行政事業單位計算機網絡安全防護措施探討

趙云山 阮興衛

（1.溧陽市公安局交警大隊車輛管理所，江蘇 溧陽213300；2.常州信息職業技術學院，江蘇 常州213164）

0 引言

當前我國網絡應用成熟度高，應用范圍廣，網絡即時性、共享性、無空間時間限制等特性對各行各業的電子化發展提供了助力。但受網絡安全風險的影響，各行業在享受便利的同時，也面臨著網絡安全問題的威脅。對于行政事業單位而言，其對數據安全性要求更高，信息系統的安全性需要更加完備的安全防護措施，才能有效降低受到網絡攻擊的概率，提高數據的安全性，避免數據丟失、泄露、被篡改。

1 行政事業單位計算機網絡安全的常見問題

1.1 計算機系統的漏洞

當前行政事業單位辦公時應用的操作系統是Windows7及以上版本居多，雖然看似系統較新，但微軟操作系統更新較快，對于較低的操作系統，例如Windows 7、Windows xp，已經不再提供系統漏洞補丁及更新服務，實則已經是淘汰的操作系統。受資金、管理、應用熟練度以及個人喜好影響，行政事業單位仍有較多的低版本操作系統，這給數據安全帶來較大的威脅，稍有不慎就會悔之晚矣。

1.2 互聯網病毒的破壞

長期以來，計算機病毒一直是惡意攻擊、侵入網絡系統的非法手段。它本身具有惡意復雜性和自啟動能力，而且空間占比小，可以被植入復雜的程序代碼中難被發現，從而給受感染的計算機帶來嚴重危害。病毒入侵后，操作系統逐漸變慢甚至失去反應能力而崩潰，或者數據被竊取、被刪除、被篡改，使得行政事業單位的辦公被迫停止，給單位造成較大的損失。

1.3 網絡黑客的惡意攻擊

除病毒侵入外，計算機系統還會受到黑客的惡意攻擊。受攻擊的系統被黑客控制，黑客可以對系統及系統內的應用程序、應用數據、系統服務器等進行篡改、卸載、刪除。黑客攻擊帶有較強的針對性和目的性，是人為計劃、密謀、主觀故意的行為，因此受攻擊的系統往往使關鍵信息丟失、被篡改或是被竊取，而不像病毒那樣純以破壞為主要特征。由此可見，黑客攻擊在危害程度上比病毒更具危害性，這種有組織的惡意攻擊會造成較大的社會負面影響，更需要做好安全防范措施來應對。

1.4 工作人員的操作失誤

操作失誤往往是單位內部工作人員對系統、軟件程序的熟悉度不夠，或是對工作流程掌握不到位，在工作的過程中失誤操作導致系統數據、關鍵信息丟失等，輕則數據丟失，重則導致系統癱瘓。這種工作人員操作失誤無法通過防火墻、密鑰、殺毒軟件等方法來應對，純屬個人工作素養問題。因此，必須對操作人員進行崗前培訓、考核、評價，合格才能上崗，從而保證系統安全。

2 行政事業單位計算機網絡安全的防護措施

2.1 組建專業化計算機網絡安全防護部門

行政事業單位機構多、事務雜、人員交叉工作，分散的安全管理很難起到應有的防范作用，甚至發生故障時，責任也難以劃清。因此，組建專業化網絡安全管理部門十分必要。專職管理部門應具有以下職責：第一，以法律為準繩，針對網絡安全主管部門的政策、制度、規章等制定行政事業單位的網絡安全綱領、目標、流程、措施和制度等；第二，指導行政事業單位各工作人員落實網絡安全制度、操作流程、操作規范等；第三，對網絡運行的管理、運維、資源優化、安全建設等能夠進行主動規劃和籌謀；第四，制定應急預案，對突發事件能夠盡可能降低影響范圍，并配合調查和處理事宜；第五，主動開展網絡安全防護工作，能夠定期落實系統補丁、升級；第六，對單位內部的所有人員能夠提供及時的網絡安全教育和服務。重點崗位應簽訂責任書，切實保障單位信息安全。

2.2 建立健全計算機網絡安全防護等級機制

行政事業單位業務需求各不相同，需要根據網絡安全等級保護條例對系統軟件、硬件設備、數據庫等劃分防護等級，制定各等級防護措施，一一對應，確保安全防護走向縱深層次。而且，在等級保護制度落實時，還要建設安全管理中心，通過管理中心將各防護體系協調起來，共同實現網絡安全防護。管理中心是等級保護制度的中樞，具有系統管理、審計管理、防護管理、集中管控等所有功能。通過管理中心的調控，等級保護聯合起來，相互配合，相互促進，相互補充，能夠形成嚴密完整的技術防護機制。同時對重要的核心數據進行備份，并做好隔離與防護措施，以保證核心數據的安全。

2.3 優化計算機網絡安全區域劃分與等級防護

網絡安全區域邊界需要根據行政事業單位的業務需求和保護等級要求進行清晰明確的劃分，如數據區、辦公區、維護區、應用區，等等，劃分的安全區域相互之間要通過防火墻或者VLAN隔離技術進行邊界訪問防護與控制，并按實際需要進行網絡安全區域邊界控制。訪問控制策略能夠對一切訪問進行甄別，確定是否非法訪問，然后根據控制結果進行安全防護。訪問控制的目的是保護系統不被非法訪問或使用，對系統起到很好的保護作用。因此，需要在區域邊界設置防火墻，所有訪問數據都必須經過防火墻的檢測才能進入系統內部，一旦發現非法操作或非法訪問，防火墻就會主動攔截，有效降低非法入侵的事故發生。

2.4 制定內、外部計算機設備使用與檢測機制

行政事業單位有時需要進行業務拓展接入新的網絡設備，必須對該設備進行安全管理，達到網絡安全管理要求才能接入系統。新設備要安裝統一的安全管理軟件，能夠實現集成化管理，對于終端，實名認證后統一分配IP地址，鎖定IP和MAC地址，防止IP沖突導致系統崩潰。在管理策略中，設置終端設備的開機驗證密碼，密碼強度為強，根據需要定期進行密碼重置。關于補丁升級，設置終端計算機自動進行系統補丁升級。定期對計算機系統進行安全檢測，利用網絡工具進行漏洞掃描、安全檢測、病毒查殺等，確保計算機始終處于最佳的安全狀態。移動設備接入時，實施固定區域加密處理，禁止不同區域混接移動設備。

2.5 計算機網絡邊界、關鍵節點的檢測與防護

網絡邊界防護不可掉以輕心，需要嚴格按照網絡安全防護制度和要求進行防護。特別是網絡關鍵節點，對整個網絡而言十分關鍵，需要部署檢測防范設備對網絡行為進行檢測。例如，下一代防火墻、全流量威脅分析系統等。這些安全防護措施能夠對外部、內部網絡異常行為進行檢測、限制訪問或防止入侵，將攻擊包自動丟掉或阻斷訪問。針對核心交換機，要部署安全感知平臺來加強交換機的安全防護。對于業務系統，要部署抗DDOS服務策略，將攻擊拒之門外，確保服務安全可用。

2.6 全面實施計算機網絡層的安全審計

安全防護部門在進行網絡安全管理工作時，還應當針對網絡層全面實施安全審計。審計中發現異常需及時報警，并給出相應的應對方案。安全審計分為內網審計和外網接入審計兩個層次，其目的是對網絡行為進行甄別、記錄、保存和分析。審計工具能夠對系統的運行進行動態記錄，用以分析和重建系統，并快速定位系統故障，避免類似故障再次的發生。此外，審計工具還能對故障進行取證，為后續的分析和溯源提供服務。在安全事件進行檢測時，審計工具的作用不可小覷，它能夠及時對攻擊進行報警，降低攻擊概率。可見，審計工具在一定程度上能夠對攻擊者起到較強的震懾作用。

3 結語

在日益復雜的網絡環境下，行政事業單位應當正視自身所面對的網絡安全問題，積極組建專業化計算機網絡安全防護部門，建立健全計算機網絡安全防護等級機制，優化計算機網絡安全區域劃分與等級防護，制定內、外部計算機設備使用與檢測機制，計算機網絡邊界、關鍵節點的檢測與防護，全面實施計算機網絡層的安全審計，保障行政事業單位的信息安全，實現行政事業單位的可持續發展。