存在問題及現(xiàn)狀

1.涉密信息系統(tǒng)升級改造

以前使用的交換機(jī)是HUB，而現(xiàn)在是智能交換機(jī)，又叫可控交換機(jī)。每臺客戶端的電腦通過IP地址和MAC地址綁定的方式實(shí)現(xiàn)網(wǎng)絡(luò)信息流通。沒有使用的交換機(jī)端口就關(guān)閉，但仍存在一定風(fēng)險(xiǎn)，個(gè)別計(jì)算機(jī)在網(wǎng)卡出現(xiàn)故障的時(shí)候，無故丟掉IP地址，造成該機(jī)無法訪問網(wǎng)絡(luò)，只有重新設(shè)定IP地址，方可進(jìn)行訪問，在服務(wù)器上根本無法對該機(jī)進(jìn)行判斷和察覺，只有用戶打來求助電話，才知道原因如此。

2.安全防護(hù)軟件過多，工作效率低下

由于國家對涉密信息系統(tǒng)的要求越來越高，企業(yè)安裝安全防護(hù)軟件也越來越多，對客戶端的管控越來越嚴(yán)，客戶端使用者的權(quán)限越來越受限。一方面在客戶端后臺運(yùn)行的程序越來越多，內(nèi)網(wǎng)中配置較低的計(jì)算機(jī)可能運(yùn)行效率越來越低，嚴(yán)重影響工作效率。另一方面，用戶權(quán)限的收回，導(dǎo)致客戶端用戶一個(gè)簡單軟件的安裝都無法進(jìn)行，例如輸入法、Office軟件的安裝等，都需要網(wǎng)管員來解決。這樣，大量耗費(fèi)網(wǎng)管員的工作時(shí)間，同時(shí)也給用戶使用電腦帶來麻煩，雖然從某種角度上說，軟件受控，至少用戶沒有安裝權(quán)限，但如果一丁點(diǎn)兒安裝的事情都要勞煩網(wǎng)絡(luò)管理員，那網(wǎng)管員的工作豈不成了簡單的維護(hù)了?對信息化工作的推進(jìn)意義不大。

因此，我們可否在白名單的范圍內(nèi)，允許客戶端用戶自行安裝軟件，把住進(jìn)入內(nèi)網(wǎng)的輸入端口即可，這樣，就不會造成人力、物力資源浪費(fèi)。

同時(shí)，不斷地安裝安全防護(hù)軟件，可能會導(dǎo)致某些應(yīng)用系統(tǒng)無法正常安裝和運(yùn)行，但由于安全性的需要，各種安全策略以及某些端口的關(guān)閉，可能會導(dǎo)致客戶端的計(jì)算機(jī)出現(xiàn)各種故障，例如：無法正常開機(jī)、經(jīng)常性死機(jī)，或運(yùn)行某些軟件時(shí)不能正常運(yùn)行使用。因此我們最好將這些安全防護(hù)軟件整合到一個(gè)軟件里，并且增強(qiáng)其兼容性，更好地服務(wù)于整個(gè)涉密信息系統(tǒng)。

3.標(biāo)密文件存在問題

在客戶端運(yùn)行的應(yīng)用系統(tǒng)中，用得最多的要算OA系統(tǒng)，但企業(yè)的OA系統(tǒng)不能完全控制文件標(biāo)密的問題，在上傳一個(gè)文件時(shí)，不能對這個(gè)文件的密級進(jìn)行鑒別，全靠人為控制，這樣就很容易出現(xiàn)標(biāo)密不一致的情況。

那么，能否設(shè)計(jì)更科學(xué)的軟件對此進(jìn)行鑒定，不能通過驗(yàn)證的文件，不予發(fā)送呢?

雖然集團(tuán)公司使用的安全電子郵件能夠在這一點(diǎn)上有所突破，任何一個(gè)上傳文件必須標(biāo)密，不標(biāo)密的文件根本不能傳輸，但標(biāo)密文件也是人為控制，即使把秘密文件錯(cuò)標(biāo)成非密文件，安全郵件也一樣通過，因?yàn)樗鼪]有對整個(gè)文檔的解析能力，是否可采用對文檔的解析軟件，就如同我們查詢文件是否涉密一樣，進(jìn)行某些詞段的過濾，這樣，就可避免人為的設(shè)置密級錯(cuò)誤了。

4.服務(wù)器只允許單一應(yīng)用系統(tǒng)

以前企業(yè)服務(wù)器較少時(shí)，一個(gè)服務(wù)器上往往安裝多個(gè)應(yīng)用系統(tǒng)，嚴(yán)重影響運(yùn)行效率，服務(wù)器經(jīng)常出現(xiàn)運(yùn)行瓶頸，重啟服務(wù)器成了家常便飯，后來增加了服務(wù)器，每一個(gè)服務(wù)器只允許安裝一個(gè)應(yīng)用系統(tǒng)，這樣大大提高了運(yùn)行效率。為了提高服務(wù)器的安全性，又把涉密服務(wù)器和非涉密服務(wù)器通過防火墻進(jìn)行隔離，有效地阻止了一些無關(guān)服務(wù)的訪問，保障了涉密信息的安全性，但防火墻給網(wǎng)絡(luò)運(yùn)行造成了一定麻煩，有時(shí)服務(wù)器運(yùn)行不太穩(wěn)定，可能是設(shè)置的防火墻命令或個(gè)別服務(wù)被禁等緣故。

5.涉密信息系統(tǒng)使用人員管理

企業(yè)內(nèi)一些使用人員素質(zhì)高低不一，一些細(xì)小問題，也要勞煩網(wǎng)管員進(jìn)行解決，讓網(wǎng)管員在信息系統(tǒng)建設(shè)和網(wǎng)絡(luò)發(fā)展方面時(shí)間不足，或拓展空間不大，不能把有效的時(shí)間花費(fèi)在網(wǎng)絡(luò)的拓展和信息安全產(chǎn)品的研究和兼容性的測試方面，制約了信息化的發(fā)展，個(gè)別人員有種獵奇心理，有意無意地刪除用戶或系統(tǒng)文件，造成系統(tǒng)故障，或利用自學(xué)的黑客技術(shù)進(jìn)行網(wǎng)絡(luò)攻擊或命令攻擊，給整個(gè)網(wǎng)絡(luò)造成一定的安全隱患。另一方面，有些網(wǎng)絡(luò)管理員責(zé)任心不強(qiáng)，安全意識淡薄，疏于對服務(wù)器或其他網(wǎng)絡(luò)設(shè)備的安全管理，例如服務(wù)器操作系統(tǒng)的賬號和密碼設(shè)置過于簡單、系統(tǒng)補(bǔ)丁更新不及時(shí)、某些應(yīng)用系統(tǒng)使用默認(rèn)密碼，以及文件或目錄權(quán)限設(shè)置不當(dāng)?shù)?，使得網(wǎng)絡(luò)服務(wù)器容易被黑客入侵。

涉密信息系統(tǒng)內(nèi)網(wǎng)防護(hù)措施

1.網(wǎng)絡(luò)版病毒防火墻

計(jì)算機(jī)病毒一直是威脅內(nèi)網(wǎng)穩(wěn)定可靠運(yùn)行的重要原因，該網(wǎng)絡(luò)內(nèi)部署了一套網(wǎng)絡(luò)版殺毒軟件，入網(wǎng)計(jì)算機(jī)必須安裝該軟件，并自動靜默升級病毒庫，用戶運(yùn)行入網(wǎng)認(rèn)證客戶端進(jìn)行認(rèn)證時(shí)，會對用戶計(jì)算機(jī)的端點(diǎn)防護(hù)狀態(tài)進(jìn)行檢測，如發(fā)現(xiàn)未安裝指定版本的防火墻或者病毒庫未升級，將拒絕該計(jì)算機(jī)接入網(wǎng)絡(luò)，實(shí)現(xiàn)了殺毒軟件與入網(wǎng)認(rèn)證的聯(lián)動，有效地解決了病毒防范問題，網(wǎng)絡(luò)的穩(wěn)定性得到了極大提高。

2.軟件補(bǔ)丁升級服務(wù)

為了解決內(nèi)網(wǎng)計(jì)算機(jī)的操作系統(tǒng)等軟件不便于進(jìn)行在線補(bǔ)丁升級的問題，在內(nèi)網(wǎng)中部署了一套軟件補(bǔ)丁升級系統(tǒng)，由網(wǎng)絡(luò)管理員定期從互聯(lián)網(wǎng)上下載相關(guān)補(bǔ)丁，并遷移至內(nèi)網(wǎng)服務(wù)器。在進(jìn)行入網(wǎng)認(rèn)證時(shí)，通過端點(diǎn)防護(hù)檢測，自動對入網(wǎng)計(jì)算機(jī)系統(tǒng)進(jìn)行補(bǔ)丁升級，無需用戶進(jìn)行任何操作，確保所有接入內(nèi)網(wǎng)的計(jì)算機(jī)的系統(tǒng)漏洞能夠及時(shí)得到修補(bǔ)，降低了主機(jī)被入侵或被病毒感染的概率。

3.入侵檢測和行為審計(jì)系統(tǒng)

針對在內(nèi)網(wǎng)中時(shí)有發(fā)生的網(wǎng)絡(luò)攻擊行為，部署了一套入侵檢測系統(tǒng)，能夠?qū)崟r(shí)分析內(nèi)網(wǎng)中數(shù)據(jù)通信情況，分辨入侵企圖，并與安全網(wǎng)絡(luò)管理平臺進(jìn)行聯(lián)動，當(dāng)入侵檢測系統(tǒng)檢測到某臺入網(wǎng)計(jì)算機(jī)對其所監(jiān)控的內(nèi)網(wǎng)服務(wù)器有攻擊行為或企圖時(shí)，自動阻斷該計(jì)算機(jī)的網(wǎng)絡(luò)連接，并以多種方式發(fā)出報(bào)警信息提示管理人員，能夠有效避免攻擊行為的持續(xù)進(jìn)行，最大限度地保護(hù)網(wǎng)絡(luò)的安全。

另外，為了能夠?qū)?nèi)網(wǎng)的非法入侵、傳播不當(dāng)言論及敏感信息資源失控等事件進(jìn)行追查與取證，以規(guī)范用戶的上網(wǎng)行為，還部署了網(wǎng)絡(luò)行為審計(jì)系統(tǒng)，可對用戶的上網(wǎng)行為進(jìn)行記錄和審計(jì)，一旦出現(xiàn)某些違規(guī)行為（如網(wǎng)絡(luò)攻擊和不當(dāng)言論等），可根據(jù)該系統(tǒng)追查違規(guī)行為責(zé)任人，從而對網(wǎng)絡(luò)安全與用戶的非法行為進(jìn)行有效的監(jiān)控和震懾。

4.計(jì)算機(jī)信息安全管理系統(tǒng)

為了能夠?qū)θ刖W(wǎng)計(jì)算機(jī)的外部接口進(jìn)行有效管理，防止移動載體的交叉混用，所有的入網(wǎng)計(jì)算機(jī)均要求安裝計(jì)算機(jī)信息安全管理系統(tǒng)，該系統(tǒng)能夠按照入網(wǎng)計(jì)算機(jī)不同的涉密級別，對其外部接口、外部設(shè)備等進(jìn)行不同程度的管控。

另外，對涉密移動載體進(jìn)行了加密處理，經(jīng)過加密的移動設(shè)備無法在未安裝該系統(tǒng)的計(jì)算機(jī)使用。經(jīng)過這樣的部署，可以有效防止這些設(shè)備的交叉混用，杜絕了通過移動載體泄密的安全隱患。

5.漏洞掃描系統(tǒng)

在升級改造過程中，網(wǎng)絡(luò)內(nèi)不僅安裝了防火墻和入侵檢側(cè)系統(tǒng)等被動性防御設(shè)備，還部署了漏洞掃描系統(tǒng)來主動探測網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，通過網(wǎng)絡(luò)安全性掃描，系統(tǒng)管理員能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)主機(jī)與服務(wù)器等網(wǎng)絡(luò)設(shè)備的各種漏洞和隱患，如端口和服務(wù)、系統(tǒng)漏洞、弱口令及共享文件等，并給出修正建議，管理人員可根據(jù)掃描結(jié)果對這些漏洞和隱患進(jìn)行及時(shí)修補(bǔ)。

6.對原有設(shè)施進(jìn)行規(guī)劃部署

除上述新增加的網(wǎng)絡(luò)安全設(shè)備外，對原有的防火墻、路由器等相關(guān)設(shè)備進(jìn)行了重新調(diào)整和配置，使之與新增設(shè)備之間實(shí)現(xiàn)功能互補(bǔ)和聯(lián)動，從而進(jìn)一步增強(qiáng)了網(wǎng)絡(luò)的安全性。升級改造完成后，內(nèi)網(wǎng)系統(tǒng)在入網(wǎng)用戶資格審查登記的前提下，實(shí)現(xiàn)了入網(wǎng)身份認(rèn)證和終端安全防護(hù)檢查等安全措施，認(rèn)證客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)硬件交換設(shè)備以及安全管理理平臺之間互相聯(lián)動，對接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)行為，從而可以確保終端安全接入，實(shí)現(xiàn)了有全局、立體和聯(lián)動特點(diǎn)的整體安全防護(hù)體系，極大地提高了內(nèi)網(wǎng)的安全防護(hù)能力。

結(jié)束語

網(wǎng)絡(luò)安全防護(hù)的建設(shè)不是各種安全產(chǎn)品的簡單疊加，需要結(jié)合實(shí)際應(yīng)用和不同網(wǎng)絡(luò)的自身特點(diǎn)，對各種安全設(shè)備的功能進(jìn)行有機(jī)融合，形成一套經(jīng)濟(jì)、有效、全面的整體防御體系，而且網(wǎng)絡(luò)安全防護(hù)建設(shè)是一個(gè)長期、循序漸進(jìn)的過程，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，必然會出現(xiàn)各種新的威脅。因此，涉密內(nèi)網(wǎng)的信息安全防護(hù)建設(shè)也應(yīng)隨之不斷完善和調(diào)整，才能構(gòu)建一道保護(hù)網(wǎng)上信息安全的銅墻鐵壁。