民航管理局内部网络安全解决方案

RevisedbyHanlinon10January2021方案InternetIntranet将越网络系统在整个社会中扮演的角色将越来越重要，也将使变得越来越突出。如果我们不采取坚决有效的安全控制措将如同目前的计算机病毒那样泛滥成灾。特别是当前还有的疯狂攻击，而邮政部门作为我国一个重要的国家机构之感信息和国家的一些机密信息，是犯罪分子首要攻击的对须从现在做起，将安全控制当作一项综合系统工程来看待某民航管理局(以下简称：管理局)是全国民航管理的重要组成部分，其内部网管理信息，其中包括许多民航管理政策、公文甚至秘密全国民航管理局的安全。在管理局领导的关心下，其网着网络信息系统的不断壮大、业务的不断增多，系统安重要，管理局的领导也十分重视，目前已经成为其重要多种多样、应用系统很多，这些都造成了在很多的安全漏洞，而即使是一些对漏洞的修补两个工作区100余台机器，未来将要开通四达到600至700台，除此之外还包括若干交换机、路由器管理局内部网络系统中涉及的信息资源主要包括：公文(这其中可能有涉及国家秘密的信息)、航空安全信息(这其中可能有涉及商业秘密的信息)、其它业务信息包括未来可能开通的系统(这其中可能也有涉及商业秘密的信息)、除了上安全敏感程度较低，但其中WEB服务器上的网站信息虽然安求的可用性较高，因此在安全方案中应对它做适当安全保护。统结构如图1.所示，它们管理着西南地区四省一市的地域，对上通过FR(PVC)与民航管理总局相连，对下西南地区四省一市的民航管理制。

络、应用和内部管理，我们认为网络系统措施，网络系统远没有作到必要的安全性，系法访问甚至是黑客和病毒的入侵，造成网络系统的瘫痪；数据在网络(局域网或广域)上传输，可能被截取、篡改、假冒；远权的用户入侵；当网络受到攻击时，缺乏必要的防范措施为TCP/IP，而TCP/IP网络协议并非专为安来自对物理通路的损坏、物理通路的窃听、对物理通路保护以。非屏蔽5类双绞线，广域网则是PVC线路，因此胁路由正确测和监控的手段来防范、划分VLAN(局域网)、加密通讯(广域网)等手段来进行防范。

局网之间缺乏有效的网络边界保护措施和集中的访问控制

TCPIP缺乏安全性。在通讯中未采取加密措施和严格的认证的安全威胁SERVER好采用安全的操作系统和安全数据库管理系统或这类产必要采取其它手段加强这方面的安全性能，目安全威胁包括建立在网络系统之上的应用软件服务，如文件传输最终目的是为用户服务。应用系统的安全与系统设计和用各种基于PKI的技术、加密技术、防火墙技术等等来

用服务系统在访问控制及安全通讯方面考虑较少，并且

于普通的电子邮件系统，管理也不是，很容易造成泄密和数据丢失。而作为民航管理局单位漏洞威胁统虽然采用了很先进和严密的安全技术措施，但是由于管理员疏忽，对安全策略设置不严密、管理制度不健全随着时间推移出现新的攻击方式网络系统发生变化都可能给网络系统带来新的漏洞，因员要有极强的责任心加强对系统安全管理，我们认为安资效益被保护对象的价值与保护成本之间的平衡性要求我们面该实施，那些方面由于成本太高或者目前技术不成这就要求设计人员必须做出取舍，必须遵循下述原则益始终放在第包括利用现有设备)，使幅度提升其信息系统安全强度，达到为用户节约系统要进行安全防护的实际对象来实施安全性，防止出现的安全措施导致性能下降或使用起来麻烦。所以要真以考虑，即便在本期工程中某些安全措施暂要对已经实施的系统做出恰当评估，从整个系统的安全安全隐患，或者随着系统升级、配置变化或信息攻防技安全隐患，目前的方案是否有所考虑或在将来如何采取，安全体系与架构，选用具有较高安全技术的安全设备与产品，在实施中应采用先进可靠的结合考虑，通过安全教育与培训，提高员工的安全意识则主要是从具体安全措施、防病毒措施等等。只有人与具体安全措施的完美结良好的可实施性与可管理性，同时还要具有尚佳的易行业特性，建议贵单位在安全系统建设中，安全产品决方案是提供一个企业级安全管理方案，以解决IT基础设为此明确了以下的这些安全领域:物理安全、网络安全、服应用程序与服务安全、数据安全和安全管理。由于各项安有所不同，根据国家有关信息系统安全建设的指导制:表2.安全对策一览表些安全项目的建设已经在其它项目实施已经实施，但是由于我国安全建设相对滞后，大多数企业在网络和机房建设时对于防盗、防毁、防灾(防火、防水、防震、防雷击)处理考虑比较周详，但对于防辐射尚有欠缺。又例程——本方案中对于防盗、防毁、防灾的物理安全不做过多阐述。网络安全总体规划图如图2所示：图2．体规划示意图1、在管理局中心交换机与管理局的边界路由器之间配置防火墙(如图2)，这种方案全区域之间的相互访问，安全强度较高；缺点是对入方式的防火墙必须具有混合接入模式，另外它要建议实施IP绑定，防止IP冒用。建议防火墙应具备统中所配置的防火墙实施策略评估，保证防火墙的策略必须在管理局局网内外配置网络入侵检测系统(IDS)，对进出管理局中心网络的所有记，探测网络攻击行为，并根据定制的策略进行响应 (阻断、报警)，因此这里选用的IDS产品最好能与管理局使用的防火墙产品进行置网络漏洞扫描系统，实施对整个局网系统的安全漏洞扫置基于主机的操作系统漏洞扫描器，实施对主机操作系统置基于主机的数据库漏洞扫描器，实施对相关数据库的安署的防火墙与路由器之间部署VPN或者防火墙本身含VPN模网络边界处配置VPN来保证省管理局中心与各省市管理局之间的保密通讯(在图2中未画出)，具体配置见图3。UTP而广域网则是租用的DDN线路，由于电信变化电磁场也在不断变化，这就会产生电磁辐射，而上述能力；同时由于管理局所采用的计算机及网络设备均不是在较强的电磁辐射。因此，如果不采取有效的防电磁辐射很容易被国外间谍机构采用电磁波还原技术所窃取，从而造的防电磁辐射，主要采用以下一些方法来抑制：对于较为其建立屏蔽室，对于分散的不能在屏蔽室存放的设备则宜无相应低辐射设备或采用低辐射设备成本太高，也可以考主要采用以下一些方法来抑制：将非屏蔽网线更换成有屏STP成本较高。对网络通讯进行加密，虽然其本有效防范因电磁泄露而被敌人窃听信息，因此保护对于重要设备(如：中心服务器)需要进行物理保护，它主要包括三个方面：环境安全：对系统所在环境的安全保护，如区域保护和灾难保护(参见国家标准G信息点应采取多种安全防范措施，确保非授权人员无法进入何保证网络系统提供数据传输和交换中的完整性、保输的完整性，保证数据不被篡改，保证数据传输的安，保证数据在传输过程中不被非法窃取，造成泄密。，运作核查和维护，通过可用的核查工具进行核对不同需求采用不同的方法来实现。具体可采取保证只有被允许的主机(IP/MAC)可以访问其被授权访问的主机和相关服务(包括应用程序)。VPN密应用软件——志及入侵中还应配置网络漏洞扫描检测软件，对管理局中心网络系络漏洞进行检测、并对已检测出的漏洞根据设置的网络设备的安全，保证非授权用户不能访问一台机器家的网络设备，要防范的内容是一样的，但lnetNMPVPN，因此对它们的保护应是非常严格的。建议对它对简单网络管理协议(SNMP)访问的控制备的配置，使得只能由某个指定IP地址的网管工作站才络管理，对路由器、防火墙其它网络设备进行读写操器操作系统的访问控制机制来解决分布式系统的服务器和用；扫描系统：风险评估被用来检查系统安全配置的缺陷，发现统进行杀毒和隔离乎所有的计算机防病毒软件都是根据病毒特征码对现有的但是对于新病毒查杀都存在一定周期的滞后，并且对于多，同时又无法做到防患于未然，而最新的防病毒技术——所有计算机中的文件注射疫苗的方式使它们能够有效抵抗有必要采用病毒免疫系统与防病毒软件配合使用才能非常用户安全所有资源的访问关口。管理这些账户，在用户获得访问特在他们的访问特权不再有效时限制用户账户是安全的关键、不同操作系统、不同通讯协议、不同的数据库系统、不等。随着这些资源的增加，要想安全有效地管理他们就越护多种目录体系既费时费力，又容易出错，还难以保证系每种系统都有自己的系统管理员，如UNIX的超级用户为rootWindowsNT为administrator、Sybase和MSSQLT用户时，就有可能采用不同的用户名，不同的管理助用户解决上述问题，允许用户在单一的界面中管理不台的用户策略一致性管理。可以实施基于策略的管理以IT管理人员管理用户的时间和精力，可以隐藏不同操作做类似工作的所有用户可能需要类似的安全权限，安全管理应该提供角色(或用户组)的概念，可以将不同平台上有类似安全权限需求的用户规划成组，将用户用户可以对同一角色的用户进行相同的管理，不管这功能，使得管理员可迅速地在企业内不同操作令保护的，加强口令变化是安全方案中必不可少资源对系统的访问权限。访问控制主要通过对用户及时防火墙也是它的重要组成部分。对于公文管理系统则非法或好奇者无法阅读它，不论是在储存状态还是全手段是通过加密来实现，但是由于数据的存储加密耗费码消耗量巨大，使得密码的维护和管理非常困难，从而给销，因此不宜实施。数据完整性是指防止非法或偶然的数用于防灾抗灾和灾难恢复。五、结束语通过对物理、网络体系的设计分析，结合管技术要求，我们选用了以下安全产品：防火墙产品：龙马卫士防火墙(含“用户认证”模块)。VPN：龙马卫士VPN。网络入侵检测产品：全技术研究部门对国内外最进行最及时和最紧密的跟踪，对重大安全问题更成立专项研究小组进行技术攻关，迄今为止已完成分布式拒绝服务攻击(DDos)、SUNIIS术研究，取得了一系于领先水平的优秀成果。关键还在于上述产品，完全是产品，同时具有同类产品