【 摘 要 】 目前大多数涉密网络虽然对外安全防护程度较高,但来自内部网络的安全事件频频发生,本文给出了加强涉密网络内部安全管理的几项对策。
【 关键词 】 涉密网络;安全管理;对策
1 引言
信息网络广泛应用的同时,网络安全问题一直层出不穷,对涉密网络的安全提出了更高的要求。目前,大多数涉密网络对外安全防护程度较高,一般均综合配置了防火墙、安全网关、入侵检测、信息加密等设备,较好地实现了对来自外部入侵的安全防护,但来自内部网络的安全事件频频发生,使涉密网络内部管理面临着严峻挑战,因此,如何加强涉密网络安全管理值得深入研究。
2 应采取的对策
2.1 严格法规制度,筑牢思想防线
严格的规章制度是实现网络安全的重要保证,是规范涉密网络管理的依据和保障。一方面,要健全法规制度。依据国家相关法规和有关规定,有针对性地制定适合本单位实际的措施、制度,建立网络安全管理机制,细化原则性的规定、标准和要求,明确分工及相应的安全职责,将制度建设渗透到涉密网络建设、使用、维护、管理等各个环节,建立完善网络建设、终端接入、开通运行、涉密信息发布等制度,健全网络安全保密检查评估机制,实行涉密信息集中管控。另一方面,要抓好制度落实。制度关键要靠人来具体落实,许多单位在网络运行管理和使用中,更多的是考虑效益、速度和便捷,而对安全、保密重视不够,因此,要深层次地增强网络安全观念,认识到信息安全防护工作不仅仅是技术人员的“专利”,更需要所有相关人员来共同防护。
要教育培养网络安全意识,掌握信息安全知识,学会“防什么、怎么防”,坚持不懈地抓好各项制度落实,调动人员的积极性和主动性,构筑牢固的思想防线。一是开展以提高技术防范能力为目标的知识教育,大力普及计算机信息安全保密知识,增强网络安全防护意识,丰富安全防护知识。二是开展以规范涉密网络安全管理为重点的法规教育,熟悉相关规定和要求,提高遵章守纪的自觉性。三是开展以强化信息安全观念为主题的警示教育,认真汲取近年来网络和涉密载体失泄密案件的教训,营造群防群治的良好氛围。四是定期进行网络安全检查,排查隐患,及时整治,对发生频率较高、整治较困难的问题反复抓,直到彻底纠正。特别要严格涉密网络信息管控,使涉密信息从产生、流转、使用到销毁形成完整的“闭合回路”,将网络安全管理相关内容纳入单位及个人工作考评中,对发生的安全事件,依照有关规定进行问责。
2.2 配套人员设施,健全防护体系
合理调配人员,建立网络安全专职机构,主要负责网络安全系统配置、网络安全设备维护、网络安全监督检查等,对各类可能发生的网络安全事件制订相应的应急处置预案,并能够及时有效处置,针对存在的安全隐患提出整改意见。
构建涉密网络安全防护体系必须实现几个目标:网络系统稳定、可靠运行,具有可审查性,能够进行权限管理,杜绝非授权用户使用未授权信息;网络中的信息在传输、交换、存储和处理过程中保持完整性和原样性。当网络系统遭受攻击或破坏时,能快速响应、迅速恢复使用。据此来制定网络安全策略,对照安全策略查找安全“短板”,选用相应的安全软件、硬件加以弥补,构建覆盖用户终端的安全防护体系。
一是加强涉密服务器安全防护,采取网络访问控制、包过滤、代理服务、审计跟踪、信息确认、密匙安全、身份鉴别、入侵检测、漏洞扫描、病毒防范等技术,操作系统进行安全配置,严格控制不同用户访问网络资源的权限,开启系统各类监控审核日志,确保服务器安全。
二是加强涉密终端安全防护,为涉密终端配备电子干扰器,配置IC卡或USB加密狗等用户认证设备,采取主机登录控制、端口权限绑定、外联监测封堵和安装内网综合防护系统等措施,对网络运行和终端操作行为进行实时监控,防止非授权计算机接入涉密网和“一机跨两网”;正确设置管理策略等措施,封堵外设接口,防止非授权电子设备接入拷贝数据。
三是加强网络设备安全防护,使用经过权威部门安全认证的设备, 通过网络接入控制系统,为网络用户提供统一的身份认证和授权机制;合理划分虚拟局域网,实现对内网、外网和内网各区域间数据包的过滤;使用漏洞扫描定期检查系统安全隐患,针对安全分析报告组织整改;防火墙启用防抗网络攻击功能,交换机采取端口与IP地址绑定、网卡地址与机端口绑定、关闭远程登录、设置端口禁用、启用安全认证、更改默认密码等措施,增强网络整体安全性。
2.3 严格入网审批,规范终端管理
入网终端的管理是整个涉密网络安全管理工作的重头戏,主要目标是禁止未经授权计算机和移动设备违规接入,防止涉密网络计算机与外部网络建立非法外连,控制移动存储载体在涉密网络的使用等。
一是严格把好终端用户入网审批关,实行入网申请审批制度。管理部门认真核查终端用户入网资格,对准许入网用户的使用人信息、位置坐落、计算机终端情况、IP地址、MAC地址、上联交换机端口等信息进行详细登记,建立实名制上网登录帐户,发放身份令牌。
二是严格IP地址管理,明确IP地址申请和发放流程、IP地址变更流程、IP地址非法使用处罚制度,严格控制用户设备入网及网址变更。用户网络信息的改变必须提前上报,经主管部门审核批准后,方可更改。
三是建立终端用户信息基础数据库,信息项目设置尽可能详尽,一般可包括用户本人自然情况、使用终端的配置情况、网络资源分配记录、上网地点、终端维护记录及用户行为记录等信息,这些信息将成为用户信息管理、用户网上行为监控及安全事件定位的基本依据。
四是完善技术措施,及时监督和纠正用户在入网操作中的违规的行为。实行 “全网先封闭,审批再开放,多参数捆绑,全时域监控”的管理模式,杜绝随意入网的问题,从开放式入网转变为封闭式管理。依托主机监控系统,对终端的登录、外设、网络、进程等实施精细管理控制,严把信息传递流程。定期对接入涉密网络的计算机终端进行身份鉴别,阻止未授权的计算机终端接入和访问内部网资源;通过建立违规外联特征行为模型,实时扫描内部网络所有在线主机情况,检测并确认违规外连主机,实时监视网内受控计算机通过普通电话线、ISDN、ADSL等方式拨号上网行为,检测通过无线方式非法上网的行为。强制推广使用“涉密电子文件标签和水印管理系统”,必要时禁用USB端口、光驱等外设接口,严防涉密计算机违规上网、涉密载体非法外连、个人存储载体随意拷贝等行为。采用口令加密、数字签名和指纹识别等技术手段,分级控制内网用户的使用和访问权限,防止非法用户窃取涉密资料。
2.4 加强安全监测,做好重点防范
根据网络安全形势的变化和技术的发展,不断调整和补充新的技术手段,建立一个综合监管平台,使既有的入侵检测、漏洞扫描、补丁分发、主机监控、防病毒等系统形成整体合力,对网络攻击、病毒传播、有害信息发布等内容进行全面监测,实时采集整个网络的基础数据,通过对网络的信息汇总、统计和分析,为网络安全提供数据支持。通过网络可靠运行监测、漏洞扫描、木马检测、攻击事件监测等,查找网络中的薄弱环节,分析网络的安全状况,有针对性地制订安全策略,一旦有安全事件发生,发出实时告警,迅速准确地定位事件来源,进行应急处置。
在全面防范的基础上,重点把住网络攻击和病毒破坏关口,紧盯移动载体使用。更新完善防火墙、入侵检测和防病毒系统,定期检查漏洞扫描、网络监测预警,对终端运行资源、异常流量、异常进程进行监控与管理,一旦发现网络病毒、对外扫描、对内攻击、流量异常等安全事件隐患,按照早发现、早报告、早处置的原则,快速有效地定位网络事件引入点,采取技术手段追查非法攻击来源,及时、准确分析、定位和隔离,恢复或重建被破坏的系统。重要系统须存有备份,一旦遭受破坏性攻击,应立即停止系统运行,检查日志资料,确认攻击来源,采取有效措施,恢复软件系统和数据。
还要规范移动存储体质使用管理,严格涉密计算机及存储介质管控,实行淘汰报废涉密载体审批上交、离岗保密审计等措施,实施全寿命户籍式精确化保密管控,严防在涉密网与非涉密网之间交叉使用,严格办公类电子设备保密管理,对涉密移动存储介质进行加密注册使用,区分明密,专网专用。确需在涉密网和非涉密网之间、内网和外网之间传递资料时,可采用文档打印法、U盘或移动硬盘转换法、安装数据单向传输设备、光盘刻录法进行间接操作,防止交叉感染病毒,遭受“摆渡”木马程序攻击泄密。
3 结束语
实践证明,涉密网络安全网络管理工作是一项纷繁复杂的系统工程,只有思想上足够重视,技术上加强防范,管理上不留死角,全体人员持续共同地努力,才能做好这项工作。
期刊库(http://www.zgqkk.com),是一个专门从事期刊推广、投稿辅导的网站。
本站提供如何投稿辅导,寻求投稿辅导合作,快速投稿辅导,投稿辅导格式指导等解决方案:省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。
【免责声明】本文仅代表作者本人观点,与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。
646779424(普刊)
913775405(普刊)
867306987(核心)
271374912(核心)
