王鎧寧

(朝陽市新型農(nóng)村社會養(yǎng)老保險管理辦公室,遼寧 朝陽 122000)

0 引言

隨著社會的不斷進(jìn)步與發(fā)展,網(wǎng)絡(luò)技術(shù)被越來越廣泛地應(yīng)用于行政事業(yè)單位日常工作中,使工作效率得到顯著提升.但是行政事業(yè)單位很多信息是機(jī)密的,甚至是絕密的,一旦網(wǎng)絡(luò)安全出現(xiàn)重大問題,會導(dǎo)致信息泄露,產(chǎn)生不可估量的損失.因此,本文從行政事業(yè)單位網(wǎng)絡(luò)安全角度著手,分析行政事業(yè)單位網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀,給出網(wǎng)絡(luò)安全建設(shè)具體方案,以有效提高行政事業(yè)單位網(wǎng)絡(luò)安全建設(shè)水平.

1 行政事業(yè)單位網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀

目前,我國行政事業(yè)單位網(wǎng)絡(luò)現(xiàn)有的安全設(shè)施不夠規(guī)范,與國家頒布的《網(wǎng)絡(luò)安全等級保護(hù)條例》[1]要求還有較大的差距,不能形成有效的網(wǎng)絡(luò)安全防護(hù)體系.用戶缺乏網(wǎng)絡(luò)安全意識,相關(guān)規(guī)劃設(shè)計(jì)、制度體系和應(yīng)急機(jī)制建設(shè)不夠完善,導(dǎo)致管理人員面對網(wǎng)絡(luò)安全問題時措手不及.大部分單位均未設(shè)置網(wǎng)絡(luò)安全管理部門,也未配備專職管理人員,有的單位將網(wǎng)絡(luò)安全服務(wù)外包給第三方,導(dǎo)致關(guān)鍵數(shù)據(jù)存在泄露、被篡改等安全隱患.

2 網(wǎng)絡(luò)安全建設(shè)原則

網(wǎng)絡(luò)安全建設(shè)要遵循以下原則:

(1)平衡原則.平衡是指網(wǎng)絡(luò)安全與用戶需求之間的平衡,要在做好安全評估的基礎(chǔ)上,盡可能地保證兩者之間的平衡.

(2)標(biāo)準(zhǔn)化原則.網(wǎng)絡(luò)安全建設(shè)要遵循各種行業(yè)標(biāo)準(zhǔn)和規(guī)范,在保證網(wǎng)絡(luò)安全的情況下,實(shí)現(xiàn)用戶之間互聯(lián)互通及信息共享.

(3)等級原則.依據(jù)《網(wǎng)絡(luò)安全等級保護(hù)條例》以及業(yè)務(wù)安全需求,對硬件設(shè)施、基礎(chǔ)網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)等進(jìn)行安全保護(hù)等級劃分[2],不同等級要設(shè)置不同的安全防范體系,以滿足實(shí)際需求.

3 行政事業(yè)單位網(wǎng)絡(luò)安全建設(shè)具體方案

3.1 劃分網(wǎng)絡(luò)安全域

依據(jù)行政事業(yè)單位網(wǎng)絡(luò)架構(gòu)及服務(wù)器用途,將網(wǎng)絡(luò)劃分成不同的安全域,能夠有效實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離和權(quán)限訪問控制,從而降低網(wǎng)絡(luò)安全風(fēng)險,提升行政事業(yè)單位網(wǎng)絡(luò)安全性.具體區(qū)域劃分如下:第一層安全域是互聯(lián)網(wǎng)用戶區(qū),用于用戶外網(wǎng)接入;第二層安全域是內(nèi)(專)網(wǎng)用戶區(qū),用于用戶內(nèi)(專)網(wǎng)接入;第三層安全域是對外服務(wù)器區(qū),提供對外部用戶開放的服務(wù)器;第四層安全域是內(nèi)部服務(wù)器區(qū),提供僅對內(nèi)部用戶開放的服務(wù)器;第五層安全域是有限服務(wù)器區(qū),提供僅對內(nèi)網(wǎng)用戶開放的應(yīng)用服務(wù)器和數(shù)據(jù)服務(wù)器等.通過安全域的劃分,能實(shí)現(xiàn)行政事業(yè)單位內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的有效物理隔離,切斷信息泄露源頭.同時設(shè)置關(guān)鍵服務(wù)器訪問權(quán)限,只有具備相應(yīng)權(quán)限的用戶才能合法訪問.

3.2 升級并加固硬件設(shè)備

對現(xiàn)有行政事業(yè)單位硬件設(shè)備進(jìn)行全面評估,并依據(jù)評估報告和專家論證結(jié)果,提出設(shè)備升級方案并逐步實(shí)施,以提高網(wǎng)絡(luò)安全性.優(yōu)化核心設(shè)備配置,對可疑數(shù)據(jù)包進(jìn)行過濾攔截,當(dāng)網(wǎng)絡(luò)受到攻擊時會自動報警.升級并加固硬件設(shè)備,通過基于端口或是IP地址的VLAN劃分方式,實(shí)現(xiàn)內(nèi)外網(wǎng)邏輯隔離和網(wǎng)絡(luò)環(huán)境下的內(nèi)部控制.結(jié)合行政事業(yè)單位管理的實(shí)際情況,對資源文件進(jìn)行安全性加固,在其與攻擊者之間建立多道安全防線.利用防病毒服務(wù)器對網(wǎng)絡(luò)中傳送的文件或電子郵件進(jìn)行病毒檢測,對于病毒庫已有的病毒,直接進(jìn)行處理,對于無法處理的病毒則會自動報警并記錄,將采集到的信息反饋給防病毒廠商,由其進(jìn)行處理.同時利用防病毒設(shè)備對網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行動態(tài)監(jiān)測,出現(xiàn)病毒時,自動報警并查殺,實(shí)現(xiàn)了網(wǎng)絡(luò)的周期性防病毒維護(hù),提升了病毒防御能力.

3.3 應(yīng)用網(wǎng)絡(luò)安全關(guān)鍵技術(shù)

采用防火墻、漏洞掃描、入侵檢測、遠(yuǎn)程控制、數(shù)據(jù)備份和恢復(fù)等網(wǎng)絡(luò)安全關(guān)鍵技術(shù),能夠在軟件層面形成網(wǎng)絡(luò)安全防護(hù)屏障.

3.3.1 防火墻

防火墻是目前最常見的網(wǎng)絡(luò)安全技術(shù)形式,它是通過在網(wǎng)絡(luò)邊界建立一個監(jiān)管網(wǎng)絡(luò)通信的系統(tǒng),對整個網(wǎng)絡(luò)進(jìn)行全方位的監(jiān)控,并分析網(wǎng)絡(luò)傳輸數(shù)據(jù),以保障網(wǎng)絡(luò)正常運(yùn)行[3].在行政事業(yè)單位網(wǎng)絡(luò)邊界或關(guān)鍵安全區(qū)域應(yīng)用防火墻,能夠有效屏蔽外界的威脅和攻擊,有效過濾可疑數(shù)據(jù)包,提高網(wǎng)絡(luò)連接的可靠性,保護(hù)網(wǎng)絡(luò)信息和數(shù)據(jù)安全,降低網(wǎng)絡(luò)風(fēng)險.同時,在防火墻中部署防御DDoS攻擊的服務(wù),可以有效抵御泛洪攻擊、協(xié)議漏洞型攻擊和復(fù)雜的應(yīng)用層攻擊等行為,保障網(wǎng)絡(luò)安全.

3.3.2 漏洞掃描

漏洞掃描是指通過掃描手段對服務(wù)器和終端設(shè)備進(jìn)行檢測并發(fā)現(xiàn)安全漏洞的一種安全檢測行為.定期對行政事業(yè)單位局域網(wǎng)進(jìn)行漏洞掃描,能夠及時發(fā)現(xiàn)并快速修復(fù)安全漏洞,避免數(shù)據(jù)丟失、被竊取等情況的發(fā)生,以保障行政事業(yè)單位網(wǎng)絡(luò)的安全性和穩(wěn)定性,提高其風(fēng)險防范能力,進(jìn)而推動行政事業(yè)單位的健康持續(xù)發(fā)展.

3.3.3 入侵檢測

入侵檢測是指對內(nèi)部網(wǎng)絡(luò)資源的使用行為進(jìn)行監(jiān)控,從而動態(tài)、全面、詳細(xì)地檢測網(wǎng)絡(luò)數(shù)據(jù)包以及用戶網(wǎng)絡(luò)行為是否存在異常.一般將入侵檢測設(shè)備部署在核心設(shè)備旁路上,通過端口鏡像獲取網(wǎng)絡(luò)數(shù)據(jù)包,通過對數(shù)據(jù)包的動態(tài)分析和研判,識別是否存在網(wǎng)絡(luò)攻擊行為,同時對攻擊行為進(jìn)行檢測分析,并及時做出響應(yīng)和處理.可在行政事業(yè)單位網(wǎng)絡(luò)邊界關(guān)鍵節(jié)點(diǎn)部署入侵檢測設(shè)備,以應(yīng)對網(wǎng)絡(luò)攻擊.在實(shí)際環(huán)境下,入侵檢測設(shè)備和防火墻是同時工作的,它們之間會建立聯(lián)動機(jī)制,一旦檢測出異常網(wǎng)絡(luò)行為會自動將可疑數(shù)據(jù)包過濾或丟掉,或者基于IP地址直接阻斷攻擊源數(shù)據(jù),以有效阻止網(wǎng)絡(luò)攻擊行為,避免關(guān)鍵數(shù)據(jù)丟失、被竊取和篡改等情況的發(fā)生,從而營造良好的運(yùn)行環(huán)境,提升網(wǎng)絡(luò)風(fēng)險防范能力.

3.3.4 遠(yuǎn)程控制

遠(yuǎn)程控制是在不同局域網(wǎng)之間建立虛擬遠(yuǎn)程網(wǎng)絡(luò)連接,以實(shí)現(xiàn)數(shù)據(jù)資源的訪問、傳輸和共享.目前,我國行政事業(yè)單位進(jìn)行了全面的整合,各部門辦公地點(diǎn)不局限于單一的地理位置,異地辦公帶來的數(shù)據(jù)交換需求越來越多,而且大多數(shù)的數(shù)據(jù)資源是不允許在互聯(lián)網(wǎng)上直接傳輸?shù)?因此,需要利用遠(yuǎn)程控制技術(shù)建立虛擬遠(yuǎn)程網(wǎng)絡(luò)連接,形成網(wǎng)絡(luò)安全隧道,進(jìn)行業(yè)務(wù)數(shù)據(jù)資源的快速傳輸.例如,采用VPN技術(shù)在行政事業(yè)單位的互聯(lián)網(wǎng)出口建立可信的安全隧道,實(shí)現(xiàn)合法用戶遠(yuǎn)程登錄,保障數(shù)據(jù)安全傳輸.

3.3.5 數(shù)據(jù)備份和恢復(fù)

數(shù)據(jù)備份和恢復(fù)是對設(shè)備配置信息、業(yè)務(wù)數(shù)據(jù)和系統(tǒng)數(shù)據(jù)等進(jìn)行實(shí)時或定期的備份和恢復(fù).通過數(shù)據(jù)備份和恢復(fù)可保證數(shù)據(jù)的安全性和可靠性.數(shù)據(jù)備份一般分為本地備份和異地備份,對于特別重要的數(shù)據(jù)要進(jìn)行異地備份,以提高容災(zāi)性.行政事業(yè)單位要按照國家頒布的《網(wǎng)絡(luò)安全等級保護(hù)條例》中數(shù)據(jù)備份要求和數(shù)據(jù)的重要程度,制定完備的數(shù)據(jù)備份和恢復(fù)策略,詳細(xì)規(guī)定各類數(shù)據(jù)的備份方式、備份周期、存儲介質(zhì)、保存期、銷毀方式等,并定期進(jìn)行數(shù)據(jù)備份和恢復(fù)應(yīng)急演練.

3.4 進(jìn)行網(wǎng)絡(luò)安全審計(jì)

行政事業(yè)單位要嚴(yán)格進(jìn)行網(wǎng)絡(luò)安全審計(jì),即對網(wǎng)絡(luò)層會話行為進(jìn)行識別、記錄、存儲、分析和研判,對于確認(rèn)的違規(guī)行為,要及時報警,并做出相應(yīng)處置.網(wǎng)絡(luò)安全審計(jì)包括內(nèi)網(wǎng)安全審計(jì)和外網(wǎng)安全審計(jì).目前,行政事業(yè)單位可通過部署上網(wǎng)行為管理設(shè)備等網(wǎng)絡(luò)安全審計(jì)工具對網(wǎng)絡(luò)行為進(jìn)行審計(jì)管理,一旦發(fā)生網(wǎng)絡(luò)安全事件,相關(guān)部門要及時輔助網(wǎng)絡(luò)安全管理人員對網(wǎng)絡(luò)安全事件進(jìn)行事后恢復(fù)與重建.

3.5 完善網(wǎng)絡(luò)安全管理制度

行政事業(yè)單位應(yīng)成立專門的網(wǎng)絡(luò)安全管理部門,并配備專業(yè)的網(wǎng)絡(luò)安全管理人員.由管理部門統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全建設(shè)工作,依據(jù)實(shí)際需求制定網(wǎng)絡(luò)安全體系建設(shè)計(jì)劃,完善現(xiàn)有的網(wǎng)絡(luò)安全管理制度和網(wǎng)絡(luò)安全應(yīng)急預(yù)案.若網(wǎng)絡(luò)安全服務(wù)外包給第三方,行政事業(yè)單位要對其進(jìn)行嚴(yán)格的監(jiān)管,規(guī)范數(shù)據(jù)處理流程,避免關(guān)鍵數(shù)據(jù)丟失.

3.6 強(qiáng)化用戶安全意識

在行政事業(yè)單位中,無論是內(nèi)網(wǎng)用戶還是外網(wǎng)用戶,都需要強(qiáng)化自身的安全意識,樹立正確的安全理念,嚴(yán)格遵守操作規(guī)范,降低由于用戶違規(guī)操作所造成的網(wǎng)絡(luò)安全風(fēng)險發(fā)生幾率.行政事業(yè)單位相關(guān)部門要結(jié)合工作崗位要求,對單位內(nèi)部用戶定期進(jìn)行信息化應(yīng)用培訓(xùn),以提升行政事業(yè)單位管理質(zhì)量.

4 結(jié)語

行政事業(yè)單位要高度重視網(wǎng)絡(luò)安全建設(shè)工作,并結(jié)合實(shí)際需求合理規(guī)劃、制定網(wǎng)絡(luò)安全建設(shè)方案,有效應(yīng)用各種網(wǎng)絡(luò)安全技術(shù),形成一套完善的網(wǎng)絡(luò)安全防護(hù)體系,以保障數(shù)據(jù)安全,提高網(wǎng)絡(luò)安全防護(hù)水平和網(wǎng)絡(luò)服務(wù)質(zhì)量,為用戶創(chuàng)建科學(xué)、安全、可靠的網(wǎng)絡(luò)環(huán)境,使行政事業(yè)單位在社會服務(wù)過程中更好地發(fā)揮作用和效能.