網絡安全防護問題及措施應用

文/肖麗輝 張利明

隨著信息技術的不斷進步，信息系統已經成為單位辦公的主要載體，為業務辦理、溝通交流提供了規范、方便、快捷、高效的渠道。網絡安全一直是信息技術面臨的重要問題，計算機病毒、系統漏洞、網絡入侵等傳統網絡安全問題始終存在，云計算、移動辦公等新網絡環境下的網絡安全問題日益突出和復雜。面對網絡安全問題，只有構建多層次、多方位的立體防護體系，才能確保網絡信息的安全可靠。

1 網絡安全問題分析

1.1 計算機病毒

計算機病毒是最具代表性的惡意程序，能夠對計算機系統造成破壞性的影響，同時計算機病毒也具有較強的復制性，能夠在計算機之間進行轉移傳播。由于用戶計算機操作能力不同、操作習慣不同以及計算機病毒的不斷更新，其蔓延速度也有了極大的提高，對計算機的威脅不斷加強，必須采取有效的措施進行預防和清除。

1.2 系統漏洞

系統漏洞是在軟件編寫過程中產生的錯誤或缺陷，系統運行過程中發現了漏洞大多會被不斷修復，有一些漏洞未被發現或被少數人發現但沒有公開，容易被非法利用。漏洞會影響到的范圍很大，包括系統本身及其支撐軟件、應用軟件、網絡路由器和安全防火墻等。

1.3 網絡入侵

網絡入侵的形式多種多樣，如拒絕服務攻擊、字典攻擊、劫持攻擊等，入侵的手段也時刻發生著變化。軟件非法入侵者通過系統漏洞采用一些技術手段能夠入侵到系統后臺甚至數據庫，對網絡和信息安全產生極大的威脅。

此外，隨著云計算技術的發展和移動網絡的普及，網絡安全也面臨著新的問題:1.3.1 云計算環境下的安全問題

云服務環境下網絡邊界部分消失，傳統的劃分邊界的網絡安全防護方式已經不能適應云環境。大量的數據匯集，數據被損壞、篡改、泄露或竊取的風險加大。大量數據文件在第三方平臺中進行存儲與處理，其安全管理方面受到更大挑戰。

1.3.2 移動辦公環境下的安全問題

移動辦公是以便攜終端為載體實現的移動信息化系統。便攜式終端便于攜帶，帶離待定辦公場所仍可訪問內部數據，從物理上突破了空間的限制，在給使用人帶來便利的同時，也容易產生數據泄露。終端在與內部網絡進行數據交換時數據容易被通過外部截獲，如果不采取加密措施，就成為攻擊目標，嚴重威脅信息安全。

2 保障網絡安全的措施

2.1 物理級別

機房出入口應配置電子門禁系統，控制、鑒別和記錄進出的人員，設置機房防盜報警系統或設置有專人值守的視頻監控系統。機房配備空調、可持續電源等，為設備運行提供良好的溫度、濕度、電力保障。人員進出機房佩戴防塵裝備，保護設備免受灰塵影響。

2.2 網絡級別

2.2.1 做好網絡架構規劃

科學規劃網絡結構，將網絡劃分為核心區、運維管理區、安全保障體系區、辦公樓匯聚區等不同的子區域，并針對不同區域采用不同的安全策略，在區域之間采用防火墻等安全設備進行有效隔離。當網絡需要外聯時，采用前置機、邊界網關、VPN 技術等方式做好邊界安全防護。

2.2.2 完善基礎設施，傳統的網絡防護工具有防火墻、入侵檢測、防病毒軟件和漏洞掃描等

防火墻，部署于兩個不同網絡安全域之間，防火墻設置一定的安全規則，兩個安全域之間信息流通過防火墻過濾，不符合安全規則的數據將被拒絕通過。防火墻的訪問控制策略不僅要關注從外到內的防護，也要重視從內到外的控制，避免內部人員的對外輸送，便于掌握由內而外的異常情況。

防病毒系統，能夠根據病毒特征碼對病毒進行識別、隔離、查殺，是保護計算系統免受病毒入侵重要工具。防病毒系統既要在終端安裝，也要在服務器上安裝，虛擬化系統可在虛擬化底層統一安裝，提高效率。

入侵檢測，入侵檢測設備能夠對網絡流量進行細致的分析，部署于網絡流量入口，可以與防火墻聯合使用，幫助系統防御網絡攻擊。

漏洞掃描，能夠通過對主機、端口、數據庫等進行掃描，并根據漏洞數據庫對系統的安全脆弱性進行檢測。因為漏洞信息會不斷更新，需要定期對系統進行漏洞掃描，以獲取最新的漏洞信息。

2.3 主機級別

操作系統，對管理用戶登錄進行強身份鑒別，口令必須有一定的長度和復雜度，并定期更換，最好采取口令和密碼技術相結合的身份鑒別方式。操作系統補丁須定期更新。

數據庫和應用中間件，加強對數據庫和中間件的后臺管理，設置好安全基線，定期對數據庫和中間件進行版本升級或補丁修復。加強數據庫運維管理，建立數據庫運維的標準流程，防止數據庫管理員因為誤操作等原因而產生的數據丟失等。

2.4 數據級別

2.4.1 數據加密

明文數據在存儲和傳輸過程中一旦被非法獲取，就會導致數據泄露，加密后的信息數據即使在傳輸過程中被竊取或截獲，竊取者也無法破解信息數據的內容，能夠有效保障信息數據傳輸和存儲安全。在云計算環境和無線傳輸環境中數據加密尤為重要。數據加密特別要注意密鑰的產生、分配、保存、更換和銷毀等各個環節上的保密措施。

2.4.2 數據備份

（1）“在線數據”，這類數據需要時時在線查詢，一般存儲在硬盤等存儲設備上，需要采取備份手段防止數據丟失。“同城雙中心”能夠通過高速鏈路實現兩個數據中心的同步運行，一個數據中心出現問題，另一個數據中心可以實現即時接管。為進一步夯實備份基礎可以在異地的城市建立一個“異地災備中心”，用于“同城雙中心”的備份。

（2）“離線數據”。這類數據訪問頻次極低，結合國家政策要求，基于經濟性和安全性考慮，可采用光盤、磁帶等備份方式。

2.5 業務級別

2.5.1 身份認證與授權管理

針對不同的業務場景采取不同安全級別的身份認證方式，應采用口令、密碼技術、生物技術等兩種或兩種以上的鑒別技術對用戶進行身份認證，并且密碼技術是必不可少的。訪問控制的目的是對用戶訪問數據資源的權限進行嚴格的認證和控制。身份認證與授權管理系統是進行身份認證和訪問控制的基礎，能夠對業務系統關鍵、敏感操作提供抗抵賴功能，并對重要的數據進行簽名、加密，實現數據的完整性和機密性保護。SM2 橢圓曲線密碼算法是國密算法，在計算強度和保密強度上都遠遠勝于1024 位的RSA 公鑰密碼算法，能夠滿足技術進步、國家政策、安全形勢等方面的要求。

2.5.2 安全審計

健全審計系統是提高系統安全性的重要措施。通過記錄與審查用戶操作計算機及業務系統活動的過程，如用戶所使用的資源、使用時間、執行的操作等，能夠實現事后的可追溯。應對安全審計元進行身份鑒別，只允許通過特定的命令或操作界面進行安全審計，并對這些操作進行審計。

2.6 用戶級別

（1）加強安全教育，提高安全意識。網絡安全，人人有責，牢固樹立憂患意識，做到居安思危，增強對網絡安全重要性的認識，不僅學網、懂網，而且要安全用網，讓網絡安全入腦入心，織密織牢安全網。

（2）提升終端的技術防護能力。在計算機設備、移動設備等安裝客戶端安全監控系統等安全輔助軟件，幫助用戶建立良好的操作習慣，并實現網絡準入控制、違規外聯管理、移動存儲管理等。

2.7 制度級別

（1）完善網絡安全管理制度。制定和完善安全管理制度、操作規程和技術規范，網絡安全相關制度包括機房管理制度、巡檢制度、值班制度、應急管理制度、應用系統管理制度等。網絡安全制度要根據實際執行情況和相關管理要求不斷完善，以適應最新的管理需要。

（2）加強網絡安全制度執行落實。加強安全管理制度的學習、規程的培訓，全員簽訂網絡安全責任書，把網絡安全責任落實到每個崗位，定期組織網絡安全檢查，監督制度落實情況，確保網絡安全制度落到實處。

3 結語

信息化離不開網絡安全，網絡安全保障體系必須與信息系統同步規劃、同步建設、同步運行。網絡安全既要用好成熟的網絡安全防護技術，也要研究新環境下的網絡安全防護方法，從各個層面提高網絡的安全性。