◆潘統(tǒng)芬

（鹿城公安分局網(wǎng)絡(luò)警察大隊(duì) 浙江 325000）

0 引言

今年5月12日20∶00時(shí)許，全球爆發(fā)Wannacry病毒，波及150多個(gè)國(guó)家。服務(wù)器受到攻擊，數(shù)據(jù)被加密，資料被刪除，大量信息被竊取，要解密須按其留下的提示支付一定數(shù)據(jù)的比特幣，故又叫“比特幣勒索”網(wǎng)絡(luò)病毒。據(jù) BBC報(bào)道，這次病毒造成經(jīng)濟(jì)損失40多億美元。我國(guó)大量的教育網(wǎng)、企業(yè)網(wǎng)、行業(yè)網(wǎng)計(jì)算機(jī)信息系統(tǒng)受到攻擊，再次對(duì)基層的網(wǎng)絡(luò)數(shù)據(jù)安全敲響了警鐘。

1 網(wǎng)絡(luò)數(shù)據(jù)定義與重要性

網(wǎng)絡(luò)數(shù)據(jù)的概念第一次出現(xiàn)在全國(guó)人大常委會(huì)2015年公布的《中華人民共和國(guó)網(wǎng)絡(luò)安全法（草案）》第六十五條規(guī)定：“網(wǎng)絡(luò)數(shù)據(jù)，是指通過(guò)網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)?！?/p>

習(xí)總書記高度概括了網(wǎng)絡(luò)安全的重要性——沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全。網(wǎng)絡(luò)數(shù)據(jù)作為網(wǎng)絡(luò)信息的載體，它的重要性受世界上多個(gè)國(guó)家立法保護(hù)，2015年，我國(guó)發(fā)布了《關(guān)于印發(fā)促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要的通知》，提出要加強(qiáng)大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全問(wèn)題研究和基于大數(shù)據(jù)的網(wǎng)絡(luò)安全技術(shù)研究，建立健全大數(shù)據(jù)安全保障體系；同年美國(guó)、澳大利亞、俄羅斯等國(guó)都出臺(tái)了網(wǎng)絡(luò)信息安全立法，如俄羅斯第149-FZ號(hào)聯(lián)邦法《關(guān)于信息、信息技術(shù)與信息保護(hù)》的法律。

2 案例與面臨的威脅

案例1：利用CVE-2016-1240漏洞（Tomcat本地提權(quán)漏洞）遠(yuǎn)程修改網(wǎng)頁(yè)實(shí)施入侵破壞。今年5月份我們接到一政府單位報(bào)案，稱其網(wǎng)站被黑客入侵。經(jīng)查，黑客人員利用了其網(wǎng)站的CVE-2016-1240漏洞進(jìn)行入侵，修改了網(wǎng)站的界面導(dǎo)致使大量合法用戶無(wú)法正常登錄。

案例2：利用SQL注入漏洞修改了服務(wù)器數(shù)據(jù)庫(kù)內(nèi)容。今年2月份我們接到某做金融業(yè)務(wù)的互聯(lián)網(wǎng)單位報(bào)案，稱其網(wǎng)站數(shù)據(jù)庫(kù)被黑客入侵并修改。經(jīng)偵查發(fā)現(xiàn)黑客人員發(fā)現(xiàn)其網(wǎng)站存在SQL注入漏洞，利用 Sqlmap工具入侵了其服務(wù)器并修改了網(wǎng)站數(shù)據(jù)庫(kù)內(nèi)容的犯罪事實(shí)。

計(jì)算機(jī)網(wǎng)絡(luò)具有組成形式多樣性、網(wǎng)絡(luò)的開放性和互聯(lián)性等特征，這使得網(wǎng)絡(luò)容易受到來(lái)自黑客、惡意軟件、病毒木馬、釣魚網(wǎng)站等攻擊和竊聽。攻擊者通過(guò)拒絕服務(wù)攻擊、電子欺騙、非授權(quán)訪問(wèn)、監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)獲得敏感信息，基層網(wǎng)絡(luò)數(shù)據(jù)服務(wù)器數(shù)量龐大,系統(tǒng)漏洞多,運(yùn)維力量弱等特點(diǎn),容易被黑客攻破,即使相對(duì)獨(dú)立的局域網(wǎng)，也難以保證自身的安全，Wannacry病毒的爆發(fā)，就是一個(gè)例證。

3 基層網(wǎng)絡(luò)數(shù)據(jù)脆弱性原因

基層網(wǎng)絡(luò)數(shù)據(jù)安全除了上述提到的問(wèn)題外，還有安全意識(shí)不到位、管理不到位，重應(yīng)用輕安全，技術(shù)力量弱，漏洞補(bǔ)丁不及時(shí)等原因，突出的問(wèn)題主要有以下四點(diǎn)。

3.1 先期系統(tǒng)問(wèn)題多解決不主動(dòng)

多數(shù)基層網(wǎng)絡(luò)信息單位，數(shù)據(jù)安全網(wǎng)絡(luò)架構(gòu)缺乏整體規(guī)劃，信息量大服務(wù)器多，先期系統(tǒng)建設(shè)重應(yīng)用的多，安全方面考慮少，重要數(shù)據(jù)是明碼傳輸，不符合安全管理要求等問(wèn)題，解決成本非常高。信息化建設(shè)階段性明顯，某個(gè)階段建設(shè)的往往是選那家公司推銷的一堆產(chǎn)品和技術(shù)，不同階段安全產(chǎn)品相互脫節(jié)，缺少?gòu)男畔踩谋Ｃ苄?、完整性、可用性等需求為出發(fā)點(diǎn)，缺乏構(gòu)建以管理、技術(shù)和人員三者有機(jī)結(jié)合的立體的信息安全保障體系，想要整個(gè)解決系統(tǒng)安全問(wèn)題，會(huì)涉及大量的人力、物力、財(cái)力等問(wèn)題，很多單位領(lǐng)導(dǎo)不會(huì)主動(dòng)去觸碰，工作缺乏主動(dòng)性和積極性。

3.2 基層單位運(yùn)維力量較為薄弱

案例1與案例2中存在的風(fēng)險(xiǎn)隱患，互聯(lián)網(wǎng)上很早就有公示，但技術(shù)人員一直沒(méi)有打補(bǔ)丁，若不是被黑客攻擊與入侵，這些問(wèn)題一直延續(xù)著，案例中的現(xiàn)象，基層單位普遍存在。隨著互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)信息采集越來(lái)越精細(xì)化、多元化，越來(lái)越多的信息數(shù)據(jù)接入到網(wǎng)絡(luò)服務(wù)中，架構(gòu)越來(lái)越復(fù)雜，應(yīng)用服務(wù)器有如Tomcat、nginx等五大開源Web服務(wù)器，數(shù)據(jù)庫(kù)就有oracle、mysql等系統(tǒng)；另外系統(tǒng)本身的漏洞不斷被發(fā)現(xiàn)，數(shù)據(jù)庫(kù)不斷地完美，出現(xiàn)漏洞的數(shù)量不斷增加，僅CVE公布的Oracle漏洞數(shù)已達(dá)1100多個(gè)。很多基層網(wǎng)絡(luò)信息單位技術(shù)人員大多沒(méi)有能力解決，基層網(wǎng)絡(luò)單位整體運(yùn)維力量較為薄弱。

3.3 基層單位專業(yè)人材儲(chǔ)備不足

受體制、待遇等問(wèn)題限制，基層單位留不住技術(shù)強(qiáng)的人才，好的人才容易跳槽，儲(chǔ)備力量跟不上。單位梯隊(duì)培養(yǎng)意識(shí)較差，招聘過(guò)來(lái)的人員，是一個(gè)蘿卜一個(gè)坑，沒(méi)有更多的機(jī)會(huì)讓年輕人員跟班作業(yè)，或者送出去進(jìn)行必要的知識(shí)系統(tǒng)培訓(xùn)，導(dǎo)致部分的技術(shù)人員，對(duì)系統(tǒng)產(chǎn)生的日志不會(huì)看，或不知在何處看，如案例1，其數(shù)據(jù)庫(kù)是mysql，其每個(gè)日志文件有1Gb。二進(jìn)制格式，詳見圖1，該案發(fā)單位的技術(shù)人員，文件太大打不開，也不知如何轉(zhuǎn)為可讀的格式，也沒(méi)有閱讀工具。這說(shuō)明他們平時(shí)沒(méi)有去做維護(hù)；事實(shí)上，該單位已經(jīng)請(qǐng)專業(yè)的公司為他們做技術(shù)維護(hù)，但問(wèn)題同樣存在，因此真正的安全還是依靠自己的力量，大多基層單位技術(shù)人員儲(chǔ)備嚴(yán)重不足。

圖1 mysql數(shù)據(jù)庫(kù)的日志文件

3.4 使用人員安全意識(shí)不高

基層網(wǎng)絡(luò)數(shù)據(jù)應(yīng)用單位部分工作人員的安全意識(shí)不高，經(jīng)常使用互聯(lián)網(wǎng)下載未知的軟件，或者從不正規(guī)的網(wǎng)站上下載視頻,不知不覺(jué)中將一些惡意木馬病毒文件種植到自己的計(jì)算機(jī)中，這些行為都給黑客人員入侵計(jì)算機(jī)系統(tǒng)提供了機(jī)會(huì)，這次內(nèi)網(wǎng)受到Wannacry病毒攻擊，就是一個(gè)案例。還有網(wǎng)絡(luò)道德及相關(guān)法律法規(guī)教育不強(qiáng)，安全教育不夠，技術(shù)參數(shù)與設(shè)置太過(guò)簡(jiǎn)單，容易導(dǎo)致主要信息數(shù)據(jù)泄露?；鶎訂挝恢杏?jì)算機(jī)安全保密制度與規(guī)范，真實(shí)落實(shí)不多，大多是掛在墻上應(yīng)對(duì)檢查。

4 解決基層網(wǎng)絡(luò)數(shù)據(jù)安全方法

今年的6月1日《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施，要求網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改等義務(wù)，因此基層網(wǎng)絡(luò)數(shù)據(jù)安全問(wèn)題解決也已迫在眉捷。

4.1 推行演練，提升技術(shù)能力

基層單位一般都會(huì)建立和健全計(jì)算機(jī)安全保密制度，還規(guī)定如何規(guī)范操作、加強(qiáng)管理、落實(shí)安全責(zé)任、堵塞泄密漏洞[等制度。但這些制度真正重視落實(shí)的非常少，因此要解決基層網(wǎng)絡(luò)數(shù)據(jù)安全問(wèn)題，基層單位必須轉(zhuǎn)變觀念，不能等網(wǎng)站被攻擊、數(shù)據(jù)被破壞、竊取后再來(lái)解決問(wèn)題，推行一年至少一次的數(shù)據(jù)安全演練，重點(diǎn)針對(duì)三方面的問(wèn)題，即用戶非正常登錄訪問(wèn)網(wǎng)站關(guān)鍵數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)安全問(wèn)題、文件非正常上傳等問(wèn)題的發(fā)現(xiàn)能力。如圖2，一網(wǎng)站正常用戶登錄、輸入驗(yàn)證碼后留下的日志信息，基層技術(shù)人員要能讀得懂。利用問(wèn)題導(dǎo)向，通過(guò)演練，提升對(duì)系統(tǒng)的熟練程度，熟悉各系統(tǒng)的構(gòu)架，以及相應(yīng)的數(shù)據(jù)保存位置，從而進(jìn)一步提升發(fā)現(xiàn)數(shù)據(jù)被非正常修改、批量下載，網(wǎng)頁(yè)被非正常訪問(wèn)、文件非常正常上傳（包括木馬文件上傳）的能力,及時(shí)補(bǔ)漏，提升基層技術(shù)人才的能力。

圖2 某網(wǎng)站用戶登錄后的日志文件

4.2 尊重知識(shí)，建設(shè)安全并重

數(shù)據(jù)的安全，不僅指預(yù)防外部黑客竊取數(shù)據(jù)，還應(yīng)有防止開發(fā)人員繞過(guò)合法應(yīng)用，直接訪問(wèn)敏感數(shù)據(jù)；還有用戶用網(wǎng)頁(yè)跟蹤軟件抓取包數(shù)據(jù)，獲取應(yīng)用程序傳輸中的數(shù)據(jù)；另外數(shù)據(jù)庫(kù)的運(yùn)維人員，往往有最高范圍權(quán)限，一般為DBA，能看到數(shù)據(jù)庫(kù)中的所有敏感信息，不符合安全管理要求等問(wèn)題。核心數(shù)據(jù)，要通過(guò)數(shù)據(jù)庫(kù)透明加密功能，敏感數(shù)據(jù)保護(hù)，這些都需要在建設(shè)時(shí)就需考慮，實(shí)現(xiàn)權(quán)限控制和加密存儲(chǔ)，無(wú)授權(quán)用戶無(wú)法看到加密字段，也無(wú)法查看核心數(shù)據(jù)的明文。建設(shè)過(guò)程中考慮安全問(wèn)題，另外低安全配置、弱口令、高危程序代碼、權(quán)限寬泛等也需要在建設(shè)中解決，要留足夠的時(shí)間進(jìn)行安全測(cè)試。網(wǎng)絡(luò)應(yīng)用建設(shè)與網(wǎng)絡(luò)數(shù)據(jù)安全并重考慮，而不是建成重大安全問(wèn)題的應(yīng)用。

4.3 創(chuàng)新技術(shù)，提高智能監(jiān)測(cè)

計(jì)算機(jī)信息系統(tǒng)運(yùn)行是否正常運(yùn)行，大多基層單位技術(shù)人員通過(guò)查看系統(tǒng)日志的方式來(lái)發(fā)現(xiàn)，對(duì)于偽裝成正常用戶登錄的日志，人工巡查難以發(fā)現(xiàn)。想要有效發(fā)現(xiàn)黑客人員入侵前后的留下的活動(dòng)軌跡，必須提高智能監(jiān)測(cè)。市場(chǎng)上有銷售靜態(tài)的日志管理系統(tǒng)，對(duì)于DDOS攻擊的，還是缺少智能監(jiān)測(cè)能力，沒(méi)有辦法應(yīng)對(duì)與防范。因此加強(qiáng)技術(shù)的運(yùn)用，提高對(duì)日志動(dòng)態(tài)實(shí)現(xiàn)分析的能力，提高智能監(jiān)測(cè)，提供有效的預(yù)警，目前運(yùn)用大數(shù)據(jù)對(duì)服務(wù)器智能監(jiān)測(cè)的研究較多，但僅僅利用日志的信息開發(fā)的監(jiān)測(cè)能力還是非常有限，特別是現(xiàn)在IP資源不夠用，相同IP不同用戶訪問(wèn)會(huì)大量出現(xiàn)，因此想要提高智能監(jiān)測(cè)，還要結(jié)合數(shù)據(jù)庫(kù)、根據(jù)各自特點(diǎn)開發(fā)符合自己的智能監(jiān)測(cè)系統(tǒng)。

4.4 利用等保，加強(qiáng)外部監(jiān)督

等保是指信息安全等級(jí)保護(hù)的簡(jiǎn)稱，是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作，在中國(guó)、美國(guó)等很多國(guó)家都存在的一種信息安全領(lǐng)域的工作?；鶎泳W(wǎng)絡(luò)信息單位信息系統(tǒng)也可參與等保測(cè)評(píng)，信息系統(tǒng)運(yùn)營(yíng)、使用單位及其主管部門按照國(guó)家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全保護(hù)等級(jí)，自行組織實(shí)施安全保護(hù)，也可請(qǐng)當(dāng)?shù)氐墓簿W(wǎng)安部門給予漏洞掃描，針對(duì)在主機(jī)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全的技術(shù)要求部分，進(jìn)行掃描?；鶎訂挝粎⑴c等保信息系統(tǒng)安全等級(jí)測(cè)評(píng)，驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級(jí)的評(píng)估要求，加強(qiáng)外來(lái)監(jiān)督，及時(shí)發(fā)現(xiàn)問(wèn)題，是基層網(wǎng)絡(luò)數(shù)據(jù)安全的又一保障。

5 總結(jié)

網(wǎng)絡(luò)數(shù)據(jù)價(jià)值的不斷提升，針對(duì)網(wǎng)絡(luò)數(shù)據(jù)的安全威脅與日俱增，信息數(shù)據(jù)被精準(zhǔn)用于電信詐騙等刑事犯罪活動(dòng)，山東準(zhǔn)大學(xué)生徐玉玉案是以生命的代價(jià)說(shuō)明了數(shù)據(jù)被黑客竊取的嚴(yán)重后果，因此基層單位在數(shù)據(jù)建設(shè)應(yīng)用的同時(shí)，要在人財(cái)物、機(jī)制等方面要保障相應(yīng)的投入，確保網(wǎng)絡(luò)數(shù)據(jù)的安全, 希望能對(duì)基層網(wǎng)絡(luò)數(shù)據(jù)建設(shè)與應(yīng)用提供參考。

[1]李廣乾著.中國(guó)信息化建設(shè)的理論與政策研究.電子工業(yè)出版社，2016.

[2]安華金.和數(shù)據(jù)庫(kù)漏洞掃描系統(tǒng)(DBScan).互聯(lián)網(wǎng)上發(fā)布的數(shù)據(jù)，2016.

[3]鄧琪豪.基于網(wǎng)絡(luò)信息安全存在的問(wèn)題及對(duì)策[J].科學(xué)與財(cái)富，2016.

[4]郭圣娥.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題及其對(duì)策[J].網(wǎng)絡(luò)空間安全，2016.

[5]李治欣，徐靜珍.基層社區(qū)安全的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)改進(jìn)[J].信息技術(shù)，2016.

[6]張永良，張智勤，吳鴻韜，董靈平，周冰.基于改進(jìn)卷積神經(jīng)網(wǎng)絡(luò)的周界入侵檢測(cè)方法[J].計(jì)算機(jī)科學(xué)，2017.

[7]段娟，辛陽(yáng)，馬宇威.基于Web應(yīng)用的安全日志審計(jì)系統(tǒng)研究與設(shè)計(jì)[J].信息網(wǎng)絡(luò)安全，2014.