韩全惜
摘要:文章描述了包括安全保密管理、安全防护策略、安全防护体系、安全值勤维护、技术安全服务和终端安全防护的网络信息安全防护技术构筑体系,介绍了构建网络信息安全防护技术体系的信息安全产品和选用策略,提出了保障网络信息安全技术防护体系顺利运行所必须的安全管理措施。
关键词:网络信息安全防护技术;网络信息安全产品;网络信息安全管理
网络世界不仅是经济产业竞争的战场,而且是意识形态争夺的战场,更是现代军事斗争的战场。习主席强调:“把网络信息安全和信息化看作是一体之两翼、驱动之双轮,进行统一谋划、统一部署、统一推进、统一实施”。针对涉及国家安全的中小部门和单位,本文提出网络信息安全技术体系建设的意见和建议。
1网络信息安全技术体系
网络信息安全技术体系可以分安全保密管理、安全防护策略、安全防护体系、安全值勤维护、技术安全服务和终端安全防护等六个方面。
1.1安全保密管理
安全保密管理要求网络安全保密领导组织健全,单位主管领导负责,保密、通信、网管、机要等有关职能部门参加,能够积极履行工作职责;制定严格的入网审批、安全值勤、检测监控、网络审计、应急响应、监督检查等规章制度和操作规程;建立健全涉密信息发布和监管制度,信息发布审查审批手续严格,信息调阅权限明确,涉密信息密级标识准确清晰,公开信息服务网段没有涉密信息;网络设备购置、保管、使用、维修、报废管理规范,保密设备相关文档完备,信息资料、应用软件及存储载体管理严格;设置专门网络安全保密管理人员,熟悉安全保密政策法规,具备专业知识技能,能够认真尽职履责;采用IP地址静态分配和实名管理,准确掌握IP地址归属,管理档案完备;信息导入涉密网络和计算机前要经过病毒、木马和恶意代码查杀。拷贝存储设备专盘专用,管控严格;网络环境,电磁辐射等符合国家相关标准要求,机房等重要涉密部位采取严密防范措施。
1.2安全防护策略
安全防护策略包括制定完整的访问控制、设备配置、事件监测、病毒防范、安全审计、灾难恢复和应急响应等安全策略,并根据实际情况动态调整;园区网与互联网实施有效的物理或逻辑隔离;根据入网区域、涉密程度和使用范畴,整体规划网络拓扑结构,设置最小安全域,严格域间信任关系,合理划分涉密网段与公开网段,进行必要的逻辑隔离,采取相应密级的保护措施;网络边界防护策略科学,防火墙、路由器、防病毒网关、入侵检测系统等规则配置合理并做到动态调整,能够及时发现、阻断外部入侵和攻击行为;网络内部访问控制措施严格,制定了有效的网络接入、终端安全、用户鉴别、层级管理、访问授权和监控审计等重要环节集成化管控策略;各类网络设备、专用信息系统指定专门的管理终端和IP地址。
1.3安全防护体系
安全防护体系包括如下几个方面。配备网络防火墙、入侵检测、内网审计、补丁分发等安全防护系统,安装覆盖全网的防病毒系统;建立统一的网络身份管理机制,对入网终端IP地址、MAC地址和交换机端口进行绑定;对路由器、交换机进行服务安全性配置,合理划分VLAN,设置访问控制列表;网络安全防护系统安装部署正确,规则配置合理,严禁非授权操作;服务器关闭不必要端口和服务,帐户权限划分明确,口令设置规范,开启安全事件审计功能。专用和公用信息系统使用不同服务器,专用服务器仅提供专用服务。提供信息服务的服务器,具备抵御攻击和防篡改等防护能力;数据库管理系统进行严格的帐户管理和权限划分,开启审计功能,制订备份策略,及时安装补丁程序;配备满足实际需求的网络安全检测系统或设备。安全保密防护和检测产品,须经过国家信息安全相关测评机构测评认证。
1.4安全值勤维护
安全值勤维护包括建立严格的网络安全值勤制度,定期检查值勤日志及网络设备、安全设备、应用系统、服务器工作状况,及时发现和排除安全隐患;实时掌握网络安全预警、监控信息,对各类入侵行为、病毒侵害、木马传播、异常操作等安全事件及时做出正确处置;定期组织网络安全行为审计,检测和分析审计记录,对可疑行为和违规操作采取相应措施。审计日志保留不少于30天,每季度撰写安全审计评估报告;定期组织安全保密检测评估,对计算机、存储载体、应用系统和重要数据库等进行漏洞扫描和隐患排查;对网络重大安全事件能够迅速定位和取证,及时采取有效的管控补救措施。根据应急响应预案,能够适时组织应急处置训练或演练;定期对重要数据库、重要应用系统、网络核心设备以及安全设备配置文件、日志信息等进行备份。
1.5技术安全服务
技术安全服务包括及时发布病毒和木马预警信息,定期升级病毒、木马查杀软件和特征库;定期组织全网范围病毒和木马查杀,能够及时发现、清除各类病毒和木马;定期更新各类漏洞补丁库,及时下发操作系统、数据库和应用软件补丁,系统没有高风险安全漏洞;深入开展技术指导,积极组织对入网用户进行防护知识教育和技能培训。
1.6终端安全防护
终端安全防护包括终端入网履行严格的审批手续,对入网帐户、访问权限、IP地址、MAC地址、硬盘信息等登记备案清楚、更新及时;入网终端标识明确、专人管理,按规定设置BIOS、操作系统和屏幕保护口令,正确安装使用“计算机及其涉密载体保密管理系统”;入网终端及时修补系统漏洞,关闭不必要的服务和端口,安装防病毒软件和个人防火墙,清除病毒和木马程序,禁用红外、蓝牙、无线网卡等功能;入网终端没有公私混用现象,没有不安全共享,没有存储超越防护等级的涉密信息;入网终端或入网地点发生变更时,对访问权限、安全配置和绑定措施进行及时调整。
2构建网络信息安全防护体系
2.1网络信息安全防护体系组成部分
建设网络信息安全防护体系,依赖不同的信息安全产品,这些信息安全产品满足不同的信息安全管理目标,具体描述如下。
(1)使用可网管交换机和网管软件。网管软件通过管理端口执行监控交换机端口等管理功能。以网络设备(路由器,交换机)、线路、防火墙、安全设备、小型机、服务器、PC机、数据库、邮件系统、中间件、办公系统、UPS电源、机房温湿度等等的日常管理为着眼点,帮助网络管理人员提高网络利用率和网络服务的质量。
(2)使用“防火墙”安全系统。“防火墙”安全系统可以有效地对网络内部的外部扫描或攻击做出及时的响应,并且提供灵活的访问控制功能,确保网络抵御外来攻击。
(3)使用防病毒过滤网关。在进出网络之前,防病毒过滤网关将进出信息中附带的计算机病毒进行扫描和清除。
(4)使用入侵保护系统(IPS)。入侵保护系统对网络中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行自动拦截或采取措施将攻击源阻断。
(5)使用入侵检测系统(IDS)。通过系统检测、分析网络中的数据流量,入侵检测系统从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象,检测网络内部对核心服务器的攻击。
(6)实行IEEE 802.1X认证。802.1X认证能够比较好地解决一系列网络安全问题,增强了网络的可控性和安全性,比如可控制新接入计算机安装指定软件(如瑞星杀毒),之后才能获得入网账号,才允许访问所有网络资源。由于接入固定账号,假如发生安全事件,也可迅速查找到嫌疑人。
(7)安装信息安全管理与防护系统。信息安全管理与防护系统通过服务器监测客户端电脑上网情况,有效防止非法上网情况的发生。
(8)安装计算机及其涉密载体保密管理系统。计算机及其涉密载体保密管理系统可以杜绝通过移动存储设备进行数据摆渡的安全保密隐患。
(9)安装网络版查杀毒软件系统。建议采用具有自主产权并经过国家信息安全评估测试的杀毒软件系统,并实现网络用户病毒特征库实时在线升级。
2.2安全设备选用策略
市场提供各式各样的满足信息安全管理要求的信息安全产品,从网络管理安全目的出发,选用网络信息安全系统和设备应该注意如下三个方面,从国别看,选择国产的网络安全产品,排除敌对势力可能的恶意潜伏;从质量看,选择国家信息安全认证产品,确保其专业资质和产品安全可靠;从性能看,选择满足网络安全管理功能的网络安全系统。
3强化确保技术防护体系顺利运行的管理措施
网络信息安全需要技术防护体系支持,网络信息安全技术防护体系需要强有力的管理体系保驾护航,离开网络信息安全管理体系,技术防护体系如同虚设。
3.1完善网络信息安全管理措施
网络信息安全管理措施就是一整套严密的网络信息安全管理信息制度,其中最基础的工作就是上网审查登记和信息流通管理。
3.1.1上网审查登记
必须认真履行上网审查登记工作。上网审查登记范围包括与信息管理有关的人、设备两方面内容。人员管理包括实名登记网络用户、上网资格认证、实名绑定IP地址、使用设备登记、明确网络管理权限和使用权限等,落实身份认证管理和可信任网络用户接入制度。设备管理包括登记入网计算机的型号、标识、IP地址和硬盘等主要信息,登记涉密移动存储设备,登记服务器、路由器、交换机的设备基本资料、管理职责和存放地点,登记网线走向和布局图,登记信息点的地点、开通与否等信息内容。
3.1.2信息流通管理
必须认真履行信息流通管理工作。信息流通管理工作包括安装上网记录软件和安全管理系统等,监控信息流动状态,最大限度堵塞安全漏洞。规范信息发布、信息审查与监管,指定专职人员负责,落实逐级审批要求。落实信息交互管理秩序,无论是上传资料、下载影视,还是发表言论、娱乐休闲,都要从严进行筛选、过滤和“消毒”。重点对聊天室、论坛、微博等敏感栏目、网络社区进行全程监管,及时屏蔽不良信息,防止造成负面影响,严防失泄密问题发生。采取定期检查和随机抽查相结合的办法,每月对网络信息和网上言论进行全面检查和监控,对各种网络违纪现象,要依法进行惩处。
3.2加强日常信息管控技术手段
除了建设网络安全防护体系之外,在日常信息管控方面,也有必要采取技术手段,以确保信息安全、政治安全。
3.2.1加强不良信息的屏蔽能力
通过开发信息过滤软件,强制性地检查并过滤网络外部信息,屏蔽具有淫秽色情、封建迷信等内容的不良信息,有效阻止有害信息的入侵,最大限度阻止各类不健康的信息进入。
3.2.2加强“垃圾”信息的清理能力
通过开发信息扫描软件,建立“垃圾”信息报警系统,加强对网络内部垃圾信息的监控,通过扫描网络信息,及时发现并删除网上“垃圾”,清除网络思想垃圾,控制网络信息污染,防止毒害,净化网络空间,提供一个良好的网上活动空间。
3.2.3加强舆情的探测能力
通过开发舆情监控系统,聊天室、论坛、微博等敏感栏目、网络社区进行全方位全时空监管,洞察舆情态势,判断舆情影响效果,及时主动干预和引导,大力宣传弘扬网络道德,跟踪舆情发展趋势,建立一个政治安全的网络环境。