网站信息系统安全探讨

邓红友

摘 要 随着互联网技术的发展与网络安全问题的爆发，网络安全越来越受到各级政府的重视。文章就如何做好网站信息系统安全等级保护做了全面的阐述，详细介绍了物理安全、网络安全、应用安全等方面的关键信息。

关键词 信息安全；网络安全；等保测评

中图分类号 TP393 文献标识码 A 文章编号 2096-0360（2018）07-0041-02

随着网络化信息化的发展，信息网络的安全越来越受到各级政府、金融机构、新闻媒体、互联网企业、网络安全公司的重视，特别是美国“斯诺登事件”爆发后，全世界各国政府对网络安全的重视更是提到空前的高度，美国前总统奥巴马就将网络安全视作美国面临的最大挑战之一，2015年发布了《网络安全法》，2016年发布《网络安全国家行动计划》，同样，中国政府也非常重视网络安全，2014年成立中央网络安全和信息化领导小组，2016年11月7日通过《中华人民共和国网络安全法》，自2017年6月1日起施行。

1 网络信息安全系统定级

信息安全是指保障国家、机构、个人的信息空间、信息载体和信息资源等信息不受来自任何内外各种形式的危险、威胁、侵害[1]。根据《信息安全等级保护管理办法》的规定，信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级分为五级，其中地市级单位一般是二级至三级，韶关民声网根据网站的规模与影响力，参照“第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全，国家信息安全监管部门对该级信息系统安全等级保护工作进行指导”①的要求，确定申报第二级等级保护。信息系统安全从管理角度看可分为信息安全策略、信息安全技术、风险评估、信息安全管理、信息安全监管等；从技术角度分析可分为物理安全、系统安全、网络安全、应用安全，本文着重从技术角度分析信息系统的安全管理与应用。

2 物理安全

物理安全分为环境安全与设备安全，环境安全是设备安全的基础，环境安全包括场地安全与运行环境安全，场地选址应该符合国家标准《电子计算机机房设计规范》（GB 50174—93）、《计算站场地安全要求》（GB 9631—88）等规定，一般单位机房主要考虑避开尘埃、腐蚀性气体、低洼、潮湿、防水等情况[2]；场地必须做好防火、防静电与防雷击等措施，灭火器是机房建设的最低标准，静电防护主要考虑地面与墙壁的静电防护，必须对所有的防静电地板进行有效的连接；线路安全，机房中的各种设备必须通过线路连接才能正常工作，线路安全包括电力线路与通讯线路，为了防止两种线路的互相干扰，两种线路的铺设不能放在同一个线槽中，所有线路的铺设必须符合《建筑物电子信息系统防雷技术规范》（GB 50343—2004），如平行铺设的电力线缆与信号线的间距需大于130 mm；设备安全主要是防盗、防毁、防静电以及介质安全。机房配备必备的防盗系统，所有设备按照一定的规则贴上标签，安装360度无死角监控与配备门禁系统，做到出现异常情况有据可查；所有的信息都是存储在介质设备的，保存关键数据与重要数据的介质应采取加密与上锁等有效措施，介质销毁必须得到专业的管理，应避免随意丢弃或放置电子介质的行为，确保介质内的信息安全。

3 系统安全

系统安全分为操作系统与数据库系统安全，操作系统的功能包括存储、文件、设备、作业与处理器的管理，当多个程序一起运行时，操作系统负责优化每个程序的处理时间。系统安全主要做好用户与权限管理，删除GUEST这类不必要用户，对默认管理员（administrator）改名，管理员、操作员、维护员等用户按照需要尽可能使用最小的用户权限控制；保护UNIX/Linux系统账号安全最关键是对文件/etc/group与/etc/passwd进行写保护；密码策略设定，密码长度最小8个字符、区分大小写，且必须包含有特殊字符、字母、数字等符号，定期修改密码，密码“最长存留期”设定越小越安全，一般设定30天，为了安全，还需设定密码“最短存留期”，一般7天左右，确保用户不切回旧密码；审计日志，定期查看审计日志可以及时发现系统存在的各种安全问题，及时做好安全防范；数据备份，任何专业的设备，无论如何保养维护，都难免会出故障，做好数据备份是信息安全的最安全方式，也是信息安全的底线，最基本要求，一般有完全备份、差分备份、增量备份等类型；系统升级，及时关联相关系统供应商官网，发现有新的补丁在做好备份的基础上及时升级系统，通过安全软件扫描系统漏洞，发现漏洞及时升级，目前，一般的系统管理软件都有自动检测功能，系统安装后都能自动检测系统漏洞，并提示升级。

4 网络安全

目前，网络安全设备很多，根据不同的信息系统不同的等级保护要求选择相应的安全设备，韶关民声网网站信息系统根据系统需要配置了下一代防火墙、WEB防火墙、网络安全审计系统与堡垒机等安全设备。下一代防火墙采取串联的连接方式隔离外网与内网，将新一代多核技术与64位并行处理系统硬件平台相结合，基于Web2.0，构成高性能的多核平台，并在该多核平台上采用双驱动引擎设计，将数通引擎和一体化安全引擎完美结合。数通引擎将一体化策略机制通过用户识别、应用识别、安全和管理功能进行一体化联动与整合，保证防火墙的高性能、高识别、高可用性和高安全。一体化安全引擎和数通引擎无缝配合，对网络数据包一次性拆解，全方位并行的安全扫描与防御，确保了系统与外界数据交换的安全。网络安全审计系统采用混合方式接入网络，通过网络数据的采集、识别、分析，实时动态监测通信内容、网络行为与网络流量，发现与捕获各种敏感信息、违规行为，实时报警响应，全面记录网络中的所有会话和事件，实现对网络信息的智能综合分析、评估及安全事件的全程跟踪定位。可对网页页面内容、数据库访问、远程终端访问与论坛发帖等提供完整的内容检测与信息还原功能。堡垒机与服务器设备并行连接，随着网络信息系统的不断发展，网络规模和设备数量逐步扩大，不同背景的运维人员的行为给信息系统安全带来较大风险，堡垒机可以全面对网络设备、主机、安全设备和数据库等资源进行集中账号管理。支持跨平台的运维行为管理能力，同时覆盖多种主流操作系统、网络设备和运维协议，可以全面监控与记录所有操作人员的行为。

5 应用安全

应用安全是指以保护特定应用为目的的安全技术，目前主要有网页防篡改、反网络钓鱼、内容过滤等技术，韶关民声网网络信息系统主要有新闻、论坛、直播与点播等应用系统，作为一个地市级的门户网，代表政府的形象，拥有的众多高薪阶层、企事业单位与私营企业主等高质量的网友，必须确保网络信息系统的安全，让广大网友接受健康有益的第一手资讯，韶关民声网部署了Web应用防火墙，它集Web防护、网页保护于一体，可以对HTTP访问控制、自动化攻击工具识别、控制非法文件上传和下载、阻止盗链和爬虫，可以做CSRF防护、XSS防护、Cookie签名和加密等安全策略，保护Web客户端。新闻、论坛系统采取业界最流行最适宜地市级官网管理的组合应用系统，即windows2012操作系统+Apache服务器+Mysql数据库/PHP语言来搭建网站，新闻系统按照广播电视新闻管理规定设有记者、编辑、总编三个不同等级的权限，只有总编拥有发布权，确保新闻的真实性、权威性；论坛发帖必须经过版主、超级版主、管理员等管理组用户审核后才能发布到前台页面。新闻与论坛系统还可以通过设定不同的关键字，过滤不同等级的信息；对于经常发布不良信息的网友，管理组人员可以直接对该网友禁言一段时间，也可以直接禁用该发帖网友的IP。

按照国家信息安全等保测评要求，必须做好系统的物理、网络、主机、应用等方面的安全管理工作，信息安全必须把技术、人员、制度的管理很好的融合在一起才能确保安全，俗话说：“三分技术，七分管理”，安全管理中人员的管理才是重中之重。必须规范各项规章制度，让所有人敬畏规章制度，定期做好安全技术培训与应急演练，树立信息安全永远在路上的工作理念。

注释

①百度百科：信息安全等级保护。https：//baike.baidu.com/item/%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E7%AD%89%E7%BA%A7%E4%BF%9D%E6%8A%A4.

參考文献

[1]中国网络空间研究院，中国网络空间安全协会.网络安全测评培训教程[M].北京：人民邮电出版社，2016.

[2]荆继武.信息安全技术教程[M].北京：中国人民公安大学出版社，2007.