石永清

计算机网络技术的兴起，网络应用迅速普及，计算机网络与人们的生活、工作紧密结合。各行各业对网络系统的依赖更为紧密，愈加深度融合，传统纸质办公被无纸化取代，单机办公被无边界的网络取代，居家办公、远程学习、远程会议成为常态。随之而来大量数据集中存储在网络服务器中，保护数据安全，加强信息基础设施网络安全防护，建立高效、规范、灵活的网络信息系统安全管理机制，形成多层次、全方位管理体系。

一、网络安全管理的重要性

没有网络安全，信息化发展越快，带来的危害可能越大，网络信息系统的安全、稳定运行显得尤为重要。网络信息系统安全管理既要维护信息系统的持续稳定运行，也要保障信息系统所在网络的安全畅通。信息系统本身也存在各种漏洞需要及时进行修复，而且软件需要及时更新、修复补丁等内生安全问题无法避免，建立多层次综合防护体系，融合多种防护技术，发挥各自的优勢，为信息系统网络的安全提供全方位保护。建立适合基层单位管理、高效快速反映的管理机制具有重要意义。

二、网络安全管理现状分析

近年来，我国信息化建设高速发展，基层单位普遍安全意识、管理机制、技术力量发展相对落后于信息化发展速度。部分单位专业管理人员配备不足，信息系统常规运行维护管理主要依托外包公司成为中小信息系统运行单位首选，仅能保障其正常运行，无法实现网络安全全面管理。主要存在以下问题：

（一）安全管理制度缺乏科学性

通过调查研究发现现阶段网络信息系统运行单位建立有完善、科学、合理的管理制度单位比例相对较低。多数单位仅建立片面的针对网络管理部门（信息中心）、单一应用、管理人员的专项制度，缺乏全面、系统的管理机制和与其适应的机制运行监督措施。

（二）系统安全架构缺乏专业论证

我国基层单位信息化项目普遍采取堆积木方式逐年建设，缺乏科学的规划布局及专业认证，导致内外网之间、普通业务系统与核心系统之间未进行科学隔离；建设部署随意，图一时方便采用多网卡，让内网之间不同应用的软隔离形同虚设在建设中大有存在；重要数据和核心应用未建立安全保护区域或安全策略，导致大量端口的开放、非必须应用服务开启增大了系统危险指数。

（三）网络防护缺乏层级纵深

组网过程中未建立分级保护、层层防护机制，小型基层运行单位未采用网闸等设备进行物理隔离，系统之间、应用与数据存储之间未能建设安全隔离措施，容易造成横向攻击，往往一点突破、全网沦陷，难以抵御黑客攻击者的内网渗透。

（四）安全管理设备配置不合理

《中华人民共和国网络安全法》实施后，许多单位虽然按照信息系统等级保护的要求，增加了必要的安全防护设备，但安全设备策略配置不当、管理不到位，网络防火墙、防病毒网关等安全设备未进行科学合理的部署和配置，反而容易成为整个网络的防护薄弱点，成为危害极大的风险点。

（五）日常安全管理工作不规范

安全管理人员缺乏专业性的培训，工作水平往往停留在经验积累。管理职责、应急处置预案等制度停留在文件、纸质层面，没有进一步形成可操作的具体措施和支持保障，没有规范地在实际工作中得到落实，因而执行效果难以得到保障。运维资料存放管理随意，容易造成敏感信息泄露，为攻击者入侵后的进一步深度攻击提供了便利条件。系统使用的软硬件开发厂商发布漏洞、修复补丁不及时修复更新，没有定期开展安全漏洞和病毒防护检测，造成安全隐患不能及时排除。

三、网络安全管理防护与对策

信息系统运行单位建立完善管理机制，科学部署网络框架，规范安全管理，定期开展风险评估，强化网络安全应急处置的网络安全管理机制，形成层次分明、重点突出的立体防护体系，把网络信息系统的每一个环节进行有效的管理，实现规范科学管理。

（一）加强顶层设计，建立网络安全管理长效机制

网络信息系统安全管理应当在整个组织机构内建立和完善信息安全管理体系，将管理融入到信息系统的整个生命周期。完善的网络安全管理机制，能有效的规避管理漏洞。据网络安全技术公司不完全统计，因弱口令、升级补丁、端口开放、信息泄漏等管理原因造成安全事件超过60%。管理机制的完善需要对本单位现有制度展开全面分析，进行针对性的补充完善，建立严谨的管理规范、明确的责任分工、科学的管理流程、严格的监管和奖惩制度、常态化的人员培训体系，以科学的管理机制推动制度的执行和实施，及时发现违规行为并进行制止，为网络信息系统的安全管理再上一把安全锁。

（二）科学布局网络安全架构，加强数据安全防护

合理规划网络安全架构，充分论证，合理布局，避免重要系统暴露于互联网终端。要提高对数据安全重要性的认识，加强对重要数据、敏感信息等数据加密存储管理，实时异地备份；重视数据传输过程的安全性和可靠性，对重要数据进行加密码传输；强化密码口令管理，建立强制性强口令策略，建立双因子认证。在边界、重点数据、关键节点、核心应用等关键区域使用高安全级别的安全解决方案策略确保其安全性。

（三）抓好关键防护，建立层级防护体系

统筹分析建立信息系统等级划分，制定数据安全控制策略，建立符合业务需求的数据处理流程，建立数据安全保护模式。加强关键信息系统、关键部位、重要计算节点进行重点防护，形成多重多元、多级互联的防护架构。采用技术手段对各信息系统、主机、网络区域进行隔离防护，配置严格的安全限制策略。建立分层策略，允许根据信息系统重要程度采取相匹配的防护手段。建立基于技术安全策略、科学业务处理流程和严密的安全管理相结合的立体防护体系，在管理、系统、操作三个层面形成一个安全防护框架实施多层保护，使攻击者即使攻破一层也无法破坏整个网络信息系统的基础环境。

（四）落实管理制度，规范管理行为

建立网络安全管理人员的培训机制，提高管理人员业务能力、职业素质和安全风险意识，筑牢思想防线。严格落实网络安全管理制度措施，用制度约束管理行为、使用行为和监督行为。重视网络系统使用者安全意识培训，规范使用流程和现状改变审批，避免因操作不当、不良工作习惯等人为因素而导致数据丢失和系统失陷。定期开展安全检查，及时纠正违规行为，有效排除管理方面的风险隐患。

（五）加强网络安全监测，定期开展风险评估

网络系统所面临的风险来自各个方面，任何一种安全防护技术都难以全面应对所有的威胁。做好网络安全监测和巡查，提高网络安全风险的日常发现能力和处置能力。定期围绕国内外重要信息系统、政府网站遭受攻击或重大安全隐患发现开展安全态势分析研判。随时关注信息系统所使用软硬件厂商的风险隐患通报，做好漏洞修复、补丁更新、安全产品数据库的更新。建立信息系统风险评估体系，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件可能造成的危害性，提出有针对性的安全防护策略和整改措施。

（六）加强应急处置，建立完善应急响应机制

定期开展网络安全应急演练，对安全应急演练中暴露出的问题和不足及时整改。完善网络安全事件应急预案，细化应急处置工作流程，确保在发生大规模网络安全事件时，能够在最短时间内控制事件的扩散、掌握事态发展动态，准确判断事件的影响范围，果断采取响应措施，快速处置恢复正常运行。

网络信息系统的安全管理，是信息系统稳定运行的保障，必须建设立适应管理工作的安全管理机制。用规范的管理，保障信息系统的安全稳定运行，促进信息化健康发展。

作者单位：泸州市公安局