【正文】 當前 網(wǎng)絡 安全 問題已經(jīng)涵蓋 網(wǎng)絡 自身 安全 、 網(wǎng)絡 運維 安全 、 網(wǎng)絡 信息 安全 以及有害信息過濾和溯源在內(nèi)多個層面。除涉及用戶、 網(wǎng)絡 運營商和國家以外，還涉及互聯(lián)網(wǎng)上的內(nèi)容提供商、應用提供商等其他實體。 安全 問題已經(jīng) 成為互聯(lián)網(wǎng)發(fā)展中無法回避的核心問題。此外隨著下一代電信網(wǎng)的建設、新業(yè)務的開展以及網(wǎng)絡 的開放，傳統(tǒng)電信網(wǎng)也不像最初那樣 安全 了。 無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。攻擊者可以竊聽網(wǎng)絡上的信息，竊取用戶的口令、 數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內(nèi)容，偽造用戶身份，否認自己的簽名。更有甚者，可以刪除數(shù)據(jù)庫內(nèi)容，摧毀網(wǎng)絡節(jié)點，釋放計算機病毒等等，這些都使信息安全問題越來越復雜。所以網(wǎng)絡的安全性也就成為廣大網(wǎng)絡用戶普遍關心的問題。無論是在局域網(wǎng)還是在廣域網(wǎng)中都存在著自然和人為等諸多因素的脆弱性和潛在威脅。發(fā)展和推廣網(wǎng)絡應用的同時進一步提高網(wǎng)絡的安全性，真正做到“既要使網(wǎng)絡開放又要使網(wǎng)絡安全”這一問題已成為了網(wǎng)絡界積極研究的課題。 在我國，近幾年隨著網(wǎng)絡技術的發(fā)展，網(wǎng)絡應用的普及和豐富，網(wǎng)絡安全的問題也日益嚴重，利用信息技術 進行的高科技犯罪事件呈現(xiàn)增長態(tài)勢。 應該說，網(wǎng)絡技術是一把雙刃劍，它在為我國國民經(jīng)濟建設、人民的物質(zhì)文化生活帶來促進和豐富的同時，也對傳統(tǒng)的安全體系提出了嚴峻的挑戰(zhàn)，使得國家機密、金融信息等面臨巨大的威脅。但是，正確的態(tài)度應該是辨證的態(tài)度。一 河南中煙許昌卷煙廠 XCXXZB2020004 號 鄭州蘇富特軟件有限公司 2 方面不能因噎廢食，拒絕先進的網(wǎng)絡技術和文化，但另一方面一定要對網(wǎng)絡威脅給予充分的重視。中國工程院院士沈昌祥說：構(gòu)筑信息與網(wǎng)絡安全防線―事關重大、刻不容緩。國家領導人也多次組織召開信息安全工作會議，強調(diào)信息安全的重要性，提高信息安全防護意識，大力推進我國信息安全的建設工作 。為此，國內(nèi)眾多的信息安全廠商也不斷的提高自身的信息安全技術與管理的水平，不斷地向用戶提供完整的解決方案和服務，幫助客戶提高信息安全防護的水平和等級，構(gòu)筑起中國的信息安全“長城”。 1 公司介紹 作為專業(yè)化的網(wǎng)絡安全保障公司， 極地銀河（北京）信息科技有限公司 現(xiàn)已獨立研制開發(fā)出了 《極地銀河終端與內(nèi)網(wǎng)安全管理系統(tǒng)》 等多項具有國際先進水平的網(wǎng)絡安全產(chǎn)品，并且與國內(nèi)外許多著名安全產(chǎn)品商建立了戰(zhàn)略合作伙伴關系，從安全防護、報警、響應、追蹤、恢復、報表和證據(jù)采集等各個方面對網(wǎng)絡系統(tǒng)提供安全可靠的保障服務。 通過對多項大型政府電子政務、金融、石油石化、電信等行業(yè)網(wǎng)絡安全保障工程的建設實踐，我們深切的體會到任何網(wǎng)絡工程的建設都離不開信息安全技術和信息安全管理的建設工作。正是出于對廣大用戶和企業(yè)切身利益的考慮，本著“提供本行業(yè)最全面、最權威的系列網(wǎng)絡安全與管理 的保障解決方案”的宗旨，我們薈萃全球的尖端技術，推出了優(yōu)秀的終端與內(nèi)網(wǎng)安全 保障解決方案 —— 極地銀河終端與內(nèi)網(wǎng)安全管理系統(tǒng) 解決方案。 2 網(wǎng)絡與應用現(xiàn)狀 概述 以 Inter 為代表的全球性信息化浪潮日益深刻，信息網(wǎng)絡技術的應用正日益普及和廣泛，應用層次正在深入，應用領域從傳統(tǒng)的、小型業(yè)務系統(tǒng)逐漸向大型、關鍵業(yè)務系統(tǒng)擴展，伴隨網(wǎng)絡的普及，安全日益成為影響網(wǎng)絡效能的重要問題，而 Inter 所具有的開放性、國際性和自由性在增加應用自由度的同時，對 河南中煙許昌卷煙廠 XCXXZB2020004 號 鄭州蘇富特軟件有限公司 3 安全提出了更高的要求。政府機構(gòu)從事的行業(yè)性質(zhì)是跟國家緊密聯(lián)系的，所涉及信息可以說都帶有機密性，所以其信息安全問題，如敏感信息的泄露、黑客的侵擾、網(wǎng)絡資源的非法使用以及計算機病毒等。都將對政府機構(gòu)信息安全構(gòu)成威脅。為保證政府 網(wǎng)絡系統(tǒng)的安全，有必要對其網(wǎng)絡進行專門安全設計。 《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2020]27 號，以下簡稱 27 號文件 ）明確要求我國信息安全保障工作實行等級保護制度 ,提出 抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南 。 2020 年 9 月發(fā)布的《關于信息安全等級保護工作的實施意見》（公通字 [2020]66 號，以下簡稱 66 號文件 ）進一步強調(diào)了開展信息安全等級保護工作的重要意義，規(guī)定了實施信息安全等級保護制度的原則、內(nèi)容、職責分工、基本要求和實施計劃， 部署了實施信息安全等級保護工作的操作辦法。這些文件都為我們的網(wǎng)絡管理工作提出了要求。 ? 對于政府部門， 內(nèi)部網(wǎng)絡的一臺機器安全受損（被攻擊或者被病毒感染），就會同時影響在同一網(wǎng)絡上的許多其他系統(tǒng)。透過網(wǎng)絡傳播，還會影響到與本系統(tǒng)網(wǎng)絡有連接的外單位網(wǎng)絡；影響所及，還可能涉及法律、金融等安全敏感領域。 所以 政府行業(yè)網(wǎng)絡系統(tǒng)，國家規(guī)定是不能與互聯(lián)網(wǎng)直接或間接相連 的 ? 目前的操作系統(tǒng)或應用系統(tǒng)無論是 Windows 還是其它任何商用UNIX 操作系統(tǒng)以及其它廠商開發(fā)的應用系統(tǒng)， 都存在的很多漏洞，黑客就可以通過蠕蟲病毒找到最薄弱的 計算機滲入內(nèi)網(wǎng)。所以定期全面的強制性打補丁來增強客戶端的強壯性也是非常必要的。 ? 政府網(wǎng)絡系統(tǒng)內(nèi)部必有自動化 辦公 系統(tǒng)。而辦公網(wǎng)絡應用通常是共享網(wǎng)絡資源，比如文件 共享 、打印機共享等。由此就可能存在著：員工有意、無意把硬盤中重要信息目錄共享，長期暴露在網(wǎng)絡鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他員工 通過移動存儲設備等方式將信息外漏。 ? 煙草企業(yè) 部門眾多，故 PC 的數(shù)量也就相應要比一般單位多，隨著網(wǎng)絡的普及，游戲、電影、炒股軟件等在網(wǎng)絡上大肆猖獗，嚴重影響了 河南中煙許昌卷煙廠 XCXXZB2020004 號 鄭州蘇富特軟件有限公司 4 員工的工作效率，所以資產(chǎn)信息的收集、管理 ，網(wǎng)絡資源的占用 與風險評估就成了網(wǎng)絡管理人員 比較關心的問題。 ? 煙草企業(yè) 是國家行政機關，有很多機密文件只有上層領導能夠有權限觀看，但由于 IP 是基于 PC 而定，所以在硬件設備中設定的策略非常具有局限性。 因此，內(nèi)部網(wǎng)絡安全必須作為整體安全管理的一個重要組成部分來正確對待，計算機網(wǎng)絡應用與網(wǎng)絡安全應該同時進行。只有解決了網(wǎng)絡內(nèi)部的安全問題，即排除內(nèi)部網(wǎng)絡因客戶端造成的脆弱性，才能避免遭受攻擊或其他內(nèi)部使用人破壞的安全憂患。 3 風險與需求分析 通過對網(wǎng)絡結(jié)構(gòu)、網(wǎng)絡安全風險分析，再加上黑客、病毒等安全危脅日益嚴重。網(wǎng)絡安全問題的解決勢在必行 。針對不同安全風險必須采用相應的安全措施來解決。使網(wǎng)絡安全達到一定的安全目標。 隨著信息網(wǎng)絡不斷發(fā)展，內(nèi)部泄密和內(nèi)部攻擊破壞已經(jīng)成為威脅網(wǎng)絡安全應用的最大隱患。 網(wǎng)絡資源的 非授權使用或者授權濫用 大部分單位都制定 有管理制度來規(guī)范網(wǎng)絡資源的使用，詳細規(guī)定了某人或某機器在什么時間、什么地點做什么類型的事情。也就是說，區(qū)分了授權和非授權操作。但事實上實際情況往往不是這么簡單。眾多內(nèi)網(wǎng)用戶，會探測、嘗試進入非授權的領域。例如某公司規(guī)定程序員在上班期間不許上網(wǎng)，但員工卻能想出了很多辦法，實現(xiàn)在上班期間也能上網(wǎng)；還比如， 某員工無權訪問單位的業(yè)務數(shù)據(jù)庫，他通過攻擊、欺騙等等手段，獲得了訪問數(shù)據(jù)庫的機會；至于網(wǎng)絡資源濫用的實例就不勝枚舉了：有權上網(wǎng)的員工，沒有利用互聯(lián)網(wǎng)去開展業(yè)務，而是在下載電影、玩游戲等等，非工作需要拷貝、修改公司的關鍵數(shù)據(jù)等等。大部分單位都想通過相應的制度來控制這些情況，然而實際效果卻并不理想。非授權使用或授權濫用依舊是我們最頭疼的。 河南中煙許昌卷煙廠 XCXXZB2020004 號 鄭州蘇富特軟件有限公司 5 因安全管理不善，引發(fā)的 IT 資源不可用或者資源損失 這里的管理不善，主要是指沒有一套科學的內(nèi)部網(wǎng)絡資源使用管理制度，或者制度執(zhí)行不力。比如，我們規(guī)定在某一些工作計算機上，不能安 裝運行某些軟件，可是還是有人安裝了；對內(nèi)部網(wǎng)絡的 IP/MAC 地址，做了統(tǒng)一的部署，可是還是有人任意的修改；任意的將非本網(wǎng)絡的設備接入內(nèi)部網(wǎng)絡；任意添加或刪除各種硬件設備、修改網(wǎng)絡屬性等等，這些行為都應該得到徹底的規(guī)范 煙草企業(yè) 網(wǎng)絡 信息網(wǎng)絡中計算機數(shù)量眾多，型號多樣，各種計算機造成配置的多樣性，對統(tǒng)一管理造成很大負擔?？渴止し绞綗o法對上萬臺計算機進行有效管理。 而疏于管理可能造成： ? 用戶自行修改硬件配置，包括更改 CPU、內(nèi)存、安裝未經(jīng)授權的硬件設備等； ? 用戶自行修 改軟件配置，包括操作系統(tǒng)、應用系統(tǒng)、私自安裝軟件等； ? 用戶自行修改網(wǎng)絡配置，包括修改 IP 地址、掩碼等 這些未經(jīng)授權的改動輕則造成系統(tǒng)效率降低、擠占正常應用，嚴重的會造成教育應用系統(tǒng)的正常運行，更為甚者，修改 IP 地址可能對網(wǎng)內(nèi)其他計算機造成威脅。 由此，分析出以下需求： ? 收集終端計算機資產(chǎn)信息，包括 CPU、內(nèi)存、網(wǎng)卡等硬件信息，以及操作系統(tǒng)、補丁版本、安裝程序等軟件信息 ? 監(jiān)控終端計算機資產(chǎn)變更情況，一旦與系統(tǒng)設置的基線不相符，即向網(wǎng)絡管理員報警，并通過桌面管理系統(tǒng)其他模塊對非法計算機進行網(wǎng)絡阻斷，阻止其接入網(wǎng) 絡，以免對網(wǎng)內(nèi)其他計算機造成危害 ? 監(jiān)控包括 IP 地址在內(nèi)網(wǎng)絡設置，保證終端計算機的 IP 地址等網(wǎng)絡配置符合既定的安全策略。一旦用戶自行修改立即阻止，將 IP 地址 河南中煙許昌卷煙廠 XCXXZB2020004 號 鄭州蘇富特軟件有限公司 6 等網(wǎng)絡配置恢復為原有配置，并及時向網(wǎng)絡管理員報警。 客戶機自身存在安全缺陷，導致網(wǎng)絡內(nèi)部安全隱患 煙草企業(yè) 網(wǎng)絡 中大部分計算機采用微軟操作系統(tǒng)。隨著微軟漏洞的不斷被發(fā)現(xiàn) ，可能會引發(fā)蠕蟲病毒等威脅 ，病毒和攻擊者可能利用這些漏洞對計算機和網(wǎng)絡造成攻擊，嚴重者可獲得網(wǎng)絡內(nèi)較高權限，造成系統(tǒng)的信息失竊、被破壞、可用性降低 等危害，具有極大的威脅性。漏洞的及時修補是提高系統(tǒng)安全性必須要保證的。 為此，需要在系統(tǒng)中建設一套有效的補丁分發(fā)機制： ? 發(fā)現(xiàn)終端計算機系統(tǒng)中未打補丁情況，及時上報管理中心，可形成統(tǒng)計報表供管理員整體管理 ? 建立補丁自動更新機制，自動從包括微軟在內(nèi)的系統(tǒng)廠商獲得補丁信息和補丁文件，在終端計算機需要進行補丁分發(fā)時及時提供下載安裝 ? 根據(jù)補丁分發(fā)管理的策略，自動安裝系統(tǒng)中缺失的補丁，并根據(jù)補丁分發(fā)情況自動或手動重啟計算機 ? 向管理中心報告補丁分發(fā)過程和記錄，并形成報表 ? 為了有效保證補丁分發(fā)，系統(tǒng)還應考慮： ? 補丁安裝失敗 后，應有回退機制，將指定的補丁卸載，使系統(tǒng)回復到未安裝補丁時的狀態(tài)，以保證系統(tǒng)正常運行 ? 進行大規(guī)模補丁分發(fā)時，考慮到補丁分發(fā)的網(wǎng)絡流量對系統(tǒng)的沖擊，應采用有效的流量控制機制減少對網(wǎng)絡的負荷 ? 補丁分發(fā)應支持斷點續(xù)傳 河南中煙許昌卷煙廠 XCXXZB2020004 號 鄭州蘇富特軟件有限公司 7 非法接入帶來的網(wǎng)絡安全威脅 煙草企業(yè) 網(wǎng)絡 計算機眾多，很多計算機沒有及時及時安裝系統(tǒng)關鍵補丁、防病毒系統(tǒng)等關鍵安全保障系統(tǒng)，存在極大安全隱患，更有一些用戶私自進行一些非法的操作或設置，使計算機處于非常危險的狀態(tài)，對這些計算機，應有一套自動的機制，在其準 備接入網(wǎng)絡的時候進行阻斷，防止其接入網(wǎng)絡、對網(wǎng)絡內(nèi)其他計算機造成損害。 阻斷管理還可以幫助管理員對病毒暴發(fā)等事件的處理提供幫助，可以快速定位事故源頭，及時解決問題。 完善的接入管理，可以對筆記本電腦這類移動辦公用戶進行很好的控制，防止筆記本電腦在不同網(wǎng)絡環(huán)境中的使用，防止將外網(wǎng)等低安全區(qū)域內(nèi)的危害帶到內(nèi)網(wǎng)。 移動介質(zhì)和外設端口 的 管理 煙草企業(yè) 網(wǎng)絡 情況復雜，用戶情況參差不齊， U 盤等移動介質(zhì)可以在不同計算機之間進行數(shù)據(jù)傳遞，而同時會將病毒、木馬等安全隱患帶入網(wǎng)絡中， 并可能造成數(shù)據(jù)失密等安全性缺失。 因此，需要對 U 盤等移動介質(zhì)進行管理，使其按照既定的安全策略進行訪問，從而避免通過 U 盤等移動介質(zhì)進行非法操作。 另外，光驅(qū)等外設和網(wǎng)絡端口同樣存在訪問控制的需求，否則，對外設和端口的濫用可能導致系統(tǒng)失密甚至崩潰。 因此，同樣需要對外設和端口進行訪問控制，按既定安全策略進行訪問，防止越權的不安全情況發(fā)生。 對網(wǎng)絡端口的管理還可以對網(wǎng)絡異常流量進行管理和控制，對一些異常的大網(wǎng)絡流量的計算機，可以向管理中心報警，并根據(jù)