吳建軍

(武警海南省總隊，海南·海口 570203)

隨著信息化建設(shè)的快速發(fā)展，計算機網(wǎng)絡(luò)在提高公安、武警的執(zhí)勤、處突能力和實現(xiàn)信息資源共享方面發(fā)揮了重要作用，極大地提高了辦公效率，提升了信息傳遞、公文流轉(zhuǎn)的響應(yīng)速度，但由于網(wǎng)絡(luò)規(guī)模越來越大，應(yīng)用環(huán)境越來越復(fù)雜，網(wǎng)絡(luò)信息的安全問題也日漸突出，也給信息化建設(shè)和應(yīng)用帶來了巨大的安全風險，本文結(jié)合網(wǎng)絡(luò)應(yīng)用情況，分析當前計算機網(wǎng)絡(luò)信息系統(tǒng)安全存在的問題，提出加強網(wǎng)絡(luò)信息安全的措施。

一、網(wǎng)絡(luò)安全現(xiàn)狀

近幾年，以5G、云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、人工智能為代表的新一代信息技術(shù)已經(jīng)日益成熟并廣泛應(yīng)用，以大數(shù)據(jù)、人工智能為核心的應(yīng)用服務(wù)也呈現(xiàn)快速增長。業(yè)務(wù)應(yīng)用不斷豐富的同時，網(wǎng)絡(luò)安全的風險和問題也逐漸暴露，例如近幾年頻繁發(fā)生的數(shù)據(jù)泄露、勒索病毒攻擊、網(wǎng)絡(luò)暴力、跨國電信詐騙等事件，給各國的網(wǎng)絡(luò)發(fā)展與治理帶來巨大的挑戰(zhàn)。

在信息安全領(lǐng)域，以網(wǎng)絡(luò)為平臺和對象的犯罪無論從規(guī)?；蛞鸬暮蠊麃砜?，都呈現(xiàn)逐年增多的現(xiàn)象，其中以計算機病毒和網(wǎng)絡(luò)黑客的攻擊，對信息網(wǎng)絡(luò)的破壞最為嚴重。(1)王志勝.虛擬世界里的飛行規(guī)則[EB/OL].HTTP://WWW.icy.Ry.gov.c/new show.asp?Article=931.病毒、蠕蟲、域名劫持、遠程滲透、植入木馬、偵察竊密、DDOS攻擊等，日常使用網(wǎng)絡(luò)過程中，總能碰見這種類似的威脅源。據(jù)相關(guān)機構(gòu)提供的監(jiān)測數(shù)據(jù)統(tǒng)計，僅2019年上半年，中國境內(nèi)新出現(xiàn)信息系統(tǒng)高危漏洞1500余個，探測到針對移動互聯(lián)網(wǎng)的惡意程序4萬余個，被黑客控制和利用的主機有近百萬余臺，約3萬多個網(wǎng)站被植入后門程序，上萬個網(wǎng)站鏈接被用于傳播惡意代碼。由此可見，安全問題牽涉面廣，除了涉及防護、檢測、響應(yīng)和恢復(fù)外，系統(tǒng)本身安全的“免疫力”的增強、系統(tǒng)及網(wǎng)絡(luò)的優(yōu)化、人員素質(zhì)的提升等，都是網(wǎng)絡(luò)安全中應(yīng)該考慮到的問題。網(wǎng)絡(luò)安全體系結(jié)構(gòu)，應(yīng)該是融合了技術(shù)和管理在內(nèi)的一個可以全面解決安全問題的體系結(jié)構(gòu)，它應(yīng)該具有動態(tài)性、過程性、全面性、層次性和平衡性等特點。(2)劉遠生.網(wǎng)絡(luò)安全實用教程[M].北京：人民郵電出版社.2011，(04).

二、網(wǎng)絡(luò)安全隱患分析

信息及網(wǎng)絡(luò)安全的隱患主要來自于系統(tǒng)或網(wǎng)站的漏洞。關(guān)于網(wǎng)絡(luò)漏洞，還沒有一個全面準確統(tǒng)一的定義。一般可以理解為網(wǎng)絡(luò)或系統(tǒng)的硬件、軟件、協(xié)議等方面的具體實現(xiàn)過程或安全配置及策略上存在的缺陷，使得攻擊者可能在沒有獲得授權(quán)的情況下進入系統(tǒng)或?qū)ο到y(tǒng)進行破壞。例如，在IntelPentium芯片中存在的邏輯錯誤，Sendmail的編程錯誤，NFS協(xié)議中認證方式上的弱點，Windows、Linux、Unix系統(tǒng)管理員設(shè)置的匿名賬戶，F(xiàn)tp服務(wù)器配置不當?shù)葐栴}都可能被攻擊者利用并威脅到系統(tǒng)的安全。(3)百度百科.https://baike.baidu.com/item/%E7%BD%91%E7%BB%9C%E6%BC%8F%E6%B4%9E/5363349?fr=aladdin從信息安全通報中可以看到，攻擊者可利用跨站腳本漏洞結(jié)合社會工程學進行魚叉式釣魚攻擊，在特定頁面上掛載釣魚頁面，或者偽裝成合法鏈接發(fā)送至用戶郵箱，誤導用戶點擊，造成用戶信息泄露；黑客還會利用框架注入漏洞將frame或iframe標簽嵌入到被攻擊的網(wǎng)站上，通過修改站點頁面，嵌入惡意代碼，誘導用戶登錄，竊取用戶登錄憑證；攻擊者也頻頻使用“webs hell”、“SQL注入”等攻擊方式對重點網(wǎng)站進行滲透攻擊。(4)云南省網(wǎng)絡(luò)與信息安全通報中心.網(wǎng)絡(luò)與信息安全情況通報.2019年第18期.

雖然公安機關(guān)、武警等部門的業(yè)務(wù)信息網(wǎng)絡(luò)與互聯(lián)網(wǎng)是物理隔離的，但來自于各種情況的安全威脅依然存在。例如2010年，美國軍方通過震網(wǎng)病毒成功入侵伊朗軍事系統(tǒng)，造成伊朗鈾濃縮工廠九百多臺離心機報廢。專家分析，由于伊朗的控制系統(tǒng)沒有與外界網(wǎng)絡(luò)相連，這種專門針對伊朗核設(shè)施研發(fā)的“擺渡木馬”病毒，主要攻擊在涉密計算機和非涉密計算機間交叉使用的U盤，通過暗中將涉密信息“擺渡”到非涉密計算機，讓竊密者遠程獲取涉密信息。鍵盤、鼠標、USB這些通用設(shè)備也依然存在泄密的風險。2014年美國黑帽大會上，安全研究人員展示了一種被稱為“邪惡工具”(Bad USB)的攻擊方法。他們把惡意代碼隱藏在鍵盤、鼠標等設(shè)備中，當這些設(shè)備被插入電腦后，就會自動加載并執(zhí)行惡意代碼，鼠標、鍵盤等就淪為了攻擊者的竊密“傀儡”。2016年底，以色列本古里安大學研究團隊提出了一種新的USB攻擊技術(shù)，使用USB存儲設(shè)備讀寫時用泄漏的微弱電磁信號傳輸信息。這種技術(shù)對USB存儲設(shè)備沒有任何要求，通過軟件控制使USB存儲設(shè)備產(chǎn)生特定頻率的電磁信號，攻擊者接收電磁信號獲取目標電腦的文件，實現(xiàn)“隔空取物”的目的。

三、影響計算機網(wǎng)絡(luò)信息系統(tǒng)安全的主要因素

計算機網(wǎng)絡(luò)所具有的開放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性，為資源共享、用戶使用提供了方便，但也正是因為這些特點，增加了網(wǎng)絡(luò)信息系統(tǒng)的不安全性。雖然公安機關(guān)、武警等部門的網(wǎng)絡(luò)建設(shè)根據(jù)各自的情況，也部署了安全防護設(shè)備，但由于網(wǎng)絡(luò)技術(shù)本身存在的弱點以及一些人為的疏忽，計算機網(wǎng)絡(luò)仍存在著許多不安全因素，結(jié)合具體使用情況，主要存在如下問題：

(一)網(wǎng)絡(luò)系統(tǒng)存在隱患

一是物理設(shè)備存在隱患，主要包括設(shè)備的老化、被盜、惡意破壞、電磁信息泄漏、電磁干擾、電源掉電、服務(wù)器宕機、物理設(shè)備的自然損壞、軟件意外失效等；二是網(wǎng)絡(luò)結(jié)構(gòu)存在隱患，從垂直管理的角度看，各業(yè)務(wù)部門的計算機主干網(wǎng)是建立在樹狀結(jié)構(gòu)的綜合通信網(wǎng)基礎(chǔ)之上，一般除了主干的節(jié)點設(shè)備和線路采用了冗余方式外，在下一級的節(jié)點設(shè)備上，沒有做冗余，各級節(jié)點之間也沒有冗余的線路，一旦某個下級節(jié)點損壞或線路出現(xiàn)故障，就會造成到某一方向所有下一級部門的網(wǎng)絡(luò)業(yè)務(wù)中斷。

(二)安全意識不強、管理不善帶來威脅

表現(xiàn)在有意或無意造成的一些人為失誤，如配置不當、誤操作、口令丟失、管理過于簡單等。有的安全意識差，把一些重要信息放到網(wǎng)上，沒有設(shè)置任何訪問控制權(quán)限，造成信息資料被非法泄露、拷貝、篡改。有的未經(jīng)許可將從互聯(lián)網(wǎng)上下載的軟件裝入局域網(wǎng)內(nèi)的計算機，造成來自互聯(lián)網(wǎng)的病毒在局域網(wǎng)內(nèi)大量傳播蔓延。有的缺乏漏洞常識，不及時打補丁或是只打操作系統(tǒng)補丁，而沒有及時更新應(yīng)用軟件補丁和升級版本，或是不看說明亂打補丁后帶來新的問題。有的技術(shù)水平不高，對操作系統(tǒng)、應(yīng)用軟件和網(wǎng)絡(luò)設(shè)備的配置管理不當而造成安全漏洞，如用戶的權(quán)限設(shè)置過大、服務(wù)器打開的端口太多、未及時刪除已離職人員的賬號、將自己的賬號隨意轉(zhuǎn)借別人或者與別人共享資源等。有的沒有依據(jù)最小授權(quán)、高度容錯的原則對防火墻和入侵檢測系統(tǒng)進行設(shè)置，導致在節(jié)點設(shè)備的出口中經(jīng)常有大量無用的數(shù)據(jù)包。

(三)來自內(nèi)部用戶的安全威脅

由于內(nèi)部網(wǎng)的用戶相對于外部用戶來說，具有更便捷的條件了解網(wǎng)絡(luò)結(jié)構(gòu)、防護措施部署情況、業(yè)務(wù)運行模式以及訪問內(nèi)部網(wǎng)權(quán)限，而當前對于來自網(wǎng)絡(luò)內(nèi)部的安全攻擊和誤操作等行為缺乏有效的監(jiān)控和預(yù)防手段，就使得來自內(nèi)部用戶的安全威脅遠大于外網(wǎng)的威脅。防火墻、入侵檢測等網(wǎng)絡(luò)安全設(shè)備，可以對網(wǎng)絡(luò)異常行為進行監(jiān)測和管理，但對網(wǎng)絡(luò)和信息的內(nèi)容或者是獲得正常授權(quán)內(nèi)部訪問行為則基本上不做監(jiān)控。因此，面對授權(quán)的網(wǎng)絡(luò)訪問而導致的信息泄密事件、網(wǎng)絡(luò)資源濫用行為，以及對內(nèi)容、行為的監(jiān)控管理缺失，其防火墻、入侵檢測等傳統(tǒng)設(shè)備是難以防范的。

內(nèi)網(wǎng)面臨的安全威脅主要來自于內(nèi)網(wǎng)的用戶終端，主要有以下一些表現(xiàn)形式：竊取傳播違禁、機密的數(shù)據(jù)資料；非授權(quán)訪問、使用網(wǎng)絡(luò)資源；安裝使用盜版軟件或黑客軟件，對內(nèi)網(wǎng)的其他計算機構(gòu)成安全威脅；在內(nèi)外網(wǎng)之間交叉使用移動存儲設(shè)備，造成內(nèi)外網(wǎng)間接地交換數(shù)據(jù)；私自上互聯(lián)網(wǎng)導致泄密；隨意更改IP地址造成IP沖突；數(shù)據(jù)存儲中的安全威脅；本地計算環(huán)境和數(shù)據(jù)應(yīng)用中的其他安全威脅等。

(四)計算機病毒對網(wǎng)絡(luò)安全造成威脅

經(jīng)統(tǒng)計和排查，在公安、武警專網(wǎng)內(nèi)的病毒以木馬病毒、蠕蟲病毒等為主，幾乎每個用戶都或多或少有過感染病毒的經(jīng)歷。單機感染病毒輕則不能使用瀏覽器、不能打開文件，重則導致系統(tǒng)崩潰和數(shù)據(jù)丟失。在獨立環(huán)境下，病毒只影響到個人電腦，在局域網(wǎng)內(nèi)，一臺感染病毒的客戶計算機就影響整個網(wǎng)絡(luò)被病毒感染，輕則降低網(wǎng)絡(luò)速度，影響工作效率，重則破壞整個系統(tǒng)資源，造成系統(tǒng)癱瘓。在廣域網(wǎng)上，因蠕蟲病毒影響造成網(wǎng)絡(luò)擁塞，導致主干網(wǎng)到某一分支節(jié)點方向的網(wǎng)絡(luò)中斷。為了快速排除故障，往往需重啟中繼板卡甚至有時需重啟節(jié)點設(shè)備才能恢復(fù)，不但影響了數(shù)據(jù)業(yè)務(wù)，還影響了其他業(yè)務(wù)。

(五)黑客惡意攻擊給網(wǎng)絡(luò)安全造成威脅

隨著互聯(lián)網(wǎng)上黑客網(wǎng)站的大量出現(xiàn)，黑客技術(shù)逐漸被越來越多的人掌握和利用，一些傻瓜式黑客工具在網(wǎng)絡(luò)上很容易獲得，即使是與互聯(lián)網(wǎng)物理隔離的專網(wǎng)，也會遭到一些來自網(wǎng)內(nèi)或網(wǎng)外的惡意攻擊者的攻擊。在局域網(wǎng)內(nèi)，由于網(wǎng)絡(luò)速度快，黑客工具更能大顯身手，個別人員為了學習黑客攻擊技術(shù)，惡意對網(wǎng)站進行攻擊，或者無意間侵入網(wǎng)站，修改系統(tǒng)或刪除數(shù)據(jù)，都會給網(wǎng)絡(luò)造成極大的損害。

四、加強計算機網(wǎng)絡(luò)信息系統(tǒng)安全應(yīng)采取的措施

為提高網(wǎng)絡(luò)安全，公安、武警等負責總體網(wǎng)絡(luò)建設(shè)的專門機構(gòu)，陸續(xù)完成了二、三級網(wǎng)安全防護系統(tǒng)的建設(shè)，使網(wǎng)絡(luò)安全有了一定保障，但網(wǎng)絡(luò)安全不只是安全產(chǎn)品的簡單堆疊，需要管理、技術(shù)、法規(guī)三者的有機結(jié)合，本文從以下幾方面論述計算機網(wǎng)絡(luò)信息安全的解決措施。

(一)制定科學、合理的安全策略

運用P2DR模型的基本思想，綜合各種安全技術(shù)(如防火墻、操作系統(tǒng)身份認證、加密等手段)對系統(tǒng)進行保護，同時利用檢測工具(如漏洞評估、入侵檢測等系統(tǒng))來監(jiān)視和評估系統(tǒng)的安全狀態(tài)，并通過適當?shù)捻憫?yīng)機制將系統(tǒng)調(diào)整到相對“最安全”和“風險最低”狀態(tài)。要加強機房、網(wǎng)絡(luò)設(shè)備、通信線路、電源系統(tǒng)的安全管理，增加設(shè)備、線路的備份冗余，如在分支節(jié)點增加設(shè)備的備份，增加到主干線路的鏈路冗余，提高網(wǎng)絡(luò)的安全防護能力，使網(wǎng)絡(luò)自身免受自然災(zāi)害、人為破壞等影響。

(二)做好技防、人防工作

從技防的角度，完備入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點的安全控制、防火墻控制等網(wǎng)絡(luò)安全措施。同時，通過宣傳教育和授課培訓，增強使用人員網(wǎng)絡(luò)信息安全意識和防范技術(shù)，明確信息網(wǎng)絡(luò)系統(tǒng)各類人員的職責、權(quán)限，防止使用和維護的隨意性，減少由操作失誤造成對系統(tǒng)破壞的可能。

(三)加強內(nèi)網(wǎng)用戶的安全管理

與防范外網(wǎng)安全主要集中于邊界部署不同，保障內(nèi)網(wǎng)安全需要涉及的環(huán)節(jié)較多，如內(nèi)網(wǎng)終端防護、流量和上網(wǎng)行為控制、監(jiān)控審計、身份認證、信息加密等。加強內(nèi)網(wǎng)的安全管理主要采取的措施：建立健全的內(nèi)部規(guī)章制度，并嚴格貫徹執(zhí)行；根據(jù)用戶的不同級別和信息安全等級對信息訪問權(quán)限進行設(shè)置，防止越權(quán)訪問發(fā)生；加強內(nèi)網(wǎng)的業(yè)務(wù)行為審計，即從傳統(tǒng)的安全審計或網(wǎng)絡(luò)審計轉(zhuǎn)向?qū)I(yè)務(wù)行為的審計；加強終端的合規(guī)性管理，即終端安全策略、文件策略和系統(tǒng)補丁的統(tǒng)一管理；加強對移動存儲介質(zhì)的管理。

(四)加強計算機病毒防治

采取防火墻等安全設(shè)備與防病毒軟件相結(jié)合的方式進行，建立全方位的、多層次的病毒防范系統(tǒng)，借助目前使用的防病毒系統(tǒng)，不僅在服務(wù)器端安裝防病毒軟件，而且還要在網(wǎng)絡(luò)上的每一個點都安裝相應(yīng)的防病毒產(chǎn)品，形成多層次的動態(tài)實時防護體系。除防病毒軟件外，還應(yīng)安裝反間諜、反惡意程序軟件系統(tǒng)，制定相應(yīng)的防范預(yù)案，在發(fā)現(xiàn)病毒流行時，能夠完成帶毒設(shè)備的阻隔和分離，保證系統(tǒng)的正常運行。

(五)構(gòu)建多種安全防護設(shè)備相結(jié)合的網(wǎng)絡(luò)安全防護體系，防范對網(wǎng)絡(luò)的惡意攻擊

一要建立完善安全保護、預(yù)警、檢查類的整體規(guī)章制度，具有可操作性和針對性。二要定期對系統(tǒng)進行風險評估。由于黑客的攻擊總是利用操作系統(tǒng)的安全漏洞或通信協(xié)議的安全漏洞來進行，因此，應(yīng)建立統(tǒng)一的漏洞、補丁管理平臺，及時更新操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件補丁，定期進行漏洞掃描、審計跟蹤，降低由于系統(tǒng)自身原因?qū)W(wǎng)絡(luò)造成的威脅。實踐中，不少單位服務(wù)器在打補丁時容易出現(xiàn)系統(tǒng)不能正常使用的情況，需特別重視，可安裝能進行回退的補丁系統(tǒng)，一旦打補丁時出現(xiàn)問題，可回退到原來狀態(tài)，如奇安信的終端安全管理系統(tǒng)，在對服務(wù)器區(qū)域內(nèi)的設(shè)備進行殺毒、漏掃、打補丁、回退等方面，具有較好的針對性。三要利用防火墻、行為審計等安全設(shè)備，對進出局域網(wǎng)的常見操作進行實時檢查、監(jiān)控、報警和阻斷。四要加強日志審核，定期查看系統(tǒng)日志，安全設(shè)備日志等。因為安全設(shè)備本身存在著一些缺陷，如IDS、IPS的漏報及誤報問題，這就要求安全管理人員不能只是簡單的收集信息，還要通過綜合分析與判斷，分清哪些是誤報的，哪些是真正的威脅，及時調(diào)整有關(guān)參數(shù)，更改安全防護，消除安全隱患。

(六)建立災(zāi)難備份系統(tǒng)和網(wǎng)絡(luò)安全應(yīng)急措施

可加強數(shù)據(jù)備份與恢復(fù)，制定詳細的數(shù)據(jù)備份計劃，并隨著網(wǎng)站的更新及時調(diào)整備份計劃，同時制定網(wǎng)絡(luò)系統(tǒng)的維護與應(yīng)急措施，做到實時監(jiān)控、及時響應(yīng)，當系統(tǒng)發(fā)生緊急事件時，能快速發(fā)現(xiàn)并排除災(zāi)難和故障，確保計算機信息系統(tǒng)繼續(xù)運行或緊急恢復(fù)。

網(wǎng)絡(luò)信息安全問題是復(fù)雜的綜合性工程，僅依靠簡單的安全技術(shù)和單一的安全產(chǎn)品，無法滿足網(wǎng)絡(luò)的實際要求，需要在人員、技術(shù)和管理三方面加以綜合考慮。同時，網(wǎng)絡(luò)信息安全也是一個不斷建設(shè)、不斷加固的過程，是隨著電子攻擊技術(shù)的提高、信息系統(tǒng)的增多和重要性的增加而不斷升級的過程。只有根據(jù)實際情況，在安全、性能、管理和經(jīng)費投入之間尋找一個平衡點，才能有效實現(xiàn)計算機網(wǎng)絡(luò)安全、高效、穩(wěn)定的運行。