網絡安全解決方案與對策

于萍

【摘要】分析了當前網絡安全發展形勢，闡述了加強網絡安全的重要意義，對信息系統安全威脅與風險進行了分析，指出信息系統安全控制的方向與重點，提出了網絡安全解決方案對策。

【關鍵詞】網絡；安全；技術防范；對策

【中圖分類號】TP393.08 【文獻標識碼】B 【文章編號】1672-5158（2013）01—0445—02

引言

近年來，隨著經濟社會的快速發展，互聯網得到快速增長，互聯網的應用領域不斷擴張，已經從傳統領域拓展到非傳統領域，而且影響力越來越大。據中國互聯網絡信息中心（CNNIC）近期發布的《中國互聯網絡發展狀況統計報告》顯示：截至2012年12月底，手機網民數量為4.2億，中國網民數達到5.64億，全年新增網民5090萬人，普及率為42.1%；微博用戶規模為3.09億，較2011年底增長了5873萬。域名總數為1341萬個，其中“.CN”域名總數為751萬，“.中國”域名總數為28萬。中國網站總數（即網站的域名注冊者在中國境內的網站數）回升至268萬個（去年底只有183萬）。網絡安全從大的方面講，關系國家安全主權、社會穩定；從小的方面講，網絡安全涉及個人信息安全、財產安全，因此，積極研究探討適應新形勢發展要求的網絡安全方案，對確保網絡安全，提升網絡服務質量具有十分重要的現實意義。

1 加強網絡安全的現實意義

隨著信息化技術的不斷發展，網絡已經成為一種聯通各地、各個領域的重要基礎設施，計算機網絡的發展為人們的生產、生活、工作帶來了極大便利，拉近了全球的距離。但在看到網絡給人們帶來便捷的同時，還要清醒地認識到網絡作為一個面向公眾的開放系統，如果網絡安全意識不強、網絡安全防范措施不力，就會產生網絡安全隱患。特別是隨著信息網絡技術的飛速發展，網絡得到廣泛普及和應用，應用層次不斷深入，應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展，已經被行政部門、金融機構、企業廣泛應用，網絡在這些領域的廣泛應用，也進—步加大了網絡安全的風險。如何保持網絡的穩定安全，防止諸如黑客攻擊、非正常入侵等安全問題的發生，是一項重要任務。

由于網絡系統結構復雜、涉及終端眾多、系統開放，網絡系統面臨的威脅和風險比較多，歸納起來主要來自外部的人為影響和自然環境的影響，這些威脅有的是對網絡設備的安全運行存在威脅，有的是對網絡中的信息安全存在威脅。這些威脅的集中起來主要有：非法授權訪問，假冒合法用戶，病毒破壞，線路竊聽，黑客入侵，干擾系統正常運行，修改或刪除數據等。這些威脅一旦成為現實，將對網絡系統產生致命的影響，嚴重的可能會導致系統癱瘓，傳輸信息被非法獲取和傳播，會給相關機構和網絡用戶造成不可挽回的損失。

在網絡快速發展的新形勢下，全面加強網絡安全建設，提升網絡安全等級，對確保和維護網絡用戶利益，維護單位整體形象都具有十分重要我。特別是在當前，終端用戶往往會在終端中存儲大量的信息資料，工作手段也越來越依賴于網絡，一旦網絡安全方面出現問題，造成信息的丟失或不能及時流通，或者被篡改、增刪、破壞或竊用，都將帶來難以彌補的巨大損失，因此，積極研究探索與網絡發展同步的網絡安全解決方案，全面加強網絡安全建設，是各級網絡管理部門及用戶的重要職責，必須要高度重視，扎實推進。

2 信息系統安全威脅與風險分析

認真分析信鼠系統安全威脅與存在的風險，是進行風險管理、制定網絡安全方案的前提和基礎。通過進行有效的系統安全威脅與風險分析，可以幫助相關機構和用戶選擇合作的控制措施來降低風險。

2.1 物理安全風險分析

網絡物理安全是整個網絡系統安全的前提，相關的物理安全風險主要有：地震、水災、火災等環境事故造成整個系統毀滅；電源故障造成設備斷電以至操作系統引導失敗或數據庫信息丟失；設備被盜、被毀造成數據丟失或信息泄漏；電磁輻射可能造成數據信息被竊取或偷閱；報警系統的設計不足可能造成原本可以防止但實際發生了的事故。

2.2 鏈路傳輸風險分析

網絡安全不僅是入侵者到企業內部網上進行攻擊、竊取或其它破壞，他們完全有可能在傳輸線路上安裝竊聽裝置，竊取你在網上傳輸的重要數據，再通過一些技術讀出數據信息，造成泄密或者做一些篡改來破壞數據的完整性；以上種種不安全因素都對網絡構成嚴重的安全危脅。

2.3 網絡結構的安全風險分析

來自與公網互聯的安全危脅，基于Internet公網的開放性、國際性與自由性，內部網絡將面臨更加嚴重的安全危脅。一些黑客會制造病毒透過網絡進行傳播，還會影響到與本系統網絡有連接的外單位網絡；影響所及，還可能涉及法律、金融等安全敏感領域。

內部網絡與系統外部網互聯安全威脅。如果系統內部局域網絡與系統外部網絡間沒有采取一定的安全防護措施，內部網絡容易造到來自外網一些不懷好意的入侵者的攻擊。入侵者通過網絡監聽等先進手段獲得內部網用戶的用戶名、口令等信息，進而假冒內部合法身份進行非法登錄，竊取內部網重要信息。惡意攻擊，入侵者通過發送大量PING包對內部網重要服務器進行攻擊，使得服務器超負荷工作以至拒絕服務甚至系統癱瘓。

內部局域網的安全威脅。據調查在已有的網絡安全攻擊事件中約70%是來自內部網絡的侵犯。比如內部人員故意泄漏內部網絡的網絡結構；安全管理員有意透露其用戶名及口令；內部不懷好意員工編些破壞程序在內部網上傳播或者內部人員通過各種方式盜取他人涉密信息傳播出去。這些都將對網絡安全構成嚴重威脅。

2.4 系統的安全風險分析

系統的安全往往歸結于操作系統的安全性，決定于網絡操作系統、應用系統的安全性。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統，系統本身必定存在安全漏洞。這些安全漏洞都將存在重大安全隱患。但是從實際應用上，系統的安全程度跟對其進行安全配置及系統的應用面有很大關系，操作系統如果沒有采用相應的安全配置，則其是漏洞百出，掌握一般攻擊技術的人都可能入侵得手。因此，必須要高度重視系統的安全風險，科學進行系統安全配置，從而有效降低系統風險。

2.5 應用的安全風險分析

應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。這就需要我們對不同的應用，檢測安全漏洞，采取相應的安全措施，降低應用的安全風險。比如由于資源共享、使用電子郵件系統、受病毒侵害、數據信息被非法竊取，篡改等，這些都是應用層面應當防范的安全風險。

2.6 管理的安全風險分析

內部管理人員或員工把內部網絡結構、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息泄漏風險。機房存在惡意的入侵者，內部不滿的員工有的可能熟悉服務器、小程序、腳本和系統的弱點。利用網絡開些小玩笑，甚至破壞。一些網絡系統管理由于責權不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。

3 網絡安全解決方案

可以通過配置諸如：標識、密鑰管理、安全管理、系統保護、鑒別、授權、訪問控制、抗抵賴、受保護通信、入侵檢測與抑制、完整性證明、恢復安全狀態、病毒檢測與根除等技術類安全控制來有效防止給定類型的風險與威脅；通過建立相關的安全管理機制，實現管理在的安全控制；通過建立一整套嚴謹的控制指南，實現操作類的安全控制，從而實現信息系統安全控制。

3.1 做好物理防護

保證計算機信息系統各種設備的物理安全是保障整個網絡系統安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。要嚴格按照相關標準建設網絡，防止人為降低建設標準。確保設備安全，采取有力措施搞好防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等。

3.2 確保系統安全

要認真判斷網絡拓撲結構是否合理；線路是否有冗余；路由是否冗余，防止單點失敗等。工行網絡在設計時，比較好的考慮了這些因素，可以說網絡結構是比較合理的、比較安全的。對于操作系統要盡可能采用安全性較高的網絡操作系統并進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些保存有用戶信息及其口令的關鍵文件，對使用權限進行嚴格限制；加強口令字的使用，增加口令復雜程度、不要使用與用戶身份有關的、容易猜測的信息作為口令，并及時給系統打補丁、系統內部的相互調用不對外公開。通過配備操作系統安全掃描系統對操作系統進行安全性掃描，發現其中存在的安全漏洞，并有針對性地進行對網絡設備重新配置或升級。在應用系統安全上，應用服務器盡量不要開放一些沒有經常用的協議及協議端口號。充分利用操作系統和應用系統本身的日志功能，對用戶所訪問的信息做記錄，為事后審查提供依據。

3.3 突出網絡安全

網絡安全是整個安全解決方案的重中之重，要從訪問控制、通信保密、入侵檢測、網絡安全掃描系統、防病毒等方面，采取切實可行的對策措施，確保網絡安全。要嚴格落實《用戶授權實施細則》、《口令字及帳戶管理規范》、《權限管理制度》、《安全責任制度》等安全管理制度。設置虛擬子網，各子網間不能實現互訪，實現初級訪問控制。設置高等級防火墻，通過制定嚴格的安全策略實現內外網絡或內部網絡不同信任域之間的隔離與訪問控制。利用防火墻并經過嚴格配置，可以阻止各種不安全訪問通過防火墻，從而降低安全風險。但是，網絡安全不可能完全依靠防火墻單一產品來實現，網絡安全是個整體的，必須配相應的安全產品，作為防火墻的必要補充。入侵檢測系統就是最好的安全產品，入侵檢測系統是根據已有的、最新的攻擊手段的信息代碼對進出網段的所有操作行為進行實時監控、記錄，并按制定的策略實行響應（阻斷、報警、發送E-mail）。建立網絡掃描系統，對網絡系統中的所有操作系統進行安全性掃描，檢測操作系統存在的安全漏洞，并產生報表，并自動進行相關修復。通過預防病毒技術、檢測病毒技術、殺毒技術，實施反病毒措施，防止病毒進入網絡進行傳播擴散。

3.4 確保應用安全

應用是信息系統安全應當關注的重要內容，要通過規范用戶的行為，來實現應用安全。要嚴格控制內部員工對網絡共享資源的使用，尤其要限制共享資源的濫用，在內部子網中一般不隨意開放共享目錄，否則較容易因為疏忽而在與員工間交換信息時泄漏重要信息。對有經常交換信息需求的用戶，在共享時也必須加上必要的口令認證機制，即只有通過口令的認證才允許訪問數據。雖然說用戶名加口令的機制不是很安全，但對一般用戶而言，還是起到一定的安全防護，即使有刻意破解者，只要口令設得復雜些，也得花費相當長的時間。適當配置資源控制，要精心設置訪問權限，并拒絕未經授權人員的登錄，減少有意或無意的案例漏洞。對數據庫服務器中的數據庫必須做安全備份，通過網絡備份系統，可以對數據庫進行遠程備份存儲。

3.5 安全管理

采用信息加密技術、數字簽名技術等技術對相關人員進行身份認證，通過數字證書，把證書持有者的公開密鑰（Public Key）與用戶的身份信息緊密安全地結合起來，以實現身份確認和不可否認性。防止出現身份冒領、抵賴等問題的發生。同時要制定健全的安全管理體制，提高網絡安全性。各網絡管理及使用單位要根據自身的實際情況，制定如安全操作流程、安全事故的獎罰制度以及對任命安全管理人員的考查等。積極構建安全管理平臺，構建安全管理平臺將會降，低很多因為無意的人為因素而造成的風險。構建安全管理平臺從技術上如，組成安全管理子網，安裝集中統一的安全管理軟件，如病毒軟件管理系統、網絡設備管理系統以及網絡安全設備統管理軟件，通過安全管理平臺實現全網的安全管理。要加強對網絡使用人員的安全教育，切實增強相關人員的安全防范意識，嚴格執行網絡管理相關規定，提高網絡管理的正規化水平。