基層網絡信息系統管理機制研究

石永清

計算機網絡技術的興起，網絡應用迅速普及，計算機網絡與人們的生活、工作緊密結合。各行各業對網絡系統的依賴更為緊密，愈加深度融合，傳統紙質辦公被無紙化取代，單機辦公被無邊界的網絡取代，居家辦公、遠程學習、遠程會議成為常態。隨之而來大量數據集中存儲在網絡服務器中，保護數據安全，加強信息基礎設施網絡安全防護，建立高效、規范、靈活的網絡信息系統安全管理機制，形成多層次、全方位管理體系。

一、網絡安全管理的重要性

沒有網絡安全，信息化發展越快，帶來的危害可能越大，網絡信息系統的安全、穩定運行顯得尤為重要。網絡信息系統安全管理既要維護信息系統的持續穩定運行，也要保障信息系統所在網絡的安全暢通。信息系統本身也存在各種漏洞需要及時進行修復，而且軟件需要及時更新、修復補丁等內生安全問題無法避免，建立多層次綜合防護體系，融合多種防護技術，發揮各自的優勢，為信息系統網絡的安全提供全方位保護。建立適合基層單位管理、高效快速反映的管理機制具有重要意義。

二、網絡安全管理現狀分析

近年來，我國信息化建設高速發展，基層單位普遍安全意識、管理機制、技術力量發展相對落后于信息化發展速度。部分單位專業管理人員配備不足，信息系統常規運行維護管理主要依托外包公司成為中小信息系統運行單位首選，僅能保障其正常運行，無法實現網絡安全全面管理。主要存在以下問題：

（一）安全管理制度缺乏科學性

通過調查研究發現現階段網絡信息系統運行單位建立有完善、科學、合理的管理制度單位比例相對較低。多數單位僅建立片面的針對網絡管理部門（信息中心）、單一應用、管理人員的專項制度，缺乏全面、系統的管理機制和與其適應的機制運行監督措施。

（二）系統安全架構缺乏專業論證

我國基層單位信息化項目普遍采取堆積木方式逐年建設，缺乏科學的規劃布局及專業認證，導致內外網之間、普通業務系統與核心系統之間未進行科學隔離；建設部署隨意，圖一時方便采用多網卡，讓內網之間不同應用的軟隔離形同虛設在建設中大有存在；重要數據和核心應用未建立安全保護區域或安全策略，導致大量端口的開放、非必須應用服務開啟增大了系統危險指數。

（三）網絡防護缺乏層級縱深

組網過程中未建立分級保護、層層防護機制，小型基層運行單位未采用網閘等設備進行物理隔離，系統之間、應用與數據存儲之間未能建設安全隔離措施，容易造成橫向攻擊，往往一點突破、全網淪陷，難以抵御黑客攻擊者的內網滲透。

（四）安全管理設備配置不合理

《中華人民共和國網絡安全法》實施后，許多單位雖然按照信息系統等級保護的要求，增加了必要的安全防護設備，但安全設備策略配置不當、管理不到位，網絡防火墻、防病毒網關等安全設備未進行科學合理的部署和配置，反而容易成為整個網絡的防護薄弱點，成為危害極大的風險點。

（五）日常安全管理工作不規范

安全管理人員缺乏專業性的培訓，工作水平往往停留在經驗積累。管理職責、應急處置預案等制度停留在文件、紙質層面，沒有進一步形成可操作的具體措施和支持保障，沒有規范地在實際工作中得到落實，因而執行效果難以得到保障。運維資料存放管理隨意，容易造成敏感信息泄露，為攻擊者入侵后的進一步深度攻擊提供了便利條件。系統使用的軟硬件開發廠商發布漏洞、修復補丁不及時修復更新，沒有定期開展安全漏洞和病毒防護檢測，造成安全隱患不能及時排除。

三、網絡安全管理防護與對策

信息系統運行單位建立完善管理機制，科學部署網絡框架，規范安全管理，定期開展風險評估，強化網絡安全應急處置的網絡安全管理機制，形成層次分明、重點突出的立體防護體系，把網絡信息系統的每一個環節進行有效的管理，實現規范科學管理。

（一）加強頂層設計，建立網絡安全管理長效機制

網絡信息系統安全管理應當在整個組織機構內建立和完善信息安全管理體系，將管理融入到信息系統的整個生命周期。完善的網絡安全管理機制，能有效的規避管理漏洞。據網絡安全技術公司不完全統計，因弱口令、升級補丁、端口開放、信息泄漏等管理原因造成安全事件超過60%。管理機制的完善需要對本單位現有制度展開全面分析，進行針對性的補充完善，建立嚴謹的管理規范、明確的責任分工、科學的管理流程、嚴格的監管和獎懲制度、常態化的人員培訓體系，以科學的管理機制推動制度的執行和實施，及時發現違規行為并進行制止，為網絡信息系統的安全管理再上一把安全鎖。

（二）科學布局網絡安全架構，加強數據安全防護

合理規劃網絡安全架構，充分論證，合理布局，避免重要系統暴露于互聯網終端。要提高對數據安全重要性的認識，加強對重要數據、敏感信息等數據加密存儲管理，實時異地備份；重視數據傳輸過程的安全性和可靠性，對重要數據進行加密碼傳輸；強化密碼口令管理，建立強制性強口令策略，建立雙因子認證。在邊界、重點數據、關鍵節點、核心應用等關鍵區域使用高安全級別的安全解決方案策略確保其安全性。

（三）抓好關鍵防護，建立層級防護體系

統籌分析建立信息系統等級劃分，制定數據安全控制策略，建立符合業務需求的數據處理流程，建立數據安全保護模式。加強關鍵信息系統、關鍵部位、重要計算節點進行重點防護，形成多重多元、多級互聯的防護架構。采用技術手段對各信息系統、主機、網絡區域進行隔離防護，配置嚴格的安全限制策略。建立分層策略，允許根據信息系統重要程度采取相匹配的防護手段。建立基于技術安全策略、科學業務處理流程和嚴密的安全管理相結合的立體防護體系，在管理、系統、操作三個層面形成一個安全防護框架實施多層保護，使攻擊者即使攻破一層也無法破壞整個網絡信息系統的基礎環境。

（四）落實管理制度，規范管理行為

建立網絡安全管理人員的培訓機制，提高管理人員業務能力、職業素質和安全風險意識，筑牢思想防線。嚴格落實網絡安全管理制度措施，用制度約束管理行為、使用行為和監督行為。重視網絡系統使用者安全意識培訓，規范使用流程和現狀改變審批，避免因操作不當、不良工作習慣等人為因素而導致數據丟失和系統失陷。定期開展安全檢查，及時糾正違規行為，有效排除管理方面的風險隱患。

（五）加強網絡安全監測，定期開展風險評估

網絡系統所面臨的風險來自各個方面，任何一種安全防護技術都難以全面應對所有的威脅。做好網絡安全監測和巡查，提高網絡安全風險的日常發現能力和處置能力。定期圍繞國內外重要信息系統、政府網站遭受攻擊或重大安全隱患發現開展安全態勢分析研判。隨時關注信息系統所使用軟硬件廠商的風險隱患通報，做好漏洞修復、補丁更新、安全產品數據庫的更新。建立信息系統風險評估體系，系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性，評估安全事件可能造成的危害性，提出有針對性的安全防護策略和整改措施。

（六）加強應急處置，建立完善應急響應機制

定期開展網絡安全應急演練，對安全應急演練中暴露出的問題和不足及時整改。完善網絡安全事件應急預案，細化應急處置工作流程，確保在發生大規模網絡安全事件時，能夠在最短時間內控制事件的擴散、掌握事態發展動態，準確判斷事件的影響范圍，果斷采取響應措施，快速處置恢復正常運行。

網絡信息系統的安全管理，是信息系統穩定運行的保障，必須建設立適應管理工作的安全管理機制。用規范的管理，保障信息系統的安全穩定運行，促進信息化健康發展。

作者單位：瀘州市公安局