行政事業(yè)單位計算機網(wǎng)絡安全防護措施探討

趙云山 阮興衛(wèi)

（1.溧陽市公安局交警大隊車輛管理所，江蘇 溧陽213300；2.常州信息職業(yè)技術學院，江蘇 常州213164）

0 引言

當前我國網(wǎng)絡應用成熟度高，應用范圍廣，網(wǎng)絡即時性、共享性、無空間時間限制等特性對各行各業(yè)的電子化發(fā)展提供了助力。但受網(wǎng)絡安全風險的影響，各行業(yè)在享受便利的同時，也面臨著網(wǎng)絡安全問題的威脅。對于行政事業(yè)單位而言，其對數(shù)據(jù)安全性要求更高，信息系統(tǒng)的安全性需要更加完備的安全防護措施，才能有效降低受到網(wǎng)絡攻擊的概率，提高數(shù)據(jù)的安全性，避免數(shù)據(jù)丟失、泄露、被篡改。

1 行政事業(yè)單位計算機網(wǎng)絡安全的常見問題

1.1 計算機系統(tǒng)的漏洞

當前行政事業(yè)單位辦公時應用的操作系統(tǒng)是Windows7及以上版本居多，雖然看似系統(tǒng)較新，但微軟操作系統(tǒng)更新較快，對于較低的操作系統(tǒng)，例如Windows 7、Windows xp，已經(jīng)不再提供系統(tǒng)漏洞補丁及更新服務，實則已經(jīng)是淘汰的操作系統(tǒng)。受資金、管理、應用熟練度以及個人喜好影響，行政事業(yè)單位仍有較多的低版本操作系統(tǒng)，這給數(shù)據(jù)安全帶來較大的威脅，稍有不慎就會悔之晚矣。

1.2 互聯(lián)網(wǎng)病毒的破壞

長期以來，計算機病毒一直是惡意攻擊、侵入網(wǎng)絡系統(tǒng)的非法手段。它本身具有惡意復雜性和自啟動能力，而且空間占比小，可以被植入復雜的程序代碼中難被發(fā)現(xiàn)，從而給受感染的計算機帶來嚴重危害。病毒入侵后，操作系統(tǒng)逐漸變慢甚至失去反應能力而崩潰，或者數(shù)據(jù)被竊取、被刪除、被篡改，使得行政事業(yè)單位的辦公被迫停止，給單位造成較大的損失。

1.3 網(wǎng)絡黑客的惡意攻擊

除病毒侵入外，計算機系統(tǒng)還會受到黑客的惡意攻擊。受攻擊的系統(tǒng)被黑客控制，黑客可以對系統(tǒng)及系統(tǒng)內的應用程序、應用數(shù)據(jù)、系統(tǒng)服務器等進行篡改、卸載、刪除。黑客攻擊帶有較強的針對性和目的性，是人為計劃、密謀、主觀故意的行為，因此受攻擊的系統(tǒng)往往使關鍵信息丟失、被篡改或是被竊取，而不像病毒那樣純以破壞為主要特征。由此可見，黑客攻擊在危害程度上比病毒更具危害性，這種有組織的惡意攻擊會造成較大的社會負面影響，更需要做好安全防范措施來應對。

1.4 工作人員的操作失誤

操作失誤往往是單位內部工作人員對系統(tǒng)、軟件程序的熟悉度不夠，或是對工作流程掌握不到位，在工作的過程中失誤操作導致系統(tǒng)數(shù)據(jù)、關鍵信息丟失等，輕則數(shù)據(jù)丟失，重則導致系統(tǒng)癱瘓。這種工作人員操作失誤無法通過防火墻、密鑰、殺毒軟件等方法來應對，純屬個人工作素養(yǎng)問題。因此，必須對操作人員進行崗前培訓、考核、評價，合格才能上崗，從而保證系統(tǒng)安全。

2 行政事業(yè)單位計算機網(wǎng)絡安全的防護措施

2.1 組建專業(yè)化計算機網(wǎng)絡安全防護部門

行政事業(yè)單位機構多、事務雜、人員交叉工作，分散的安全管理很難起到應有的防范作用，甚至發(fā)生故障時，責任也難以劃清。因此，組建專業(yè)化網(wǎng)絡安全管理部門十分必要。專職管理部門應具有以下職責：第一，以法律為準繩，針對網(wǎng)絡安全主管部門的政策、制度、規(guī)章等制定行政事業(yè)單位的網(wǎng)絡安全綱領、目標、流程、措施和制度等；第二，指導行政事業(yè)單位各工作人員落實網(wǎng)絡安全制度、操作流程、操作規(guī)范等；第三，對網(wǎng)絡運行的管理、運維、資源優(yōu)化、安全建設等能夠進行主動規(guī)劃和籌謀；第四，制定應急預案，對突發(fā)事件能夠盡可能降低影響范圍，并配合調查和處理事宜；第五，主動開展網(wǎng)絡安全防護工作，能夠定期落實系統(tǒng)補丁、升級；第六，對單位內部的所有人員能夠提供及時的網(wǎng)絡安全教育和服務。重點崗位應簽訂責任書，切實保障單位信息安全。

2.2 建立健全計算機網(wǎng)絡安全防護等級機制

行政事業(yè)單位業(yè)務需求各不相同，需要根據(jù)網(wǎng)絡安全等級保護條例對系統(tǒng)軟件、硬件設備、數(shù)據(jù)庫等劃分防護等級，制定各等級防護措施，一一對應，確保安全防護走向縱深層次。而且，在等級保護制度落實時，還要建設安全管理中心，通過管理中心將各防護體系協(xié)調起來，共同實現(xiàn)網(wǎng)絡安全防護。管理中心是等級保護制度的中樞，具有系統(tǒng)管理、審計管理、防護管理、集中管控等所有功能。通過管理中心的調控，等級保護聯(lián)合起來，相互配合，相互促進，相互補充，能夠形成嚴密完整的技術防護機制。同時對重要的核心數(shù)據(jù)進行備份，并做好隔離與防護措施，以保證核心數(shù)據(jù)的安全。

2.3 優(yōu)化計算機網(wǎng)絡安全區(qū)域劃分與等級防護

網(wǎng)絡安全區(qū)域邊界需要根據(jù)行政事業(yè)單位的業(yè)務需求和保護等級要求進行清晰明確的劃分，如數(shù)據(jù)區(qū)、辦公區(qū)、維護區(qū)、應用區(qū)，等等，劃分的安全區(qū)域相互之間要通過防火墻或者VLAN隔離技術進行邊界訪問防護與控制，并按實際需要進行網(wǎng)絡安全區(qū)域邊界控制。訪問控制策略能夠對一切訪問進行甄別，確定是否非法訪問，然后根據(jù)控制結果進行安全防護。訪問控制的目的是保護系統(tǒng)不被非法訪問或使用，對系統(tǒng)起到很好的保護作用。因此，需要在區(qū)域邊界設置防火墻，所有訪問數(shù)據(jù)都必須經(jīng)過防火墻的檢測才能進入系統(tǒng)內部，一旦發(fā)現(xiàn)非法操作或非法訪問，防火墻就會主動攔截，有效降低非法入侵的事故發(fā)生。

2.4 制定內、外部計算機設備使用與檢測機制

行政事業(yè)單位有時需要進行業(yè)務拓展接入新的網(wǎng)絡設備，必須對該設備進行安全管理，達到網(wǎng)絡安全管理要求才能接入系統(tǒng)。新設備要安裝統(tǒng)一的安全管理軟件，能夠實現(xiàn)集成化管理，對于終端，實名認證后統(tǒng)一分配IP地址，鎖定IP和MAC地址，防止IP沖突導致系統(tǒng)崩潰。在管理策略中，設置終端設備的開機驗證密碼，密碼強度為強，根據(jù)需要定期進行密碼重置。關于補丁升級，設置終端計算機自動進行系統(tǒng)補丁升級。定期對計算機系統(tǒng)進行安全檢測，利用網(wǎng)絡工具進行漏洞掃描、安全檢測、病毒查殺等，確保計算機始終處于最佳的安全狀態(tài)。移動設備接入時，實施固定區(qū)域加密處理，禁止不同區(qū)域混接移動設備。

2.5 計算機網(wǎng)絡邊界、關鍵節(jié)點的檢測與防護

網(wǎng)絡邊界防護不可掉以輕心，需要嚴格按照網(wǎng)絡安全防護制度和要求進行防護。特別是網(wǎng)絡關鍵節(jié)點，對整個網(wǎng)絡而言十分關鍵，需要部署檢測防范設備對網(wǎng)絡行為進行檢測。例如，下一代防火墻、全流量威脅分析系統(tǒng)等。這些安全防護措施能夠對外部、內部網(wǎng)絡異常行為進行檢測、限制訪問或防止入侵，將攻擊包自動丟掉或阻斷訪問。針對核心交換機，要部署安全感知平臺來加強交換機的安全防護。對于業(yè)務系統(tǒng)，要部署抗DDOS服務策略，將攻擊拒之門外，確保服務安全可用。

2.6 全面實施計算機網(wǎng)絡層的安全審計

安全防護部門在進行網(wǎng)絡安全管理工作時，還應當針對網(wǎng)絡層全面實施安全審計。審計中發(fā)現(xiàn)異常需及時報警，并給出相應的應對方案。安全審計分為內網(wǎng)審計和外網(wǎng)接入審計兩個層次，其目的是對網(wǎng)絡行為進行甄別、記錄、保存和分析。審計工具能夠對系統(tǒng)的運行進行動態(tài)記錄，用以分析和重建系統(tǒng)，并快速定位系統(tǒng)故障，避免類似故障再次的發(fā)生。此外，審計工具還能對故障進行取證，為后續(xù)的分析和溯源提供服務。在安全事件進行檢測時，審計工具的作用不可小覷，它能夠及時對攻擊進行報警，降低攻擊概率?？梢?，審計工具在一定程度上能夠對攻擊者起到較強的震懾作用。

3 結語

在日益復雜的網(wǎng)絡環(huán)境下，行政事業(yè)單位應當正視自身所面對的網(wǎng)絡安全問題，積極組建專業(yè)化計算機網(wǎng)絡安全防護部門，建立健全計算機網(wǎng)絡安全防護等級機制，優(yōu)化計算機網(wǎng)絡安全區(qū)域劃分與等級防護，制定內、外部計算機設備使用與檢測機制，計算機網(wǎng)絡邊界、關鍵節(jié)點的檢測與防護，全面實施計算機網(wǎng)絡層的安全審計，保障行政事業(yè)單位的信息安全，實現(xiàn)行政事業(yè)單位的可持續(xù)發(fā)展。