報(bào)業(yè)集團(tuán)網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)實(shí)踐與思考

文/張亞鋒

引言

隨著媒體融合不斷深入，新媒體業(yè)務(wù)在報(bào)業(yè)集團(tuán)不斷壯大，應(yīng)用系統(tǒng)逐步由原來(lái)的采編出版系統(tǒng)轉(zhuǎn)變?yōu)槿襟w出版系統(tǒng)，由原來(lái)內(nèi)網(wǎng)系統(tǒng)轉(zhuǎn)變?yōu)橥饩W(wǎng)系統(tǒng)。近年來(lái)，由于新聞網(wǎng)站的權(quán)重在重點(diǎn)搜索引擎中占比越來(lái)越高，也成為黑客入侵的重點(diǎn)對(duì)象。境外博彩業(yè)通過(guò)不同的形式圍攻新聞網(wǎng)站，國(guó)內(nèi)多數(shù)新聞網(wǎng)站曾經(jīng)被入侵，網(wǎng)絡(luò)安全形勢(shì)非常嚴(yán)峻。如何保障網(wǎng)絡(luò)系統(tǒng)安全？網(wǎng)絡(luò)安全等級(jí)保護(hù)可以全面保障網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行。

1.定義測(cè)評(píng)對(duì)象

報(bào)業(yè)集團(tuán)現(xiàn)在主要業(yè)務(wù)系統(tǒng)有新聞采編系統(tǒng)、新媒體制作發(fā)布系統(tǒng)、報(bào)道指揮系統(tǒng)、媒資系統(tǒng)、經(jīng)營(yíng)管理系統(tǒng)、辦公系統(tǒng)、互聯(lián)網(wǎng)郵件及中央廚房等信息系統(tǒng)。這些業(yè)務(wù)系統(tǒng)都是互聯(lián)網(wǎng)應(yīng)用系統(tǒng)，主要威脅有數(shù)據(jù)越權(quán)訪問(wèn)、信息泄漏、非法訪問(wèn)、病毒、木馬、APT，自身的安全控制執(zhí)行力度不夠、策略失效、業(yè)務(wù)漏洞等極易引發(fā)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。信息系統(tǒng)的等級(jí)保護(hù)級(jí)別，需要從信息系統(tǒng)建設(shè)開(kāi)始就進(jìn)行規(guī)劃，同時(shí)在單位整體信息化規(guī)劃時(shí)將整互聯(lián)互通的地方做好邊緣隔離，同時(shí)共用部分需要按等級(jí)保護(hù)級(jí)別的要求取最高級(jí)別。

一般省級(jí)報(bào)業(yè)集團(tuán)有10個(gè)左右的三級(jí)系統(tǒng)需要進(jìn)行等級(jí)保護(hù)測(cè)評(píng)。近幾年報(bào)業(yè)集團(tuán)的經(jīng)營(yíng)壓力較大，網(wǎng)絡(luò)安全硬件投入又較大，在等級(jí)保護(hù)測(cè)評(píng)時(shí)，如何能夠又省錢(qián)又能全面保障安全呢?有些報(bào)業(yè)集團(tuán)選擇單位的關(guān)鍵基礎(chǔ)信息設(shè)施進(jìn)行測(cè)評(píng)，其它系統(tǒng)沒(méi)有進(jìn)行測(cè)評(píng)，有的甚至只選擇一個(gè)系統(tǒng)進(jìn)行測(cè)評(píng)。也有些報(bào)業(yè)集團(tuán)將所有系統(tǒng)作為一個(gè)系統(tǒng)來(lái)測(cè)評(píng)，把不同功能作為子系統(tǒng)來(lái)進(jìn)行測(cè)評(píng)，這樣，只需要系統(tǒng)功能描述上對(duì)整體功能進(jìn)行全面說(shuō)明，同時(shí)定好不同子系統(tǒng)之間的邊界，確保整個(gè)系統(tǒng)全面參加測(cè)評(píng)，這樣可以節(jié)省一大筆測(cè)評(píng)費(fèi)用。

2.信息安全體系建設(shè)

在等級(jí)保護(hù)實(shí)施過(guò)程中，安全管理系統(tǒng)的建設(shè)是保障網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)，是否能夠建立全方位的安全管理體系是等級(jí)保護(hù)實(shí)施工作的重點(diǎn)。一個(gè)完整的安全管理系統(tǒng)（如圖）包括：安全管理機(jī)構(gòu)、技術(shù)管理和安全運(yùn)維管理，下面開(kāi)始詳細(xì)介紹安全管理系統(tǒng)應(yīng)該包括的內(nèi)容。

安全管理機(jī)構(gòu)是管理網(wǎng)絡(luò)系統(tǒng)的最高領(lǐng)導(dǎo)權(quán)力機(jī)構(gòu)，最高領(lǐng)導(dǎo)一般由單位主管領(lǐng)導(dǎo)擔(dān)任或授權(quán)擔(dān)任，根據(jù)情況成立安全管理委員會(huì)或安全管理領(lǐng)導(dǎo)小組。安全管理機(jī)構(gòu)設(shè)置主管、專職安全管理員，在人員配置上設(shè)立三員管理，關(guān)鍵崗位應(yīng)由多人共同管理。明確審批事項(xiàng)和審批流程，重要事項(xiàng)包括：系統(tǒng)變更、重要操作、物理訪問(wèn)、系統(tǒng)接入、重要活動(dòng)，建立逐級(jí)審批制度和定期審查審批制度。設(shè)立日常運(yùn)行、系統(tǒng)漏洞、數(shù)據(jù)備份等日常運(yùn)行事項(xiàng)，同時(shí)將日常事項(xiàng)制作成表格。設(shè)立全面檢查事項(xiàng)，如策略與配置的一致性檢查，安全措施的有效性檢查，對(duì)重大事項(xiàng)應(yīng)該編寫(xiě)成報(bào)告進(jìn)行總結(jié)。

在安全管理人員管理方面，需對(duì)安全管理人員進(jìn)行背景審查、技能考核、簽保密協(xié)議、簽訂關(guān)鍵崗位人員協(xié)議；人員離崗應(yīng)及時(shí)終止權(quán)限，并要求簽訂離職保密協(xié)議。在崗人員需進(jìn)行安全意識(shí)教育和崗位技能培訓(xùn)，告知安全責(zé)任與懲戒措施；不同崗位制定不同培訓(xùn)計(jì)劃；定期對(duì)不同崗位人員進(jìn)行技能考核。對(duì)外部人員訪問(wèn)受控區(qū)域時(shí)，需要書(shū)面申請(qǐng)并取得授權(quán)后，由專人全程陪同并登記備案；訪問(wèn)受控網(wǎng)絡(luò)時(shí)需書(shū)面申請(qǐng)，開(kāi)設(shè)訪客賬戶，分配權(quán)限，登記備案；離場(chǎng)后及時(shí)清除來(lái)訪者權(quán)限；與外部授權(quán)人員簽保密協(xié)議，不得復(fù)制和泄露敏感信息；核心關(guān)鍵區(qū)域及應(yīng)用原則不允許外部人員訪問(wèn)。

系統(tǒng)安全建設(shè)包括依據(jù)備案等級(jí)選擇安全措施，根據(jù)風(fēng)險(xiǎn)調(diào)整防范措施，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全整體規(guī)劃和方案設(shè)計(jì)并形成配套文件，完成對(duì)安全整體規(guī)劃及配套文件的評(píng)審，并開(kāi)始實(shí)施。在系統(tǒng)實(shí)施階段需要選擇符合國(guó)家規(guī)定網(wǎng)絡(luò)安全產(chǎn)品和符合密碼主管部門(mén)有關(guān)規(guī)定的密碼產(chǎn)品，重要部位產(chǎn)品需委托專項(xiàng)測(cè)試后再進(jìn)行選擇。在自主軟件方面，需實(shí)際開(kāi)發(fā)與實(shí)際環(huán)境分離，軟件代碼編寫(xiě)規(guī)范，開(kāi)發(fā)過(guò)程文檔完備，程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行嚴(yán)格授權(quán)，嚴(yán)格版本控制，開(kāi)發(fā)活動(dòng)需要進(jìn)行受控并進(jìn)行惡意代碼檢測(cè)。在外采軟件方面需進(jìn)行惡意代碼檢測(cè)，并要求其提供完備的文檔與使用指南。在工程實(shí)施時(shí)需由專人管理實(shí)施過(guò)程并制定工程實(shí)施方案。有條件的報(bào)業(yè)集團(tuán)需要實(shí)行第三方監(jiān)理。在系統(tǒng)驗(yàn)收階段，要求具有驗(yàn)收方案，驗(yàn)收?qǐng)?bào)告，上線前安全測(cè)試報(bào)告，包含密碼應(yīng)用的安全性等測(cè)試。在系統(tǒng)交付時(shí)，需要提供交付清單、人員培訓(xùn)、建設(shè)過(guò)程文檔和運(yùn)維文檔。

系統(tǒng)安全運(yùn)維管理包括了機(jī)房環(huán)境管理、資產(chǎn)管理、運(yùn)行監(jiān)控、數(shù)據(jù)備份、安全措施的落實(shí)等，需要專人負(fù)責(zé)機(jī)房安全管理。機(jī)房環(huán)境的管理包括：機(jī)房進(jìn)出與運(yùn)維管理、機(jī)房安全管理制度，含敏感信息介質(zhì)和文檔不隨意放置，對(duì)出入人員按級(jí)別授權(quán)，重要區(qū)域?qū)崟r(shí)監(jiān)控；資產(chǎn)管理包括：資產(chǎn)清單、資產(chǎn)標(biāo)識(shí)管理及資產(chǎn)管理人員；機(jī)房介質(zhì)管理包括：安全存放，專用介質(zhì)專人管理，定期盤(pán)點(diǎn)，介質(zhì)流轉(zhuǎn)控制并記錄；漏洞與風(fēng)險(xiǎn)管理包括：檢查、及時(shí)修補(bǔ)或評(píng)估后修補(bǔ)，風(fēng)險(xiǎn)測(cè)評(píng)并形成報(bào)告及采取措施應(yīng)對(duì)。制定重要設(shè)備配置與操作手冊(cè)，記錄運(yùn)維日志，分析日志與監(jiān)控?cái)?shù)據(jù)；操作中保留日志，同步更新配置庫(kù)；嚴(yán)格運(yùn)維工具使用，保留日志，及時(shí)刪除敏感信息；惡意代碼防范管理包括外來(lái)接入要先查殺病毒、規(guī)定惡意代碼防范要求、檢查病毒庫(kù)升級(jí)，并分析捕獲樣本，定期驗(yàn)證防病毒技術(shù)措施的有效性；備份與恢復(fù)管理包括識(shí)別需備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)與軟件，規(guī)定備份方式、介質(zhì)、頻率等，制定備份策略和恢復(fù)策略和程序；安全事件處置包括及時(shí)報(bào)告安全事件、制定安全事件報(bào)告與處置管理制度，分析原因，總結(jié)教訓(xùn)，對(duì)重大服務(wù)中斷與信息泄露事件有不同的處理流程與報(bào)告程序，建立聯(lián)合防護(hù)和應(yīng)急機(jī)制，處置跨單位安全事件。

3.日常管理問(wèn)題與思考

信息安全系統(tǒng)從信息安全管理、信息安全技術(shù)和信息安全運(yùn)行三個(gè)方面進(jìn)行了全面的約定，通過(guò)這三方面的建設(shè)形成了一套完備的信息安全體系，在落實(shí)到位的情況下，完全符合等級(jí)保護(hù)測(cè)評(píng)的各項(xiàng)指標(biāo)。然后，在實(shí)際工作中很多報(bào)業(yè)集團(tuán)安全體系往往流于形式，執(zhí)行不到位，只是用于等級(jí)保護(hù)測(cè)評(píng)。導(dǎo)致這種情況發(fā)生的原因主要是對(duì)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)意識(shí)不夠，費(fèi)用預(yù)算不足，人員配備不到位，從而導(dǎo)致安全策略執(zhí)行不到位，安全制度形同虛設(shè)。有的雖然網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)合格了，但網(wǎng)絡(luò)系統(tǒng)安全的隱患還很大，只有嚴(yán)格按照既定的要求進(jìn)行日常管理，才能保障測(cè)評(píng)合格的網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行。