信息网络安全保障是一项系统工程,不仅需要坚实的技术支持,还受到人员配备、组织建设、管理水平、国家立法等多方面因素的限制,因此,要依据全方位的网络安全战略目标,制定一个切实可行、高效的网络安全计划,合理配备各种资源,协调好各方面的关系。
该计划主要包括八项内容:
1.建立主动防御体系,确定关键基础设施及其相互依赖性,评估脆弱性
信息网络系统中作为信息传播、存储、处理载体的网络软、硬件是整个系统中重要的基础设施,充分重视这些设施之间尤其是关键基础设施之间的相互依赖性,并对网络中所使用的软、硬件系统进行持续性的脆弱性评估和审计,估计入侵者对关键基础设施的破坏能力,制定一个切实可行的方案,修复系统脆弱性,并不断对该方案进行修改和更新。
评估和审计工作将会有效破坏入侵者的企图,势必会成为入侵者实施攻击的目标,因此,对评估和审计工作本身的安全同样要引起足够的重视。
2.检测攻击和非法入侵行为,注意收集网络安全信息
确认和修正脆弱性能够延缓但不能彻底阻止对信息网络系统的恶意入侵,所以,需要在信息网络系统的各个层次上进行主动防御,安装和配置入侵检测系统、漏洞扫描系统、应急响应系统等。
网络管理部门要时刻注意收集网络安全信息,帮助终端用户抵御攻击和防范病毒入侵。根据网络运营情况建立安全管理组织机构。
(1)安全管理小组。负责对整个网络系统的监视和安全管理,协调本小组与其他小组的工作。当遭到攻击时,与其他小组共同进行系统恢复工作。
(2)应急响应小组。负责安全技术研究与开发,为其他小组提供专家帮助,协助他们隔离、控制以及解决系统受到的入侵与攻击。在遭受攻击时,能够快速作出响应,并提供解决办法。
(3)入侵检测小组。负责不间断的网络安全检测,并合法进行安全信息收集,为其他小组随时提供安全信息。与运行部门协同做好系统备份工作,为遭受攻击后的恢复工作提供支持。
3.提高快速响应和恢复能力
系统中每一处关键基础设施和每一类关键性信息都要制定响应和恢复计划,在遭受攻击时能及时对其进行控制,至少保证网络的最小化运行,使其他部门的工作尽量少受影响。
攻击发生时,作出的响应有:①迅速控制入侵者,阻断其进入系统的通路;②迅速启用其他更加严格的防卫措施;③关闭非关键运行系统;④启用紧急情况下的冗余接管系统,等等。
阻断入侵后,需要迅速恢复或重建受到攻击或感染的系统,针对不同的攻击事件应具备相应的恢复能力。①物理恢复,启用备用设备,尽快疏通网路;②修补系统软、硬件漏洞;③维修或更换受损软、硬件资源;④从备份数据库中尽快恢复受损数据;⑤在时间和技术条件允许下,立即分析入侵信息,追踪入侵来源。必要时,为公安机关提供有关信息。
4.划分关键设施和信息的优先级,按等级管理
对关键设施和信息进行优先级划分,原则上敏感程度越高的信息和对系统运行影响越大的设施其价值越大,遭遇风险的概率越高。因此,对优先级高的设施和信息,要采取更加安全的保护措施,使入侵者无法通过一般的方法侵害关键设施和获取保密信息,即使获取了也无法解析信息的实际含义。
关键信息优先级按照敏感程度的大小按密级划分;关键设施的优先级应按对整个信息网络系统的运行产生影响的轻重程度和在其上存储、传输和处理信息的优先等级来划分。
按优先级管理基础设施和信息可以充分运用有限的资金和其他资源,最大限度地保证信息网络系统的安全运行。
5.注重信息的收集与交流,与国家法律相一致
为了充分保证网络的安全,必须建立起一条可靠、畅通、专用的信息交流通道,建立统一的安全标准,网络管理部门与其他部门应紧密协作,共享安全信息,加强安全相关技术的研究与开发。
在信息收集和交流过程中,一是各部门一定要依据国家相关法律的规定,无论什么理由,都不可有任何逾越法律的行为;二是要建立双向信息共享机制,即一方面,鼓励网络管理部门与其他部门和私人用户共享安全信息,对于其他部门和用户提供的有关威胁和攻击的信息,网络管理部门应保证不会损害提供者的利益;另一方面,网络管理部门应在保护敏感信息的基础上,适当地将有关信息与其他部门和私人用户共享。
6.注重人才培养和聘用,加强机构建设
聘请一些信息安全专家,对现有的网络管理人员进行持续性的安全培训,积极聘用和教育其他人员来弥补安全人才的缺乏。
安全管理人员应具备系统的安全管理知识和较强的安全技术能力,安全保障的复杂性和多科性,决定了安全管理人员必须具备多学科的知识结构。
除此之外,我们还要建立一支兼职安全管理员队伍,这些人员可以来自其他部门或是私人用户,加强培训和教育,尤其是安全管理思想的教育。这是一支不容忽视的安全队伍。
另外一方面是安全相关机构的建立,信息安全保障不仅需要大量的安全管理人才,还需要严密的组织机构和充足的经费支持,需要一套严格的管理制度,每一位安全管理人员既要有共同的安全目标,同时也要有明确的安全责任。只有把责任落实到每一个人身上,安全管理才会真正体现出它应有的价值和作用。
7.加强制度建设,提高管理水平
“没有规矩不成方圆”,无论是对网络管理部门而言,还是对部门用户和私人用户而言,都要建立一套较为完善、可行的管理制度。在制度的约束下进行网络管理,从单纯的“人管人”,实现“用制度约束人”。
在国家法律的指导下,结合本单位、本部门的实际,不断修改和完善现行的法规条例,为信息网络安全保障提供一个法律框架,不断提高管理水平,充分发挥管理在安全保障中应发挥的积极作用。
8.加强对各类人员的安全教育,使公众了解提高网络安全的必要性
网络安全意识的淡漠,使我们必须不断地向公众解释实行网络安全保障的必要性,提高公众的网络安全意识,增强对信息系统所面临的威胁及其特点的理解和认识。在灾难性事件到来之前,提高我们防卫入侵者进行攻击的能力。
我们鼓励并倡导所有人员都能行动起来,保证网络空间的正常运行,需要采取多种方式来进行这方面的工作。①首先保证网络管理部门的工作人员本身意识到保障信息系统安全的重要性和必要性;②通过与其他部门和私人用户协作,共享安全信息,提高他们的安全意识;③充分利用网络等各种宣传媒体,对公众进行计算机道德、法律法规和安全教育,等等。
通过以上工作,建立一个人人关心安全,处处关心安全的良好的安全保障环境。