◆鐘煜明

“管技結合”治理網(wǎng)絡安全

◆鐘煜明

（廣州番禺職業(yè)技術學院教育技術與信息中心 廣東 511483）

在互聯(lián)網(wǎng)技術快速更新與發(fā)展中，網(wǎng)絡安全的問題越發(fā)顯著，增強網(wǎng)絡安全防御能力，對構建和諧綠色網(wǎng)絡具有重要意義。國家開展多項網(wǎng)絡安全深化治理專項行動，大力打擊網(wǎng)絡違法犯罪，通過對網(wǎng)絡安全當前形勢分析，結合黑客入侵方式的常見手段，提出“管技結合”理念，從管理和技術方面展開了多個維度的深入實踐探討，為網(wǎng)絡管理人員提供了經(jīng)驗分析和應對方針，強調用戶需要提高網(wǎng)絡安全意識，養(yǎng)成良好的網(wǎng)絡使用習慣，供相關讀者參考。

網(wǎng)絡安全；服務器安全；管理制度；技術措施；態(tài)勢感知

1 引言

2017年5月轟動全球的勒索病毒W(wǎng)annaCry爆發(fā)，該病毒借助永恒之藍漏洞嗜掠每一臺網(wǎng)絡計算機，在全世界人們還沒反應過來的時候，WannaCry病毒又迅速變種，緊接著Java Srces2反序列漏洞爆發(fā)，各地政府部門網(wǎng)站、事業(yè)單位網(wǎng)站、關鍵基礎設施被黑，網(wǎng)絡安全的重要性和緊急性刷新到了歷史新高度。任何操作系統(tǒng)、應用軟件、網(wǎng)站系統(tǒng)等，都有各種各樣的漏洞存在，目前我國網(wǎng)絡安全形勢嚴峻，黑客入侵、篡改、木馬等事件頻發(fā)。今年1月，借助新冠肺炎疫情事件，網(wǎng)絡黑客又利用新點話題，欺騙網(wǎng)絡用戶進入打開惡意鏈接，從而植入釣魚木馬入侵用戶系統(tǒng)。

2 網(wǎng)絡安全治理形勢

為提高信息安全保障能力和水平，國家先后發(fā)布《中華人民共和國網(wǎng)絡安全法》、《信息安全等級保護管理辦法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《網(wǎng)絡安全事件應急預案》等多項有關法律法規(guī)及處理辦法，提出“誰主管誰負責、誰使用誰負責、誰運營誰負責”的要求，并根據(jù)有關規(guī)定執(zhí)行“盡職無責，失職追責”的制度。各地方政府加強網(wǎng)絡安全意識形態(tài)，重視網(wǎng)絡安全治理，陸續(xù)推出多個省市地區(qū)的應急響應平臺、漏洞通報預警平臺等。公安部網(wǎng)警、網(wǎng)信辦、國家網(wǎng)絡安全工作小組、市委網(wǎng)絡安全和信息化委員會辦公室等多個部門，聯(lián)合開展四方聯(lián)查，成立“凈網(wǎng)”、“護網(wǎng)”等多項專項行動，大力打擊網(wǎng)絡安全違法行為，嚴查屬下各部門、單位的網(wǎng)絡安全狀況，組織開展自查抽查方式，監(jiān)督做好自身的網(wǎng)絡安全體系。

3 存在的問題

雖然上級部門針對網(wǎng)絡安全治理上做出大量的措施，但網(wǎng)絡安全事件仍然頻發(fā)，企業(yè)單位用戶存在對網(wǎng)絡安全意識仍然較低、對制度和上級的指示認識理解不深等問題。

（1）各地方上級建立了多個網(wǎng)絡安全預警平臺，但沒有形成統(tǒng)一垂直、唯一性的管核，存在越級管核，平臺過多導致下屬單位適得其反，一旦出現(xiàn)網(wǎng)絡安全事故，用戶報送處置不清晰。各平臺對事件的分析能力參差不齊，嚴重影響效率和準確性。

（2）網(wǎng)絡安全事故報送的相關部門較多，沒有共享數(shù)據(jù)平臺，當需要報送，用戶往往不知道要報送到哪些部門，漏報情況常發(fā)生。網(wǎng)絡安全事件報送條件定義不夠細化，報送后上級部門將會把事件擴大，處罰嚴厲，把相關人員逼向絕路，進一步導致用戶隱瞞不敢。

（3）數(shù)據(jù)信息使用傳統(tǒng)的辦公文檔郵件發(fā)送，缺乏數(shù)據(jù)平臺式的B/S結構系統(tǒng)，存在每次上報數(shù)據(jù)不一，同樣的報表多次重復報送、數(shù)據(jù)不準確等弊端。

4 解決方法

要有效提高網(wǎng)絡安全防控能力，提升用戶意識形態(tài)，需要建立由上而下的垂直管理戰(zhàn)線，樹立清晰的上級與下屬關系。網(wǎng)絡安全需要綜合防治，從多個方面下手，很多人只認為治理網(wǎng)絡安全是技術手段，而忽略了管理手段，其實兩者都同樣重要，任何一方做不好都不可能取得好的效果?！肮芗冀Y合”是網(wǎng)絡安全方面的兩手抓，兩手都要硬。做好網(wǎng)絡安全防控，需要從以下兩個方面治理：

4.1 管理手段

網(wǎng)絡管理手段對做好網(wǎng)絡安全有著不可缺少的重要意義，任何管理手段都需要以技術為核心。按要求執(zhí)行信息安全等級保護制度，每個業(yè)務系統(tǒng)都必須進行2.0標準的等級測評及整改，通過最終安全復檢測評后方可上線運行。申請信息安全等級保護專項經(jīng)費的同時就需要把整改預算也列入當中，備案申請的時候就需要有整改公司協(xié)助整改，避免單位自身技術力量不足，只備案不整改，最終驗收需要有限期內完成整改，對于超時整改的業(yè)務系統(tǒng)需要重新測評。

梳理單位信息系統(tǒng)詳細情況，由技術部主管制定清晰的梳理清單條目，清單包括網(wǎng)站名稱、功能簡述、IP、域名、操作系統(tǒng)版本、中間件版本、應用軟件及版本、數(shù)據(jù)庫版本等。技術人員按條目進行規(guī)范梳理。每個行業(yè)的表單可能不一樣，技術主管需要根據(jù)行業(yè)特性制定表單，網(wǎng)絡管理人員可以自行對表單進行增補項，以更加完善信息。

落實負責人、使用人員、技術人員，對本單位的網(wǎng)站系統(tǒng)進行歸屬登記，定期清理僵尸網(wǎng)站，對網(wǎng)站及網(wǎng)站負責人進行核查，對于不能確定、不清楚的網(wǎng)站，要立即關停。再次上線前必須做好安全體檢。建立完善的三級一線網(wǎng)站管理員，即：服務器系統(tǒng)管理員—應用超級管理員—普通管理員，如圖1所示。

圖1 三級管理員架構圖

4.2 技術手段

在網(wǎng)絡安全防護中，技術手段是最關鍵的部分，任何管理方式最終都是以技術手段來實現(xiàn)。除了企業(yè)單位公網(wǎng)業(yè)務以外，內網(wǎng)業(yè)務的安全也同樣是安全隱患的關鍵點，一旦內網(wǎng)服務器被入侵，黑客很可能利用肉雞服務器進行橫向滲透，入侵其他的內網(wǎng)服務器。所以企業(yè)自身的安全性也需要達標，內網(wǎng)安全技術簡略的歸納為邊界安全和主機安全，如圖2主機安全架構圖所示。

圖2 主機安全架構圖

（1）建立良好的網(wǎng)絡結構及邊界防護措施，根據(jù)企業(yè)自身實際環(huán)境和使用需求，制定最優(yōu)的網(wǎng)絡安全防護方案。清晰了解每臺服務器應用所需要開放的端口，設置防火墻及Web保護系統(tǒng)的策略，關閉其余不必要的端口及服務；設置詳細的網(wǎng)絡訪問規(guī)則，拒絕一切未授權訪問；設置內容關鍵詞過濾，禁止訪問不良信息的資源；網(wǎng)絡層面設置SSH、HTTPS等會話加密技術，防止傳輸會話被劫持抓包，泄露私密信息。

（2）由技術主管制定整體的安全防護方案和實施，技術員根據(jù)方案和實施要求，對每臺服務器主機進行策略設置；主機安裝防篡改系統(tǒng)、統(tǒng)一殺毒軟件、主機防火墻等，設置系統(tǒng)權限最小化，主機訪問控制權限，注冊表安全權限，關閉默認共享；服務器上的所有應用軟件、中間件、數(shù)據(jù)庫、操作系統(tǒng)等需要及時更新補丁，防止黑客利用最新漏洞入侵主機。

（3）業(yè)務系統(tǒng)的開發(fā)要嚴格按照信息系統(tǒng)等級保護2.0的標準進行開發(fā)和整改，對于老舊的業(yè)務系統(tǒng)必須升級或重新采購，符合標準后方可使用。除了對業(yè)務系統(tǒng)的功能需求之外，還必須在項目前期階段就制定好相應的信息安全規(guī)劃，使用標準編程語言進行開發(fā)，應用功能盡量使用模塊化框架設計等，以便后期的維護和修改。除了業(yè)務系統(tǒng)的前期開發(fā)，后期還應加入滲透測試檢驗，以入侵者的角度對網(wǎng)站進行滲透攻擊，反射出安全漏洞準確位置。

（4）弱密碼是網(wǎng)絡與信息安全中最常見的漏洞之一，同時也是用戶最容易忽視的安全隱患之一。入侵者只需要使用爆破工具，設置好字典庫，就可以實現(xiàn)掛機式的窮舉爆破攻擊，等待密碼被破解，后果不堪設想。要防范弱密碼風險，必須管理和技術相結合，從管理上要求用戶必須重視弱密碼，設置高強度密碼；從技術上加入密碼復雜度策略，不滿足策略要求的賬號無法使用。

5 總結

治理網(wǎng)絡與信息安全，是國家高度重視的重點之一，是每個網(wǎng)絡管理員的本職工作。網(wǎng)絡不可能100%安全，歸根結底，關鍵就是要加強網(wǎng)絡安全意識形態(tài)，有了安全意識才會有行動，才會有更好的應對技術措施。要做好網(wǎng)絡安全治理，必須“管技結合”，管理手段是盾，技術手段是矛，兩者同樣重要。目前，網(wǎng)絡入侵事件屢見不鮮，網(wǎng)絡與信息安全治理是一個高難度的細心活，需要不斷加強網(wǎng)絡安全意識，增加防治能力。隨著社會文明發(fā)展，人們對網(wǎng)絡安全意識的普及，相關制度越來越完善，在信息技術進步的同時，將最終共建成一個和諧、健康的綠色網(wǎng)絡體系。

[1]張儉.網(wǎng)絡安全管理與網(wǎng)絡安全等級保護制度探討[J].電腦知識與技術，2020（5）：41-42.

[2]鄧屾.基于VPN與網(wǎng)絡安全的研究[J].網(wǎng)絡安全技術與應用，2020（1）：35-36.

[3]李子欽.計算機網(wǎng)絡安全及防范[J].中國新技術新產(chǎn)品，2020（5）：69-70.

[4]畢海風.淺析網(wǎng)絡安全的研究過程[J].福建質量管理，2020（4）：255.

[5]趙金.談“云計算”環(huán)境中的計算機網(wǎng)絡安全[J].計算機產(chǎn)品與流通，2018（3）：22.

[6]黃俊.網(wǎng)絡安全技術研究分析[J].數(shù)字通信世界，2020（3）：73.

2021年廣州番禺職業(yè)技術學院科研項目（2021KJ20）