信息網(wǎng)絡(luò)安全防護對策研究

張 好

（廣東省總隊網(wǎng)管中心，廣州 510660）

信息網(wǎng)絡(luò)安全防護對策研究

張 好

（廣東省總隊網(wǎng)管中心，廣州 510660）

信息網(wǎng)絡(luò)的安全是關(guān)系到網(wǎng)絡(luò)中傳輸?shù)男畔⑹欠衲軌蚝戏?、準確地進行傳輸，并為終端用戶提供應(yīng)用的關(guān)鍵。隨著信息網(wǎng)絡(luò)的快速發(fā)展，安全問題也隨之產(chǎn)生，如何保證網(wǎng)絡(luò)安全成為人們在利用信息網(wǎng)絡(luò)時不得不考慮的問題。本文對信息網(wǎng)絡(luò)和網(wǎng)絡(luò)安全面臨的主要威脅，提出信息網(wǎng)絡(luò)安全防護的具體措施。

信息網(wǎng)絡(luò)安全；安全防護；安全管控

信息網(wǎng)絡(luò)是信息獲取、傳遞和處理的中樞神經(jīng)系統(tǒng)，是保證各種信息數(shù)據(jù)完整可靠傳輸?shù)幕緱l件和主要平臺。在越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境下，信息網(wǎng)絡(luò)的安全面臨著嚴峻挑戰(zhàn)。信息網(wǎng)絡(luò)面臨的安全威脅主要有病毒和黑客入侵，進行竊取、干擾、篡改等。為有效保障信息網(wǎng)絡(luò)安全穩(wěn)定運行，應(yīng)加強信息網(wǎng)絡(luò)安全管控，及時解除信息網(wǎng)絡(luò)安全面臨的威脅。

1　信息網(wǎng)絡(luò)安全面臨的威脅

1.1 信息網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)安全方面

一是主動攻擊。其目的是破壞系統(tǒng)中數(shù)據(jù)的完整性，它是攻擊人有意發(fā)出的行為，并且往往不會留下技術(shù)痕跡。主要方式是：在進入系統(tǒng)時，通常采用“合法用戶”的身份，刪除放在記錄中的數(shù)據(jù)，使有用的數(shù)據(jù)被無意義的數(shù)據(jù)代替，非法篡改數(shù)據(jù)，并將非法指令加入到程序中，從而使計算機在執(zhí)行原定任務(wù)的過程中，執(zhí)行非法功能。二是被動攻擊。竊取系統(tǒng)中的機密數(shù)據(jù)。主要表現(xiàn)為：竊聽、破譯、分析在網(wǎng)絡(luò)上傳輸?shù)男畔?；非法偷閱存儲在信息網(wǎng)絡(luò)數(shù)據(jù)庫中的數(shù)據(jù)；以合法存取數(shù)據(jù)的方法為手段，將數(shù)據(jù)傳輸給非合法用戶；以通過合法途徑獲得的具有緊密聯(lián)系的統(tǒng)計數(shù)據(jù)為依據(jù)，推斷其他數(shù)據(jù)等。

1.2 在信息網(wǎng)絡(luò)本身的安全方面

信息網(wǎng)絡(luò)本身的安全威脅，主要是使網(wǎng)絡(luò)的正常運行受到破壞而非竊取機密信息。這種破壞通常主要分為兩個方面：一是軟殺傷，通常表現(xiàn)為以計算機病毒為手段來破壞網(wǎng)絡(luò)系統(tǒng)，攻擊系統(tǒng)的關(guān)鍵節(jié)點，導(dǎo)致系統(tǒng)的主服務(wù)器癱瘓；在設(shè)計和開發(fā)軟件的過程中，故意設(shè)置某種缺陷，從而使系統(tǒng)功能不能正常執(zhí)行。二是硬殺傷，通常表現(xiàn)為以各種人為破壞手段攻擊信息網(wǎng)絡(luò)及周圍的設(shè)備、網(wǎng)絡(luò)線路等。

1.3 在網(wǎng)絡(luò)系統(tǒng)人員安全方面

作為一個巨大的人機交互系統(tǒng)，在信息網(wǎng)絡(luò)系統(tǒng)中人員安全因素有著事關(guān)全局的作用。人為因素主要體現(xiàn)在以下幾個方面：通過滲透我方情報機構(gòu)來攻擊；攻擊和策反我方系統(tǒng)管理人員，通過系統(tǒng)值班員、掌握核心技術(shù)秘密的人員來攻擊我方系統(tǒng)的安全；存在于系統(tǒng)合法用戶中的瀆職行為以及不法行為等。

2　信息網(wǎng)絡(luò)安全防護對策

2.1 邊界安全防護

網(wǎng)絡(luò)邊界安全是網(wǎng)絡(luò)與信息安全的基礎(chǔ)。為了保護系統(tǒng)安全，抵制非法入侵，要應(yīng)用先進技術(shù)手段，采取有效措施，及時查找外界安全隱患，彌補漏洞和不足。主要技術(shù)措施包括防火墻、可信傳輸、網(wǎng)絡(luò)隔離和安全檢查等。

2.1.1 安裝防火墻

在網(wǎng)絡(luò)出口處安裝防火墻，嚴格按照規(guī)則進行配置，默認規(guī)則為禁止，嚴禁開放TCP/UDP協(xié)議的有關(guān)端口，利用防火墻的“?；饏^(qū)”對終端進行分類，從而使處理絕密、機密、級信息終端得到更好保護。

2.1.2 實施可信傳輸

一是對于鏈路層加密設(shè)備，利用置換和變換的方法將信息轉(zhuǎn)化為密文，每隔一個月對設(shè)備進行維護和測試。二是對整個網(wǎng)絡(luò)層加密設(shè)備進行規(guī)劃，區(qū)分密級網(wǎng)段和非密級網(wǎng)段，對密級網(wǎng)段進行數(shù)據(jù)加密傳輸，并禁止密級網(wǎng)段與非密級網(wǎng)段進行數(shù)據(jù)通信。

2.1.3 進行網(wǎng)絡(luò)隔離

利用網(wǎng)絡(luò)隔離設(shè)備阻斷網(wǎng)絡(luò)層互連，通過安全控制設(shè)計只允許具有指定應(yīng)用傳輸協(xié)議的報文通過，并在密級要求較高、業(yè)務(wù)流相對固定單位使用。如軍隊中的機動指揮網(wǎng)、雷達情報探測網(wǎng)、武器平臺系統(tǒng)、專用業(yè)務(wù)處理網(wǎng)等間接用戶接入軍隊專網(wǎng)時，要通過安全隔離網(wǎng)關(guān)實施網(wǎng)絡(luò)隔離和安全控制。

2.2 終端安全防護

終端防護是安全防護體系中的末端，也是安全防護的重點。一方面，網(wǎng)絡(luò)終端是網(wǎng)絡(luò)操作的起點，通過網(wǎng)絡(luò)終端用戶可以登錄并訪問網(wǎng)絡(luò)，透過內(nèi)網(wǎng)訪問外網(wǎng)，訪問應(yīng)用系統(tǒng)和產(chǎn)生數(shù)據(jù)。另一方面，網(wǎng)絡(luò)終端也是許多安全事件的源頭，如病毒攻擊、從網(wǎng)絡(luò)內(nèi)部發(fā)起惡意攻擊和內(nèi)部保密數(shù)據(jù)盜用或失竊等。因此，要維護信息網(wǎng)絡(luò)安全穩(wěn)定，消除安全威脅，必須加強網(wǎng)絡(luò)終端防護。

2.2.1 檢測查殺病毒

一是在主機系統(tǒng)上部署網(wǎng)絡(luò)版防病毒軟件，接受全網(wǎng)統(tǒng)一管理、建立病毒疫情統(tǒng)一實時監(jiān)控、病毒查殺策略統(tǒng)一管理、病毒特征庫統(tǒng)一升級的網(wǎng)絡(luò)防病毒體系。二是為保障導(dǎo)入數(shù)據(jù)的安全，配置專門的病毒查殺終端，部署兩種以上殺毒軟件，對需要導(dǎo)入系統(tǒng)的載體進行離線查殺。

2.2.2 安全加固補丁

利用補丁自動分發(fā)系統(tǒng)，通過聯(lián)網(wǎng)方式對網(wǎng)絡(luò)主機操作系統(tǒng)和基礎(chǔ)工具軟件分發(fā)最新補丁，及時修補已知漏洞。

2.2.3 訪問控制

一是用戶登錄控制。將身份認證設(shè)備與操作系統(tǒng)登錄機制緊密結(jié)合，實現(xiàn)基于用戶身份認證設(shè)備的主機登錄控制。二是用戶權(quán)限限制。限制用戶在終端上的操作使用權(quán)限，防止用戶無意或者故意對終端環(huán)境進行破壞性操作。三是外設(shè)訪問控制，在文件驅(qū)動層截獲外設(shè)訪問的系統(tǒng)調(diào)用，根據(jù)訪問規(guī)則對外設(shè)拷貝行為進行審計與控制，防范從主機拷出涉密文件，或?qū)⒐艄ぞ呋虿《究饺胫鳈C的行為。四是網(wǎng)絡(luò)訪問控制。嚴格控制主機上各應(yīng)用程序所使用的網(wǎng)絡(luò)通信協(xié)議、端口號，杜絕網(wǎng)絡(luò)攻擊和越權(quán)訪問行為發(fā)生。五是非法外聯(lián)監(jiān)控。對用戶通過撥號等方式試圖連接到外部網(wǎng)絡(luò)的行為進行審計與控制，防止由于外聯(lián)行為而造成的泄密事件發(fā)生。

2.2.4 移動存儲安全保護

主機之間利用具備強制審計功能的專用安全U盤進行數(shù)據(jù)交換，實現(xiàn)對用戶移動存儲介質(zhì)的安全管理和安全審計。安全U盤具備文件操作記錄、主機特征記錄、U盤授權(quán)控制、審計日志管理、違規(guī)操作定位等功能，能夠保證移動存儲介質(zhì)數(shù)據(jù)操作的可追蹤、可審計。

2.2.5 數(shù)據(jù)庫安全防護與安全審計

通過數(shù)據(jù)庫安全防護系統(tǒng)，建立對數(shù)據(jù)庫授權(quán)控制、訪問審計等安全機制。對于安全性要求更高的數(shù)據(jù)庫應(yīng)用系統(tǒng)，要采用自主知識產(chǎn)權(quán)的安全防護數(shù)據(jù)庫，保障核心數(shù)據(jù)安全。

2.2.6 信息管控

要安裝相應(yīng)軟件，對信息的擁有者、使用者進行行之有效的認證，生成日志文件，以防止內(nèi)部泄露信息。

2.3 信息網(wǎng)絡(luò)安全管控

為預(yù)防和監(jiān)控網(wǎng)絡(luò)攻擊行為，要對用戶上網(wǎng)行為、設(shè)備運行狀態(tài)、網(wǎng)絡(luò)信息資源進行有效監(jiān)控和管理，把信息網(wǎng)絡(luò)安全威脅降到最低、保證網(wǎng)絡(luò)正常運行。信息網(wǎng)絡(luò)安全管控是網(wǎng)絡(luò)安全防護工作的第一道關(guān)卡，通過這道關(guān)卡可及時阻截危險行為，發(fā)現(xiàn)攻擊、非法信息發(fā)布、病毒侵犯等行為，將安全事件造成的影響降低到最小。

2.3.1 信息審計

信息審計系統(tǒng)應(yīng)緊跟形勢，不斷完善敏感詞庫。同時，安全值勤人員必須加大審計力度，做到非法信息及時發(fā)現(xiàn)、及時處理。

2.3.2 入侵檢測

入侵檢測系統(tǒng)負責(zé)管理監(jiān)測骨干線路傳輸?shù)臄?shù)據(jù)，對當(dāng)前系統(tǒng)資源和狀態(tài)進行監(jiān)控，檢測可能的入侵行為，利用入侵者留下的痕跡來有效發(fā)現(xiàn)來自內(nèi)部和外部的非法入侵，是一種主動防御，它能在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行檢測，從而提供對內(nèi)、外部攻擊的實時保護。

2.3.3 人員管理

一是要加強用戶單位內(nèi)部管理，建立合理、規(guī)范的網(wǎng)絡(luò)安全管理系統(tǒng)，對用戶人員要明確不同崗位的不同權(quán)限。二是要結(jié)合機房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個方面的安全問題，如采用屏蔽措施降低電磁輻射等提高整體網(wǎng)絡(luò)安全意識。三是要加強人員業(yè)務(wù)、技術(shù)培訓(xùn)，提高操作技能；定期對信息數(shù)據(jù)進行備份，減少敵方攻擊造成的損失。四是教育工作人員嚴格遵守操作規(guī)程和各項保密規(guī)定，嚴防人為事故的發(fā)生。

3　結(jié) 語

信息網(wǎng)絡(luò)的安全防護需要從邊界防護、終端防護、安全管控等多個方面來考慮，每個防護手段都針對不同的信息網(wǎng)絡(luò)安全威脅，側(cè)重點各有不同。因此，必須全面考慮、合理運用防護措施才能實現(xiàn)信息網(wǎng)絡(luò)邊界可靠、終端可信、秩序可控的安全防護目標，為信息網(wǎng)絡(luò)系統(tǒng)建設(shè)與運用提供安全保障。

10.3969/j.issn.1673 - 0194.2016.10.100

TP393.08

A

1673-0194（2016）10-0143-02

2016-04-20