淺談信息項目實施的安全防護(hù)措施

董啟明?鄧昱

隨著現(xiàn)代網(wǎng)絡(luò)信息技術(shù)的發(fā)展，公司、單位每年都要實施若干的信息項目，因此信息安全問題也日益凸顯，大量的信息數(shù)據(jù)存儲在網(wǎng)絡(luò)中，隨時有可能遭到非法入侵，存在著嚴(yán)重的安全的隱患。因此，信息項目的安全防護(hù)也變得越來越重要，本文淺談幾點關(guān)于信息項目實施的安全防護(hù)措施：

一、人員安全

1、簽訂安全承諾書和保密協(xié)議。為確保項目實施人員了解公司安全要求，減少盜竊、濫用、泄密或設(shè)施誤用的風(fēng)險，項目建設(shè)單位需要與公司簽訂保密協(xié)議和安全承諾書，并接受定期或不定期的檢查、考核。

2、安全意識教育和培訓(xùn)。確認(rèn)項目實施單位需要對項目實施人員進(jìn)行過安全意識教育、技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)等，并將安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員，對違反違背安全策略和規(guī)定的人員進(jìn)行懲戒。

3、訪問管理。項目實施人員訪問受控區(qū)域前需向信息運維部門提出書面申請，批準(zhǔn)后由信息運維人員全程陪同或監(jiān)督，并登記備案，對違規(guī)訪問人員進(jìn)行懲戒。

二、應(yīng)用安全

1、身份鑒別

1）應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別，操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)用戶的身份標(biāo)識應(yīng)區(qū)別開；

2）用戶不得采用空賬號和空口令，口令要足夠強健，長度不得少于8位，含字母、數(shù)字、字符；

3）身份鑒別模塊應(yīng)具有登錄失敗處理，限制非法登錄次數(shù)和連接超時設(shè)置，登錄失敗信息必須被系統(tǒng)紀(jì)錄下來。

2、訪問控制

1）訪問控制的粒度應(yīng)達(dá)到主體為用戶級，客體為文件、數(shù)據(jù)庫表級，同時應(yīng)對訪問權(quán)限一致的用戶進(jìn)行分組；

2）應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分級；

3）應(yīng)嚴(yán)格限制匿名用戶的訪問權(quán)限。

3、安全審計

1）安全審計應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；

2）安全審計應(yīng)記錄系統(tǒng)內(nèi)重要的安全相關(guān)事件，包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用；

3）安全相關(guān)事件的記錄應(yīng)包括日期和時間、類型、主體標(biāo)識、客體標(biāo)識、事件的結(jié)果等；

4）審計記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋等。

4、惡意代碼防范

1）Windows服務(wù)器和終端設(shè)備（包括所有移動設(shè)備）均應(yīng)安裝實時檢測和查殺惡意代碼的軟件；

2）惡意代碼防范軟件應(yīng)支持統(tǒng)一升級，防護(hù)策略統(tǒng)一分發(fā)。

5、資源控制

1）應(yīng)限制單個用戶的多重并發(fā)會話和最大并發(fā)連接；

2）應(yīng)限制單個用戶對系統(tǒng)資源、磁盤空間的最大或最小使用限度，當(dāng)系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值時，應(yīng)能檢測和報警。

三、數(shù)據(jù)安全

根據(jù)等級保護(hù)前期評測結(jié)果，結(jié)合《信息安全技術(shù)信息安全等級保護(hù)基本要求》對二級系統(tǒng)數(shù)據(jù)安全及備份的要求，從數(shù)據(jù)完整性、數(shù)據(jù)保密性和備份與恢復(fù)等幾個方面進(jìn)行數(shù)據(jù)安全和備份安全進(jìn)行規(guī)劃。

1）數(shù)據(jù)完整性：能夠檢測到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性是否受到破壞；

2）數(shù)據(jù)保密性：

a、采用加密或其他保護(hù)措施實現(xiàn)鑒別信息的存儲保密性；

b、過安全移動存儲介質(zhì)管理系統(tǒng)確保信息內(nèi)、外網(wǎng)之間使用移動存儲介質(zhì)傳輸文件的保密性。

3）備份和恢復(fù)：

a、能夠?qū)χ匾畔⑦M(jìn)行備份和恢復(fù)；

b、提供關(guān)鍵服務(wù)器的硬件冗余，保證系統(tǒng)的可用性。

四、網(wǎng)絡(luò)安全

1、雙網(wǎng)隔離

1）信息內(nèi)網(wǎng)、信息外網(wǎng)物理斷開或強邏輯隔離（可采用正向隔離裝置、反向隔離裝置或信息安全隔離裝置）；

2）內(nèi)網(wǎng)應(yīng)用及辦公終端部署于信息內(nèi)網(wǎng)，內(nèi)網(wǎng)終端不得進(jìn)行互聯(lián)網(wǎng)業(yè)務(wù)處置。外網(wǎng)互聯(lián)應(yīng)用及上網(wǎng)終端應(yīng)部署于信息外網(wǎng)；

3）光纖直連、專線、端到端虛擬專網(wǎng)等方式的接入采取嚴(yán)格的訪問及控制策略DNS、補丁服務(wù)、防病毒在信息內(nèi)、外網(wǎng)各獨立部署一套不得使用終端直接通過互聯(lián)網(wǎng)到VPN設(shè)備的方式接入信息內(nèi)網(wǎng)；

4）禁止使用遠(yuǎn)程移動辦公系統(tǒng)或明文傳送的無線局域網(wǎng)接入信息內(nèi)網(wǎng)。

2、訪問控制

1）在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；

2）根據(jù)業(yè)務(wù)應(yīng)用的訪問需要，制定嚴(yán)格的訪問控制策略，控制粒度至少為端口級；

3）信息外網(wǎng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；

4）限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；

5）對于網(wǎng)絡(luò)設(shè)備及服務(wù)器、桌面終端進(jìn)行接入控制?？刹捎肐P與MAC地址綁定等手段以防止網(wǎng)絡(luò)地址欺騙；

6）撥號或VPN等方式接入網(wǎng)絡(luò)，采用強認(rèn)證方式，并對用戶訪問權(quán)限進(jìn)行嚴(yán)格限制，控制粒度至少為用戶組，宜為單個用戶；

7）限制具有撥號或VPN訪問權(quán)限的用戶數(shù)量。

3、安全審計

1）對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等的重要事件進(jìn)行日志記錄；

2）審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；

3）網(wǎng)絡(luò)設(shè)備、安全設(shè)備使用日志服務(wù)器或相關(guān)安全系統(tǒng)等存儲、管理日志記錄；

4）能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計報表；

5）對審計記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。

4、邊界完整性檢查

1）能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷；

2）能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷；

3）應(yīng)通過部署桌面管理系統(tǒng)對終端進(jìn)行管理。

5、入侵防范

1）在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等惡意攻擊；

2）當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴(yán)重入侵事件時提供報警。

6、惡意代碼防范

1）應(yīng)在與互聯(lián)網(wǎng)邊界處對惡意代碼進(jìn)行檢測和清除；

2）維護(hù)惡意代碼庫的升級和檢測系統(tǒng)的更新。

信息項目實施的安全問題并不是一個簡單的技術(shù)問題，還涉及到制度、管理等相關(guān)問題，需要更多的部門參與到其中，共同努力，通過各式各樣的防范措施和宣傳教育提高防護(hù)的可靠性，保證信息項目的安全順利實施。endprint