網(wǎng)站信息系統(tǒng)安全探討

鄧紅友

摘 要 隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展與網(wǎng)絡(luò)安全問題的爆發(fā)，網(wǎng)絡(luò)安全越來越受到各級政府的重視。文章就如何做好網(wǎng)站信息系統(tǒng)安全等級保護做了全面的闡述，詳細介紹了物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全等方面的關(guān)鍵信息。

關(guān)鍵詞 信息安全；網(wǎng)絡(luò)安全；等保測評

中圖分類號 TP393 文獻標識碼 A 文章編號 2096-0360（2018）07-0041-02

隨著網(wǎng)絡(luò)化信息化的發(fā)展，信息網(wǎng)絡(luò)的安全越來越受到各級政府、金融機構(gòu)、新聞媒體、互聯(lián)網(wǎng)企業(yè)、網(wǎng)絡(luò)安全公司的重視，特別是美國“斯諾登事件”爆發(fā)后，全世界各國政府對網(wǎng)絡(luò)安全的重視更是提到空前的高度，美國前總統(tǒng)奧巴馬就將網(wǎng)絡(luò)安全視作美國面臨的最大挑戰(zhàn)之一，2015年發(fā)布了《網(wǎng)絡(luò)安全法》，2016年發(fā)布《網(wǎng)絡(luò)安全國家行動計劃》，同樣，中國政府也非常重視網(wǎng)絡(luò)安全，2014年成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組，2016年11月7日通過《中華人民共和國網(wǎng)絡(luò)安全法》，自2017年6月1日起施行。

1 網(wǎng)絡(luò)信息安全系統(tǒng)定級

信息安全是指保障國家、機構(gòu)、個人的信息空間、信息載體和信息資源等信息不受來自任何內(nèi)外各種形式的危險、威脅、侵害[1]。根據(jù)《信息安全等級保護管理辦法》的規(guī)定，信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級分為五級，其中地市級單位一般是二級至三級，韶關(guān)民聲網(wǎng)根據(jù)網(wǎng)站的規(guī)模與影響力，參照“第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全，國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行指導”①的要求，確定申報第二級等級保護。信息系統(tǒng)安全從管理角度看可分為信息安全策略、信息安全技術(shù)、風險評估、信息安全管理、信息安全監(jiān)管等；從技術(shù)角度分析可分為物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全，本文著重從技術(shù)角度分析信息系統(tǒng)的安全管理與應(yīng)用。

2 物理安全

物理安全分為環(huán)境安全與設(shè)備安全，環(huán)境安全是設(shè)備安全的基礎(chǔ)，環(huán)境安全包括場地安全與運行環(huán)境安全，場地選址應(yīng)該符合國家標準《電子計算機機房設(shè)計規(guī)范》（GB 50174—93）、《計算站場地安全要求》（GB 9631—88）等規(guī)定，一般單位機房主要考慮避開塵埃、腐蝕性氣體、低洼、潮濕、防水等情況[2]；場地必須做好防火、防靜電與防雷擊等措施，滅火器是機房建設(shè)的最低標準，靜電防護主要考慮地面與墻壁的靜電防護，必須對所有的防靜電地板進行有效的連接；線路安全，機房中的各種設(shè)備必須通過線路連接才能正常工作，線路安全包括電力線路與通訊線路，為了防止兩種線路的互相干擾，兩種線路的鋪設(shè)不能放在同一個線槽中，所有線路的鋪設(shè)必須符合《建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范》（GB 50343—2004），如平行鋪設(shè)的電力線纜與信號線的間距需大于130 mm；設(shè)備安全主要是防盜、防毀、防靜電以及介質(zhì)安全。機房配備必備的防盜系統(tǒng)，所有設(shè)備按照一定的規(guī)則貼上標簽，安裝360度無死角監(jiān)控與配備門禁系統(tǒng)，做到出現(xiàn)異常情況有據(jù)可查；所有的信息都是存儲在介質(zhì)設(shè)備的，保存關(guān)鍵數(shù)據(jù)與重要數(shù)據(jù)的介質(zhì)應(yīng)采取加密與上鎖等有效措施，介質(zhì)銷毀必須得到專業(yè)的管理，應(yīng)避免隨意丟棄或放置電子介質(zhì)的行為，確保介質(zhì)內(nèi)的信息安全。

3 系統(tǒng)安全

系統(tǒng)安全分為操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)安全，操作系統(tǒng)的功能包括存儲、文件、設(shè)備、作業(yè)與處理器的管理，當多個程序一起運行時，操作系統(tǒng)負責優(yōu)化每個程序的處理時間。系統(tǒng)安全主要做好用戶與權(quán)限管理，刪除GUEST這類不必要用戶，對默認管理員（administrator）改名，管理員、操作員、維護員等用戶按照需要盡可能使用最小的用戶權(quán)限控制；保護UNIX/Linux系統(tǒng)賬號安全最關(guān)鍵是對文件/etc/group與/etc/passwd進行寫保護；密碼策略設(shè)定，密碼長度最小8個字符、區(qū)分大小寫，且必須包含有特殊字符、字母、數(shù)字等符號，定期修改密碼，密碼“最長存留期”設(shè)定越小越安全，一般設(shè)定30天，為了安全，還需設(shè)定密碼“最短存留期”，一般7天左右，確保用戶不切回舊密碼；審計日志，定期查看審計日志可以及時發(fā)現(xiàn)系統(tǒng)存在的各種安全問題，及時做好安全防范；數(shù)據(jù)備份，任何專業(yè)的設(shè)備，無論如何保養(yǎng)維護，都難免會出故障，做好數(shù)據(jù)備份是信息安全的最安全方式，也是信息安全的底線，最基本要求，一般有完全備份、差分備份、增量備份等類型；系統(tǒng)升級，及時關(guān)聯(lián)相關(guān)系統(tǒng)供應(yīng)商官網(wǎng)，發(fā)現(xiàn)有新的補丁在做好備份的基礎(chǔ)上及時升級系統(tǒng)，通過安全軟件掃描系統(tǒng)漏洞，發(fā)現(xiàn)漏洞及時升級，目前，一般的系統(tǒng)管理軟件都有自動檢測功能，系統(tǒng)安裝后都能自動檢測系統(tǒng)漏洞，并提示升級。

4 網(wǎng)絡(luò)安全

目前，網(wǎng)絡(luò)安全設(shè)備很多，根據(jù)不同的信息系統(tǒng)不同的等級保護要求選擇相應(yīng)的安全設(shè)備，韶關(guān)民聲網(wǎng)網(wǎng)站信息系統(tǒng)根據(jù)系統(tǒng)需要配置了下一代防火墻、WEB防火墻、網(wǎng)絡(luò)安全審計系統(tǒng)與堡壘機等安全設(shè)備。下一代防火墻采取串聯(lián)的連接方式隔離外網(wǎng)與內(nèi)網(wǎng)，將新一代多核技術(shù)與64位并行處理系統(tǒng)硬件平臺相結(jié)合，基于Web2.0，構(gòu)成高性能的多核平臺，并在該多核平臺上采用雙驅(qū)動引擎設(shè)計，將數(shù)通引擎和一體化安全引擎完美結(jié)合。數(shù)通引擎將一體化策略機制通過用戶識別、應(yīng)用識別、安全和管理功能進行一體化聯(lián)動與整合，保證防火墻的高性能、高識別、高可用性和高安全。一體化安全引擎和數(shù)通引擎無縫配合，對網(wǎng)絡(luò)數(shù)據(jù)包一次性拆解，全方位并行的安全掃描與防御，確保了系統(tǒng)與外界數(shù)據(jù)交換的安全。網(wǎng)絡(luò)安全審計系統(tǒng)采用混合方式接入網(wǎng)絡(luò)，通過網(wǎng)絡(luò)數(shù)據(jù)的采集、識別、分析，實時動態(tài)監(jiān)測通信內(nèi)容、網(wǎng)絡(luò)行為與網(wǎng)絡(luò)流量，發(fā)現(xiàn)與捕獲各種敏感信息、違規(guī)行為，實時報警響應(yīng)，全面記錄網(wǎng)絡(luò)中的所有會話和事件，實現(xiàn)對網(wǎng)絡(luò)信息的智能綜合分析、評估及安全事件的全程跟蹤定位?？蓪W(wǎng)頁頁面內(nèi)容、數(shù)據(jù)庫訪問、遠程終端訪問與論壇發(fā)帖等提供完整的內(nèi)容檢測與信息還原功能。堡壘機與服務(wù)器設(shè)備并行連接，隨著網(wǎng)絡(luò)信息系統(tǒng)的不斷發(fā)展，網(wǎng)絡(luò)規(guī)模和設(shè)備數(shù)量逐步擴大，不同背景的運維人員的行為給信息系統(tǒng)安全帶來較大風險，堡壘機可以全面對網(wǎng)絡(luò)設(shè)備、主機、安全設(shè)備和數(shù)據(jù)庫等資源進行集中賬號管理。支持跨平臺的運維行為管理能力，同時覆蓋多種主流操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和運維協(xié)議，可以全面監(jiān)控與記錄所有操作人員的行為。

5 應(yīng)用安全

應(yīng)用安全是指以保護特定應(yīng)用為目的的安全技術(shù)，目前主要有網(wǎng)頁防篡改、反網(wǎng)絡(luò)釣魚、內(nèi)容過濾等技術(shù)，韶關(guān)民聲網(wǎng)網(wǎng)絡(luò)信息系統(tǒng)主要有新聞、論壇、直播與點播等應(yīng)用系統(tǒng)，作為一個地市級的門戶網(wǎng)，代表政府的形象，擁有的眾多高薪階層、企事業(yè)單位與私營企業(yè)主等高質(zhì)量的網(wǎng)友，必須確保網(wǎng)絡(luò)信息系統(tǒng)的安全，讓廣大網(wǎng)友接受健康有益的第一手資訊，韶關(guān)民聲網(wǎng)部署了Web應(yīng)用防火墻，它集Web防護、網(wǎng)頁保護于一體，可以對HTTP訪問控制、自動化攻擊工具識別、控制非法文件上傳和下載、阻止盜鏈和爬蟲，可以做CSRF防護、XSS防護、Cookie簽名和加密等安全策略，保護Web客戶端。新聞、論壇系統(tǒng)采取業(yè)界最流行最適宜地市級官網(wǎng)管理的組合應(yīng)用系統(tǒng)，即windows2012操作系統(tǒng)+Apache服務(wù)器+Mysql數(shù)據(jù)庫/PHP語言來搭建網(wǎng)站，新聞系統(tǒng)按照廣播電視新聞管理規(guī)定設(shè)有記者、編輯、總編三個不同等級的權(quán)限，只有總編擁有發(fā)布權(quán)，確保新聞的真實性、權(quán)威性；論壇發(fā)帖必須經(jīng)過版主、超級版主、管理員等管理組用戶審核后才能發(fā)布到前臺頁面。新聞與論壇系統(tǒng)還可以通過設(shè)定不同的關(guān)鍵字，過濾不同等級的信息；對于經(jīng)常發(fā)布不良信息的網(wǎng)友，管理組人員可以直接對該網(wǎng)友禁言一段時間，也可以直接禁用該發(fā)帖網(wǎng)友的IP。

按照國家信息安全等保測評要求，必須做好系統(tǒng)的物理、網(wǎng)絡(luò)、主機、應(yīng)用等方面的安全管理工作，信息安全必須把技術(shù)、人員、制度的管理很好的融合在一起才能確保安全，俗話說：“三分技術(shù)，七分管理”，安全管理中人員的管理才是重中之重。必須規(guī)范各項規(guī)章制度，讓所有人敬畏規(guī)章制度，定期做好安全技術(shù)培訓與應(yīng)急演練，樹立信息安全永遠在路上的工作理念。

注釋

①百度百科：信息安全等級保護。https：//baike.baidu.com/item/%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E7%AD%89%E7%BA%A7%E4%BF%9D%E6%8A%A4.

參考文獻

[1]中國網(wǎng)絡(luò)空間研究院，中國網(wǎng)絡(luò)空間安全協(xié)會.網(wǎng)絡(luò)安全測評培訓教程[M].北京：人民郵電出版社，2016.

[2]荊繼武.信息安全技術(shù)教程[M].北京：中國人民公安大學出版社，2007.