廣泛于外網(wǎng)終端數(shù)據(jù)安全防護(hù)

黃慧 高源 丁頁頂 季奧穎 柳偉

（國(guó)網(wǎng)浙江電力有限公司麗水供電公司 浙江省麗水市 323000）

1 郵件傳輸防護(hù)研究

電子郵件屬于數(shù)據(jù)信息的主要載體，承載著大量有價(jià)值的數(shù)據(jù)、資料，進(jìn)入大數(shù)據(jù)時(shí)代后，企業(yè)郵件數(shù)據(jù)價(jià)值比之以往更高，如果郵箱資料被盜取，將會(huì)嚴(yán)重影響企業(yè)機(jī)密安全、經(jīng)濟(jì)安全、個(gè)人隱私以及企業(yè)形象。在企業(yè)信息化建設(shè)中，安全的電子郵件系統(tǒng)一直都是其中的重點(diǎn)，受到企業(yè)的高度關(guān)注。從電子郵件的泄露來看，包括幾個(gè)形式：

（1）傳輸過程中的泄露：普通郵件是以明文形式傳輸，若未對(duì)傳輸渠道制定完善的安全防護(hù)措施，那么黑客可以采用技術(shù)手段來攔截郵件，或者切斷郵件的傳輸；

（2）用戶名與密碼泄露：采用木馬、網(wǎng)絡(luò)釣魚、密碼明文存放、弱密碼等，都有可能導(dǎo)致用戶名與密碼泄露。從本質(zhì)而言，郵件信息安全事故的誘因是對(duì)數(shù)據(jù)缺乏全方位安全防護(hù)，要保障數(shù)據(jù)的安全性，需要基于郵件生命周期來應(yīng)用科學(xué)的防御方式。

在郵件傳輸防護(hù)上，除了系統(tǒng)自身的安全防護(hù)措施之外，還從業(yè)務(wù)的應(yīng)用方向著手，基于郵件的信息聲明周期來保證其安全性。具體包括：

（1）用戶登錄行為安全防護(hù)：多數(shù)情況下，企業(yè)郵件的泄露是由于用戶名、密碼簡(jiǎn)單引致，針對(duì)此，設(shè)置多層次密碼功能，通過弱密碼檢查分析出弱密碼用戶，提示用戶修改，設(shè)置密碼有效期與防猜密碼，如果密碼輸入超過規(guī)定頻率后，會(huì)出現(xiàn)IP 賬號(hào)自鎖定與圖形驗(yàn)證碼，輸入正確驗(yàn)證碼，才可以順利解鎖。

（2）查詢近14d 登陸記錄，包括登陸時(shí)間、登陸IP、登陸方式、有無登陸成功，若發(fā)現(xiàn)非法登陸，系統(tǒng)會(huì)發(fā)出提醒，若發(fā)現(xiàn)異常問題，可以及時(shí)核對(duì)、更改，保障傳輸安全。

（3）反垃圾反病毒防護(hù)，黑客常見的攻擊郵箱手段有垃圾郵件、病毒郵件兩類，在這一方面，嵌入反病毒模塊，保證郵件內(nèi)容的傳輸安全，對(duì)各類垃圾郵件樣本，能夠做出實(shí)時(shí)分析，通過智能算法、人工審核結(jié)合的方式對(duì)可疑郵件進(jìn)行過濾判定，對(duì)帶有敏感數(shù)據(jù)的郵件正文、主題、地址、附件進(jìn)行阻斷、告警、記錄放行等響應(yīng)。

（4）在郵件數(shù)據(jù)傳輸安全防護(hù)上，利用CMTP 私有協(xié)議對(duì)內(nèi)容進(jìn)行加密、編碼處理，即便郵件被攔截、掃描，也不會(huì)出現(xiàn)泄密，最大限度保障端對(duì)端的安全傳輸。通過上述措施，可以最大限度避免黑客入侵、網(wǎng)絡(luò)病毒造成的郵件安全問題。

2 網(wǎng)絡(luò)通信防護(hù)研究

企業(yè)的信息安全涵蓋信息系統(tǒng)安全、流通存儲(chǔ)信息安全兩個(gè)問題，企業(yè)信息系統(tǒng)會(huì)受到內(nèi)部也、外部因素的威脅、攻擊，在大數(shù)據(jù)時(shí)代下，企業(yè)信息安全問題更加突出，網(wǎng)絡(luò)通信防護(hù)在系統(tǒng)設(shè)計(jì)中，也是一個(gè)極為關(guān)鍵的組成，由于網(wǎng)絡(luò)信息系統(tǒng)通信協(xié)議的開放性與地域的廣泛性，決定其內(nèi)容的易損性，因此，加強(qiáng)網(wǎng)絡(luò)通信防護(hù)也極為重要。在具體措施上：

（1）基于網(wǎng)絡(luò)安全設(shè)置防毒軟件：殺毒軟件是保證企業(yè)計(jì)算機(jī)系統(tǒng)安全運(yùn)行的重要措施，借助殺毒軟件，既能夠滿足殺毒要求，還能夠監(jiān)控使用者的舉動(dòng)，將中毒可能性減小至最小化，通過審核信息、網(wǎng)絡(luò)流量、過濾IP 地址的方式來保證網(wǎng)絡(luò)通路能夠正常運(yùn)行。

（2）VPN 技術(shù)（圖1），針對(duì)路由器，應(yīng)用密碼算法、加/解密專用芯片，對(duì)各項(xiàng)內(nèi)容進(jìn)行管理、控制。

（3）入侵檢測(cè)與網(wǎng)絡(luò)誘騙系統(tǒng)：防護(hù)墻、路由器是針對(duì)安全威脅的靜態(tài)防護(hù)，應(yīng)用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，在企業(yè)遭到網(wǎng)絡(luò)入侵時(shí)，能夠?qū)W(wǎng)絡(luò)做出實(shí)時(shí)保護(hù)，并對(duì)其攻擊行為進(jìn)行追蹤，確保企業(yè)通信鏈路的穩(wěn)定。而應(yīng)用網(wǎng)絡(luò)誘騙系統(tǒng)，能夠構(gòu)建出虛擬化的網(wǎng)絡(luò)環(huán)境，如果發(fā)生黑客入侵，可將其定向至虛擬網(wǎng)絡(luò)，保證企業(yè)系統(tǒng)運(yùn)行安全。

（4）完善安全管理制度：在企業(yè)內(nèi)部，設(shè)置專門管理機(jī)構(gòu)，明確具體分工，各項(xiàng)工作都要求做到專人管理，為通信安全提供人員保證。對(duì)于網(wǎng)絡(luò)使用者，進(jìn)行嚴(yán)格管理，強(qiáng)化思想道德教育，在人員任用上，構(gòu)建完善的人事管理制度，強(qiáng)化其忠誠(chéng)意識(shí)、保密意識(shí)，并明確安全管理原則，涵蓋“任期有限原則”、“多人開發(fā)原則”、“職責(zé)分離原則”，并根據(jù)企業(yè)的情況來設(shè)置相關(guān)制度。

3 終端漏洞防護(hù)研究

終端漏洞的成因多種多樣，是影響外網(wǎng)安全的常見問題，安全漏洞表現(xiàn)形式不同，分類方法也各有差異，具體包括兩類：

（1）系統(tǒng)漏洞，系統(tǒng)漏洞是由于計(jì)算機(jī)系統(tǒng)本身的交互性、資源共享性引致，為了滿足日常交流、互動(dòng)要求，需要拓展系統(tǒng)功能，在開發(fā)、應(yīng)用新功能過程中，必然會(huì)出現(xiàn)各類漏洞，而黑客會(huì)利用這些漏洞發(fā)起攻擊。系統(tǒng)運(yùn)行周期更長(zhǎng)，漏洞的發(fā)生可能性會(huì)更高。

（2）協(xié)議漏洞，計(jì)算機(jī)網(wǎng)絡(luò)是基于TCP/IP 協(xié)議作為基礎(chǔ)來通信，這一協(xié)議本身就存在漏洞，此類漏洞并無明確的區(qū)分標(biāo)準(zhǔn)，在通信過程中，會(huì)受到各類攻擊，影響網(wǎng)絡(luò)正常通信。

針對(duì)終端漏洞防護(hù)，對(duì)從終端外設(shè)端口出去的數(shù)據(jù)進(jìn)行掃描和監(jiān)控，一旦識(shí)別到有匹配策略的敏感信息，系統(tǒng)作出阻斷、告警、記錄放行或加密的動(dòng)作。同時(shí)，對(duì)終端設(shè)備存在的安全漏洞進(jìn)行分析比對(duì)，建立威脅情報(bào)庫（圖2），提出可行的解決措施，切實(shí)提升信息外網(wǎng)終端安全防護(hù)能力。威脅情報(bào)庫是基于證據(jù)的知識(shí)，涵蓋場(chǎng)景、指標(biāo)、機(jī)制、含義、可操作建議等方面，而威脅情報(bào)則是對(duì)有著對(duì)抗性、隱蔽性、決策性、預(yù)測(cè)性、時(shí)效性幾個(gè)屬性的高價(jià)值數(shù)據(jù)，其生成過程是以大數(shù)據(jù)為基礎(chǔ)對(duì)威脅數(shù)據(jù)價(jià)值進(jìn)行提取的過程。應(yīng)用威脅情報(bào)庫，能夠?qū)Σ杉牧髁繑?shù)據(jù)、日志數(shù)據(jù)進(jìn)行預(yù)處理，根據(jù)經(jīng)驗(yàn)知識(shí)來匹配判斷，進(jìn)行數(shù)據(jù)分析，獲取其中的威脅關(guān)鍵詞，并生成相關(guān)的威脅信息。同時(shí)，借助攻擊樹構(gòu)建方式，結(jié)合統(tǒng)計(jì)分析方法，對(duì)各類威脅信息進(jìn)行數(shù)據(jù)分析，基于此來確定攻擊方式、攻擊影響面、攻擊工具、攻擊路徑，明確攻擊意圖，尋找攻擊原因，形成威脅情報(bào)，通過該種方式，形成事前預(yù)防，能夠全面、精準(zhǔn)對(duì)各類攻擊行為進(jìn)行分析、檢測(cè)，有助于強(qiáng)化企業(yè)安全防護(hù)體系，減小外部攻擊風(fēng)險(xiǎn)，為企業(yè)智能化建設(shè)提供支持。

4 截屏拍照泄露防護(hù)研究

截屏拍照泄露問題也是影響外網(wǎng)終端數(shù)據(jù)安全的重要影響因素，在網(wǎng)絡(luò)上，曾經(jīng)流傳過這樣一個(gè)技術(shù)貼，某網(wǎng)友利用明星微博中發(fā)出的家居照片，配上微博描述，采用GoogleEarth 定位技術(shù)，在短時(shí)間內(nèi)就推斷出具體的家庭住址。信息媒體的數(shù)字化給人們的信息存取提供了諸多便利，讓數(shù)據(jù)的交換、傳輸更加簡(jiǎn)單，借助數(shù)字掃描儀、計(jì)算機(jī)、打印機(jī)等電子設(shè)備，可以迅速獲取多需數(shù)字信息，而隨之引發(fā)的安全問題也受到了廣泛關(guān)注，這類以數(shù)字形式保存的文件，很容易通過截屏、拍照、打印的方式泄露。為了提升數(shù)據(jù)傳輸安全性，需要推廣水印防泄露技術(shù)，目前常見的水印解決方案有數(shù)字水印（圖3）、圖片水印、二維碼水印、屏幕矢量水印幾類，在應(yīng)用了該種技術(shù)后，可根據(jù)水印信息還原可進(jìn)行事后的追溯，找出泄露的源頭，進(jìn)行相關(guān)責(zé)任定位，并防止通過截圖、掃描、拍照等方式獲取的圖片將國(guó)網(wǎng)敏感信息外泄。

另外，在新時(shí)期企業(yè)發(fā)展信息安全的防護(hù)上，國(guó)家和政府的引導(dǎo)是一項(xiàng)十分重要的手段，在大數(shù)據(jù)時(shí)代下，任何部門都可能會(huì)出現(xiàn)信息安全泄露問題，對(duì)此，國(guó)家需要制定完善的法律法規(guī)，明確數(shù)據(jù)歸屬，處理好數(shù)據(jù)涉密問題，針對(duì)故意泄露數(shù)據(jù)、非法使用數(shù)據(jù)和竊取數(shù)據(jù)者，予以嚴(yán)懲。

計(jì)算機(jī)信息安全是備受社會(huì)關(guān)注的問題，進(jìn)入了大數(shù)據(jù)時(shí)代后，信息加工、處理技術(shù)迅速發(fā)展，產(chǎn)生的數(shù)據(jù)量也呈現(xiàn)出幾何倍增長(zhǎng)趨勢(shì)，如果數(shù)據(jù)遭到竊取，可能會(huì)造成財(cái)產(chǎn)損失、隱私泄露，甚至影響人們的人身安全。而外網(wǎng)終端數(shù)據(jù)安全性會(huì)受到各類因素的影響，本文從郵件傳輸防護(hù)、網(wǎng)絡(luò)通信防護(hù)、終端漏洞防護(hù)、截屏拍照泄露防護(hù)四個(gè)角度著手，探討了廣泛于外網(wǎng)終端數(shù)據(jù)安全防護(hù)措施，一般情況下，對(duì)于企業(yè)而言，合理應(yīng)用上述四種技術(shù)，即可將外網(wǎng)終端數(shù)據(jù)安全問題減小至最小化，在具體的應(yīng)用上，需要基于企業(yè)的實(shí)際情況來靈活應(yīng)用。