行政事業單位網絡安全建設研究

王鎧寧

(朝陽市新型農村社會養老保險管理辦公室,遼寧 朝陽 122000)

0 引言

隨著社會的不斷進步與發展,網絡技術被越來越廣泛地應用于行政事業單位日常工作中,使工作效率得到顯著提升.但是行政事業單位很多信息是機密的,甚至是絕密的,一旦網絡安全出現重大問題,會導致信息泄露,產生不可估量的損失.因此,本文從行政事業單位網絡安全角度著手,分析行政事業單位網絡安全建設現狀,給出網絡安全建設具體方案,以有效提高行政事業單位網絡安全建設水平.

1 行政事業單位網絡安全建設現狀

目前,我國行政事業單位網絡現有的安全設施不夠規范,與國家頒布的《網絡安全等級保護條例》[1]要求還有較大的差距,不能形成有效的網絡安全防護體系.用戶缺乏網絡安全意識,相關規劃設計、制度體系和應急機制建設不夠完善,導致管理人員面對網絡安全問題時措手不及.大部分單位均未設置網絡安全管理部門,也未配備專職管理人員,有的單位將網絡安全服務外包給第三方,導致關鍵數據存在泄露、被篡改等安全隱患.

2 網絡安全建設原則

網絡安全建設要遵循以下原則:

(1)平衡原則.平衡是指網絡安全與用戶需求之間的平衡,要在做好安全評估的基礎上,盡可能地保證兩者之間的平衡.

(2)標準化原則.網絡安全建設要遵循各種行業標準和規范,在保證網絡安全的情況下,實現用戶之間互聯互通及信息共享.

(3)等級原則.依據《網絡安全等級保護條例》以及業務安全需求,對硬件設施、基礎網絡、業務系統等進行安全保護等級劃分[2],不同等級要設置不同的安全防范體系,以滿足實際需求.

3 行政事業單位網絡安全建設具體方案

3.1 劃分網絡安全域

依據行政事業單位網絡架構及服務器用途,將網絡劃分成不同的安全域,能夠有效實現網絡安全隔離和權限訪問控制,從而降低網絡安全風險,提升行政事業單位網絡安全性.具體區域劃分如下:第一層安全域是互聯網用戶區,用于用戶外網接入;第二層安全域是內(專)網用戶區,用于用戶內(專)網接入;第三層安全域是對外服務器區,提供對外部用戶開放的服務器;第四層安全域是內部服務器區,提供僅對內部用戶開放的服務器;第五層安全域是有限服務器區,提供僅對內網用戶開放的應用服務器和數據服務器等.通過安全域的劃分,能實現行政事業單位內部網絡與外部網絡的有效物理隔離,切斷信息泄露源頭.同時設置關鍵服務器訪問權限,只有具備相應權限的用戶才能合法訪問.

3.2 升級并加固硬件設備

對現有行政事業單位硬件設備進行全面評估,并依據評估報告和專家論證結果,提出設備升級方案并逐步實施,以提高網絡安全性.優化核心設備配置,對可疑數據包進行過濾攔截,當網絡受到攻擊時會自動報警.升級并加固硬件設備,通過基于端口或是IP地址的VLAN劃分方式,實現內外網邏輯隔離和網絡環境下的內部控制.結合行政事業單位管理的實際情況,對資源文件進行安全性加固,在其與攻擊者之間建立多道安全防線.利用防病毒服務器對網絡中傳送的文件或電子郵件進行病毒檢測,對于病毒庫已有的病毒,直接進行處理,對于無法處理的病毒則會自動報警并記錄,將采集到的信息反饋給防病毒廠商,由其進行處理.同時利用防病毒設備對網絡節點進行動態監測,出現病毒時,自動報警并查殺,實現了網絡的周期性防病毒維護,提升了病毒防御能力.

3.3 應用網絡安全關鍵技術

采用防火墻、漏洞掃描、入侵檢測、遠程控制、數據備份和恢復等網絡安全關鍵技術,能夠在軟件層面形成網絡安全防護屏障.

3.3.1 防火墻

防火墻是目前最常見的網絡安全技術形式,它是通過在網絡邊界建立一個監管網絡通信的系統,對整個網絡進行全方位的監控,并分析網絡傳輸數據,以保障網絡正常運行[3].在行政事業單位網絡邊界或關鍵安全區域應用防火墻,能夠有效屏蔽外界的威脅和攻擊,有效過濾可疑數據包,提高網絡連接的可靠性,保護網絡信息和數據安全,降低網絡風險.同時,在防火墻中部署防御DDoS攻擊的服務,可以有效抵御泛洪攻擊、協議漏洞型攻擊和復雜的應用層攻擊等行為,保障網絡安全.

3.3.2 漏洞掃描

漏洞掃描是指通過掃描手段對服務器和終端設備進行檢測并發現安全漏洞的一種安全檢測行為.定期對行政事業單位局域網進行漏洞掃描,能夠及時發現并快速修復安全漏洞,避免數據丟失、被竊取等情況的發生,以保障行政事業單位網絡的安全性和穩定性,提高其風險防范能力,進而推動行政事業單位的健康持續發展.

3.3.3 入侵檢測

入侵檢測是指對內部網絡資源的使用行為進行監控,從而動態、全面、詳細地檢測網絡數據包以及用戶網絡行為是否存在異常.一般將入侵檢測設備部署在核心設備旁路上,通過端口鏡像獲取網絡數據包,通過對數據包的動態分析和研判,識別是否存在網絡攻擊行為,同時對攻擊行為進行檢測分析,并及時做出響應和處理.可在行政事業單位網絡邊界關鍵節點部署入侵檢測設備,以應對網絡攻擊.在實際環境下,入侵檢測設備和防火墻是同時工作的,它們之間會建立聯動機制,一旦檢測出異常網絡行為會自動將可疑數據包過濾或丟掉,或者基于IP地址直接阻斷攻擊源數據,以有效阻止網絡攻擊行為,避免關鍵數據丟失、被竊取和篡改等情況的發生,從而營造良好的運行環境,提升網絡風險防范能力.

3.3.4 遠程控制

遠程控制是在不同局域網之間建立虛擬遠程網絡連接,以實現數據資源的訪問、傳輸和共享.目前,我國行政事業單位進行了全面的整合,各部門辦公地點不局限于單一的地理位置,異地辦公帶來的數據交換需求越來越多,而且大多數的數據資源是不允許在互聯網上直接傳輸的.因此,需要利用遠程控制技術建立虛擬遠程網絡連接,形成網絡安全隧道,進行業務數據資源的快速傳輸.例如,采用VPN技術在行政事業單位的互聯網出口建立可信的安全隧道,實現合法用戶遠程登錄,保障數據安全傳輸.

3.3.5 數據備份和恢復

數據備份和恢復是對設備配置信息、業務數據和系統數據等進行實時或定期的備份和恢復.通過數據備份和恢復可保證數據的安全性和可靠性.數據備份一般分為本地備份和異地備份,對于特別重要的數據要進行異地備份,以提高容災性.行政事業單位要按照國家頒布的《網絡安全等級保護條例》中數據備份要求和數據的重要程度,制定完備的數據備份和恢復策略,詳細規定各類數據的備份方式、備份周期、存儲介質、保存期、銷毀方式等,并定期進行數據備份和恢復應急演練.

3.4 進行網絡安全審計

行政事業單位要嚴格進行網絡安全審計,即對網絡層會話行為進行識別、記錄、存儲、分析和研判,對于確認的違規行為,要及時報警,并做出相應處置.網絡安全審計包括內網安全審計和外網安全審計.目前,行政事業單位可通過部署上網行為管理設備等網絡安全審計工具對網絡行為進行審計管理,一旦發生網絡安全事件,相關部門要及時輔助網絡安全管理人員對網絡安全事件進行事后恢復與重建.

3.5 完善網絡安全管理制度

行政事業單位應成立專門的網絡安全管理部門,并配備專業的網絡安全管理人員.由管理部門統籌協調網絡安全建設工作,依據實際需求制定網絡安全體系建設計劃,完善現有的網絡安全管理制度和網絡安全應急預案.若網絡安全服務外包給第三方,行政事業單位要對其進行嚴格的監管,規范數據處理流程,避免關鍵數據丟失.

3.6 強化用戶安全意識

在行政事業單位中,無論是內網用戶還是外網用戶,都需要強化自身的安全意識,樹立正確的安全理念,嚴格遵守操作規范,降低由于用戶違規操作所造成的網絡安全風險發生幾率.行政事業單位相關部門要結合工作崗位要求,對單位內部用戶定期進行信息化應用培訓,以提升行政事業單位管理質量.

4 結語

行政事業單位要高度重視網絡安全建設工作,并結合實際需求合理規劃、制定網絡安全建設方案,有效應用各種網絡安全技術,形成一套完善的網絡安全防護體系,以保障數據安全,提高網絡安全防護水平和網絡服務質量,為用戶創建科學、安全、可靠的網絡環境,使行政事業單位在社會服務過程中更好地發揮作用和效能.