網絡信息安全及防范探究

王越

摘要：隨著全球信息化步伐的加快和信息產業的飛速進步與發展，在享受便利的同時，也面臨著眾多和巨大的風險。本文著重介紹了信息系統所面臨的技術安全隱患，并針對安全與防范提出了行之有效的解決方案。

關鍵詞：信息系統；安全隱患；信息安全；防范措施；安全檢測

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2017）10-0210-02

1 引言

目前，網絡信息安全的地位空前提高，大家都充分認識了信息技術安全工作的重要性。從國際格局看，全球化進入深度調整期，互聯網成為世界主要大國的國家戰略重點和優先發展方向。從技術和產業革命看，信息革命持續演進，信息技術已經成為全球技術創新競爭的新高地。加強網絡信處安全工作已迫在眉睫，信息化進程大大加快，但網絡安全工作的步伐相對滯后。網絡安全事件一旦發生，傳播之快，影響之大也是少有的，已成為信息化發展的“瓶頸”問題，必須引起高度重視。

2 網絡信息安全現狀及發展趨勢

2017年6月1日，《中華人民共和國網絡安全法》正式實施，將網絡安全的重要性以立法的形式予以明確，對落實各項網絡安全工作提出了更高的要求。如何保障各個信息系統安全穩定運行和大量基礎數據的安全，是一項非常重要的工作，也是一項涉及國家政策落實和廣大人民群眾切身利益的重要工作。

2017年5月，名為“永恒之藍”的勒索病毒席卷全球。據監測，我國至少有29372個機構遭到這一蠕蟲病毒攻擊，保守估計超過30萬臺終端和服務器受到感染，覆蓋了全國幾乎所有地區。

“永恒之藍”事件是繼“沖擊波”病毒發生以來非常嚴重網絡安全攻擊事件。傳播速度之快，后果之嚴重，防范之難，均為歷史罕見。鑒于此次事件所顯示的網絡武器民用化、民間攻擊武器化趨勢，以后類似的網絡攻擊很可能會常態化。

信息系統受到的主要威脅有：敏感數據泄露篡改、合法權限濫用、帳號復用盜用、SQL注入、非法拖庫、非法運維、非法掃描探測、網絡系統攻擊、數據庫漏洞、木馬非法外連、0day/nday漏洞等等。

數據泄漏和篡改的主要原因有：未充分認識、未整體規劃，多工種各自為戰不能協同、缺乏有效內控合規防護措施，缺乏全局追溯取證能力。

從數據泄漏人員角度分析，監管單位或合作伙伴占比5%，內部人員泄漏占55%，黑客盜取占40%。

3 網絡信息安全的防范

3.1 建立網絡信息安全管理制度

（1）建立網絡信息安全組織架構。在管理策略上，建立網絡信息安全組織架構，建立信息安全規章制度和應急預案，落實安全責任制。在技術策略上，建立技術人員使用標準文檔、指南文檔和工作流程。在用戶策略上，建立用戶操作手冊和指導文檔，進行安全意識培訓。

（2）加強網絡安全體系架構建設。梳理網絡安全體系架構的整體布局，將對外提供服務的信息系統和服務器進行統一部署和統一防護，建立全面完備的網絡架構。

（3）完善信息網絡安全防護平臺和監管平臺建設。按照不同安全等級要求，采用分區域分層的安全防護建設原則，完善信息網絡安全防護平臺的建設。建設冗余網絡設施、實現服務器容災備份，增強安全防護能力建設。建設安全監管平臺，實現對信息系統和網絡中發生的異常安全事件進行統一安全監控。

（4）落實信息系統安全等級保護工作。按照有關文件要求，嚴格落實信息系統安全等級保護工作。網絡和信息系統全部進行定級備案，逐步完成等級保護測評工作。

（5）建設主動安全巡檢機制。對重要信息系統要進行定期安全檢測，對安全隱患早發現早處置。

3.2 完善網絡信息安全技術手段

3.2.1 web防火墻

Web防火墻可以通過對http請求的檢測分析，為Web應用提供實時防護的安全產品。Web防火墻（WAF）是Web Application Firewall的縮寫，能夠有效防黑客利用應用程序漏洞入侵滲透。

Web防火墻（WAF）的主要功能：可攔截常見的web漏洞攻擊，例如SQL注入攻擊 、XSS跨站攻擊、獲取敏感信息、利用開源組件漏洞的攻擊等常見的攻擊行為。

Web防火墻（WAF）可提供0Day/NDay漏洞防護。當發現有未公開的0Day漏洞，或者剛公開但未修復的NDay漏洞被利用時，Web防火墻（WAF）可以在發現漏洞到用戶修復漏洞這段空檔期對漏洞增加虛擬補丁，抵擋黑客的攻擊，防護網站安全。

3.2.2 防篡改

防篡改技術能夠對信息系統的頁面進行防篡改保護，被篡改后能夠自動恢復。保護信息系統內容安全，防止文件被惡意篡改，保障發布信息的正確性、完整性、權威性。

網頁防篡改系統由三個相互獨立的子系統構成，分別是監控端（Monitor）、發布端（Publisher）和管理平臺（Manager）。

監控端（Monitor）部署安裝在服務器上，用于監控網站文件是否被篡改，該監控程序會阻止對所保護文件的任意篡改行為。當有惡意行為發生時，及時向管理平臺上報告警事件。

發布端（Publisher）部署安裝在發布服務器上，當發布端內容更新維護時，依據發布策略，向指定的服務器進行自動的文件同步和更新；

管理平臺（Manager）是可通過瀏覽器訪問的web應用，為用戶提供方便、快捷的操作界面，主要功能用于管理信息系統和服務器、向服務器下發策略、展示告警件。

3.3 流量清洗

拒絕服務攻擊（DoS， Denial of Service）是指利用各種服務請求耗盡被攻擊網絡的系統資源，從而使被攻擊網絡無法處理合法用戶的請求。而隨著僵尸網絡的興起，同時由于攻擊方法簡單、影響較大、難以追查等特點，又使得分布式拒絕服務攻擊（DDoS，Distributed Denial of Service）得到快速壯大和日益泛濫。成千上萬主機組成的僵尸網絡為DDoS攻擊提供了所需的帶寬和主機，形成了規模巨大的攻擊和網絡流量，對被攻擊網絡造成了極大的危害。

通常情況下，網絡中的數據包利用TCP/IP協議傳輸，信息系統接受到的這些數據包遵循正常的協議規范，是無害的，但是如果出現過多的異常數據包，就會造成信息系統使用的網絡設備或者服務器負擔過重；或者有些數據包利用了某些協議的天然缺陷，人為的將不完整或畸形的數據包傳送給信息系統，就會造成網絡設備或服務器無法正常處理業務，迅速消耗了系統資源，造成拒絕服務，這就是DDoS的工作原理。DDoS攻擊之所以難以防范，就在于攻擊流和正常流混合在一起，很難有效地分辨出攻擊流。

4 結語

綜上所述，網絡信息安全防范不僅是一項復雜而又繁瑣的任務，同時還具有很重要的現實意義，必須要引起有關部門的高度重視。在實際工作中要嚴格按照相關標準進行規范性的操作，建立完善的安全管理制度和具體的防范技術，以此來保障網絡信息系統的安全運行。

參考文獻

[1]王新峰.計算機網絡安全防范技術初探[J].網絡安全技術與應用，2011：72.

[2]譚瑛.計算機網絡的安全威脅及其防御機制研究.電腦知識與技術，2009：35.

[3]STEVENS WRichard，TCP/IP詳解[M].機械工業出版社，2000：80.

[4]Douglas Jacobson，網絡安全基礎——網絡攻防、協議與安全.電子工業出版社出版，2016：135.

[5]Saadat Malik，網絡安全原理與實踐.人民郵電出版社出版時間，2013：98.endprint