韓全惜

摘要：文章描述了包括安全保密管理、安全防護(hù)策略、安全防護(hù)體系、安全值勤維護(hù)、技術(shù)安全服務(wù)和終端安全防護(hù)的網(wǎng)絡(luò)信息安全防護(hù)技術(shù)構(gòu)筑體系，介紹了構(gòu)建網(wǎng)絡(luò)信息安全防護(hù)技術(shù)體系的信息安全產(chǎn)品和選用策略，提出了保障網(wǎng)絡(luò)信息安全技術(shù)防護(hù)體系順利運(yùn)行所必須的安全管理措施。

關(guān)鍵詞：網(wǎng)絡(luò)信息安全防護(hù)技術(shù)；網(wǎng)絡(luò)信息安全產(chǎn)品；網(wǎng)絡(luò)信息安全管理

網(wǎng)絡(luò)世界不僅是經(jīng)濟(jì)產(chǎn)業(yè)競(jìng)爭(zhēng)的戰(zhàn)場(chǎng)，而且是意識(shí)形態(tài)爭(zhēng)奪的戰(zhàn)場(chǎng)，更是現(xiàn)代軍事斗爭(zhēng)的戰(zhàn)場(chǎng)。習(xí)主席強(qiáng)調(diào)：“把網(wǎng)絡(luò)信息安全和信息化看作是一體之兩翼、驅(qū)動(dòng)之雙輪，進(jìn)行統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施”。針對(duì)涉及國家安全的中小部門和單位，本文提出網(wǎng)絡(luò)信息安全技術(shù)體系建設(shè)的意見和建議。

1網(wǎng)絡(luò)信息安全技術(shù)體系

網(wǎng)絡(luò)信息安全技術(shù)體系可以分安全保密管理、安全防護(hù)策略、安全防護(hù)體系、安全值勤維護(hù)、技術(shù)安全服務(wù)和終端安全防護(hù)等六個(gè)方面。

1.1安全保密管理

安全保密管理要求網(wǎng)絡(luò)安全保密領(lǐng)導(dǎo)組織健全，單位主管領(lǐng)導(dǎo)負(fù)責(zé)，保密、通信、網(wǎng)管、機(jī)要等有關(guān)職能部門參加，能夠積極履行工作職責(zé)；制定嚴(yán)格的入網(wǎng)審批、安全值勤、檢測(cè)監(jiān)控、網(wǎng)絡(luò)審計(jì)、應(yīng)急響應(yīng)、監(jiān)督檢查等規(guī)章制度和操作規(guī)程；建立健全涉密信息發(fā)布和監(jiān)管制度，信息發(fā)布審查審批手續(xù)嚴(yán)格，信息調(diào)閱權(quán)限明確，涉密信息密級(jí)標(biāo)識(shí)準(zhǔn)確清晰，公開信息服務(wù)網(wǎng)段沒有涉密信息；網(wǎng)絡(luò)設(shè)備購置、保管、使用、維修、報(bào)廢管理規(guī)范，保密設(shè)備相關(guān)文檔完備，信息資料、應(yīng)用軟件及存儲(chǔ)載體管理嚴(yán)格；設(shè)置專門網(wǎng)絡(luò)安全保密管理人員，熟悉安全保密政策法規(guī)，具備專業(yè)知識(shí)技能，能夠認(rèn)真盡職履責(zé)；采用IP地址靜態(tài)分配和實(shí)名管理，準(zhǔn)確掌握IP地址歸屬，管理檔案完備；信息導(dǎo)入涉密網(wǎng)絡(luò)和計(jì)算機(jī)前要經(jīng)過病毒、木馬和惡意代碼查殺?？截惔鎯?chǔ)設(shè)備專盤專用，管控嚴(yán)格；網(wǎng)絡(luò)環(huán)境，電磁輻射等符合國家相關(guān)標(biāo)準(zhǔn)要求，機(jī)房等重要涉密部位采取嚴(yán)密防范措施。

1.2安全防護(hù)策略

安全防護(hù)策略包括制定完整的訪問控制、設(shè)備配置、事件監(jiān)測(cè)、病毒防范、安全審計(jì)、災(zāi)難恢復(fù)和應(yīng)急響應(yīng)等安全策略，并根據(jù)實(shí)際情況動(dòng)態(tài)調(diào)整；園區(qū)網(wǎng)與互聯(lián)網(wǎng)實(shí)施有效的物理或邏輯隔離；根據(jù)入網(wǎng)區(qū)域、涉密程度和使用范疇，整體規(guī)劃網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，設(shè)置最小安全域，嚴(yán)格域間信任關(guān)系，合理劃分涉密網(wǎng)段與公開網(wǎng)段，進(jìn)行必要的邏輯隔離，采取相應(yīng)密級(jí)的保護(hù)措施；網(wǎng)絡(luò)邊界防護(hù)策略科學(xué)，防火墻、路由器、防病毒網(wǎng)關(guān)、入侵檢測(cè)系統(tǒng)等規(guī)則配置合理并做到動(dòng)態(tài)調(diào)整，能夠及時(shí)發(fā)現(xiàn)、阻斷外部入侵和攻擊行為；網(wǎng)絡(luò)內(nèi)部訪問控制措施嚴(yán)格，制定了有效的網(wǎng)絡(luò)接入、終端安全、用戶鑒別、層級(jí)管理、訪問授權(quán)和監(jiān)控審計(jì)等重要環(huán)節(jié)集成化管控策略；各類網(wǎng)絡(luò)設(shè)備、專用信息系統(tǒng)指定專門的管理終端和IP地址。

1.3安全防護(hù)體系

安全防護(hù)體系包括如下幾個(gè)方面。配備網(wǎng)絡(luò)防火墻、入侵檢測(cè)、內(nèi)網(wǎng)審計(jì)、補(bǔ)丁分發(fā)等安全防護(hù)系統(tǒng)，安裝覆蓋全網(wǎng)的防病毒系統(tǒng)；建立統(tǒng)一的網(wǎng)絡(luò)身份管理機(jī)制，對(duì)入網(wǎng)終端IP地址、MAC地址和交換機(jī)端口進(jìn)行綁定；對(duì)路由器、交換機(jī)進(jìn)行服務(wù)安全性配置，合理劃分VLAN，設(shè)置訪問控制列表；網(wǎng)絡(luò)安全防護(hù)系統(tǒng)安裝部署正確，規(guī)則配置合理，嚴(yán)禁非授權(quán)操作；服務(wù)器關(guān)閉不必要端口和服務(wù)，帳戶權(quán)限劃分明確，口令設(shè)置規(guī)范，開啟安全事件審計(jì)功能。專用和公用信息系統(tǒng)使用不同服務(wù)器，專用服務(wù)器僅提供專用服務(wù)。提供信息服務(wù)的服務(wù)器，具備抵御攻擊和防篡改等防護(hù)能力；數(shù)據(jù)庫管理系統(tǒng)進(jìn)行嚴(yán)格的帳戶管理和權(quán)限劃分，開啟審計(jì)功能，制訂備份策略，及時(shí)安裝補(bǔ)丁程序；配備滿足實(shí)際需求的網(wǎng)絡(luò)安全檢測(cè)系統(tǒng)或設(shè)備。安全保密防護(hù)和檢測(cè)產(chǎn)品，須經(jīng)過國家信息安全相關(guān)測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)認(rèn)證。

1.4安全值勤維護(hù)

安全值勤維護(hù)包括建立嚴(yán)格的網(wǎng)絡(luò)安全值勤制度，定期檢查值勤日志及網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、服務(wù)器工作狀況，及時(shí)發(fā)現(xiàn)和排除安全隱患；實(shí)時(shí)掌握網(wǎng)絡(luò)安全預(yù)警、監(jiān)控信息，對(duì)各類入侵行為、病毒侵害、木馬傳播、異常操作等安全事件及時(shí)做出正確處置；定期組織網(wǎng)絡(luò)安全行為審計(jì)，檢測(cè)和分析審計(jì)記錄，對(duì)可疑行為和違規(guī)操作采取相應(yīng)措施。審計(jì)日志保留不少于30天，每季度撰寫安全審計(jì)評(píng)估報(bào)告；定期組織安全保密檢測(cè)評(píng)估，對(duì)計(jì)算機(jī)、存儲(chǔ)載體、應(yīng)用系統(tǒng)和重要數(shù)據(jù)庫等進(jìn)行漏洞掃描和隱患排查；對(duì)網(wǎng)絡(luò)重大安全事件能夠迅速定位和取證，及時(shí)采取有效的管控補(bǔ)救措施。根據(jù)應(yīng)急響應(yīng)預(yù)案，能夠適時(shí)組織應(yīng)急處置訓(xùn)練或演練；定期對(duì)重要數(shù)據(jù)庫、重要應(yīng)用系統(tǒng)、網(wǎng)絡(luò)核心設(shè)備以及安全設(shè)備配置文件、日志信息等進(jìn)行備份。

1.5技術(shù)安全服務(wù)

技術(shù)安全服務(wù)包括及時(shí)發(fā)布病毒和木馬預(yù)警信息，定期升級(jí)病毒、木馬查殺軟件和特征庫；定期組織全網(wǎng)范圍病毒和木馬查殺，能夠及時(shí)發(fā)現(xiàn)、清除各類病毒和木馬；定期更新各類漏洞補(bǔ)丁庫，及時(shí)下發(fā)操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用軟件補(bǔ)丁，系統(tǒng)沒有高風(fēng)險(xiǎn)安全漏洞；深入開展技術(shù)指導(dǎo)，積極組織對(duì)入網(wǎng)用戶進(jìn)行防護(hù)知識(shí)教育和技能培訓(xùn)。

1.6終端安全防護(hù)

終端安全防護(hù)包括終端入網(wǎng)履行嚴(yán)格的審批手續(xù)，對(duì)入網(wǎng)帳戶、訪問權(quán)限、IP地址、MAC地址、硬盤信息等登記備案清楚、更新及時(shí)；入網(wǎng)終端標(biāo)識(shí)明確、專人管理，按規(guī)定設(shè)置BIOS、操作系統(tǒng)和屏幕保護(hù)口令，正確安裝使用“計(jì)算機(jī)及其涉密載體保密管理系統(tǒng)”；入網(wǎng)終端及時(shí)修補(bǔ)系統(tǒng)漏洞，關(guān)閉不必要的服務(wù)和端口，安裝防病毒軟件和個(gè)人防火墻，清除病毒和木馬程序，禁用紅外、藍(lán)牙、無線網(wǎng)卡等功能；入網(wǎng)終端沒有公私混用現(xiàn)象，沒有不安全共享，沒有存儲(chǔ)超越防護(hù)等級(jí)的涉密信息；入網(wǎng)終端或入網(wǎng)地點(diǎn)發(fā)生變更時(shí)，對(duì)訪問權(quán)限、安全配置和綁定措施進(jìn)行及時(shí)調(diào)整。

2構(gòu)建網(wǎng)絡(luò)信息安全防護(hù)體系

2.1網(wǎng)絡(luò)信息安全防護(hù)體系組成部分

建設(shè)網(wǎng)絡(luò)信息安全防護(hù)體系，依賴不同的信息安全產(chǎn)品，這些信息安全產(chǎn)品滿足不同的信息安全管理目標(biāo)，具體描述如下。

（1）使用可網(wǎng)管交換機(jī)和網(wǎng)管軟件。網(wǎng)管軟件通過管理端口執(zhí)行監(jiān)控交換機(jī)端口等管理功能。以網(wǎng)絡(luò)設(shè)備（路由器，交換機(jī)）、線路、防火墻、安全設(shè)備、小型機(jī)、服務(wù)器、PC機(jī)、數(shù)據(jù)庫、郵件系統(tǒng)、中間件、辦公系統(tǒng)、UPS電源、機(jī)房溫濕度等等的日常管理為著眼點(diǎn)，幫助網(wǎng)絡(luò)管理人員提高網(wǎng)絡(luò)利用率和網(wǎng)絡(luò)服務(wù)的質(zhì)量。

（2）使用“防火墻”安全系統(tǒng)?！胺阑饓Α卑踩到y(tǒng)可以有效地對(duì)網(wǎng)絡(luò)內(nèi)部的外部掃描或攻擊做出及時(shí)的響應(yīng)，并且提供靈活的訪問控制功能，確保網(wǎng)絡(luò)抵御外來攻擊。

（3）使用防病毒過濾網(wǎng)關(guān)。在進(jìn)出網(wǎng)絡(luò)之前，防病毒過濾網(wǎng)關(guān)將進(jìn)出信息中附帶的計(jì)算機(jī)病毒進(jìn)行掃描和清除。

（4）使用入侵保護(hù)系統(tǒng)（IPS）。入侵保護(hù)系統(tǒng)對(duì)網(wǎng)絡(luò)中的惡意數(shù)據(jù)包進(jìn)行檢測(cè)，阻止入侵活動(dòng)，預(yù)先對(duì)攻擊性的流量進(jìn)行自動(dòng)攔截或采取措施將攻擊源阻斷。

（5）使用入侵檢測(cè)系統(tǒng)（IDS）。通過系統(tǒng)檢測(cè)、分析網(wǎng)絡(luò)中的數(shù)據(jù)流量，入侵檢測(cè)系統(tǒng)從中發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，檢測(cè)網(wǎng)絡(luò)內(nèi)部對(duì)核心服務(wù)器的攻擊。

（6）實(shí)行IEEE 802.1X認(rèn)證。802.1X認(rèn)證能夠比較好地解決一系列網(wǎng)絡(luò)安全問題，增強(qiáng)了網(wǎng)絡(luò)的可控性和安全性，比如可控制新接入計(jì)算機(jī)安裝指定軟件（如瑞星殺毒），之后才能獲得入網(wǎng)賬號(hào)，才允許訪問所有網(wǎng)絡(luò)資源。由于接入固定賬號(hào)，假如發(fā)生安全事件，也可迅速查找到嫌疑人。

（7）安裝信息安全管理與防護(hù)系統(tǒng)。信息安全管理與防護(hù)系統(tǒng)通過服務(wù)器監(jiān)測(cè)客戶端電腦上網(wǎng)情況，有效防止非法上網(wǎng)情況的發(fā)生。

（8）安裝計(jì)算機(jī)及其涉密載體保密管理系統(tǒng)。計(jì)算機(jī)及其涉密載體保密管理系統(tǒng)可以杜絕通過移動(dòng)存儲(chǔ)設(shè)備進(jìn)行數(shù)據(jù)擺渡的安全保密隱患。

（9）安裝網(wǎng)絡(luò)版查殺毒軟件系統(tǒng)。建議采用具有自主產(chǎn)權(quán)并經(jīng)過國家信息安全評(píng)估測(cè)試的殺毒軟件系統(tǒng)，并實(shí)現(xiàn)網(wǎng)絡(luò)用戶病毒特征庫實(shí)時(shí)在線升級(jí)。

2.2安全設(shè)備選用策略

市場(chǎng)提供各式各樣的滿足信息安全管理要求的信息安全產(chǎn)品，從網(wǎng)絡(luò)管理安全目的出發(fā)，選用網(wǎng)絡(luò)信息安全系統(tǒng)和設(shè)備應(yīng)該注意如下三個(gè)方面，從國別看，選擇國產(chǎn)的網(wǎng)絡(luò)安全產(chǎn)品，排除敵對(duì)勢(shì)力可能的惡意潛伏；從質(zhì)量看，選擇國家信息安全認(rèn)證產(chǎn)品，確保其專業(yè)資質(zhì)和產(chǎn)品安全可靠；從性能看，選擇滿足網(wǎng)絡(luò)安全管理功能的網(wǎng)絡(luò)安全系統(tǒng)。

3強(qiáng)化確保技術(shù)防護(hù)體系順利運(yùn)行的管理措施

網(wǎng)絡(luò)信息安全需要技術(shù)防護(hù)體系支持，網(wǎng)絡(luò)信息安全技術(shù)防護(hù)體系需要強(qiáng)有力的管理體系保駕護(hù)航，離開網(wǎng)絡(luò)信息安全管理體系，技術(shù)防護(hù)體系如同虛設(shè)。

3.1完善網(wǎng)絡(luò)信息安全管理措施

網(wǎng)絡(luò)信息安全管理措施就是一整套嚴(yán)密的網(wǎng)絡(luò)信息安全管理信息制度，其中最基礎(chǔ)的工作就是上網(wǎng)審查登記和信息流通管理。

3.1.1上網(wǎng)審查登記

必須認(rèn)真履行上網(wǎng)審查登記工作。上網(wǎng)審查登記范圍包括與信息管理有關(guān)的人、設(shè)備兩方面內(nèi)容。人員管理包括實(shí)名登記網(wǎng)絡(luò)用戶、上網(wǎng)資格認(rèn)證、實(shí)名綁定IP地址、使用設(shè)備登記、明確網(wǎng)絡(luò)管理權(quán)限和使用權(quán)限等，落實(shí)身份認(rèn)證管理和可信任網(wǎng)絡(luò)用戶接入制度。設(shè)備管理包括登記入網(wǎng)計(jì)算機(jī)的型號(hào)、標(biāo)識(shí)、IP地址和硬盤等主要信息，登記涉密移動(dòng)存儲(chǔ)設(shè)備，登記服務(wù)器、路由器、交換機(jī)的設(shè)備基本資料、管理職責(zé)和存放地點(diǎn)，登記網(wǎng)線走向和布局圖，登記信息點(diǎn)的地點(diǎn)、開通與否等信息內(nèi)容。

3.1.2信息流通管理

必須認(rèn)真履行信息流通管理工作。信息流通管理工作包括安裝上網(wǎng)記錄軟件和安全管理系統(tǒng)等，監(jiān)控信息流動(dòng)狀態(tài)，最大限度堵塞安全漏洞。規(guī)范信息發(fā)布、信息審查與監(jiān)管，指定專職人員負(fù)責(zé)，落實(shí)逐級(jí)審批要求。落實(shí)信息交互管理秩序，無論是上傳資料、下載影視，還是發(fā)表言論、娛樂休閑，都要從嚴(yán)進(jìn)行篩選、過濾和“消毒”。重點(diǎn)對(duì)聊天室、論壇、微博等敏感欄目、網(wǎng)絡(luò)社區(qū)進(jìn)行全程監(jiān)管，及時(shí)屏蔽不良信息，防止造成負(fù)面影響，嚴(yán)防失泄密問題發(fā)生。采取定期檢查和隨機(jī)抽查相結(jié)合的辦法，每月對(duì)網(wǎng)絡(luò)信息和網(wǎng)上言論進(jìn)行全面檢查和監(jiān)控，對(duì)各種網(wǎng)絡(luò)違紀(jì)現(xiàn)象，要依法進(jìn)行懲處。

3.2加強(qiáng)日常信息管控技術(shù)手段

除了建設(shè)網(wǎng)絡(luò)安全防護(hù)體系之外，在日常信息管控方面，也有必要采取技術(shù)手段，以確保信息安全、政治安全。

3.2.1加強(qiáng)不良信息的屏蔽能力

通過開發(fā)信息過濾軟件，強(qiáng)制性地檢查并過濾網(wǎng)絡(luò)外部信息，屏蔽具有淫穢色情、封建迷信等內(nèi)容的不良信息，有效阻止有害信息的入侵，最大限度阻止各類不健康的信息進(jìn)入。

3.2.2加強(qiáng)“垃圾”信息的清理能力

通過開發(fā)信息掃描軟件，建立“垃圾”信息報(bào)警系統(tǒng)，加強(qiáng)對(duì)網(wǎng)絡(luò)內(nèi)部垃圾信息的監(jiān)控，通過掃描網(wǎng)絡(luò)信息，及時(shí)發(fā)現(xiàn)并刪除網(wǎng)上“垃圾”，清除網(wǎng)絡(luò)思想垃圾，控制網(wǎng)絡(luò)信息污染，防止毒害，凈化網(wǎng)絡(luò)空間，提供一個(gè)良好的網(wǎng)上活動(dòng)空間。

3.2.3加強(qiáng)輿情的探測(cè)能力

通過開發(fā)輿情監(jiān)控系統(tǒng)，聊天室、論壇、微博等敏感欄目、網(wǎng)絡(luò)社區(qū)進(jìn)行全方位全時(shí)空監(jiān)管，洞察輿情態(tài)勢(shì)，判斷輿情影響效果，及時(shí)主動(dòng)干預(yù)和引導(dǎo)，大力宣傳弘揚(yáng)網(wǎng)絡(luò)道德，跟蹤輿情發(fā)展趨勢(shì)，建立一個(gè)政治安全的網(wǎng)絡(luò)環(huán)境。