目前，大多數分類網絡具有較高的安全保護，但內部網絡的安全事件頻繁發生。本文提出了加強分類網絡內部安全管理的幾點對策，接下來小編簡單介紹一篇優秀網絡安全管理論文。

　　1 引言

　　信息網絡廣泛應用的同時，網絡安全問題一直層出不窮，對涉密網絡的安全提出了更高的要求。目前，大多數涉密網絡對外安全防護程度較高，一般均綜合配置了防火墻、安全網關、入侵檢測、信息加密等設備，較好地實現了對來自外部入侵的安全防護，但來自內部網絡的安全事件頻頻發生，使涉密網絡內部管理面臨著嚴峻挑戰，因此，如何加強涉密網絡安全管理值得深入研究。

　　2 應采取的對策

　　2.1 嚴格法規制度，筑牢思想防線

　　嚴格的規章制度是實現網絡安全的重要保證，是規范涉密網絡管理的依據和保障。一方面，要健全法規制度。依據國家相關法規和有關規定，有針對性地制定適合本單位實際的措施、制度，建立網絡安全管理機制，細化原則性的規定、標準和要求，明確分工及相應的安全職責，將制度建設滲透到涉密網絡建設、使用、維護、管理等各個環節，建立完善網絡建設、終端接入、開通運行、涉密信息發布等制度，健全網絡安全保密檢查評估機制，實行涉密信息集中管控。另一方面，要抓好制度落實。制度關鍵要靠人來具體落實，許多單位在網絡運行管理和使用中，更多的是考慮效益、速度和便捷，而對安全、保密重視不夠，因此，要深層次地增強網絡安全觀念，認識到信息安全防護工作不僅僅是技術人員的“專利”，更需要所有相關人員來共同防護。

　　要教育培養網絡安全意識，掌握信息安全知識，學會“防什么、怎么防”，堅持不懈地抓好各項制度落實，調動人員的積極性和主動性，構筑牢固的思想防線。一是開展以提高技術防范能力為目標的知識教育，大力普及計算機信息安全保密知識，增強網絡安全防護意識，豐富安全防護知識。二是開展以規范涉密網絡安全管理為重點的法規教育，熟悉相關規定和要求，提高遵章守紀的自覺性。三是開展以強化信息安全觀念為主題的警示教育，認真汲取近年來網絡和涉密載體失泄密案件的教訓，營造群防群治的良好氛圍。四是定期進行網絡安全檢查，排查隱患，及時整治，對發生頻率較高、整治較困難的問題反復抓，直到徹底糾正。特別要嚴格涉密網絡信息管控，使涉密信息從產生、流轉、使用到銷毀形成完整的“閉合回路”，將網絡安全管理相關內容納入單位及個人工作考評中，對發生的安全事件，依照有關規定進行問責。

　　2.2 配套人員設施，健全防護體系

　　合理調配人員，建立網絡安全專職機構，主要負責網絡安全系統配置、網絡安全設備維護、網絡安全監督檢查等，對各類可能發生的網絡安全事件制訂相應的應急處置預案，并能夠及時有效處置，針對存在的安全隱患提出整改意見。

　　構建涉密網絡安全防護體系必須實現幾個目標：網絡系統穩定、可靠運行，具有可審查性，能夠進行權限管理，杜絕非授權用戶使用未授權信息;網絡中的信息在傳輸、交換、存儲和處理過程中保持完整性和原樣性。當網絡系統遭受攻擊或破壞時，能快速響應、迅速恢復使用。據此來制定網絡安全策略，對照安全策略查找安全“短板”，選用相應的安全軟件、硬件加以彌補，構建覆蓋用戶終端的安全防護體系。

　　一是加強涉密服務器安全防護，采取網絡訪問控制、包過濾、代理服務、審計跟蹤、信息確認、密匙安全、身份鑒別、入侵檢測、漏洞掃描、病毒防范等技術，操作系統進行安全配置，嚴格控制不同用戶訪問網絡資源的權限，開啟系統各類監控審核日志，確保服務器安全。

　　二是加強涉密終端安全防護，為涉密終端配備電子干擾器，配置IC卡或USB加密狗等用戶認證設備，采取主機登錄控制、端口權限綁定、外聯監測封堵和安裝內網綜合防護系統等措施，對網絡運行和終端操作行為進行實時監控，防止非授權計算機接入涉密網和“一機跨兩網”;正確設置管理策略等措施，封堵外設接口，防止非授權電子設備接入拷貝數據。

　　三是加強網絡設備安全防護，使用經過權威部門安全認證的設備， 通過網絡接入控制系統，為網絡用戶提供統一的身份認證和授權機制;合理劃分虛擬局域網，實現對內網、外網和內網各區域間數據包的過濾;使用漏洞掃描定期檢查系統安全隱患，針對安全分析報告組織整改;防火墻啟用防抗網絡攻擊功能，交換機采取端口與IP地址綁定、網卡地址與機端口綁定、關閉遠程登錄、設置端口禁用、啟用安全認證、更改默認密碼等措施，增強網絡整體安全性。

　　2.3 嚴格入網審批，規范終端管理

　　入網終端的管理是整個涉密網絡安全管理工作的重頭戲，主要目標是禁止未經授權計算機和移動設備違規接入，防止涉密網絡計算機與外部網絡建立非法外連，控制移動存儲載體在涉密網絡的使用等。

　　一是嚴格把好終端用戶入網審批關，實行入網申請審批制度。管理部門認真核查終端用戶入網資格，對準許入網用戶的使用人信息、位置坐落、計算機終端情況、IP地址、MAC地址、上聯交換機端口等信息進行詳細登記，建立實名制上網登錄帳戶，發放身份令牌。

　　二是嚴格IP地址管理，明確IP地址申請和發放流程、IP地址變更流程、IP地址非法使用處罰制度，嚴格控制用戶設備入網及網址變更。用戶網絡信息的改變必須提前上報，經主管部門審核批準后，方可更改。

　　三是建立終端用戶信息基礎數據庫，信息項目設置盡可能詳盡，一般可包括用戶本人自然情況、使用終端的配置情況、網絡資源分配記錄、上網地點、終端維護記錄及用戶行為記錄等信息，這些信息將成為用戶信息管理、用戶網上行為監控及安全事件定位的基本依據。

　　四是完善技術措施，及時監督和糾正用戶在入網操作中的違規的行為。實行 “全網先封閉，審批再開放，多參數捆綁，全時域監控”的管理模式，杜絕隨意入網的問題，從開放式入網轉變為封閉式管理。依托主機監控系統，對終端的登錄、外設、網絡、進程等實施精細管理控制，嚴把信息傳遞流程。定期對接入涉密網絡的計算機終端進行身份鑒別，阻止未授權的計算機終端接入和訪問內部網資源;通過建立違規外聯特征行為模型，實時掃描內部網絡所有在線主機情況，檢測并確認違規外連主機，實時監視網內受控計算機通過普通電話線、ISDN、ADSL等方式撥號上網行為，檢測通過無線方式非法上網的行為。強制推廣使用“涉密電子文件標簽和水印管理系統”，必要時禁用USB端口、光驅等外設接口，嚴防涉密計算機違規上網、涉密載體非法外連、個人存儲載體隨意拷貝等行為。采用口令加密、數字簽名和指紋識別等技術手段，分級控制內網用戶的使用和訪問權限，防止非法用戶竊取涉密資料。

　　2.4 加強安全監測，做好重點防范

　　根據網絡安全形勢的變化和技術的發展，不斷調整和補充新的技術手段，建立一個綜合監管平臺，使既有的入侵檢測、漏洞掃描、補丁分發、主機監控、防病毒等系統形成整體合力，對網絡攻擊、病毒傳播、有害信息發布等內容進行全面監測，實時采集整個網絡的基礎數據，通過對網絡的信息匯總、統計和分析，為網絡安全提供數據支持。通過網絡可靠運行監測、漏洞掃描、木馬檢測、攻擊事件監測等，查找網絡中的薄弱環節，分析網絡的安全狀況，有針對性地制訂安全策略，一旦有安全事件發生，發出實時告警，迅速準確地定位事件來源，進行應急處置。

　　在全面防范的基礎上，重點把住網絡攻擊和病毒破壞關口，緊盯移動載體使用。更新完善防火墻、入侵檢測和防病毒系統，定期檢查漏洞掃描、網絡監測預警，對終端運行資源、異常流量、異常進程進行監控與管理，一旦發現網絡病毒、對外掃描、對內攻擊、流量異常等安全事件隱患，按照早發現、早報告、早處置的原則，快速有效地定位網絡事件引入點，采取技術手段追查非法攻擊來源，及時、準確分析、定位和隔離，恢復或重建被破壞的系統。重要系統須存有備份，一旦遭受破壞性攻擊，應立即停止系統運行，檢查日志資料，確認攻擊來源，采取有效措施，恢復軟件系統和數據。

　　還要規范移動存儲體質使用管理，嚴格涉密計算機及存儲介質管控，實行淘汰報廢涉密載體審批上交、離崗保密審計等措施，實施全壽命戶籍式精確化保密管控，嚴防在涉密網與非涉密網之間交叉使用，嚴格辦公類電子設備保密管理，對涉密移動存儲介質進行加密注冊使用，區分明密，專網專用。確需在涉密網和非涉密網之間、內網和外網之間傳遞資料時，可采用文檔打印法、U盤或移動硬盤轉換法、安裝數據單向傳輸設備、光盤刻錄法進行間接操作，防止交叉感染病毒，遭受“擺渡”木馬程序攻擊泄密。

　　3 結束語

　　實踐證明，涉密網絡安全網絡管理工作是一項紛繁復雜的系統工程，只有思想上足夠重視，技術上加強防范，管理上不留死角，全體人員持續共同地努力，才能做好這項工作。

　　閱讀期刊：信息技術與網絡安全

　　《信息技術與網絡安全》(原：微型機與應用)(月刊)，創刊于1982年，是由華北計算機系統工程研究所主辦的國家級科技期刊。該刊35年來為信息技術和應用的發展作出杰出貢獻，先后獲評全國優秀科技期刊、中國科技期刊精品數據庫收錄期刊、中國期刊全文數據庫收錄期刊、中國學術期刊綜合評價數據庫統計刊源期刊、中國核心期刊(遴選)數據庫收錄期刊等。