新形勢下的網絡信息安全運維策略

胡楠

天津市急救中心 天津 300011

引言

隨著信息技術的不斷發展，計算機網絡管理功能不斷擴充，在新的形勢背景下，做好計算機信息安全管理具有重大的價值意義。為了加強計算機的安全運維管理，不僅要研發新型的管理系統，還要增添安全服務功能，確保制定完好的保密措施。大多數的安全管理工作都需要人力維護，并不能完全依賴計算機系統，因此，自動化安全保障并未完全普及。在電子信息技術高度發達的區域，信息的安全性時刻受到威脅，做好安全運維與管理工作勢在必行。

1 網絡信息安全運維的價值

當前時期，我國各個行業的信息管理及信息保護已經成為計算機管理系統中的重要模塊，在新的信息管理背景下，大數據信息安全問題愈加受到人們重視，人們開始采用新型的管理措施對系統做好維護[1]。信息系統的安全性不僅僅關乎于本身系統的實際運作，還與國家以及行業的發展具有聯系，其涉及多方面的事情。隨著信息技術的不斷發展，國內的信息安全已經十分重要，故對應的管理部門要增強所獲取信息的機密性、完整性以及真實性，開發和引進新型的技術，定期做好信息系統安全維護，確保信息管理的高效性與可用性。

2 網絡信息安全防護裝置

2.1 隔離裝置內容

安全隔離裝置主要用于用于安全區不同區域之間的信息單向傳輸。

2.2 正向隔離裝置功能

正向安全隔離裝置主要有以下幾個功能：

2.2.1 實現不同安全區域之間的非網絡信息安全數據信息交換，確保安全隔離裝置內部與外部處理系統不同時依舊可以通過展示層以及應用層進行數據單向傳遞，即從安全一區傳遞的安全二區，此時的TCP應當禁止攜帶任何應用數據[2]。

2.2.2 正向隔離裝置的工作方式屬于透明化，主要包括兩種，即為虛擬主機IP地址、隱藏MAC地址。

2.2.3 基于傳輸端口等可以做好信息的綜合防控以及過濾，增強訪問量控制數量，防止穿透性的TCP快速連接，在兩個應用端口之間建立起直接進的TCP連接渠道，將內外兩個應用網關的TCP連接分為應用網關的管理裝置。除此之外，還需要將隔離裝置內外兩個網卡之間的TCP虛擬連接渠道升級，實現內部兩個網卡之間的非網絡連接，并且設置數據的單向傳輸模式。

2.3 反向隔離裝置功能

反向安全隔離裝置主要是指從安全二區向安全一區傳遞信息，這是傳遞信息的唯一渠道。若是想要接受信息必須做好簽名驗證、內容過濾以及有效性檢查等操作，將相關的管理程序轉發到安全二期的內部群中，實現接收程序的具體化以及實名化[3]。

3 網絡信息安全管理內容

3.1 日常維護性工作

3.1.1 核心系統與關鍵服務器是指全網絡中的服務器其承載著重要的信息，有些甚至含有機密性信息。一旦奔潰會導致整個信息系統受到嚴重影響，或許會有一些病毒乘虛而入，這容易導致整個設備漸漸潰敗。

3.1.2 系統應急與演練是指根據關鍵系統以及服務器中的應急方案對應用系統進行及時監測演練，依據所形成的報告做好綜合分析，確保所有平臺以及系統服務器都會有機會輪換檢測，至少每年一次。

3.1.3 備份管理。網絡信息中的數據信息需要及時做好備份，以此防止信息的丟失以及數據保存，其屬于網絡信息安全運維管控的主要內容，主要包含對數據和應用裝置的備份。數據備份是指針對各種類別的系統配置做好指定性的數據備份，定時存儲數據備份信息，避免離線備份數據在當前所使用的數據丟失、損壞以及無意刪除之后可恢復使用。系統在備用站點進行數據備份管理時，需要對主要系統中存有的關鍵數據進行鏡像備份，以此確保對應用的備份數據的業務控制，確保管理的優質化以及合理化[4]。

3.1.4 故障管理。網絡信息中的數據運維管控需要構建有效的信息化服務系統故障處理規范，確保系統在出現異常后可配置專業管理者按照流程進行故障報修以及運維處理，確保在故障解決之后有對應解決措施，將管理記錄做好。

3.1.5 上線管理。設備在接入到網絡端口中，安全問題是最為主要的問題。為了進一步確保設備運營的安全性，設備在接入外網時要配置防病毒和防信息泄露系統，及時做好線上溝通以及定時系統更新。一線程序員要及時對設備的安全等級進行評級，做好安全裝置的加固。為了進一步的防止系統上線之后對設備產生不利影響，在信息發布之前需要對系統的應用站點、數據庫信息、后臺服務服務體系等做好安全性評估，確保系統正式運行之前對系統的模擬測試運行做好維護，且整體運行測試要持續一周以上。

3.1.6 防病毒功能。服務器在運行之后需要定期進行檢查以及維護，及時將一些高危漏洞填補，確保每一個季度對服務器做全面化掃描管理，購置以及設計統一的應用服務器，定期或者不定期聘請專業人員對高危漏洞進行處理，及時升級系統，將系統升級記錄導出。

3.1.7 核心系統與關鍵服務器日志審計。在網絡信息安全運維中，要在不同層次內做好多環節把控，確保操作系統層面、數據層面都增添了日志審計功能，相關日志內容保留在一年以上，關聯操作者的身份，確保管理者可以及時查閱每一個用戶的日志，避免日志內容的信息泄露，定期審計操作者的行為記錄是否存在異常。在檢查日志時，還要對日志中存在的關鍵性信息以及應用程序做好記錄，確保日志的準時審定。

3.1.8 防止信息外泄。在網絡信息安全運維中，要對所有的核心信息進行全面化的界定以及處理，將該范圍內的賬號密碼以及操作記錄等做好安全加密。

3.2 系統性的訪問控制

3.2.1 賬號與密碼管理。對于進入服務系統的賬號以及使用的密碼必須要及時做好加密審核工作，靈活變更賬號密碼，將一些信息快速且頻繁更換，有利于增強密碼的復雜性。一般來說，密碼在初始設定時，其長度和形式存在要求，主要由數字符號和字母組成，且定期更換。

3.2.2 遠程訪問。遠程訪問不得促銷互聯網訪問的工作，系統和基礎服務器的遠程訪問需要強制性要求他經過內部的VPN、SS1等結構。

4 網絡信息安全運維管控舉措

4.1 避免服務器設備部件的缺失

在網絡信息安全運維管控中，需要避免服務器設備部件的缺失，及時采購一些應急性的零部件作為物資儲存。為了進一步保障服務器遭受損壞，需要嚴格按照服務器的開發流程進行操作，不可強制性開關電源。一旦發生嚴重性故障，可以采取應急措施，將電源關閉之后再更換服務器設備。若是短時間內無法恢復服務器的運行狀態，可根據實際的操作環境考慮正常運行節點的降維運行，利用備用服務器搭建臨時性的操作環境，為恢復使用服務器奠定基礎。

4.2 減少系統操作故障

在網絡信息安全運維管控中，需要根據實際情況減少系統的實際操作了故障。按照操作系統說明流程進行系統操作。對于數據庫運行過程中出現的一般性故障，需要將該種情況上報給運維工程師，并要求工程師反饋何時可進行在操作。若是運維工程師無法解決，則需要按照各個數據庫平臺所要求的文檔模式重新填充信息。

4.3 定期檢查維護硬件設備

對于硬件設備設施的維護管理主要包括基礎終端、服務器、計算機、打印機等等，這樣的維護工作也需要由專人進行開展，負責定期對不同的設備進行檢查保養，定期在后臺進行數據病毒的查殺以及整理。同時相關工作人員還應當設置故障登記表或是設備檢修表，便于后期高效的開展管理工作，通過這樣的方式盡可能減少潛在風險，確保所有設備設施均處于最佳運行狀態。

5 加強網絡信息安全的策略

5.1 確保網絡結構安全

網絡安全體系結構是由硬件網絡、通信軟件以及操作系統組成的，用戶通過使用路由器、交換機、集線器等網絡設備，搭建自己的通信網絡。網絡安全通常是指網絡系統中的硬件、軟件要受到保護，不能被更改、泄露和破壞，確保整個網絡能夠穩定運行，信息傳送能夠維持完整性。網絡結構安全涉及網絡硬件、通信協議、加密技術等領域。 確保網絡結構安全要做好以下幾方面的工作。①按保密網、內部網和公用網進行分類建設，采用物理上絕對分開、各自獨立的體系結構，并劃分網絡信息安全邊界。②對信息進行分類，以便匹配保密網、內部網和公用網，實行上網機器與辦公機器分離，內部信息及涉密信息嚴禁上網。③建設專用屏蔽機房和低信息輻射泄露網絡，配置網絡安全防火墻，配備低信息輻射泄露單機。④對信件及文件按涉密等關鍵詞組檢索進行檢查，防止無意識泄密，起到威懾作用。⑤對各種網絡設備、操作系統、應用軟件進行安全掃描。⑥保護知識產權、內部資料、保密信息，攔截黃毒信息。⑦通過源地址和目標地址的流量、數據包類型等多途徑進行網絡大數據分析，發現網絡行為的必然聯系。

5.2 確保網絡設備安全

確保網絡設備安全要做好以下幾方面的工作。①定期更新網絡設備補丁，確保設備無安全隱患。②禁用路由器交換機Web管理頁面。③所有網絡設備全部嚴格按照安全基線進行安全配置。禁用Telnet進行遠程管理；SNMP僅允許相關網管系統受限讀取配置；嚴格管控管理員賬號和權限，關閉不必要的賬號權限，口令強度符合安全基線要求；限制可遠程管理的IP地址。④管控所有網絡設備及安全設備的策略，刪除無用策略，保證安全防護策略有效運行。⑤網絡設備及安全設備配置備份，并確保備份的配置有效和可恢復。

5.3 確保數據庫系統安全

確保數據庫系統安全要做好以下幾方面的工作。①定期檢查更新數據庫管理系統、中間件、應用服務器的補丁，確保系統安全。②梳理數據庫管理系統賬號，清除非必要的管理賬號，清理因系統開發、測試等原因產生的閑置賬號。③定期檢查口令強度和口令變更情況，禁用弱口令、空口令賬號。④定期檢查數據庫備份策略，驗證數據備份的有效性。⑤定期檢查用戶的數據訪問控制權限。

6 結束語

綜上所述，現階段國家越來越重視新形勢下網絡信息安全運維工作。為了進一步提升網絡信息安全運維質量，需要根據實際情況增強信息安全運維管控工作，強化安全防護設施設備構建，制定對應的應急管理舉措以及安全管理方案，推動信息安全的運維管控，合理掌控所識別的安全運維信息，對事前以及事中情況詳知，助推安全運維工作的順利開展。