莫培培　王朋

摘? 要：本文以天津海岸電臺為例研究海岸電臺信息安全等級保護，旨在提升海岸電臺信息系統(tǒng)安全運行能力，增加信息系統(tǒng)抵御來自互聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊的能力，打造一個可信、可管、可控、可視的安全網(wǎng)絡(luò)環(huán)境，為進出港口和海上航行的中外船用戶提供可靠的公共和公益服務。

關(guān)鍵詞：海岸電臺;信息安全;等級保護

一、研究背景

隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和計算機應用的迅速普及，信息技術(shù)在各個領(lǐng)域均扮演著重要的角色，信息系統(tǒng)的全局性、基礎(chǔ)性作用日漸加強，但是其面臨的安全風險也高速增長，由于黑客攻擊、病毒破壞等原因?qū)е碌慕?jīng)濟損失和不良影響屢見不鮮。網(wǎng)絡(luò)安全不僅僅關(guān)系到我國信息化建設(shè)的健康發(fā)展，而且也關(guān)系到國家在政治、經(jīng)濟以及國防方面的安全，同時也關(guān)系到我們國家社會的穩(wěn)定。

海岸電臺肩負著為交通安全暢通提供通信保障的職責，為進出港口和海上航行的中外船用戶提供公共和公益服務。隨著信息化水平的不斷發(fā)展，海岸電臺在服務方式和服務內(nèi)容上不斷豐富，與此同時，也應該高度重視數(shù)據(jù)保護與信息安全。通過做好信息安全等級保護工作，可以提升海岸電臺信息系統(tǒng)安全運行能力，增加信息系統(tǒng)抵御來自互聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊的能力，打造一個可信、可管、可控、可視的安全網(wǎng)絡(luò)環(huán)境，從而避免信息系統(tǒng)遭到破壞后泄露單位的數(shù)據(jù)，以最大程度避免因涉密數(shù)據(jù)的丟失或被竊而承擔巨大的政治風險與經(jīng)濟損失。

二、現(xiàn)狀分析

本文主要以天津海岸電臺現(xiàn)狀為例分析研究。

1、機房現(xiàn)狀

天津海岸電臺機房于2016年進行改造擴建，機房面積150平方米，機柜數(shù)量25個，內(nèi)有監(jiān)控攝像頭，有溫濕度控制系統(tǒng)，可監(jiān)控機房內(nèi)溫濕度變化情況，機房采用2臺30KW精密空調(diào)，以主備工作模式進行制冷。機房內(nèi)采用靜電地板設(shè)計，沒有防電磁干擾設(shè)施。機房具有火災自動消防裝置。采用UPS+單路市電方式進行供電，有備用發(fā)電機。新擴建機房內(nèi)未部署自動消防系統(tǒng)，導致自動消防覆蓋面積為總機房面積的80%，沒有達到自動消防系統(tǒng)全覆蓋。由于機房面積擴展以及設(shè)備增加，導致機房溫度控制需要與現(xiàn)有空調(diào)制冷能力不匹配。

2、網(wǎng)絡(luò)結(jié)構(gòu)現(xiàn)狀

天津海岸電臺網(wǎng)絡(luò)結(jié)構(gòu)主要分為海事信息專網(wǎng)和互聯(lián)網(wǎng)區(qū)兩大區(qū)域，專網(wǎng)與互聯(lián)網(wǎng)之間通過隔離網(wǎng)閘進行隔離。互聯(lián)網(wǎng)邊界處部署了網(wǎng)神防火墻，并配置訪問控制策略;互聯(lián)網(wǎng)辦公區(qū)邊界處部署了天融信入侵檢測系統(tǒng)和網(wǎng)康上網(wǎng)行為管理系統(tǒng)以及網(wǎng)神防毒墻;內(nèi)網(wǎng)核心交換機采用冗余設(shè)計（VRRP），并旁路部署了網(wǎng)神漏洞掃描系統(tǒng)和網(wǎng)神日志審計系統(tǒng)以及運維堡壘機，內(nèi)網(wǎng)邊界處尚未部署安全設(shè)備。

3、數(shù)據(jù)資源現(xiàn)狀

按照要求對不同系統(tǒng)進行不同周期的備份，并在完全備份時刪除上一次備份內(nèi)容。

4、安全管理現(xiàn)狀

網(wǎng)絡(luò)系統(tǒng)整體構(gòu)架采用兩層層次化模型網(wǎng)絡(luò)架構(gòu)，即由核心層、接入層組成。在內(nèi)網(wǎng)核心交換機上劃分VLAN和網(wǎng)關(guān)，整體網(wǎng)絡(luò)中部署了防病毒網(wǎng)關(guān)、IPS、數(shù)據(jù)容災備份系統(tǒng)。在整體網(wǎng)絡(luò)中部署有相應的安全設(shè)備做安全防護，但部分安全設(shè)備過保，整體網(wǎng)絡(luò)安全防護體系不夠完善、區(qū)域劃分不合理。目前業(yè)務系統(tǒng)OA等，部署于物理服務器以及vmware虛擬化服務器上。服務器為機架式服務器，固定于標準機柜與固定位置，并進行標識區(qū)分。服務器操作系統(tǒng)大部分都采用微軟的Windows Server2008 R2系列操作系統(tǒng)。

三、研究方案

1、區(qū)域劃分

根據(jù)業(yè)務功能以及安全需求的不同，可將海岸電臺信息網(wǎng)絡(luò)規(guī)劃為互聯(lián)網(wǎng)區(qū)域與海事專網(wǎng)區(qū)域，每個區(qū)域分為接入域、核心交換區(qū)、生產(chǎn)應用域、辦公應用域、安全管理域、用戶域等共 6個安全域。

2、網(wǎng)絡(luò)環(huán)境改造

對原有網(wǎng)絡(luò)架構(gòu)進行合理性規(guī)劃和調(diào)整。內(nèi)網(wǎng)核心交換區(qū)新增核心交換機，做冗余提高整體網(wǎng)絡(luò)健壯性。服務器、終端及應用系統(tǒng)做風險評估、滲透測試、安全加固。

3、網(wǎng)絡(luò)邊界安全加固

在和邊界區(qū)域前各部署一臺防火墻，實現(xiàn)不同安全域之間的安全邊界隔離和訪問控制。

4、網(wǎng)絡(luò)及安全設(shè)備部署

防火墻部署——通過對全網(wǎng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)進行分析，確定需要進行訪問控制的網(wǎng)絡(luò)邊界位置，并使用防火墻等邊界訪問控制系統(tǒng)，解決邊界安全問題、實現(xiàn)各個安全局間的網(wǎng)絡(luò)訪問控制。建議在各個邊界部署防火墻，用來分隔各不同安全子域，對進出數(shù)據(jù)進行訪問控制，阻止非法數(shù)據(jù)入侵到內(nèi)網(wǎng)。

堡壘機部署——建議在外網(wǎng)中部署堡壘主機系統(tǒng)，為了給系統(tǒng)管理員查看審計信息提供方便性，內(nèi)控堡壘主機提供了審計查看檢索功能。系統(tǒng)管理員可以通過多種查詢條件進行查看審計信息?？傊?，內(nèi)控堡壘主機能夠極大的保護內(nèi)部網(wǎng)絡(luò)設(shè)備及服務器資源的安全性，使得外部網(wǎng)絡(luò)管理合理化，專業(yè)化，信息化。

數(shù)據(jù)庫審計系統(tǒng)部署——內(nèi)網(wǎng)整體安全規(guī)劃，在安全管理區(qū)部署數(shù)據(jù)庫審計系統(tǒng)實現(xiàn)不間斷監(jiān)測與保護數(shù)據(jù)庫，有效保障數(shù)據(jù)庫數(shù)據(jù)的完整性和真實性，并提供實時告警

5、安全安全加固服務

安全加固服務是加強網(wǎng)絡(luò)信息系統(tǒng)安全性，對抗安全攻擊而采取的一系列措施。安全加固服務是對整體網(wǎng)絡(luò)建設(shè)提供的一系列安全服務。目的是全面提高信息系統(tǒng)的整體安全保護水平，主要做信息安全風險評估、數(shù)據(jù)庫安全評估、網(wǎng)絡(luò)安全評估、滲透測試、安全加固等服務。

6、應急預案和應急演練

根據(jù)海岸電臺信息安全實際情況梳理和制定信息安全突發(fā)事件應急預案，由專業(yè)人員組織開展攻防應急演。

四、結(jié)束語

海岸電臺內(nèi)網(wǎng)以及外網(wǎng)信息安全建設(shè)整體規(guī)劃是根據(jù)對現(xiàn)有信息系統(tǒng)的安全評估和需求分析的結(jié)果，并參考國內(nèi)等級保護相關(guān)法規(guī)、標準和最佳實踐。因此，信息安全保障體系的整體框架的實現(xiàn)，能夠保證海岸電臺信息系統(tǒng)的安全性和安全方面的合規(guī)性，通過合理規(guī)劃，海岸電臺可為用戶提供更加可靠、及時的服務，保障海上船舶航行安全。

參考文獻：

[1]侯明，李書領(lǐng).大數(shù)據(jù)時代計算機網(wǎng)絡(luò)信息安全及防護策略[J].信息記錄材料，2021，22（10）：40-41.

[2]楊明，陳思，胡麗彬.計算機網(wǎng)絡(luò)信息安全問題及對策[J].計算機與網(wǎng)絡(luò)，2021，47（15）：42.

作者簡介：莫培培，性別：女;出生年月：1993.01;籍貫：山東聊城;民族：漢;最高學歷：研究生;目前職稱：工程師;研究方向：信息化