论政府局域网内网安全建设和管理.docVIP

论政府局域网内网安全建设和管理 　　1内网安全面临的挑战 　　 　　随着计算机网络技术、Internet、Intranet和数字通信技术飞速发展，信息网络技术的应用层次不断深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，如电子政务、电子商务、CIMS、知识管理、电子金融、社会保障、GIS系统等。大量的技术和业务机密存储在计算机和网络中，对网络安全性要求变得越来越高，需要有效地制定安全策略以保护机密数据信息。通常的安全策略的一个基本假设是：网络的一边即外部的所有人是不可信任的，另一边即内部的所有人是可信任的。通常认为黑客、病毒以及各种蠕虫的攻击大都来自外部的侵袭。但是，根据美国FBI的统计，各种计算机网络、存储数据遭受的攻击和破坏，80％是内部人员所为。来自内部的数据失窃和破坏，远远高于外部黑客的攻击。企业内部竞争性情报信息是企业无形资产管理的重要部分。俗话说“知己知彼，百战不殆”，如何保护企业自身重要情报不被竞争对手窃取，使企业在使用网络来提高工作效率的同时避免企业重要的知识产权遭受侵害，将是文档安全管理的一个重要课题。传统的安全解决方案比如防火墙、入侵检测、防病毒在网络安全中起到非常重要的作用。由于现在网络边界的概念逐渐模糊，通过VPN、无线上网、远程拨号等方式连接到内部网络变得非常普遍，内网上各种信息滥用、误用、恶用行为增加，严重影响内网安全。对于以上安全问题，传统安全技术显得力不从心。 　　 　　2内网安全需求的可行性 　　 　　2.1政府信息安全管理背景 　　信息全球化、经济全球化是当今世界发展的客观进程，处在现代高科技条件下的经济社会化和国际化的历史阶段，信息经济发展迅速。政府机关办公网络化，政府办公内网是国家机密网络，传递的数据中涉及很多关系国计民生的绝密数据，决不允许外泄，需要严格保密。《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号，以下简称“27号文件”)明确要求我国信息安全保障工作实行等级保护制度，提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月公安部、国家保密局、国家密码管理局、国务院信息工作办公室联合下发通知印发《信息安全等级保护管理办法》，2008年9月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号，以下简称“66号文件”)进一步强调了开展信息安全等级保护工作的重要意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。这些文件都为我们的网络管理工作提出了要求。 　　 　　2.2政府内网安全现状整体需求分析 　　(1)政府信息管理的可控性。互联网给企业带来的好处简直太多了。然而开放的网络中充斥着各种与业务无关的信息，色情、暴力、反动等不健康内容随处可见，这些内容常常不请自来，通过邮件，BBS等，简直到了无孔不入的地步。有的员工视单位电脑如免费网吧，浏览不相干的网站、下载游戏、QQ聊天、收发个人E-MAIL、看电影，甚至逐渐演变成为打发上班时间的主要活动。但是，企业的工作效率因而大大降低，不少企业管理者为此忧心忡忡。2004年美国财富杂志称：“没有控制的互联网是办公室里资源浪费最多的设置之一”。信息安全的管理、网络安全的规范、对互联网的可控性问题，已经引起了国家的高度重视。 　　(2)管理的可靠性和安全性。现今网络里的病毒、木马和各种攻击，入侵方式多的不计其数，它们对网络造成了极大的损失，特别是对我们这些现代化企业危害更为明显，只要我们的网络被病毒或者攻击等方式导致瘫痪，在信息化高度应用的今天，企业也会陷入瘫痪。现在对于安全的考虑大多是事后解决，防火墙只能执行事先设定好的规则，而IDS的误报率很高，杀毒也只能是在病毒出现后给出解决，这就需要找出一个综合的解决方案。 　　 　　3内网安全建设的目标 　　 　　技术层面和管理层面的良好配合，是组织实现全面内网安全系统的有效途径。其中，全面内网安全技术通过采用包括建设安全的主机系统和安全的网络系统以及可信的客户端系统的安全产品的方法来实现。在管理层面，则通过构架信息安全管理体系来实现。 　　(1)事前控制。对信息传递途径进行控制，实现全面的终端通讯设备和存储设备的彻底控制；进行局域网接入保护，实现外来电脑的接入局域网络限制；制定详细的报警策略，对非法接入设备进行及时报警提示：制定详细的互联网信息传递阻断策略，对非法信息传递进行阻断。 　　(2)事中审计。操作屏幕监控，对泄密过程进行屏幕记录及自动保存，方便现场查看，事后录像回放；进行全面的电子文档操作记录，包括对电子文档的访问、创建、复制、移动、改名、删除、恢复、打印等操作，实现完整的电子文档