于萍

【摘要】分析了當(dāng)前網(wǎng)絡(luò)安全發(fā)展形勢，闡述了加強(qiáng)網(wǎng)絡(luò)安全的重要意義，對信息系統(tǒng)安全威脅與風(fēng)險進(jìn)行了分析，指出信息系統(tǒng)安全控制的方向與重點，提出了網(wǎng)絡(luò)安全解決方案對策。

【關(guān)鍵詞】網(wǎng)絡(luò)；安全；技術(shù)防范；對策

【中圖分類號】TP393.08 【文獻(xiàn)標(biāo)識碼】B 【文章編號】1672-5158（2013）01—0445—02

引言

近年來，隨著經(jīng)濟(jì)社會的快速發(fā)展，互聯(lián)網(wǎng)得到快速增長，互聯(lián)網(wǎng)的應(yīng)用領(lǐng)域不斷擴(kuò)張，已經(jīng)從傳統(tǒng)領(lǐng)域拓展到非傳統(tǒng)領(lǐng)域，而且影響力越來越大。據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）近期發(fā)布的《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示：截至2012年12月底，手機(jī)網(wǎng)民數(shù)量為4.2億，中國網(wǎng)民數(shù)達(dá)到5.64億，全年新增網(wǎng)民5090萬人，普及率為42.1%；微博用戶規(guī)模為3.09億，較2011年底增長了5873萬。域名總數(shù)為1341萬個，其中“.CN”域名總數(shù)為751萬，“.中國”域名總數(shù)為28萬。中國網(wǎng)站總數(shù)（即網(wǎng)站的域名注冊者在中國境內(nèi)的網(wǎng)站數(shù)）回升至268萬個（去年底只有183萬）。網(wǎng)絡(luò)安全從大的方面講，關(guān)系國家安全主權(quán)、社會穩(wěn)定；從小的方面講，網(wǎng)絡(luò)安全涉及個人信息安全、財產(chǎn)安全，因此，積極研究探討適應(yīng)新形勢發(fā)展要求的網(wǎng)絡(luò)安全方案，對確保網(wǎng)絡(luò)安全，提升網(wǎng)絡(luò)服務(wù)質(zhì)量具有十分重要的現(xiàn)實意義。

1 加強(qiáng)網(wǎng)絡(luò)安全的現(xiàn)實意義

隨著信息化技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)已經(jīng)成為一種聯(lián)通各地、各個領(lǐng)域的重要基礎(chǔ)設(shè)施，計算機(jī)網(wǎng)絡(luò)的發(fā)展為人們的生產(chǎn)、生活、工作帶來了極大便利，拉近了全球的距離。但在看到網(wǎng)絡(luò)給人們帶來便捷的同時，還要清醒地認(rèn)識到網(wǎng)絡(luò)作為一個面向公眾的開放系統(tǒng)，如果網(wǎng)絡(luò)安全意識不強(qiáng)、網(wǎng)絡(luò)安全防范措施不力，就會產(chǎn)生網(wǎng)絡(luò)安全隱患。特別是隨著信息網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)得到廣泛普及和應(yīng)用，應(yīng)用層次不斷深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，已經(jīng)被行政部門、金融機(jī)構(gòu)、企業(yè)廣泛應(yīng)用，網(wǎng)絡(luò)在這些領(lǐng)域的廣泛應(yīng)用，也進(jìn)—步加大了網(wǎng)絡(luò)安全的風(fēng)險。如何保持網(wǎng)絡(luò)的穩(wěn)定安全，防止諸如黑客攻擊、非正常入侵等安全問題的發(fā)生，是一項重要任務(wù)。

由于網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜、涉及終端眾多、系統(tǒng)開放，網(wǎng)絡(luò)系統(tǒng)面臨的威脅和風(fēng)險比較多，歸納起來主要來自外部的人為影響和自然環(huán)境的影響，這些威脅有的是對網(wǎng)絡(luò)設(shè)備的安全運(yùn)行存在威脅，有的是對網(wǎng)絡(luò)中的信息安全存在威脅。這些威脅的集中起來主要有：非法授權(quán)訪問，假冒合法用戶，病毒破壞，線路竊聽，黑客入侵，干擾系統(tǒng)正常運(yùn)行，修改或刪除數(shù)據(jù)等。這些威脅一旦成為現(xiàn)實，將對網(wǎng)絡(luò)系統(tǒng)產(chǎn)生致命的影響，嚴(yán)重的可能會導(dǎo)致系統(tǒng)癱瘓，傳輸信息被非法獲取和傳播，會給相關(guān)機(jī)構(gòu)和網(wǎng)絡(luò)用戶造成不可挽回的損失。

在網(wǎng)絡(luò)快速發(fā)展的新形勢下，全面加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，提升網(wǎng)絡(luò)安全等級，對確保和維護(hù)網(wǎng)絡(luò)用戶利益，維護(hù)單位整體形象都具有十分重要我。特別是在當(dāng)前，終端用戶往往會在終端中存儲大量的信息資料，工作手段也越來越依賴于網(wǎng)絡(luò)，一旦網(wǎng)絡(luò)安全方面出現(xiàn)問題，造成信息的丟失或不能及時流通，或者被篡改、增刪、破壞或竊用，都將帶來難以彌補(bǔ)的巨大損失，因此，積極研究探索與網(wǎng)絡(luò)發(fā)展同步的網(wǎng)絡(luò)安全解決方案，全面加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，是各級網(wǎng)絡(luò)管理部門及用戶的重要職責(zé)，必須要高度重視，扎實推進(jìn)。

2 信息系統(tǒng)安全威脅與風(fēng)險分析

認(rèn)真分析信鼠系統(tǒng)安全威脅與存在的風(fēng)險，是進(jìn)行風(fēng)險管理、制定網(wǎng)絡(luò)安全方案的前提和基礎(chǔ)。通過進(jìn)行有效的系統(tǒng)安全威脅與風(fēng)險分析，可以幫助相關(guān)機(jī)構(gòu)和用戶選擇合作的控制措施來降低風(fēng)險。

2.1 物理安全風(fēng)險分析

網(wǎng)絡(luò)物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提，相關(guān)的物理安全風(fēng)險主要有：地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個系統(tǒng)毀滅；電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫信息丟失；設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏；電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱；報警系統(tǒng)的設(shè)計不足可能造成原本可以防止但實際發(fā)生了的事故。

2.2 鏈路傳輸風(fēng)險分析

網(wǎng)絡(luò)安全不僅是入侵者到企業(yè)內(nèi)部網(wǎng)上進(jìn)行攻擊、竊取或其它破壞，他們完全有可能在傳輸線路上安裝竊聽裝置，竊取你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過一些技術(shù)讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性；以上種種不安全因素都對網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全危脅。

2.3 網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險分析

來自與公網(wǎng)互聯(lián)的安全危脅，基于Internet公網(wǎng)的開放性、國際性與自由性，內(nèi)部網(wǎng)絡(luò)將面臨更加嚴(yán)重的安全危脅。一些黑客會制造病毒透過網(wǎng)絡(luò)進(jìn)行傳播，還會影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。

內(nèi)部網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)互聯(lián)安全威脅。如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施，內(nèi)部網(wǎng)絡(luò)容易造到來自外網(wǎng)一些不懷好意的入侵者的攻擊。入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息。惡意攻擊，入侵者通過發(fā)送大量PING包對內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。

內(nèi)部局域網(wǎng)的安全威脅。據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約70%是來自內(nèi)部網(wǎng)絡(luò)的侵犯。比如內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)；安全管理員有意透露其用戶名及口令；內(nèi)部不懷好意員工編些破壞程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過各種方式盜取他人涉密信息傳播出去。這些都將對網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重威脅。

2.4 系統(tǒng)的安全風(fēng)險分析

系統(tǒng)的安全往往歸結(jié)于操作系統(tǒng)的安全性，決定于網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，系統(tǒng)本身必定存在安全漏洞。這些安全漏洞都將存在重大安全隱患。但是從實際應(yīng)用上，系統(tǒng)的安全程度跟對其進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。因此，必須要高度重視系統(tǒng)的安全風(fēng)險，科學(xué)進(jìn)行系統(tǒng)安全配置，從而有效降低系統(tǒng)風(fēng)險。

2.5 應(yīng)用的安全風(fēng)險分析

應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用系統(tǒng)是動態(tài)的、不斷變化的。應(yīng)用的安全性也是動態(tài)的。這就需要我們對不同的應(yīng)用，檢測安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險。比如由于資源共享、使用電子郵件系統(tǒng)、受病毒侵害、數(shù)據(jù)信息被非法竊取，篡改等，這些都是應(yīng)用層面應(yīng)當(dāng)防范的安全風(fēng)險。

2.6 管理的安全風(fēng)險分析

內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險。機(jī)房存在惡意的入侵者，內(nèi)部不滿的員工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點。利用網(wǎng)絡(luò)開些小玩笑，甚至破壞。一些網(wǎng)絡(luò)系統(tǒng)管理由于責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。

3 網(wǎng)絡(luò)安全解決方案

可以通過配置諸如：標(biāo)識、密鑰管理、安全管理、系統(tǒng)保護(hù)、鑒別、授權(quán)、訪問控制、抗抵賴、受保護(hù)通信、入侵檢測與抑制、完整性證明、恢復(fù)安全狀態(tài)、病毒檢測與根除等技術(shù)類安全控制來有效防止給定類型的風(fēng)險與威脅；通過建立相關(guān)的安全管理機(jī)制，實現(xiàn)管理在的安全控制；通過建立一整套嚴(yán)謹(jǐn)?shù)目刂浦改?，實現(xiàn)操作類的安全控制，從而實現(xiàn)信息系統(tǒng)安全控制。

3.1 做好物理防護(hù)

保證計算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全是保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機(jī)犯罪行為導(dǎo)致的破壞過程。要嚴(yán)格按照相關(guān)標(biāo)準(zhǔn)建設(shè)網(wǎng)絡(luò)，防止人為降低建設(shè)標(biāo)準(zhǔn)。確保設(shè)備安全，采取有力措施搞好防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等。

3.2 確保系統(tǒng)安全

要認(rèn)真判斷網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是否合理；線路是否有冗余；路由是否冗余，防止單點失敗等。工行網(wǎng)絡(luò)在設(shè)計時，比較好的考慮了這些因素，可以說網(wǎng)絡(luò)結(jié)構(gòu)是比較合理的、比較安全的。對于操作系統(tǒng)要盡可能采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進(jìn)行必要的安全配置、關(guān)閉一些起不常用卻存在安全隱患的應(yīng)用、對一些保存有用戶信息及其口令的關(guān)鍵文件，對使用權(quán)限進(jìn)行嚴(yán)格限制；加強(qiáng)口令字的使用，增加口令復(fù)雜程度、不要使用與用戶身份有關(guān)的、容易猜測的信息作為口令，并及時給系統(tǒng)打補(bǔ)丁、系統(tǒng)內(nèi)部的相互調(diào)用不對外公開。通過配備操作系統(tǒng)安全掃描系統(tǒng)對操作系統(tǒng)進(jìn)行安全性掃描，發(fā)現(xiàn)其中存在的安全漏洞，并有針對性地進(jìn)行對網(wǎng)絡(luò)設(shè)備重新配置或升級。在應(yīng)用系統(tǒng)安全上，應(yīng)用服務(wù)器盡量不要開放一些沒有經(jīng)常用的協(xié)議及協(xié)議端口號。充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能，對用戶所訪問的信息做記錄，為事后審查提供依據(jù)。

3.3 突出網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是整個安全解決方案的重中之重，要從訪問控制、通信保密、入侵檢測、網(wǎng)絡(luò)安全掃描系統(tǒng)、防病毒等方面，采取切實可行的對策措施，確保網(wǎng)絡(luò)安全。要嚴(yán)格落實《用戶授權(quán)實施細(xì)則》、《口令字及帳戶管理規(guī)范》、《權(quán)限管理制度》、《安全責(zé)任制度》等安全管理制度。設(shè)置虛擬子網(wǎng)，各子網(wǎng)間不能實現(xiàn)互訪，實現(xiàn)初級訪問控制。設(shè)置高等級防火墻，通過制定嚴(yán)格的安全策略實現(xiàn)內(nèi)外網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)不同信任域之間的隔離與訪問控制。利用防火墻并經(jīng)過嚴(yán)格配置，可以阻止各種不安全訪問通過防火墻，從而降低安全風(fēng)險。但是，網(wǎng)絡(luò)安全不可能完全依靠防火墻單一產(chǎn)品來實現(xiàn)，網(wǎng)絡(luò)安全是個整體的，必須配相應(yīng)的安全產(chǎn)品，作為防火墻的必要補(bǔ)充。入侵檢測系統(tǒng)就是最好的安全產(chǎn)品，入侵檢測系統(tǒng)是根據(jù)已有的、最新的攻擊手段的信息代碼對進(jìn)出網(wǎng)段的所有操作行為進(jìn)行實時監(jiān)控、記錄，并按制定的策略實行響應(yīng)（阻斷、報警、發(fā)送E-mail）。建立網(wǎng)絡(luò)掃描系統(tǒng)，對網(wǎng)絡(luò)系統(tǒng)中的所有操作系統(tǒng)進(jìn)行安全性掃描，檢測操作系統(tǒng)存在的安全漏洞，并產(chǎn)生報表，并自動進(jìn)行相關(guān)修復(fù)。通過預(yù)防病毒技術(shù)、檢測病毒技術(shù)、殺毒技術(shù)，實施反病毒措施，防止病毒進(jìn)入網(wǎng)絡(luò)進(jìn)行傳播擴(kuò)散。

3.4 確保應(yīng)用安全

應(yīng)用是信息系統(tǒng)安全應(yīng)當(dāng)關(guān)注的重要內(nèi)容，要通過規(guī)范用戶的行為，來實現(xiàn)應(yīng)用安全。要嚴(yán)格控制內(nèi)部員工對網(wǎng)絡(luò)共享資源的使用，尤其要限制共享資源的濫用，在內(nèi)部子網(wǎng)中一般不隨意開放共享目錄，否則較容易因為疏忽而在與員工間交換信息時泄漏重要信息。對有經(jīng)常交換信息需求的用戶，在共享時也必須加上必要的口令認(rèn)證機(jī)制，即只有通過口令的認(rèn)證才允許訪問數(shù)據(jù)。雖然說用戶名加口令的機(jī)制不是很安全，但對一般用戶而言，還是起到一定的安全防護(hù)，即使有刻意破解者，只要口令設(shè)得復(fù)雜些，也得花費(fèi)相當(dāng)長的時間。適當(dāng)配置資源控制，要精心設(shè)置訪問權(quán)限，并拒絕未經(jīng)授權(quán)人員的登錄，減少有意或無意的案例漏洞。對數(shù)據(jù)庫服務(wù)器中的數(shù)據(jù)庫必須做安全備份，通過網(wǎng)絡(luò)備份系統(tǒng)，可以對數(shù)據(jù)庫進(jìn)行遠(yuǎn)程備份存儲。

3.5 安全管理

采用信息加密技術(shù)、數(shù)字簽名技術(shù)等技術(shù)對相關(guān)人員進(jìn)行身份認(rèn)證，通過數(shù)字證書，把證書持有者的公開密鑰（Public Key）與用戶的身份信息緊密安全地結(jié)合起來，以實現(xiàn)身份確認(rèn)和不可否認(rèn)性。防止出現(xiàn)身份冒領(lǐng)、抵賴等問題的發(fā)生。同時要制定健全的安全管理體制，提高網(wǎng)絡(luò)安全性。各網(wǎng)絡(luò)管理及使用單位要根據(jù)自身的實際情況，制定如安全操作流程、安全事故的獎罰制度以及對任命安全管理人員的考查等。積極構(gòu)建安全管理平臺，構(gòu)建安全管理平臺將會降，低很多因為無意的人為因素而造成的風(fēng)險。構(gòu)建安全管理平臺從技術(shù)上如，組成安全管理子網(wǎng)，安裝集中統(tǒng)一的安全管理軟件，如病毒軟件管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)以及網(wǎng)絡(luò)安全設(shè)備統(tǒng)管理軟件，通過安全管理平臺實現(xiàn)全網(wǎng)的安全管理。要加強(qiáng)對網(wǎng)絡(luò)使用人員的安全教育，切實增強(qiáng)相關(guān)人員的安全防范意識，嚴(yán)格執(zhí)行網(wǎng)絡(luò)管理相關(guān)規(guī)定，提高網(wǎng)絡(luò)管理的正規(guī)化水平。