民航信息系统的网络安全防范措施.docx
《民航信息系统的网络安全防范措施.docx》由会员分享,可在线阅读,更多相关《民航信息系统的网络安全防范措施.docx(6页珍藏版)》请在冰豆网上搜索。
民航信息系统的网络安全防范措施
民航信息系统的网络安全防范措施
民航信息系统的网络安全防范措施
续
随着民航信息化的飞速发展,民航企业越来越依赖网络开展办公自动化系统,进行业务交易、进行内部资源共享和日常沟通,民航信息化大体上可以划分为电子商务和电子政务二块,民航综合信息管理系统作为民航信息化建设的重要内容之一,是各个民航管理局和机场最先建立的信息系统,目前民航总局机关和华北、华东、中南、西南、西北、东北以及乌鲁木齐等管理局都相继完成民航综合信息管理系统硬件和网络建设,并初步实现了网络互联,构建了民航的internet/Intranet系统,民航系统利用民航信息管理系统极大地提高整体核心竞争力。
但与此同时,由于民航各个局域网内机器的操作系统、杀毒软件错综复杂,却很少有一个统一的信息安全处理策略,信息化的安全问题正遭受不断冲击。
最近爆发的冲击波病毒就是个典型的案例,冲击波病毒在国内互联网和部分民航信息网络上极速传播,导致成千上万台个人计算机和企事业单位局域网瘫痪,而具有讽刺意味的是被蠕虫感染的用户大都是没有及时下载并安装微软的补丁程序,从而被病毒侵害,使整个系统处于瘫痪状态!
介于网络安全防范措施的前提下,做出了以下粗略的隐患分析:
民航信息管理系统安全隐患分析
信息系统具有系统开放性、资源共享性、介质存储高密性、数据互访性、信息聚生性、保密
非法用户通过网络窃听、非法数据库访问、穷举攻击、重放攻击等手段很容易得到。
对业务服务器的非授权访问是指为民航各类应用系统提供信息数据服务的服务器由于缺乏必要安全保护,可能会被非法用户直接访问网络资源,造成机密信息外泄。
信息系统安全和保护措施分类
信息系统的安全就是为了防止系统外部对系统资源(特别是信息资源)不合法的使用和访问,保证系统的硬件、软件和数据不因偶然或人为的因素而遭受破坏、泄露、修改或复制,维护正当的信息活动,保证信息系统安全运行而采取的手段。
与信息系统安全性相关的因素主要有:
自然及不可抗拒因素,硬件及物理因素,电磁波因素,软件因素,数据因素,人为及管理因素等。
相对应的信息系统的安全保护措施分为管理层面和技术层面二大部分:
1、 技术层面安全措施--是指通过采取与系统直接相关的技术手段防止安全事故的发生,如防火墙技术,数据加密技术,登陆的验证技术,VPN技术,漏洞检测与在线黑客检测预警,数据安全存储的数据存储、备份和安全恢复等;
2、 管理层面安全措施--指利用行政管理、法制保证和其他物理措施等防止安全事故的发生,它不受信息系统的控制,是施加于信息系统之上的,如安全组织管理体系、高效能的、职责分工明确的行政管理安全机构、业务组织体系和信息安全标准和评估体系等。
信息管理系统的安全管理分析
民航信息网络担负着办公和相关业务管理的重任,具有访问方式多样、用户群体庞大,网络行为突发性高等特点,为保证民航信息系统的安全性,在安全保障过程中应按步骤分步实施。
首先要建立一套完整的安全管理体系,进行信息安全机构及职能设计,建立高效能的、职责分工明确的行政管理和业务组织体系,建立信息安全标准和评估体系,可以通过安全评估、安全政策、安全标准、安全审计等四个环节来加以规范管理。
其次要坚持安全建设的均衡性,安全措施的强度要一致。
不同的民航信息管理应用系统,对于安全的要求是不同的,因此对各个系统的安全需求进行安全成本和效率分析是第一任务,在设计系统安全措施的时候,必须根据系统的实际应用情况,有针对分等级包含不同的信息系统,综合考虑安全、成本、效率三者的权重,尽量降低安全管理成本,提高信息系统使用效率,保持安全的成本和效率之间的均衡,制定出不同安全防范级别的安全保障系统,。
1、网络环境的安全管理
在网络设计中,对于存在隐患的主要方面,将内部办公和信息发布两套网络物理分开;即,网络服务器、交换机、传输介质全部采用两套独立方式解决;在桌面有浏览外网需求的终端采用双网机或网络隔离卡方式解决;对外接入,对于系统内的网络之间采取防火墙方式隔离,对于非系统内不同局域网之间的连接,采取物理隔离;从而从根本上杜绝了非法侵入事件的发生;另对于网络核心服务器的配置,应采取冗余设置,应用各种备份、灾难恢复方案。
同时,在服务器等设备配备防计算机病毒软件防止病毒侵袭。
在内部泄密问题上,可以考虑建立安全管理制度,定期更新密钥,加强密钥管理,限制系统管理员充当操作员,对上网进行传输操作。
2、应用系统的数据管理
应用系统的数据大多保存在后台数据库中,应该充分利用数据库系统的管理功能,对后台数据库的访问进行管理、控制,对保存的部分敏感数据还要进行加密处理,以保护数据的安全。
3、网络通信的安全管理
对访问数据的限制只是整个信息安全问题的一部分。
在处理一些敏感数据的传输时,系统需要保证这些敏感数据能安全到达其目的地,而不发生改变或在途中丢失数据。
所以,应该以加密的格式传输数据,来保证数据在传输过程中的完整性、安全性。
目前常用的有数字安全证书等身份验证手段。
安全证书体制主要采用了公开密钥体制,其它还包括对称密钥加密、数字签名、数字信封等技术。
典型信息安全解决方案介绍
目前常用的信息安全解决方案有防止非法入侵和泄密的解决方案、数据安全存储的解决方案和必不可少的防病毒解决方案等。
具体的技术措施可以细分为以下几种:
1、 登录控制
民航信息系统是以办公用户为中心的系统,登录控制能有效地控制用户登录到服务器、路由器和交换机等网络设备并获取资源,可以控制用户进入网络的时间和允许他们在什么地方进入网络。
用户访问网络控制大致分为用户名的识别和验证、用户口令的识别与验证、用户账号的缺省限制检查三个步骤,通过登录控制能有效地保证网络的安全。
2、 权限控制
权限控制是针对网络非法操作所提出的一种安全保护措施。
对用户和用户组赋予一定的权限,可以限制用户和用户组对目录、子目录、文件、打印机和其他共享资源的访问,可以限制用户对共享文件、目录和共享设备的操作。
3、 网络设备安全控制
对网络中的路由器和三层交换机开启内置防火墙功能,并可通过设置IP访问列表与MAC地址绑定等方案对网络中的数据进行过滤,限制出入网络的数据,从而增加网络安全性。
4、 VLAN控制
采用交换式局域网技术组建的民航局域网络,可以运用VLAN(虚拟网络)技术来加强内部网络管理。
VLAN技术的核心是网络分段,根据不同的部门及不同的安全机制,将网络进行隔离,可以达到限制用户非法访问的目的。
5、 防火墙控制
防火墙是目前使用最广泛的一种网络安全技术,防火墙作为一个分离器、限制器和分析器,用于执行两个网络之间的访问控制策略,有效地监控了内部网和Internet之间的任何活动,既可为内部网络提供必要的访问控制,但又不会造成网络瓶颈,并通过安全策略控制进出系统的数据,保护网络内部的关键资源。
6、 及时升级系统补丁和相关软件
经常访问微软或安全防护软件厂家的相关站点,及时升级系统补丁、相关程序、更新版本,有条件的单位可以将windows系统和防病毒程序的自动升级功能打开,这也是保证网络安全很重要的一个方面。
升级会员 