劉瑞婷

中國核工業(yè)第五建設(shè)有限公司 上海 201512

網(wǎng)絡(luò)安全指由于網(wǎng)絡(luò)信息系統(tǒng)基于網(wǎng)絡(luò)運(yùn)行和網(wǎng)絡(luò)間的互聯(lián)互通造成的物理線路和連接的安全、網(wǎng)絡(luò)系統(tǒng)安全、操作系統(tǒng)安全、管理安全等幾個(gè)方面。如何加強(qiáng)網(wǎng)絡(luò)安全防范性能，如何通過安全系列軟硬件及相關(guān)管理手段提高網(wǎng)絡(luò)信息系統(tǒng)的安全性能，降低風(fēng)險(xiǎn)，及時(shí)準(zhǔn)確地掌握信息系統(tǒng)的安全問題及薄弱環(huán)節(jié)，及早發(fā)現(xiàn)安全漏洞、攻擊行為并針對性地做出預(yù)防處理。在攻擊發(fā)生時(shí)，盡早發(fā)現(xiàn)及時(shí)阻斷。在攻擊后，盡快恢復(fù)并找出原因。

1 信息安全管理的要求與目標(biāo)

信息安全的管理要求是保護(hù)商業(yè)信息和知識產(chǎn)權(quán)，以防止偶然的或未授權(quán)者對信息的惡意訪問、修改、傳播和破壞，從而導(dǎo)致信息的不可控或無法處理等。保證在最大限度地利用信息為我們服務(wù)的同時(shí)，避免損失或?qū)p失程度降到最低。信息安全的管理目標(biāo)就是讓非法用戶“進(jìn)不來（訪問控制機(jī)制）—拿不走（授權(quán)機(jī)制）—改不了（數(shù)據(jù)完整性機(jī)制）—看不懂（加密機(jī)制）—跑不了（審計(jì)/監(jiān)控/簽名機(jī)制）”。

2 網(wǎng)絡(luò)安全區(qū)域的劃分及管理

外部區(qū)域主要指外部接入部分和對外提供服務(wù)的邏輯邊界部分，內(nèi)部區(qū)域主要指放置各服務(wù)系統(tǒng)的區(qū)域。

2.1 以防護(hù)為管理手段

網(wǎng)絡(luò)層，外部：通過設(shè)置嚴(yán)格訪問控制措施來解決服務(wù)器被用作跳板滲透內(nèi)網(wǎng)。內(nèi)部：訪問控制不嚴(yán)格可能導(dǎo)致內(nèi)部人員惡意訪問關(guān)鍵服務(wù)器。需加強(qiáng)內(nèi)外部用戶和管理員用戶訪問控制措施、設(shè)置訪問控制措施。

系統(tǒng)層，外部：通過建立自動補(bǔ)丁升級系統(tǒng)，及時(shí)打補(bǔ)丁解決惡意攻擊。內(nèi)部：接入?yún)^(qū)域最多發(fā)生的安全事件主要是病毒等的侵襲。建立防病毒體系；加固各計(jì)算機(jī)安全設(shè)置；打補(bǔ)丁先測試后篩選，再安裝進(jìn)行漏洞彌補(bǔ)。

應(yīng)用層，外部：采用WEB腳本掃描器進(jìn)行漏洞掃描，彌補(bǔ)腳本漏洞。內(nèi)部：若暫時(shí)無法軟件升級或替換，可采用強(qiáng)密碼和數(shù)據(jù)加密工具使用來保證應(yīng)用層的安全，加強(qiáng)對移動存儲的管理[1]。

2.2 以監(jiān)測為管理手段

外部：設(shè)置網(wǎng)絡(luò)入侵檢測系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控，對內(nèi)外進(jìn)出數(shù)據(jù)時(shí)刻分析確保第一時(shí)間發(fā)現(xiàn)安全事件。內(nèi)部：內(nèi)部惡意攻擊、竊取事件越來越多。設(shè)置入侵監(jiān)測系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控。

2.3 以備份與恢復(fù)為管理手段

外部：通過對所有網(wǎng)絡(luò)資源進(jìn)行備份，操作系統(tǒng)、數(shù)據(jù)庫日志能夠進(jìn)行事后分析和判定，同時(shí)數(shù)據(jù)庫數(shù)據(jù)備份有利于出問題時(shí)及時(shí)恢復(fù)。內(nèi)部：備份域控制器，各網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等，服務(wù)器中設(shè)立“個(gè)人空間”進(jìn)行個(gè)人重要數(shù)據(jù)的備份。

3 信息安全技術(shù)措施

使用具備旁路監(jiān)聽技術(shù)的設(shè)備過濾、限制訪問不良網(wǎng)絡(luò)信息；通過網(wǎng)絡(luò)版病毒防護(hù)軟件減少病毒的影響；使用郵件網(wǎng)關(guān)進(jìn)行垃圾郵件過濾，并根據(jù)用戶舉報(bào)分析垃圾郵件特征和設(shè)置過濾規(guī)則；使用專用漏洞掃描軟件定期對系統(tǒng)進(jìn)行漏洞掃描、并生成報(bào)告提醒網(wǎng)絡(luò)管理員對存在漏洞的系統(tǒng)進(jìn)行整改；使用雙層防火墻防護(hù)服務(wù)器群，并對服務(wù)器進(jìn)行流量、內(nèi)存等使用情況監(jiān)控；建立數(shù)據(jù)備份方案、做好日志服務(wù)管理工作等。

4 網(wǎng)絡(luò)系統(tǒng)安全管理

4.1 管理目的

確保信息不暴露給未授權(quán)的用戶，未經(jīng)授權(quán)的人不能修改數(shù)據(jù)，只有得到允許的人才能修改數(shù)據(jù)，并且能夠分辨出被篡改的數(shù)據(jù)。得到授權(quán)的用戶在合法的范圍內(nèi)可以隨時(shí)隨地訪問數(shù)據(jù)。可以控制授權(quán)范圍內(nèi)的信息流向和行為方式。一旦出現(xiàn)安全問題，網(wǎng)絡(luò)系統(tǒng)可以提供調(diào)查的依據(jù)和手段[2]。

4.2 管理方案

改善網(wǎng)絡(luò)系統(tǒng)的安全策略設(shè)置，盡量減少安全漏洞，關(guān)閉不使用的服務(wù)，對不同級別的網(wǎng)絡(luò)用戶設(shè)置相應(yīng)的資源訪問權(quán)限；對服務(wù)器的操作，做好系統(tǒng)記錄，經(jīng)常檢查，發(fā)現(xiàn)問題及時(shí)解決；必須作好備份與恢復(fù)等應(yīng)急措施，一旦系統(tǒng)出現(xiàn)問題能夠及時(shí)恢復(fù)正常，做好網(wǎng)絡(luò)系統(tǒng)的備份與恢復(fù)的技術(shù)規(guī)劃、實(shí)施和操作，并作好詳細(xì)的記錄；對操作系統(tǒng)和數(shù)據(jù)庫進(jìn)行系統(tǒng)運(yùn)行記錄和數(shù)據(jù)庫運(yùn)行記錄的轉(zhuǎn)儲保存以備核查，并異地做好備份；應(yīng)針對具體情況采取預(yù)防病毒技術(shù)、檢測病毒技術(shù)和殺毒技術(shù)。

5 物理設(shè)備的安全管理

5.1 網(wǎng)絡(luò)設(shè)備安全

網(wǎng)絡(luò)設(shè)備安全管理指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備以及其他設(shè)備免遭人為操作失誤或錯(cuò)誤行為而導(dǎo)致的破壞。網(wǎng)絡(luò)設(shè)備、設(shè)施應(yīng)配備相應(yīng)的安全保障措施，并定期或不定期地進(jìn)行檢查，對重要網(wǎng)絡(luò)設(shè)備配備專用電源或電源保護(hù)設(shè)備，保證其正常運(yùn)行。

5.2 客戶機(jī)的物理安全管理

客戶機(jī)的物理安全管理指所有連接到信息網(wǎng)絡(luò)系統(tǒng)的計(jì)算機(jī)、工作站、服務(wù)器、網(wǎng)絡(luò)打印機(jī)及各種終端設(shè)備。不得對其實(shí)施人為損壞；不得擅自更改網(wǎng)絡(luò)設(shè)置，杜絕一切影響網(wǎng)絡(luò)正常運(yùn)行的行為發(fā)生，網(wǎng)絡(luò)系統(tǒng)中的終端計(jì)算機(jī)在使用完畢后應(yīng)及時(shí)關(guān)閉計(jì)算機(jī)和電源。

6 信息安全管理

每三個(gè)月對計(jì)算機(jī)用戶的系統(tǒng)應(yīng)進(jìn)行詳細(xì)的安全檢查和維護(hù)，避免因?yàn)橄到y(tǒng)崩潰和損壞而對系統(tǒng)內(nèi)存儲、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失。要加強(qiáng)信息審查，防止和控制非法、有害的信息通過網(wǎng)絡(luò)系統(tǒng)傳播。在網(wǎng)絡(luò)系統(tǒng)傳遞信息前要作好查殺毒工作，采取網(wǎng)絡(luò)病毒監(jiān)測、查毒、殺毒等技術(shù)措施，提高網(wǎng)絡(luò)的整體抗病毒能力，計(jì)算機(jī)用戶中的文件不可設(shè)置為共享。

7 訪問控制安全

7.1 口令管理

所有計(jì)算機(jī)都設(shè)有口令，必須使用口令對用戶的身份進(jìn)行驗(yàn)證和確認(rèn)，并設(shè)定兼職系統(tǒng)保密員，負(fù)責(zé)日常的口令管理工作。包括給新增加的用戶分配初始口令；檢查用戶使用口令情況；幫助用戶開啟被鎖定的口令，對非法操作及時(shí)查明原因；定期更換口令。

7.2 網(wǎng)絡(luò)資源屬主、屬性和訪問權(quán)限

網(wǎng)絡(luò)資源主要包括共享文件、共享打印機(jī)等資源。資源屬主體現(xiàn)了不同用戶對資源的從屬關(guān)系，如建立者、修改者和同組成員等。資源屬性表示了資源本身的存取特性。訪問權(quán)限主要體現(xiàn)在用戶對網(wǎng)絡(luò)資源的可用程度上。利用指定網(wǎng)絡(luò)資源的屬主、屬性和訪問權(quán)限可以有效地在應(yīng)用級控制網(wǎng)絡(luò)系統(tǒng)的安全性。

7.3 網(wǎng)絡(luò)安全監(jiān)視

網(wǎng)絡(luò)監(jiān)視，它的作用主要是對整個(gè)網(wǎng)絡(luò)的運(yùn)行進(jìn)行動態(tài)地監(jiān)視并及時(shí)處理各種事件。通過網(wǎng)絡(luò)監(jiān)視可以簡單明了地找出并解決網(wǎng)絡(luò)上的安全問題，如控制網(wǎng)絡(luò)訪問范圍等。

8 結(jié)語

本文通過對信息安全管理系統(tǒng)應(yīng)用實(shí)踐，有效劃分網(wǎng)絡(luò)安全區(qū)域，采取網(wǎng)絡(luò)系統(tǒng)安全管理、物理設(shè)備安全管理、訪問控制安全等措施，在實(shí)踐應(yīng)用中，提升了信息管理系統(tǒng)的防護(hù)水平。建立安全的信息系統(tǒng)，在企業(yè)信息化管理建設(shè)工作中，顯得尤為重要。