如何加強信息網絡安全的探討

摘要:該文概括了計算機信息網絡面臨的多種威脅，針對我局具體情況，從物理安全、系統安全、網絡安全、應用安全、管理安全等方面提出相應的措施。

關鍵詞:計算機網絡;信息安全;安全管理

中圖法分類號:TP393.08文獻標識碼:A文章編號:1009-3044(2010)21-5969-02

Discussion of How to Reinforce the Safety of Information Network

GU Yin-cong

(Tongchuan Power Supply， Tongchuan 727031， China)

Abstract: This paper summarized the kinds of threatens faced by computer information network， and then aimed at the concrete conditions of our administration to bring forward corresponding measure from aspect such as Physical safety， system safety， network safety ， applying safety， management safety. atc.

Key words: computer network; information safety; safetymanagement

隨著計算機信息網絡技術的廣泛應用和飛速發展，計算機信息網絡已成為現代信息社會的基礎設施。由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，它作為進行信息交流、開展各種社會活動的工具，已經深入到人們生活的各個領域。同時，基于網絡連接的安全問題也日益突出，網絡安全問題已經成為人們普遍關注的問題。

1 網絡安全分析

網絡安全面臨的威脅主要有以下幾種:

1)物理安全威脅

物理安全是指在物理介質層次上對存儲和傳輸信息的安全保護。這方面的威脅主要有:自然災害、設備故障、電磁輻射、操作失誤和意外事件。常用的有兩種網絡隔離技術:①單主板安全隔離計算機;②隔離卡技術。目前我局采用的就是后一種隔離技術實現了物理上的隔離。

2)系統的安全缺陷

系統的安全指網絡操作系統、應用系統的安全。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其他廠商開發的應用系統，其開發廠商必然有其Back—Door，而且系統本身必定存在安全漏洞，這些“后門”或安全漏洞都將存在重大安全隱患。

3)網絡協議和軟件的安全缺陷

因特網的基石是TCP/IP協議，該協議在實現上力求高效，而沒有考慮安全因素，因為那樣無疑增大代碼量，從而降低了TCP/IP的運行效率，所以說TCP/IP本身在設計上就是不安全的。①很容易被竊聽和欺騙;②缺乏安全策略;③配置的復雜性。TCP/IP協議是被公布于世的，了解它的人越多，被人破壞的可能性越大。

4)用戶安全使用的缺陷

操作員安全配置不當造成的安全漏洞，用戶安全意識不強，口令選擇不慎，密碼易于被破解，軟件使用的錯誤，系統備份不完整，用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。

5)黑客入侵安全威脅

黑客利用計算機某些程序的設計缺陷，可以利用多種方法實現對網絡的攻擊，如:網絡端口掃描、網絡監聽、IP電子欺騙等。

2 信息網絡安全策略

通過以上幾方面的網絡安全分析，下面針對我局的具體情況，從物理安全、系統安全、網絡安全、應用安全、管理安全等方面提出相應的措施。

2.1 物理安全

物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。主要包括以下幾個方面:

1)環境安全

對系統所在環境的安全保護、如區域保護和災難保護、我局嚴格按照各類國家規范及標準進行了設計施工，信息機房安裝了了機房監控系統，具有監視攝像系統、溫、濕度監測、煙感監測等功能。機房內的場地區域嚴格按照“三級系統獨立成域，二級系統統一成域”的要求進行了嚴格劃分，機房運行環境和測試環境、場地物品擺放、步線管理等都嚴格按照國家相關要求進行了配置。

2)設備安全

設備安全主要包括設備的檔案管理、設備標識管理、設備檢修、設備缺陷、設備參數等;我們主要通過管理及提高員工的整體安全意識來實現，具備各類規章制度、技術圖紙、記錄簿、設備臺帳等，裝有計算機網絡管理系統，對計算機網絡、計算機系統、服務及應用等運行狀況進行實時監測和管理。

2.2 系統安全

1)網絡結構安全

我局信息網絡已經覆蓋新老區辦公區(新區辦公大樓、營業樓、生產樓、銀河酒店、老區辦公樓)、4個縣電力局、35KV及以上變電站26個(其中330KV 3個，110KV 19個，35KV 5個)和供電所37個。目前擔負著ERP系統、協同辦公系統、遠光財務系統、輸變電可靠性系統、無功電壓、線損系統、PMS系統、營銷系統、營銷輔助決策系統、95598呼叫系統、視頻會議系統、農電SG186系統、變電站視頻監控系統等重要系統的運行維護工作，同時進行了雙網建設，雙網隔離率100%，外網主要覆蓋局財務網上銀行業務、日常資料查詢業務等。經過四級網建設和網絡完善后，我局網絡拓撲結構設計合理，滿足線路有冗余、路由冗余等，網絡安全大大提高。信息網絡系統在我局生產、經營、管理中發揮著越來越重要得作用。

2)操作系統安全

操作系統安全主要采取安全配置、權限限制、補丁、安全掃描等策略進行安全防范。針對這一情況，我局信通中心對所有服務器所安裝的Windows系統、UNIX系統的帳號進行了權限設置、系統帳號口令長度和復雜度滿足安全要求，并關閉了系統中不安全的服務，設置了系統中重要文件的訪問權限，限制了訪問應用系統的用戶，定期安裝系統安全補丁程序，配置防病毒軟件的防病毒策略，強化了系統相關安全配置等一系列安全措施。

3)應用系統安全

我們主要對應用系統上線前進行安全性測評，并由相關記錄備案，對發現的問題提出整改意見并督促進行整改，保障系統上線的安全性。對應用服務器我們主要盡量避免開放一些不常用的協議及協議端口號并應加強登錄身份認證、確保用戶使用的合法性。

2.3 網絡安全

網絡安全是整個安全解決方案的關鍵，我局信息網絡覆蓋全局生產、經營和管理各個方面，網絡上運行著各種信息管理系統，保存著大量的重要數據，為了保證網絡的安全，針對計算機網絡本身可能存在的安全問題，在網絡安全管理上我們采取了以下技術措施:

1)進行系統分域管理

根據信息系統安全保護等級定級要求，對信息系統進行安全域劃分，其中營銷系統和95598系統按二級系統集成二級域，其他應用系統:PMS、OA、可靠性、輸變電等系統均為一級系統，統一作為一級域。

2)部署網絡邊界防火墻

在局域網與局域網間邊界部署防火墻，分別在局域網與廣域網間、局域網與財務專網間、局域網與營銷系統間、局域網與信息四級網間、局域網與調度DMIS網間進行部署，對防火墻策略進行嚴密配置，并定期進行更新，提高防火墻安全性。

3)網絡設備安全防護措施

對網絡設備自身進行全面安全防護，通過升級網絡設備版本、建立網絡冗余鏈路、加固網絡訪問限制、關閉SSH、FTP、HTTP、SNMP等不用服務，對安全設備進行加密訪問，通過HTTPS和SSH進行訪問，防止信息泄露。

4)外部設備接入控制

對網絡設備接入進行IP和MAC地址綁定，防止非法用戶接入網絡，并制定外部設備接入管理辦法，通過填寫外部設備接入記錄來監控外部設備接入情況。

5)對互聯網出口的安全檢測

通過用戶身份認證系統對互聯網出口進行監控，外網通過認證系統進行認證，實現對外網流量信息的監控和審計，保障互聯網出口的安全。

6)內網網絡接口監控

通過網絡邊界防火墻進行網絡接口流量監控，啟用防火墻日志記錄，并建立日志服務器，對日志可進行查看和跟蹤分析等。

7)雙網建設

加強外網管理，目前通過雙網建設，內外網安全隔離100%。

8)防病毒部署

在內外網分別部署卡巴斯基防病毒網絡版，在服務器和客戶機進行安裝，并通過服務器進行自動更新，內網病毒庫更新每天通過專用U盤從外網服務器進行拷貝升級，保障內網病毒庫的實時更新。建立防病毒系統日常維護記錄，記錄防病毒系統日常運行維護情況。

9)360安全衛士部署

在服務器和客戶機分別部署360安全衛士，并通過360服務器進行自動升級補丁，實時漏洞掃描。

2.4 應用安全

通過注冊安裝桌面終端標準化管理系統，我們可以對內網用戶桌面終端的異常和變更進行規范管理，包括對設備資產變化、設備使用人變更、終端訪問異常、系統流量異常、違規軟件使用、系統運行異常等進行審計分析，針對容易導致桌面終端受到安全攻擊的操作行為和存在潛在安全風險進行統計等。

2.5 安全管理

1)制定健全的安全管理體制

結合同我局實際情況，制定如設備運行管理制度、設備缺陷管理制度、系統密碼管理制度、信息機房值班管理制度等一系列安全管理制度。

2)增強人員的安全防范意識

經常對員工進行網絡安全防范意識的培訓，全面提高員工的整體網絡安全防范意識。

3 結束語

信息安全問題涉及到國家安全和社會公共安全。隨著計算機技術和通信技術的發展，計算機網絡日益成為信息交換的重要手段，并且已經滲透到社會生活的各個領域。因此，發展信息安全技術是目前面臨的迫切要求，只要我們結合實際工作、不斷加強網絡信息安全規范化管理力度，大力加強安全技術建設、清醒認識網絡的脆弱性和潛在威脅，全面強化管理人員及使用人員的安全防范意識，積極采取有力的安全策略，完全可以筑起信息網絡安全可靠的保障體系。