摘 要网络信息安全其实是一场无形的博弈,在这场博弈中,我们要更好地发挥网络系统在法院政务服务中的作用。通过对内网的认识,提出内网安全体系建设应增强对内网安全重要性的认识,我们分析法院内网的现状和应该改进的地方,提出法院内网建设的策略,
做到改进法院内网信息安全的建设,并且介绍了内网安全信息系统的主要功能在法院中的应用。
关键词法院;网络;安全隐患;网络威胁;内网;策略;信息安全
中图分类号TP文献标识码A文章编号1673-9671-(2010)102-0029-01
信息技术发展到今天,人们的工作和生活已经越来越依赖于计算机和网络;然而,自网络诞生的那一天起,它就存在着一个重大隐患——安全问题,使人们在一边享受着网络所带来的便捷,一边又不得不承受着网络安全问题带来的隐痛。
2007年公安部公共信息网络安全监察局对7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等部门和行业的重要信息网络、信息系统使用单位进行了调查,其中发生网络安全事件的比例占58%。从这些数据我们看到,网络安全已成为阻碍网络应用的关键所在,要使行政单位的IT资源能够得到有效的利用,首先需要解决的是基本的网络安全威胁。
目前,应用比较广泛的一些网络安全系统主要有:防火墙、杀病毒、入侵检测、身份认证、漏洞扫描等等,但这些网络安全系统的功能基本都是专门针对某一类型网络安全威胁的工具,主要定位在防范来自外部网络的安全威胁,并不能够解决大部分内部网络安全问题:防火墙关注的是边界安全,对于内部的各种非法滥用和攻击行为无能为力;杀病毒的定位更为清晰和专业,就是针对病毒等恶意代码的攻击,而不能管理内部网络行为和设备的应用等等。这些都没有单独解决综合性的、与网络使用者的行为密切相关的、与管理措施密切相关的、尤其关注内部泄密和网络效率的这样的功能。
我们进行网络安全体系建设,要综合考虑、注重实效,在这里我们不单要考虑防火墙、杀毒软件、入侵检测,甚至身份认证等系统来解决有关外部黑客入侵、病毒困扰,也同时要考虑来自内部网络的可信环境下的非授权网络行为和授权滥用行为,因为这些才是网络安全面临的最大威胁,也是网络安全的最大挑战。最理想的状态是,我们能够有效的分析各内部网络环境下比较具体和重要的网络安全威胁,并组织相应的技术、产品以组合方案的方式,统一解决;既考虑到投入成本与效益之比,又能最大程度上避免“木桶原理”的安全诅咒。
内网安全是什么?我们首先应该清楚什么是内网。内网:是相对于外网而言的,它经常被称作局域网、LAN、私网;主要是指在小范围内的计算机互联网络,这个“小范围”可以是一个家庭,一所学校,一家公司,或者一个政府部门;另外光纤到楼、小区宽带、教育网、有线电视Cable Modem上网虽然地域范围比较大但本质上还是基于以太网技术,所以依然属于内网。传统网络安全考虑的是防范外网对内网的攻击,即可以说是外网安全。外网安全的威胁模型假设内部网络都是安全可信的,威胁都来自于外部网络,其途径主要通过内外网边界出口。所以,在外网安全的威胁模型假设下,只要将网络边界处的安全控制措施做好,就可以确保整个网络的安全。传统的防火墙、人侵检测系统和VPN都是基于这种思路设计和考虑的。内网安全的威胁模型与外网安全模型相比,更加全面和细致。它假设内网网络中的任何一个终端、用户和网络都是不安全和不可信的,威胁既可能来自外网,也可能来自内网的任何—个节点上。所以,在内网安全的威胁模型下,需要对内部网络中所有组成节点和参与者进行细致的管理,实现—个可管理、可控制和可信任的内网。
法院网络系统是基于计算机、网络通信、信息处理技术、网络安全管理技术,并融入已建成的法院信息管理系统组成的一个高性能、大容量、高带宽的信息处理系统平台。这些信息平台上传输的信息包括图形信息、文档信息以及将来可扩展的语音、视频信息等等各种数据信息。然而在面对如此强大的网络和众多用户的情况下,如何让有限的管理员管理好这个庞大的网络是面临的难题之一;同时外网U盘在内网的使用,导致病毒在内网中传播;内网的U盘在外网上使用,则导致法院的信息机密泄露;内网的电脑虽然安装了杀毒软件但是还是有很大的中毒风险,其中就涉及到系统的补丁安装等问题。在网上失密、泄密、窃密及传播有害信息的事件屡有发生的情况下,一旦网络中传输的用户信息被恶意窃取并且篡改,对于法院政务造成的损失是不可估量的,因此对于这种地区性的网络系统,数据安全的实施更是显得迫在眉睫。
针对法院现有的特点,我们应用高效的管理来快速的解决问题,对法院内网安全的应用主要体现在以下几个方面:
1内外网U盘等移动存储介质的分开使用
将内部资料放入内网U盘,做到内网的U盘内部使用,拿到外网之后则该U盘将不能够使用,确保法院的机密不被泄露。另一方面,外网的U盘拿到内网来之后,也不能够使用。真正做到“内网U盘内部用,外网U盘外部用”。
2检测电脑是否与外网连接
通过对电脑的准入限制,可以使网络管理人员更加方便的了解到网络的现状,是否有非法的外网计算机连入内网内,共享内网数据,导致内网的一些机密文件丢失,或者一些文件被修改等。
3建立补丁分发系统
消除漏洞的根本办法就是安装软件补丁,每一次大规模蠕虫病毒的爆发,都提醒人们要居安思危,打好补丁,做好防范工作,更好的防范蠕虫病毒劫持镜像导致杀毒软件无法运行而使内网安全受损。针对法院内网安全应用的几个方面,内网安全的策略及其效果主要表现如下:
3.1U盘等移动存储介质限制策略及其效果
通过对局域网内的电脑安装客户端由服务器进行控制,在服务器端对客户机的电脑做控制策略。对内部U盘进行识别和处理,内部文件写入U盘后自动加密,达到拿到外部不能使用该U盘的效果,即使使用,看到的文件也是乱码,不能显示其他的内容。另外,对接入U盘的口做禁止策略,禁止其他U盘插入该设备,从而达到外部U盘不可以在内网使用,从而达到病毒传播途径和方式减少的效果。而该策略达到的效果则主要有如下几个效果:
1)通过U盘禁用策略可以实现避免U盘在内网计算机与外网计算机之间交叉混用的效果。利用U盘禁用策略,可以避免外网的计算机病毒传入内网,或者内网的资料通过外网泄露出去的目的。2)解决由于U盘等出现的泄密问题和使用跟踪和日志审计的问题,达到当泄密问题出现时有据可查的效果。当出现一些泄密的问题时候,可以根据设备的跟踪和审计功能,查找到具体的泄密的那台电脑,以及泄密出去的资料源是在哪里,泄密时间等等都可以做到。3)解决病毒、恶意代码通过U盘等移动存储介质传播问题,从病毒的源头将其阻断,防止病毒传入整个内网中,对内网安全造成危害。同时,也可以制止其以病毒木马的形式,在网络中进行潜伏,盗取内网中的重要机密资料。4)解决了U盘等移动存储介质中个人信息和法院机密信息混乱的问题,通过对U盘进行控制的策略,解决了有时因为工作人员将个人信息与法院信息混合起来,而导致进行一些误操作或者不小心将机密文件泄露的问题。5)达到禁止U盘移动存储介质带外随意使用的效果。随意使用U盘可能导致将其他外网的病毒通过电脑带入内网的电脑中,从而导致其他人对内网的数据进行修改和删除等操作,而将机密资料泄露出去。
3.2内外网联通限制策略及其效果
对网络中的设备设置限制策略,实现内网的计算机只允许访问一些特定的网站,同时对计算机进行准入控制,只允许相应的客户端连入主机,限制其他外网的主机不能够连入到公司的网络中来。通过该策略可以达到的效果具体有以下几个效果:
1)可以做到限制内网计算机联通到国际互联网而导致泄密的效果。通过设备限制内网的联通,避免了一些人员安全意识薄弱,而随意的进入国际互联网站上,这样就有可能将网页病毒以及木马程序带到内网,从而使资料丢失,随坏或者被修改,导致法院的机密文件被泄露出去。2)可以做到避免利用外网计算机处理涉密文件的效果。这样可以使法院的机密信息不会通过外网计算机处理后将涉密文件外传,从这个角度来说,也减轻了网络管理者的负担。
3.3补丁的分发管理策略及其效果
设置补丁分发和管理的策略,发现客户端的漏洞并且将漏洞的计算机做到补丁的自动分发和安装。具体实现的效果如下:
1)能够达到快速有效的定位网络中病毒、蠕虫、黑客的引入点,及时、准确的切断安全事件发生点和网络的效果。通过将漏洞进行补丁的安装可以切断黑客进行攻击的一些相关漏洞,从而更好的保护内网的安全。2)达到在最短的时间内安装补丁将会极大地保护网络和其所承载的机密,同时也可以使更少的用户免受蠕虫的侵袭的效果。对于机器众多的用户,繁杂的手工补丁安装已经远远不能适应大规模网络的管理,必须依靠新的技术手段来实现对操作系统的补丁自动修补,而通过补丁的自动分发,可以大大的节约网络管理员的时间。达到及时发现和处理系统漏洞的问题,可以更快的防范一些病毒和木马通过漏洞传播的同时,还可以使法院的涉密资料不会因为病毒、木马的关系泄露给网络中的其他用户。从另一个角度来说保护了法院的内网安全的同时,也使内网的环境更加的安全可靠。
对于法院来说,通过对内网安全的建设,我们的网络禁止了非法接入设备及非法地址冒用,规范网络IP地址资源管理,使网络使用有序,采用本地网卡的IP地址绑定来实现对IP地址的擅自变更和冒用行为的控制,防止工作人员通过冒用他人地址扰乱网络使用秩序,甚至通过冒用特权IP达到窃取法院敏感资料,甚至通过内部人员配合用外来笔记本非法接入企业办公网络,带给网络病毒或者盗用法院机密信息。
总之,基于信息化程度越来越高和信息系统关系越来越复杂这样一个背景下,我们需要一个完整和系统的信息安全建设策略,以建立一个完整有效的信息安全保障体系,保证了法院政务内网安全、畅通、有效运行。
参考文献
[1]袁德明,乔月圆.计算机网络安全.
[2]刘晓辉.网管从业宝典——安全维护·防黑防毒·备份恢复.
[3]吴灏.网络攻防技术.
[4]王宇.网络安全与控制技术.
[5]陆雄飞.检察内网安全现状与管理策略.
[6]曲成义.内网信息安全面临的挑战和对策.
[7]解炜,张权.内网数据防泄密技术研究.
[8]钟博.内网安全更要求立体防护体系.