信息網(wǎng)絡(luò)安全防護(hù)對策研究

張 好

（廣東省總隊(duì)網(wǎng)管中心，廣州 510660）

信息網(wǎng)絡(luò)安全防護(hù)對策研究

張 好

（廣東省總隊(duì)網(wǎng)管中心，廣州 510660）

信息網(wǎng)絡(luò)的安全是關(guān)系到網(wǎng)絡(luò)中傳輸?shù)男畔⑹欠衲軌蚝戏ā?zhǔn)確地進(jìn)行傳輸，并為終端用戶提供應(yīng)用的關(guān)鍵。隨著信息網(wǎng)絡(luò)的快速發(fā)展，安全問題也隨之產(chǎn)生，如何保證網(wǎng)絡(luò)安全成為人們在利用信息網(wǎng)絡(luò)時(shí)不得不考慮的問題。本文對信息網(wǎng)絡(luò)和網(wǎng)絡(luò)安全面臨的主要威脅，提出信息網(wǎng)絡(luò)安全防護(hù)的具體措施。

信息網(wǎng)絡(luò)安全；安全防護(hù)；安全管控

信息網(wǎng)絡(luò)是信息獲取、傳遞和處理的中樞神經(jīng)系統(tǒng)，是保證各種信息數(shù)據(jù)完整可靠傳輸?shù)幕緱l件和主要平臺(tái)。在越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境下，信息網(wǎng)絡(luò)的安全面臨著嚴(yán)峻挑戰(zhàn)。信息網(wǎng)絡(luò)面臨的安全威脅主要有病毒和黑客入侵，進(jìn)行竊取、干擾、篡改等。為有效保障信息網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，應(yīng)加強(qiáng)信息網(wǎng)絡(luò)安全管控，及時(shí)解除信息網(wǎng)絡(luò)安全面臨的威脅。

1　信息網(wǎng)絡(luò)安全面臨的威脅

1.1 信息網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)安全方面

一是主動(dòng)攻擊。其目的是破壞系統(tǒng)中數(shù)據(jù)的完整性，它是攻擊人有意發(fā)出的行為，并且往往不會(huì)留下技術(shù)痕跡。主要方式是：在進(jìn)入系統(tǒng)時(shí)，通常采用“合法用戶”的身份，刪除放在記錄中的數(shù)據(jù)，使有用的數(shù)據(jù)被無意義的數(shù)據(jù)代替，非法篡改數(shù)據(jù)，并將非法指令加入到程序中，從而使計(jì)算機(jī)在執(zhí)行原定任務(wù)的過程中，執(zhí)行非法功能。二是被動(dòng)攻擊。竊取系統(tǒng)中的機(jī)密數(shù)據(jù)。主要表現(xiàn)為：竊聽、破譯、分析在網(wǎng)絡(luò)上傳輸?shù)男畔ⅲ环欠ㄍ甸喆鎯?chǔ)在信息網(wǎng)絡(luò)數(shù)據(jù)庫中的數(shù)據(jù)；以合法存取數(shù)據(jù)的方法為手段，將數(shù)據(jù)傳輸給非合法用戶；以通過合法途徑獲得的具有緊密聯(lián)系的統(tǒng)計(jì)數(shù)據(jù)為依據(jù)，推斷其他數(shù)據(jù)等。

1.2 在信息網(wǎng)絡(luò)本身的安全方面

信息網(wǎng)絡(luò)本身的安全威脅，主要是使網(wǎng)絡(luò)的正常運(yùn)行受到破壞而非竊取機(jī)密信息。這種破壞通常主要分為兩個(gè)方面：一是軟殺傷，通常表現(xiàn)為以計(jì)算機(jī)病毒為手段來破壞網(wǎng)絡(luò)系統(tǒng)，攻擊系統(tǒng)的關(guān)鍵節(jié)點(diǎn)，導(dǎo)致系統(tǒng)的主服務(wù)器癱瘓；在設(shè)計(jì)和開發(fā)軟件的過程中，故意設(shè)置某種缺陷，從而使系統(tǒng)功能不能正常執(zhí)行。二是硬殺傷，通常表現(xiàn)為以各種人為破壞手段攻擊信息網(wǎng)絡(luò)及周圍的設(shè)備、網(wǎng)絡(luò)線路等。

1.3 在網(wǎng)絡(luò)系統(tǒng)人員安全方面

作為一個(gè)巨大的人機(jī)交互系統(tǒng)，在信息網(wǎng)絡(luò)系統(tǒng)中人員安全因素有著事關(guān)全局的作用。人為因素主要體現(xiàn)在以下幾個(gè)方面：通過滲透我方情報(bào)機(jī)構(gòu)來攻擊；攻擊和策反我方系統(tǒng)管理人員，通過系統(tǒng)值班員、掌握核心技術(shù)秘密的人員來攻擊我方系統(tǒng)的安全；存在于系統(tǒng)合法用戶中的瀆職行為以及不法行為等。

2　信息網(wǎng)絡(luò)安全防護(hù)對策

2.1 邊界安全防護(hù)

網(wǎng)絡(luò)邊界安全是網(wǎng)絡(luò)與信息安全的基礎(chǔ)。為了保護(hù)系統(tǒng)安全，抵制非法入侵，要應(yīng)用先進(jìn)技術(shù)手段，采取有效措施，及時(shí)查找外界安全隱患，彌補(bǔ)漏洞和不足。主要技術(shù)措施包括防火墻、可信傳輸、網(wǎng)絡(luò)隔離和安全檢查等。

2.1.1 安裝防火墻

在網(wǎng)絡(luò)出口處安裝防火墻，嚴(yán)格按照規(guī)則進(jìn)行配置，默認(rèn)規(guī)則為禁止，嚴(yán)禁開放TCP/UDP協(xié)議的有關(guān)端口，利用防火墻的“停火區(qū)”對終端進(jìn)行分類，從而使處理絕密、機(jī)密、級信息終端得到更好保護(hù)。

2.1.2 實(shí)施可信傳輸

一是對于鏈路層加密設(shè)備，利用置換和變換的方法將信息轉(zhuǎn)化為密文，每隔一個(gè)月對設(shè)備進(jìn)行維護(hù)和測試。二是對整個(gè)網(wǎng)絡(luò)層加密設(shè)備進(jìn)行規(guī)劃，區(qū)分密級網(wǎng)段和非密級網(wǎng)段，對密級網(wǎng)段進(jìn)行數(shù)據(jù)加密傳輸，并禁止密級網(wǎng)段與非密級網(wǎng)段進(jìn)行數(shù)據(jù)通信。

2.1.3 進(jìn)行網(wǎng)絡(luò)隔離

利用網(wǎng)絡(luò)隔離設(shè)備阻斷網(wǎng)絡(luò)層互連，通過安全控制設(shè)計(jì)只允許具有指定應(yīng)用傳輸協(xié)議的報(bào)文通過，并在密級要求較高、業(yè)務(wù)流相對固定單位使用。如軍隊(duì)中的機(jī)動(dòng)指揮網(wǎng)、雷達(dá)情報(bào)探測網(wǎng)、武器平臺(tái)系統(tǒng)、專用業(yè)務(wù)處理網(wǎng)等間接用戶接入軍隊(duì)專網(wǎng)時(shí)，要通過安全隔離網(wǎng)關(guān)實(shí)施網(wǎng)絡(luò)隔離和安全控制。

2.2 終端安全防護(hù)

終端防護(hù)是安全防護(hù)體系中的末端，也是安全防護(hù)的重點(diǎn)。一方面，網(wǎng)絡(luò)終端是網(wǎng)絡(luò)操作的起點(diǎn)，通過網(wǎng)絡(luò)終端用戶可以登錄并訪問網(wǎng)絡(luò)，透過內(nèi)網(wǎng)訪問外網(wǎng)，訪問應(yīng)用系統(tǒng)和產(chǎn)生數(shù)據(jù)。另一方面，網(wǎng)絡(luò)終端也是許多安全事件的源頭，如病毒攻擊、從網(wǎng)絡(luò)內(nèi)部發(fā)起惡意攻擊和內(nèi)部保密數(shù)據(jù)盜用或失竊等。因此，要維護(hù)信息網(wǎng)絡(luò)安全穩(wěn)定，消除安全威脅，必須加強(qiáng)網(wǎng)絡(luò)終端防護(hù)。

2.2.1 檢測查殺病毒

一是在主機(jī)系統(tǒng)上部署網(wǎng)絡(luò)版防病毒軟件，接受全網(wǎng)統(tǒng)一管理、建立病毒疫情統(tǒng)一實(shí)時(shí)監(jiān)控、病毒查殺策略統(tǒng)一管理、病毒特征庫統(tǒng)一升級的網(wǎng)絡(luò)防病毒體系。二是為保障導(dǎo)入數(shù)據(jù)的安全，配置專門的病毒查殺終端，部署兩種以上殺毒軟件，對需要導(dǎo)入系統(tǒng)的載體進(jìn)行離線查殺。

2.2.2 安全加固補(bǔ)丁

利用補(bǔ)丁自動(dòng)分發(fā)系統(tǒng)，通過聯(lián)網(wǎng)方式對網(wǎng)絡(luò)主機(jī)操作系統(tǒng)和基礎(chǔ)工具軟件分發(fā)最新補(bǔ)丁，及時(shí)修補(bǔ)已知漏洞。

2.2.3 訪問控制

一是用戶登錄控制。將身份認(rèn)證設(shè)備與操作系統(tǒng)登錄機(jī)制緊密結(jié)合，實(shí)現(xiàn)基于用戶身份認(rèn)證設(shè)備的主機(jī)登錄控制。二是用戶權(quán)限限制。限制用戶在終端上的操作使用權(quán)限，防止用戶無意或者故意對終端環(huán)境進(jìn)行破壞性操作。三是外設(shè)訪問控制，在文件驅(qū)動(dòng)層截獲外設(shè)訪問的系統(tǒng)調(diào)用，根據(jù)訪問規(guī)則對外設(shè)拷貝行為進(jìn)行審計(jì)與控制，防范從主機(jī)拷出涉密文件，或?qū)⒐艄ぞ呋虿《究饺胫鳈C(jī)的行為。四是網(wǎng)絡(luò)訪問控制。嚴(yán)格控制主機(jī)上各應(yīng)用程序所使用的網(wǎng)絡(luò)通信協(xié)議、端口號，杜絕網(wǎng)絡(luò)攻擊和越權(quán)訪問行為發(fā)生。五是非法外聯(lián)監(jiān)控。對用戶通過撥號等方式試圖連接到外部網(wǎng)絡(luò)的行為進(jìn)行審計(jì)與控制，防止由于外聯(lián)行為而造成的泄密事件發(fā)生。

2.2.4 移動(dòng)存儲(chǔ)安全保護(hù)

主機(jī)之間利用具備強(qiáng)制審計(jì)功能的專用安全U盤進(jìn)行數(shù)據(jù)交換，實(shí)現(xiàn)對用戶移動(dòng)存儲(chǔ)介質(zhì)的安全管理和安全審計(jì)。安全U盤具備文件操作記錄、主機(jī)特征記錄、U盤授權(quán)控制、審計(jì)日志管理、違規(guī)操作定位等功能，能夠保證移動(dòng)存儲(chǔ)介質(zhì)數(shù)據(jù)操作的可追蹤、可審計(jì)。

2.2.5 數(shù)據(jù)庫安全防護(hù)與安全審計(jì)

通過數(shù)據(jù)庫安全防護(hù)系統(tǒng)，建立對數(shù)據(jù)庫授權(quán)控制、訪問審計(jì)等安全機(jī)制。對于安全性要求更高的數(shù)據(jù)庫應(yīng)用系統(tǒng)，要采用自主知識(shí)產(chǎn)權(quán)的安全防護(hù)數(shù)據(jù)庫，保障核心數(shù)據(jù)安全。

2.2.6 信息管控

要安裝相應(yīng)軟件，對信息的擁有者、使用者進(jìn)行行之有效的認(rèn)證，生成日志文件，以防止內(nèi)部泄露信息。

2.3 信息網(wǎng)絡(luò)安全管控

為預(yù)防和監(jiān)控網(wǎng)絡(luò)攻擊行為，要對用戶上網(wǎng)行為、設(shè)備運(yùn)行狀態(tài)、網(wǎng)絡(luò)信息資源進(jìn)行有效監(jiān)控和管理，把信息網(wǎng)絡(luò)安全威脅降到最低、保證網(wǎng)絡(luò)正常運(yùn)行。信息網(wǎng)絡(luò)安全管控是網(wǎng)絡(luò)安全防護(hù)工作的第一道關(guān)卡，通過這道關(guān)卡可及時(shí)阻截危險(xiǎn)行為，發(fā)現(xiàn)攻擊、非法信息發(fā)布、病毒侵犯等行為，將安全事件造成的影響降低到最小。

2.3.1 信息審計(jì)

信息審計(jì)系統(tǒng)應(yīng)緊跟形勢，不斷完善敏感詞庫。同時(shí)，安全值勤人員必須加大審計(jì)力度，做到非法信息及時(shí)發(fā)現(xiàn)、及時(shí)處理。

2.3.2 入侵檢測

入侵檢測系統(tǒng)負(fù)責(zé)管理監(jiān)測骨干線路傳輸?shù)臄?shù)據(jù)，對當(dāng)前系統(tǒng)資源和狀態(tài)進(jìn)行監(jiān)控，檢測可能的入侵行為，利用入侵者留下的痕跡來有效發(fā)現(xiàn)來自內(nèi)部和外部的非法入侵，是一種主動(dòng)防御，它能在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行檢測，從而提供對內(nèi)、外部攻擊的實(shí)時(shí)保護(hù)。

2.3.3 人員管理

一是要加強(qiáng)用戶單位內(nèi)部管理，建立合理、規(guī)范的網(wǎng)絡(luò)安全管理系統(tǒng)，對用戶人員要明確不同崗位的不同權(quán)限。二是要結(jié)合機(jī)房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個(gè)方面的安全問題，如采用屏蔽措施降低電磁輻射等提高整體網(wǎng)絡(luò)安全意識(shí)。三是要加強(qiáng)人員業(yè)務(wù)、技術(shù)培訓(xùn)，提高操作技能；定期對信息數(shù)據(jù)進(jìn)行備份，減少敵方攻擊造成的損失。四是教育工作人員嚴(yán)格遵守操作規(guī)程和各項(xiàng)保密規(guī)定，嚴(yán)防人為事故的發(fā)生。

3　結(jié) 語

信息網(wǎng)絡(luò)的安全防護(hù)需要從邊界防護(hù)、終端防護(hù)、安全管控等多個(gè)方面來考慮，每個(gè)防護(hù)手段都針對不同的信息網(wǎng)絡(luò)安全威脅，側(cè)重點(diǎn)各有不同。因此，必須全面考慮、合理運(yùn)用防護(hù)措施才能實(shí)現(xiàn)信息網(wǎng)絡(luò)邊界可靠、終端可信、秩序可控的安全防護(hù)目標(biāo)，為信息網(wǎng)絡(luò)系統(tǒng)建設(shè)與運(yùn)用提供安全保障。

10.3969/j.issn.1673 - 0194.2016.10.100

TP393.08

A

1673-0194（2016）10-0143-02

2016-04-20