信息安全管理系統(tǒng)的應(yīng)用

劉瑞婷

中國(guó)核工業(yè)第五建設(shè)有限公司 上海 201512

網(wǎng)絡(luò)安全指由于網(wǎng)絡(luò)信息系統(tǒng)基于網(wǎng)絡(luò)運(yùn)行和網(wǎng)絡(luò)間的互聯(lián)互通造成的物理線路和連接的安全、網(wǎng)絡(luò)系統(tǒng)安全、操作系統(tǒng)安全、管理安全等幾個(gè)方面。如何加強(qiáng)網(wǎng)絡(luò)安全防范性能，如何通過(guò)安全系列軟硬件及相關(guān)管理手段提高網(wǎng)絡(luò)信息系統(tǒng)的安全性能，降低風(fēng)險(xiǎn)，及時(shí)準(zhǔn)確地掌握信息系統(tǒng)的安全問(wèn)題及薄弱環(huán)節(jié)，及早發(fā)現(xiàn)安全漏洞、攻擊行為并針對(duì)性地做出預(yù)防處理。在攻擊發(fā)生時(shí)，盡早發(fā)現(xiàn)及時(shí)阻斷。在攻擊后，盡快恢復(fù)并找出原因。

1 信息安全管理的要求與目標(biāo)

信息安全的管理要求是保護(hù)商業(yè)信息和知識(shí)產(chǎn)權(quán)，以防止偶然的或未授權(quán)者對(duì)信息的惡意訪問(wèn)、修改、傳播和破壞，從而導(dǎo)致信息的不可控或無(wú)法處理等。保證在最大限度地利用信息為我們服務(wù)的同時(shí)，避免損失或?qū)p失程度降到最低。信息安全的管理目標(biāo)就是讓非法用戶(hù)“進(jìn)不來(lái)（訪問(wèn)控制機(jī)制）—拿不走（授權(quán)機(jī)制）—改不了（數(shù)據(jù)完整性機(jī)制）—看不懂（加密機(jī)制）—跑不了（審計(jì)/監(jiān)控/簽名機(jī)制）”。

2 網(wǎng)絡(luò)安全區(qū)域的劃分及管理

外部區(qū)域主要指外部接入部分和對(duì)外提供服務(wù)的邏輯邊界部分，內(nèi)部區(qū)域主要指放置各服務(wù)系統(tǒng)的區(qū)域。

2.1 以防護(hù)為管理手段

網(wǎng)絡(luò)層，外部：通過(guò)設(shè)置嚴(yán)格訪問(wèn)控制措施來(lái)解決服務(wù)器被用作跳板滲透內(nèi)網(wǎng)。內(nèi)部：訪問(wèn)控制不嚴(yán)格可能導(dǎo)致內(nèi)部人員惡意訪問(wèn)關(guān)鍵服務(wù)器。需加強(qiáng)內(nèi)外部用戶(hù)和管理員用戶(hù)訪問(wèn)控制措施、設(shè)置訪問(wèn)控制措施。

系統(tǒng)層，外部：通過(guò)建立自動(dòng)補(bǔ)丁升級(jí)系統(tǒng)，及時(shí)打補(bǔ)丁解決惡意攻擊。內(nèi)部：接入?yún)^(qū)域最多發(fā)生的安全事件主要是病毒等的侵襲。建立防病毒體系；加固各計(jì)算機(jī)安全設(shè)置；打補(bǔ)丁先測(cè)試后篩選，再安裝進(jìn)行漏洞彌補(bǔ)。

應(yīng)用層，外部：采用WEB腳本掃描器進(jìn)行漏洞掃描，彌補(bǔ)腳本漏洞。內(nèi)部：若暫時(shí)無(wú)法軟件升級(jí)或替換，可采用強(qiáng)密碼和數(shù)據(jù)加密工具使用來(lái)保證應(yīng)用層的安全，加強(qiáng)對(duì)移動(dòng)存儲(chǔ)的管理[1]。

2.2 以監(jiān)測(cè)為管理手段

外部：設(shè)置網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)內(nèi)外進(jìn)出數(shù)據(jù)時(shí)刻分析確保第一時(shí)間發(fā)現(xiàn)安全事件。內(nèi)部：內(nèi)部惡意攻擊、竊取事件越來(lái)越多。設(shè)置入侵監(jiān)測(cè)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控。

2.3 以備份與恢復(fù)為管理手段

外部：通過(guò)對(duì)所有網(wǎng)絡(luò)資源進(jìn)行備份，操作系統(tǒng)、數(shù)據(jù)庫(kù)日志能夠進(jìn)行事后分析和判定，同時(shí)數(shù)據(jù)庫(kù)數(shù)據(jù)備份有利于出問(wèn)題時(shí)及時(shí)恢復(fù)。內(nèi)部：備份域控制器，各網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)等，服務(wù)器中設(shè)立“個(gè)人空間”進(jìn)行個(gè)人重要數(shù)據(jù)的備份。

3 信息安全技術(shù)措施

使用具備旁路監(jiān)聽(tīng)技術(shù)的設(shè)備過(guò)濾、限制訪問(wèn)不良網(wǎng)絡(luò)信息；通過(guò)網(wǎng)絡(luò)版病毒防護(hù)軟件減少病毒的影響；使用郵件網(wǎng)關(guān)進(jìn)行垃圾郵件過(guò)濾，并根據(jù)用戶(hù)舉報(bào)分析垃圾郵件特征和設(shè)置過(guò)濾規(guī)則；使用專(zhuān)用漏洞掃描軟件定期對(duì)系統(tǒng)進(jìn)行漏洞掃描、并生成報(bào)告提醒網(wǎng)絡(luò)管理員對(duì)存在漏洞的系統(tǒng)進(jìn)行整改；使用雙層防火墻防護(hù)服務(wù)器群，并對(duì)服務(wù)器進(jìn)行流量、內(nèi)存等使用情況監(jiān)控；建立數(shù)據(jù)備份方案、做好日志服務(wù)管理工作等。

4 網(wǎng)絡(luò)系統(tǒng)安全管理

4.1 管理目的

確保信息不暴露給未授權(quán)的用戶(hù)，未經(jīng)授權(quán)的人不能修改數(shù)據(jù)，只有得到允許的人才能修改數(shù)據(jù)，并且能夠分辨出被篡改的數(shù)據(jù)。得到授權(quán)的用戶(hù)在合法的范圍內(nèi)可以隨時(shí)隨地訪問(wèn)數(shù)據(jù)。可以控制授權(quán)范圍內(nèi)的信息流向和行為方式。一旦出現(xiàn)安全問(wèn)題，網(wǎng)絡(luò)系統(tǒng)可以提供調(diào)查的依據(jù)和手段[2]。

4.2 管理方案

改善網(wǎng)絡(luò)系統(tǒng)的安全策略設(shè)置，盡量減少安全漏洞，關(guān)閉不使用的服務(wù)，對(duì)不同級(jí)別的網(wǎng)絡(luò)用戶(hù)設(shè)置相應(yīng)的資源訪問(wèn)權(quán)限；對(duì)服務(wù)器的操作，做好系統(tǒng)記錄，經(jīng)常檢查，發(fā)現(xiàn)問(wèn)題及時(shí)解決；必須作好備份與恢復(fù)等應(yīng)急措施，一旦系統(tǒng)出現(xiàn)問(wèn)題能夠及時(shí)恢復(fù)正常，做好網(wǎng)絡(luò)系統(tǒng)的備份與恢復(fù)的技術(shù)規(guī)劃、實(shí)施和操作，并作好詳細(xì)的記錄；對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行系統(tǒng)運(yùn)行記錄和數(shù)據(jù)庫(kù)運(yùn)行記錄的轉(zhuǎn)儲(chǔ)保存以備核查，并異地做好備份；應(yīng)針對(duì)具體情況采取預(yù)防病毒技術(shù)、檢測(cè)病毒技術(shù)和殺毒技術(shù)。

5 物理設(shè)備的安全管理

5.1 網(wǎng)絡(luò)設(shè)備安全

網(wǎng)絡(luò)設(shè)備安全管理指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備以及其他設(shè)備免遭人為操作失誤或錯(cuò)誤行為而導(dǎo)致的破壞。網(wǎng)絡(luò)設(shè)備、設(shè)施應(yīng)配備相應(yīng)的安全保障措施，并定期或不定期地進(jìn)行檢查，對(duì)重要網(wǎng)絡(luò)設(shè)備配備專(zhuān)用電源或電源保護(hù)設(shè)備，保證其正常運(yùn)行。

5.2 客戶(hù)機(jī)的物理安全管理

客戶(hù)機(jī)的物理安全管理指所有連接到信息網(wǎng)絡(luò)系統(tǒng)的計(jì)算機(jī)、工作站、服務(wù)器、網(wǎng)絡(luò)打印機(jī)及各種終端設(shè)備。不得對(duì)其實(shí)施人為損壞；不得擅自更改網(wǎng)絡(luò)設(shè)置，杜絕一切影響網(wǎng)絡(luò)正常運(yùn)行的行為發(fā)生，網(wǎng)絡(luò)系統(tǒng)中的終端計(jì)算機(jī)在使用完畢后應(yīng)及時(shí)關(guān)閉計(jì)算機(jī)和電源。

6 信息安全管理

每三個(gè)月對(duì)計(jì)算機(jī)用戶(hù)的系統(tǒng)應(yīng)進(jìn)行詳細(xì)的安全檢查和維護(hù)，避免因?yàn)橄到y(tǒng)崩潰和損壞而對(duì)系統(tǒng)內(nèi)存儲(chǔ)、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失。要加強(qiáng)信息審查，防止和控制非法、有害的信息通過(guò)網(wǎng)絡(luò)系統(tǒng)傳播。在網(wǎng)絡(luò)系統(tǒng)傳遞信息前要作好查殺毒工作，采取網(wǎng)絡(luò)病毒監(jiān)測(cè)、查毒、殺毒等技術(shù)措施，提高網(wǎng)絡(luò)的整體抗病毒能力，計(jì)算機(jī)用戶(hù)中的文件不可設(shè)置為共享。

7 訪問(wèn)控制安全

7.1 口令管理

所有計(jì)算機(jī)都設(shè)有口令，必須使用口令對(duì)用戶(hù)的身份進(jìn)行驗(yàn)證和確認(rèn)，并設(shè)定兼職系統(tǒng)保密員，負(fù)責(zé)日常的口令管理工作。包括給新增加的用戶(hù)分配初始口令；檢查用戶(hù)使用口令情況；幫助用戶(hù)開(kāi)啟被鎖定的口令，對(duì)非法操作及時(shí)查明原因；定期更換口令。

7.2 網(wǎng)絡(luò)資源屬主、屬性和訪問(wèn)權(quán)限

網(wǎng)絡(luò)資源主要包括共享文件、共享打印機(jī)等資源。資源屬主體現(xiàn)了不同用戶(hù)對(duì)資源的從屬關(guān)系，如建立者、修改者和同組成員等。資源屬性表示了資源本身的存取特性。訪問(wèn)權(quán)限主要體現(xiàn)在用戶(hù)對(duì)網(wǎng)絡(luò)資源的可用程度上。利用指定網(wǎng)絡(luò)資源的屬主、屬性和訪問(wèn)權(quán)限可以有效地在應(yīng)用級(jí)控制網(wǎng)絡(luò)系統(tǒng)的安全性。

7.3 網(wǎng)絡(luò)安全監(jiān)視

網(wǎng)絡(luò)監(jiān)視，它的作用主要是對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行進(jìn)行動(dòng)態(tài)地監(jiān)視并及時(shí)處理各種事件。通過(guò)網(wǎng)絡(luò)監(jiān)視可以簡(jiǎn)單明了地找出并解決網(wǎng)絡(luò)上的安全問(wèn)題，如控制網(wǎng)絡(luò)訪問(wèn)范圍等。

8 結(jié)語(yǔ)

本文通過(guò)對(duì)信息安全管理系統(tǒng)應(yīng)用實(shí)踐，有效劃分網(wǎng)絡(luò)安全區(qū)域，采取網(wǎng)絡(luò)系統(tǒng)安全管理、物理設(shè)備安全管理、訪問(wèn)控制安全等措施，在實(shí)踐應(yīng)用中，提升了信息管理系統(tǒng)的防護(hù)水平。建立安全的信息系統(tǒng)，在企業(yè)信息化管理建設(shè)工作中，顯得尤為重要。