信息安全与技术·2014年6月1引言
根据国际安全界的统计,每年全球计算机网络遭受的攻击和破坏70%是内部人员所为。在税务部门,内部终端数量众多,同时还存在与上级部门的纵向互联,以及与外单位的横向互联。在如此复杂的应用环境下,任何内部人员的误操作或者故意的非法操作都有可能导致信息资源的泄漏或被破坏。例如使用手提电脑在家上网,从互联网上感染病毒,上班后没有采取任何措施就接入内网,导致病毒在整个内网中传播,可能会引起整个内网的瘫痪;由于安全意识薄弱,没有及时安装操作系统补丁或者开启不安全端口或服务,导致黑客入侵,致使系统瘫痪或者信息被窃取。这些安全威胁问题对于税务部门来说都是致命的,而主要侧重于外部攻击防范的网络安全设备又无法解决此类威胁。因此除了要求建设高效、便捷的税务网络外,建设一个有效的终端安全管理体系显得更为重要,其紧密关系到税收业务能否正常顺利进行,是税收信息化建设的基础和重要保证。
2网络终端安全管理现状
2.1网络与信息安全管理体制尚不完善
目前,税务网络是一个与外界物理隔离的专用网络。由于尚未在整体上建立成熟的信息安全结构体系,管理上缺乏相应的信息安全标准,因此网络和信息安全管理基础还很薄弱,甚至还存在一些漏洞,例如存在“一机双网”———既可以连接税务内网,又可以连接互联网,违规外联等情况还时有发生。这些现象对
税务信息的安全使用与保护以及病毒传播等,都留下了潜在的安全隐患,同时也为来自内部或外部系统的入侵提供了可趁之机。
此外还缺乏有效的监控机制和管理手段,无法对现有终端进行实时监控。在上班时间时常有人在网络内部终端上做一些与工作无关的行为,如上网聊天、网络游戏,使用下载工具疯狂下载电影、游戏、软件等大型文件等。这些行为不但严重影响工作效率,而且经常会在不经意间引入大量的病毒、木马和恶意代码,还无谓地消
劳峥卿
(嘉善县地方税务局
浙江嘉善314100)
【摘郑拓疆
要】随着信息化水平的不断提高,网络安全问题日益突出。如何建设维护一个稳定、安全的内部网络,已成为
税务信息安全的重要问题。本文从网络终端入手,分析了网络安全管理中的现状及存在的问题,进而提出了解决问题的建议和对策。
【关键词】终端;
安全;管理;对策The Study on Security M anagement of InternalN etw ork Terminal
LaoZheng-qingShengGengYeFanZhangJie
(JiashanCountyLocalTaxBureauZhejiangJiashan314100)
【Abstract】W ith the continuous improvement of the informalization level,netw ork security issues have become increasingly prominent.Building a stable,secure internal netw ork has become an important issue of tax information security.Starting w ith the netw ork terminals,this article,analyzes the current situation ofnetw orksecuritymanagement and the existing problems,and proposes some suggestions and countermeasures to solve the problem.【Keywords】terminal;security;management;countermeasures
对网络内部终端安全管理的思考
实践方法·PracticalMethod
59··
耗了网络资源,致使关键业务应用系统带宽无法保证,严重影响内部网络的正常运行。
2.2终端安全防护和控制手段缺乏
内部终端的安全管理尚存许多问题。由于对不安全终端的接入缺少控制,存在安全问题的计算机能够随意接入网络,促使各类病毒的大面积传播。终端安装的防护软件其策略设置不够科学,有病毒不报警,有病毒不查杀,视而不见无法发挥其作用。
常见防病毒、防火墙等软件只能被动的防护已知的病毒和攻击行为,一旦升级包没有及时更新时就会出现较为严重的安全漏洞,一些未知的病毒将会有可乘之机,严重时导致计算机瘫痪甚至无法启动。终端计算机安全防护手段控制的缺乏,是导致安全问题频发的主要原因。
2.3数据安全尚存隐患
如何消除数据安全存在的隐患,确保数据的完整性、保密性和可信性,已成为信息化工作的核心内容。
虽然目前已采用许多安全措施来保证数据安全,如双机热备、远程备份等,但是数据安全仍然存在一定的隐患。
一是数据保密性和可信性受到的重视不够,缺乏一套有效的机制对数据产生、存储、传输、使用和销毁整个生命周期进行控制、跟踪和保护。
二是存在着因软、硬件故障造成的服务不可用或者数据丢失,以及自然灾害等物理破坏所带来的安全隐患。
三是系统应急预案不完善,缺乏一套业务与技术相对应的完整的应急体系,而且应急预案平时缺少演练,特别是需要多部门协同的预案仍停留在书面上。
这些问题都使数据安全存在隐患。
3进一步完善税务网络终端的建议及对策3.1使用桌面终端管理系统,实现可控管理税务部门内网终端较多,而且管理分散,安全策略不统一,缺乏全局防御能力。如何对内网终端进行统一认证和安全控制,从源头上防御威胁,将不符合安全要求的终端限制在“隔离区”内或拒绝其入网,从而保证网络和信息安全,已成为终端管理的一个重要课题。笔者认为在目前的安全设备中,桌面终端管理系统可以有效地解决上述问题。
桌面终端管理系统是以数据安全为核心的计算机终端信息安全管理系统。通过加强用户身份管理、数据安全管理、设备安全管理和综合安全审计等手段,对数据的存储、传输和使用整个生命周期进行控制和保护,确保数据的完整性和保密性,从而达到防止敏感信息泄漏。
目前桌面终端管理系统在终端安全管理方面主要有几个功能。
3.1.1联网控制
为防止非法用户通过非正常途径获取网络参数,非法联入税务内网,导致安全事件的发生,系统可阻断这部分非法终端的访问。
3.1.2IP地址和MAC地址绑定
计算机使用人擅自修改IP地址,往往会导致网络冲突,影响税务内网的正常运行。系统会主动收集计算
机终端的IP和MAC地址,通过管理员审核后,在数据库中进行匹配绑定,从而有效解决IP地址盗用问题,并从根本上解决ARP病毒的传播。
3.1.3杀毒软件监控
在税务部门内部终端都必须安装统一部署的杀毒软件,便于全网的计算机病毒监控。通过信息安全策略部署,系统可以实时探测终端杀毒软件的安装和运行情况。只有符合安全要求的终端才能正常访问内部网络资源,否则访问会受到限制,甚至被阻断。
3.1.4违规外联监控
为保证内部数据的安全,防止黑客侵入盗取信息等安全事件的发生,税务部门内部终端是绝对不允许联入互联网。为了杜绝这部分内部终端非法外联,系统可通过违规外联策略,进行实时探测。一旦发生非法外联,系统会发出报警信息,并根据策略响应机制,对计算采取关闭或阻断网络访问等操作。
3.1.5系统补丁分发
为解决在脱离互联网的情况下给网络内部终端安装系统补丁的问题,系统有一套完善的系统补丁分发策略。平时,系统会自动监测内部终端的系统补丁安装情况,并根据最新系统补丁库,自动更新系统补丁,有效防止计算机病毒利用系统漏洞在网络上大规模传播。
3.1.6外设接入严格控制
移动存储等设备已成为病毒传播、信息泄露的重灾区。对此,系统可对这部分设备进行注册授权认证,只有注册认证过的才可以在内部终端上使用,从而有效管理滥用行为。同时,系统对移动存储等设备上传输、存储文件进行实时监控,甚至可以根据特定的文件类型进行特殊审计。
PracticalMethod·实践方法60
··
2014年6月·信息安全与技术
此外,通过桌面终端策略还可以有效地防止恶意软件的安装、监控计算机设备硬件资产的变化等情况,有效地保证桌面系统管理安全。
3.2使用IDS技术,实时监测入侵行为
入侵检测系统(Intrusion Detection System,IDS)能弥补防火墙等传统安全设备的不足,为受保护的网络提供有效的入侵检测及采取相应的防护手段。IDS可以对计算机网络或计算机系统中若干关键点的信息进行收集和分析,从中检测到网络或系统中可能存在的各种非法攻击、恶意破坏、错误操作等违反
安全策略的行为或迹象,并联动防火墙等安全设备进行有效防范,扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性。
根据税务部门网络现状,充分考虑各种可能存在的信息安全风险隐患,建议在网络关键部位部署入侵检测系统。
一是在提供互联网服务的区域中部署入侵检测系统,实时监测来自互联网的入侵行为,对发生的入侵行为及时告警,从而保护系统安全,提高税务部门对纳税人的服务水平。
二是在地税与横向数据交换的网络中部署入侵检测系统,实时监测来自横向部门的非法访问行为,并利用报警与防护系统阻断非法访问。
三是在地税内部网络中部署入侵检测系统,实时监测内部网络中不正常的数据流量,帮助系统管理员分析内网中可能存在的病毒传播,及时消除安全隐患,确保内部终端安全。
3.3应用防护技术,确保数据安全
计算机存储的信息越来越多,而且越来越重要,特别在税务部门数据安全问题显得尤为突出。为防止计算机中的数据意外丢失,需要采用一些安全防护技术来确保数据的安全。
3.3.1完整备份和增量备份
备份管理包括备份的可计划性,自动化操作,历史记录的保存或日志记录。有两种基本的备份方法:完整备份和增量备份。完整备份会把所选的数据完整地复制到其他介质,增量备份仅备份上次完整备份以来添加或更改的数据。通过增量备份扩充完整备份通常较快且占用较少的存储空间,可以考虑每周进行一次完整备份,然后每天进行增量备份。
3.3.2对敏感数据加密
对数据加密意味着把其转换为一种可伪装数据的格式,确保其机密性和完整性。加密技术大致可分为硬件加密和软件加密两种。相对而言,硬件加密更加安全,操作比较简单,如电子狗加密设备等,但是加密设备费用相对昂贵。而软件加密成本较低,不过,软件加密主要依赖于算法,存在被破译的风险。因此,建议对终端敏感数据的加密可采用软硬件混合的加密方式,比如对机密等级的数据采用硬件加密,对其他敏感数据可采用软件加密。
3.4完善信息化制度,培养实干型人才
从工作实际来看,仅仅依靠安全设备尚达不到绝对安全的目的。为了真正实现对数量众多和环境复杂的终端进行有效的管理,还需要配套制定严格的管理制度,如针对计算机终端移动存储设备的安全与保密管理制度,并加强系统应急演练。同时还要加强安全意识教育,通过定期举办各类终端安全培训、讲座,以及安全宣传,增强广大干部职工的安全意识。
另外,应注重计算机人才的培养,提倡“专才专用”。在工作实践中,鼓励其结合专业知识提升实际工作能力,从而有效地解决知识与实际相脱节的矛盾,为税务部门储备一批安全管理力量,实现信息化工作的可持续发展。
参考文献
[1]王常青.浅析基层分局网络终端安全防护难点及对策[M].税务信息化论文集,2009(3),北京:中国税务出版社,1792-1794.
[2]邹锦民.也谈税务部门信息化建设中的网络信息安全问题与对策[M].浙江地税信息化建设探索研究(2000-2006),北京:中国税务出版社,244-246.
[3]余京洋.终端安全解析[J].计算机安全,2006,(4),74-75.
[4]王义申.终端安全管理系统在企事业单位内网应用的分析[J].计算机安全,2007,(7),64-65.
作者简介:
劳峥卿(1981-),男,浙江嘉善人,上海交通大学,硕士研究生,浙江省嘉善县地税局信息中心副主任,工程师,2012年获得浙江省地税系统个人嘉奖;主要研究方向和关注领域:网络信息安全及数据库设计。
实践方法·PracticalMethod
61
··
信息安全与技术·2014年6月