論運維工作中的網(wǎng)絡(luò)入侵防御

◆趙 霞 梁 偉 鄭 群

?

論運維工作中的網(wǎng)絡(luò)入侵防御

◆趙 霞 梁 偉 鄭 群

（中國聯(lián)通河南省分公司 河南 450003）

隨著互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)安全問題日益成為國際社會的焦點問題，關(guān)系著國家安全、社會穩(wěn)定、企業(yè)利益、個人權(quán)益。在日常網(wǎng)絡(luò)信息系統(tǒng)的網(wǎng)絡(luò)安全工作中，做好網(wǎng)絡(luò)入侵防御對于網(wǎng)絡(luò)信息安全工作至為重要。本文主要闡述了網(wǎng)絡(luò)入侵的概念以及在實際網(wǎng)絡(luò)安全運維中做好網(wǎng)絡(luò)入侵防護的主要手段和措施，以提升網(wǎng)絡(luò)信息單元的整體網(wǎng)絡(luò)安全技術(shù)運維思路和做好網(wǎng)絡(luò)安全落實工作。

網(wǎng)絡(luò)安全；入侵防御；技術(shù)措施

0 前言

當今社會，互聯(lián)網(wǎng)已深入工作生活的各個方面，網(wǎng)絡(luò)安全問題涉及到國家安全、社會穩(wěn)定、以及企業(yè)與個人利益等多個方面。隨著《網(wǎng)絡(luò)安全法》的頒布，網(wǎng)絡(luò)安全問題上升到了國家法律高度，網(wǎng)絡(luò)安全成為運維工作中重要的一部分。通過研究運維工作中的網(wǎng)絡(luò)入侵防御措施，以達到做好網(wǎng)絡(luò)安全防護的目的。

1 研究背景

1.1 網(wǎng)絡(luò)安全

“網(wǎng)絡(luò)安全，是指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。”---《網(wǎng)絡(luò)安全法》

網(wǎng)絡(luò)安全的目的包括“網(wǎng)絡(luò)運行安全”和“網(wǎng)絡(luò)數(shù)據(jù)安全”兩個方面。

1.2 網(wǎng)絡(luò)入侵

網(wǎng)絡(luò)入侵，一般是指通過計算機、網(wǎng)絡(luò)等技術(shù)手段，獲得非授權(quán)的網(wǎng)絡(luò)訪問或系統(tǒng)控制的能力，從而達到侵害、干擾他人網(wǎng)絡(luò)系統(tǒng)的行為。

從信息安全的角度，網(wǎng)絡(luò)入侵的危害包括影響信息系統(tǒng)的保密性、完整性、可用性等。

2 網(wǎng)絡(luò)入侵防御

2.1 網(wǎng)絡(luò)入侵分析

網(wǎng)絡(luò)入侵行為可分為三個階段：首先確定入侵對象，然后是獲取非法權(quán)限、最后是危害網(wǎng)絡(luò)安全。

入侵對象包括網(wǎng)絡(luò)設(shè)備、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫等。

網(wǎng)絡(luò)入侵的方法有嗅探、監(jiān)聽、掃描、爬找、接觸等手段以獲取可利用資源，分析利用漏洞進行入侵。

其危害行為包括破壞網(wǎng)絡(luò)系統(tǒng)、篡改竊取信息、發(fā)布虛假信息、進行網(wǎng)絡(luò)欺詐、跳板攻擊等。

從網(wǎng)絡(luò)運維層面，做好網(wǎng)絡(luò)入侵防御主要從網(wǎng)絡(luò)架構(gòu)設(shè)計、系統(tǒng)安全加固、網(wǎng)絡(luò)安全運維三個方面開展。

2.2 網(wǎng)絡(luò)架構(gòu)設(shè)計

網(wǎng)絡(luò)安全規(guī)劃是一套網(wǎng)絡(luò)系統(tǒng)在建設(shè)及使用中需要重點考慮的問題之一。主要涉及以下幾個問題：

系統(tǒng)是否需要提供互聯(lián)網(wǎng)訪問服務(wù)；

如何確定網(wǎng)絡(luò)系統(tǒng)的邊界；

邊界安全采用那些安全措施；

內(nèi)網(wǎng)如何劃分安全域；

內(nèi)外網(wǎng)接入管理措施。

下面針對這幾個問題分別進行討論。

（1）系統(tǒng)是否提供互聯(lián)網(wǎng)訪問

互聯(lián)網(wǎng)分訪問三種情況，一種是提供網(wǎng)站域名服務(wù)，一種是非域名的內(nèi)部業(yè)務(wù)網(wǎng)站，再有就是系統(tǒng)接口及維護端口。從安全性的角度，網(wǎng)絡(luò)系統(tǒng)向互聯(lián)網(wǎng)開放的資源越多，網(wǎng)絡(luò)系統(tǒng)存在被入侵的風險就越大。所以，應(yīng)用系統(tǒng)在上線時需要確定是企業(yè)組織內(nèi)部使用，還是面向互聯(lián)網(wǎng)公眾提供服務(wù)，或者是在互聯(lián)網(wǎng)上提供有限訪問，這是網(wǎng)絡(luò)信息系統(tǒng)在安全架構(gòu)設(shè)計或安全運維優(yōu)化時的關(guān)鍵問題。

（2）確定網(wǎng)絡(luò)系統(tǒng)的邊界

一般情況下，網(wǎng)絡(luò)系統(tǒng)的邊界包含以下幾個因素：網(wǎng)絡(luò)接入互聯(lián)網(wǎng),核心網(wǎng)絡(luò)區(qū)與遠端網(wǎng)絡(luò)區(qū),網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的接口,網(wǎng)絡(luò)與訪問終端。

從以上幾點分析，非核心區(qū)域設(shè)備對核心區(qū)域的訪問通過邊界網(wǎng)絡(luò)安全措施進行防護，從而達到保障核心網(wǎng)絡(luò)安全的目的。在實際環(huán)境中，網(wǎng)絡(luò)邊界的劃分和內(nèi)網(wǎng)管理容易混淆。

（3）邊界安全措施。

網(wǎng)絡(luò)的邊界根據(jù)網(wǎng)絡(luò)系統(tǒng)的級別及風險可相應(yīng)配備防火墻、入侵檢測、入侵防御、流量清洗、防病毒、日志審計、信息過濾、堡壘機、網(wǎng)閘、WAF、VPN、白名單等措施。良好的邊界安全措施對網(wǎng)絡(luò)入侵行為有明顯的防御效果，可隔離絕大多數(shù)的網(wǎng)絡(luò)入侵攻擊行為。

（4）內(nèi)網(wǎng)安全域的劃分

內(nèi)網(wǎng)在這指除核心網(wǎng)絡(luò)區(qū)外組織內(nèi)部可控的網(wǎng)絡(luò)區(qū)域。

由于內(nèi)網(wǎng)存在不同的業(yè)務(wù)性質(zhì)或者接入人員的復(fù)雜性等問題，需要在內(nèi)網(wǎng)劃分不同的安全域進行訪問控制。一般內(nèi)部域可劃分為業(yè)務(wù)辦公域、維護終端域、客戶訪問域等，不同域之間設(shè)置不同的訪問策略，從低安全等級的域向高安全等級的域訪問嚴格受控。安全域的劃分可通過劃分VLAN隔離、IP組策略等方法實現(xiàn)。

（5）網(wǎng)絡(luò)接入管理

網(wǎng)絡(luò)接入管理的作用主要是減少網(wǎng)絡(luò)系統(tǒng)的暴露面、使網(wǎng)絡(luò)接入處在可控的范圍內(nèi)。如采用VPN接入、設(shè)置訪問白名單、IP綁定MAC地址等。

2.3 系統(tǒng)安全加固

系統(tǒng)的安全加固對降低網(wǎng)絡(luò)入侵風險有很重要的作用。系統(tǒng)安全加固主要有系統(tǒng)安全防護及信息數(shù)據(jù)的防護，包括信息資產(chǎn)管理、安全基線及加固、認證與權(quán)限管理、日志留存及審計、數(shù)據(jù)保護措施、冗余備份方案等。

（1） 信息資產(chǎn)管理及等級保護

在網(wǎng)絡(luò)系統(tǒng)中確定系統(tǒng)資源是做好系統(tǒng)安全重要的基礎(chǔ)工作，網(wǎng)絡(luò)系統(tǒng)資源包括網(wǎng)絡(luò)中運行的服務(wù)器、終端、操作系統(tǒng)、應(yīng)用系統(tǒng)、管理和使用系統(tǒng)的人員、系統(tǒng)中的信息數(shù)據(jù)等。根據(jù)系統(tǒng)的重要性及影響進行網(wǎng)絡(luò)信息系統(tǒng)等級保護，一般指信息系統(tǒng)安全等級備案和電信網(wǎng)絡(luò)單元定級備案。

（2） 漏洞與安全基線

對網(wǎng)絡(luò)中的系統(tǒng)資源進行安全基線的設(shè)置及定期的漏洞掃描、升級系統(tǒng)補丁是做好網(wǎng)絡(luò)系統(tǒng)安全最基本的要求，并盡量做到服務(wù)、端口等資源的最小化管理。

（3） 認證與權(quán)限管理

要充分考慮系統(tǒng)帳戶、應(yīng)用帳戶、數(shù)據(jù)庫賬戶、信任關(guān)系的設(shè)置以及使用規(guī)范等多個方面，重視默認賬戶、弱口令、權(quán)限分配的管理與稽核工作等。

（4） 日志留存及審計。

網(wǎng)絡(luò)系統(tǒng)中存在訪問日志、操作日志、系統(tǒng)日志、網(wǎng)絡(luò)防護日志等。要做好日志留存工作，并加強日志審計，可有效提升入侵狀態(tài)的檢測及入侵事件的回溯水平。

（5） 信息數(shù)據(jù)保護

現(xiàn)在不管是內(nèi)網(wǎng)、wifi、互聯(lián)網(wǎng)都存在被通信監(jiān)聽的可能，黑客通過通信監(jiān)聽可獲得賬戶、密碼等重要信息，給企業(yè)、個人的安全帶來威脅。采取通信加密是現(xiàn)階段做好網(wǎng)絡(luò)安全防護的重要手段，如采用SSL、IPSEC、HTTPS等。

重要信息數(shù)據(jù)保護包括加密存儲和數(shù)據(jù)安全。加密數(shù)據(jù)存儲指采用加密交換機、存儲層加密等。而數(shù)據(jù)安全包括重要文檔資料安全和數(shù)據(jù)庫數(shù)據(jù)安全等，如采用文檔加密、字段加密、脫敏傳輸?shù)?。通過采取信息數(shù)據(jù)保護措施，可有效降低重要信息數(shù)據(jù)泄漏風險。

（6） 冗余與備份

網(wǎng)絡(luò)冗余、服務(wù)冗余、存儲冗余、系統(tǒng)備份、應(yīng)用備份、容災(zāi)中心，以及重要數(shù)據(jù)的在線備份、離線備份等措施可應(yīng)對一定的網(wǎng)絡(luò)安全風險。良好的數(shù)據(jù)備份策略及應(yīng)急方案可很好的提升網(wǎng)絡(luò)入侵危害的應(yīng)對能力。

2.4 網(wǎng)絡(luò)安全運維

網(wǎng)絡(luò)安全運維能力是網(wǎng)絡(luò)安全持續(xù)性的保障，在網(wǎng)絡(luò)安全運維工作中，防范網(wǎng)絡(luò)入侵，要做好以下幾點工作：

（1） 增強網(wǎng)絡(luò)安全防范意識和處置能力

做好網(wǎng)絡(luò)安全運維工作離不開運維人員網(wǎng)絡(luò)安全防范意識和處置能力，通過培訓教育、明確職責、細化日常網(wǎng)絡(luò)安全工作、加強應(yīng)急演練是做好網(wǎng)絡(luò)入侵防御工作的重要一環(huán)。

（2） 做好安全風險評估及整改

重視定期的網(wǎng)絡(luò)系統(tǒng)安全檢查、風險評估工作，及時采取網(wǎng)絡(luò)優(yōu)化、系統(tǒng)加固等措施，促使網(wǎng)絡(luò)安全性得到整體性提高。

3 結(jié)論

本文從網(wǎng)絡(luò)安全運維角度，闡述了做好網(wǎng)絡(luò)入侵防御工作在網(wǎng)絡(luò)規(guī)劃、系統(tǒng)加固及運維工作等方面中需要注意的一些原則和問題，以做好網(wǎng)絡(luò)安全“進不來、拿不走、看不懂、改不了”的目的，促進網(wǎng)絡(luò)安全運維工作的落實，提升網(wǎng)絡(luò)安全防護水平。

[1]吳世忠等.信息安全技術(shù)[M].北京：機械工業(yè)出版社，2014.

[2]吳世忠等.信息安全保障導論[M].北京：機械工業(yè)出版社，2014.