新形勢下的網(wǎng)絡(luò)信息安全運(yùn)維策略

胡楠

天津市急救中心 天津 300011

引言

隨著信息技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)管理功能不斷擴(kuò)充，在新的形勢背景下，做好計(jì)算機(jī)信息安全管理具有重大的價(jià)值意義。為了加強(qiáng)計(jì)算機(jī)的安全運(yùn)維管理，不僅要研發(fā)新型的管理系統(tǒng)，還要增添安全服務(wù)功能，確保制定完好的保密措施。大多數(shù)的安全管理工作都需要人力維護(hù)，并不能完全依賴計(jì)算機(jī)系統(tǒng)，因此，自動(dòng)化安全保障并未完全普及。在電子信息技術(shù)高度發(fā)達(dá)的區(qū)域，信息的安全性時(shí)刻受到威脅，做好安全運(yùn)維與管理工作勢在必行。

1 網(wǎng)絡(luò)信息安全運(yùn)維的價(jià)值

當(dāng)前時(shí)期，我國各個(gè)行業(yè)的信息管理及信息保護(hù)已經(jīng)成為計(jì)算機(jī)管理系統(tǒng)中的重要模塊，在新的信息管理背景下，大數(shù)據(jù)信息安全問題愈加受到人們重視，人們開始采用新型的管理措施對(duì)系統(tǒng)做好維護(hù)[1]。信息系統(tǒng)的安全性不僅僅關(guān)乎于本身系統(tǒng)的實(shí)際運(yùn)作，還與國家以及行業(yè)的發(fā)展具有聯(lián)系，其涉及多方面的事情。隨著信息技術(shù)的不斷發(fā)展，國內(nèi)的信息安全已經(jīng)十分重要，故對(duì)應(yīng)的管理部門要增強(qiáng)所獲取信息的機(jī)密性、完整性以及真實(shí)性，開發(fā)和引進(jìn)新型的技術(shù)，定期做好信息系統(tǒng)安全維護(hù)，確保信息管理的高效性與可用性。

2 網(wǎng)絡(luò)信息安全防護(hù)裝置

2.1 隔離裝置內(nèi)容

安全隔離裝置主要用于用于安全區(qū)不同區(qū)域之間的信息單向傳輸。

2.2 正向隔離裝置功能

正向安全隔離裝置主要有以下幾個(gè)功能：

2.2.1 實(shí)現(xiàn)不同安全區(qū)域之間的非網(wǎng)絡(luò)信息安全數(shù)據(jù)信息交換，確保安全隔離裝置內(nèi)部與外部處理系統(tǒng)不同時(shí)依舊可以通過展示層以及應(yīng)用層進(jìn)行數(shù)據(jù)單向傳遞，即從安全一區(qū)傳遞的安全二區(qū)，此時(shí)的TCP應(yīng)當(dāng)禁止攜帶任何應(yīng)用數(shù)據(jù)[2]。

2.2.2 正向隔離裝置的工作方式屬于透明化，主要包括兩種，即為虛擬主機(jī)IP地址、隱藏MAC地址。

2.2.3 基于傳輸端口等可以做好信息的綜合防控以及過濾，增強(qiáng)訪問量控制數(shù)量，防止穿透性的TCP快速連接，在兩個(gè)應(yīng)用端口之間建立起直接進(jìn)的TCP連接渠道，將內(nèi)外兩個(gè)應(yīng)用網(wǎng)關(guān)的TCP連接分為應(yīng)用網(wǎng)關(guān)的管理裝置。除此之外，還需要將隔離裝置內(nèi)外兩個(gè)網(wǎng)卡之間的TCP虛擬連接渠道升級(jí)，實(shí)現(xiàn)內(nèi)部兩個(gè)網(wǎng)卡之間的非網(wǎng)絡(luò)連接，并且設(shè)置數(shù)據(jù)的單向傳輸模式。

2.3 反向隔離裝置功能

反向安全隔離裝置主要是指從安全二區(qū)向安全一區(qū)傳遞信息，這是傳遞信息的唯一渠道。若是想要接受信息必須做好簽名驗(yàn)證、內(nèi)容過濾以及有效性檢查等操作，將相關(guān)的管理程序轉(zhuǎn)發(fā)到安全二期的內(nèi)部群中，實(shí)現(xiàn)接收程序的具體化以及實(shí)名化[3]。

3 網(wǎng)絡(luò)信息安全管理內(nèi)容

3.1 日常維護(hù)性工作

3.1.1 核心系統(tǒng)與關(guān)鍵服務(wù)器是指全網(wǎng)絡(luò)中的服務(wù)器其承載著重要的信息，有些甚至含有機(jī)密性信息。一旦奔潰會(huì)導(dǎo)致整個(gè)信息系統(tǒng)受到嚴(yán)重影響，或許會(huì)有一些病毒乘虛而入，這容易導(dǎo)致整個(gè)設(shè)備漸漸潰敗。

3.1.2 系統(tǒng)應(yīng)急與演練是指根據(jù)關(guān)鍵系統(tǒng)以及服務(wù)器中的應(yīng)急方案對(duì)應(yīng)用系統(tǒng)進(jìn)行及時(shí)監(jiān)測演練，依據(jù)所形成的報(bào)告做好綜合分析，確保所有平臺(tái)以及系統(tǒng)服務(wù)器都會(huì)有機(jī)會(huì)輪換檢測，至少每年一次。

3.1.3 備份管理。網(wǎng)絡(luò)信息中的數(shù)據(jù)信息需要及時(shí)做好備份，以此防止信息的丟失以及數(shù)據(jù)保存，其屬于網(wǎng)絡(luò)信息安全運(yùn)維管控的主要內(nèi)容，主要包含對(duì)數(shù)據(jù)和應(yīng)用裝置的備份。數(shù)據(jù)備份是指針對(duì)各種類別的系統(tǒng)配置做好指定性的數(shù)據(jù)備份，定時(shí)存儲(chǔ)數(shù)據(jù)備份信息，避免離線備份數(shù)據(jù)在當(dāng)前所使用的數(shù)據(jù)丟失、損壞以及無意刪除之后可恢復(fù)使用。系統(tǒng)在備用站點(diǎn)進(jìn)行數(shù)據(jù)備份管理時(shí)，需要對(duì)主要系統(tǒng)中存有的關(guān)鍵數(shù)據(jù)進(jìn)行鏡像備份，以此確保對(duì)應(yīng)用的備份數(shù)據(jù)的業(yè)務(wù)控制，確保管理的優(yōu)質(zhì)化以及合理化[4]。

3.1.4 故障管理。網(wǎng)絡(luò)信息中的數(shù)據(jù)運(yùn)維管控需要構(gòu)建有效的信息化服務(wù)系統(tǒng)故障處理規(guī)范，確保系統(tǒng)在出現(xiàn)異常后可配置專業(yè)管理者按照流程進(jìn)行故障報(bào)修以及運(yùn)維處理，確保在故障解決之后有對(duì)應(yīng)解決措施，將管理記錄做好。

3.1.5 上線管理。設(shè)備在接入到網(wǎng)絡(luò)端口中，安全問題是最為主要的問題。為了進(jìn)一步確保設(shè)備運(yùn)營的安全性，設(shè)備在接入外網(wǎng)時(shí)要配置防病毒和防信息泄露系統(tǒng)，及時(shí)做好線上溝通以及定時(shí)系統(tǒng)更新。一線程序員要及時(shí)對(duì)設(shè)備的安全等級(jí)進(jìn)行評(píng)級(jí)，做好安全裝置的加固。為了進(jìn)一步的防止系統(tǒng)上線之后對(duì)設(shè)備產(chǎn)生不利影響，在信息發(fā)布之前需要對(duì)系統(tǒng)的應(yīng)用站點(diǎn)、數(shù)據(jù)庫信息、后臺(tái)服務(wù)服務(wù)體系等做好安全性評(píng)估，確保系統(tǒng)正式運(yùn)行之前對(duì)系統(tǒng)的模擬測試運(yùn)行做好維護(hù)，且整體運(yùn)行測試要持續(xù)一周以上。

3.1.6 防病毒功能。服務(wù)器在運(yùn)行之后需要定期進(jìn)行檢查以及維護(hù)，及時(shí)將一些高危漏洞填補(bǔ)，確保每一個(gè)季度對(duì)服務(wù)器做全面化掃描管理，購置以及設(shè)計(jì)統(tǒng)一的應(yīng)用服務(wù)器，定期或者不定期聘請(qǐng)專業(yè)人員對(duì)高危漏洞進(jìn)行處理，及時(shí)升級(jí)系統(tǒng)，將系統(tǒng)升級(jí)記錄導(dǎo)出。

3.1.7 核心系統(tǒng)與關(guān)鍵服務(wù)器日志審計(jì)。在網(wǎng)絡(luò)信息安全運(yùn)維中，要在不同層次內(nèi)做好多環(huán)節(jié)把控，確保操作系統(tǒng)層面、數(shù)據(jù)層面都增添了日志審計(jì)功能，相關(guān)日志內(nèi)容保留在一年以上，關(guān)聯(lián)操作者的身份，確保管理者可以及時(shí)查閱每一個(gè)用戶的日志，避免日志內(nèi)容的信息泄露，定期審計(jì)操作者的行為記錄是否存在異常。在檢查日志時(shí)，還要對(duì)日志中存在的關(guān)鍵性信息以及應(yīng)用程序做好記錄，確保日志的準(zhǔn)時(shí)審定。

3.1.8 防止信息外泄。在網(wǎng)絡(luò)信息安全運(yùn)維中，要對(duì)所有的核心信息進(jìn)行全面化的界定以及處理，將該范圍內(nèi)的賬號(hào)密碼以及操作記錄等做好安全加密。

3.2 系統(tǒng)性的訪問控制

3.2.1 賬號(hào)與密碼管理。對(duì)于進(jìn)入服務(wù)系統(tǒng)的賬號(hào)以及使用的密碼必須要及時(shí)做好加密審核工作，靈活變更賬號(hào)密碼，將一些信息快速且頻繁更換，有利于增強(qiáng)密碼的復(fù)雜性。一般來說，密碼在初始設(shè)定時(shí)，其長度和形式存在要求，主要由數(shù)字符號(hào)和字母組成，且定期更換。

3.2.2 遠(yuǎn)程訪問。遠(yuǎn)程訪問不得促銷互聯(lián)網(wǎng)訪問的工作，系統(tǒng)和基礎(chǔ)服務(wù)器的遠(yuǎn)程訪問需要強(qiáng)制性要求他經(jīng)過內(nèi)部的VPN、SS1等結(jié)構(gòu)。

4 網(wǎng)絡(luò)信息安全運(yùn)維管控舉措

4.1 避免服務(wù)器設(shè)備部件的缺失

在網(wǎng)絡(luò)信息安全運(yùn)維管控中，需要避免服務(wù)器設(shè)備部件的缺失，及時(shí)采購一些應(yīng)急性的零部件作為物資儲(chǔ)存。為了進(jìn)一步保障服務(wù)器遭受損壞，需要嚴(yán)格按照服務(wù)器的開發(fā)流程進(jìn)行操作，不可強(qiáng)制性開關(guān)電源。一旦發(fā)生嚴(yán)重性故障，可以采取應(yīng)急措施，將電源關(guān)閉之后再更換服務(wù)器設(shè)備。若是短時(shí)間內(nèi)無法恢復(fù)服務(wù)器的運(yùn)行狀態(tài)，可根據(jù)實(shí)際的操作環(huán)境考慮正常運(yùn)行節(jié)點(diǎn)的降維運(yùn)行，利用備用服務(wù)器搭建臨時(shí)性的操作環(huán)境，為恢復(fù)使用服務(wù)器奠定基礎(chǔ)。

4.2 減少系統(tǒng)操作故障

在網(wǎng)絡(luò)信息安全運(yùn)維管控中，需要根據(jù)實(shí)際情況減少系統(tǒng)的實(shí)際操作了故障。按照操作系統(tǒng)說明流程進(jìn)行系統(tǒng)操作。對(duì)于數(shù)據(jù)庫運(yùn)行過程中出現(xiàn)的一般性故障，需要將該種情況上報(bào)給運(yùn)維工程師，并要求工程師反饋何時(shí)可進(jìn)行在操作。若是運(yùn)維工程師無法解決，則需要按照各個(gè)數(shù)據(jù)庫平臺(tái)所要求的文檔模式重新填充信息。

4.3 定期檢查維護(hù)硬件設(shè)備

對(duì)于硬件設(shè)備設(shè)施的維護(hù)管理主要包括基礎(chǔ)終端、服務(wù)器、計(jì)算機(jī)、打印機(jī)等等，這樣的維護(hù)工作也需要由專人進(jìn)行開展，負(fù)責(zé)定期對(duì)不同的設(shè)備進(jìn)行檢查保養(yǎng)，定期在后臺(tái)進(jìn)行數(shù)據(jù)病毒的查殺以及整理。同時(shí)相關(guān)工作人員還應(yīng)當(dāng)設(shè)置故障登記表或是設(shè)備檢修表，便于后期高效的開展管理工作，通過這樣的方式盡可能減少潛在風(fēng)險(xiǎn)，確保所有設(shè)備設(shè)施均處于最佳運(yùn)行狀態(tài)。

5 加強(qiáng)網(wǎng)絡(luò)信息安全的策略

5.1 確保網(wǎng)絡(luò)結(jié)構(gòu)安全

網(wǎng)絡(luò)安全體系結(jié)構(gòu)是由硬件網(wǎng)絡(luò)、通信軟件以及操作系統(tǒng)組成的，用戶通過使用路由器、交換機(jī)、集線器等網(wǎng)絡(luò)設(shè)備，搭建自己的通信網(wǎng)絡(luò)。網(wǎng)絡(luò)安全通常是指網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件要受到保護(hù)，不能被更改、泄露和破壞，確保整個(gè)網(wǎng)絡(luò)能夠穩(wěn)定運(yùn)行，信息傳送能夠維持完整性。網(wǎng)絡(luò)結(jié)構(gòu)安全涉及網(wǎng)絡(luò)硬件、通信協(xié)議、加密技術(shù)等領(lǐng)域。 確保網(wǎng)絡(luò)結(jié)構(gòu)安全要做好以下幾方面的工作。①按保密網(wǎng)、內(nèi)部網(wǎng)和公用網(wǎng)進(jìn)行分類建設(shè)，采用物理上絕對(duì)分開、各自獨(dú)立的體系結(jié)構(gòu)，并劃分網(wǎng)絡(luò)信息安全邊界。②對(duì)信息進(jìn)行分類，以便匹配保密網(wǎng)、內(nèi)部網(wǎng)和公用網(wǎng)，實(shí)行上網(wǎng)機(jī)器與辦公機(jī)器分離，內(nèi)部信息及涉密信息嚴(yán)禁上網(wǎng)。③建設(shè)專用屏蔽機(jī)房和低信息輻射泄露網(wǎng)絡(luò)，配置網(wǎng)絡(luò)安全防火墻，配備低信息輻射泄露單機(jī)。④對(duì)信件及文件按涉密等關(guān)鍵詞組檢索進(jìn)行檢查，防止無意識(shí)泄密，起到威懾作用。⑤對(duì)各種網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用軟件進(jìn)行安全掃描。⑥保護(hù)知識(shí)產(chǎn)權(quán)、內(nèi)部資料、保密信息，攔截黃毒信息。⑦通過源地址和目標(biāo)地址的流量、數(shù)據(jù)包類型等多途徑進(jìn)行網(wǎng)絡(luò)大數(shù)據(jù)分析，發(fā)現(xiàn)網(wǎng)絡(luò)行為的必然聯(lián)系。

5.2 確保網(wǎng)絡(luò)設(shè)備安全

確保網(wǎng)絡(luò)設(shè)備安全要做好以下幾方面的工作。①定期更新網(wǎng)絡(luò)設(shè)備補(bǔ)丁，確保設(shè)備無安全隱患。②禁用路由器交換機(jī)Web管理頁面。③所有網(wǎng)絡(luò)設(shè)備全部嚴(yán)格按照安全基線進(jìn)行安全配置。禁用Telnet進(jìn)行遠(yuǎn)程管理；SNMP僅允許相關(guān)網(wǎng)管系統(tǒng)受限讀取配置；嚴(yán)格管控管理員賬號(hào)和權(quán)限，關(guān)閉不必要的賬號(hào)權(quán)限，口令強(qiáng)度符合安全基線要求；限制可遠(yuǎn)程管理的IP地址。④管控所有網(wǎng)絡(luò)設(shè)備及安全設(shè)備的策略，刪除無用策略，保證安全防護(hù)策略有效運(yùn)行。⑤網(wǎng)絡(luò)設(shè)備及安全設(shè)備配置備份，并確保備份的配置有效和可恢復(fù)。

5.3 確保數(shù)據(jù)庫系統(tǒng)安全

確保數(shù)據(jù)庫系統(tǒng)安全要做好以下幾方面的工作。①定期檢查更新數(shù)據(jù)庫管理系統(tǒng)、中間件、應(yīng)用服務(wù)器的補(bǔ)丁，確保系統(tǒng)安全。②梳理數(shù)據(jù)庫管理系統(tǒng)賬號(hào)，清除非必要的管理賬號(hào)，清理因系統(tǒng)開發(fā)、測試等原因產(chǎn)生的閑置賬號(hào)。③定期檢查口令強(qiáng)度和口令變更情況，禁用弱口令、空口令賬號(hào)。④定期檢查數(shù)據(jù)庫備份策略，驗(yàn)證數(shù)據(jù)備份的有效性。⑤定期檢查用戶的數(shù)據(jù)訪問控制權(quán)限。

6 結(jié)束語

綜上所述，現(xiàn)階段國家越來越重視新形勢下網(wǎng)絡(luò)信息安全運(yùn)維工作。為了進(jìn)一步提升網(wǎng)絡(luò)信息安全運(yùn)維質(zhì)量，需要根據(jù)實(shí)際情況增強(qiáng)信息安全運(yùn)維管控工作，強(qiáng)化安全防護(hù)設(shè)施設(shè)備構(gòu)建，制定對(duì)應(yīng)的應(yīng)急管理舉措以及安全管理方案，推動(dòng)信息安全的運(yùn)維管控，合理掌控所識(shí)別的安全運(yùn)維信息，對(duì)事前以及事中情況詳知，助推安全運(yùn)維工作的順利開展。