5.5.3.1 物理级安全
物理安全包括环境安全和链路安全。系统的物理环境应该达到有关场地、环境安全的国家或者行业标准要求。系统的链路安全将主要通过终端加密来实现,充分保证信息传递的物理链路级安全。
图5-40 系统级安全结构
5.5.3.2 系统级安全
如图5-40所示,系统级安全体系结构主要包括:
(1)操作系统安全。应选用安全的操作系统,一个安全的操作系统应能提供用户身份认证、访问控制、用户操作和服务进程审计功能。对于关键的重要服务器,应选用更高级别的操作系统。
应定期对操作系统进行安全评估;及时和操作系统厂商以及国内外安全事件协调中心联系,安装操作系统补丁,弥补漏洞。
(2)数据库系统安全。数据库系统是系统运行的关键平台,必须选用具备用户认证、基于角色/用户组/数据视图访问控制功能的数据库;定期对数据库系统进行安全评估,安装系统补丁,以防止不法分子利用数据库系统的一些BUG、后门取得对系统的非法操作权限,减少系统的安全隐患。
(3)病毒防治系统。防治系统部分专门负责对各类计算机病毒的检测与杀灭,其主要功能包括病毒预防、病毒诊断、病毒杀灭以及网络病毒检测等。
(4)系统灾难备份恢复。制定统一的系统备份、灾难恢复的策略和方案,逐步建立和完善异地系统、数据备份及灾难恢复体系。
5.5.3.3 网络级安全
网络级安全体系结构(图5-41)主要包括:
1)内网与外网之间的安全管理
为了充分保障内、外网的安全,调度中心服务器在内、外网及各主要系统的节点处连接使用防火墙进行隔离,外网与内网实行严格的安全管理措施,如设置防火墙或采用逻辑隔离措施。
图5-41 网络级安全体系结构
2)防火墙
防火墙是设置在不同网络安全域之间的一系列部件的组合。防火墙是信息的唯一出入口,能根据安全政策(允许、拒绝、监测)控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。一般来说,防火墙具有以下功能:
(1)网络安全屏障。
(2)强化网络安全策略。
(3)对网络存取和访问进行监控审计。
(4)防止内部信息的外泄。
3)入侵监测系统
在网络入口处安装网络入侵监测系统,监控所有的网络访问,及时发现非法访问,保护网络的安全。
入侵监测系统是帮助网络管理员了解、分析网络数据流的重要工具。入侵监测系统对网络数据流进行分析,并对有可能造成危害的数据流进行报警及响应。
4)网络设备的访问控制
在本平台安全建设中,应对计算机网络设备的控制台访问和远程访问配置认证服务器,对网络设备的访问进行统一的认证、授权和审计,保证非授权用户不能访问路由器、交换机或防火墙等关键网络设备。采用网管工作站对网络进行有效的安全管理和监控。
5)应用级安全
在本系统建设中,可以充分利用VPN技术实现应用级安全。如远程实时系统或静态业务管理系统要连接到信息集成平台时,可通过VPN技术实现要连入系统的身份确认。
5.5.3.4 管理级安全
安全管理是整体安全架构的核心部分,负责对安全架构的其他两个部分进行协调和监管以实现安全架构的整体安全防范职能。安全管理部分在很大程度上涉及人员管理和资源调配等管理层面的内容,因而也是整个安全架构中技术手段和管理手段结合较紧密的一个部分。为了有效地把系统的安全管理和信息保密工作落到实处,必须建立、完善和有效运行的安全管理体系,从组织上、制度上为系统安全运行提供强有力的保障。
需要明确相关安全产品的使用制度,日常维护制度,应急处理制度,相关责任人与职责、奖惩条例等,至少包括如下制度:
1)人员管理制度
(1)安全主管领导职责和岗位责任。
(2)调度监测中心安全管理员岗位设置和岗位责任。
(3)用户口令字及账户管理规范。
(4)用户授权实施细则。
2)场地与设施管理制度
(1)调度监测中心、机房进出管理规定。
(2)各安全设备使用管理制度。
3)系统安全管理制度
(1)计算机病毒防范制度。
(2)操作系统、数据库日常维护管理规范。
(3)数据安全管理办法。
(4)系统安全备份规范。
4)安全事故管理制度
(1)安全事故处理程序规定。
(2)应急计划。
上述介绍了实现数字水质信息平台的过程中,各支撑系统是通过调用接口实现的,在接口调用中需要建立符合条件的调用层次和标准,SCADA系统与GIS系统的集成框架采用了Flex Viewer,而且在集成过程中需要注意安全原则和系统安全防护。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
