在近期通過(guò)的“十三五”規(guī)劃建議中，曾六次提到網(wǎng)絡(luò)安全，賦予其成為“中國(guó)制造2025”、建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)、推進(jìn)“互聯(lián)網(wǎng)＋”等國(guó)家安全基石的重大使命。當(dāng)前，我國(guó)已成為全球最大的網(wǎng)絡(luò)市場(chǎng)，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心報(bào)告指出，到2015年6月底，我國(guó)互聯(lián)網(wǎng)普及率為48.8%，網(wǎng)民總數(shù)達(dá)6.68億。隨著互聯(lián)網(wǎng)的普及，以拒絕服務(wù)攻擊（DDoS）、竊取公民個(gè)人信息、網(wǎng)頁(yè)篡改、網(wǎng)絡(luò)釣魚(yú)、惡意程序、惡意移動(dòng)應(yīng)用程序（APP）、信息非授權(quán)訪問(wèn)等為代表的威脅網(wǎng)絡(luò)安全的行為呈快速增長(zhǎng)趨勢(shì)。例如：CNCERT抽樣監(jiān)測(cè)發(fā)現(xiàn)，2015年1月至5月1GB以上DDoS攻擊事件日均1300起，較2014年同比增長(zhǎng)37起；2015年6月16日至30日，1GB以上DDoS攻擊事件26903余起，日均1793起；2014年針對(duì)我國(guó)境內(nèi)網(wǎng)站的仿冒頁(yè)面（URL）99409個(gè)，較2013年增長(zhǎng)2.3倍，涉及IP地址6844個(gè)，較2013年增長(zhǎng)61.4%；2014年我國(guó)境內(nèi)被篡改的網(wǎng)站36969個(gè)，主要表現(xiàn)為顯示篡改網(wǎng)頁(yè)內(nèi)容、植入黑鏈，較2013年增長(zhǎng)54%；2015年6月16日至30日期間被篡改網(wǎng)站7660個(gè)。

政府網(wǎng)站也成為黑客頻頻光顧的地方。最近，在南京市某政府網(wǎng)絡(luò)安全信息監(jiān)測(cè)平臺(tái)對(duì)全市284家政府網(wǎng)站監(jiān)測(cè)中，全年共掃描1266次，存在安全問(wèn)題1317個(gè)，存在信息泄漏漏洞的網(wǎng)站共計(jì)139個(gè),其中跨站腳本漏洞數(shù)量為355個(gè)，SQL注入漏洞數(shù)量為327個(gè)，鏈接注入漏洞數(shù)量為158個(gè)，遠(yuǎn)程命令執(zhí)行S2-106漏洞數(shù)量為92個(gè)等。

信息系統(tǒng)安全隱患不僅僅如上述所列出的攻擊事件、系統(tǒng)漏洞等外部因素，其自身的網(wǎng)絡(luò)結(jié)構(gòu)合理性、設(shè)備可靠性、管理易用性、制度全面性等內(nèi)部因素也往往是信息系統(tǒng)安全和穩(wěn)定的關(guān)鍵。

“我們是一家信息安全行業(yè)企業(yè)。在這個(gè)行業(yè)里，"專業(yè)"不僅是本行的最基本要求，更需要通過(guò)"創(chuàng)新"來(lái)為客戶實(shí)現(xiàn)全面的信息化，創(chuàng)建一個(gè)可用、可信、安全、和諧的虛擬網(wǎng)絡(luò)世界而不懈追求。”江蘇信息安全行業(yè)內(nèi)的知名企業(yè)——江蘇國(guó)瑞信安科技有限公司（以下簡(jiǎn)稱國(guó)瑞信安）技術(shù)總監(jiān)“網(wǎng)絡(luò)司令”說(shuō)。據(jù)介紹，該公司成立于2005年，公司主營(yíng)業(yè)務(wù)為高新技術(shù)研制與開(kāi)發(fā)、計(jì)算機(jī)應(yīng)用軟件及系統(tǒng)集成、信息安全系統(tǒng)集成與服務(wù)、涉密系統(tǒng)集成與咨詢服務(wù)等。致力于為黨政機(jī)關(guān)、軍隊(duì)軍工、科研教育、金融證券等用戶提供全面的信息化建設(shè)、安全服務(wù)解決方案，持續(xù)提供具有核心競(jìng)爭(zhēng)力的自主創(chuàng)新品牌GreeSec、GreeInfo等系列產(chǎn)品。

安全服務(wù)案例

2014年，國(guó)瑞信安公司針對(duì)省某黨政機(jī)關(guān)行業(yè)的“政務(wù)信息平臺(tái)”系統(tǒng)進(jìn)行“風(fēng)險(xiǎn)和隱患”檢測(cè)。政府機(jī)關(guān)單位一般會(huì)有多套網(wǎng)絡(luò)，有政務(wù)內(nèi)網(wǎng)、互聯(lián)網(wǎng)、業(yè)務(wù)專網(wǎng)。其中政務(wù)內(nèi)網(wǎng)承載著涉及國(guó)家敏感的數(shù)據(jù)，與其他網(wǎng)絡(luò)系統(tǒng)進(jìn)行嚴(yán)格的控制和物理隔離，并在國(guó)家保密行政工作部門的指導(dǎo)下，按照國(guó)家相關(guān)的保密標(biāo)準(zhǔn)、規(guī)定和要求進(jìn)行安全防護(hù)，該網(wǎng)已有一套成熟和成型的防護(hù)體系。國(guó)瑞信安對(duì)該單位的“政務(wù)信息平臺(tái)”系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估時(shí)，采用訪談、書(shū)面調(diào)查、操作檢查、設(shè)備安全檢測(cè)等方式，安排物理安全、網(wǎng)絡(luò)和主機(jī)、應(yīng)用和數(shù)據(jù)、管理和制度等四個(gè)評(píng)估組進(jìn)行摸底排查，深入到該單位的網(wǎng)絡(luò)系統(tǒng)中，在不影響該單位正常工作的情況下，對(duì)其信息系統(tǒng)進(jìn)行全面的、深入的檢測(cè)。通過(guò)多個(gè)日夜的連續(xù)奮戰(zhàn)，全面掌握了其安全狀況。

2015年，國(guó)瑞信安公司針對(duì)省某科研教育行業(yè)的“數(shù)據(jù)中心平臺(tái)”系統(tǒng)進(jìn)行“風(fēng)險(xiǎn)和隱患”檢測(cè)。除關(guān)注前面提到的安全問(wèn)題外，國(guó)瑞信安根據(jù)其業(yè)務(wù)特點(diǎn)，需給互聯(lián)網(wǎng)用戶提供服務(wù)，集中時(shí)間段突發(fā)流量較大，并且其穩(wěn)定性、可靠性、響應(yīng)及時(shí)性要求較高，數(shù)據(jù)的安全性要求也較高等特點(diǎn)，對(duì)其信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)進(jìn)行調(diào)查、分析，有針對(duì)性地進(jìn)行網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、安全設(shè)備等壓力測(cè)試、攻擊模擬測(cè)試和故障模擬測(cè)試，暴露出一些個(gè)性的安全隱患。

案例分析

直面風(fēng)險(xiǎn)和隱患，必須全面防護(hù)

國(guó)瑞信安的售前經(jīng)理“安全教授”在總結(jié)安全風(fēng)險(xiǎn)時(shí)談到：“信息系統(tǒng)的安全風(fēng)險(xiǎn)有其共性的問(wèn)題，另根據(jù)業(yè)務(wù)特點(diǎn)也有其個(gè)性的問(wèn)題。比較普遍的問(wèn)題是，信息系統(tǒng)雖然或多或少做過(guò)一些安全防護(hù)，但是沒(méi)有完整的安全防護(hù)體系，尚存在缺漏項(xiàng)、安全防護(hù)不到位、只單純部署硬件設(shè)備不關(guān)注策略配置、重技術(shù)輕管理等問(wèn)題，信息系統(tǒng)的安全防護(hù)能力不足，甚至存在不少高風(fēng)險(xiǎn)安全隱患。”

信息系統(tǒng)的安全防護(hù)分為技術(shù)部分和管理部分，技術(shù)部分主要從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等方面進(jìn)行分析，管理部分主要從管理機(jī)構(gòu)、制度、人員、安全運(yùn)維等方面進(jìn)行分析,技術(shù)和管理相結(jié)合才能形成完整的安全體系統(tǒng)，技術(shù)和管理互為補(bǔ)充、相輔相承，缺一不可。

物理層面安全主要是從外界環(huán)境、基礎(chǔ)設(shè)施、運(yùn)行硬件、介質(zhì)等方面為信息系統(tǒng)的安全運(yùn)行提供基礎(chǔ)的后臺(tái)支持和保證。包括針對(duì)人員威脅的控制要求（如物理訪問(wèn)控制、防盜竊和防破壞、電磁防護(hù)等），以及針對(duì)自然環(huán)境威脅的控制要求（如防火、防水、防雷擊等）。例如防盜門窗的安裝，在2012年啟東事件中，市政府大樓遭到了沖砸，只有安裝了防盜門的兩間辦公室安然無(wú)恙，從這點(diǎn)上也能說(shuō)明物理安防的對(duì)于人員威脅的控制的重要性。機(jī)房的防火是必不可少的，并且需要使用氣體滅火劑，才能保證設(shè)備的安全，如果采用泡沫滅火劑或水進(jìn)行滅火，火災(zāi)過(guò)后設(shè)備基本都會(huì)損壞報(bào)廢。防火方面也有因?yàn)橥ㄟ^(guò)機(jī)房的管道漏水或者空調(diào)排水不暢造成設(shè)備短路，影響信息系統(tǒng)正常工作的案例。防雷如果做不好，也會(huì)因?yàn)槔讚?，特別是感應(yīng)雷，造成設(shè)備損壞。

網(wǎng)絡(luò)層面安全為信息系統(tǒng)能夠在安全的網(wǎng)絡(luò)環(huán)境中運(yùn)行提供支持，確保網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行，提供有效的網(wǎng)絡(luò)服務(wù)。由于網(wǎng)絡(luò)具有開(kāi)放等特點(diǎn)，相比其他方面的安全要求，網(wǎng)絡(luò)安全更需要注重整體性，既要求從全局安全角度關(guān)注網(wǎng)絡(luò)整體結(jié)構(gòu)和網(wǎng)絡(luò)邊界（網(wǎng)絡(luò)邊界包括外部邊界和內(nèi)部邊界），也需要從局部角度關(guān)注網(wǎng)絡(luò)設(shè)備自身安全等方面，具體包括結(jié)構(gòu)安全、訪問(wèn)控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等內(nèi)容。網(wǎng)絡(luò)層面安全中訪問(wèn)控制、入侵防范和惡意代碼防范是大家都認(rèn)可的防護(hù)措施。結(jié)構(gòu)安全需結(jié)合信息系統(tǒng)中的業(yè)務(wù)系統(tǒng)的需求進(jìn)行個(gè)性化的防護(hù)，考慮防護(hù)的成本，是否需要持續(xù)服務(wù)的能力，網(wǎng)絡(luò)系統(tǒng)能不能中斷，如果網(wǎng)絡(luò)系統(tǒng)不能中斷，在結(jié)構(gòu)上就要考慮檢查是否滿足熱備的需求，是否存在單點(diǎn)故障。安全審計(jì)方面在安全事件追蹤、追查等方面尤為重要。網(wǎng)絡(luò)層面安全中還是檢查安全設(shè)備是否能夠真正起到其設(shè)計(jì)的安全防護(hù)作用，有較多的用戶單位安全設(shè)備的防護(hù)策略較為薄弱甚至沒(méi)有開(kāi)啟防護(hù)策略，安全設(shè)備形同虛設(shè)。

主機(jī)層面安全在物理、網(wǎng)絡(luò)層面安全的情況下，提供安全的操作系統(tǒng)和安全的數(shù)據(jù)庫(kù)管理系統(tǒng)，以實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)的安全運(yùn)行。主機(jī)是網(wǎng)絡(luò)上的單個(gè)節(jié)點(diǎn)，因此主機(jī)安全是分散在各個(gè)主機(jī)系統(tǒng)上的，不像網(wǎng)絡(luò)安全需要考慮安全功能的整體效果。主機(jī)安全重點(diǎn)防范服務(wù)器，但是終端計(jì)算機(jī)的防護(hù)也不能忽略。主機(jī)安全具體包括身份鑒別、安全標(biāo)記、訪問(wèn)控制、安全審計(jì)、可信路徑、剩余信息保護(hù)、入侵防范、惡意代碼防范和資源控制等方面。就身份鑒別而言，可以使用賬戶密碼、雙因素認(rèn)證、生理特征認(rèn)證等方式，鑒別的強(qiáng)度不同，可以根據(jù)信息系統(tǒng)的重要程度進(jìn)行檢查，就使用賬戶密碼的方式，密碼會(huì)被竊取、暴力破解或者采用欺騙的手段進(jìn)行騙取，甚至不少用戶將密碼寫下來(lái)，放在手邊以免忘記，那基本上起不到身份鑒別的作用，還有就是共用賬戶的現(xiàn)象會(huì)造成審計(jì)的麻煩，出了安全事件無(wú)從查起。在剩余信息保護(hù)方面一直未引起大家的重視，也基本未做防護(hù)，事實(shí)上現(xiàn)在使用的存儲(chǔ)介質(zhì)，在文件刪除后，甚至格式化磁盤后，尚能進(jìn)行數(shù)據(jù)恢復(fù)，數(shù)據(jù)并未真正從介質(zhì)上清除掉，這就會(huì)存在泄密的隱患，入侵者只要接觸到該存儲(chǔ)介質(zhì)，就可能從中恢復(fù)出以前存儲(chǔ)的數(shù)據(jù)。

應(yīng)用層面安全在物理、網(wǎng)絡(luò)、系統(tǒng)等層面安全的支持下，實(shí)現(xiàn)用戶安全需求所確定的安全目標(biāo)。應(yīng)用系統(tǒng)是直接面向最終的用戶，為用戶提供需求的數(shù)據(jù)和處理相關(guān)信息，因此應(yīng)用系統(tǒng)可以提供更多與信息保護(hù)相關(guān)的安全功能，具體包括身份鑒別、安全標(biāo)記、訪問(wèn)控制、可信路徑、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)以及資源控制等。目前應(yīng)用系統(tǒng)的安全較為薄弱，重點(diǎn)是應(yīng)用系統(tǒng)的軟件開(kāi)發(fā)人員對(duì)安全的認(rèn)識(shí)和理解不夠，應(yīng)用系統(tǒng)的開(kāi)發(fā)側(cè)重于功能的實(shí)現(xiàn)，對(duì)安全防護(hù)采用的技術(shù)措施較少，部分應(yīng)用系統(tǒng)由于開(kāi)發(fā)年限較長(zhǎng)，缺少更新維護(hù)，對(duì)新出現(xiàn)的系統(tǒng)漏洞未采取防護(hù)措施；應(yīng)用系統(tǒng)的安全防護(hù)依靠安全設(shè)備進(jìn)行防護(hù)，其系統(tǒng)本身由于較為復(fù)雜，修改、維護(hù)成本較高，安全設(shè)計(jì)不到位，不能從根本上進(jìn)行防護(hù)，遺留了眾多的安全隱患。開(kāi)發(fā)的應(yīng)用系統(tǒng)未經(jīng)過(guò)源代碼的審查，直接上線運(yùn)行；將應(yīng)用系統(tǒng)的運(yùn)維直接交給開(kāi)發(fā)的公司進(jìn)行運(yùn)維管理，對(duì)運(yùn)維人員無(wú)相關(guān)管控措施，這些都是應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn)。

在數(shù)據(jù)和備份恢復(fù)層面安全方面，信息系統(tǒng)所處理的各種數(shù)據(jù)在維持系統(tǒng)正常運(yùn)行上起著至關(guān)重要的作用。因此，需要全面關(guān)注信息系統(tǒng)中存儲(chǔ)、傳輸、處理等過(guò)程的數(shù)據(jù)的安全性。數(shù)據(jù)安全及備份恢復(fù)的具體包括數(shù)據(jù)完整性、數(shù)據(jù)保密性以及備份和恢復(fù)等內(nèi)容。目前數(shù)據(jù)安全中由于數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中完整性和數(shù)據(jù)保密性實(shí)現(xiàn)的成本較高，除較為重要的數(shù)據(jù)采用相關(guān)的防護(hù)措施外，其他的數(shù)據(jù)側(cè)重于備份恢復(fù)的實(shí)現(xiàn)，在備份恢復(fù)的過(guò)程中，數(shù)據(jù)丟失的損失難以避免，況且備份的介質(zhì)的安全也是一大安全隱患。

安全管理也經(jīng)常被忽視，或者雖然制定了相關(guān)的制度，卻不能夠很好地執(zhí)行，這讓本就不完善的安全防護(hù)雪上加霜。

應(yīng)對(duì)舉措

明確安全防護(hù)目標(biāo)，全面進(jìn)行防護(hù)，構(gòu)建安全體系

國(guó)瑞信安針對(duì)以上某黨政機(jī)關(guān)行業(yè)的“政務(wù)信息平臺(tái)”系統(tǒng)的案例，在經(jīng)過(guò)訪談、檢查和檢測(cè)等的風(fēng)險(xiǎn)評(píng)估的現(xiàn)場(chǎng)調(diào)研后，按照信息系統(tǒng)在物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、信息安全管理等方面的總體要求，進(jìn)行科學(xué)合理分析，評(píng)估信息系統(tǒng)存在的安全風(fēng)險(xiǎn)，合理確定安全保護(hù)等級(jí)，在此基礎(chǔ)上，科學(xué)規(guī)劃設(shè)計(jì)了一整套安全體系，形成完整的安全建設(shè)方案。

針對(duì)其單位業(yè)務(wù)工作特點(diǎn)，結(jié)合信息系統(tǒng)安全防護(hù)的國(guó)家標(biāo)準(zhǔn)和規(guī)定，國(guó)瑞信安提出了相應(yīng)的解決方案，規(guī)劃建設(shè)該單位完整的安全體系，并考慮到其業(yè)務(wù)工作的發(fā)展，具備一定的先進(jìn)性。具體方案如下：

在技術(shù)方面，首先考慮機(jī)房的物理安全，在現(xiàn)有的機(jī)房條件下進(jìn)行改造，使其達(dá)到國(guó)家標(biāo)準(zhǔn)中規(guī)定的B類機(jī)房的要求，并強(qiáng)化安防控制，如門禁系統(tǒng)、視頻監(jiān)控系統(tǒng)、紅外報(bào)警系統(tǒng)等，進(jìn)出機(jī)房的人員要求進(jìn)行登記，機(jī)房外來(lái)人員的來(lái)訪增加申請(qǐng)和審批流程，配置介質(zhì)庫(kù)或檔案室，專門存放存儲(chǔ)介質(zhì)。

在網(wǎng)絡(luò)安全方面，首先優(yōu)化網(wǎng)絡(luò)拓?fù)?，進(jìn)行應(yīng)用服務(wù)器的整理、歸類，合理劃分安全域，將具有相同的安全需求的應(yīng)用服務(wù)器部署在同一個(gè)安全域中，單獨(dú)劃出安全管理的安全域,分別部署相應(yīng)的安全策略；其次在網(wǎng)絡(luò)內(nèi)部署違規(guī)外聯(lián)監(jiān)控措施，對(duì)違規(guī)外聯(lián)行為進(jìn)行及時(shí)有效的監(jiān)控和阻斷，在相關(guān)網(wǎng)絡(luò)邊界處采取入侵檢測(cè)措施對(duì)端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等攻擊行為進(jìn)行監(jiān)視，在網(wǎng)絡(luò)邊界處啟用訪問(wèn)控制功能，控制的粒度細(xì)化到端口，對(duì)重要網(wǎng)段采用技術(shù)手段防止地址欺騙；最后通過(guò)技術(shù)措施限制網(wǎng)絡(luò)及網(wǎng)絡(luò)安全設(shè)備的管理員遠(yuǎn)程管理地址，網(wǎng)絡(luò)設(shè)備的管理員賬戶不同管理員使用不同的賬戶，避免多人共用現(xiàn)象，網(wǎng)絡(luò)設(shè)備的管理員賬戶密碼要求符合長(zhǎng)度要求、復(fù)雜度要求、并定期更換，使用SSH、https等加密協(xié)議方式對(duì)網(wǎng)絡(luò)及安全設(shè)備進(jìn)行遠(yuǎn)程管理。

在主機(jī)安全方面，對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)采用USBKEY+PIN碼的方式對(duì)管理用戶增加身份鑒別的安全性；及時(shí)更新系統(tǒng)補(bǔ)丁，關(guān)閉多余的服務(wù)；在服務(wù)器安裝主機(jī)防惡意代碼軟件；開(kāi)啟審計(jì)功能，審計(jì)范圍覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；審計(jì)包含系統(tǒng)內(nèi)重要的安全相關(guān)事件；定期生成審計(jì)報(bào)表，定期備份審計(jì)記錄；部署集中監(jiān)控系統(tǒng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；系統(tǒng)管理員與數(shù)據(jù)庫(kù)管理員進(jìn)行權(quán)限分離，不同管理員采用不同的賬戶。

在應(yīng)用安全方面，更新中間件等的系統(tǒng)補(bǔ)丁，優(yōu)化業(yè)務(wù)應(yīng)用系統(tǒng)，采用強(qiáng)身份鑒別措施，使用https等安全協(xié)議，對(duì)敏感信息字段（如密碼）進(jìn)行加密，細(xì)化訪問(wèn)控制粒度，將主體和客體分類到類別，特別重要的系統(tǒng)將主體分類到單個(gè)用戶，增加應(yīng)用系統(tǒng)自身的審計(jì)功能，對(duì)系統(tǒng)服務(wù)水平進(jìn)行監(jiān)測(cè)，發(fā)現(xiàn)達(dá)到預(yù)警值及時(shí)報(bào)警。

在數(shù)據(jù)安全方面，采取技術(shù)措施，對(duì)系統(tǒng)中重要業(yè)務(wù)數(shù)據(jù)的傳輸過(guò)程和存儲(chǔ)過(guò)程的完整性進(jìn)行檢查并采取必要的恢復(fù)措施，保障系統(tǒng)鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸和存儲(chǔ)的保密性，增加備份系統(tǒng)，并制定備份、恢復(fù)策略，制定應(yīng)急響應(yīng)的方案，同時(shí)定期進(jìn)行演練，確保發(fā)生故障時(shí)，能夠按照預(yù)定的應(yīng)急響應(yīng)方案及時(shí)恢復(fù)系統(tǒng)的運(yùn)行。

在安全管理方面，制定并完善信息安全管理制度體系，對(duì)網(wǎng)絡(luò)管理員及安全管理員增加備崗，聘請(qǐng)信息安全專家作為常年的安全顧問(wèn)，指導(dǎo)信息安全建設(shè)，參與安全規(guī)劃和安全評(píng)審，定期對(duì)安全技術(shù)措施的有效性、安全配置與策略的一致性進(jìn)行檢查，要求外包軟件開(kāi)發(fā)單位提供軟件源代碼、并審查軟件中可能存在的后門，建立安全管理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。

針對(duì)省某科研教育行業(yè)的“數(shù)據(jù)中心平臺(tái)”系統(tǒng)，根據(jù)其業(yè)務(wù)特點(diǎn)，國(guó)瑞信安運(yùn)用先進(jìn)可靠的信息安全技術(shù)，建設(shè)滿足用戶需求的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全體系，保障應(yīng)用數(shù)據(jù)的快速、安全、可靠傳送，為各業(yè)務(wù)系統(tǒng)提供優(yōu)質(zhì)的安全運(yùn)行平臺(tái)，實(shí)現(xiàn)可靠的網(wǎng)絡(luò)安全運(yùn)行保障，著重強(qiáng)化了以下內(nèi)容：

強(qiáng)化了其信息系統(tǒng)的區(qū)域邊界安全控制能力，通過(guò)檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請(qǐng)求的服務(wù)等，確定是否允許該數(shù)據(jù)包進(jìn)出該區(qū)域邊界，通過(guò)對(duì)整體網(wǎng)絡(luò)架構(gòu)的合理布局，實(shí)現(xiàn)多級(jí)的安全訪問(wèn)控制功能，形成多重的縱深防御體系。不僅可防范各類常見(jiàn)網(wǎng)絡(luò)攻擊行為，杜絕越權(quán)訪問(wèn)，防止非法攻擊的能力；更可通過(guò)對(duì)應(yīng)用層協(xié)議的深度檢測(cè)與防護(hù)，實(shí)現(xiàn)對(duì)端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊等攻擊行為的實(shí)時(shí)檢測(cè)與及時(shí)阻斷。

強(qiáng)化了信息系統(tǒng)的安全監(jiān)測(cè)能力，使其能夠提供對(duì)網(wǎng)絡(luò)內(nèi)部或不同網(wǎng)絡(luò)區(qū)域間的交換流量進(jìn)行四層以上的安全威脅監(jiān)測(cè)，能夠及時(shí)發(fā)現(xiàn)安全威脅并進(jìn)行實(shí)時(shí)報(bào)警，以保障運(yùn)維團(tuán)隊(duì)能夠快速對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)生的安全事件進(jìn)行處理與通報(bào)。

強(qiáng)化了信息系統(tǒng)的可靠性和穩(wěn)定性，使其能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)邊界兩條鏈路“進(jìn)、出”方向的負(fù)載均衡，并提供本地服務(wù)器集群負(fù)載均衡和容錯(cuò)，實(shí)現(xiàn)各服務(wù)器集群的流量動(dòng)態(tài)負(fù)載均衡，以及互為冗余備份，滿足其對(duì)于多鏈路及服務(wù)器的負(fù)載均衡和冗余設(shè)計(jì)。

強(qiáng)化了信息系統(tǒng)數(shù)據(jù)存儲(chǔ)和傳輸?shù)谋Ｃ苄裕捎糜蓴?shù)據(jù)加密、數(shù)字證書(shū)等技術(shù)支持的保密性保護(hù)機(jī)制，實(shí)現(xiàn)信息系統(tǒng)數(shù)據(jù)存儲(chǔ)和傳輸保密性保護(hù)。

強(qiáng)化了信息系統(tǒng)的審計(jì)能力，使其具備對(duì)于主機(jī)、應(yīng)用、網(wǎng)絡(luò)行為等多層次的審計(jì)能力。審計(jì)記錄包括安全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容。能夠提供對(duì)審計(jì)記錄查詢、分類、分析和存儲(chǔ)保護(hù)，確保對(duì)特定安全事件進(jìn)行告警，確保審計(jì)記錄不被破壞或非授權(quán)訪問(wèn)。

強(qiáng)化了信息系統(tǒng)的集中管理能力，可提供對(duì)網(wǎng)絡(luò)系統(tǒng)、目標(biāo)主機(jī)的系統(tǒng)集中管理、安全集中管理與審計(jì)管理功能。不但可以協(xié)助運(yùn)維團(tuán)隊(duì)及時(shí)通過(guò)日志信息集中收集與分析網(wǎng)絡(luò)中潛在的安全風(fēng)險(xiǎn)，并且可以在安全事件發(fā)生后，作為運(yùn)維團(tuán)隊(duì)追溯和取證安全事件的重要技術(shù)手段。

防范建議

搭建萬(wàn)里長(zhǎng)城，防患于未然

中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議提出，沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全。網(wǎng)絡(luò)安全與人們工作、生活、學(xué)習(xí)密切相關(guān)，存在于日常生活的周邊，網(wǎng)絡(luò)安全應(yīng)該受到重視。

網(wǎng)絡(luò)安全無(wú)小事，任何一個(gè)小的因素都可能導(dǎo)致整個(gè)系統(tǒng)出現(xiàn)安全事件。同時(shí)，網(wǎng)絡(luò)安全無(wú)“大事”，需要做好各方面點(diǎn)點(diǎn)滴滴的小事，防護(hù)來(lái)自方方面面的安全風(fēng)險(xiǎn)或安全隱患。在網(wǎng)絡(luò)安全建設(shè)中，國(guó)瑞信安的有關(guān)專家建議，要根據(jù)自身的業(yè)務(wù)需求，做好總體規(guī)劃，把握住信息系統(tǒng)的安全需求，采取合適的安全防護(hù)措施。在實(shí)際操作中，遵循相關(guān)的國(guó)家標(biāo)準(zhǔn)和要求，從技術(shù)和管理兩個(gè)方面進(jìn)行設(shè)計(jì)，特別要注重主機(jī)以及應(yīng)用層面的安全風(fēng)險(xiǎn)與需求分析，包括：身份鑒別、訪問(wèn)控制、系統(tǒng)審計(jì)、入侵防范、惡意代碼防范、軟件容錯(cuò)、數(shù)據(jù)完整性與保密性、備份與恢復(fù)、資源合理控制、剩余信息保護(hù)、抗抵賴等方面，在明確安全風(fēng)險(xiǎn)和安全隱患的情況下，制定合適的、可行的安全建設(shè)方案。特別需要強(qiáng)調(diào)的是：網(wǎng)絡(luò)安全相關(guān)人員的安全防范意識(shí)的建立不可忽視。

國(guó)瑞信安以其過(guò)硬的技術(shù)團(tuán)隊(duì)、多年從事信息安全的豐富的實(shí)踐經(jīng)驗(yàn)和積累，在一個(gè)個(gè)沒(méi)有硝煙的戰(zhàn)場(chǎng)保衛(wèi)著信息網(wǎng)絡(luò)的安全。