理，形成包括VPN、防火墙、入侵防御、安全审计、病毒防御、终端安全、管理安全等相互配合的安全保障体系。