■陳凱航

牢固建立“三道防線”加強計算機網(wǎng)絡(luò)安全管理

■陳凱航

一、計算機網(wǎng)絡(luò)安全管理內(nèi)容

計算機網(wǎng)絡(luò)安全是指計算機網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)數(shù)據(jù)受到保護，不因偶然或惡意遭到破壞、更改、泄露，安全完整地為用戶提供信息，其實質(zhì)是信息安全管理。根據(jù)PDRR（Protecr防護、Detect檢測、React響應(yīng)和Restore恢復(fù)的縮寫）網(wǎng)絡(luò)安全管理模型,網(wǎng)絡(luò)安全管理應(yīng)當(dāng)包括防護，自動檢測、管理、監(jiān)控、處理漏洞和攻擊，及時阻止或延遲侵入，對安全事件做出快速反應(yīng)和災(zāi)難恢復(fù)等內(nèi)容，其中：網(wǎng)絡(luò)防護主要包括網(wǎng)絡(luò)訪問控制、鑒別、數(shù)據(jù)保密、數(shù)據(jù)完整、行為完整性、抗抵賴性和可用性等方面的安全防護；安全檢測主要包括信道斷路檢測、通信連接檢測，同一信息交換平臺檢測和巡視，計算機硬件系統(tǒng)安全檢測，網(wǎng)絡(luò)設(shè)備安全漏洞檢測、網(wǎng)絡(luò)通信數(shù)據(jù)流實時監(jiān)控和網(wǎng)絡(luò)攻擊實時監(jiān)控，操作系統(tǒng)已知安全漏洞檢測和操作系統(tǒng)已知攻擊實時監(jiān)控等；安全反應(yīng)包括信道斷路反應(yīng),對被檢測出的硬件系統(tǒng)漏洞和攻擊進行反應(yīng),對被檢測出網(wǎng)絡(luò)漏洞和攻擊進行反應(yīng),對被檢測出操作系統(tǒng)漏洞和攻擊進行反應(yīng)；災(zāi)難恢復(fù)主要是將系統(tǒng)和數(shù)據(jù)恢復(fù)到原來正常業(yè)務(wù)運營狀態(tài)。

二、計算機網(wǎng)絡(luò)安全問題及成因

計算機網(wǎng)絡(luò)安全問題可劃分如下幾類：

1.網(wǎng)絡(luò)物理安全問題。網(wǎng)絡(luò)物理環(huán)境包括網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)布局、和網(wǎng)絡(luò)運營機房安全管理等方面。網(wǎng)絡(luò)系統(tǒng)自身設(shè)備老化和損壞，可出現(xiàn)網(wǎng)絡(luò)系統(tǒng)完整性喪失、服務(wù)中斷；網(wǎng)絡(luò)建設(shè)審批不嚴(yán)，網(wǎng)絡(luò)布局不合理，影響通信暢通和管理；網(wǎng)絡(luò)運營環(huán)境安全管理疏漏、設(shè)備不全，缺乏監(jiān)控、報警、火警和消防等安全措施，以及不可預(yù)測的自然災(zāi)害，可致使網(wǎng)絡(luò)安全突發(fā)事件發(fā)生。

2.網(wǎng)絡(luò)通信遭受被動攻擊。被動攻擊最常見的是截獲，就是攻擊者從網(wǎng)絡(luò)上竊聽他人通信內(nèi)容，不作任何修改。網(wǎng)絡(luò)通信遭截獲原因是網(wǎng)絡(luò)傳輸設(shè)備、交換設(shè)備、傳輸線、通信終端等未采用電磁，屏蔽、吸收、過濾等技術(shù)，電磁輻射未限定在國家標(biāo)準(zhǔn)規(guī)定的區(qū)域和范圍內(nèi)，未在信道上實施防泄露、防截獲的安全防范技術(shù)和保密通信技術(shù)，未采取多路傳輸、分組交換和多路由方法。

3.網(wǎng)絡(luò)通信遭受主動攻擊。一是通信設(shè)備和通信線路未進行物理保護、檢測，未執(zhí)行適當(dāng)?shù)募用芎丸b別技術(shù)，網(wǎng)絡(luò)報文遭受故意篡改、斷傳、偽造。二是缺少適當(dāng)?shù)姆床《拒浖?，網(wǎng)絡(luò)通信遭受計算機病毒、計算機蠕蟲、特洛伊木馬和邏輯炸彈等惡意程序破壞。三是未實施抗拒絕服務(wù)，攻擊者產(chǎn)生大量數(shù)據(jù)流方式占用網(wǎng)絡(luò)帶寬，向服務(wù)器發(fā)送畸形數(shù)據(jù)包使網(wǎng)絡(luò)崩潰，向應(yīng)用程序發(fā)送非法請求使其崩潰，創(chuàng)建許多大文件耗盡磁盤空間等，阻止或妨礙合法用戶對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序的正常使用。四是安檢手段缺失，加密技術(shù)與適當(dāng)?shù)蔫b別技術(shù)末有機結(jié)合，網(wǎng)絡(luò)遭受分布式拒絕服務(wù)（DDOS）攻擊，即攻擊者在多臺主機中植入攻擊代理程序，由攻擊者遠程控制這些代理程序同時向受害者發(fā)動攻擊，以大量消耗受害者的網(wǎng)絡(luò)和計算機資源。

4.內(nèi)部管理缺失對網(wǎng)絡(luò)安全造成負(fù)面影響。網(wǎng)絡(luò)運行與系統(tǒng)維護日常管理制度不健全，缺乏定期檢測、監(jiān)督制度，崗位分工不合理，人員素質(zhì)與崗位不匹配，權(quán)限過大等，可造成日常數(shù)據(jù)保護及維護失職，影響周期數(shù)據(jù)備份、恢復(fù)以及驗證數(shù)據(jù)的完整性；安全事件檢測統(tǒng)計分析工作不到位，未能及時發(fā)現(xiàn)網(wǎng)絡(luò)安全入侵事件、掌握威脅及威脅影響，致使人為因素導(dǎo)致計算機網(wǎng)絡(luò)安全問題產(chǎn)生或蔓延，現(xiàn)有的防范監(jiān)測系統(tǒng)形同虛設(shè)。

三、加強計算機網(wǎng)絡(luò)安全管理建議

一是牢固建立網(wǎng)絡(luò)安全第一道防線——網(wǎng)絡(luò)安全物理防線。網(wǎng)絡(luò)安全物理環(huán)境是控制環(huán)境風(fēng)險和不可預(yù)知情況產(chǎn)生的第一道防線。構(gòu)建網(wǎng)絡(luò)安全物理環(huán)境，必須堅持科技高度支持業(yè)務(wù)發(fā)展的管理目標(biāo)，按照網(wǎng)絡(luò)建設(shè)標(biāo)準(zhǔn)、要求和審批流程，使用安全可控網(wǎng)絡(luò)產(chǎn)品和安全類系統(tǒng)，建設(shè)網(wǎng)絡(luò)安全運營環(huán)境。同時，做好每日網(wǎng)絡(luò)物理環(huán)境監(jiān)測工作，保持計算機機房適當(dāng)?shù)臏貪穸龋捎脠缶b置，實施網(wǎng)絡(luò)物理隔離等防護手段。

二是牢固建立網(wǎng)絡(luò)安全第二道防線——網(wǎng)絡(luò)邊界安全防線。加強網(wǎng)絡(luò)接入和訪問控制,嚴(yán)密網(wǎng)絡(luò)接入審批，做好網(wǎng)絡(luò)加密信息保密、安全防護軟件安裝、網(wǎng)段劃分和路由控制工作，對涉及資金和敏感信息的系統(tǒng)工程應(yīng)劃分獨立網(wǎng)段，制定網(wǎng)絡(luò)服務(wù)保證規(guī)劃，保證重要業(yè)務(wù)優(yōu)先處理。合理配置防火墻和交換機，對網(wǎng)絡(luò)設(shè)備和系統(tǒng)主機訪問控制應(yīng)達到單個計算機級別，嚴(yán)格控制外部網(wǎng)絡(luò)訪問。做好入侵事件統(tǒng)計分析工作，及時對入侵檢測系統(tǒng)特征庫升級，分析解決入侵事件。加強計算機網(wǎng)絡(luò)日志管理，全面完整記錄、分析網(wǎng)絡(luò)審計日志。

三是牢固建立網(wǎng)絡(luò)安全第三道防線——人員行為安全防線。嚴(yán)格執(zhí)行國家網(wǎng)絡(luò)安全管理相關(guān)規(guī)定，建立網(wǎng)絡(luò)安全加密、數(shù)字簽名、鑒別、鑒別交換、身份認(rèn)證工作機制及網(wǎng)絡(luò)安全內(nèi)部管理制度。執(zhí)行網(wǎng)絡(luò)管理員、系統(tǒng)操作員、系統(tǒng)運維員、入侵檢測員、機房及硬件管理員、網(wǎng)絡(luò)風(fēng)險評估員崗位分離制度，定期開展網(wǎng)絡(luò)安全管理業(yè)務(wù)培訓(xùn)，提高網(wǎng)絡(luò)安全管理人員業(yè)務(wù)水平。

四是定期或不定期開展網(wǎng)絡(luò)安全風(fēng)險評估工作。依據(jù)網(wǎng)絡(luò)安全事件發(fā)生的頻率、嚴(yán)重性和危害性，劃分網(wǎng)絡(luò)安全風(fēng)險級別，采取不同應(yīng)對策略和管理制度，完善網(wǎng)絡(luò)安全風(fēng)險評估工作流程和違章工作人員責(zé)任追究制度，提升網(wǎng)絡(luò)安全管理工作質(zhì)量。

（作者單位：武昌工學(xué)院信息工程學(xué)院計算機科學(xué)與技術(shù)系）