■陳凱航

牢固建立“三道防線”加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全管理

■陳凱航

一、計(jì)算機(jī)網(wǎng)絡(luò)安全管理內(nèi)容

計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)數(shù)據(jù)受到保護(hù)，不因偶然或惡意遭到破壞、更改、泄露，安全完整地為用戶提供信息，其實(shí)質(zhì)是信息安全管理。根據(jù)PDRR（Protecr防護(hù)、Detect檢測(cè)、React響應(yīng)和Restore恢復(fù)的縮寫）網(wǎng)絡(luò)安全管理模型,網(wǎng)絡(luò)安全管理應(yīng)當(dāng)包括防護(hù)，自動(dòng)檢測(cè)、管理、監(jiān)控、處理漏洞和攻擊，及時(shí)阻止或延遲侵入，對(duì)安全事件做出快速反應(yīng)和災(zāi)難恢復(fù)等內(nèi)容，其中：網(wǎng)絡(luò)防護(hù)主要包括網(wǎng)絡(luò)訪問控制、鑒別、數(shù)據(jù)保密、數(shù)據(jù)完整、行為完整性、抗抵賴性和可用性等方面的安全防護(hù)；安全檢測(cè)主要包括信道斷路檢測(cè)、通信連接檢測(cè)，同一信息交換平臺(tái)檢測(cè)和巡視，計(jì)算機(jī)硬件系統(tǒng)安全檢測(cè)，網(wǎng)絡(luò)設(shè)備安全漏洞檢測(cè)、網(wǎng)絡(luò)通信數(shù)據(jù)流實(shí)時(shí)監(jiān)控和網(wǎng)絡(luò)攻擊實(shí)時(shí)監(jiān)控，操作系統(tǒng)已知安全漏洞檢測(cè)和操作系統(tǒng)已知攻擊實(shí)時(shí)監(jiān)控等；安全反應(yīng)包括信道斷路反應(yīng),對(duì)被檢測(cè)出的硬件系統(tǒng)漏洞和攻擊進(jìn)行反應(yīng),對(duì)被檢測(cè)出網(wǎng)絡(luò)漏洞和攻擊進(jìn)行反應(yīng),對(duì)被檢測(cè)出操作系統(tǒng)漏洞和攻擊進(jìn)行反應(yīng)；災(zāi)難恢復(fù)主要是將系統(tǒng)和數(shù)據(jù)恢復(fù)到原來正常業(yè)務(wù)運(yùn)營狀態(tài)。

二、計(jì)算機(jī)網(wǎng)絡(luò)安全問題及成因

計(jì)算機(jī)網(wǎng)絡(luò)安全問題可劃分如下幾類：

1.網(wǎng)絡(luò)物理安全問題。網(wǎng)絡(luò)物理環(huán)境包括網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)布局、和網(wǎng)絡(luò)運(yùn)營機(jī)房安全管理等方面。網(wǎng)絡(luò)系統(tǒng)自身設(shè)備老化和損壞，可出現(xiàn)網(wǎng)絡(luò)系統(tǒng)完整性喪失、服務(wù)中斷；網(wǎng)絡(luò)建設(shè)審批不嚴(yán)，網(wǎng)絡(luò)布局不合理，影響通信暢通和管理；網(wǎng)絡(luò)運(yùn)營環(huán)境安全管理疏漏、設(shè)備不全，缺乏監(jiān)控、報(bào)警、火警和消防等安全措施，以及不可預(yù)測(cè)的自然災(zāi)害，可致使網(wǎng)絡(luò)安全突發(fā)事件發(fā)生。

2.網(wǎng)絡(luò)通信遭受被動(dòng)攻擊。被動(dòng)攻擊最常見的是截獲，就是攻擊者從網(wǎng)絡(luò)上竊聽他人通信內(nèi)容，不作任何修改。網(wǎng)絡(luò)通信遭截獲原因是網(wǎng)絡(luò)傳輸設(shè)備、交換設(shè)備、傳輸線、通信終端等未采用電磁，屏蔽、吸收、過濾等技術(shù)，電磁輻射未限定在國家標(biāo)準(zhǔn)規(guī)定的區(qū)域和范圍內(nèi)，未在信道上實(shí)施防泄露、防截獲的安全防范技術(shù)和保密通信技術(shù)，未采取多路傳輸、分組交換和多路由方法。

3.網(wǎng)絡(luò)通信遭受主動(dòng)攻擊。一是通信設(shè)備和通信線路未進(jìn)行物理保護(hù)、檢測(cè)，未執(zhí)行適當(dāng)?shù)募用芎丸b別技術(shù)，網(wǎng)絡(luò)報(bào)文遭受故意篡改、斷傳、偽造。二是缺少適當(dāng)?shù)姆床《拒浖?，網(wǎng)絡(luò)通信遭受計(jì)算機(jī)病毒、計(jì)算機(jī)蠕蟲、特洛伊木馬和邏輯炸彈等惡意程序破壞。三是未實(shí)施抗拒絕服務(wù)，攻擊者產(chǎn)生大量數(shù)據(jù)流方式占用網(wǎng)絡(luò)帶寬，向服務(wù)器發(fā)送畸形數(shù)據(jù)包使網(wǎng)絡(luò)崩潰，向應(yīng)用程序發(fā)送非法請(qǐng)求使其崩潰，創(chuàng)建許多大文件耗盡磁盤空間等，阻止或妨礙合法用戶對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序的正常使用。四是安檢手段缺失，加密技術(shù)與適當(dāng)?shù)蔫b別技術(shù)末有機(jī)結(jié)合，網(wǎng)絡(luò)遭受分布式拒絕服務(wù)（DDOS）攻擊，即攻擊者在多臺(tái)主機(jī)中植入攻擊代理程序，由攻擊者遠(yuǎn)程控制這些代理程序同時(shí)向受害者發(fā)動(dòng)攻擊，以大量消耗受害者的網(wǎng)絡(luò)和計(jì)算機(jī)資源。

4.內(nèi)部管理缺失對(duì)網(wǎng)絡(luò)安全造成負(fù)面影響。網(wǎng)絡(luò)運(yùn)行與系統(tǒng)維護(hù)日常管理制度不健全，缺乏定期檢測(cè)、監(jiān)督制度，崗位分工不合理，人員素質(zhì)與崗位不匹配，權(quán)限過大等，可造成日常數(shù)據(jù)保護(hù)及維護(hù)失職，影響周期數(shù)據(jù)備份、恢復(fù)以及驗(yàn)證數(shù)據(jù)的完整性；安全事件檢測(cè)統(tǒng)計(jì)分析工作不到位，未能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全入侵事件、掌握威脅及威脅影響，致使人為因素導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)安全問題產(chǎn)生或蔓延，現(xiàn)有的防范監(jiān)測(cè)系統(tǒng)形同虛設(shè)。

三、加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全管理建議

一是牢固建立網(wǎng)絡(luò)安全第一道防線——網(wǎng)絡(luò)安全物理防線。網(wǎng)絡(luò)安全物理環(huán)境是控制環(huán)境風(fēng)險(xiǎn)和不可預(yù)知情況產(chǎn)生的第一道防線。構(gòu)建網(wǎng)絡(luò)安全物理環(huán)境，必須堅(jiān)持科技高度支持業(yè)務(wù)發(fā)展的管理目標(biāo)，按照網(wǎng)絡(luò)建設(shè)標(biāo)準(zhǔn)、要求和審批流程，使用安全可控網(wǎng)絡(luò)產(chǎn)品和安全類系統(tǒng)，建設(shè)網(wǎng)絡(luò)安全運(yùn)營環(huán)境。同時(shí)，做好每日網(wǎng)絡(luò)物理環(huán)境監(jiān)測(cè)工作，保持計(jì)算機(jī)機(jī)房適當(dāng)?shù)臏貪穸?，采用?bào)警裝置，實(shí)施網(wǎng)絡(luò)物理隔離等防護(hù)手段。

二是牢固建立網(wǎng)絡(luò)安全第二道防線——網(wǎng)絡(luò)邊界安全防線。加強(qiáng)網(wǎng)絡(luò)接入和訪問控制,嚴(yán)密網(wǎng)絡(luò)接入審批，做好網(wǎng)絡(luò)加密信息保密、安全防護(hù)軟件安裝、網(wǎng)段劃分和路由控制工作，對(duì)涉及資金和敏感信息的系統(tǒng)工程應(yīng)劃分獨(dú)立網(wǎng)段，制定網(wǎng)絡(luò)服務(wù)保證規(guī)劃，保證重要業(yè)務(wù)優(yōu)先處理。合理配置防火墻和交換機(jī)，對(duì)網(wǎng)絡(luò)設(shè)備和系統(tǒng)主機(jī)訪問控制應(yīng)達(dá)到單個(gè)計(jì)算機(jī)級(jí)別，嚴(yán)格控制外部網(wǎng)絡(luò)訪問。做好入侵事件統(tǒng)計(jì)分析工作，及時(shí)對(duì)入侵檢測(cè)系統(tǒng)特征庫升級(jí)，分析解決入侵事件。加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)日志管理，全面完整記錄、分析網(wǎng)絡(luò)審計(jì)日志。

三是牢固建立網(wǎng)絡(luò)安全第三道防線——人員行為安全防線。嚴(yán)格執(zhí)行國家網(wǎng)絡(luò)安全管理相關(guān)規(guī)定，建立網(wǎng)絡(luò)安全加密、數(shù)字簽名、鑒別、鑒別交換、身份認(rèn)證工作機(jī)制及網(wǎng)絡(luò)安全內(nèi)部管理制度。執(zhí)行網(wǎng)絡(luò)管理員、系統(tǒng)操作員、系統(tǒng)運(yùn)維員、入侵檢測(cè)員、機(jī)房及硬件管理員、網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估員崗位分離制度，定期開展網(wǎng)絡(luò)安全管理業(yè)務(wù)培訓(xùn)，提高網(wǎng)絡(luò)安全管理人員業(yè)務(wù)水平。

四是定期或不定期開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作。依據(jù)網(wǎng)絡(luò)安全事件發(fā)生的頻率、嚴(yán)重性和危害性，劃分網(wǎng)絡(luò)安全風(fēng)險(xiǎn)級(jí)別，采取不同應(yīng)對(duì)策略和管理制度，完善網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作流程和違章工作人員責(zé)任追究制度，提升網(wǎng)絡(luò)安全管理工作質(zhì)量。

（作者單位：武昌工學(xué)院信息工程學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)系）