淺談政府內(nèi)部網(wǎng)的安全管理

摘要:隨著網(wǎng)絡(luò)的高速發(fā)展，內(nèi)部應用越來越廣，內(nèi)部網(wǎng)的信息安全問題不斷暴露出來。該文主要對機關(guān)內(nèi)部網(wǎng)絡(luò)的安全管理和應用保障進行分析，對網(wǎng)絡(luò)安全面臨的特點和主要問題進行了分析，探討了政府內(nèi)部網(wǎng)絡(luò)的安全管理辦法和趨勢。

關(guān)鍵詞:安全;局域網(wǎng);設(shè)備;信息;策略;審計;管理制度

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)24-6657-02

隨著信息的高速發(fā)展，各級政府機關(guān)已經(jīng)陸續(xù)建設(shè)好自己的網(wǎng)絡(luò)，系統(tǒng)越上越多，應用越來越復雜，辦公系統(tǒng)、業(yè)務系統(tǒng)、管理系統(tǒng)、財務系統(tǒng)……政府機關(guān)或企業(yè)的各種事務都用電腦通過網(wǎng)絡(luò)進行處理，由于網(wǎng)絡(luò)技術(shù)不斷發(fā)展，系統(tǒng)不停在增加，應用不斷升級，安全管理問題突現(xiàn)，本文根據(jù)以上問題就局域網(wǎng)的安全特征進行分析，就如何管理好政府內(nèi)部網(wǎng)絡(luò)進行深入分析，探討一個合適的內(nèi)部網(wǎng)絡(luò)管理辦法，希望能形成一種制度或習慣，為各級領(lǐng)導和網(wǎng)絡(luò)管理員更好的保證內(nèi)部網(wǎng)絡(luò)的安全運行……

1 網(wǎng)路安全問題的特征

1) 網(wǎng)絡(luò)安全的必然性

網(wǎng)絡(luò)上傳輸?shù)母鞣N數(shù)據(jù)信息都是電信號，大多具有相應的特征，通過這些電信號的特征分析，就可以獲得計算機在網(wǎng)絡(luò)上傳遞的數(shù)據(jù)，這是計算機網(wǎng)絡(luò)與生俱來的致命弱點，其只能通過各種加密的算法，使其不易被破譯而已，所以可以說世界上任何一部計算機網(wǎng)絡(luò)都不是絕對安全的。

2) 安全問題面臨的威脅

據(jù)統(tǒng)計，70%左右的安全問題來源于內(nèi)部用戶。黑客攻擊是最可怕的，也是網(wǎng)絡(luò)安全策略的首要防范對象，其通過制造病毒、編寫木馬對存在漏洞的計算機進行收集重要數(shù)據(jù)或者破壞攻擊。近幾年，在互聯(lián)網(wǎng)上黑客猖狂肆虐，攻擊不斷，使通信網(wǎng)絡(luò)中斷，軍事指揮系統(tǒng)失靈，網(wǎng)站癱瘓，中獎號碼被篡改，電力和供水系統(tǒng)癱瘓，銀行金融系統(tǒng)混亂，危及國家政治、軍事、經(jīng)濟的安全與穩(wěn)定，在世界各國造成了難以估量的損失。而在政府內(nèi)部網(wǎng)當中，由于內(nèi)部信息和互聯(lián)網(wǎng)信息不斷交流致使一些病毒和木馬不知不覺得流入了內(nèi)部網(wǎng)，在內(nèi)部網(wǎng)內(nèi)進行不斷復制造成資源耗費、業(yè)務中斷、資料泄漏、數(shù)據(jù)丟失甚至系統(tǒng)癱瘓、網(wǎng)絡(luò)癱瘓。

3) 內(nèi)部網(wǎng)絡(luò)的存在的主要安全隱患

(1) 意識安全

在政府內(nèi)部網(wǎng)中，人員的意識安全普遍不強。數(shù)據(jù)庫使用缺省密碼或常用密碼，數(shù)據(jù)庫連接串的信息嵌入應用軟件當中，計算機不加密碼、資源隨意共享、軟件隨意安裝、外來電腦隨意入網(wǎng)……

(2) 系統(tǒng)漏洞

在政府網(wǎng)內(nèi)運行的操作系統(tǒng)多種多樣，很多內(nèi)部網(wǎng)內(nèi)未建設(shè)安全更新補丁服務器，正版的系統(tǒng)也不一定能夠及時更新安全漏洞補丁，使得很多機器存在容易被攻擊的可能。

(3) 隔離安全

政府內(nèi)部網(wǎng)通常獨立于互聯(lián)網(wǎng)，但是由于現(xiàn)在工作也很難離開互聯(lián)網(wǎng)，很多單位已經(jīng)具備了內(nèi)部網(wǎng)和互聯(lián)網(wǎng)雙網(wǎng)絡(luò)，為了工作之方便，同時也為黑客病毒開了方便之門。

(4) 介質(zhì)安全

由于內(nèi)部網(wǎng)絡(luò)計算機也要跟外部交流信息，移動硬盤、U盤和光盤不可避免地要和內(nèi)部計算機進行數(shù)據(jù)交流，嚴格使用這些安全介質(zhì)就是內(nèi)部網(wǎng)絡(luò)安全源頭防護。

(5) 惡意攻擊

內(nèi)部網(wǎng)絡(luò)一般是受到病毒的無意發(fā)作攻擊，也會存在人為惡意攻擊來獲取信息。

2 如何構(gòu)建內(nèi)部安全網(wǎng)絡(luò)

根據(jù)網(wǎng)絡(luò)安全的存在的種種隱患，我們可以通過以下管理方式進行預防安全事故:

1) 制定嚴謹?shù)陌踩贫?/p>

要確保內(nèi)部網(wǎng)的安全，首先是制度的安全。和領(lǐng)導的足夠重視、系統(tǒng)管理員的盡職盡責是分不開的。首先要制定完善的安全制度，把影響安全的行為規(guī)范起來，比如文件和打印的共享、計算機軟件的安裝要經(jīng)過審批，接入內(nèi)部網(wǎng)要經(jīng)過審批備案才可接入等等;其次就要嚴格執(zhí)行制度，對用戶進行制度的安全培訓，提高用戶的意識安全和使用安全;再有就是安全制度的有效執(zhí)行監(jiān)督和考核機制。

2) 規(guī)劃好內(nèi)部網(wǎng)的安全框架

框架安全就是對網(wǎng)絡(luò)的安全區(qū)進行管理，對提供服務的機器進行深度的安全保護，設(shè)立防火墻、訪問控制等安全策略。

3) 劃分好安全區(qū)域

現(xiàn)代政府網(wǎng)絡(luò)一般局域網(wǎng)都使用100M或者1000M的局域網(wǎng)，通過租用運營商的電路與上級機關(guān)和下級機關(guān)的局域網(wǎng)互聯(lián)，形成系統(tǒng)內(nèi)部網(wǎng)。這么一個龐大的網(wǎng)絡(luò)，就要進行安全區(qū)域的科學劃分，劃分無非分兩種，一是網(wǎng)段劃分，通過路由器進行數(shù)據(jù)交換;二是通過交換機進行Vlan劃分，其作用主要是減少網(wǎng)絡(luò)廣播，結(jié)構(gòu)清晰，管理方便

4) 提供安全的服務

在企業(yè)內(nèi)部網(wǎng)內(nèi)一般分級建立不少服務，常見的有文件服務系統(tǒng)，辦公自動化管理系統(tǒng)，業(yè)務系統(tǒng)等等，如何能夠為用戶提供安全可靠的不間斷服務，這是內(nèi)部網(wǎng)的主要目的，也是內(nèi)部服務網(wǎng)要解決的主要問題。要確保服務的安全，首先就是要科學配置好服務器，確保設(shè)備冗余，一般應該采用多個網(wǎng)卡接入內(nèi)網(wǎng)的服務，關(guān)閉不必要的服務，所有的服務器應該接入到防火墻DMZ區(qū)，通過訪問控制、加密技術(shù)和認證技術(shù)允許相應的機器或者網(wǎng)段對服務器的指定資源進行訪問;其次要確保良好的服務機房環(huán)境，嚴格執(zhí)行機房環(huán)境要求;第三就是要定期對機器進行檢查維護，確保服務器無病毒、無故障正常運行。

5) 建設(shè)內(nèi)部網(wǎng)絡(luò)服務安全平臺

部署網(wǎng)絡(luò)管理系統(tǒng)，及時發(fā)現(xiàn)系統(tǒng)的設(shè)備情況、設(shè)備運行情況:

(1) 將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風險。

(2) 定期進行漏洞掃描，審計跟蹤，及時發(fā)現(xiàn)問題，解決問題。

(3) 利用網(wǎng)絡(luò)包分析工具(如sniffer)，定期進新網(wǎng)絡(luò)健康檢測分析、服務器性能分析，及時調(diào)整或變更配置管理或設(shè)備，該工具也能很快發(fā)現(xiàn)網(wǎng)絡(luò)毛病位置。

(4) 設(shè)立內(nèi)部安全更新服務器，及時為所有的機器更新漏洞補丁。

(5) 通過入侵檢測等方式實現(xiàn)實時安全監(jiān)控，提供快速響應故障的手段，同時具備很好的安全取證措施。

(6) 通過數(shù)據(jù)備份或者快照等技術(shù)使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應用。使系統(tǒng)重新恢復到破壞前的狀態(tài)，最大限度地減少損失。

7) 客戶端計算機的管理

局域網(wǎng)中的每一臺計算機都可能是內(nèi)網(wǎng)的安全隱患，所以要對網(wǎng)絡(luò)內(nèi)的客戶端計算機進行嚴格的管理。一是要嚴格登記工作站的接入端口，記錄好入網(wǎng)的基本信息資料，如用戶名，物理端口號，網(wǎng)卡地址，接入交換機的具體設(shè)備和端口，形成初步的網(wǎng)絡(luò)管理數(shù)據(jù)庫，方便進行內(nèi)網(wǎng)管理、故障管理和安全管理;二是在工作站安裝相應的防病毒軟件和桌面安全管理軟件，由中央控制臺統(tǒng)一控制和管理，實現(xiàn)全網(wǎng)統(tǒng)一防病毒;三是在用戶端開啟的業(yè)務應該嚴格控制，應該根據(jù)需求開啟相應的服務，把缺省開啟的不必要的服務關(guān)閉，通過本地安全策略設(shè)置，配置好相應的應用，關(guān)閉不必要的端口。四是文件網(wǎng)絡(luò)傳輸盡量使用內(nèi)部的FTP服務，盡量不要開啟本地的文件和打印共享。五是嚴格管理好用戶的應用，政府內(nèi)部網(wǎng)系統(tǒng)較多，但是個人用戶的應用就不一定很多，建議特定的人干特定的事情，通過訪問控制機制，授權(quán)相應的機器訪問相應的服務器，這樣既減少網(wǎng)絡(luò)的應用，也減少網(wǎng)絡(luò)的安全威脅。

8) 建立安全考核機制

通過建立完善的安全考核機制，對內(nèi)部使用人員、系統(tǒng)信息員和系統(tǒng)管理員進行考核，提高操作人員的安全覺悟和安全習慣對內(nèi)部信息安全作用巨大。

3 結(jié)論

總之，隨著內(nèi)部網(wǎng)絡(luò)的應用越廣泛，內(nèi)部安全問題也會經(jīng)歷越來越嚴峻的考驗。因此網(wǎng)絡(luò)信息的安全必須依靠嚴格執(zhí)行管理制度，依靠不斷創(chuàng)新的技術(shù)進步與應用和完善的監(jiān)控手段是能夠很好的保證政府內(nèi)部網(wǎng)絡(luò)的安全使用。

參考文獻:

[1] 晏蒲柳.大規(guī)模智能網(wǎng)絡(luò)管理模型方法[J].計算機應用研究.2005，3.

[2] 周碧英.淺析計算機網(wǎng)絡(luò)安全技術(shù)[J].甘肅科技，2008，24(3):18-19.

[3] 潘號良.面向基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全措施探討[J].軟件導刊，2008，(3):74-75.

[4] 孫曉南.防火墻技術(shù)與網(wǎng)絡(luò)安全[J].科技信息，2008，(3):199-120.

[5] 趙立志，林偉.淺析網(wǎng)絡(luò)安全技術(shù)[J].民營科技，2008，(3):193.

[6] 褚永剛，楊義先.入侵檢測系統(tǒng)的技術(shù)發(fā)展趨勢[J].世界電信，2003.6(12):11-19.