石永清

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的興起，網(wǎng)絡(luò)應(yīng)用迅速普及，計(jì)算機(jī)網(wǎng)絡(luò)與人們的生活、工作緊密結(jié)合。各行各業(yè)對(duì)網(wǎng)絡(luò)系統(tǒng)的依賴更為緊密，愈加深度融合，傳統(tǒng)紙質(zhì)辦公被無(wú)紙化取代，單機(jī)辦公被無(wú)邊界的網(wǎng)絡(luò)取代，居家辦公、遠(yuǎn)程學(xué)習(xí)、遠(yuǎn)程會(huì)議成為常態(tài)。隨之而來(lái)大量數(shù)據(jù)集中存儲(chǔ)在網(wǎng)絡(luò)服務(wù)器中，保護(hù)數(shù)據(jù)安全，加強(qiáng)信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)，建立高效、規(guī)范、靈活的網(wǎng)絡(luò)信息系統(tǒng)安全管理機(jī)制，形成多層次、全方位管理體系。

一、網(wǎng)絡(luò)安全管理的重要性

沒(méi)有網(wǎng)絡(luò)安全，信息化發(fā)展越快，帶來(lái)的危害可能越大，網(wǎng)絡(luò)信息系統(tǒng)的安全、穩(wěn)定運(yùn)行顯得尤為重要。網(wǎng)絡(luò)信息系統(tǒng)安全管理既要維護(hù)信息系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行，也要保障信息系統(tǒng)所在網(wǎng)絡(luò)的安全暢通。信息系統(tǒng)本身也存在各種漏洞需要及時(shí)進(jìn)行修復(fù)，而且軟件需要及時(shí)更新、修復(fù)補(bǔ)丁等內(nèi)生安全問(wèn)題無(wú)法避免，建立多層次綜合防護(hù)體系，融合多種防護(hù)技術(shù)，發(fā)揮各自的優(yōu)勢(shì)，為信息系統(tǒng)網(wǎng)絡(luò)的安全提供全方位保護(hù)。建立適合基層單位管理、高效快速反映的管理機(jī)制具有重要意義。

二、網(wǎng)絡(luò)安全管理現(xiàn)狀分析

近年來(lái)，我國(guó)信息化建設(shè)高速發(fā)展，基層單位普遍安全意識(shí)、管理機(jī)制、技術(shù)力量發(fā)展相對(duì)落后于信息化發(fā)展速度。部分單位專(zhuān)業(yè)管理人員配備不足，信息系統(tǒng)常規(guī)運(yùn)行維護(hù)管理主要依托外包公司成為中小信息系統(tǒng)運(yùn)行單位首選，僅能保障其正常運(yùn)行，無(wú)法實(shí)現(xiàn)網(wǎng)絡(luò)安全全面管理。主要存在以下問(wèn)題：

（一）安全管理制度缺乏科學(xué)性

通過(guò)調(diào)查研究發(fā)現(xiàn)現(xiàn)階段網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行單位建立有完善、科學(xué)、合理的管理制度單位比例相對(duì)較低。多數(shù)單位僅建立片面的針對(duì)網(wǎng)絡(luò)管理部門(mén)（信息中心）、單一應(yīng)用、管理人員的專(zhuān)項(xiàng)制度，缺乏全面、系統(tǒng)的管理機(jī)制和與其適應(yīng)的機(jī)制運(yùn)行監(jiān)督措施。

（二）系統(tǒng)安全架構(gòu)缺乏專(zhuān)業(yè)論證

我國(guó)基層單位信息化項(xiàng)目普遍采取堆積木方式逐年建設(shè)，缺乏科學(xué)的規(guī)劃布局及專(zhuān)業(yè)認(rèn)證，導(dǎo)致內(nèi)外網(wǎng)之間、普通業(yè)務(wù)系統(tǒng)與核心系統(tǒng)之間未進(jìn)行科學(xué)隔離；建設(shè)部署隨意，圖一時(shí)方便采用多網(wǎng)卡，讓內(nèi)網(wǎng)之間不同應(yīng)用的軟隔離形同虛設(shè)在建設(shè)中大有存在；重要數(shù)據(jù)和核心應(yīng)用未建立安全保護(hù)區(qū)域或安全策略，導(dǎo)致大量端口的開(kāi)放、非必須應(yīng)用服務(wù)開(kāi)啟增大了系統(tǒng)危險(xiǎn)指數(shù)。

（三）網(wǎng)絡(luò)防護(hù)缺乏層級(jí)縱深

組網(wǎng)過(guò)程中未建立分級(jí)保護(hù)、層層防護(hù)機(jī)制，小型基層運(yùn)行單位未采用網(wǎng)閘等設(shè)備進(jìn)行物理隔離，系統(tǒng)之間、應(yīng)用與數(shù)據(jù)存儲(chǔ)之間未能建設(shè)安全隔離措施，容易造成橫向攻擊，往往一點(diǎn)突破、全網(wǎng)淪陷，難以抵御黑客攻擊者的內(nèi)網(wǎng)滲透。

（四）安全管理設(shè)備配置不合理

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》實(shí)施后，許多單位雖然按照信息系統(tǒng)等級(jí)保護(hù)的要求，增加了必要的安全防護(hù)設(shè)備，但安全設(shè)備策略配置不當(dāng)、管理不到位，網(wǎng)絡(luò)防火墻、防病毒網(wǎng)關(guān)等安全設(shè)備未進(jìn)行科學(xué)合理的部署和配置，反而容易成為整個(gè)網(wǎng)絡(luò)的防護(hù)薄弱點(diǎn)，成為危害極大的風(fēng)險(xiǎn)點(diǎn)。

（五）日常安全管理工作不規(guī)范

安全管理人員缺乏專(zhuān)業(yè)性的培訓(xùn)，工作水平往往停留在經(jīng)驗(yàn)積累。管理職責(zé)、應(yīng)急處置預(yù)案等制度停留在文件、紙質(zhì)層面，沒(méi)有進(jìn)一步形成可操作的具體措施和支持保障，沒(méi)有規(guī)范地在實(shí)際工作中得到落實(shí)，因而執(zhí)行效果難以得到保障。運(yùn)維資料存放管理隨意，容易造成敏感信息泄露，為攻擊者入侵后的進(jìn)一步深度攻擊提供了便利條件。系統(tǒng)使用的軟硬件開(kāi)發(fā)廠商發(fā)布漏洞、修復(fù)補(bǔ)丁不及時(shí)修復(fù)更新，沒(méi)有定期開(kāi)展安全漏洞和病毒防護(hù)檢測(cè)，造成安全隱患不能及時(shí)排除。

三、網(wǎng)絡(luò)安全管理防護(hù)與對(duì)策

信息系統(tǒng)運(yùn)行單位建立完善管理機(jī)制，科學(xué)部署網(wǎng)絡(luò)框架，規(guī)范安全管理，定期開(kāi)展風(fēng)險(xiǎn)評(píng)估，強(qiáng)化網(wǎng)絡(luò)安全應(yīng)急處置的網(wǎng)絡(luò)安全管理機(jī)制，形成層次分明、重點(diǎn)突出的立體防護(hù)體系，把網(wǎng)絡(luò)信息系統(tǒng)的每一個(gè)環(huán)節(jié)進(jìn)行有效的管理，實(shí)現(xiàn)規(guī)范科學(xué)管理。

（一）加強(qiáng)頂層設(shè)計(jì)，建立網(wǎng)絡(luò)安全管理長(zhǎng)效機(jī)制

網(wǎng)絡(luò)信息系統(tǒng)安全管理應(yīng)當(dāng)在整個(gè)組織機(jī)構(gòu)內(nèi)建立和完善信息安全管理體系，將管理融入到信息系統(tǒng)的整個(gè)生命周期。完善的網(wǎng)絡(luò)安全管理機(jī)制，能有效的規(guī)避管理漏洞。據(jù)網(wǎng)絡(luò)安全技術(shù)公司不完全統(tǒng)計(jì)，因弱口令、升級(jí)補(bǔ)丁、端口開(kāi)放、信息泄漏等管理原因造成安全事件超過(guò)60%。管理機(jī)制的完善需要對(duì)本單位現(xiàn)有制度展開(kāi)全面分析，進(jìn)行針對(duì)性的補(bǔ)充完善，建立嚴(yán)謹(jǐn)?shù)墓芾硪?guī)范、明確的責(zé)任分工、科學(xué)的管理流程、嚴(yán)格的監(jiān)管和獎(jiǎng)懲制度、常態(tài)化的人員培訓(xùn)體系，以科學(xué)的管理機(jī)制推動(dòng)制度的執(zhí)行和實(shí)施，及時(shí)發(fā)現(xiàn)違規(guī)行為并進(jìn)行制止，為網(wǎng)絡(luò)信息系統(tǒng)的安全管理再上一把安全鎖。

（二）科學(xué)布局網(wǎng)絡(luò)安全架構(gòu)，加強(qiáng)數(shù)據(jù)安全防護(hù)

合理規(guī)劃網(wǎng)絡(luò)安全架構(gòu)，充分論證，合理布局，避免重要系統(tǒng)暴露于互聯(lián)網(wǎng)終端。要提高對(duì)數(shù)據(jù)安全重要性的認(rèn)識(shí)，加強(qiáng)對(duì)重要數(shù)據(jù)、敏感信息等數(shù)據(jù)加密存儲(chǔ)管理，實(shí)時(shí)異地備份；重視數(shù)據(jù)傳輸過(guò)程的安全性和可靠性，對(duì)重要數(shù)據(jù)進(jìn)行加密碼傳輸；強(qiáng)化密碼口令管理，建立強(qiáng)制性強(qiáng)口令策略，建立雙因子認(rèn)證。在邊界、重點(diǎn)數(shù)據(jù)、關(guān)鍵節(jié)點(diǎn)、核心應(yīng)用等關(guān)鍵區(qū)域使用高安全級(jí)別的安全解決方案策略確保其安全性。

（三）抓好關(guān)鍵防護(hù)，建立層級(jí)防護(hù)體系

統(tǒng)籌分析建立信息系統(tǒng)等級(jí)劃分，制定數(shù)據(jù)安全控制策略，建立符合業(yè)務(wù)需求的數(shù)據(jù)處理流程，建立數(shù)據(jù)安全保護(hù)模式。加強(qiáng)關(guān)鍵信息系統(tǒng)、關(guān)鍵部位、重要計(jì)算節(jié)點(diǎn)進(jìn)行重點(diǎn)防護(hù)，形成多重多元、多級(jí)互聯(lián)的防護(hù)架構(gòu)。采用技術(shù)手段對(duì)各信息系統(tǒng)、主機(jī)、網(wǎng)絡(luò)區(qū)域進(jìn)行隔離防護(hù)，配置嚴(yán)格的安全限制策略。建立分層策略，允許根據(jù)信息系統(tǒng)重要程度采取相匹配的防護(hù)手段。建立基于技術(shù)安全策略、科學(xué)業(yè)務(wù)處理流程和嚴(yán)密的安全管理相結(jié)合的立體防護(hù)體系，在管理、系統(tǒng)、操作三個(gè)層面形成一個(gè)安全防護(hù)框架實(shí)施多層保護(hù)，使攻擊者即使攻破一層也無(wú)法破壞整個(gè)網(wǎng)絡(luò)信息系統(tǒng)的基礎(chǔ)環(huán)境。

（四）落實(shí)管理制度，規(guī)范管理行為

建立網(wǎng)絡(luò)安全管理人員的培訓(xùn)機(jī)制，提高管理人員業(yè)務(wù)能力、職業(yè)素質(zhì)和安全風(fēng)險(xiǎn)意識(shí)，筑牢思想防線。嚴(yán)格落實(shí)網(wǎng)絡(luò)安全管理制度措施，用制度約束管理行為、使用行為和監(jiān)督行為。重視網(wǎng)絡(luò)系統(tǒng)使用者安全意識(shí)培訓(xùn)，規(guī)范使用流程和現(xiàn)狀改變審批，避免因操作不當(dāng)、不良工作習(xí)慣等人為因素而導(dǎo)致數(shù)據(jù)丟失和系統(tǒng)失陷。定期開(kāi)展安全檢查，及時(shí)糾正違規(guī)行為，有效排除管理方面的風(fēng)險(xiǎn)隱患。

（五）加強(qiáng)網(wǎng)絡(luò)安全監(jiān)測(cè)，定期開(kāi)展風(fēng)險(xiǎn)評(píng)估

網(wǎng)絡(luò)系統(tǒng)所面臨的風(fēng)險(xiǎn)來(lái)自各個(gè)方面，任何一種安全防護(hù)技術(shù)都難以全面應(yīng)對(duì)所有的威脅。做好網(wǎng)絡(luò)安全監(jiān)測(cè)和巡查，提高網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的日常發(fā)現(xiàn)能力和處置能力。定期圍繞國(guó)內(nèi)外重要信息系統(tǒng)、政府網(wǎng)站遭受攻擊或重大安全隱患發(fā)現(xiàn)開(kāi)展安全態(tài)勢(shì)分析研判。隨時(shí)關(guān)注信息系統(tǒng)所使用軟硬件廠商的風(fēng)險(xiǎn)隱患通報(bào)，做好漏洞修復(fù)、補(bǔ)丁更新、安全產(chǎn)品數(shù)據(jù)庫(kù)的更新。建立信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估體系，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件可能造成的危害性，提出有針對(duì)性的安全防護(hù)策略和整改措施。

（六）加強(qiáng)應(yīng)急處置，建立完善應(yīng)急響應(yīng)機(jī)制

定期開(kāi)展網(wǎng)絡(luò)安全應(yīng)急演練，對(duì)安全應(yīng)急演練中暴露出的問(wèn)題和不足及時(shí)整改。完善網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，細(xì)化應(yīng)急處置工作流程，確保在發(fā)生大規(guī)模網(wǎng)絡(luò)安全事件時(shí)，能夠在最短時(shí)間內(nèi)控制事件的擴(kuò)散、掌握事態(tài)發(fā)展動(dòng)態(tài)，準(zhǔn)確判斷事件的影響范圍，果斷采取響應(yīng)措施，快速處置恢復(fù)正常運(yùn)行。

網(wǎng)絡(luò)信息系統(tǒng)的安全管理，是信息系統(tǒng)穩(wěn)定運(yùn)行的保障，必須建設(shè)立適應(yīng)管理工作的安全管理機(jī)制。用規(guī)范的管理，保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行，促進(jìn)信息化健康發(fā)展。

作者單位：瀘州市公安局