网络安全及管理策略

网络安全及管理策略

1 引言

在信息网络技术飞速发展的今天，信息网络安全受到越来越多的重视。2014年2月27日习主席在中央网络安全和信息化领导小组第一次会议中指出：“没有网络安全就没有国家安全”，会议描述了建设网络强国的宏伟蓝图。在国家信息化建设的进程中，信息网络技术应用日趋广泛，逐渐暴露出网络安全的短板弱项。从整体情况来看，应强化信息网络基础设施建设、注重安全防护手段系统性建设和突出管理手段有效性建设，扭转网络安全管理滞后网络整体建设的局面，改变安全投入大产出效率低的问题，逐步加强信息网络安全建设管理和强化安全策略实施，确保网络安全的绝对优势[1]。

2 信息网络安全概述

2.1 信息网络安全概念实质

信息网络技术是把众多计算机在内的各种信息采集、存储、处理、控制和传输等设备联为一体，形成信息系统的关键技术，以承载信息和指令的有效传递。在运用信息网络技术的过程中，不仅要重视技术应用，更要重视网络安全，如何使信息网络技术在信息网络上高效及可靠的运用，是信息网络安全的重要任务。

信息网络安全是指防止信息网络本身及其流转过程中，信息数据被故意或偶然的非授权泄露、篡改和破坏，信息被恶意非法辨认和控制等。信息网络安全包括信息网络系统的安全和信息的安全。其目标是确保信息的可用性、时效性、完整性和机密性[2]。信息安全实质是采取更高的代价，应用有效的信息系统保护措施，使之不因偶然事件或恶意侵犯而遭受破坏、篡改及泄露，确保信息系统能够连续、可靠及正常地运转，使安全事件得到有效防范，从而确保信息的有效、实时、可靠和安全传递。

2.2 信息网络安全现状

当今网络技术的迅猛发展使得网络安全问题日益凸显。2009年5月29日美国总统办公室正式发布了一个《网络空间安全政策评估》，此报告对美国政府以及美国军队当前的网络状况进行了评估并讨论了相关的对策。这足以说明美国政府和军队对网络安全的重视程度。2014年2月，美国国家标准与技术研究所（NIST）提出了《美国增强关键基础设施网络安全框架》（1.0），强调利用业务驱动指导网络安全行动，并考虑网络安全风险作为组织风险管理进程的一部分，这足以启示人们应积极加快推进网络安全保障体系建设。

在信息网络安全领域，各国在网络建设初期对安全问题的考虑大而粗，没有建立相应的安全保障体系，对应用策略和安全管理的有效性重视不够，往往是重建设、轻管理，出问题、堵漏洞，没有系统的安全管理策略和解决方案，不能够系统地解决问题，网络安全保障往往处于劣势。如何从信息安全理论上分析信息安全各个层面的问题，如何全面审视信息应用和网络安全的威胁，如何将安全风险做到可防、可管和可控，是人们需要研究解决的问题[3]。

2.3 信息网络安全目标

信息网络安全的核心目标是为关键信息提供可用性、时效性、完整性和机密性的保护，防止信息被破坏、篡改和泄漏。虽然看似简单，但实现起来却非常具有挑战性。在实现网络安全核心目标的工作中，无法完全平衡，防护与威胁作为对立面始终存在。对于信息网络而言，我们必须要提高系统可用性，保证信息传递时效性，确保数据完整性以及加强信息机密性。

3 信息网络的不安全因素

在信息网络中，导致的不安全因素较多，大致可概括4个方面，基础设施建设不完善、设备管理使用不严格、系统软件应用不牢靠及人员操作使用不规范。

3.1 基础设施建设不完善

网络基础设施建设主要指传输线路和机房环境等方面的建设。近年来信息网络在各种活动中得到广泛应用，在专用网络基础设施建设过程中，机线设备设置和维护的不完善，引发各种安全事件。如：在物理传输链路上，网络传输线缆资源往往因建设投入少，路由单一，主用链路阻断无法及时备份保护，引发阻断事件。此外，人为或自然灾害等原因导致的线缆阻断情况时有发生，关键时刻很容易导致网络不可用，这是取得未来信息网络空间制高点的一个重要安全隐患。在网络机房建设上，对于自然灾害可能带来的威胁考虑不周，如温湿度环境不达标、防雷电措施不得力、供电指标和安全保障不符合要求等问题，都是网络的重要安全隐患。

3.2 设备管理使用不严格

信息承载网络搭建主要由网络设备、安防设备和信息服务设备三类构成。网络建设初期，往往受技术制约，只能采购国外的设备，这无疑给网络带来了安全隐患和技术漏洞，甚至存在后门，如果在操作使用上不加以严格的防范，必将造成安全事故。在安全防护设备方面，各国应用均注重采用自主知识产权产品，各种安全设备多层加载，企图达到安全防护的目的，多数忽视安全策略的制定和应用，有的策略制定相对过于简单，有的安全设备不能及时升级，给不法分子和敌特分子留下了可乘之机。

3.3 系统软件应用不牢靠

当前各国信息系统受技术制约，多数采用微软操作系统，系统安全补丁和漏洞的防范控制均受限。日前微软不再对windows XP系统进行维护，那么针对操作系统进行的攻击该如何防范？出于安全考虑，我国政府已明确禁止各机关和事业单位采购或使用windows 8系统。由此可见，拥有一套安全的、自主可控的和适用于内部的操作系统是非常必要的。对系统应用软件来说，大多数来自于第三方国家，给活动的应用带来巨大安全威胁。在安全防护方面，多数软件只起到先漏后补的作用，对应用不能起到预防作用，给网络安全带来威胁。此外，像政府机构、事业单位、金融行业、国防科技行业和军用网络等涉及敏感信息的专用信息网络，入网的应用程序和各类文件内容均未经严格审查和管控，更多的是错误地认为只进不出就安全，忽视了入网内容被附着和携带具有对信息网络破坏作用的代码，这是巨大的行为安全漏洞。破坏伊朗核工业发展的“震网”病毒（stuxnet）就是一个有力的证明。

3.4 人员操作使用不规范

信息网络使用管理人员认识度不够，技术人员操作水平不高，不能综合运用安全技术手段对网络进行安全管控，是安全防范的巨大漏洞。通常，信息网络按照安全防护等级划分不同安全域，设置不同访问使用权限用户。然而，由于安全意识薄弱，对授权的用户名和密码，经常由多人共同使用，存在较大安全隐患；更有甚者使用破译软件破解用户名和密码，盗取秘密信息。涉及敏感信息的专用信息网络承载各类应用系统和数据，应与外界进行严格的物理隔离。然而，在我们看不到及管不住的边缘地带，无法确定内网与外网是否真正达到隔离，这种隔离不仅是建设上的物理隔离，也是人员使用上的隔离，违规使用将给网络安全防护和高效运行造成严重威胁。

4 信息网络安全管理对策

要实现信息网络安全的目标，需高度重视管理对于信息安全的关键作用。信息网络安全管理主要包括：通过安全策略识别风险、采用安全配置消减风险、综合分析安全事件带来的安全隐患、建立安全事故知识库排除风险、监管控制措施有效性和提升人员安全意识等。信息安全管理必须从整体考虑，应做到“有计划有目标，及时发现、分析和解决问题，后续监督避免再现”这样全程管理的思路。为保证信息的可用性、时效性、完整性和机密性，可建立、运用物理预防性、技术防御性及安全恢复性等方面的管理对策，确保信息网络安全可靠。

4.1 物理预防性管理

物理预防性管理策略是指在信息网络建设上，充分考虑自然条件、链路敷设、环境安全、网络规划和人员管理等因素，采用电磁屏蔽、防雷电系统、供电保障、环境监控、门禁系统、设备选择和人员培训等多种手段避免安全事件的发生。主要分为4个方面：

⑴完善基础设施建设

根据网络特点，应着重考虑线缆采取不同路由迂回或备份保护，严格机房及附属配套设施建设和管理，使之能够有效支撑网络的搭建。

⑵进行合理的网络规划

按要求合理配备安全防护设备和容灾备份手段，并严格按照配置规范和应用策略进行管理，执行定期定时检查制度，有效防范网络安全隐患。

⑶采用国内自主研发可控的软硬件产品

为避免安全漏洞和技术受控的弱势，在专用网络建设中，严格采用国内自主研发的软硬件设备，减少对网络的威胁。

⑷加强人员安全意识培训

人是信息安全的关键因素，管理不善会给带来巨大风险，应采取网络教学、警示教育和定期评测等方法，进行安全知识培训，强化信息网络工作人员安全保密意识。

4.2 技术防御性管理

技术防御性管理策略是指在安全硬件和软件的综合运用下，及时检测到风险和威胁，通过收集和分析安全事件，制定合理策略，及时采取措施进行防御。主要分为5个方面：

⑴部署防御系统

通过部署监控系统、入侵检测系统等防御系统及时审计识别安全威胁，以便采取措施及时防范安全事件的发生。

⑵建立安全知识库

通过收集安全事件，分析掌握技术手段和方法，列举多种处理和应对方案，建立安全知识库，配备事件处理所需的软硬件工具，确保有效防御安全事件和提高安全事件处理的时效性。

⑶分析网络安全情况

通过收集网络和安全设备产生的大量安全事件和日志，分析安全事件的关键，掌握网络安全现状和趋势，查找网络的安全漏洞，提前排除安全隐患。可建立安全事件分析系统，通过技术手段和方法，从庞大的安全事件库中准确分析和快速定位网络故障，确定安全隐患，为堵塞漏洞提供支撑。

⑷配置安全管理策略

通过严格制定、合理配置安全管控策略，及时对安全防护设备进行维护和升级，使其发挥安全防护效能和作用，确保适应网络防护需要。

⑸完善身份管理机制

通过划分访问权限，对信息进行分级分类防护等方法，管控用网行为，降低不同身份人员对网络安全威胁的风险[4]。

4.3 安全恢复性管理

安全恢复性管理策略是指通过管理手段，从技术上实现对信息的安全保护，确保紧急情况下，系统和数据能尽快得到恢复，减少灾难或中断带来的影响。主要分为4个方面：

⑴启用容灾备份中心

美国911恐怖事件导致40％以上的企业数据丢失无法正常工作，可见信息安全备份的重要性。因此，信息网络规划应考虑容灾备份中心建设，并实时启用，确保灾难事件发生时业务连续性、数据完整性和指令的实时性。

⑵冗余核心网络设备

为确保网络的可靠性，网络核心设备应采取多台进行冗余热备，关键点位间建立多条不同物理路由链路，确保网络事件发生时的快速恢复。

⑶确保数据机密可用

通过现代密码算法对数据进行主动保护，不断更换密钥，定期更新设备，对信源和信道进行加密，建立安全纠错机制和加密数据的恢复机制，确保数据传递的完整性。

⑷建立恢复管理机制

通过培养恢复团队、定期演训等方法，研究恢复流程和方式方法，区分恢复任务，建立恢复管理机制，确保恢复工作顺利开展[5]。

5 信息网络安全管理策略的制定

信息网络安全管理，应建立符合实际情况的安全管理策略，从而实现管理对策对信息网络的安全防范和控制。安全管理策略定义了信息应用对信息安全的期望，是实施信息安全的基础和保障，通过建立安全管控策略进行规范管理，提高防范效率和方便具体实施，确保合理适用。策略文件应由多个小的文件组成，便于参考、使用和维护，应涵盖目标、范围、有效期、所有者、责任、内容、复审、违规处理和参考文件等要素。同时要求语言精炼，便于理解，使用明确的指令性语句，形成一个完善的策略框架。信息网络安全策略应具有层次性，方针、标准、指南和程序齐全。方针应说明需要保护的对象和目标，标准和指南应规定用来保护特定对象的技术、方法和有效强制机制，程序应描述执行保护任务时具体步骤和细节。策略应随组织形式的变化而不断更新，通过多种途径和方式，为所有相关人员获知并理解。策略的制定与实施，必须逐级支持和执行，以发挥效力[6]。

6 结束语

信息网络安全管理工作的开展，有利于解决当前信息化建设中面临的许多安全问题。紧密围绕信息化建设，提高信息安全管理水平，适应新时期和新阶段发展的要求，不断加强信息安全管理策略的探索研究，为完善信息网络安全保障体系建设发挥积极作用，为完成多样化任务和取得网络空间制高点提供有力保障。

[1]鱼静.网络中心战下信息网络风险评估技术的研究[J].计算机安全,2011(2):33-35.

[2]葛青林,王莹莹.加强信息安全建设的研究[J].信息网络安全，2011(4):90-93.

[3]曾燕舞,郭伟.信息网络安全综述[J].火力与指挥控制,2008 (7):1-4.

[4]SHON H.CISSP认证考试指南（第6版）[M].张胜生,张博,付业辉,译.北京:清华大学出版社,2014.

[5]彭飞,龙敏.计算机网络安全[M].北京:清华大学出版社, 2013.

[6]姚华,肖琳.网络安全基础教程[M].北京:北京理工大学出版社,2007.

李鹤1张璐1谢涌纹1张振宇2
（1 中国人民解放军91917部队20分队，北京 100841）（2 中国电子科技集团公司第五十四研究所，河北石家庄 050081）

信息网络安全管理工作是当前网络管理者的核心任务。以信息网络安全管理的概念和实质为切入点，描述了网络安全目标，分析了信息网络的不安全因素，阐述了信息网络物理预防、技术防御及安全恢复等方面的安全管理对策和基本观点，提出了信息网络安全管理策略制定的方式方法。

网络安全管理策略

Network Security and Management Strategy

LI he1,Zhang Lu1,Xie Yong-wen1,ZHANG Zhen-yu2
（1 Team 20,Unit 91917,PLA,Beijing 100841,China）（2 The 54th Research Institute of CETC,Shijiazhuang Hebei 050081,China）

The security management of information network is the core task of the network administrator.This paper describes the goal of network security,analyzes insecurity factors of information network,expounds the security management policy and basic viewpoint such as physical prevention,technical defense,secure recovery,etc.of information network.Finally it puts forward the method of establishing security management strategy of information network.

network security;management;strategy

TP393.08

A

1008-1739（2015）18-61-4

定稿日期：2015-08-26