文/肖麗輝 張利明

隨著信息技術(shù)的不斷進步，信息系統(tǒng)已經(jīng)成為單位辦公的主要載體，為業(yè)務(wù)辦理、溝通交流提供了規(guī)范、方便、快捷、高效的渠道。網(wǎng)絡(luò)安全一直是信息技術(shù)面臨的重要問題，計算機病毒、系統(tǒng)漏洞、網(wǎng)絡(luò)入侵等傳統(tǒng)網(wǎng)絡(luò)安全問題始終存在，云計算、移動辦公等新網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)安全問題日益突出和復(fù)雜。面對網(wǎng)絡(luò)安全問題，只有構(gòu)建多層次、多方位的立體防護體系，才能確保網(wǎng)絡(luò)信息的安全可靠。

1 網(wǎng)絡(luò)安全問題分析

1.1 計算機病毒

計算機病毒是最具代表性的惡意程序，能夠?qū)τ嬎銠C系統(tǒng)造成破壞性的影響，同時計算機病毒也具有較強的復(fù)制性，能夠在計算機之間進行轉(zhuǎn)移傳播。由于用戶計算機操作能力不同、操作習(xí)慣不同以及計算機病毒的不斷更新，其蔓延速度也有了極大的提高，對計算機的威脅不斷加強，必須采取有效的措施進行預(yù)防和清除。

1.2 系統(tǒng)漏洞

系統(tǒng)漏洞是在軟件編寫過程中產(chǎn)生的錯誤或缺陷，系統(tǒng)運行過程中發(fā)現(xiàn)了漏洞大多會被不斷修復(fù)，有一些漏洞未被發(fā)現(xiàn)或被少數(shù)人發(fā)現(xiàn)但沒有公開，容易被非法利用。漏洞會影響到的范圍很大，包括系統(tǒng)本身及其支撐軟件、應(yīng)用軟件、網(wǎng)絡(luò)路由器和安全防火墻等。

1.3 網(wǎng)絡(luò)入侵

網(wǎng)絡(luò)入侵的形式多種多樣，如拒絕服務(wù)攻擊、字典攻擊、劫持攻擊等，入侵的手段也時刻發(fā)生著變化。軟件非法入侵者通過系統(tǒng)漏洞采用一些技術(shù)手段能夠入侵到系統(tǒng)后臺甚至數(shù)據(jù)庫，對網(wǎng)絡(luò)和信息安全產(chǎn)生極大的威脅。

此外，隨著云計算技術(shù)的發(fā)展和移動網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)安全也面臨著新的問題:1.3.1 云計算環(huán)境下的安全問題

云服務(wù)環(huán)境下網(wǎng)絡(luò)邊界部分消失，傳統(tǒng)的劃分邊界的網(wǎng)絡(luò)安全防護方式已經(jīng)不能適應(yīng)云環(huán)境。大量的數(shù)據(jù)匯集，數(shù)據(jù)被損壞、篡改、泄露或竊取的風(fēng)險加大。大量數(shù)據(jù)文件在第三方平臺中進行存儲與處理，其安全管理方面受到更大挑戰(zhàn)。

1.3.2 移動辦公環(huán)境下的安全問題

移動辦公是以便攜終端為載體實現(xiàn)的移動信息化系統(tǒng)。便攜式終端便于攜帶，帶離待定辦公場所仍可訪問內(nèi)部數(shù)據(jù)，從物理上突破了空間的限制，在給使用人帶來便利的同時，也容易產(chǎn)生數(shù)據(jù)泄露。終端在與內(nèi)部網(wǎng)絡(luò)進行數(shù)據(jù)交換時數(shù)據(jù)容易被通過外部截獲，如果不采取加密措施，就成為攻擊目標(biāo)，嚴(yán)重威脅信息安全。

2 保障網(wǎng)絡(luò)安全的措施

2.1 物理級別

機房出入口應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進出的人員，設(shè)置機房防盜報警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)。機房配備空調(diào)、可持續(xù)電源等，為設(shè)備運行提供良好的溫度、濕度、電力保障。人員進出機房佩戴防塵裝備，保護設(shè)備免受灰塵影響。

2.2 網(wǎng)絡(luò)級別

2.2.1 做好網(wǎng)絡(luò)架構(gòu)規(guī)劃

科學(xué)規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)，將網(wǎng)絡(luò)劃分為核心區(qū)、運維管理區(qū)、安全保障體系區(qū)、辦公樓匯聚區(qū)等不同的子區(qū)域，并針對不同區(qū)域采用不同的安全策略，在區(qū)域之間采用防火墻等安全設(shè)備進行有效隔離。當(dāng)網(wǎng)絡(luò)需要外聯(lián)時，采用前置機、邊界網(wǎng)關(guān)、VPN 技術(shù)等方式做好邊界安全防護。

2.2.2 完善基礎(chǔ)設(shè)施，傳統(tǒng)的網(wǎng)絡(luò)防護工具有防火墻、入侵檢測、防病毒軟件和漏洞掃描等

防火墻，部署于兩個不同網(wǎng)絡(luò)安全域之間，防火墻設(shè)置一定的安全規(guī)則，兩個安全域之間信息流通過防火墻過濾，不符合安全規(guī)則的數(shù)據(jù)將被拒絕通過。防火墻的訪問控制策略不僅要關(guān)注從外到內(nèi)的防護，也要重視從內(nèi)到外的控制，避免內(nèi)部人員的對外輸送，便于掌握由內(nèi)而外的異常情況。

防病毒系統(tǒng)，能夠根據(jù)病毒特征碼對病毒進行識別、隔離、查殺，是保護計算系統(tǒng)免受病毒入侵重要工具。防病毒系統(tǒng)既要在終端安裝，也要在服務(wù)器上安裝，虛擬化系統(tǒng)可在虛擬化底層統(tǒng)一安裝，提高效率。

入侵檢測，入侵檢測設(shè)備能夠?qū)W(wǎng)絡(luò)流量進行細(xì)致的分析，部署于網(wǎng)絡(luò)流量入口，可以與防火墻聯(lián)合使用，幫助系統(tǒng)防御網(wǎng)絡(luò)攻擊。

漏洞掃描，能夠通過對主機、端口、數(shù)據(jù)庫等進行掃描，并根據(jù)漏洞數(shù)據(jù)庫對系統(tǒng)的安全脆弱性進行檢測。因為漏洞信息會不斷更新，需要定期對系統(tǒng)進行漏洞掃描，以獲取最新的漏洞信息。

2.3 主機級別

操作系統(tǒng)，對管理用戶登錄進行強身份鑒別，口令必須有一定的長度和復(fù)雜度，并定期更換，最好采取口令和密碼技術(shù)相結(jié)合的身份鑒別方式。操作系統(tǒng)補丁須定期更新。

數(shù)據(jù)庫和應(yīng)用中間件，加強對數(shù)據(jù)庫和中間件的后臺管理，設(shè)置好安全基線，定期對數(shù)據(jù)庫和中間件進行版本升級或補丁修復(fù)。加強數(shù)據(jù)庫運維管理，建立數(shù)據(jù)庫運維的標(biāo)準(zhǔn)流程，防止數(shù)據(jù)庫管理員因為誤操作等原因而產(chǎn)生的數(shù)據(jù)丟失等。

2.4 數(shù)據(jù)級別

2.4.1 數(shù)據(jù)加密

明文數(shù)據(jù)在存儲和傳輸過程中一旦被非法獲取，就會導(dǎo)致數(shù)據(jù)泄露，加密后的信息數(shù)據(jù)即使在傳輸過程中被竊取或截獲，竊取者也無法破解信息數(shù)據(jù)的內(nèi)容，能夠有效保障信息數(shù)據(jù)傳輸和存儲安全。在云計算環(huán)境和無線傳輸環(huán)境中數(shù)據(jù)加密尤為重要。數(shù)據(jù)加密特別要注意密鑰的產(chǎn)生、分配、保存、更換和銷毀等各個環(huán)節(jié)上的保密措施。

2.4.2 數(shù)據(jù)備份

（1）“在線數(shù)據(jù)”，這類數(shù)據(jù)需要時時在線查詢，一般存儲在硬盤等存儲設(shè)備上，需要采取備份手段防止數(shù)據(jù)丟失。“同城雙中心”能夠通過高速鏈路實現(xiàn)兩個數(shù)據(jù)中心的同步運行，一個數(shù)據(jù)中心出現(xiàn)問題，另一個數(shù)據(jù)中心可以實現(xiàn)即時接管。為進一步夯實備份基礎(chǔ)可以在異地的城市建立一個“異地災(zāi)備中心”，用于“同城雙中心”的備份。

（2）“離線數(shù)據(jù)”。這類數(shù)據(jù)訪問頻次極低，結(jié)合國家政策要求，基于經(jīng)濟性和安全性考慮，可采用光盤、磁帶等備份方式。

2.5 業(yè)務(wù)級別

2.5.1 身份認(rèn)證與授權(quán)管理

針對不同的業(yè)務(wù)場景采取不同安全級別的身份認(rèn)證方式，應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上的鑒別技術(shù)對用戶進行身份認(rèn)證，并且密碼技術(shù)是必不可少的。訪問控制的目的是對用戶訪問數(shù)據(jù)資源的權(quán)限進行嚴(yán)格的認(rèn)證和控制。身份認(rèn)證與授權(quán)管理系統(tǒng)是進行身份認(rèn)證和訪問控制的基礎(chǔ)，能夠?qū)I(yè)務(wù)系統(tǒng)關(guān)鍵、敏感操作提供抗抵賴功能，并對重要的數(shù)據(jù)進行簽名、加密，實現(xiàn)數(shù)據(jù)的完整性和機密性保護。SM2 橢圓曲線密碼算法是國密算法，在計算強度和保密強度上都遠(yuǎn)遠(yuǎn)勝于1024 位的RSA 公鑰密碼算法，能夠滿足技術(shù)進步、國家政策、安全形勢等方面的要求。

2.5.2 安全審計

健全審計系統(tǒng)是提高系統(tǒng)安全性的重要措施。通過記錄與審查用戶操作計算機及業(yè)務(wù)系統(tǒng)活動的過程，如用戶所使用的資源、使用時間、執(zhí)行的操作等，能夠?qū)崿F(xiàn)事后的可追溯。應(yīng)對安全審計元進行身份鑒別，只允許通過特定的命令或操作界面進行安全審計，并對這些操作進行審計。

2.6 用戶級別

（1）加強安全教育，提高安全意識。網(wǎng)絡(luò)安全，人人有責(zé)，牢固樹立憂患意識，做到居安思危，增強對網(wǎng)絡(luò)安全重要性的認(rèn)識，不僅學(xué)網(wǎng)、懂網(wǎng)，而且要安全用網(wǎng)，讓網(wǎng)絡(luò)安全入腦入心，織密織牢安全網(wǎng)。

（2）提升終端的技術(shù)防護能力。在計算機設(shè)備、移動設(shè)備等安裝客戶端安全監(jiān)控系統(tǒng)等安全輔助軟件，幫助用戶建立良好的操作習(xí)慣，并實現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制、違規(guī)外聯(lián)管理、移動存儲管理等。

2.7 制度級別

（1）完善網(wǎng)絡(luò)安全管理制度。制定和完善安全管理制度、操作規(guī)程和技術(shù)規(guī)范，網(wǎng)絡(luò)安全相關(guān)制度包括機房管理制度、巡檢制度、值班制度、應(yīng)急管理制度、應(yīng)用系統(tǒng)管理制度等。網(wǎng)絡(luò)安全制度要根據(jù)實際執(zhí)行情況和相關(guān)管理要求不斷完善，以適應(yīng)最新的管理需要。

（2）加強網(wǎng)絡(luò)安全制度執(zhí)行落實。加強安全管理制度的學(xué)習(xí)、規(guī)程的培訓(xùn)，全員簽訂網(wǎng)絡(luò)安全責(zé)任書，把網(wǎng)絡(luò)安全責(zé)任落實到每個崗位，定期組織網(wǎng)絡(luò)安全檢查，監(jiān)督制度落實情況，確保網(wǎng)絡(luò)安全制度落到實處。

3 結(jié)語

信息化離不開網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全保障體系必須與信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運行。網(wǎng)絡(luò)安全既要用好成熟的網(wǎng)絡(luò)安全防護技術(shù)，也要研究新環(huán)境下的網(wǎng)絡(luò)安全防護方法，從各個層面提高網(wǎng)絡(luò)的安全性。