董启明?邓昱

随着现代网络信息技术的发展，公司、单位每年都要实施若干的信息项目，因此信息安全问题也日益凸显，大量的信息数据存储在网络中，随时有可能遭到非法入侵，存在着严重的安全的隐患。因此，信息项目的安全防护也变得越来越重要，本文浅谈几点关于信息项目实施的安全防护措施：

一、人员安全

1、签订安全承诺书和保密协议。为确保项目实施人员了解公司安全要求，减少盗窃、滥用、泄密或设施误用的风险，项目建设单位需要与公司签订保密协议和安全承诺书，并接受定期或不定期的检查、考核。

2、安全意识教育和培训。确认项目实施单位需要对项目实施人员进行过安全意识教育、技能培训和相关安全技术培训等，并将安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒。

3、访问管理。项目实施人员访问受控区域前需向信息运维部门提出书面申请，批准后由信息运维人员全程陪同或监督，并登记备案，对违规访问人员进行惩戒。

二、应用安全

1、身份鉴别

1）应对登录操作系统和数据库系统的用户进行身份标识和鉴别，操作系统与数据库系统用户的身份标识应区别开；

2）用户不得采用空账号和空口令，口令要足够强健，长度不得少于8位，含字母、数字、字符；

3）身份鉴别模块应具有登录失败处理，限制非法登录次数和连接超时设置，登录失败信息必须被系统纪录下来。

2、访问控制

1）访问控制的粒度应达到主体为用户级，客体为文件、数据库表级，同时应对访问权限一致的用户进行分组；

2）应实现操作系统和数据库系统特权用户的权限分级；

3）应严格限制匿名用户的访问权限。

3、安全审计

1）安全审计应覆盖到服务器上的每个操作系统用户和数据库用户；

2）安全审计应记录系统内重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统命令的使用；

3）安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等；

4）审计记录应受到保护避免受到未预期的删除、修改或覆盖等。

4、恶意代码防范

1）Windows服务器和终端设备（包括所有移动设备）均应安装实时检测和查杀恶意代码的软件；

2）恶意代码防范软件应支持统一升级，防护策略统一分发。

5、资源控制

1）应限制单个用户的多重并发会话和最大并发连接；

2）应限制单个用户对系统资源、磁盘空间的最大或最小使用限度，当系统的服务水平降低到预先规定的最小值时，应能检测和报警。

三、数据安全

根据等级保护前期评测结果，结合《信息安全技术信息安全等级保护基本要求》对二级系统数据安全及备份的要求，从数据完整性、数据保密性和备份与恢复等几个方面进行数据安全和备份安全进行规划。

1）数据完整性：能够检测到鉴别信息和重要业务数据在传输过程中完整性是否受到破坏；

2）数据保密性：

a、采用加密或其他保护措施实现鉴别信息的存储保密性；

b、过安全移动存储介质管理系统确保信息内、外网之间使用移动存储介质传输文件的保密性。

3）备份和恢复：

a、能够对重要信息进行备份和恢复；

b、提供关键服务器的硬件冗余，保证系统的可用性。

四、网络安全

1、双网隔离

1）信息内网、信息外网物理断开或强逻辑隔离（可采用正向隔离装置、反向隔离装置或信息安全隔离装置）；

2）内网应用及办公终端部署于信息内网，内网终端不得进行互联网业务处置。外网互联应用及上网终端应部署于信息外网；

3）光纤直连、专线、端到端虚拟专网等方式的接入采取严格的访问及控制策略DNS、补丁服务、防病毒在信息内、外网各独立部署一套不得使用终端直接通过互联网到VPN设备的方式接入信息内网；

4）禁止使用远程移动办公系统或明文传送的无线局域网接入信息内网。

2、访问控制

1）在网络边界部署访问控制设备，启用访问控制功能；

2）根据业务应用的访问需要，制定严格的访问控制策略，控制粒度至少为端口级；

3）信息外网对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；

4）限制网络最大流量数及网络连接数；

5）对于网络设备及服务器、桌面终端进行接入控制。可采用IP与MAC地址绑定等手段以防止网络地址欺骗；

6）拨号或VPN等方式接入网络，采用强认证方式，并对用户访问权限进行严格限制，控制粒度至少为用户组，宜为单个用户；

7）限制具有拨号或VPN访问权限的用户数量。

3、安全審计

1）对网络系统中的网络设备运行状况、网络流量、用户行为等的重要事件进行日志记录；

2）审计记录包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

3）网络设备、安全设备使用日志服务器或相关安全系统等存储、管理日志记录；

4）能够根据记录数据进行分析，并生成审计报表；

5）对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。

4、边界完整性检查

1）能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；

2）能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断；

3）应通过部署桌面管理系统对终端进行管理。

5、入侵防范

1）在网络边界处监视以下攻击行为：端口扫描、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等恶意攻击；

2）当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时提供报警。

6、恶意代码防范

1）应在与互联网边界处对恶意代码进行检测和清除；

2）维护恶意代码库的升级和检测系统的更新。

信息项目实施的安全问题并不是一个简单的技术问题，还涉及到制度、管理等相关问题，需要更多的部门参与到其中，共同努力，通过各式各样的防范措施和宣传教育提高防护的可靠性，保证信息项目的安全顺利实施。endprint