王森

（中國(guó)地質(zhì)調(diào)查局地球物理調(diào)查中心，河北 廊坊 065000）

計(jì)算機(jī)網(wǎng)絡(luò)由于其運(yùn)行速度快，辦公自動(dòng)化程度高，因而在現(xiàn)代化辦公中被廣泛應(yīng)用。但是由于網(wǎng)絡(luò)具有開(kāi)放性的特征，使得網(wǎng)絡(luò)邊界存在的安全隱患一直都無(wú)法得到徹底的解決。而如果企事業(yè)單位網(wǎng)絡(luò)邊界被攻破，不僅會(huì)致使本單位的基礎(chǔ)信息遭受泄露風(fēng)險(xiǎn)，同時(shí)本單位的各種內(nèi)部獨(dú)有信息或是機(jī)密信息也會(huì)面臨極大的風(fēng)險(xiǎn)，這將會(huì)嚴(yán)重?fù)p害個(gè)人及本單位的整體利益。所以，我們有必要加強(qiáng)企事業(yè)單位網(wǎng)絡(luò)邊界安全管理和運(yùn)維工作，從建設(shè)管理制度再到實(shí)際操作執(zhí)行，每一個(gè)環(huán)節(jié)都要有健全、完備的防護(hù)措施，只有這樣，才能確保企事業(yè)單位內(nèi)部信息、資料的安全性。

1 企事業(yè)單位安全管理與網(wǎng)絡(luò)邊界安全

從信息安全的角度來(lái)看，網(wǎng)絡(luò)邊界的安全不可能脫離明確的管理制度而單純用技術(shù)去實(shí)現(xiàn)，其安全功能與擴(kuò)展性能很大程度上決定了一個(gè)單位網(wǎng)絡(luò)的可靠性與成熟度。

從根本上來(lái)說(shuō)，技術(shù)最終是服務(wù)于管理的。在以往的管理實(shí)踐當(dāng)中發(fā)現(xiàn)，不少基層技術(shù)人員往往只是習(xí)慣用點(diǎn)對(duì)點(diǎn)的方式來(lái)對(duì)網(wǎng)絡(luò)邊界的安全（乃至整個(gè)單位信息資產(chǎn)的安全）進(jìn)行外科式的、針對(duì)單個(gè)事件性的處理，卻比較容易忽略技術(shù)與管理之間所存在的依存關(guān)系，這樣就難以避免地陷入重技術(shù)而輕管理的思維模式，這是需要尤其注意的環(huán)節(jié)，網(wǎng)絡(luò)安全是需要人防加技防的，而人防同樣是重點(diǎn)[1]。

2 影響網(wǎng)絡(luò)安全的主要因素

2.1 網(wǎng)絡(luò)資源的共享性

資源共享是現(xiàn)代互聯(lián)網(wǎng)最主要的作用，它包括軟件共享、硬件共享及數(shù)據(jù)共享。所謂應(yīng)用軟件數(shù)據(jù)共享，是指在計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)的所有使用者都能夠?qū)崿F(xiàn)共享計(jì)算機(jī)中的所有軟件資源，包括各種語(yǔ)言程序、應(yīng)用程序和服務(wù)程序。硬件數(shù)據(jù)共享，是指可在互聯(lián)網(wǎng)進(jìn)行的對(duì)數(shù)據(jù)處理資料、存儲(chǔ)資源、輸入輸出資料等硬件資源的數(shù)據(jù)共享，尤其是對(duì)某些先進(jìn)技術(shù)和貴重的電子設(shè)備，如巨型計(jì)算機(jī)、大容量的存儲(chǔ)設(shè)備、畫(huà)圖儀、高分辨率的雷射印表機(jī)等的共享。數(shù)據(jù)共享是對(duì)網(wǎng)絡(luò)范圍內(nèi)的數(shù)據(jù)共享。網(wǎng)絡(luò)信息內(nèi)容包羅萬(wàn)象，無(wú)所不有，可供每一位上網(wǎng)者查閱、咨詢、下載。

2.2 網(wǎng)絡(luò)的開(kāi)放性

互聯(lián)網(wǎng)是開(kāi)放式的，能夠隨意使用，并且沒(méi)有了時(shí)間與空間的約束，沒(méi)有了地域間的距離限定，所有人都可以隨意進(jìn)入互聯(lián)網(wǎng)，只要遵循規(guī)定的網(wǎng)絡(luò)協(xié)議即可。同時(shí)，相對(duì)而言，在互聯(lián)網(wǎng)上所有人都可以享受創(chuàng)作的自由，任何的信息流通都不受限制。網(wǎng)絡(luò)平臺(tái)的運(yùn)行都是由所有使用者共同協(xié)調(diào)和決定，所以網(wǎng)絡(luò)平臺(tái)的每個(gè)使用者都是自由平等的，而正是由于這種開(kāi)放性也使網(wǎng)絡(luò)平臺(tái)上的使用者之間不具有身份的界限，因?yàn)樗腥巳刖W(wǎng)就是用戶。同時(shí)網(wǎng)絡(luò)平臺(tái)更是一個(gè)無(wú)國(guó)界的互聯(lián)網(wǎng)虛擬自由王國(guó)，所有人都可以實(shí)現(xiàn)在網(wǎng)絡(luò)平臺(tái)上資訊的傳遞自由、用戶的言論自由、用戶的使用自由[2]。

2.3 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷

實(shí)體的服務(wù)器和網(wǎng)絡(luò)終端承載著一個(gè)單位的網(wǎng)絡(luò)的基本構(gòu)架。筆者在這里所談?wù)摰氖腔诰W(wǎng)絡(luò)邊界面臨的安全問(wèn)題，這是不同單位不同主體之間的信息交流，就像兩個(gè)城邦之間需要具有護(hù)城河和城墻一樣，但這又會(huì)導(dǎo)致信息傳遞、儲(chǔ)存條件變得更加復(fù)雜。網(wǎng)絡(luò)設(shè)計(jì)是指網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)以及各種網(wǎng)絡(luò)邊界防護(hù)裝置的建設(shè)計(jì)劃。重要信息、各類網(wǎng)絡(luò)操作系統(tǒng)等都可能直接產(chǎn)生安全隱患。一種正確的網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)應(yīng)該可以在節(jié)約資源的情況下帶來(lái)很高的安全性，不當(dāng)?shù)木W(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)將可能成為網(wǎng)絡(luò)安全的潛在風(fēng)險(xiǎn)[3]。

2.4 惡意攻擊

惡意攻擊是一個(gè)單位網(wǎng)絡(luò)邊界防護(hù)面臨的大量極其危險(xiǎn)的安全問(wèn)題，匿名的攻擊者利用其高超的技術(shù)手段及利用木馬病毒、蠕蟲(chóng)病毒等手段通過(guò)一些不常用的、特殊的協(xié)議端口入侵單位內(nèi)部的計(jì)算機(jī)及服務(wù)器，從而可以惡意篡改單位門(mén)戶網(wǎng)站等或竊取單位內(nèi)部信息，癱瘓內(nèi)部網(wǎng)絡(luò)，為單位造成損失。

2.5 人員網(wǎng)絡(luò)安全意識(shí)淡薄

很多企事業(yè)單位的從業(yè)者依舊存在思想認(rèn)知薄弱、網(wǎng)絡(luò)安全防護(hù)警惕度不高的思想，極個(gè)別者對(duì)網(wǎng)絡(luò)安全的重要性并沒(méi)有進(jìn)行正確認(rèn)知，認(rèn)為網(wǎng)絡(luò)安全問(wèn)題是網(wǎng)絡(luò)管理員的分內(nèi)之事，結(jié)果就會(huì)出現(xiàn)單位員工參與網(wǎng)絡(luò)安全的積極性不高、保密意識(shí)不強(qiáng)、忽視出現(xiàn)的網(wǎng)絡(luò)安全隱患的現(xiàn)象。久而久之，不僅會(huì)出現(xiàn)整個(gè)單位安全參與性不高的情況，而且還會(huì)給整個(gè)單位的安全發(fā)展留下諸多隱患。

3 傳統(tǒng)的網(wǎng)絡(luò)邊界安全防護(hù)措施

3.1 構(gòu)建完善的網(wǎng)絡(luò)安全管理制度

企事業(yè)單位應(yīng)建立與網(wǎng)絡(luò)安全有關(guān)的制度，以明確網(wǎng)絡(luò)安全參與者的職責(zé)和權(quán)利，并用來(lái)對(duì)網(wǎng)絡(luò)參與者進(jìn)行有效規(guī)范。指導(dǎo)單位互聯(lián)網(wǎng)參與者根據(jù)自己?jiǎn)挝坏囊?guī)定做好單位日常用網(wǎng)管理工作，為提高企事業(yè)單位安全管理水平打下了良好的現(xiàn)實(shí)基礎(chǔ)。同時(shí)，將相關(guān)規(guī)定列入企事業(yè)單位每日網(wǎng)絡(luò)安全管理檢查重點(diǎn)事項(xiàng)，通過(guò)定期開(kāi)展的安全檢查結(jié)合個(gè)人自查工作，為企事業(yè)單位創(chuàng)造一個(gè)安全的、具備極強(qiáng)人防意識(shí)的、高效的上網(wǎng)環(huán)境。

3.2 防火墻技術(shù)

防火墻是指介于網(wǎng)絡(luò)設(shè)備與服務(wù)器、網(wǎng)絡(luò)群體終端與外部互聯(lián)網(wǎng)之間，用于控制來(lái)自外部的匿名用戶訪問(wèn)本地內(nèi)局域網(wǎng)或控制本地局域網(wǎng)用戶訪問(wèn)外部互聯(lián)網(wǎng)的一類最基礎(chǔ)的網(wǎng)絡(luò)安全裝置，是網(wǎng)絡(luò)邊界最外圍的第一道屏障，所以說(shuō)，如果不安裝防火墻，每一個(gè)運(yùn)行中的網(wǎng)絡(luò)設(shè)備都是處在“裸奔狀態(tài)”下的。因此在連接互聯(lián)網(wǎng)之后，上網(wǎng)環(huán)境的安全性除要考慮各種病毒和操作系統(tǒng)的健康特性以外，更主要的是要防止匿名入侵者的非法攻擊，而目前防范的安全措施也大多通過(guò)防火墻技術(shù)來(lái)實(shí)現(xiàn)。通過(guò)部署防火墻，可以使一個(gè)單位內(nèi)部網(wǎng)絡(luò)的穩(wěn)定性獲得很大的增強(qiáng)，并通過(guò)過(guò)濾策略減少風(fēng)險(xiǎn)。網(wǎng)站的安全策略也需要借助防火墻來(lái)加以加強(qiáng)，通過(guò)以防火墻為內(nèi)核所組成的網(wǎng)絡(luò)邊界安全框架，能將所有可以訪問(wèn)的用戶IP、使用的端口、執(zhí)行的網(wǎng)絡(luò)進(jìn)出策略進(jìn)行精確的配置，并對(duì)所有的可能遭受到網(wǎng)絡(luò)攻擊的端口進(jìn)行禁用。

3.3 上網(wǎng)行為管理技術(shù)（AC）

上網(wǎng)行為管理設(shè)備可以對(duì)內(nèi)部員工的上網(wǎng)行為進(jìn)行有效控制，在單位的網(wǎng)絡(luò)邊界上部署上網(wǎng)行為管理設(shè)備可以提高工作效率，有效降低非工作上網(wǎng)行為，保障網(wǎng)絡(luò)資源的合理使用；同時(shí)能夠減少安全風(fēng)險(xiǎn)，避免病毒、惡意代碼給單位帶來(lái)的潛在風(fēng)險(xiǎn)；提高網(wǎng)絡(luò)的安全性，便于加強(qiáng)管理。部署上網(wǎng)行為管理設(shè)備適用于以下場(chǎng)景：

1.接入安全場(chǎng)景。接入安全場(chǎng)景下可實(shí)現(xiàn)終端資產(chǎn)識(shí)別和分類管理、多方式的接入身份認(rèn)證、終端安全狀態(tài)檢查、終端入網(wǎng)后行為審核、終端行為權(quán)限管控等，實(shí)現(xiàn)全流程的接入安全管控，幫助單位防范非法身份接入、病毒橫向傳播和越權(quán)訪問(wèn)行為等風(fēng)險(xiǎn)。

2.業(yè)務(wù)行為安全場(chǎng)景。業(yè)務(wù)行為管理場(chǎng)景下，可實(shí)現(xiàn)自動(dòng)識(shí)別梳理服務(wù)器和業(yè)務(wù)類型；業(yè)務(wù)訪問(wèn)和外聯(lián)的深度審計(jì)；業(yè)務(wù)數(shù)據(jù)多維度分析，狀態(tài)實(shí)時(shí)可視；智能識(shí)別大量下載、賬號(hào)爆破等風(fēng)險(xiǎn)行為，異常事件及時(shí)告警。

3.涉密風(fēng)險(xiǎn)分析場(chǎng)景。涉密風(fēng)險(xiǎn)分析場(chǎng)景下，對(duì)網(wǎng)絡(luò)外發(fā)、終端外聯(lián)、業(yè)務(wù)訪問(wèn)全方位審核和管控，并可通過(guò)關(guān)鍵字搜索、文件搜索、OCR 圖片識(shí)別等方式追溯泄密行為記錄，保障用戶內(nèi)部信息資產(chǎn)安全。

3.4 入侵檢測(cè)技術(shù)

面對(duì)日漸加強(qiáng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，作為對(duì)防火墻及其有益的補(bǔ)充，入侵檢測(cè)系統(tǒng)可以協(xié)助安全系統(tǒng)迅速地發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的產(chǎn)生原因，并擴(kuò)展了網(wǎng)絡(luò)系統(tǒng)管理者的安全管控能力（包含安全性評(píng)估、監(jiān)控、進(jìn)攻辨識(shí)和反應(yīng)），進(jìn)一步增強(qiáng)了網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)的整體性。入侵檢測(cè)技術(shù)、入侵檢測(cè)方法很多，如采用專家管理系統(tǒng)的入侵檢測(cè)技術(shù)、采用神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)等。目前，一些入侵檢測(cè)技術(shù)在應(yīng)用層入侵分析中也已經(jīng)應(yīng)用。入侵檢測(cè)通過(guò)進(jìn)行下列工作來(lái)完成：（1）監(jiān)控、分析數(shù)據(jù)和操作系統(tǒng)活動(dòng)；（2）系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；（3）研究揭示已知入侵的行動(dòng)方式，并向有關(guān)人員告警；（4）對(duì)不同行為類型的大數(shù)據(jù)分析；（5）研究重要用戶的大數(shù)據(jù)，分析文檔的安全性；（6）對(duì)應(yīng)用的審核與研究，并發(fā)現(xiàn)重要用戶違反安全策略的行為。目前的入侵檢測(cè)系統(tǒng)的功能主要有：（1）對(duì)應(yīng)用和網(wǎng)絡(luò)行動(dòng)的監(jiān)控和分析；（2）網(wǎng)絡(luò)設(shè)計(jì)及其脆弱性數(shù)據(jù)分析和審核；（3）異常行為模式的統(tǒng)計(jì)分析；（4）對(duì)信息系統(tǒng)和數(shù)據(jù)文件的安全性檢測(cè)和評(píng)估；（5）操作系統(tǒng)的安全審核和控制；（6）對(duì)攻擊方式的確定和應(yīng)答，如斷開(kāi)連接、記錄時(shí)間和告警等?？梢杂行У靥嵘W(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全，為防火墻技術(shù)的發(fā)揮提供有力的基礎(chǔ)保障[4]。

3.5 網(wǎng)閘

網(wǎng)閘全稱叫做安全隔離與信息交換系統(tǒng)。由于對(duì)兩臺(tái)單獨(dú)的內(nèi)部主機(jī)系統(tǒng)都采用了網(wǎng)閘加以分隔，使系統(tǒng)之間并不具備互相通訊的物理鏈接、邏輯連接和消息傳遞模式，不具備直接依據(jù)協(xié)議實(shí)現(xiàn)的信息交流功能，而只是以數(shù)據(jù)文件方法實(shí)現(xiàn)的無(wú)協(xié)議擺渡。這樣，網(wǎng)閘在物理上隔絕、抑制了對(duì)內(nèi)網(wǎng)之間有著潛在入侵可能性的任何連接，從而使得外界攻擊者無(wú)法直接進(jìn)入、攻擊或摧毀內(nèi)網(wǎng)，從而保證了內(nèi)部主機(jī)的安全性。

3.6 及時(shí)進(jìn)行系統(tǒng)升級(jí)和系統(tǒng)改造

要經(jīng)常性的采用目前最貼合現(xiàn)實(shí)的、最先進(jìn)的技術(shù)，及時(shí)進(jìn)行系統(tǒng)升級(jí)和系統(tǒng)改造，擴(kuò)寬網(wǎng)絡(luò)平臺(tái)范圍。及時(shí)維護(hù)和更新系統(tǒng)，及時(shí)補(bǔ)漏，提升抵御非法入侵和各類病毒的安全能力。

3.7 提高人員網(wǎng)絡(luò)安全意識(shí)

在日常網(wǎng)絡(luò)安全管理工作中，要進(jìn)行安全教育、技術(shù)培訓(xùn)等工作，使每個(gè)員工都意識(shí)到安全保密工作的重要性，并提高保密意識(shí)，增強(qiáng)操作能力，以減少或防止人員在日常工作過(guò)程中發(fā)生的各種安全事故。

4 網(wǎng)絡(luò)邊界防護(hù)技術(shù)架構(gòu)和防護(hù)辦法

網(wǎng)絡(luò)邊界防護(hù)安全系統(tǒng)的基本架構(gòu)應(yīng)先由安全系統(tǒng)架構(gòu)階段轉(zhuǎn)入被動(dòng)防護(hù)，然后到主動(dòng)防御階段。一個(gè)企事業(yè)單位網(wǎng)絡(luò)安全的基礎(chǔ)就是單位網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)，它能夠反映單位網(wǎng)絡(luò)結(jié)構(gòu)是否牢固，被動(dòng)防御是通過(guò)消耗匿名攻擊者的攻擊資源和增加其進(jìn)攻時(shí)間的手段，而主動(dòng)防護(hù)則是對(duì)被動(dòng)防御功能的補(bǔ)充，用以抵御更加復(fù)雜的高級(jí)威脅。概括起來(lái)就是，在面臨未知威脅下的網(wǎng)絡(luò)邊界防護(hù)系統(tǒng)里，要在保證網(wǎng)絡(luò)結(jié)構(gòu)堅(jiān)固的基礎(chǔ)上，進(jìn)一步延長(zhǎng)防御縱深，同時(shí)不斷增強(qiáng)監(jiān)測(cè)、分析與響應(yīng)能力。建立完整的邊界安全防護(hù)系統(tǒng)框架，需要通過(guò)采用各種技術(shù)手段同時(shí)結(jié)合增加硬件與各種安全功能的方法，才可以建立起高效的防御系統(tǒng)。網(wǎng)絡(luò)邊界安全防御系統(tǒng)框架在功能結(jié)構(gòu)上，主要包括了網(wǎng)絡(luò)邊界端的接入管理和網(wǎng)絡(luò)邊界安全防護(hù)。利用防火墻和上網(wǎng)行為管理設(shè)備建立了身份驗(yàn)證的體系，用于實(shí)現(xiàn)對(duì)設(shè)備和認(rèn)證用戶的邊界接入、隔離控制；利用數(shù)字簽名和訪問(wèn)控制等技術(shù)，實(shí)現(xiàn)對(duì)用戶訪問(wèn)權(quán)限的管理并避免了偽造、否認(rèn)、冒充等問(wèn)題；每個(gè)進(jìn)出網(wǎng)絡(luò)邊界的數(shù)據(jù)流經(jīng)過(guò)整個(gè)體系的各類安全設(shè)備的監(jiān)控與管理，以此達(dá)到邊界內(nèi)外數(shù)據(jù)的安全可控交換。

聯(lián)動(dòng)防御，消耗攻擊者資源：網(wǎng)絡(luò)邊界安全防御有時(shí)候之所以不能產(chǎn)生應(yīng)有的成效，就是因?yàn)閭鹘y(tǒng)的邊界防護(hù)技術(shù)只是采用靜態(tài)特征的方法加以防御，而對(duì)于日益革新的入侵技術(shù)與手段則會(huì)變得有點(diǎn)力不從心。若能在網(wǎng)絡(luò)邊界上增強(qiáng)各類威脅檢測(cè)的手段與精度，就能夠做到提高入侵的進(jìn)攻難度。目前，不斷革新?lián)Q代的防火墻技術(shù)增加了關(guān)于應(yīng)用識(shí)別、數(shù)據(jù)鑒別、信息辨別、威脅鑒別、資產(chǎn)辨別、地址鑒別的功能，這些措施也極大地增強(qiáng)了防火墻自身的安全水平，可看作是增加了網(wǎng)絡(luò)邊界的城防的作用。但僅僅具有基本的防御能力顯然是不足的，所以仍需依托整個(gè)防護(hù)系統(tǒng)框架的同時(shí)繼續(xù)加深戰(zhàn)略縱深防護(hù)體系，也就是增加了更多的檢測(cè)威脅手段，并利用了多種安全產(chǎn)品、設(shè)備之間的協(xié)作聯(lián)動(dòng)，以及利用威脅情報(bào)等外部的能力，通過(guò)圍繞防火墻技術(shù)提升了整個(gè)系統(tǒng)的安全防護(hù)能力，如此就組成了一個(gè)新的、可以更大幅度消耗攻擊資源的大縱深網(wǎng)絡(luò)邊界安全防護(hù)體系。

5 結(jié)語(yǔ)

綜上所述，互聯(lián)網(wǎng)是企事業(yè)單位工作中不能替代的工具，但因?yàn)榛ヂ?lián)網(wǎng)具有非常大的開(kāi)放性，使用互聯(lián)網(wǎng)會(huì)涉及信息技術(shù)、硬件、安全管理和法規(guī)制度等多個(gè)領(lǐng)域，所以網(wǎng)絡(luò)邊界的安全管理是一個(gè)非常繁復(fù)的系統(tǒng)工程，不只是依靠防火墻、殺毒軟件等軟件防護(hù)，還需要加強(qiáng)人員的防護(hù)意識(shí)，做好鏈路維護(hù)與管理工作，形成有效的安全體系，從而打造一個(gè)便捷、安全的網(wǎng)絡(luò)系統(tǒng)，提升企事業(yè)單位管理效率，促進(jìn)企事業(yè)單位健康穩(wěn)定發(fā)展。