論網絡信息安全技術防護體系建設方法

韓全惜

摘要：文章描述了包括安全保密管理、安全防護策略、安全防護體系、安全值勤維護、技術安全服務和終端安全防護的網絡信息安全防護技術構筑體系，介紹了構建網絡信息安全防護技術體系的信息安全產品和選用策略，提出了保障網絡信息安全技術防護體系順利運行所必須的安全管理措施。

關鍵詞：網絡信息安全防護技術；網絡信息安全產品；網絡信息安全管理

網絡世界不僅是經濟產業競爭的戰場，而且是意識形態爭奪的戰場，更是現代軍事斗爭的戰場。習主席強調：“把網絡信息安全和信息化看作是一體之兩翼、驅動之雙輪，進行統一謀劃、統一部署、統一推進、統一實施”。針對涉及國家安全的中小部門和單位，本文提出網絡信息安全技術體系建設的意見和建議。

1網絡信息安全技術體系

網絡信息安全技術體系可以分安全保密管理、安全防護策略、安全防護體系、安全值勤維護、技術安全服務和終端安全防護等六個方面。

1.1安全保密管理

安全保密管理要求網絡安全保密領導組織健全，單位主管領導負責，保密、通信、網管、機要等有關職能部門參加，能夠積極履行工作職責；制定嚴格的入網審批、安全值勤、檢測監控、網絡審計、應急響應、監督檢查等規章制度和操作規程；建立健全涉密信息發布和監管制度，信息發布審查審批手續嚴格，信息調閱權限明確，涉密信息密級標識準確清晰，公開信息服務網段沒有涉密信息；網絡設備購置、保管、使用、維修、報廢管理規范，保密設備相關文檔完備，信息資料、應用軟件及存儲載體管理嚴格；設置專門網絡安全保密管理人員，熟悉安全保密政策法規，具備專業知識技能，能夠認真盡職履責；采用IP地址靜態分配和實名管理，準確掌握IP地址歸屬，管理檔案完備；信息導入涉密網絡和計算機前要經過病毒、木馬和惡意代碼查殺?？截惔鎯υO備專盤專用，管控嚴格；網絡環境，電磁輻射等符合國家相關標準要求，機房等重要涉密部位采取嚴密防范措施。

1.2安全防護策略

安全防護策略包括制定完整的訪問控制、設備配置、事件監測、病毒防范、安全審計、災難恢復和應急響應等安全策略，并根據實際情況動態調整；園區網與互聯網實施有效的物理或邏輯隔離；根據入網區域、涉密程度和使用范疇，整體規劃網絡拓撲結構，設置最小安全域，嚴格域間信任關系，合理劃分涉密網段與公開網段，進行必要的邏輯隔離，采取相應密級的保護措施；網絡邊界防護策略科學，防火墻、路由器、防病毒網關、入侵檢測系統等規則配置合理并做到動態調整，能夠及時發現、阻斷外部入侵和攻擊行為；網絡內部訪問控制措施嚴格，制定了有效的網絡接入、終端安全、用戶鑒別、層級管理、訪問授權和監控審計等重要環節集成化管控策略；各類網絡設備、專用信息系統指定專門的管理終端和IP地址。

1.3安全防護體系

安全防護體系包括如下幾個方面。配備網絡防火墻、入侵檢測、內網審計、補丁分發等安全防護系統，安裝覆蓋全網的防病毒系統；建立統一的網絡身份管理機制，對入網終端IP地址、MAC地址和交換機端口進行綁定；對路由器、交換機進行服務安全性配置，合理劃分VLAN，設置訪問控制列表；網絡安全防護系統安裝部署正確，規則配置合理，嚴禁非授權操作；服務器關閉不必要端口和服務，帳戶權限劃分明確，口令設置規范，開啟安全事件審計功能。專用和公用信息系統使用不同服務器，專用服務器僅提供專用服務。提供信息服務的服務器，具備抵御攻擊和防篡改等防護能力；數據庫管理系統進行嚴格的帳戶管理和權限劃分，開啟審計功能，制訂備份策略，及時安裝補丁程序；配備滿足實際需求的網絡安全檢測系統或設備。安全保密防護和檢測產品，須經過國家信息安全相關測評機構測評認證。

1.4安全值勤維護

安全值勤維護包括建立嚴格的網絡安全值勤制度，定期檢查值勤日志及網絡設備、安全設備、應用系統、服務器工作狀況，及時發現和排除安全隱患；實時掌握網絡安全預警、監控信息，對各類入侵行為、病毒侵害、木馬傳播、異常操作等安全事件及時做出正確處置；定期組織網絡安全行為審計，檢測和分析審計記錄，對可疑行為和違規操作采取相應措施。審計日志保留不少于30天，每季度撰寫安全審計評估報告；定期組織安全保密檢測評估，對計算機、存儲載體、應用系統和重要數據庫等進行漏洞掃描和隱患排查；對網絡重大安全事件能夠迅速定位和取證，及時采取有效的管控補救措施。根據應急響應預案，能夠適時組織應急處置訓練或演練；定期對重要數據庫、重要應用系統、網絡核心設備以及安全設備配置文件、日志信息等進行備份。

1.5技術安全服務

技術安全服務包括及時發布病毒和木馬預警信息，定期升級病毒、木馬查殺軟件和特征庫；定期組織全網范圍病毒和木馬查殺，能夠及時發現、清除各類病毒和木馬；定期更新各類漏洞補丁庫，及時下發操作系統、數據庫和應用軟件補丁，系統沒有高風險安全漏洞；深入開展技術指導，積極組織對入網用戶進行防護知識教育和技能培訓。

1.6終端安全防護

終端安全防護包括終端入網履行嚴格的審批手續，對入網帳戶、訪問權限、IP地址、MAC地址、硬盤信息等登記備案清楚、更新及時；入網終端標識明確、專人管理，按規定設置BIOS、操作系統和屏幕保護口令，正確安裝使用“計算機及其涉密載體保密管理系統”；入網終端及時修補系統漏洞，關閉不必要的服務和端口，安裝防病毒軟件和個人防火墻，清除病毒和木馬程序，禁用紅外、藍牙、無線網卡等功能；入網終端沒有公私混用現象，沒有不安全共享，沒有存儲超越防護等級的涉密信息；入網終端或入網地點發生變更時，對訪問權限、安全配置和綁定措施進行及時調整。

2構建網絡信息安全防護體系

2.1網絡信息安全防護體系組成部分

建設網絡信息安全防護體系，依賴不同的信息安全產品，這些信息安全產品滿足不同的信息安全管理目標，具體描述如下。

（1）使用可網管交換機和網管軟件。網管軟件通過管理端口執行監控交換機端口等管理功能。以網絡設備（路由器，交換機）、線路、防火墻、安全設備、小型機、服務器、PC機、數據庫、郵件系統、中間件、辦公系統、UPS電源、機房溫濕度等等的日常管理為著眼點，幫助網絡管理人員提高網絡利用率和網絡服務的質量。

（2）使用“防火墻”安全系統。“防火墻”安全系統可以有效地對網絡內部的外部掃描或攻擊做出及時的響應，并且提供靈活的訪問控制功能，確保網絡抵御外來攻擊。

（3）使用防病毒過濾網關。在進出網絡之前，防病毒過濾網關將進出信息中附帶的計算機病毒進行掃描和清除。

（4）使用入侵保護系統（IPS）。入侵保護系統對網絡中的惡意數據包進行檢測，阻止入侵活動，預先對攻擊性的流量進行自動攔截或采取措施將攻擊源阻斷。

（5）使用入侵檢測系統（IDS）。通過系統檢測、分析網絡中的數據流量，入侵檢測系統從中發現網絡系統中是否有違反安全策略的行為和被攻擊的跡象，檢測網絡內部對核心服務器的攻擊。

（6）實行IEEE 802.1X認證。802.1X認證能夠比較好地解決一系列網絡安全問題，增強了網絡的可控性和安全性，比如可控制新接入計算機安裝指定軟件（如瑞星殺毒），之后才能獲得入網賬號，才允許訪問所有網絡資源。由于接入固定賬號，假如發生安全事件，也可迅速查找到嫌疑人。

（7）安裝信息安全管理與防護系統。信息安全管理與防護系統通過服務器監測客戶端電腦上網情況，有效防止非法上網情況的發生。

（8）安裝計算機及其涉密載體保密管理系統。計算機及其涉密載體保密管理系統可以杜絕通過移動存儲設備進行數據擺渡的安全保密隱患。

（9）安裝網絡版查殺毒軟件系統。建議采用具有自主產權并經過國家信息安全評估測試的殺毒軟件系統，并實現網絡用戶病毒特征庫實時在線升級。

2.2安全設備選用策略

市場提供各式各樣的滿足信息安全管理要求的信息安全產品，從網絡管理安全目的出發，選用網絡信息安全系統和設備應該注意如下三個方面，從國別看，選擇國產的網絡安全產品，排除敵對勢力可能的惡意潛伏；從質量看，選擇國家信息安全認證產品，確保其專業資質和產品安全可靠；從性能看，選擇滿足網絡安全管理功能的網絡安全系統。

3強化確保技術防護體系順利運行的管理措施

網絡信息安全需要技術防護體系支持，網絡信息安全技術防護體系需要強有力的管理體系保駕護航，離開網絡信息安全管理體系，技術防護體系如同虛設。

3.1完善網絡信息安全管理措施

網絡信息安全管理措施就是一整套嚴密的網絡信息安全管理信息制度，其中最基礎的工作就是上網審查登記和信息流通管理。

3.1.1上網審查登記

必須認真履行上網審查登記工作。上網審查登記范圍包括與信息管理有關的人、設備兩方面內容。人員管理包括實名登記網絡用戶、上網資格認證、實名綁定IP地址、使用設備登記、明確網絡管理權限和使用權限等，落實身份認證管理和可信任網絡用戶接入制度。設備管理包括登記入網計算機的型號、標識、IP地址和硬盤等主要信息，登記涉密移動存儲設備，登記服務器、路由器、交換機的設備基本資料、管理職責和存放地點，登記網線走向和布局圖，登記信息點的地點、開通與否等信息內容。

3.1.2信息流通管理

必須認真履行信息流通管理工作。信息流通管理工作包括安裝上網記錄軟件和安全管理系統等，監控信息流動狀態，最大限度堵塞安全漏洞。規范信息發布、信息審查與監管，指定專職人員負責，落實逐級審批要求。落實信息交互管理秩序，無論是上傳資料、下載影視，還是發表言論、娛樂休閑，都要從嚴進行篩選、過濾和“消毒”。重點對聊天室、論壇、微博等敏感欄目、網絡社區進行全程監管，及時屏蔽不良信息，防止造成負面影響，嚴防失泄密問題發生。采取定期檢查和隨機抽查相結合的辦法，每月對網絡信息和網上言論進行全面檢查和監控，對各種網絡違紀現象，要依法進行懲處。

3.2加強日常信息管控技術手段

除了建設網絡安全防護體系之外，在日常信息管控方面，也有必要采取技術手段，以確保信息安全、政治安全。

3.2.1加強不良信息的屏蔽能力

通過開發信息過濾軟件，強制性地檢查并過濾網絡外部信息，屏蔽具有淫穢色情、封建迷信等內容的不良信息，有效阻止有害信息的入侵，最大限度阻止各類不健康的信息進入。

3.2.2加強“垃圾”信息的清理能力

通過開發信息掃描軟件，建立“垃圾”信息報警系統，加強對網絡內部垃圾信息的監控，通過掃描網絡信息，及時發現并刪除網上“垃圾”，清除網絡思想垃圾，控制網絡信息污染，防止毒害，凈化網絡空間，提供一個良好的網上活動空間。

3.2.3加強輿情的探測能力

通過開發輿情監控系統，聊天室、論壇、微博等敏感欄目、網絡社區進行全方位全時空監管，洞察輿情態勢，判斷輿情影響效果，及時主動干預和引導，大力宣傳弘揚網絡道德，跟蹤輿情發展趨勢，建立一個政治安全的網絡環境。