【快讯】桂林雁山区：检察机关内网安全建设与防范

　　一、广西基层检察院内部网络安全建设的现状。

　　广西检察机关111个基层检察院已于2007年全面完成内网的建设任务，实现了全区检察机关三级网的互联互通，但多数单位对于网络安全建设方面的投入则明显滞后，很多单位对内网的安全管理主要采取制度防范和安装隔离卡的措施，由此造成内网的安全很大程度上依赖于电脑使用者的责任心，仅依如此靠单一的防范策略是无法满足检察机关信息化法治的要求，对于检察内网安全也是无法保障。

　　二、对于基层检察院网络安全工作的发展，笔者结合工作实践说几点意见和建议。

　　1、完善的制度建设是网络安全策略的基础。

　　完善安全管理制度，是检察机关网络安全建设的基石，雁山区检察院依据最高人民检察院《“十二五”时期检察工作发展规划纲要》以及内部网络保密安全相关制度要求，相继制定了《内网使用管理规定》、《内网涉密电脑使用岗位责任制》等一系列网络安全管理制度，成立了安全管理领导小组，制定了风险预警机制，定期对全院干警进行安全教育和培训，确保了该院内网的安全、稳定运行。

　　2、对必要的网络安全硬件进行购置。

　　安全交换机的采用，内部网络的信息传输普遍采用的是广播技术，数据包在广播域中很容易被截获和受到监听，所以有必要采用安全交换机，利用网络分段、划分虚拟网络等方法从物理上、逻辑上隔离内网的可用资源，使内网的安全性得以加强。

　　入侵侦测系统的安装与使用，通过安装非法入侵侦测系统，提升本地防火墙的性能，可以做到监控网络、分析数据包内容、过滤数据包、执行网络拦截等要求。当检测到入侵发生时可以有效地立刻终止该服务，以便防止数据信息被窃取，并防止对网络设备配置的非法修改。

　　3、利用现有软件构建安全策略管理体系。

　　（1）保障操作系统安全是基础。内网内所有服务器和终端电脑的应用程序，都是运行在windows操作系统（OS）上的。因此，保证操作系统的安全是整个网络安全的根基，架设WSUS服务及时更新windows安全补丁是必要的。在更新安全补丁之外，有必要时可以建立一个系统的监控系统，对用户口令和访问控制权限的分配等方面进行管理。

　　（2）关于路由器自带防火墙的有效设置。硬件是网络架构的基础，通过在本院内网使用的路由器上进行路由器内置防火墙的IP地址过滤、URL过滤、MAC地址过滤、IP地址与MAC地址绑定、安全日志等功能的设置，是可以屏蔽掉部分网络攻击的，如果能购买功能更为强大的硬件防火墙产品，就能使内网的安全性得到进一步提升。

　　（3）加强密码管理与访问控制。由于检察机关内网中工作数据安全性要求高的特性，在使用中管理员有必要注重对所有密码设置的安全性进行制度管理，（比如：密码的位数要在6位以上，密码中最好同时使用字母、字符、数字，不能使用电话或重复字母做口令，多个系统的密码不能使用同一个，定期更换密码等）提高密码的安全性。为了保护网络客户端的安全，也可利用Windows操作系统所提供的安全措施。如要求登录用户进行注册、设置登录密码、设置文件和目录的访问权限与密码等，实现对网络用户访问和操作的权限控制。

　　（4）定期对重要数据及时备份的重要性。由于检察工作的特殊性，内网中存储的工作数据对用户非常重要。实际工作中用户的误操作，办公楼的意外断电可能对用户造成的电脑数据文件损坏、丢失或系统崩溃，要比一般的病毒或黑客攻击造成的损失更大。为了保障检察机关内网的安全，必须定期对重要资料进行备份，从数据的保护角度来说，选择功能完善、使用方便、配置灵活的工具软件是必不可少的，如目前该院使用的是在局域网内使用比较普遍的Ghost软件,可以方便的实现数据定时及远程的备份和恢复功能，如果再搭配灾难恢复软件，则可以更全面地保护电脑中数据的安全。

　　（5）对计算机病毒防范策略。检察内网客户端的安全危险一大部分是来自电脑病毒的攻击，目前病毒的传播方式已经由过去的单一传播，进化成可利用局域网邮件、远程协助、系统漏洞、即时通信工具、使用优盘等多种传播方式，其扩散更快，欺骗性、隐藏性更强，并且融合了网络蠕虫、木马、黑客程序特点，其破坏性也大大增强。所以，在选择网络杀毒软件要着重考虑：（1）除了有传统的文件监控功能外，还要有对网络层、邮件客户端的实时监控、对常用软件的重点保护功能、主动防御策略等防病毒能力。（2）产品有完善的升级服务，能够按照内网与外网物理隔离的要求，满足用户随时拥有最新防病毒库的更新能力。（3）厂家在业界口碑良好，能提供即时全面的防、杀病毒的咨询以提高产品用户的反病毒意识，能在病毒爆发后第一时做出快速反应，为用户提供套完整的一揽子解决方案。

　　（6）对非法外联的坚决抵制。通常情况下，检察内网要处理很多网上办公、办案方面的信息，属于保密网络，是要求与外网物理隔绝的。但如果内部人员使用WIFI等无线方式接入外网，使内网与外网间开出新的连接通道，外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障，顺利侵入非法外联的计算机，盗窃内网的敏感信息和机密数据，造成泄密事件，甚至利用该机作为跳板，攻击、传染内网的重要服务器，导致整个内网工作瘫痪。所以管理员平时要注重审查网络，从硬件和软件两方面关闭无线网络应用，确保没有无线网络的访问。

　　（7）禁止违规软件使用。如果干警在计算机上安装使用盗版软件，不但引入了潜在的安全漏洞，还降低了计算机系统的安全系数。而一些内部人员安全意识淡薄，不安装指定的防毒软件等，这些行为都对内网构成了重大的安全威胁，应在日常检查中及时指出并禁止其使用。

　　（8）加强对外设使用的登记管理。如果不加限制地让干警在内网计算机上安装、使用优盘、硬盘、数码相机、MP3等移动存储设备，这样会导致移动存储介质间接地与外网进行数据交换，从而导致病毒的传入或者敏感信息、机密数据的外漏。而对于这些重要电子文档的打印，一定要进行严格的登记和日志记录，以防止涉密资料泄漏等一系列问题。

　　（9）用好“安全策略”控制软件。对于安全策略自动控制软件的使用要注意，它虽然能很好的补充管理员手动设置的安全策略在功能的不足，对内网进行有效安全监控，方便管理员查阅用户记录和控制系统的外部设备等，但俗话说：祸起萧墙，其意在于表明内忧甚于外患。一个能进入办公室打开电脑的普通人员对内网安全的潜在威胁远远超过了一个技术水平一流的黑客，除了依靠必要的技术手段进行防范外，通过执行现有管理制度，实现有效内部监管加电脑智能防范才是实现网络安全的可取之道。

　　总之，检察机关内网的安全一直是网上办公办案自动化、信息化的重点，如何保障检察内网每天的活动都遵循安全策略运行，确保网络的安全可控，笔者希望通过文章为各位做好网络安全工作提供一些借鉴。