文/張亞鋒

引言

隨著媒體融合不斷深入，新媒體業(yè)務(wù)在報業(yè)集團不斷壯大，應(yīng)用系統(tǒng)逐步由原來的采編出版系統(tǒng)轉(zhuǎn)變?yōu)槿襟w出版系統(tǒng)，由原來內(nèi)網(wǎng)系統(tǒng)轉(zhuǎn)變?yōu)橥饩W(wǎng)系統(tǒng)。近年來，由于新聞網(wǎng)站的權(quán)重在重點搜索引擎中占比越來越高，也成為黑客入侵的重點對象。境外博彩業(yè)通過不同的形式圍攻新聞網(wǎng)站，國內(nèi)多數(shù)新聞網(wǎng)站曾經(jīng)被入侵，網(wǎng)絡(luò)安全形勢非常嚴峻。如何保障網(wǎng)絡(luò)系統(tǒng)安全？網(wǎng)絡(luò)安全等級保護可以全面保障網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運行。

1.定義測評對象

報業(yè)集團現(xiàn)在主要業(yè)務(wù)系統(tǒng)有新聞采編系統(tǒng)、新媒體制作發(fā)布系統(tǒng)、報道指揮系統(tǒng)、媒資系統(tǒng)、經(jīng)營管理系統(tǒng)、辦公系統(tǒng)、互聯(lián)網(wǎng)郵件及中央廚房等信息系統(tǒng)。這些業(yè)務(wù)系統(tǒng)都是互聯(lián)網(wǎng)應(yīng)用系統(tǒng)，主要威脅有數(shù)據(jù)越權(quán)訪問、信息泄漏、非法訪問、病毒、木馬、APT，自身的安全控制執(zhí)行力度不夠、策略失效、業(yè)務(wù)漏洞等極易引發(fā)網(wǎng)絡(luò)安全風(fēng)險。信息系統(tǒng)的等級保護級別，需要從信息系統(tǒng)建設(shè)開始就進行規(guī)劃，同時在單位整體信息化規(guī)劃時將整互聯(lián)互通的地方做好邊緣隔離，同時共用部分需要按等級保護級別的要求取最高級別。

一般省級報業(yè)集團有10個左右的三級系統(tǒng)需要進行等級保護測評。近幾年報業(yè)集團的經(jīng)營壓力較大，網(wǎng)絡(luò)安全硬件投入又較大，在等級保護測評時，如何能夠又省錢又能全面保障安全呢?有些報業(yè)集團選擇單位的關(guān)鍵基礎(chǔ)信息設(shè)施進行測評，其它系統(tǒng)沒有進行測評，有的甚至只選擇一個系統(tǒng)進行測評。也有些報業(yè)集團將所有系統(tǒng)作為一個系統(tǒng)來測評，把不同功能作為子系統(tǒng)來進行測評，這樣，只需要系統(tǒng)功能描述上對整體功能進行全面說明，同時定好不同子系統(tǒng)之間的邊界，確保整個系統(tǒng)全面參加測評，這樣可以節(jié)省一大筆測評費用。

2.信息安全體系建設(shè)

在等級保護實施過程中，安全管理系統(tǒng)的建設(shè)是保障網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)，是否能夠建立全方位的安全管理體系是等級保護實施工作的重點。一個完整的安全管理系統(tǒng)（如圖）包括：安全管理機構(gòu)、技術(shù)管理和安全運維管理，下面開始詳細介紹安全管理系統(tǒng)應(yīng)該包括的內(nèi)容。

安全管理機構(gòu)是管理網(wǎng)絡(luò)系統(tǒng)的最高領(lǐng)導(dǎo)權(quán)力機構(gòu)，最高領(lǐng)導(dǎo)一般由單位主管領(lǐng)導(dǎo)擔(dān)任或授權(quán)擔(dān)任，根據(jù)情況成立安全管理委員會或安全管理領(lǐng)導(dǎo)小組。安全管理機構(gòu)設(shè)置主管、專職安全管理員，在人員配置上設(shè)立三員管理，關(guān)鍵崗位應(yīng)由多人共同管理。明確審批事項和審批流程，重要事項包括：系統(tǒng)變更、重要操作、物理訪問、系統(tǒng)接入、重要活動，建立逐級審批制度和定期審查審批制度。設(shè)立日常運行、系統(tǒng)漏洞、數(shù)據(jù)備份等日常運行事項，同時將日常事項制作成表格。設(shè)立全面檢查事項，如策略與配置的一致性檢查，安全措施的有效性檢查，對重大事項應(yīng)該編寫成報告進行總結(jié)。

在安全管理人員管理方面，需對安全管理人員進行背景審查、技能考核、簽保密協(xié)議、簽訂關(guān)鍵崗位人員協(xié)議；人員離崗應(yīng)及時終止權(quán)限，并要求簽訂離職保密協(xié)議。在崗人員需進行安全意識教育和崗位技能培訓(xùn)，告知安全責(zé)任與懲戒措施；不同崗位制定不同培訓(xùn)計劃；定期對不同崗位人員進行技能考核。對外部人員訪問受控區(qū)域時，需要書面申請并取得授權(quán)后，由專人全程陪同并登記備案；訪問受控網(wǎng)絡(luò)時需書面申請，開設(shè)訪客賬戶，分配權(quán)限，登記備案；離場后及時清除來訪者權(quán)限；與外部授權(quán)人員簽保密協(xié)議，不得復(fù)制和泄露敏感信息；核心關(guān)鍵區(qū)域及應(yīng)用原則不允許外部人員訪問。

系統(tǒng)安全建設(shè)包括依據(jù)備案等級選擇安全措施，根據(jù)風(fēng)險調(diào)整防范措施，對網(wǎng)絡(luò)系統(tǒng)進行安全整體規(guī)劃和方案設(shè)計并形成配套文件，完成對安全整體規(guī)劃及配套文件的評審，并開始實施。在系統(tǒng)實施階段需要選擇符合國家規(guī)定網(wǎng)絡(luò)安全產(chǎn)品和符合密碼主管部門有關(guān)規(guī)定的密碼產(chǎn)品，重要部位產(chǎn)品需委托專項測試后再進行選擇。在自主軟件方面，需實際開發(fā)與實際環(huán)境分離，軟件代碼編寫規(guī)范，開發(fā)過程文檔完備，程序資源庫的修改、更新、發(fā)布進行嚴格授權(quán)，嚴格版本控制，開發(fā)活動需要進行受控并進行惡意代碼檢測。在外采軟件方面需進行惡意代碼檢測，并要求其提供完備的文檔與使用指南。在工程實施時需由專人管理實施過程并制定工程實施方案。有條件的報業(yè)集團需要實行第三方監(jiān)理。在系統(tǒng)驗收階段，要求具有驗收方案，驗收報告，上線前安全測試報告，包含密碼應(yīng)用的安全性等測試。在系統(tǒng)交付時，需要提供交付清單、人員培訓(xùn)、建設(shè)過程文檔和運維文檔。

系統(tǒng)安全運維管理包括了機房環(huán)境管理、資產(chǎn)管理、運行監(jiān)控、數(shù)據(jù)備份、安全措施的落實等，需要專人負責(zé)機房安全管理。機房環(huán)境的管理包括：機房進出與運維管理、機房安全管理制度，含敏感信息介質(zhì)和文檔不隨意放置，對出入人員按級別授權(quán)，重要區(qū)域?qū)崟r監(jiān)控；資產(chǎn)管理包括：資產(chǎn)清單、資產(chǎn)標(biāo)識管理及資產(chǎn)管理人員；機房介質(zhì)管理包括：安全存放，專用介質(zhì)專人管理，定期盤點，介質(zhì)流轉(zhuǎn)控制并記錄；漏洞與風(fēng)險管理包括：檢查、及時修補或評估后修補，風(fēng)險測評并形成報告及采取措施應(yīng)對。制定重要設(shè)備配置與操作手冊，記錄運維日志，分析日志與監(jiān)控數(shù)據(jù)；操作中保留日志，同步更新配置庫；嚴格運維工具使用，保留日志，及時刪除敏感信息；惡意代碼防范管理包括外來接入要先查殺病毒、規(guī)定惡意代碼防范要求、檢查病毒庫升級，并分析捕獲樣本，定期驗證防病毒技術(shù)措施的有效性；備份與恢復(fù)管理包括識別需備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)與軟件，規(guī)定備份方式、介質(zhì)、頻率等，制定備份策略和恢復(fù)策略和程序；安全事件處置包括及時報告安全事件、制定安全事件報告與處置管理制度，分析原因，總結(jié)教訓(xùn)，對重大服務(wù)中斷與信息泄露事件有不同的處理流程與報告程序，建立聯(lián)合防護和應(yīng)急機制，處置跨單位安全事件。

3.日常管理問題與思考

信息安全系統(tǒng)從信息安全管理、信息安全技術(shù)和信息安全運行三個方面進行了全面的約定，通過這三方面的建設(shè)形成了一套完備的信息安全體系，在落實到位的情況下，完全符合等級保護測評的各項指標(biāo)。然后，在實際工作中很多報業(yè)集團安全體系往往流于形式，執(zhí)行不到位，只是用于等級保護測評。導(dǎo)致這種情況發(fā)生的原因主要是對網(wǎng)絡(luò)系統(tǒng)的安全防護意識不夠，費用預(yù)算不足，人員配備不到位，從而導(dǎo)致安全策略執(zhí)行不到位，安全制度形同虛設(shè)。有的雖然網(wǎng)絡(luò)安全等級測評合格了，但網(wǎng)絡(luò)系統(tǒng)安全的隱患還很大，只有嚴格按照既定的要求進行日常管理，才能保障測評合格的網(wǎng)絡(luò)系統(tǒng)安全運行。