企業涉密系統巧管理

存在問題及現狀

1.涉密信息系統升級改造

以前使用的交換機是HUB，而現在是智能交換機，又叫可控交換機。每臺客戶端的電腦通過IP地址和MAC地址綁定的方式實現網絡信息流通。沒有使用的交換機端口就關閉，但仍存在一定風險，個別計算機在網卡出現故障的時候，無故丟掉IP地址，造成該機無法訪問網絡，只有重新設定IP地址，方可進行訪問，在服務器上根本無法對該機進行判斷和察覺，只有用戶打來求助電話，才知道原因如此。

2.安全防護軟件過多，工作效率低下

由于國家對涉密信息系統的要求越來越高，企業安裝安全防護軟件也越來越多，對客戶端的管控越來越嚴，客戶端使用者的權限越來越受限。一方面在客戶端后臺運行的程序越來越多，內網中配置較低的計算機可能運行效率越來越低，嚴重影響工作效率。另一方面，用戶權限的收回，導致客戶端用戶一個簡單軟件的安裝都無法進行，例如輸入法、Office軟件的安裝等，都需要網管員來解決。這樣，大量耗費網管員的工作時間，同時也給用戶使用電腦帶來麻煩，雖然從某種角度上說，軟件受控，至少用戶沒有安裝權限，但如果一丁點兒安裝的事情都要勞煩網絡管理員，那網管員的工作豈不成了簡單的維護了?對信息化工作的推進意義不大。

因此，我們可否在白名單的范圍內，允許客戶端用戶自行安裝軟件，把住進入內網的輸入端口即可，這樣，就不會造成人力、物力資源浪費。

同時，不斷地安裝安全防護軟件，可能會導致某些應用系統無法正常安裝和運行，但由于安全性的需要，各種安全策略以及某些端口的關閉，可能會導致客戶端的計算機出現各種故障，例如：無法正常開機、經常性死機，或運行某些軟件時不能正常運行使用。因此我們最好將這些安全防護軟件整合到一個軟件里，并且增強其兼容性，更好地服務于整個涉密信息系統。

3.標密文件存在問題

在客戶端運行的應用系統中，用得最多的要算OA系統，但企業的OA系統不能完全控制文件標密的問題，在上傳一個文件時，不能對這個文件的密級進行鑒別，全靠人為控制，這樣就很容易出現標密不一致的情況。

那么，能否設計更科學的軟件對此進行鑒定，不能通過驗證的文件，不予發送呢?

雖然集團公司使用的安全電子郵件能夠在這一點上有所突破，任何一個上傳文件必須標密，不標密的文件根本不能傳輸，但標密文件也是人為控制，即使把秘密文件錯標成非密文件，安全郵件也一樣通過，因為它沒有對整個文檔的解析能力，是否可采用對文檔的解析軟件，就如同我們查詢文件是否涉密一樣，進行某些詞段的過濾，這樣，就可避免人為的設置密級錯誤了。

4.服務器只允許單一應用系統

以前企業服務器較少時，一個服務器上往往安裝多個應用系統，嚴重影響運行效率，服務器經常出現運行瓶頸，重啟服務器成了家常便飯，后來增加了服務器，每一個服務器只允許安裝一個應用系統，這樣大大提高了運行效率。為了提高服務器的安全性，又把涉密服務器和非涉密服務器通過防火墻進行隔離，有效地阻止了一些無關服務的訪問，保障了涉密信息的安全性，但防火墻給網絡運行造成了一定麻煩，有時服務器運行不太穩定，可能是設置的防火墻命令或個別服務被禁等緣故。

5.涉密信息系統使用人員管理

企業內一些使用人員素質高低不一，一些細小問題，也要勞煩網管員進行解決，讓網管員在信息系統建設和網絡發展方面時間不足，或拓展空間不大，不能把有效的時間花費在網絡的拓展和信息安全產品的研究和兼容性的測試方面，制約了信息化的發展，個別人員有種獵奇心理，有意無意地刪除用戶或系統文件，造成系統故障，或利用自學的黑客技術進行網絡攻擊或命令攻擊，給整個網絡造成一定的安全隱患。另一方面，有些網絡管理員責任心不強，安全意識淡薄，疏于對服務器或其他網絡設備的安全管理，例如服務器操作系統的賬號和密碼設置過于簡單、系統補丁更新不及時、某些應用系統使用默認密碼，以及文件或目錄權限設置不當等，使得網絡服務器容易被黑客入侵。

涉密信息系統內網防護措施

1.網絡版病毒防火墻

計算機病毒一直是威脅內網穩定可靠運行的重要原因，該網絡內部署了一套網絡版殺毒軟件，入網計算機必須安裝該軟件，并自動靜默升級病毒庫，用戶運行入網認證客戶端進行認證時，會對用戶計算機的端點防護狀態進行檢測，如發現未安裝指定版本的防火墻或者病毒庫未升級，將拒絕該計算機接入網絡，實現了殺毒軟件與入網認證的聯動，有效地解決了病毒防范問題，網絡的穩定性得到了極大提高。

2.軟件補丁升級服務

為了解決內網計算機的操作系統等軟件不便于進行在線補丁升級的問題，在內網中部署了一套軟件補丁升級系統，由網絡管理員定期從互聯網上下載相關補丁，并遷移至內網服務器。在進行入網認證時，通過端點防護檢測，自動對入網計算機系統進行補丁升級，無需用戶進行任何操作，確保所有接入內網的計算機的系統漏洞能夠及時得到修補，降低了主機被入侵或被病毒感染的概率。

3.入侵檢測和行為審計系統

針對在內網中時有發生的網絡攻擊行為，部署了一套入侵檢測系統，能夠實時分析內網中數據通信情況，分辨入侵企圖，并與安全網絡管理平臺進行聯動，當入侵檢測系統檢測到某臺入網計算機對其所監控的內網服務器有攻擊行為或企圖時，自動阻斷該計算機的網絡連接，并以多種方式發出報警信息提示管理人員，能夠有效避免攻擊行為的持續進行，最大限度地保護網絡的安全。

另外，為了能夠對內網的非法入侵、傳播不當言論及敏感信息資源失控等事件進行追查與取證，以規范用戶的上網行為，還部署了網絡行為審計系統，可對用戶的上網行為進行記錄和審計，一旦出現某些違規行為（如網絡攻擊和不當言論等），可根據該系統追查違規行為責任人，從而對網絡安全與用戶的非法行為進行有效的監控和震懾。

4.計算機信息安全管理系統

為了能夠對入網計算機的外部接口進行有效管理，防止移動載體的交叉混用，所有的入網計算機均要求安裝計算機信息安全管理系統，該系統能夠按照入網計算機不同的涉密級別，對其外部接口、外部設備等進行不同程度的管控。

另外，對涉密移動載體進行了加密處理，經過加密的移動設備無法在未安裝該系統的計算機使用。經過這樣的部署，可以有效防止這些設備的交叉混用，杜絕了通過移動載體泄密的安全隱患。

5.漏洞掃描系統

在升級改造過程中，網絡內不僅安裝了防火墻和入侵檢側系統等被動性防御設備，還部署了漏洞掃描系統來主動探測網絡中的薄弱環節，通過網絡安全性掃描，系統管理員能夠及時發現網絡內主機與服務器等網絡設備的各種漏洞和隱患，如端口和服務、系統漏洞、弱口令及共享文件等，并給出修正建議，管理人員可根據掃描結果對這些漏洞和隱患進行及時修補。

6.對原有設施進行規劃部署

除上述新增加的網絡安全設備外，對原有的防火墻、路由器等相關設備進行了重新調整和配置，使之與新增設備之間實現功能互補和聯動，從而進一步增強了網絡的安全性。升級改造完成后，內網系統在入網用戶資格審查登記的前提下，實現了入網身份認證和終端安全防護檢查等安全措施，認證客戶端、安全策略服務器、網絡硬件交換設備以及安全管理理平臺之間互相聯動，對接入網絡的用戶終端強制實施安全策略，嚴格控制終端用戶的網絡行為，從而可以確保終端安全接入，實現了有全局、立體和聯動特點的整體安全防護體系，極大地提高了內網的安全防護能力。

結束語

網絡安全防護的建設不是各種安全產品的簡單疊加，需要結合實際應用和不同網絡的自身特點，對各種安全設備的功能進行有機融合，形成一套經濟、有效、全面的整體防御體系，而且網絡安全防護建設是一個長期、循序漸進的過程，隨著網絡技術的不斷發展，必然會出現各種新的威脅。因此，涉密內網的信息安全防護建設也應隨之不斷完善和調整，才能構建一道保護網上信息安全的銅墻鐵壁。