韓全惜

摘要：文章描述了包括安全保密管理、安全防護策略、安全防護體系、安全值勤維護、技術(shù)安全服務(wù)和終端安全防護的網(wǎng)絡(luò)信息安全防護技術(shù)構(gòu)筑體系，介紹了構(gòu)建網(wǎng)絡(luò)信息安全防護技術(shù)體系的信息安全產(chǎn)品和選用策略，提出了保障網(wǎng)絡(luò)信息安全技術(shù)防護體系順利運行所必須的安全管理措施。

關(guān)鍵詞：網(wǎng)絡(luò)信息安全防護技術(shù)；網(wǎng)絡(luò)信息安全產(chǎn)品；網(wǎng)絡(luò)信息安全管理

網(wǎng)絡(luò)世界不僅是經(jīng)濟產(chǎn)業(yè)競爭的戰(zhàn)場，而且是意識形態(tài)爭奪的戰(zhàn)場，更是現(xiàn)代軍事斗爭的戰(zhàn)場。習(xí)主席強調(diào)：“把網(wǎng)絡(luò)信息安全和信息化看作是一體之兩翼、驅(qū)動之雙輪，進(jìn)行統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實施”。針對涉及國家安全的中小部門和單位，本文提出網(wǎng)絡(luò)信息安全技術(shù)體系建設(shè)的意見和建議。

1網(wǎng)絡(luò)信息安全技術(shù)體系

網(wǎng)絡(luò)信息安全技術(shù)體系可以分安全保密管理、安全防護策略、安全防護體系、安全值勤維護、技術(shù)安全服務(wù)和終端安全防護等六個方面。

1.1安全保密管理

安全保密管理要求網(wǎng)絡(luò)安全保密領(lǐng)導(dǎo)組織健全，單位主管領(lǐng)導(dǎo)負(fù)責(zé)，保密、通信、網(wǎng)管、機要等有關(guān)職能部門參加，能夠積極履行工作職責(zé)；制定嚴(yán)格的入網(wǎng)審批、安全值勤、檢測監(jiān)控、網(wǎng)絡(luò)審計、應(yīng)急響應(yīng)、監(jiān)督檢查等規(guī)章制度和操作規(guī)程；建立健全涉密信息發(fā)布和監(jiān)管制度，信息發(fā)布審查審批手續(xù)嚴(yán)格，信息調(diào)閱權(quán)限明確，涉密信息密級標(biāo)識準(zhǔn)確清晰，公開信息服務(wù)網(wǎng)段沒有涉密信息；網(wǎng)絡(luò)設(shè)備購置、保管、使用、維修、報廢管理規(guī)范，保密設(shè)備相關(guān)文檔完備，信息資料、應(yīng)用軟件及存儲載體管理嚴(yán)格；設(shè)置專門網(wǎng)絡(luò)安全保密管理人員，熟悉安全保密政策法規(guī)，具備專業(yè)知識技能，能夠認(rèn)真盡職履責(zé)；采用IP地址靜態(tài)分配和實名管理，準(zhǔn)確掌握IP地址歸屬，管理檔案完備；信息導(dǎo)入涉密網(wǎng)絡(luò)和計算機前要經(jīng)過病毒、木馬和惡意代碼查殺?？截惔鎯υO(shè)備專盤專用，管控嚴(yán)格；網(wǎng)絡(luò)環(huán)境，電磁輻射等符合國家相關(guān)標(biāo)準(zhǔn)要求，機房等重要涉密部位采取嚴(yán)密防范措施。

1.2安全防護策略

安全防護策略包括制定完整的訪問控制、設(shè)備配置、事件監(jiān)測、病毒防范、安全審計、災(zāi)難恢復(fù)和應(yīng)急響應(yīng)等安全策略，并根據(jù)實際情況動態(tài)調(diào)整；園區(qū)網(wǎng)與互聯(lián)網(wǎng)實施有效的物理或邏輯隔離；根據(jù)入網(wǎng)區(qū)域、涉密程度和使用范疇，整體規(guī)劃網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，設(shè)置最小安全域，嚴(yán)格域間信任關(guān)系，合理劃分涉密網(wǎng)段與公開網(wǎng)段，進(jìn)行必要的邏輯隔離，采取相應(yīng)密級的保護措施；網(wǎng)絡(luò)邊界防護策略科學(xué)，防火墻、路由器、防病毒網(wǎng)關(guān)、入侵檢測系統(tǒng)等規(guī)則配置合理并做到動態(tài)調(diào)整，能夠及時發(fā)現(xiàn)、阻斷外部入侵和攻擊行為；網(wǎng)絡(luò)內(nèi)部訪問控制措施嚴(yán)格，制定了有效的網(wǎng)絡(luò)接入、終端安全、用戶鑒別、層級管理、訪問授權(quán)和監(jiān)控審計等重要環(huán)節(jié)集成化管控策略；各類網(wǎng)絡(luò)設(shè)備、專用信息系統(tǒng)指定專門的管理終端和IP地址。

1.3安全防護體系

安全防護體系包括如下幾個方面。配備網(wǎng)絡(luò)防火墻、入侵檢測、內(nèi)網(wǎng)審計、補丁分發(fā)等安全防護系統(tǒng)，安裝覆蓋全網(wǎng)的防病毒系統(tǒng)；建立統(tǒng)一的網(wǎng)絡(luò)身份管理機制，對入網(wǎng)終端IP地址、MAC地址和交換機端口進(jìn)行綁定；對路由器、交換機進(jìn)行服務(wù)安全性配置，合理劃分VLAN，設(shè)置訪問控制列表；網(wǎng)絡(luò)安全防護系統(tǒng)安裝部署正確，規(guī)則配置合理，嚴(yán)禁非授權(quán)操作；服務(wù)器關(guān)閉不必要端口和服務(wù)，帳戶權(quán)限劃分明確，口令設(shè)置規(guī)范，開啟安全事件審計功能。專用和公用信息系統(tǒng)使用不同服務(wù)器，專用服務(wù)器僅提供專用服務(wù)。提供信息服務(wù)的服務(wù)器，具備抵御攻擊和防篡改等防護能力；數(shù)據(jù)庫管理系統(tǒng)進(jìn)行嚴(yán)格的帳戶管理和權(quán)限劃分，開啟審計功能，制訂備份策略，及時安裝補丁程序；配備滿足實際需求的網(wǎng)絡(luò)安全檢測系統(tǒng)或設(shè)備。安全保密防護和檢測產(chǎn)品，須經(jīng)過國家信息安全相關(guān)測評機構(gòu)測評認(rèn)證。

1.4安全值勤維護

安全值勤維護包括建立嚴(yán)格的網(wǎng)絡(luò)安全值勤制度，定期檢查值勤日志及網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、服務(wù)器工作狀況，及時發(fā)現(xiàn)和排除安全隱患；實時掌握網(wǎng)絡(luò)安全預(yù)警、監(jiān)控信息，對各類入侵行為、病毒侵害、木馬傳播、異常操作等安全事件及時做出正確處置；定期組織網(wǎng)絡(luò)安全行為審計，檢測和分析審計記錄，對可疑行為和違規(guī)操作采取相應(yīng)措施。審計日志保留不少于30天，每季度撰寫安全審計評估報告；定期組織安全保密檢測評估，對計算機、存儲載體、應(yīng)用系統(tǒng)和重要數(shù)據(jù)庫等進(jìn)行漏洞掃描和隱患排查；對網(wǎng)絡(luò)重大安全事件能夠迅速定位和取證，及時采取有效的管控補救措施。根據(jù)應(yīng)急響應(yīng)預(yù)案，能夠適時組織應(yīng)急處置訓(xùn)練或演練；定期對重要數(shù)據(jù)庫、重要應(yīng)用系統(tǒng)、網(wǎng)絡(luò)核心設(shè)備以及安全設(shè)備配置文件、日志信息等進(jìn)行備份。

1.5技術(shù)安全服務(wù)

技術(shù)安全服務(wù)包括及時發(fā)布病毒和木馬預(yù)警信息，定期升級病毒、木馬查殺軟件和特征庫；定期組織全網(wǎng)范圍病毒和木馬查殺，能夠及時發(fā)現(xiàn)、清除各類病毒和木馬；定期更新各類漏洞補丁庫，及時下發(fā)操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用軟件補丁，系統(tǒng)沒有高風(fēng)險安全漏洞；深入開展技術(shù)指導(dǎo)，積極組織對入網(wǎng)用戶進(jìn)行防護知識教育和技能培訓(xùn)。

1.6終端安全防護

終端安全防護包括終端入網(wǎng)履行嚴(yán)格的審批手續(xù)，對入網(wǎng)帳戶、訪問權(quán)限、IP地址、MAC地址、硬盤信息等登記備案清楚、更新及時；入網(wǎng)終端標(biāo)識明確、專人管理，按規(guī)定設(shè)置BIOS、操作系統(tǒng)和屏幕保護口令，正確安裝使用“計算機及其涉密載體保密管理系統(tǒng)”；入網(wǎng)終端及時修補系統(tǒng)漏洞，關(guān)閉不必要的服務(wù)和端口，安裝防病毒軟件和個人防火墻，清除病毒和木馬程序，禁用紅外、藍(lán)牙、無線網(wǎng)卡等功能；入網(wǎng)終端沒有公私混用現(xiàn)象，沒有不安全共享，沒有存儲超越防護等級的涉密信息；入網(wǎng)終端或入網(wǎng)地點發(fā)生變更時，對訪問權(quán)限、安全配置和綁定措施進(jìn)行及時調(diào)整。

2構(gòu)建網(wǎng)絡(luò)信息安全防護體系

2.1網(wǎng)絡(luò)信息安全防護體系組成部分

建設(shè)網(wǎng)絡(luò)信息安全防護體系，依賴不同的信息安全產(chǎn)品，這些信息安全產(chǎn)品滿足不同的信息安全管理目標(biāo)，具體描述如下。

（1）使用可網(wǎng)管交換機和網(wǎng)管軟件。網(wǎng)管軟件通過管理端口執(zhí)行監(jiān)控交換機端口等管理功能。以網(wǎng)絡(luò)設(shè)備（路由器，交換機）、線路、防火墻、安全設(shè)備、小型機、服務(wù)器、PC機、數(shù)據(jù)庫、郵件系統(tǒng)、中間件、辦公系統(tǒng)、UPS電源、機房溫濕度等等的日常管理為著眼點，幫助網(wǎng)絡(luò)管理人員提高網(wǎng)絡(luò)利用率和網(wǎng)絡(luò)服務(wù)的質(zhì)量。

（2）使用“防火墻”安全系統(tǒng)?！胺阑饓Α卑踩到y(tǒng)可以有效地對網(wǎng)絡(luò)內(nèi)部的外部掃描或攻擊做出及時的響應(yīng)，并且提供靈活的訪問控制功能，確保網(wǎng)絡(luò)抵御外來攻擊。

（3）使用防病毒過濾網(wǎng)關(guān)。在進(jìn)出網(wǎng)絡(luò)之前，防病毒過濾網(wǎng)關(guān)將進(jìn)出信息中附帶的計算機病毒進(jìn)行掃描和清除。

（4）使用入侵保護系統(tǒng)（IPS）。入侵保護系統(tǒng)對網(wǎng)絡(luò)中的惡意數(shù)據(jù)包進(jìn)行檢測，阻止入侵活動，預(yù)先對攻擊性的流量進(jìn)行自動攔截或采取措施將攻擊源阻斷。

（5）使用入侵檢測系統(tǒng)（IDS）。通過系統(tǒng)檢測、分析網(wǎng)絡(luò)中的數(shù)據(jù)流量，入侵檢測系統(tǒng)從中發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，檢測網(wǎng)絡(luò)內(nèi)部對核心服務(wù)器的攻擊。

（6）實行IEEE 802.1X認(rèn)證。802.1X認(rèn)證能夠比較好地解決一系列網(wǎng)絡(luò)安全問題，增強了網(wǎng)絡(luò)的可控性和安全性，比如可控制新接入計算機安裝指定軟件（如瑞星殺毒），之后才能獲得入網(wǎng)賬號，才允許訪問所有網(wǎng)絡(luò)資源。由于接入固定賬號，假如發(fā)生安全事件，也可迅速查找到嫌疑人。

（7）安裝信息安全管理與防護系統(tǒng)。信息安全管理與防護系統(tǒng)通過服務(wù)器監(jiān)測客戶端電腦上網(wǎng)情況，有效防止非法上網(wǎng)情況的發(fā)生。

（8）安裝計算機及其涉密載體保密管理系統(tǒng)。計算機及其涉密載體保密管理系統(tǒng)可以杜絕通過移動存儲設(shè)備進(jìn)行數(shù)據(jù)擺渡的安全保密隱患。

（9）安裝網(wǎng)絡(luò)版查殺毒軟件系統(tǒng)。建議采用具有自主產(chǎn)權(quán)并經(jīng)過國家信息安全評估測試的殺毒軟件系統(tǒng)，并實現(xiàn)網(wǎng)絡(luò)用戶病毒特征庫實時在線升級。

2.2安全設(shè)備選用策略

市場提供各式各樣的滿足信息安全管理要求的信息安全產(chǎn)品，從網(wǎng)絡(luò)管理安全目的出發(fā)，選用網(wǎng)絡(luò)信息安全系統(tǒng)和設(shè)備應(yīng)該注意如下三個方面，從國別看，選擇國產(chǎn)的網(wǎng)絡(luò)安全產(chǎn)品，排除敵對勢力可能的惡意潛伏；從質(zhì)量看，選擇國家信息安全認(rèn)證產(chǎn)品，確保其專業(yè)資質(zhì)和產(chǎn)品安全可靠；從性能看，選擇滿足網(wǎng)絡(luò)安全管理功能的網(wǎng)絡(luò)安全系統(tǒng)。

3強化確保技術(shù)防護體系順利運行的管理措施

網(wǎng)絡(luò)信息安全需要技術(shù)防護體系支持，網(wǎng)絡(luò)信息安全技術(shù)防護體系需要強有力的管理體系保駕護航，離開網(wǎng)絡(luò)信息安全管理體系，技術(shù)防護體系如同虛設(shè)。

3.1完善網(wǎng)絡(luò)信息安全管理措施

網(wǎng)絡(luò)信息安全管理措施就是一整套嚴(yán)密的網(wǎng)絡(luò)信息安全管理信息制度，其中最基礎(chǔ)的工作就是上網(wǎng)審查登記和信息流通管理。

3.1.1上網(wǎng)審查登記

必須認(rèn)真履行上網(wǎng)審查登記工作。上網(wǎng)審查登記范圍包括與信息管理有關(guān)的人、設(shè)備兩方面內(nèi)容。人員管理包括實名登記網(wǎng)絡(luò)用戶、上網(wǎng)資格認(rèn)證、實名綁定IP地址、使用設(shè)備登記、明確網(wǎng)絡(luò)管理權(quán)限和使用權(quán)限等，落實身份認(rèn)證管理和可信任網(wǎng)絡(luò)用戶接入制度。設(shè)備管理包括登記入網(wǎng)計算機的型號、標(biāo)識、IP地址和硬盤等主要信息，登記涉密移動存儲設(shè)備，登記服務(wù)器、路由器、交換機的設(shè)備基本資料、管理職責(zé)和存放地點，登記網(wǎng)線走向和布局圖，登記信息點的地點、開通與否等信息內(nèi)容。

3.1.2信息流通管理

必須認(rèn)真履行信息流通管理工作。信息流通管理工作包括安裝上網(wǎng)記錄軟件和安全管理系統(tǒng)等，監(jiān)控信息流動狀態(tài)，最大限度堵塞安全漏洞。規(guī)范信息發(fā)布、信息審查與監(jiān)管，指定專職人員負(fù)責(zé)，落實逐級審批要求。落實信息交互管理秩序，無論是上傳資料、下載影視，還是發(fā)表言論、娛樂休閑，都要從嚴(yán)進(jìn)行篩選、過濾和“消毒”。重點對聊天室、論壇、微博等敏感欄目、網(wǎng)絡(luò)社區(qū)進(jìn)行全程監(jiān)管，及時屏蔽不良信息，防止造成負(fù)面影響，嚴(yán)防失泄密問題發(fā)生。采取定期檢查和隨機抽查相結(jié)合的辦法，每月對網(wǎng)絡(luò)信息和網(wǎng)上言論進(jìn)行全面檢查和監(jiān)控，對各種網(wǎng)絡(luò)違紀(jì)現(xiàn)象，要依法進(jìn)行懲處。

3.2加強日常信息管控技術(shù)手段

除了建設(shè)網(wǎng)絡(luò)安全防護體系之外，在日常信息管控方面，也有必要采取技術(shù)手段，以確保信息安全、政治安全。

3.2.1加強不良信息的屏蔽能力

通過開發(fā)信息過濾軟件，強制性地檢查并過濾網(wǎng)絡(luò)外部信息，屏蔽具有淫穢色情、封建迷信等內(nèi)容的不良信息，有效阻止有害信息的入侵，最大限度阻止各類不健康的信息進(jìn)入。

3.2.2加強“垃圾”信息的清理能力

通過開發(fā)信息掃描軟件，建立“垃圾”信息報警系統(tǒng)，加強對網(wǎng)絡(luò)內(nèi)部垃圾信息的監(jiān)控，通過掃描網(wǎng)絡(luò)信息，及時發(fā)現(xiàn)并刪除網(wǎng)上“垃圾”，清除網(wǎng)絡(luò)思想垃圾，控制網(wǎng)絡(luò)信息污染，防止毒害，凈化網(wǎng)絡(luò)空間，提供一個良好的網(wǎng)上活動空間。

3.2.3加強輿情的探測能力

通過開發(fā)輿情監(jiān)控系統(tǒng)，聊天室、論壇、微博等敏感欄目、網(wǎng)絡(luò)社區(qū)進(jìn)行全方位全時空監(jiān)管，洞察輿情態(tài)勢，判斷輿情影響效果，及時主動干預(yù)和引導(dǎo)，大力宣傳弘揚網(wǎng)絡(luò)道德，跟蹤輿情發(fā)展趨勢，建立一個政治安全的網(wǎng)絡(luò)環(huán)境。