周劍輝

隨著信息網(wǎng)絡(luò)安全要求越來(lái)越高，相應(yīng)的管理要求不斷提升，本文針對(duì)目前企業(yè)信息網(wǎng)絡(luò)安全管理的現(xiàn)狀，提出了相應(yīng)的管理提升策略。

安全;信息網(wǎng)絡(luò);策略;

電力企業(yè)關(guān)系著國(guó)民經(jīng)濟(jì)與生產(chǎn)發(fā)展，是重要的支柱型骨干企業(yè)，同時(shí)電力企業(yè)的地域涉及面較廣，業(yè)務(wù)應(yīng)用類型相對(duì)復(fù)雜，網(wǎng)絡(luò)構(gòu)造相互交錯(cuò)，企業(yè)的生產(chǎn)和經(jīng)營(yíng)等應(yīng)用體系互相纏繞。就電力企業(yè)來(lái)說(shuō)，計(jì)算機(jī)網(wǎng)絡(luò)以及信息體系是企業(yè)常規(guī)運(yùn)轉(zhuǎn)關(guān)鍵，是否安全、穩(wěn)定、可靠的運(yùn)行使電力體系穩(wěn)定性受到一定的影響，且還能夠使當(dāng)?shù)氐慕?jīng)濟(jì)發(fā)展能夠有序發(fā)展，為企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)以及信息體系完美運(yùn)行贏取憑證，是企業(yè)需要重視的問(wèn)題。

目前局綜合數(shù)據(jù)網(wǎng)與市局交聯(lián)是光纖雙通道，信息機(jī)房?jī)膳_(tái)核心交換機(jī)可自主切換互為備用，核心交換機(jī)取用的是UPS電源，保障核心交換機(jī)不間斷供電;各供電所建立了雙通道（即局自建光纖通道，租用電信光纖作備用通道），可由切換使用，平時(shí)由市局信息中心網(wǎng)絡(luò)平臺(tái)負(fù)責(zé)監(jiān)控通道的正常，確保辦公網(wǎng)絡(luò)的正常使用。

嚴(yán)格執(zhí)計(jì)算機(jī)終端安全管理規(guī)定要求，接入公司綜合數(shù)據(jù)網(wǎng)的計(jì)算機(jī)終端必須符合公司綜合數(shù)據(jù)網(wǎng)準(zhǔn)入控制和終端安全管理策略。落實(shí)終端接入內(nèi)網(wǎng)前都加AD域，安裝PKI、防病毒、北信源、準(zhǔn)入等措施，收回管理員權(quán)限，禁用“Server”、“Remote Desktop Services”服務(wù)。終端安全措施應(yīng)用率100%，確保終端使用人員無(wú)法私自安裝卸載軟件，確保使用人員必須使用PKI證書進(jìn)行身份認(rèn)證登錄，確保非單位加密的移動(dòng)介質(zhì)存儲(chǔ)無(wú)法使用，確保不滿足公司防病毒、補(bǔ)丁等相關(guān)安全策略的計(jì)算機(jī)終端不得接入公司綜合數(shù)據(jù)網(wǎng)。

成立網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，由局長(zhǎng)擔(dān)任組長(zhǎng)，各部門負(fù)責(zé)人為成員，領(lǐng)導(dǎo)小組設(shè)辦公室，領(lǐng)導(dǎo)小組局全面負(fù)責(zé)網(wǎng)絡(luò)安全和信息化工作，辦公室信息科技專責(zé)和信息運(yùn)維班負(fù)責(zé)安全管理和監(jiān)督責(zé)任。依照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)建設(shè)誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”原則，明確各部門負(fù)責(zé)人為第一責(zé)任人，并組織全員由上到下簽訂安全網(wǎng)絡(luò)責(zé)任書，層層落實(shí)網(wǎng)絡(luò)安全責(zé)任。

1）對(duì)各個(gè)部門所進(jìn)行的保密工作進(jìn)行管理，嚴(yán)格控制員工工作職權(quán)，貫徹各項(xiàng)保密協(xié)議，監(jiān)督基層單位執(zhí)行力度，加大對(duì)保密工作的思想政治工作，進(jìn)行隨機(jī)的保密工作檢查。

2）重視信息安全，對(duì)計(jì)算機(jī)聯(lián)網(wǎng)的控制要嚴(yán)格，嚴(yán)禁將企業(yè)內(nèi)部資料上傳上網(wǎng)，不能通過(guò)公共計(jì)算機(jī)傳遞涉密資料。不得在公共計(jì)算機(jī)上進(jìn)行國(guó)家涉密信息和企業(yè)涉密資料的處理、存儲(chǔ)、傳輸。不能在普通的移動(dòng)通訊設(shè)備上談?wù)撋婷苁掠?，?duì)于他人違反保密規(guī)定的行為要及時(shí)制止。不得在傳真機(jī)上發(fā)送企業(yè)或國(guó)家涉密資料。加密機(jī)或者其他設(shè)備的密鑰要有專人掌管，使用要經(jīng)過(guò)層層審批登記。

3）存放和傳輸國(guó)家或企業(yè)機(jī)密文件的電腦不能與公共網(wǎng)絡(luò)相連，要實(shí)現(xiàn)物理隔離。國(guó)家秘密信息如對(duì)外的合作審批、與境外合作國(guó)家進(jìn)行秘密信息交換等，都不能在互聯(lián)網(wǎng)計(jì)算機(jī)內(nèi)進(jìn)行存儲(chǔ)處理和傳輸。

4）對(duì)于發(fā)布到網(wǎng)上的信息，堅(jiān)決制定誰(shuí)主管誰(shuí)負(fù)責(zé)原則，向某網(wǎng)站提供或者發(fā)布機(jī)密信息，必須經(jīng)過(guò)多級(jí)主管部門的核查與審批，要向網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組報(bào)告網(wǎng)絡(luò)安全狀況。

5）對(duì)于已經(jīng)建立起電子公告牌、電子聊天室、網(wǎng)絡(luò)新聞板塊的企業(yè)單位要對(duì)所建立網(wǎng)上平臺(tái)進(jìn)行監(jiān)管，任何單位以及員工不能在網(wǎng)上平臺(tái)發(fā)布國(guó)家或企業(yè)的機(jī)密資料。用戶在使用其他網(wǎng)上交流工具時(shí)，也不能進(jìn)行國(guó)家秘密資料的傳遞。互聯(lián)網(wǎng)平臺(tái)以及使用互聯(lián)網(wǎng)的用戶要將保密教育作為常態(tài)培訓(xùn)來(lái)抓?；ヂ?lián)單位和接入單位、接入單位和使用者都需要簽訂使用協(xié)議，明確自身的法律職責(zé)與義務(wù)，不能向任何人泄露國(guó)家或企業(yè)秘密信息。

要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息策略的安全風(fēng)險(xiǎn)進(jìn)行管理就必須對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全漏洞分析和檢測(cè)，利用防火墻、交換機(jī)、服務(wù)器等網(wǎng)絡(luò)掃描器終端數(shù)據(jù)防泄漏系統(tǒng)的核心力量進(jìn)行網(wǎng)絡(luò)安全的探測(cè)和防護(hù)。終端數(shù)據(jù)防泄漏系統(tǒng)能夠給出檢測(cè)到詳細(xì)的描述、地理位置及有缺陷的信息。終端數(shù)據(jù)防泄漏系統(tǒng)及時(shí)的提醒安全管理員網(wǎng)絡(luò)漏洞，其實(shí)就是模擬了黑客攻擊的手段，對(duì)于這種及時(shí)的提醒可以讓管理員及時(shí)的找到網(wǎng)絡(luò)設(shè)備中存在的不足和及時(shí)發(fā)現(xiàn)外來(lái)入侵的問(wèn)題，從而能及時(shí)的完善安全策略，在一定程度上降低了信息被盜取和丟失的風(fēng)險(xiǎn)。

終端數(shù)據(jù)防泄漏系統(tǒng)提供的默認(rèn)策略方案具有一定的針對(duì)性、科學(xué)性，它是專門針對(duì)特定的系統(tǒng)類型、操作系統(tǒng)以及系統(tǒng)用途的提出來(lái)的方案。策略是在掃描期間進(jìn)行漏洞和缺陷測(cè)試和檢查的一個(gè)集合。終端數(shù)據(jù)防泄漏系統(tǒng)的掃描是根據(jù)一定策略來(lái)進(jìn)行的。用戶可以根據(jù)默認(rèn)的策略模式選擇或者制定自己的策略方案，這種策略允許管理員進(jìn)行及時(shí)的偵測(cè)和管理安全風(fēng)險(xiǎn)的信息，網(wǎng)絡(luò)的時(shí)時(shí)變化和現(xiàn)實(shí)的問(wèn)題及時(shí)的采取并進(jìn)行相應(yīng)地調(diào)整措施。

1）規(guī)則實(shí)施：UDP 或 TCP 的端口、對(duì)內(nèi)、對(duì)外的不同應(yīng)用形式和防火墻所對(duì)應(yīng)的意向地址以及源地址是根據(jù)詳細(xì)統(tǒng)計(jì)該局網(wǎng)絡(luò)信息系統(tǒng)所得來(lái)的結(jié)論。進(jìn)行實(shí)施新的配置模式必須要進(jìn)行新的排序，那么這個(gè)數(shù)據(jù)就要根據(jù)不同應(yīng)用系統(tǒng)的網(wǎng)絡(luò)訪問(wèn)頻繁率進(jìn)數(shù)據(jù)的總結(jié)和分析對(duì)比，然后將一些常用的規(guī)則放在前面來(lái)增強(qiáng)防火墻的工作的效率。針對(duì)每一個(gè)不同服務(wù)器的用戶端口、開啟的服務(wù)的防火墻 DMZ 區(qū)域規(guī)則都進(jìn)行了嚴(yán)謹(jǐn)細(xì)化的探測(cè)，對(duì)不使用的端口還實(shí)行全面的禁止政策。

2）規(guī)則啟用計(jì)劃：對(duì)于一些特殊應(yīng)用的系統(tǒng)的網(wǎng)絡(luò)訪問(wèn)策略需要在特定時(shí)間區(qū)域內(nèi)被啟用、關(guān)閉。這個(gè)系統(tǒng)可以保存7天以內(nèi)的本地?cái)?shù)據(jù)不會(huì)消失，所以具有一定的存儲(chǔ)容量。該局部署的電壓無(wú)功監(jiān)測(cè)系統(tǒng)、遠(yuǎn)程集中抄表系統(tǒng)，可以對(duì)數(shù)據(jù)的保存放心，同時(shí)二者在各自的相關(guān)終端內(nèi)都有屬于自身的儲(chǔ)存驅(qū)動(dòng)器，其并且服務(wù)端數(shù)據(jù)在獲取需時(shí)求不要求數(shù)據(jù)的實(shí)時(shí)性。常規(guī)情況下晚上 21： 00至凌晨05：00時(shí)間段內(nèi)是用戶的休息時(shí)間區(qū)域?qū)儆谝归g的低流量段，在這個(gè)時(shí)間段可以進(jìn)行系統(tǒng)內(nèi)部的防火墻的設(shè)置或者是更新，然后被再次啟用，幾乎不會(huì)給用戶帶來(lái)要打的影響。凌晨06：00至晚上19：00時(shí)間段內(nèi)屬于工作的時(shí)間段，在這個(gè)時(shí)間里進(jìn)行電費(fèi)剩余提示、手機(jī)短信提醒模塊與催繳模塊會(huì)減少擾民的情況出現(xiàn)。

3）日志監(jiān)控：防火墻日志的監(jiān)控屬于主動(dòng)的安全和計(jì)算機(jī)網(wǎng)絡(luò)信息保護(hù)方法。信息網(wǎng)絡(luò)系統(tǒng)的大小和位置有限。基本上可以根據(jù)網(wǎng)絡(luò)事件的規(guī)模找到和分析最重要和最寶貴的信息，而不是采取一系列廣泛的措施。

4）設(shè)備管理：為了達(dá)到防止遠(yuǎn)程修改防火墻設(shè)置的問(wèn)題出現(xiàn)，首先要關(guān)閉防火墻的遠(yuǎn)程訪問(wèn)的功能，然后對(duì)于防火墻設(shè)置中要開啟外網(wǎng)區(qū)域防pink功能。為了避免防火墻的內(nèi)置Web服務(wù)器成為被外網(wǎng)攻擊目標(biāo)的安全隱患，首先要閉防火墻的Web管理功能，其次是在防火墻的管理功能設(shè)置更改一定要通過(guò)本地Console口進(jìn)行更改從而達(dá)到保障安全的目的。

為加強(qiáng)信息和網(wǎng)絡(luò)安全運(yùn)行，制定了《局網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案》，并組織開展了以模擬供電所光纖網(wǎng)絡(luò)中斷事件桌面演練。

結(jié)合網(wǎng)絡(luò)攻防演習(xí)期間，組織各單位綜合業(yè)務(wù)人員進(jìn)行了網(wǎng)絡(luò)信息安全培訓(xùn)，宣貫了網(wǎng)絡(luò)安全知識(shí)和基本技能，提高了員工對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)。

本文提出了相應(yīng)的管理提升策略，整體提升了信息網(wǎng)絡(luò)安全管理水平。