徐玉明

（宣化科技職業(yè)學(xué)院，河北 張家口 075100）

0 引言

隨著信息技術(shù)的不斷發(fā)展，計算機網(wǎng)絡(luò)使用的范圍也越來越廣。構(gòu)建一個具有自適應(yīng)能力的網(wǎng)絡(luò)安全防護(hù)體系也成為各大企業(yè)所必須注重的問題。目前使用較為廣泛的網(wǎng)絡(luò)安全技術(shù)有數(shù)據(jù)備份技術(shù)、防病毒技術(shù)、入侵檢測技術(shù)、入侵防御技術(shù)等。

1 網(wǎng)絡(luò)安全運維的基本概念

網(wǎng)絡(luò)安全運維指技術(shù)人員使用專業(yè)化的技術(shù)手段和工具對計算機網(wǎng)絡(luò)中的軟件和硬件進(jìn)行合理而科學(xué)的控制管理以及安全維護(hù)，保障信息系統(tǒng)的保密性，完整性以及可用性，使用戶的業(yè)務(wù)系統(tǒng)及信息數(shù)據(jù)不受刻意或非刻意的丟失或破壞。在進(jìn)行網(wǎng)絡(luò)安全服務(wù)的過程中，安全運維是一項常態(tài)化、周期長的服務(wù)內(nèi)容。該項服務(wù)涉及領(lǐng)域眾多，細(xì)節(jié)點繁雜。技術(shù)人員必須掌握網(wǎng)絡(luò)安全設(shè)備的相關(guān)知識，如計算機網(wǎng)絡(luò)的基本概念、風(fēng)險評估、滲透測試等［1］。

2 影響信息系統(tǒng)網(wǎng)絡(luò)安全的主要因素

2.1 系統(tǒng)漏洞

系統(tǒng)漏洞也叫脆弱性，計算機網(wǎng)絡(luò)主要由硬件和軟件組成，其中硬件指具有硬件實體的網(wǎng)絡(luò)設(shè)備，而軟件則是操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用程序等。目前，影響信息系統(tǒng)網(wǎng)絡(luò)安全的重要因素是系統(tǒng)自身存在的漏洞。漏洞問題的存在會使用戶在不經(jīng)意間遭受黑客入侵，影響學(xué)習(xí)生活，甚至?xí)τ脩舻呢敭a(chǎn)安全造成嚴(yán)重破壞，尤其是零日漏洞。零日漏洞指系統(tǒng)中存在但未被廠商公布的漏洞，會對用戶的網(wǎng)絡(luò)安全產(chǎn)生極大威脅［2］。

2.2 病毒木馬的威脅

病毒木馬的本質(zhì)其實就是一段惡意代碼，是黑客和不法分子為了獲取利益或達(dá)成某種目的而制作的程序，具有自動復(fù)制、自我修復(fù)以及更改用戶信息等功能。病毒木馬具有較高的迷惑性、隱蔽性和傳染性。目前較為常見的病毒類型有感染型病毒、宏病毒、蠕蟲病毒、勒索病毒等。用戶在使用計算機的過程中，若下載了病毒木馬文件，將會對系統(tǒng)的安全性埋下巨大的隱患，導(dǎo)致數(shù)據(jù)泄露、勒索，甚至系統(tǒng)癱瘓的后果。

2.3 管理層面的問題

不同于技術(shù)領(lǐng)域，管理層面是最容易被企業(yè)忽視，也是最容易埋下安全隱患的一項內(nèi)容。若沒有可靠的管理措施，企業(yè)極容易因自身原因或社會工程學(xué)攻擊導(dǎo)致數(shù)據(jù)泄露乃至財產(chǎn)損失。

2.4 APT攻擊

APT攻擊全稱為高級持續(xù)性威脅攻擊，是一種專業(yè)化程度高、持續(xù)周期長、隱蔽性強的攻擊類型，是目前最難防范，也是最具危害性的網(wǎng)絡(luò)攻擊。APT攻擊主要分為6個步驟，分別是情報收集、進(jìn)入點、C＆C通信、橫向移動、數(shù)據(jù)發(fā)掘以及數(shù)據(jù)滲透。傳統(tǒng)的技術(shù)手段很難防范住APT攻擊［3］。

3 網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)安全運維中的應(yīng)用

3.1 數(shù)據(jù)備份技術(shù)

備份與恢復(fù)是用戶方使用數(shù)據(jù)庫中不可缺少的部分，也是用戶方在使用數(shù)據(jù)庫時會經(jīng)常碰到的問題，當(dāng)用戶方使用一個數(shù)據(jù)庫時，總希望數(shù)據(jù)庫的內(nèi)容是可靠的、正確的，但由于計算機系統(tǒng)的故障(硬件故障、軟件故障、網(wǎng)絡(luò)故障、進(jìn)程故障和系統(tǒng)故障）影響數(shù)據(jù)庫系統(tǒng)的操作，影響數(shù)據(jù)庫中數(shù)據(jù)的正確性，甚至破壞數(shù)據(jù)庫，使數(shù)據(jù)庫中全部或部分?jǐn)?shù)據(jù)丟失。因此當(dāng)發(fā)生上述故障后，希望能重新建立一個完整的數(shù)據(jù)庫，該處理稱為數(shù)據(jù)庫恢復(fù)。備份僅僅是數(shù)據(jù)保護(hù)的手段， “備份數(shù)據(jù)必須能夠迅速、正確地進(jìn)行恢復(fù)” 才是真正的目的，即企業(yè)規(guī)劃備份架構(gòu)時應(yīng)該以恢復(fù)為最終目的進(jìn)行構(gòu)架，當(dāng)意外發(fā)生時、當(dāng)用戶端提出恢復(fù)需求時，備份數(shù)據(jù)要能快速、可靠地恢復(fù)，如此的備份才是值得信賴的備份，才有其存儲的意義。

3.2 防病毒技術(shù)

為了最大程度上避免計算機病毒對信息系統(tǒng)產(chǎn)生不良影響，大部分企業(yè)會大規(guī)模地在計算機上部署防病毒軟件。目前，市面上有著各種各樣的防病毒軟件，在服務(wù)器和終端上均有出色的表現(xiàn)。有的防病毒軟件采用的是C/S架構(gòu)，可以進(jìn)行集中管控。目前，較為知名的有360的天擎，亞信安全的防毒墻網(wǎng)絡(luò)版以及火絨殺毒軟件等。防病毒軟件可以利用病毒碼和病毒庫對計算機中的所有文件進(jìn)行識別和分析。因此，在使用殺毒軟件的過程中，用戶必須定期對病毒碼和病毒庫進(jìn)行更新。

3.3 入侵檢測技術(shù)

入侵檢測技術(shù)也叫IDS技術(shù)，指的是利用入侵檢測設(shè)備對信息系統(tǒng)的進(jìn)出口流量進(jìn)行實時檢測，在發(fā)現(xiàn)危險流量時及時進(jìn)行告警。運維人員可根據(jù)告警信息判斷攻擊類型，并確認(rèn)攻擊的進(jìn)入點，從而快速響應(yīng)，采取手段對其進(jìn)行封禁。目前，大部分入侵檢測設(shè)備采用的是透明部署或者是旁路部署的方式，這種部署方式能夠?qū)W(wǎng)絡(luò)系統(tǒng)的影響降到最低，不改變原有的網(wǎng)絡(luò)拓?fù)洹＞W(wǎng)絡(luò)設(shè)備將鏡像流量復(fù)制到指定端口，入侵檢測設(shè)備接入該端口，對特定的流量進(jìn)行分析［4］。

3.4 防火墻技術(shù)

防火墻是網(wǎng)絡(luò)安全防護(hù)體系中使用最廣泛，也是發(fā)展周期最長的一項安全設(shè)備。經(jīng)過數(shù)次技術(shù)迭代，防火墻的功能得到了全面的提升。防火墻的本質(zhì)是隔離本地網(wǎng)絡(luò)與外地網(wǎng)絡(luò)的一種防御系統(tǒng)。根據(jù)其功能特點的不同，還可以將其分為包過濾防火墻、應(yīng)用代理防火墻以及Web應(yīng)用防火墻。防火墻技術(shù)基于黑白名單機制，對進(jìn)出口流量進(jìn)行過濾實現(xiàn)網(wǎng)絡(luò)全防護(hù)的效果。因此，運維人員必須對企業(yè)的業(yè)務(wù)情況以及網(wǎng)絡(luò)全態(tài)勢進(jìn)行充分了解。設(shè)定最科學(xué)有效的防護(hù)策略，才能夠使防火墻的功能得到最大化。除了常見的功能之外，下一代防火墻還具有VPN，防病毒甚至態(tài)勢感知的功能。

3.5 安全加固

安全加固是指對在風(fēng)險評估中發(fā)現(xiàn)的系統(tǒng)安全風(fēng)險進(jìn)行處理，按照級別不同，應(yīng)該在相應(yīng)時間內(nèi)完成。安全加固的內(nèi)容主要包括：

(1）日常安全加固工作，主要根據(jù)風(fēng)險評估結(jié)果進(jìn)行系統(tǒng)安全調(diào)優(yōu)服務(wù)，根據(jù)系統(tǒng)運行需要適時調(diào)整各類設(shè)備及系統(tǒng)配置、合理規(guī)劃系統(tǒng)資源、消除系統(tǒng)漏洞，提高系統(tǒng)穩(wěn)定性和可靠性。

(2）主動安全加固，在未出現(xiàn)安全事故之前就對已經(jīng)通報或者暴露出來的軟件漏洞或最新病毒庫更新，就主動進(jìn)計劃的升級和改進(jìn)，從而避免出現(xiàn)安全事故。

具體加固內(nèi)容包括但不限于：賬戶策略、賬戶鎖定策略、審核策略、NTFS、用戶權(quán)限分配、系統(tǒng)服務(wù)策略、補丁管理、事件日志、應(yīng)用軟件的更新等。

3.6 主動性運維服務(wù)

維護(hù)團隊根據(jù)系統(tǒng)維護(hù)服務(wù)計劃或用戶要求為用戶提供定期預(yù)防性維護(hù)服務(wù)。此類服務(wù)是有計劃有步驟進(jìn)行的，目的是提高系統(tǒng)的可使用率和高可靠性，把系統(tǒng)故障的可能性降低到最低。在硬件維護(hù)方面，維護(hù)團隊工程師每兩周進(jìn)行一次現(xiàn)場例行檢查，為用戶維護(hù)硬件設(shè)備，并為用戶替換那些雖然能夠工作但不是很正常的部件，以避免系統(tǒng)崩潰的情況發(fā)生，防患于未然。在系統(tǒng)服務(wù)方面，應(yīng)指定預(yù)防性服務(wù)級別，安裝預(yù)防性PTF軟件(補丁軟件）檢測系統(tǒng)運行狀況，解決系統(tǒng)軟件問題，使用戶的系統(tǒng)保持良好的運行狀況。維護(hù)團隊?wèi)?yīng)提供一月一次的系統(tǒng)運行健康檢查，按計劃由專家定期對主機系統(tǒng)性能進(jìn)行診斷，根據(jù)結(jié)果出具性能診斷報告，并征得用戶同意后調(diào)整系統(tǒng)參數(shù)，使系統(tǒng)始終在最佳狀態(tài)下運行。對可能出現(xiàn)的問題提供科學(xué)預(yù)測，并采取必要的預(yù)防和補救措施，防患于未然。

3.7 漏洞掃描技術(shù)

具有較高可用性的漏掃工具及功能完備的漏掃環(huán)境是一切工作正常開展的前提，要求技術(shù)人員必須在規(guī)定時間內(nèi)準(zhǔn)備好漏洞掃描所要用到的一切工具和環(huán)境。所有的工具均應(yīng)接受專家和領(lǐng)導(dǎo)層的檢查并經(jīng)后者同意后方可投入使用，不可使用未經(jīng)授權(quán)及對網(wǎng)絡(luò)產(chǎn)生較大負(fù)載和風(fēng)險的工具。針對在漏洞掃描過程中發(fā)現(xiàn)的高危漏洞，技術(shù)人員應(yīng)及時對其進(jìn)行復(fù)現(xiàn)驗證，精準(zhǔn)定位漏洞所在和威脅實況，從攻擊者的角度深度評測漏洞的風(fēng)險狀況。在漏洞復(fù)現(xiàn)前，技術(shù)人員應(yīng)將復(fù)現(xiàn)過程及可能出現(xiàn)的風(fēng)險以書面或當(dāng)面溝通的方式告知客戶方，并配合其及時做好數(shù)據(jù)備份，防止業(yè)務(wù)中斷。復(fù)現(xiàn)過程將在監(jiān)管人員的監(jiān)督下進(jìn)行，同時禁止使用流量攻擊、數(shù)據(jù)篡改、命令執(zhí)行等對系統(tǒng)產(chǎn)生不良影響的方式方法。漏洞報告的輸出將嚴(yán)格按照經(jīng)審核通過的模板和框架，內(nèi)容包括但不限于：漏洞種類、涉及IP、復(fù)現(xiàn)流程、整改建議等。漏洞掃描結(jié)束后，技術(shù)人員還應(yīng)及時跟進(jìn)漏洞修復(fù)的進(jìn)度，針對部分未及時修復(fù)的漏洞應(yīng)及時進(jìn)行溝通。

4 結(jié)語

網(wǎng)絡(luò)安全問題是各行各業(yè)所關(guān)注的重點問題，應(yīng)積極構(gòu)建具有自適應(yīng)功能的網(wǎng)絡(luò)安全防護(hù)體系，加強在網(wǎng)絡(luò)安全運維的投入。采用技術(shù)加管理并重的理念進(jìn)行網(wǎng)絡(luò)全防護(hù)體系的建設(shè)。

（編輯 李春燕）