监狱信息系统安全管理的研究及应用

监狱信息系统安全管理的研究及应用

【摘要】:在建立信息系统的过程当中,保障信息安全是至关重要的。文章从技术和管理两个角度分析了监狱信息系统的安全需求,针对技术和管理两方面提出了一套信息安全的解决方案,并应用到了实际中。

【关键词】:信息安全; 网络安全; 监狱

监狱信息化系统是建立在计算机和网络技术的基础之上,实现起公共管理和服务职能的数字化和网络化,将广大干警从手工记录中解脱出来,实现了信息共享,也使得各项工作更规范、准确,合乎法规要求。

1. 监狱信息网络的基本构架

监狱信息网络系统的基本构架为监狱内部办公网(内部网)、对外发布信息网(外部网)和监狱信息资源库。其中不公开的数据,只在内部网上实现信息共享;外部网是监狱向公众公开网站,通过网络

实现监狱与民众之间的双向交流;监狱信息资源库主要是存放监狱狱政信息和监狱共享资源信息等。无论是内网、外网之间都是通过tcp/ip协议进行构建,内网和外网之间需要物理隔离。

2. 监狱信息系统的安全需求。由于监狱部门的特殊性,对内部信息的保密程度要求也非常的高,对信息安全提出以下要求。

2.1 技术方面安全要求

(1) 物理层。保障网络的物理环境、网络设备和通讯线路的安全。

防止天灾人祸对环境、设备、线路造成危害,导致系统无法正常运行。

(2) 网络层。信息在网络上传输安全、防止外界入侵、以及加强由于网络结构的共享性和开放性造成的网络脆弱性。

(3) 系统层。保障操作系统和数据库等系统软件的安全。无论是windows、unix还是linux系统,以及oracle、sql server等数据库系统,本身就存在一些已知和未知的漏洞,预防这些漏洞对系统

造成安全隐患。

(4) 应用层。保证数据、文件及各种形式的信息的机密性、完整性及不可否认性。针对不同的应用,通过检测其安全漏洞,采取相应的安全措施,来降低应用的安全风险。

2.2 管理方面安全要求。监狱信息化网络系统是由人来操作,由于工作人员的违规操作,很容易对系统造成破坏或瘫痪;或者内部

人员利用职务之便,进行违法操作,对系统和整个社会来说都是一

个的威胁。所以还应建立相关政策、法规约束内部人员的行为。3. 监狱信息安全的系统构架

3.1 技术安全体系设计。物理层安全是整个网络安全系统的前提,其安全设计要通过环境、设备、线路三方面进行设计。

(1) 对机房的建设进行防火、防雷、放震等特殊设计,并且要进行机房屏蔽设计防止电磁辐射、电源接地和配置不间断电源(ups)保证服务器的正常工作。

(2) 重要的服务器、交换机、路由器要安排专人看管,配合安全管理手册,限制人员的出入。控制单位内部员工的访问操作,防止由于内部员工的操作,造成泄密事件的发生。

(3) 确保线路上分离内网和外网,将内部网和外部网彻底的物理隔离开,没有任何线路连接,这样可保证公共网上黑客无法连接内部网,保证极高的安全性。

网络层安全包括设置防火墙、入侵检测和vpn等方面的设计。

(1) 通过配置防火墙中的安全策略来有效阻断网络外部的攻击和非法访问。

(2) 利用”入侵检测系统”连续监视网络通讯情况,寻找已知的攻击模式,当它检测到一个未授权活动时,软件会以预定方式自动进行响应,报告攻击、记录该事件或是断开未授权连接。”入侵检测系统”能够与其他安全机制协同工作,提供有效的安全保障。(3) 利用mpls(multiprotocol label switching多协议标签交换技术)vpn构建了一个跨越不同地域的上下级之间和内部网络之间的虚拟专用网,通过对网络数据的封包和加密传输,在因特网上建立一个临时的、安全的连接,从而实现在公网上传输私有数据、达到私有网络的安全级别,就相当于建立一条专线连接远程的办公室,降低网络设备的投入和线路的投资,同时实现了网络之间的安全通讯。

系统层安全主要针对操作系统安全和数据库管理系统安全。服务

器端采用windows 2000 advance server操作系统,客户端采用windows 2000操作系统,合理配置系统自身所提供的安全机制并定时扫描系统漏洞,及时发现并弥补系统漏洞。采用了sql server数据库管理系统,定期对系统和数据进行备份,以保证系统和数据的安全。

应用层主要是应用软件保证安全,包括身份认证和访问控制、数据安全管理、有效的防病毒系统和监控系统的建立。

(1) 身份认证与访问控制系统是以密码技术和公钥基础设施

pki(public key infrastructure) 技术为核心,以数据加密、访问控制等安全技术为基础,在网络上实现了强有力的身份认证和访问控制功能。ca证书服务器主要负责接收证书申请、验证申请中的信息和申请者的身份、颁发证书、吊销证书以及发布证书吊销列表(crl);数字证书库保存了已经签发的数字证书及公钥,并且为用户提供下载所需其他用户的证书及公钥;ra服务器主要负责处理用户申请、用户撤销等请求,管理用户信息。

(2) 每个合法用户分配私有目录-文件保密柜。所有进入该私有目录的文件都将被自动加密,移出该目录的文件将被自动解密。为保证私有信息的私密性,任何用户都不能查看和操作其他用户文件保密柜内的文件。

(3) 建立有效的防病毒系统,对网络通讯中的数据实行监控,并对系统进行定时扫描、杀毒,减少病毒侵害带来的损失。

(4) 建立有效的监控系统,对计算机用户的行为进行监督管理,将使用过程中重要信息(机号,操作人等)记录到审计文件中,管理人员可以由此发现”可疑”情况,及时追查安全事故责任。

3.2 管理安全体系设计

(1) 建立一套职责明确的管理制度,以便分清职责,互相监管。

(2) 建立密码管理制度,由工作人员分段掌握,定期更换和控制扩散。

(3) 加强有关资料的档案管理,严格配置修改的批准程序和档案入库登记,防止外流、外泄。

(4) 依法管理,追究行为人因故意或过失对网络造成危害的法律责任。

好的网络安全解决方案,可以有效的保证监狱信息的安全。从监狱特殊化安全着手,对其信息系统的安全问题进行了探讨研究,并提出了有效的解决方法,实施到实际当中,取得了很好的效果。

参考文献

[1]蔡立军.计算机网络安全技术[m]

[2]何鹏, 潘海珠.虚拟专用网络技术vpn在大学校园网中的应用[j]

[3]冯普胜.arp 病毒处理方法[j]

[4]王秀和，杨明.计算机网络安全技术浅析[j]