論政府局域網內網安全建設與管理

1內網安全面臨的挑戰

隨著計算機網絡技術、Internet、Intranet和數字通信技術飛速發展，信息網絡技術的應用層次不斷深入，應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展，如電子政務、電子商務、CIMS、知識管理、電子金融、社會保障、GIS系統等。大量的技術和業務機密存儲在計算機和網絡中，對網絡安全性要求變得越來越高，需要有效地制定安全策略以保護機密數據信息。通常的安全策略的一個基本假設是：網絡的一邊即外部的所有人是不可信任的，另一邊即內部的所有人是可信任的。通常認為黑客、病毒以及各種蠕蟲的攻擊大都來自外部的侵襲。但是，根據美國FBI的統計，各種計算機網絡、存儲數據遭受的攻擊和破壞，80％是內部人員所為。來自內部的數據失竊和破壞，遠遠高于外部黑客的攻擊。企業內部競爭性情報信息是企業無形資產管理的重要部分。俗話說“知己知彼，百戰不殆”，如何保護企業自身重要情報不被競爭對手竊取，使企業在使用網絡來提高工作效率的同時避免企業重要的知識產權遭受侵害，將是文檔安全管理的一個重要課題。傳統的安全解決方案比如防火墻、入侵檢測、防病毒在網絡安全中起到非常重要的作用。由于現在網絡邊界的概念逐漸模糊，通過VPN、無線上網、遠程撥號等方式連接到內部網絡變得非常普遍，內網上各種信息濫用、誤用、惡用行為增加，嚴重影響內網安全。對于以上安全問題，傳統安全技術顯得力不從心。

2內網安全需求的可行性

2.1政府信息安全管理背景

信息全球化、經濟全球化是當今世界發展的客觀進程，處在現代高科技條件下的經濟社會化和國際化的歷史階段，信息經濟發展迅速。政府機關辦公網絡化，政府辦公內網是國家機密網絡，傳遞的數據中涉及很多關系國計民生的絕密數據，決不允許外泄，需要嚴格保密。《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號，以下簡稱“27號文件”)明確要求我國信息安全保障工作實行等級保護制度，提出“抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南”。2007年6月公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室聯合下發通知印發《信息安全等級保護管理辦法》，2008年9月發布的《關于信息安全等級保護工作的實施意見》(公通字[2004]66號，以下簡稱“66號文件”)進一步強調了開展信息安全等級保護工作的重要意義，規定了實施信息安全等級保護制度的原則、內容、職責分工、基本要求和實施計劃，部署了實施信息安全等級保護工作的操作辦法。這些文件都為我們的網絡管理工作提出了要求。

2.2政府內網安全現狀整體需求分析

(1)政府信息管理的可控性。互聯網給企業帶來的好處簡直太多了。然而開放的網絡中充斥著各種與業務無關的信息，色情、暴力、反動等不健康內容隨處可見，這些內容常常不請自來，通過郵件，BBS等，簡直到了無孔不入的地步。有的員工視單位電腦如免費網吧，瀏覽不相干的網站、下載游戲、QQ聊天、收發個人E-MAIL、看電影，甚至逐漸演變成為打發上班時間的主要活動。但是，企業的工作效率因而大大降低，不少企業管理者為此憂心忡忡。2004年美國財富雜志稱：“沒有控制的互聯網是辦公室里資源浪費最多的設置之一”。信息安全的管理、網絡安全的規范、對互聯網的可控性問題，已經引起了國家的高度重視。

(2)管理的可靠性和安全性。現今網絡里的病毒、木馬和各種攻擊，入侵方式多的不計其數，它們對網絡造成了極大的損失，特別是對我們這些現代化企業危害更為明顯，只要我們的網絡被病毒或者攻擊等方式導致癱瘓，在信息化高度應用的今天，企業也會陷入癱瘓?，F在對于安全的考慮大多是事后解決，防火墻只能執行事先設定好的規則，而IDS的誤報率很高，殺毒也只能是在病毒出現后給出解決，這就需要找出一個綜合的解決方案。

3內網安全建設的目標

技術層面和管理層面的良好配合，是組織實現全面內網安全系統的有效途徑。其中，全面內網安全技術通過采用包括建設安全的主機系統和安全的網絡系統以及可信的客戶端系統的安全產品的方法來實現。在管理層面，則通過構架信息安全管理體系來實現。

(1)事前控制。對信息傳遞途徑進行控制，實現全面的終端通訊設備和存儲設備的徹底控制；進行局域網接入保護，實現外來電腦的接入局域網絡限制；制定詳細的報警策略，對非法接入設備進行及時報警提示：制定詳細的互聯網信息傳遞阻斷策略，對非法信息傳遞進行阻斷。

(2)事中審計。操作屏幕監控，對泄密過程進行屏幕記錄及自動保存，方便現場查看，事后錄像回放；進行全面的電子文檔操作記錄，包括對電子文檔的訪問、創建、復制、移動、改名、刪除、恢復、打印等操作，實現完整的電子文檔操作痕跡保留。

(3)事后審計。進行電子文檔操作歷史及屏幕記錄，便于信息泄密后審計；對互聯網信息傳遞進行備份，便于信息泄密后審計。

(4)員工網絡行為管理更優化。讓員工在規定的時間訪問指定的網站和程序，充分利用網絡資源，營造輕松愉快的工作氛圍，大大提高辦公效率。

(5)及時掌握軟、硬件資產情況。獲取大量所管理設備的最新信息，是信息化資產核對有效的依據。實現遠程信息管理，同時對異常的軟件、硬件變化及時報警。

(6)實現自動化網絡管理。記錄和查看異地網絡的計算機使用情況和配置信息，實現遠程桌面管理、程序修復等遠程控制和管理功能。

(7)操作系統升級。方便快捷地為局域網內每臺不同的操作系統進行補丁升級，及時補缺漏洞，提高公司網絡安全性。

(8)文件派發。內部文件資料迅速派發到每臺終端，讓每個使用者都能及時掌握內部最新動態。

4總結

通過切實可行的政府局域網內網安全建設方案，可以有效防范和應對各種網絡安全問題。加強了網絡安全技術平臺建設，實現對網絡安全運行情況的全方位監控，提高網絡安全事件的異常發現能力和分析能力，確保骨干通信網絡和重要信息系統安全可靠。健全和完善網絡信息化系統，軟件能有針對性、實效性的監視網絡性能，而且有強大的應急處置能力和協調處理能力，確保在網絡安全緊急事件發生時能夠主動預防，準確判斷、快速反映和有效應對，盡可能避免或減少網絡安全突發事件對經濟社會發展帶來的影響和破壞。