网站信息系统安全探讨
2018-06-29邓红友
邓红友
摘 要 随着互联网技术的发展与网络安全问题的爆发,网络安全越来越受到各级政府的重视。文章就如何做好网站信息系统安全等级保护做了全面的阐述,详细介绍了物理安全、网络安全、应用安全等方面的关键信息。
关键词 信息安全;网络安全;等保测评
中图分类号 TP393 文献标识码 A 文章编号 2096-0360(2018)07-0041-02
随着网络化信息化的发展,信息网络的安全越来越受到各级政府、金融机构、新闻媒体、互联网企业、网络安全公司的重视,特别是美国“斯诺登事件”爆发后,全世界各国政府对网络安全的重视更是提到空前的高度,美国前总统奥巴马就将网络安全视作美国面临的最大挑战之一,2015年发布了《网络安全法》,2016年发布《网络安全国家行动计划》,同样,中国政府也非常重视网络安全,2014年成立中央网络安全和信息化领导小组,2016年11月7日通过《中华人民共和国网络安全法》,自2017年6月1日起施行。
1 网络信息安全系统定级
信息安全是指保障国家、机构、个人的信息空间、信息载体和信息资源等信息不受来自任何内外各种形式的危险、威胁、侵害[1]。根据《信息安全等级保护管理办法》的规定,信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级分为五级,其中地市级单位一般是二级至三级,韶关民声网根据网站的规模与影响力,参照“第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全,国家信息安全监管部门对该级信息系统安全等级保护工作进行指导”①的要求,确定申报第二级等级保护。信息系统安全从管理角度看可分为信息安全策略、信息安全技术、风险评估、信息安全管理、信息安全监管等;从技术角度分析可分为物理安全、系统安全、网络安全、应用安全,本文着重从技术角度分析信息系统的安全管理与应用。
2 物理安全
物理安全分为环境安全与设备安全,环境安全是设备安全的基础,环境安全包括场地安全与运行环境安全,场地选址应该符合国家标准《电子计算机机房设计规范》(GB 50174—93)、《计算站场地安全要求》(GB 9631—88)等规定,一般单位机房主要考虑避开尘埃、腐蚀性气体、低洼、潮湿、防水等情况[2];场地必须做好防火、防静电与防雷击等措施,灭火器是机房建设的最低标准,静电防护主要考虑地面与墙壁的静电防护,必须对所有的防静电地板进行有效的连接;线路安全,机房中的各种设备必须通过线路连接才能正常工作,线路安全包括电力线路与通讯线路,为了防止两种线路的互相干扰,两种线路的铺设不能放在同一个线槽中,所有线路的铺设必须符合《建筑物电子信息系统防雷技术规范》(GB 50343—2004),如平行铺设的电力线缆与信号线的间距需大于130 mm;设备安全主要是防盗、防毁、防静电以及介质安全。机房配备必备的防盗系统,所有设备按照一定的规则贴上标签,安装360度无死角监控与配备门禁系统,做到出现异常情况有据可查;所有的信息都是存储在介质设备的,保存关键数据与重要数据的介质应采取加密与上锁等有效措施,介质销毁必须得到专业的管理,应避免随意丢弃或放置电子介质的行为,确保介质内的信息安全。
3 系统安全
系统安全分为操作系统与数据库系统安全,操作系统的功能包括存储、文件、设备、作业与处理器的管理,当多个程序一起运行时,操作系统负责优化每个程序的处理时间。系统安全主要做好用户与权限管理,删除GUEST这类不必要用户,对默认管理员(administrator)改名,管理员、操作员、维护员等用户按照需要尽可能使用最小的用户权限控制;保护UNIX/Linux系统账号安全最关键是对文件/etc/group与/etc/passwd进行写保护;密码策略设定,密码长度最小8个字符、区分大小写,且必须包含有特殊字符、字母、数字等符号,定期修改密码,密码“最长存留期”设定越小越安全,一般设定30天,为了安全,还需设定密码“最短存留期”,一般7天左右,确保用户不切回旧密码;审计日志,定期查看审计日志可以及时发现系统存在的各种安全问题,及时做好安全防范;数据备份,任何专业的设备,无论如何保养维护,都难免会出故障,做好数据备份是信息安全的最安全方式,也是信息安全的底线,最基本要求,一般有完全备份、差分备份、增量备份等类型;系统升级,及时关联相关系统供应商官网,发现有新的补丁在做好备份的基础上及时升级系统,通过安全软件扫描系统漏洞,发现漏洞及时升级,目前,一般的系统管理软件都有自动检测功能,系统安装后都能自动检测系统漏洞,并提示升级。
4 网络安全
目前,网络安全设备很多,根据不同的信息系统不同的等级保护要求选择相应的安全设备,韶关民声网网站信息系统根据系统需要配置了下一代防火墙、WEB防火墙、网络安全审计系统与堡垒机等安全设备。下一代防火墙采取串联的连接方式隔离外网与内网,将新一代多核技术与64位并行处理系统硬件平台相结合,基于Web2.0,构成高性能的多核平台,并在该多核平台上采用双驱动引擎设计,将数通引擎和一体化安全引擎完美结合。数通引擎将一体化策略机制通过用户识别、应用识别、安全和管理功能进行一体化联动与整合,保证防火墙的高性能、高识别、高可用性和高安全。一体化安全引擎和数通引擎无缝配合,对网络数据包一次性拆解,全方位并行的安全扫描与防御,确保了系统与外界数据交换的安全。网络安全审计系统采用混合方式接入网络,通过网络数据的采集、识别、分析,实时动态监测通信内容、网络行为与网络流量,发现与捕获各种敏感信息、违规行为,实时报警响应,全面记录网络中的所有会话和事件,实现对网络信息的智能综合分析、评估及安全事件的全程跟踪定位。可对网页页面内容、数据库访问、远程终端访问与论坛发帖等提供完整的内容检测与信息还原功能。堡垒机与服务器设备并行连接,随着网络信息系统的不断发展,网络规模和设备数量逐步扩大,不同背景的运维人员的行为给信息系统安全带来较大风险,堡垒机可以全面对网络设备、主机、安全设备和数据库等资源进行集中账号管理。支持跨平台的运维行为管理能力,同时覆盖多种主流操作系统、网络设备和运维协议,可以全面监控与记录所有操作人员的行为。
5 应用安全
应用安全是指以保护特定应用为目的的安全技术,目前主要有网页防篡改、反网络钓鱼、内容过滤等技术,韶关民声网网络信息系统主要有新闻、论坛、直播与点播等应用系统,作为一个地市级的门户网,代表政府的形象,拥有的众多高薪阶层、企事业单位与私营企业主等高质量的网友,必须确保网络信息系统的安全,让广大网友接受健康有益的第一手资讯,韶关民声网部署了Web应用防火墙,它集Web防护、网页保护于一体,可以对HTTP访问控制、自动化攻击工具识别、控制非法文件上传和下载、阻止盗链和爬虫,可以做CSRF防护、XSS防护、Cookie签名和加密等安全策略,保护Web客户端。新闻、论坛系统采取业界最流行最适宜地市级官网管理的组合应用系统,即windows2012操作系统+Apache服务器+Mysql数据库/PHP语言来搭建网站,新闻系统按照广播电视新闻管理规定设有记者、编辑、总编三个不同等级的权限,只有总编拥有发布权,确保新闻的真实性、权威性;论坛发帖必须经过版主、超级版主、管理员等管理组用户审核后才能发布到前台页面。新闻与论坛系统还可以通过设定不同的关键字,过滤不同等级的信息;对于经常发布不良信息的网友,管理组人员可以直接对该网友禁言一段时间,也可以直接禁用该发帖网友的IP。
按照国家信息安全等保测评要求,必须做好系统的物理、网络、主机、应用等方面的安全管理工作,信息安全必须把技术、人员、制度的管理很好的融合在一起才能确保安全,俗话说:“三分技术,七分管理”,安全管理中人员的管理才是重中之重。必须规范各项规章制度,让所有人敬畏规章制度,定期做好安全技术培训与应急演练,树立信息安全永远在路上的工作理念。
注释
①百度百科:信息安全等级保护。https://baike.baidu.com/item/%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E7%AD%89%E7%BA%A7%E4%BF%9D%E6%8A%A4.
參考文献
[1]中国网络空间研究院,中国网络空间安全协会.网络安全测评培训教程[M].北京:人民邮电出版社,2016.
[2]荆继武.信息安全技术教程[M].北京:中国人民公安大学出版社,2007.