構建測繪生產網網絡安全體系

劉 楠，王曉波

1.青海省基礎地理信息中心，青海西寧 810000

2.青海省基礎地理信息中心，青海西寧 810000

在測繪行業中，地理信息的采集、加工、處理越來越現代化，智能化，而對測繪成果的利用也是向著服務網絡化和應用社會化的方向發展。網絡作為地理信息的載體，可以加快從數據采集到成果應用的轉化，從而實現為現代高速發展的社會提供實時準卻的地理信息。網絡在為測繪行業帶來高效、便捷的同時，也提出了有效保護地理數據不被他人竊取盜用的要求。因此在測繪數據加工生產的過程中，通過有效的網絡安全策略來保護地理信息數據顯得非常重要。

1 網絡安全要素分析

網絡安全要素主要包括4個方面：1）網絡運行系統安全；2）網絡系統信息安全；3）網絡信息傳播安全；4）網絡信息內容的安全。由此可見，網絡安全包含的內容廣泛，對于其網絡安全體系的建立和策略，不僅僅只包括安全防護工作，還包括管理、監控、技術跟新等內容。對此，在本體系的構建中，我們以安全管理為主，采用技術手段和相關硬件設備構建網絡安全體系，通過人工干預，對正在發生的攻擊做出及時響應，并在事后采取防范措施和恢復措施，防止類似攻擊再次發生，將損失最小化[1]。

2 測繪生產網安全體系構建的思路與實現

2.1 測繪生產網安全管理

2.1.1 建立健全安全管理制度

同其它信息相比，地理信息數據牽涉到國家的政治、軍事、經濟利益，涉及國家的機密。這些地理信息只有部分個人、部分單位有權生產、擁有和使用，其他個人、機構不能訪問、使用、占有、修改這些數據。因此在安全管理制度中除了制定一般的網絡安全管理制度外，還需要依照國家保密法律、法規和有關規定制定相關的保密管理制度以及保密管理措施。在本體系的構建中，采取了如下措施，首先根據現行相關法律法規制定了一系列配套制度。對落實這些制度的情況進行定期或不定期的檢查，及時解決工作中的問題。

2.1.2 加強網絡安全、保密管理工作的宣傳和教育

網絡的安全管理主要包括加強計算機用戶安全教育以及完善安全管理功能，促進計算機用戶學習法律法規的意識，明確計算機用戶和系統管理人應履行的權利和義務。在保密管理工作方面，要強化涉密人員的保密教育，切實增強保密意識，筑牢嚴守國家秘密的思想防線。在本體系的構建中，對所有參與涉密的人員都進行了保密培訓并簽訂了保密協議，加強了生產人員的保密意識。除此之外，還對參與生產的人員進行了相關計算機安全使用方面的培訓[2]。

2.2 測繪生產網網絡安全體系

2.2.1 網絡基礎設施安全建設

在網絡基礎設施方面，機房作為生產數據加工存放的地方，其防火、防盜以及設備的支撐環境，都是保證網絡安全運行的基礎。為此在本方按中我們采取如下措施來消除。1）為了消除環境隱患，機房購置了大型多功能空調設備，用以保證機房的溫度、濕度恒定；在機房四周放置了氯丙烷氣體滅火系統；2）為了防止電壓過高，電源不足、不合格電源和突然斷電對設備的不安全影響，機房采用雙電力線接入，并配備了UPS系統。在每個機柜中配備了兩部16A濾波電源接入和專用接地銅線，從而保證了每個機柜有足夠的功率安全地接入服務器；3）安防方面，網絡機房安裝了電子攝像頭，配備了門徑系統，只允許授權的人員進出機房；4）設備存放與安全使用。在生產網中，為了有效的保護涉密數據，存放服務器的機柜采用了電磁屏蔽機柜；機柜間網絡布線主要采用六類屏蔽雙絞線纜。由于本方案中，各個數據生產作業室分布在大樓的不同樓層內，因此與機房通信的交換機全部用光纖連接后再用六類屏蔽雙絞線與桌面計算機相連。除此之外，設備的管理，遵循“統一購置，統一編號，統一備案，跟蹤管理，集中報廢”的原則，嚴格控制發放范圍。所有設備在入網前，需由網絡安全負責人對設備的涉密情況、基本配置信息、用途、使用人、安裝的軟件、使用的端口和服務、MAC地址等等級備案并進行安全審核，合格后方可入網與處理重要信息。

2.2.2 采用網絡安全相關的技術

在網絡安全技術方面，一般采用防火墻和入侵檢測兩種技術。1）防火墻技術。該技術能執行訪問控制，在使用期間同意允許訪問的用戶與數據進入內部網絡，拒絕不允許訪問的用戶與數據進入內部網絡，這樣能最大限度的阻止網絡黑客的訪問，提高內部網絡的安全性；2）入侵檢測技術。改技術能彌補單純的防火墻技術暴露出明顯的不足和弱點，為網絡安全提供實時的入侵檢測及采取相應的防護手段。入侵檢測是對防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力，提高了信息安全基礎結構的完整性[3]。

本方案中，采用了華為公司生產的USG5160防火墻。在防火墻的內部，是由各個單位的服務器、磁盤陣列等組成的網絡，而防火墻外部是由各個單位的數據加部門組成的一個網絡。（在這種網絡結構中，通過對防火墻安全策略的配置，可以有效的防止各個作業PC機對服務器的惡意攻擊。由于生產網是一個相對獨立的網絡，每臺計算機IP是固定的，用戶對服務器的訪問相對可控，因此采用了基于主機的入侵檢測技術。我們通過系統日志分析軟件定期分析系統日志的方法來監測系統是否有非法訪問。通過對這些日志的分析，可以使系統管理員在小范圍內、審計和評估系統。

2.2.3 加強防范網絡病毒

隨著網絡技術的發展，安全技術也不斷升級，但是與此同時，病毒跟新和傳播的速度也不斷加快。對此應不斷加強防范網絡病毒，更新殺毒軟件，盡量滿足網絡病毒防范的要求，提升計算機網絡安全。

綜上所述，網絡安全在測繪數據加工生產過程中非常關鍵，作為測繪行業工作人員，在充分利用網絡為測繪數據加工生產帶來高效、便捷的同時，還應不斷更新網絡技術，加強網絡監管，讓測繪數據加工生產安全、高效，進一卻確保測繪數據準確可靠。

[1]周燁，楊懷龍.淺談測繪生產網絡的數據安全[J].信息系統工程，2012(2).

[2]劉磊.基于網絡環境的數字測繪生產安全體系[J].現代測繪，2006(4).

[3]彭紀偉，張秦罡.數字測繪生產所面臨的安全威脅及其應對措施[J].測繪，2009(2).