王 琚，張 偉

(1.國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心 天津300457；

2.天津市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察總隊(duì)案件支隊(duì) 天津300020)

信息部門(mén)在網(wǎng)絡(luò)安全工作中的挑戰(zhàn)與應(yīng)對(duì)

王 琚1，張 偉2

(1.國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心 天津300457；

2.天津市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察總隊(duì)案件支隊(duì) 天津300020)

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和廣泛應(yīng)用，網(wǎng)絡(luò)安全事件日益增多。結(jié)合信息安全工作的親身體會(huì)，基于業(yè)內(nèi)的成熟做法及工作經(jīng)驗(yàn)，從網(wǎng)絡(luò)黑客案件、惡性病毒、手機(jī)無(wú)線上網(wǎng)、網(wǎng)絡(luò)傳輸音視頻文件等幾方面論述了信息部門(mén)在網(wǎng)絡(luò)安全工作中面臨的挑戰(zhàn)，并提出了應(yīng)對(duì)建議。

信息部門(mén) 網(wǎng)絡(luò)安全 挑戰(zhàn)

1 網(wǎng)絡(luò)黑客

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和廣泛使用，網(wǎng)絡(luò)安全事件日益增多，其中黑客類(lèi)案件成為主要部分。黑客案件的性質(zhì)已從過(guò)去混雜惡意攻擊、竊取信息、個(gè)人炫技等多種因素轉(zhuǎn)變?yōu)橐苑欠ㄊ侄尉鹑〗?jīng)濟(jì)利益為主要目的。黑客的攻擊對(duì)象主要針對(duì)金融、通訊、教育系統(tǒng)的服務(wù)器資源以及個(gè)人的網(wǎng)游、網(wǎng)銀信息資源。對(duì)單位企業(yè)網(wǎng)站漏洞的利用是黑客的主要攻擊手段。網(wǎng)站漏洞有多種類(lèi)型，包括操作系統(tǒng)類(lèi)型、數(shù)據(jù)庫(kù)服務(wù)器類(lèi)型、Web服務(wù)器類(lèi)型、FTP服務(wù)器類(lèi)型、應(yīng)用程序類(lèi)型等。操作系統(tǒng)型漏洞是開(kāi)發(fā)廠商設(shè)計(jì)時(shí)留下的缺陷，它的解決方法包括及時(shí)更新系統(tǒng)補(bǔ)丁。單純 FTP服務(wù)器型漏洞可以靠打上相應(yīng)補(bǔ)丁進(jìn)行防范，但通常 FTP服務(wù)與其他服務(wù)共處一臺(tái)服務(wù)器，一旦別的服務(wù)漏洞遭到攻擊，就會(huì)造成所有服務(wù)的攻破。應(yīng)用程序型漏洞來(lái)源于第三方應(yīng)用程序自身，一方面應(yīng)慎重安裝應(yīng)用軟件，另一方面要安裝安全軟件并及時(shí)查毒。Web服務(wù)器型漏洞是黑客利用的重點(diǎn)，它主要包括跨站腳本執(zhí)行漏洞、SQL注入漏洞、緩沖區(qū)溢出漏洞、拒絕服務(wù)漏洞、CGI源代碼泄漏漏洞等，而數(shù)據(jù)庫(kù)服務(wù)器也多出現(xiàn)緩沖區(qū)溢出漏洞。信息部門(mén)的網(wǎng)管要清楚了解本部門(mén)網(wǎng)站服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器的配置，如它們的組合是ASP＋SQL Server，還是 PHP＋MySQL，每種腳本語(yǔ)言及數(shù)據(jù)庫(kù)的主要命令怎樣應(yīng)用。如果由網(wǎng)絡(luò)公司代為搭建服務(wù)器，應(yīng)向公司的工程師詳細(xì)咨詢(xún)并索要服務(wù)器的使用說(shuō)明文檔。對(duì)自身服務(wù)器漏洞的查詢(xún)可以依靠軟硬件的漏洞掃描工具來(lái)完成。對(duì)網(wǎng)絡(luò)機(jī)房設(shè)備的安全維護(hù)應(yīng)當(dāng)建立健全的管理機(jī)制，如制定安全管理制度，制度條例以條文形式張貼于機(jī)房室內(nèi)；制定網(wǎng)管人員每日巡查制度并撰寫(xiě)巡檢報(bào)告；建立網(wǎng)絡(luò)漏洞定期掃描和評(píng)估制度；為每名網(wǎng)管和服務(wù)器管理人員分配對(duì)應(yīng)的管理權(quán)限，原則上只允許一名系統(tǒng)管理員權(quán)限存在；按照國(guó)家實(shí)驗(yàn)室認(rèn)可標(biāo)準(zhǔn)和信息安全等級(jí)保護(hù)管理辦法等相關(guān)要求定期組織單位內(nèi)部自查和對(duì)下屬單位監(jiān)督檢查；組織網(wǎng)管人員定期培訓(xùn)。上述管理方法同樣適用于網(wǎng)絡(luò)安全部門(mén)對(duì)社會(huì)各信息單位開(kāi)展等級(jí)保護(hù)檢查工作，在檢查各個(gè)單位的服務(wù)器時(shí)可根據(jù)各單位的配置經(jīng)驗(yàn)按照配置類(lèi)型進(jìn)行分組，遵照典型案例的特點(diǎn)去驗(yàn)證同組情況，在同組配置中尋找特例。

2 惡性病毒

ARP病毒、DDoS攻擊情況屢見(jiàn)于單位的內(nèi)網(wǎng)，經(jīng)常造成網(wǎng)絡(luò)癱瘓及數(shù)據(jù)丟失，基于此采取相應(yīng)的應(yīng)對(duì)防范措施尤為重要。如建立每臺(tái)內(nèi)網(wǎng)內(nèi)機(jī)器的 IPMAC列表，用專(zhuān)用軟件每天定時(shí)巡檢其對(duì)應(yīng)性；建立每臺(tái)工作用機(jī)的硬件及操作系統(tǒng)的配置檔案并存儲(chǔ)入庫(kù)；設(shè)立硬件防火墻，定期檢查機(jī)房?jī)?nèi)主干網(wǎng)用路由器、交換機(jī)、防火墻的日志信息并導(dǎo)出保存；每臺(tái)工作用機(jī)由使用者負(fù)責(zé)維護(hù)，嚴(yán)格落實(shí)安全軟件的安裝和升級(jí)制度；每臺(tái)聯(lián)網(wǎng)機(jī)器制作并保存系統(tǒng)的備份，網(wǎng)管建立并保存服務(wù)器的備份；網(wǎng)管制作和保存單位內(nèi)部設(shè)備拓?fù)鋱D，一旦內(nèi)網(wǎng)有感染病毒的機(jī)器再現(xiàn)，能及時(shí)將該機(jī)器或其所屬子網(wǎng)隔離出內(nèi)網(wǎng)；可在條件允許的情況下，將內(nèi)網(wǎng)用3層交換機(jī)設(shè)置VLAN以區(qū)分出辦公、實(shí)驗(yàn)、涉密等不同使用領(lǐng)域；與單位網(wǎng)絡(luò)的ISP簽訂協(xié)議，定期更換單位的公網(wǎng)IP，以規(guī)避有針對(duì)性的來(lái)自外網(wǎng)的DDoS、ARP攻擊。

3 手機(jī)無(wú)線上網(wǎng)

隨著智能手機(jī)的廣泛使用和無(wú)線寬帶技術(shù)的發(fā)展，網(wǎng)絡(luò)使用人群已由傳統(tǒng)的 PC向移動(dòng)終端過(guò)渡。對(duì)無(wú)線信號(hào)屬性的掌握和移動(dòng)終端的合理應(yīng)用成為應(yīng)注意的主要問(wèn)題。如主流無(wú)線路由器等無(wú)線設(shè)備的常見(jiàn)型號(hào)及配置，信號(hào)穿透能力及散布范圍，設(shè)備對(duì)不同方向的信號(hào)衰減程度，不同型號(hào)設(shè)備的抗干擾性；關(guān)注和跟蹤藍(lán)牙的無(wú)線傳輸和發(fā)射技術(shù)；對(duì)獲得的目標(biāo)手機(jī)的基站定位參數(shù)進(jìn)行解讀和正確拆分，并以此為根據(jù)在手機(jī)基站定位軟件上定位目標(biāo)手機(jī)的實(shí)際地點(diǎn)。

4 網(wǎng)絡(luò)音視頻文件傳輸

面對(duì)流通于網(wǎng)絡(luò)和存儲(chǔ)于單位服務(wù)器上的大量音視頻文件，對(duì)其進(jìn)行有效分析和管理是保護(hù)自身信息安全和有效利用信息資源的重要工作。除了依靠專(zhuān)業(yè)技術(shù)開(kāi)發(fā)對(duì)音視頻文件的獲取、壓縮和存儲(chǔ)的處理手段外，還可致力于開(kāi)發(fā)對(duì)音視頻文件的分析和判別技術(shù)，尤其是集成頻率提取技術(shù)、人面識(shí)別技術(shù)、連續(xù)相似視頻合并及非焦點(diǎn)淡化技術(shù)的綜合處理模式。

5 電子數(shù)據(jù)鑒定

全國(guó)大部分地區(qū)已經(jīng)建立了電子數(shù)據(jù)鑒定實(shí)驗(yàn)室，這對(duì)涉及電子數(shù)據(jù)、信息司法裁定具有重大意義。而作為信息單位，在具備對(duì)電子數(shù)據(jù)的分析、恢復(fù)、獲取等專(zhuān)業(yè)技術(shù)的同時(shí)，應(yīng)加強(qiáng)對(duì)本單位重要數(shù)據(jù)的保護(hù)及管理。涉及重要數(shù)據(jù)分析、保管的部門(mén)人員應(yīng)加強(qiáng)對(duì)電子數(shù)據(jù)鑒定領(lǐng)域的國(guó)家、行業(yè)標(biāo)準(zhǔn)及技術(shù)規(guī)范的學(xué)習(xí)。有條件的單位應(yīng)專(zhuān)門(mén)設(shè)立獨(dú)立部門(mén)和人員從事電子數(shù)據(jù)的提取、固定與恢復(fù)，數(shù)據(jù)的分析與鑒定，信息系統(tǒng)分析與鑒定等工作。對(duì)于重要信息數(shù)據(jù)的操作及保存要結(jié)合本單位工作特點(diǎn)制定專(zhuān)門(mén)的操作規(guī)范和流程。

6 信息保密意識(shí)和機(jī)制

信息部門(mén)在日常工作中要處理大量來(lái)自各個(gè)領(lǐng)域的數(shù)據(jù)，這些數(shù)據(jù)分為外部和內(nèi)部，其中相當(dāng)一部分被列為涉密數(shù)據(jù)，關(guān)系著本部門(mén)的經(jīng)濟(jì)利益、未來(lái)發(fā)展甚至全社會(huì)的安全與穩(wěn)定。因此信息部門(mén)在工作中應(yīng)進(jìn)一步增強(qiáng)保密意識(shí)，涉密文件應(yīng)注明密級(jí)、保密期限、發(fā)放范圍和數(shù)量；要對(duì)形成重要數(shù)據(jù)、文件過(guò)程中的中間材料、介質(zhì)妥善保管；無(wú)需保管的，統(tǒng)一銷(xiāo)毀；接收涉密數(shù)據(jù)、文件時(shí)要及時(shí)清點(diǎn)并對(duì)存儲(chǔ)介質(zhì)登記造冊(cè)；涉密數(shù)據(jù)載體及文件應(yīng)鎖存于密碼柜或檔案柜中；此外，從事涉密數(shù)據(jù)業(yè)務(wù)的員工要經(jīng)過(guò)保密知識(shí)培訓(xùn)，提高保密意識(shí)。

［1］王天予.漏洞之殤 被忽視的誤區(qū)與盲區(qū)[EB/OL].http：//safe.zol.com.cn/226/2265212.html.2011.

［2］金波，黃道麗，夏榮.電子數(shù)據(jù)鑒定標(biāo)準(zhǔn)體系研究[EB/OL].http：//blog.legaldaily.com.cn/blog/html/83/2455883-34083.html.2013.

Network Security Challenges Faced by Information Departments and Relative Countermeasures

WANG Ju1，ZHANG Wei2
(1.National Computer Virus Emergency Response Center，Tianjin 300457，China；2.Case Department of Public Information Network Security Supervision Office，Tianjin Municipal Public Security Bureau，Tianjin 300020，China)

With the fast development of network technologies and their wide application，network security incidents are now increasing rapidly.Based on personal experiences as industry insiders and mature industrial practices，the authors discussed challenges faced by information departments in the areaof network security from the aspects of the rising of hacker attacks，malicious viruses，wireless internet accesses by mobile phones and internet transferringof audio/video files.In the end，some countermeasures were presented.

information department；network security；challenge

TP393.0

A

1006-8945(2014)12-0021-02

2014-11-05