趙云山 阮興衛(wèi)

（1.溧陽市公安局交警大隊(duì)車輛管理所，江蘇 溧陽213300；2.常州信息職業(yè)技術(shù)學(xué)院，江蘇 常州213164）

0 引言

當(dāng)前我國網(wǎng)絡(luò)應(yīng)用成熟度高，應(yīng)用范圍廣，網(wǎng)絡(luò)即時(shí)性、共享性、無空間時(shí)間限制等特性對各行各業(yè)的電子化發(fā)展提供了助力。但受網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的影響，各行業(yè)在享受便利的同時(shí)，也面臨著網(wǎng)絡(luò)安全問題的威脅。對于行政事業(yè)單位而言，其對數(shù)據(jù)安全性要求更高，信息系統(tǒng)的安全性需要更加完備的安全防護(hù)措施，才能有效降低受到網(wǎng)絡(luò)攻擊的概率，提高數(shù)據(jù)的安全性，避免數(shù)據(jù)丟失、泄露、被篡改。

1 行政事業(yè)單位計(jì)算機(jī)網(wǎng)絡(luò)安全的常見問題

1.1 計(jì)算機(jī)系統(tǒng)的漏洞

當(dāng)前行政事業(yè)單位辦公時(shí)應(yīng)用的操作系統(tǒng)是Windows7及以上版本居多，雖然看似系統(tǒng)較新，但微軟操作系統(tǒng)更新較快，對于較低的操作系統(tǒng)，例如Windows 7、Windows xp，已經(jīng)不再提供系統(tǒng)漏洞補(bǔ)丁及更新服務(wù)，實(shí)則已經(jīng)是淘汰的操作系統(tǒng)。受資金、管理、應(yīng)用熟練度以及個(gè)人喜好影響，行政事業(yè)單位仍有較多的低版本操作系統(tǒng)，這給數(shù)據(jù)安全帶來較大的威脅，稍有不慎就會悔之晚矣。

1.2 互聯(lián)網(wǎng)病毒的破壞

長期以來，計(jì)算機(jī)病毒一直是惡意攻擊、侵入網(wǎng)絡(luò)系統(tǒng)的非法手段。它本身具有惡意復(fù)雜性和自啟動能力，而且空間占比小，可以被植入復(fù)雜的程序代碼中難被發(fā)現(xiàn)，從而給受感染的計(jì)算機(jī)帶來嚴(yán)重危害。病毒入侵后，操作系統(tǒng)逐漸變慢甚至失去反應(yīng)能力而崩潰，或者數(shù)據(jù)被竊取、被刪除、被篡改，使得行政事業(yè)單位的辦公被迫停止，給單位造成較大的損失。

1.3 網(wǎng)絡(luò)黑客的惡意攻擊

除病毒侵入外，計(jì)算機(jī)系統(tǒng)還會受到黑客的惡意攻擊。受攻擊的系統(tǒng)被黑客控制，黑客可以對系統(tǒng)及系統(tǒng)內(nèi)的應(yīng)用程序、應(yīng)用數(shù)據(jù)、系統(tǒng)服務(wù)器等進(jìn)行篡改、卸載、刪除。黑客攻擊帶有較強(qiáng)的針對性和目的性，是人為計(jì)劃、密謀、主觀故意的行為，因此受攻擊的系統(tǒng)往往使關(guān)鍵信息丟失、被篡改或是被竊取，而不像病毒那樣純以破壞為主要特征。由此可見，黑客攻擊在危害程度上比病毒更具危害性，這種有組織的惡意攻擊會造成較大的社會負(fù)面影響，更需要做好安全防范措施來應(yīng)對。

1.4 工作人員的操作失誤

操作失誤往往是單位內(nèi)部工作人員對系統(tǒng)、軟件程序的熟悉度不夠，或是對工作流程掌握不到位，在工作的過程中失誤操作導(dǎo)致系統(tǒng)數(shù)據(jù)、關(guān)鍵信息丟失等，輕則數(shù)據(jù)丟失，重則導(dǎo)致系統(tǒng)癱瘓。這種工作人員操作失誤無法通過防火墻、密鑰、殺毒軟件等方法來應(yīng)對，純屬個(gè)人工作素養(yǎng)問題。因此，必須對操作人員進(jìn)行崗前培訓(xùn)、考核、評價(jià)，合格才能上崗，從而保證系統(tǒng)安全。

2 行政事業(yè)單位計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)措施

2.1 組建專業(yè)化計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)部門

行政事業(yè)單位機(jī)構(gòu)多、事務(wù)雜、人員交叉工作，分散的安全管理很難起到應(yīng)有的防范作用，甚至發(fā)生故障時(shí)，責(zé)任也難以劃清。因此，組建專業(yè)化網(wǎng)絡(luò)安全管理部門十分必要。專職管理部門應(yīng)具有以下職責(zé)：第一，以法律為準(zhǔn)繩，針對網(wǎng)絡(luò)安全主管部門的政策、制度、規(guī)章等制定行政事業(yè)單位的網(wǎng)絡(luò)安全綱領(lǐng)、目標(biāo)、流程、措施和制度等；第二，指導(dǎo)行政事業(yè)單位各工作人員落實(shí)網(wǎng)絡(luò)安全制度、操作流程、操作規(guī)范等；第三，對網(wǎng)絡(luò)運(yùn)行的管理、運(yùn)維、資源優(yōu)化、安全建設(shè)等能夠進(jìn)行主動規(guī)劃和籌謀；第四，制定應(yīng)急預(yù)案，對突發(fā)事件能夠盡可能降低影響范圍，并配合調(diào)查和處理事宜；第五，主動開展網(wǎng)絡(luò)安全防護(hù)工作，能夠定期落實(shí)系統(tǒng)補(bǔ)丁、升級；第六，對單位內(nèi)部的所有人員能夠提供及時(shí)的網(wǎng)絡(luò)安全教育和服務(wù)。重點(diǎn)崗位應(yīng)簽訂責(zé)任書，切實(shí)保障單位信息安全。

2.2 建立健全計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)等級機(jī)制

行政事業(yè)單位業(yè)務(wù)需求各不相同，需要根據(jù)網(wǎng)絡(luò)安全等級保護(hù)條例對系統(tǒng)軟件、硬件設(shè)備、數(shù)據(jù)庫等劃分防護(hù)等級，制定各等級防護(hù)措施，一一對應(yīng)，確保安全防護(hù)走向縱深層次。而且，在等級保護(hù)制度落實(shí)時(shí)，還要建設(shè)安全管理中心，通過管理中心將各防護(hù)體系協(xié)調(diào)起來，共同實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)。管理中心是等級保護(hù)制度的中樞，具有系統(tǒng)管理、審計(jì)管理、防護(hù)管理、集中管控等所有功能。通過管理中心的調(diào)控，等級保護(hù)聯(lián)合起來，相互配合，相互促進(jìn)，相互補(bǔ)充，能夠形成嚴(yán)密完整的技術(shù)防護(hù)機(jī)制。同時(shí)對重要的核心數(shù)據(jù)進(jìn)行備份，并做好隔離與防護(hù)措施，以保證核心數(shù)據(jù)的安全。

2.3 優(yōu)化計(jì)算機(jī)網(wǎng)絡(luò)安全區(qū)域劃分與等級防護(hù)

網(wǎng)絡(luò)安全區(qū)域邊界需要根據(jù)行政事業(yè)單位的業(yè)務(wù)需求和保護(hù)等級要求進(jìn)行清晰明確的劃分，如數(shù)據(jù)區(qū)、辦公區(qū)、維護(hù)區(qū)、應(yīng)用區(qū)，等等，劃分的安全區(qū)域相互之間要通過防火墻或者VLAN隔離技術(shù)進(jìn)行邊界訪問防護(hù)與控制，并按實(shí)際需要進(jìn)行網(wǎng)絡(luò)安全區(qū)域邊界控制。訪問控制策略能夠?qū)σ磺性L問進(jìn)行甄別，確定是否非法訪問，然后根據(jù)控制結(jié)果進(jìn)行安全防護(hù)。訪問控制的目的是保護(hù)系統(tǒng)不被非法訪問或使用，對系統(tǒng)起到很好的保護(hù)作用。因此，需要在區(qū)域邊界設(shè)置防火墻，所有訪問數(shù)據(jù)都必須經(jīng)過防火墻的檢測才能進(jìn)入系統(tǒng)內(nèi)部，一旦發(fā)現(xiàn)非法操作或非法訪問，防火墻就會主動攔截，有效降低非法入侵的事故發(fā)生。

2.4 制定內(nèi)、外部計(jì)算機(jī)設(shè)備使用與檢測機(jī)制

行政事業(yè)單位有時(shí)需要進(jìn)行業(yè)務(wù)拓展接入新的網(wǎng)絡(luò)設(shè)備，必須對該設(shè)備進(jìn)行安全管理，達(dá)到網(wǎng)絡(luò)安全管理要求才能接入系統(tǒng)。新設(shè)備要安裝統(tǒng)一的安全管理軟件，能夠?qū)崿F(xiàn)集成化管理，對于終端，實(shí)名認(rèn)證后統(tǒng)一分配IP地址，鎖定IP和MAC地址，防止IP沖突導(dǎo)致系統(tǒng)崩潰。在管理策略中，設(shè)置終端設(shè)備的開機(jī)驗(yàn)證密碼，密碼強(qiáng)度為強(qiáng)，根據(jù)需要定期進(jìn)行密碼重置。關(guān)于補(bǔ)丁升級，設(shè)置終端計(jì)算機(jī)自動進(jìn)行系統(tǒng)補(bǔ)丁升級。定期對計(jì)算機(jī)系統(tǒng)進(jìn)行安全檢測，利用網(wǎng)絡(luò)工具進(jìn)行漏洞掃描、安全檢測、病毒查殺等，確保計(jì)算機(jī)始終處于最佳的安全狀態(tài)。移動設(shè)備接入時(shí)，實(shí)施固定區(qū)域加密處理，禁止不同區(qū)域混接移動設(shè)備。

2.5 計(jì)算機(jī)網(wǎng)絡(luò)邊界、關(guān)鍵節(jié)點(diǎn)的檢測與防護(hù)

網(wǎng)絡(luò)邊界防護(hù)不可掉以輕心，需要嚴(yán)格按照網(wǎng)絡(luò)安全防護(hù)制度和要求進(jìn)行防護(hù)。特別是網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)，對整個(gè)網(wǎng)絡(luò)而言十分關(guān)鍵，需要部署檢測防范設(shè)備對網(wǎng)絡(luò)行為進(jìn)行檢測。例如，下一代防火墻、全流量威脅分析系統(tǒng)等。這些安全防護(hù)措施能夠?qū)ν獠俊?nèi)部網(wǎng)絡(luò)異常行為進(jìn)行檢測、限制訪問或防止入侵，將攻擊包自動丟掉或阻斷訪問。針對核心交換機(jī)，要部署安全感知平臺來加強(qiáng)交換機(jī)的安全防護(hù)。對于業(yè)務(wù)系統(tǒng)，要部署抗DDOS服務(wù)策略，將攻擊拒之門外，確保服務(wù)安全可用。

2.6 全面實(shí)施計(jì)算機(jī)網(wǎng)絡(luò)層的安全審計(jì)

安全防護(hù)部門在進(jìn)行網(wǎng)絡(luò)安全管理工作時(shí)，還應(yīng)當(dāng)針對網(wǎng)絡(luò)層全面實(shí)施安全審計(jì)。審計(jì)中發(fā)現(xiàn)異常需及時(shí)報(bào)警，并給出相應(yīng)的應(yīng)對方案。安全審計(jì)分為內(nèi)網(wǎng)審計(jì)和外網(wǎng)接入審計(jì)兩個(gè)層次，其目的是對網(wǎng)絡(luò)行為進(jìn)行甄別、記錄、保存和分析。審計(jì)工具能夠?qū)ο到y(tǒng)的運(yùn)行進(jìn)行動態(tài)記錄，用以分析和重建系統(tǒng)，并快速定位系統(tǒng)故障，避免類似故障再次的發(fā)生。此外，審計(jì)工具還能對故障進(jìn)行取證，為后續(xù)的分析和溯源提供服務(wù)。在安全事件進(jìn)行檢測時(shí)，審計(jì)工具的作用不可小覷，它能夠及時(shí)對攻擊進(jìn)行報(bào)警，降低攻擊概率?？梢?，審計(jì)工具在一定程度上能夠?qū)粽咂鸬捷^強(qiáng)的震懾作用。

3 結(jié)語

在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境下，行政事業(yè)單位應(yīng)當(dāng)正視自身所面對的網(wǎng)絡(luò)安全問題，積極組建專業(yè)化計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)部門，建立健全計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)等級機(jī)制，優(yōu)化計(jì)算機(jī)網(wǎng)絡(luò)安全區(qū)域劃分與等級防護(hù)，制定內(nèi)、外部計(jì)算機(jī)設(shè)備使用與檢測機(jī)制，計(jì)算機(jī)網(wǎng)絡(luò)邊界、關(guān)鍵節(jié)點(diǎn)的檢測與防護(hù)，全面實(shí)施計(jì)算機(jī)網(wǎng)絡(luò)層的安全審計(jì)，保障行政事業(yè)單位的信息安全，實(shí)現(xiàn)行政事業(yè)單位的可持續(xù)發(fā)展。