大同市科技治超网网络安全系统的设计与实现

摘要：随着山西煤炭等企业的整改，超载超限的治理任务艰巨。一些先进的技术以及现代化的网络设备应用到治理超载系统中，可以提升治超任务的方便性与快捷性，同时也使得治超工作能够做到准确无误。该文主要是通过对大同市科技治超网网络需求进行分析，对科技治超网的网络安全系统进行了全方位的设计，包括设备、系统、数据以及管理等方面的安全，其中涉及到的技术有防火墙、防病毒、入侵检测、虚拟局域网、数据加密及备份技术，并给出了相应的安全设计与实现方式。通过这些安全方面的设计与实施，可以为治超系统的安全提供可靠的保障，提高治超工作的科学性与高效性。

关键词：科技治超；网络；安全系统

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）32-7588-03

1 概述

1.1 课题来源及主要研究内容

随着新经济时代的发展，网络技术的飞速发展，信息化概念深入人心。山西省是煤炭工业大省，超载超重现象普遍存在。信息技术在不断发展，原本的人工治超工作中的检查车辆、手工制表、数据分析以及资料查询一些过程都可以直接通过科技治超的网络监控系统以及数据处理系统代替完成，提高工作效率。大同市科技治超网络系统是山西省科技治超网络系统的一个重要组成部分。该网络是专用网络，如何提高网络系统安全性，保障工作顺利进行，保障网络中的信息安全便显得尤为重要。

1.2 安全风险分析

1.2.1 物理层安全分析

1） 环境安全：缆线等周围存在一些可能是信息被窃取的隐患或者被破坏的隐患；

2） 设备安全：因断电等等及其他原因导致的关键设备的损坏或者服务中断和数据丢失。也可能因防盗措施不力使得重要设备被盗窃，造成国家的重大损失。同时服务器等一些关键设备对室内温度有严格的要求，若温度过高可能导致设备损坏。

1.2.2 系统运行安全分析

系统安全体现在：数据的备份和恢复、恶意代码和计算机病毒的预防等方面；

1） 备份与恢复不到位造成的数据的丢失。

2） 主机在信息导入时可能感染病毒等造成文件丢失，可能使系统无法正常运行甚至瘫痪。

3） 对安全保密设备配置不合理，无法发挥安全防护能力。

1.2.3 信息安全分析

1） 系统和数据库存在安全漏洞。

2） 访问控制措施不到位：应用系统的访问控制不能达到精确控制的需要。

1.2.4 管理安全分析

1） 缺乏所需的防护设备，造成未被授权的人员进入受控区域；一些重要设备摆放在易被盗取的位置。

2） 内部人员无意中可能泄露系统管理的信息。

2 科技治超网网络安全系统的设计与实现

2.1 网络平台

2.1.1 防火墙的布置

大同市科技治超网市中心所用的防火墙为F1000-S-E1，它具有虚拟防火墙、攻击防范、流量控制、等除传统防火墙所具有的功能，可以构建多种形式的VPN。各县区所采用的防火墙为U200-M，也具有防火墙、VPN、病毒防护等功能。由于市中心安装有各种服务器等设计数据安全的设备，所以在服务器出口安装防火墙F1000-S-E1，而在各县区数据相对较少，对数据的安全要求相对较低，所以布置了防火墙U200-M，具体拓扑如图1。

2.1.3 vpn技术的使用

vpn技术解决了远程接入科技治超网的瓶颈问题。vpn技术的使用一般也都是通过防火墙实现的，如图1所示，支持vpn的是vpn网关F1000-S-AI，它实现了远程接入而同时又保护了整个网络的安全。

2.1.4 入侵检测系统的部署

入侵检测系统是一个监听设备，无须跨接在任何链路上不产生任何网络流量便可工作。结合科技治超网的拓扑分析可知将入侵检测系统部署在和服务器相连接的核心交换机S12508上最为合适。

2.2 系统和应用平台

2.2.1 防病毒系统的实施

根据大同市科技治超网的特点，该系统在实施时可以在管理上进行分布管理，而由市中心防病毒服务器集中控制。目前大同市中心防病毒服务器安装了瑞星防病毒软件，由市一级防病毒服务器控制各县区二级防病毒服务器，再由各县区服务器对所属系统的设备进行防病毒控制。防病毒服务器分为市中心的以及服务器和各县区的二级服务器，以及服务器控制二级服务器，再由二级服务器控制各自范围内的客户端。

2.2.2 漏洞扫描系统的实施

前文已经提到在内外网之间部署防火墙，防火墙是外网进入内网的第一道屏障，当然能够很大程度上保护治超网络的安全，但是防火墙并不是万能的，它也存在一些漏洞和盲点，这就有必要再在内部网络上部署漏洞扫描系统。大同市科技治超网管理软件及服务器在更新时都会存在漏洞，系统很容易被侵入。漏洞扫描系统在部署时分为两级，第一级系统布设在市中心，作为全网的监控中心，第二级系统布设在各县区，对本区局域网的漏洞进行扫描及安全评估。通常，只对服务器等进行一次漏洞扫描，对于科技治超网而言，网络系统是不断更新和变化的，在更新后，以前安全的软件服务器等也可能会存在漏洞。这时候就需要采用合理的时间间隔对服务器、客户机以及系统软件进行漏洞扫描，尽量关闭不用的服务器，以便于管理。

2.2.3 系统的备份与冗余

考虑到大同市科技治超网对数据的可靠性要求较高，采用专用服务器对其他服务器等终端的数据加以备份。在进行备份方式的选择上主要考虑系统的运行环境，操作系统类型等等一些相关参数。这样在其他系统出现问题或丢失数据时可以进行恢复。

在科技治超网的备份服务器上安装了Backup Exec软件，在其他服务器需要备份的时候可以对其进行备份。同时在备份服务器上安装了SQL数据库备份软件，在数据库的数据出现问题时可通过已有的备份对数据库的数据进行恢复。

2.3 安全管理平台

2.3.1 对管理人员的管理

大同市科技治超网的管理人员主要包括设备管理员，软件安全管理员，系统运行安全管理员，在对管理人员的选拔上要严格按照相关制度进行选拔，选好人以后对相关的管理人员进行相应的技术培训。在工作过程中对这些人员的业务素养定期考核。

2.3.2 对硬件的安全管理

硬件平台的安全措施有：

1）所有设备都锁在机柜内，机柜门钥匙进行专人控制。

2）设备端口上所有的连接线均粘贴线标，对没有粘贴线标的线路检查时要予以拔除。

3）机柜内所有设备的电源均接入到机柜内的防雷插板上，机柜及设备均接地。

2.3.3 对软件的安全管理

对软件的安全管理主要就是针对操作系统、应用型软件以及数据库的管理。在购买软件以后，对软件登记在册，由相应的专业管理员进行保管，在安装时在专业人员指导下安装。

2.3.4 对系统运行环境的管理

3 结束语

本文针对大同市科技治超网的安全系统的设计一方面是根据具体的真实的网络设计进行分析。在业务运行稳定后，明确罗列出了明细的访问需求的情况下，屏蔽掉必须屏蔽的东西，制定了准确的防火墙策略。当今社会网络发展迅猛，网络设备的更新加快，该安全系统并不能够保证新入侵技术下的系统的绝对安全，但是文中的设计已足以保障目前科技治超网的安全需求，新的需求则有待在实践中检验。

参考文献：

[1] 王春，林海波.网络安全与防火墙技术[M].北京：清华大学出版社，2009.

[2] 雷震甲.网络工程师教程[M].北京：清华大学出版社，2009.

[3] 谭伟贤，杨力平.计算机网络安全教程[M].长沙：国防工业出版社，2011.

[4] Ptacek，Newsham.Evasion and Denial of Service Eluding Network Instruction Election [M].Secure Networks，2008.