试论上海交通安全信息网对信息安全的研究(3)
2013-11-06 01:05
导读:3.2.2部署入侵检测设备 监控网络中的信息,并记录网络中的异常主机以及异常连接;及时中断异常连接;通过联动机制,向防火墙发送指令,在限定的
3.2.2部署入侵检测设备
监控网络中的信息,并记录网络中的异常主机以及异常连接;及时中断异常连接;通过联动机制,向防火墙发送指令,在限定的时间内对特定的IP地址实施封堵。考虑到与现有思科防火墙的兼容以及联动,拟采用部署思科IDS.4215-K9。思科IDS4215~准确地查看和保护65Mbps流量,适用于多T1/E1和T3。此外,CiscoIPS4215上支持多个监控接口,能在单一设备中提供入侵检测和防御(IDS/IPS)服务,从而同时保护多个子网。入侵检测系统(IDS)是防火墙的补充解决方案,可以防止网络基础设施(路由器、交换机和网络带宽)和服务器(操作系统和应用层)受到拒绝服务(DoS)袭击。由于问题比较复杂,先进的IDS解决方案一般都包含两个组件:用于保护网络的IDS(NIDS)和用于保护服务器及其上运行的应用主机IDS(HIDS)。考虑到站点复杂性,袭击技术多种多样,黑客数量只增不减,必须采用全面的解决方案才能有效黑客的袭击。这种解决方案应该能对抗多种袭击技术,并防止在典型袭击过程中执行恶意操作。
3.2.3部署防病毒防垃圾网关
现有系统部署有邮件系统,所以要考虑部署一套防病毒防垃圾邮件网关。通过分析决定采用梭子鱼垃圾邮件防火墙300,它是整合了软硬件的较完美解决方案,提供以下防护:反垃圾邮件;反病毒;反欺骗;反钓鱼;反问谍;拒绝服务器攻击。
3.2.4 lDC的应用监测服务
可以和IDC托管提供者协商要求提供7×24/小时实时主页监控服务,根据URL实时监测主页变动情况,一有变动立即告警。同时保障所托管设备的网络链路。
3.2.5服务器的负载均衡
要想解决好不断增加的对外应用响应的风险,部署服务器的负载均衡势在必行。负载均衡的设计如图3所示。
(科教作文网http://zw.ΝsΕAc.Com编辑整理)
考虑到用户访问端不会修改数据库内容,而只是由员对服务器数据库进行更新,所以将违章查询平台与数据库同时部署于4台服务器,通过负载均衡设备将外部访问的流量动态分配到各台服务器,而后台数据库利用数据库同步软件更新一台服务器其他同步到位,从而实现对外应用服务的均衡。部署之后实现了负载的均衡和高可靠性,解决了原有对外应用的瓶颈和单点故障。另外部署了4台对外的web服务器,按照单台服务器250并发数的标准可以保证1000个并发数,可以保证每天86400000人次的访问,能满足3~5年内不断增加访问需求。
3.2.6安全维护制度以及应急制度
为了使这个网络平台能够正常工作,还必须建立相关
规章制度,我们已经建立《维护设备》、《系统部署规范》、《设备维护规范》、《密码设置规范》和《应急制度》。在日常维护中,我们所有的员工都是严格按照这些规章制度操作,已经取的不错的效果。
4结束语
本次研究的解决方案是相对的,在这样的网络应用环境中,以及当前网络技术的前提下,本解决方案发挥巨大的作用,到目前为止已经9.84乙访问人次,最高并发访问量达N6ooo人,没有出现重大信息安全问题,得到上海交警大队和广大用户的一致好评。但是,随着计算机网络技术的不断发展,可能会产生新的网络安全隐患,我们将继续努力,确保信息安全。
