網絡安全及管理策略

網絡安全及管理策略

1 引言

在信息網絡技術飛速發展的今天，信息網絡安全受到越來越多的重視。2014年2月27日習主席在中央網絡安全和信息化領導小組第一次會議中指出：“沒有網絡安全就沒有國家安全”，會議描述了建設網絡強國的宏偉藍圖。在國家信息化建設的進程中，信息網絡技術應用日趨廣泛，逐漸暴露出網絡安全的短板弱項。從整體情況來看，應強化信息網絡基礎設施建設、注重安全防護手段系統性建設和突出管理手段有效性建設，扭轉網絡安全管理滯后網絡整體建設的局面，改變安全投入大產出效率低的問題，逐步加強信息網絡安全建設管理和強化安全策略實施，確保網絡安全的絕對優勢[1]。

2 信息網絡安全概述

2.1 信息網絡安全概念實質

信息網絡技術是把眾多計算機在內的各種信息采集、存儲、處理、控制和傳輸等設備聯為一體，形成信息系統的關鍵技術，以承載信息和指令的有效傳遞。在運用信息網絡技術的過程中，不僅要重視技術應用，更要重視網絡安全，如何使信息網絡技術在信息網絡上高效及可靠的運用，是信息網絡安全的重要任務。

信息網絡安全是指防止信息網絡本身及其流轉過程中，信息數據被故意或偶然的非授權泄露、篡改和破壞，信息被惡意非法辨認和控制等。信息網絡安全包括信息網絡系統的安全和信息的安全。其目標是確保信息的可用性、時效性、完整性和機密性[2]。信息安全實質是采取更高的代價，應用有效的信息系統保護措施，使之不因偶然事件或惡意侵犯而遭受破壞、篡改及泄露，確保信息系統能夠連續、可靠及正常地運轉，使安全事件得到有效防范，從而確保信息的有效、實時、可靠和安全傳遞。

2.2 信息網絡安全現狀

當今網絡技術的迅猛發展使得網絡安全問題日益凸顯。2009年5月29日美國總統辦公室正式發布了一個《網絡空間安全政策評估》，此報告對美國政府以及美國軍隊當前的網絡狀況進行了評估并討論了相關的對策。這足以說明美國政府和軍隊對網絡安全的重視程度。2014年2月，美國國家標準與技術研究所（NIST）提出了《美國增強關鍵基礎設施網絡安全框架》（1.0），強調利用業務驅動指導網絡安全行動，并考慮網絡安全風險作為組織風險管理進程的一部分，這足以啟示人們應積極加快推進網絡安全保障體系建設。

在信息網絡安全領域，各國在網絡建設初期對安全問題的考慮大而粗，沒有建立相應的安全保障體系，對應用策略和安全管理的有效性重視不夠，往往是重建設、輕管理，出問題、堵漏洞，沒有系統的安全管理策略和解決方案，不能夠系統地解決問題，網絡安全保障往往處于劣勢。如何從信息安全理論上分析信息安全各個層面的問題，如何全面審視信息應用和網絡安全的威脅，如何將安全風險做到可防、可管和可控，是人們需要研究解決的問題[3]。

2.3 信息網絡安全目標

信息網絡安全的核心目標是為關鍵信息提供可用性、時效性、完整性和機密性的保護，防止信息被破壞、篡改和泄漏。雖然看似簡單，但實現起來卻非常具有挑戰性。在實現網絡安全核心目標的工作中，無法完全平衡，防護與威脅作為對立面始終存在。對于信息網絡而言，我們必須要提高系統可用性，保證信息傳遞時效性，確保數據完整性以及加強信息機密性。

3 信息網絡的不安全因素

在信息網絡中，導致的不安全因素較多，大致可概括4個方面，基礎設施建設不完善、設備管理使用不嚴格、系統軟件應用不牢靠及人員操作使用不規范。

3.1 基礎設施建設不完善

網絡基礎設施建設主要指傳輸線路和機房環境等方面的建設。近年來信息網絡在各種活動中得到廣泛應用，在專用網絡基礎設施建設過程中，機線設備設置和維護的不完善，引發各種安全事件。如：在物理傳輸鏈路上，網絡傳輸線纜資源往往因建設投入少，路由單一，主用鏈路阻斷無法及時備份保護，引發阻斷事件。此外，人為或自然災害等原因導致的線纜阻斷情況時有發生，關鍵時刻很容易導致網絡不可用，這是取得未來信息網絡空間制高點的一個重要安全隱患。在網絡機房建設上，對于自然災害可能帶來的威脅考慮不周，如溫濕度環境不達標、防雷電措施不得力、供電指標和安全保障不符合要求等問題，都是網絡的重要安全隱患。

3.2 設備管理使用不嚴格

信息承載網絡搭建主要由網絡設備、安防設備和信息服務設備三類構成。網絡建設初期，往往受技術制約，只能采購國外的設備，這無疑給網絡帶來了安全隱患和技術漏洞，甚至存在后門，如果在操作使用上不加以嚴格的防范，必將造成安全事故。在安全防護設備方面，各國應用均注重采用自主知識產權產品，各種安全設備多層加載，企圖達到安全防護的目的，多數忽視安全策略的制定和應用，有的策略制定相對過于簡單，有的安全設備不能及時升級，給不法分子和敵特分子留下了可乘之機。

3.3 系統軟件應用不牢靠

當前各國信息系統受技術制約，多數采用微軟操作系統，系統安全補丁和漏洞的防范控制均受限。日前微軟不再對windows XP系統進行維護，那么針對操作系統進行的攻擊該如何防范？出于安全考慮，我國政府已明確禁止各機關和事業單位采購或使用windows 8系統。由此可見，擁有一套安全的、自主可控的和適用于內部的操作系統是非常必要的。對系統應用軟件來說，大多數來自于第三方國家，給活動的應用帶來巨大安全威脅。在安全防護方面，多數軟件只起到先漏后補的作用，對應用不能起到預防作用，給網絡安全帶來威脅。此外，像政府機構、事業單位、金融行業、國防科技行業和軍用網絡等涉及敏感信息的專用信息網絡，入網的應用程序和各類文件內容均未經嚴格審查和管控，更多的是錯誤地認為只進不出就安全，忽視了入網內容被附著和攜帶具有對信息網絡破壞作用的代碼，這是巨大的行為安全漏洞。破壞伊朗核工業發展的“震網”病毒（stuxnet）就是一個有力的證明。

3.4 人員操作使用不規范

信息網絡使用管理人員認識度不夠，技術人員操作水平不高，不能綜合運用安全技術手段對網絡進行安全管控，是安全防范的巨大漏洞。通常，信息網絡按照安全防護等級劃分不同安全域，設置不同訪問使用權限用戶。然而，由于安全意識薄弱，對授權的用戶名和密碼，經常由多人共同使用，存在較大安全隱患；更有甚者使用破譯軟件破解用戶名和密碼，盜取秘密信息。涉及敏感信息的專用信息網絡承載各類應用系統和數據，應與外界進行嚴格的物理隔離。然而，在我們看不到及管不住的邊緣地帶，無法確定內網與外網是否真正達到隔離，這種隔離不僅是建設上的物理隔離，也是人員使用上的隔離，違規使用將給網絡安全防護和高效運行造成嚴重威脅。

4 信息網絡安全管理對策

要實現信息網絡安全的目標，需高度重視管理對于信息安全的關鍵作用。信息網絡安全管理主要包括：通過安全策略識別風險、采用安全配置消減風險、綜合分析安全事件帶來的安全隱患、建立安全事故知識庫排除風險、監管控制措施有效性和提升人員安全意識等。信息安全管理必須從整體考慮，應做到“有計劃有目標，及時發現、分析和解決問題，后續監督避免再現”這樣全程管理的思路。為保證信息的可用性、時效性、完整性和機密性，可建立、運用物理預防性、技術防御性及安全恢復性等方面的管理對策，確保信息網絡安全可靠。

4.1 物理預防性管理

物理預防性管理策略是指在信息網絡建設上，充分考慮自然條件、鏈路敷設、環境安全、網絡規劃和人員管理等因素，采用電磁屏蔽、防雷電系統、供電保障、環境監控、門禁系統、設備選擇和人員培訓等多種手段避免安全事件的發生。主要分為4個方面：

⑴完善基礎設施建設

根據網絡特點，應著重考慮線纜采取不同路由迂回或備份保護，嚴格機房及附屬配套設施建設和管理，使之能夠有效支撐網絡的搭建。

⑵進行合理的網絡規劃

按要求合理配備安全防護設備和容災備份手段，并嚴格按照配置規范和應用策略進行管理，執行定期定時檢查制度，有效防范網絡安全隱患。

⑶采用國內自主研發可控的軟硬件產品

為避免安全漏洞和技術受控的弱勢，在專用網絡建設中，嚴格采用國內自主研發的軟硬件設備，減少對網絡的威脅。

⑷加強人員安全意識培訓

人是信息安全的關鍵因素，管理不善會給帶來巨大風險，應采取網絡教學、警示教育和定期評測等方法，進行安全知識培訓，強化信息網絡工作人員安全保密意識。

4.2 技術防御性管理

技術防御性管理策略是指在安全硬件和軟件的綜合運用下，及時檢測到風險和威脅，通過收集和分析安全事件，制定合理策略，及時采取措施進行防御。主要分為5個方面：

⑴部署防御系統

通過部署監控系統、入侵檢測系統等防御系統及時審計識別安全威脅，以便采取措施及時防范安全事件的發生。

⑵建立安全知識庫

通過收集安全事件，分析掌握技術手段和方法，列舉多種處理和應對方案，建立安全知識庫，配備事件處理所需的軟硬件工具，確保有效防御安全事件和提高安全事件處理的時效性。

⑶分析網絡安全情況

通過收集網絡和安全設備產生的大量安全事件和日志，分析安全事件的關鍵，掌握網絡安全現狀和趨勢，查找網絡的安全漏洞，提前排除安全隱患。可建立安全事件分析系統，通過技術手段和方法，從龐大的安全事件庫中準確分析和快速定位網絡故障，確定安全隱患，為堵塞漏洞提供支撐。

⑷配置安全管理策略

通過嚴格制定、合理配置安全管控策略，及時對安全防護設備進行維護和升級，使其發揮安全防護效能和作用，確保適應網絡防護需要。

⑸完善身份管理機制

通過劃分訪問權限，對信息進行分級分類防護等方法，管控用網行為，降低不同身份人員對網絡安全威脅的風險[4]。

4.3 安全恢復性管理

安全恢復性管理策略是指通過管理手段，從技術上實現對信息的安全保護，確保緊急情況下，系統和數據能盡快得到恢復，減少災難或中斷帶來的影響。主要分為4個方面：

⑴啟用容災備份中心

美國911恐怖事件導致40％以上的企業數據丟失無法正常工作，可見信息安全備份的重要性。因此，信息網絡規劃應考慮容災備份中心建設，并實時啟用，確保災難事件發生時業務連續性、數據完整性和指令的實時性。

⑵冗余核心網絡設備

為確保網絡的可靠性，網絡核心設備應采取多臺進行冗余熱備，關鍵點位間建立多條不同物理路由鏈路，確保網絡事件發生時的快速恢復。

⑶確保數據機密可用

通過現代密碼算法對數據進行主動保護，不斷更換密鑰，定期更新設備，對信源和信道進行加密，建立安全糾錯機制和加密數據的恢復機制，確保數據傳遞的完整性。

⑷建立恢復管理機制

通過培養恢復團隊、定期演訓等方法，研究恢復流程和方式方法，區分恢復任務，建立恢復管理機制，確保恢復工作順利開展[5]。

5 信息網絡安全管理策略的制定

信息網絡安全管理，應建立符合實際情況的安全管理策略，從而實現管理對策對信息網絡的安全防范和控制。安全管理策略定義了信息應用對信息安全的期望，是實施信息安全的基礎和保障，通過建立安全管控策略進行規范管理，提高防范效率和方便具體實施，確保合理適用。策略文件應由多個小的文件組成，便于參考、使用和維護，應涵蓋目標、范圍、有效期、所有者、責任、內容、復審、違規處理和參考文件等要素。同時要求語言精煉，便于理解，使用明確的指令性語句，形成一個完善的策略框架。信息網絡安全策略應具有層次性，方針、標準、指南和程序齊全。方針應說明需要保護的對象和目標，標準和指南應規定用來保護特定對象的技術、方法和有效強制機制，程序應描述執行保護任務時具體步驟和細節。策略應隨組織形式的變化而不斷更新，通過多種途徑和方式，為所有相關人員獲知并理解。策略的制定與實施，必須逐級支持和執行，以發揮效力[6]。

6 結束語

信息網絡安全管理工作的開展，有利于解決當前信息化建設中面臨的許多安全問題。緊密圍繞信息化建設，提高信息安全管理水平，適應新時期和新階段發展的要求，不斷加強信息安全管理策略的探索研究，為完善信息網絡安全保障體系建設發揮積極作用，為完成多樣化任務和取得網絡空間制高點提供有力保障。

[1]魚靜.網絡中心戰下信息網絡風險評估技術的研究[J].計算機安全,2011(2):33-35.

[2]葛青林,王瑩瑩.加強信息安全建設的研究[J].信息網絡安全，2011(4):90-93.

[3]曾燕舞,郭偉.信息網絡安全綜述[J].火力與指揮控制,2008 (7):1-4.

[4]SHON H.CISSP認證考試指南（第6版）[M].張勝生,張博,付業輝,譯.北京:清華大學出版社,2014.

[5]彭飛,龍敏.計算機網絡安全[M].北京:清華大學出版社, 2013.

[6]姚華,肖琳.網絡安全基礎教程[M].北京:北京理工大學出版社,2007.

李鶴1張璐1謝涌紋1張振宇2
（1 中國人民解放軍91917部隊20分隊，北京 100841）（2 中國電子科技集團公司第五十四研究所，河北石家莊 050081）

信息網絡安全管理工作是當前網絡管理者的核心任務。以信息網絡安全管理的概念和實質為切入點，描述了網絡安全目標，分析了信息網絡的不安全因素，闡述了信息網絡物理預防、技術防御及安全恢復等方面的安全管理對策和基本觀點，提出了信息網絡安全管理策略制定的方式方法。

網絡安全管理策略

Network Security and Management Strategy

LI he1,Zhang Lu1,Xie Yong-wen1,ZHANG Zhen-yu2
（1 Team 20,Unit 91917,PLA,Beijing 100841,China）（2 The 54th Research Institute of CETC,Shijiazhuang Hebei 050081,China）

The security management of information network is the core task of the network administrator.This paper describes the goal of network security,analyzes insecurity factors of information network,expounds the security management policy and basic viewpoint such as physical prevention,technical defense,secure recovery,etc.of information network.Finally it puts forward the method of establishing security management strategy of information network.

network security;management;strategy

TP393.08

A

1008-1739（2015）18-61-4

定稿日期：2015-08-26