劉俊

太極計(jì)算機(jī)股份有限公司 北京 100070

引言

網(wǎng)絡(luò)通信作為信息的一種重要傳輸方式，在運(yùn)用時(shí)必須確保安全性，但就目前網(wǎng)絡(luò)通信安全防護(hù)工作來(lái)說(shuō)，網(wǎng)絡(luò)通信安全問(wèn)題一直困擾著全社會(huì)，一些重要的信息一旦被泄露，便會(huì)導(dǎo)致嚴(yán)重的安全事故。網(wǎng)絡(luò)通信過(guò)程中所遇到的安全問(wèn)題是多個(gè)方面的，包括搭線竊聽(tīng)、非法終端、非法入侵、線路干擾等，比如在搭線竊聽(tīng)中，信息時(shí)代下所信息的傳遞量大大增加，信息在傳遞過(guò)程中的密級(jí)也在不斷提升，一些犯罪分子為了獲取到有利用價(jià)值的信息，往往會(huì)選擇去監(jiān)聽(tīng)通信線路，通過(guò)非法途徑獲取信息。由此可見(jiàn)，若是缺乏行之有效的安全防護(hù)技術(shù)，則勢(shì)必會(huì)導(dǎo)致嚴(yán)重性的網(wǎng)絡(luò)通信安全事故。因此，積極做好網(wǎng)絡(luò)通信安全工作是十分必要和關(guān)鍵的。本文從技術(shù)層面來(lái)分析探討網(wǎng)絡(luò)通信安全防護(hù)的措施，現(xiàn)作如下的論述。

1 大數(shù)據(jù)信息安全防護(hù)的重要性

隨著信息化技術(shù)的存儲(chǔ)能力、分析能力、管理能力的提升，“大數(shù)據(jù)”逐漸進(jìn)入了人們的視野，并且越發(fā)成熟，在諸多領(lǐng)域中已經(jīng)得到了應(yīng)用，并在各行業(yè)的進(jìn)步與革新中發(fā)揮出了重要的作用。所謂的“大數(shù)據(jù)”，其指的是對(duì)巨量數(shù)據(jù)的收集、整合、存儲(chǔ)與分析和利用，IBM公司指出大數(shù)據(jù)具有數(shù)據(jù)量大、效率高、數(shù)據(jù)類型多樣、價(jià)值密度低以及真實(shí)可靠等特點(diǎn)。需要指出的一點(diǎn)是，“價(jià)值密度低”是相對(duì)大數(shù)據(jù)的數(shù)據(jù)信息體積而言的，只要能夠?qū)Υ髷?shù)據(jù)進(jìn)行有效的分析、利用，其所能夠帶來(lái)和創(chuàng)造的價(jià)值，實(shí)際上是無(wú)法估量的。但正是由于大數(shù)據(jù)的技術(shù)特點(diǎn)和價(jià)值，致使其面臨著較多的信息安全風(fēng)險(xiǎn)隱患。如在大數(shù)據(jù)的采集、存儲(chǔ)、處理和前端應(yīng)用階段，都可能會(huì)發(fā)生信息安全問(wèn)題，導(dǎo)致數(shù)據(jù)遭到破壞、泄露，進(jìn)而引發(fā)各種技術(shù)性、社會(huì)性后果，如擾亂社會(huì)秩序，侵犯?jìng)€(gè)人、集體權(quán)益等。為此，在建設(shè)和應(yīng)用大數(shù)據(jù)的同時(shí)，更需要重視并切實(shí)做好對(duì)大數(shù)據(jù)的信息安全防護(hù)工作，其重要性是可見(jiàn)一斑[1]。

2 信息安全防護(hù)系統(tǒng)運(yùn)維模式優(yōu)化研究

2.1 從根本上轉(zhuǎn)換思想，由被動(dòng)逐漸過(guò)渡到主動(dòng)管理模式

多數(shù)公司管理層對(duì)于運(yùn)維模式并沒(méi)有全面的了解，受知識(shí)條件的局限使得其簡(jiǎn)單地認(rèn)為，所謂運(yùn)維就是使用系統(tǒng)的人在實(shí)際工作過(guò)程中發(fā)現(xiàn)了系統(tǒng)應(yīng)用問(wèn)題，并就問(wèn)題發(fā)生原因進(jìn)行匯報(bào)，隨后只需要將故障交給運(yùn)維工程師進(jìn)行處理即可。但卻不知道若長(zhǎng)期運(yùn)用此種簡(jiǎn)單的運(yùn)維模式，將很容易使使用者在故障發(fā)生開(kāi)始等、維修期間一直等的不良工作心理，養(yǎng)成等待維修的習(xí)慣。長(zhǎng)此以往，無(wú)論是信息系統(tǒng)中發(fā)生何種小的故障，均需要由運(yùn)維工程師對(duì)問(wèn)題進(jìn)行處理。甚至?xí)躺鷨T工的惰性，讓其認(rèn)為只要系統(tǒng)有問(wèn)題出現(xiàn)就自然可以進(jìn)行休息，導(dǎo)致出現(xiàn)等待運(yùn)維進(jìn)行故障處理的這段時(shí)間，只顧著休息而趁機(jī)偷懶的不良現(xiàn)象。雖然對(duì)于一些常見(jiàn)的小故障，運(yùn)維工程師修理的時(shí)間并不會(huì)過(guò)長(zhǎng)。但由于信息系統(tǒng)的覆蓋需求逐漸提升，網(wǎng)點(diǎn)數(shù)量的增長(zhǎng)將會(huì)導(dǎo)致故障率隨之增加，在運(yùn)維工程師數(shù)量有限的情況下，需要排隊(duì)等待解決故障的現(xiàn)象是不可避免的，所耗費(fèi)的時(shí)間相較以往將有大幅度的上升。長(zhǎng)此以往，所產(chǎn)生的最終結(jié)果就是，正常的系統(tǒng)應(yīng)用受到影響，運(yùn)維資源也將遭到極大的浪費(fèi)。不良現(xiàn)象的集中出現(xiàn)，也將導(dǎo)致客戶們的投訴事件數(shù)量增多，影響員工們的工作積極性，甚至導(dǎo)致公司的市場(chǎng)信譽(yù)受到影響，產(chǎn)生難以估量的重大損失。想要改變這一現(xiàn)狀，就應(yīng)從根本上轉(zhuǎn)變傳統(tǒng)的運(yùn)維思想。首先是需要將不涉及經(jīng)營(yíng)數(shù)據(jù)的故障處理基本方法教給使用系統(tǒng)的人員，使得其能夠在故障發(fā)生的第一時(shí)間進(jìn)行自我排查與解決。另外為了避免由于使用者不專業(yè)而導(dǎo)致維修環(huán)節(jié)“越幫越忙”的現(xiàn)象出現(xiàn)，應(yīng)對(duì)使用系統(tǒng)的人員進(jìn)行集中的知識(shí)綜合性培訓(xùn)。管理人員應(yīng)與具有豐富經(jīng)驗(yàn)的運(yùn)維工程師聯(lián)合起來(lái)，以文檔或視頻方式將簡(jiǎn)單的故障處理方法發(fā)放給系統(tǒng)使用人員，從而實(shí)現(xiàn)匯編與培訓(xùn)的基本目標(biāo)，為從根本上提升使用者的問(wèn)題處理能力奠定堅(jiān)實(shí)基礎(chǔ)。這樣一來(lái)，就能夠根本上改變運(yùn)維工程師淪為使用者信息系統(tǒng)的“保姆”形勢(shì)，讓使用者們能夠嚴(yán)格遵循一邊報(bào)備、一邊解決問(wèn)題的原則。只有在無(wú)法通過(guò)常用故障處理方法解決的情況下，再通知運(yùn)維工程師解決此類問(wèn)題。

2.2 物聯(lián)網(wǎng)信息安全防護(hù)策略

第一，感知層安全防護(hù)策略。感知層包含各類傳感器、RFID、攝像頭及多種智能設(shè)備，這些設(shè)備大小、功能各異，面對(duì)的安全威脅也多種多樣，故需從硬件、接入、操作系統(tǒng)、應(yīng)用等多個(gè)環(huán)節(jié)入手，確保硬件安全、接入安全、操作系統(tǒng)安全和應(yīng)用安全，保證數(shù)據(jù)不被篡改和未授權(quán)獲取，防范非法侵入和攻擊，保證操作系統(tǒng)升級(jí)更新過(guò)程安全可控，應(yīng)用軟件行為受到監(jiān)控。第二，網(wǎng)絡(luò)層安全防護(hù)策略。物聯(lián)網(wǎng)采用無(wú)線局域網(wǎng)、窄帶物聯(lián)網(wǎng)絡(luò)、蜂窩移動(dòng)網(wǎng)絡(luò)、無(wú)線自組網(wǎng)絡(luò)等多種接入技術(shù)，面對(duì)的安全威脅也復(fù)雜多樣，需從身份認(rèn)證、數(shù)據(jù)完整性保護(hù)、數(shù)據(jù)傳輸加密操作、網(wǎng)絡(luò)通信安全感知等方面進(jìn)行加強(qiáng)，包括引入身份認(rèn)證機(jī)制、強(qiáng)化終端數(shù)據(jù)完整性保護(hù)、禁止明文傳輸（即加密處理）、跟蹤監(jiān)控通信網(wǎng)絡(luò)行為等策略。第三，應(yīng)用層安全防護(hù)策略。物聯(lián)網(wǎng)內(nèi)會(huì)產(chǎn)生海量數(shù)據(jù)，配置大量服務(wù)資源，為避免攻克一點(diǎn)而全網(wǎng)崩潰的局面的出現(xiàn)，應(yīng)采用去中心管理系統(tǒng)，即分布式數(shù)據(jù)管理系統(tǒng)，同時(shí)配置系統(tǒng)加固、漏洞檢測(cè)、安全審計(jì)等功能，強(qiáng)化安全防護(hù)能力。對(duì)于采用云計(jì)算的應(yīng)用，為防范各種攻擊行為，可采取設(shè)置安全基線、自動(dòng)檢測(cè)、不定期掃描漏洞和系統(tǒng)更新、數(shù)據(jù)統(tǒng)計(jì)分析、安裝防病毒軟件等策略，并采取業(yè)務(wù)分級(jí)保護(hù)措施。

2.3 防火墻技術(shù)

防火墻是一個(gè)非常有效的保護(hù)屏障，屬于保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，通過(guò)在網(wǎng)絡(luò)邊界建立網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)可以很好地隔離內(nèi)部與外部網(wǎng)絡(luò)，外部的網(wǎng)絡(luò)入侵可以被有效抑制。對(duì)于網(wǎng)絡(luò)通信安全防護(hù)來(lái)說(shuō)，可以考慮結(jié)合實(shí)際情況來(lái)選用網(wǎng)絡(luò)級(jí)防火墻、電路級(jí)網(wǎng)關(guān)、應(yīng)用級(jí)網(wǎng)關(guān)、規(guī)則檢查防火墻，甚至還可以考慮混合使用。以長(zhǎng)期的實(shí)踐應(yīng)用效果來(lái)看，通過(guò)在網(wǎng)絡(luò)的對(duì)接口設(shè)置防火墻技術(shù)，可以對(duì)網(wǎng)絡(luò)層實(shí)現(xiàn)訪問(wèn)控制，試圖跨越防火墻的數(shù)據(jù)流可以被全面性的鑒別，以此來(lái)防止不良信息入侵，充分確保網(wǎng)絡(luò)通信安全。但在使用防火墻技術(shù)時(shí)，需要特別注意兩點(diǎn)：①防火墻是無(wú)法防病毒的；②數(shù)據(jù)在防火墻的更新會(huì)存在一定的問(wèn)題。另外，防火墻多采用濾波技術(shù)，而濾波技術(shù)使用時(shí)會(huì)導(dǎo)致網(wǎng)絡(luò)性能有大幅度的下降，若是選擇通過(guò)高速路由器來(lái)解決這一問(wèn)題，勢(shì)必會(huì)增加經(jīng)濟(jì)成本。因此，防火墻技術(shù)在網(wǎng)絡(luò)通信安全中的應(yīng)用還有很大的完善空間，后續(xù)要進(jìn)一步加大研究力度。

2.4 動(dòng)態(tài)數(shù)據(jù)脫敏

在動(dòng)態(tài)數(shù)據(jù)脫敏技術(shù)中，其也具有專門(mén)的脫敏功能模塊，位于大數(shù)據(jù)平臺(tái)，和前端的應(yīng)用平臺(tái)之間，這能夠在一定程度上，為大數(shù)據(jù)平臺(tái)中的數(shù)據(jù)提供安全保護(hù)。當(dāng)前端的應(yīng)用平臺(tái)發(fā)起請(qǐng)求，需要訪問(wèn)大數(shù)據(jù)，相關(guān)數(shù)據(jù)便被輸送到數(shù)據(jù)處理引擎，由動(dòng)態(tài)脫敏模塊，對(duì)訪問(wèn)請(qǐng)求數(shù)據(jù)進(jìn)行動(dòng)態(tài)脫敏。其大致的流程如下，模塊轉(zhuǎn)發(fā)請(qǐng)求，由大數(shù)據(jù)平臺(tái)接收。平臺(tái)接收到請(qǐng)求之后，對(duì)前端應(yīng)用的語(yǔ)法、賬戶以及程序名、IP等信息進(jìn)行核對(duì)，檢查前是否具有合法性。然后數(shù)據(jù)脫敏模塊根據(jù)規(guī)則對(duì)應(yīng)用程序發(fā)送的HIVE語(yǔ)法、HBASE語(yǔ)法進(jìn)行改寫(xiě)，并將修改后的請(qǐng)求發(fā)送到大數(shù)據(jù)平臺(tái)中。最后由大數(shù)據(jù)平臺(tái)對(duì)請(qǐng)求進(jìn)行處理，并將處理結(jié)果返回，由前端應(yīng)用平臺(tái)接收使用[2]。

2.5 企業(yè)層面

①提升系統(tǒng)整體性。當(dāng)企業(yè)資源有限時(shí)，為了更有效地保障企業(yè)的信息安全，必須從全局出發(fā)，加強(qiáng)信息安全保護(hù)的整體布局，對(duì)原有產(chǎn)品進(jìn)行升級(jí)改造、全面規(guī)劃、合理布局，追求整體投入產(chǎn)出效益。②明確系統(tǒng)層級(jí)性。企業(yè)的管理層對(duì)信息安全防護(hù)工作的效率有著重大的影響，企業(yè)信息安全保護(hù)分為技術(shù)層面保護(hù)、策略層面保護(hù)和制度層保護(hù)，三者相互作用，相互制約。為了有效地保護(hù)企業(yè)信息安全，必須處理好和協(xié)調(diào)好各系統(tǒng)間的相互關(guān)系，利用技術(shù)的支持，同時(shí)重視管理，加強(qiáng)工作協(xié)調(diào)，才能讓系統(tǒng)發(fā)揮其最大作用。③降低系統(tǒng)交互性。企業(yè)的信息安全保護(hù)體系中，各個(gè)環(huán)節(jié)存在著強(qiáng)烈的交互作用，使得系統(tǒng)的運(yùn)行更加復(fù)雜。因此需要建立一套完善的內(nèi)部規(guī)章制度，加強(qiáng)技術(shù)并規(guī)范操作，準(zhǔn)確識(shí)別風(fēng)險(xiǎn)源，確保信息安全策略的正確理解和有效實(shí)施，避免周期性風(fēng)險(xiǎn)的交叉影響，減小防范難度。④關(guān)注系統(tǒng)動(dòng)態(tài)。由于信息技術(shù)的發(fā)展，人們對(duì)信息安全保護(hù)有著更高的要求，關(guān)于企業(yè)信息安全保障，要正確理解企業(yè)信息安全問(wèn)題，就必須從時(shí)間維度上對(duì)其定性，準(zhǔn)確定位系統(tǒng)的工作階段，明確定位信息安全風(fēng)險(xiǎn)的時(shí)間界限，注重各個(gè)階段的連續(xù)性，運(yùn)用適當(dāng)?shù)墓ぞ吆头椒ㄗR(shí)別風(fēng)險(xiǎn)，找出風(fēng)險(xiǎn)可能造成的危害，采取正確的防范措施，讓企業(yè)信息安全防護(hù)更加有效。

2.6 網(wǎng)絡(luò)層信息安全防護(hù)策略的實(shí)現(xiàn)

網(wǎng)絡(luò)層信息安全防護(hù)可采取通信加密和身份認(rèn)證策略。現(xiàn)代加密算法有對(duì)稱加密算法和非對(duì)稱加密算法之分，前者加密和解密使用同一密鑰，后者加密和解密使用不同的密鑰。對(duì)稱加密算法的優(yōu)點(diǎn)是加解密快速，但用戶數(shù)量過(guò)多時(shí)密鑰管理負(fù)擔(dān)重，AES、DES或3DES是典型的對(duì)稱加密算法。非對(duì)稱加密算法復(fù)雜，安全性高，但相對(duì)對(duì)稱加密算法來(lái)說(shuō)加解密速度比較慢，RSA是典型的非對(duì)稱加密算法。身份認(rèn)證策略也是基于密碼學(xué)理論實(shí)現(xiàn)的，主要基于數(shù)字證書(shū)或公鑰、身份標(biāo)識(shí)認(rèn)證，例如基于數(shù)字證書(shū)的身份認(rèn)證由發(fā)證機(jī)構(gòu)（CA）用私鑰對(duì)身份信息（用戶名、公鑰）、證書(shū)機(jī)構(gòu)名稱、證書(shū)有效期進(jìn)行數(shù)字簽名，再加上用戶身份信息就形成了數(shù)字證書(shū)。

2.7 網(wǎng)絡(luò)加密技術(shù)

通過(guò)應(yīng)用加密技術(shù)，可以有效防止不法分子從網(wǎng)絡(luò)上獲取到公用或私有化的信息，可以說(shuō)網(wǎng)絡(luò)加密技術(shù)是網(wǎng)絡(luò)通信安全的核心。目前來(lái)看，應(yīng)用最為有效的網(wǎng)絡(luò)加密方式主要有鏈路加密、節(jié)點(diǎn)加密、端對(duì)端加密。其中的鏈路加密技術(shù)可以有效保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全，端點(diǎn)加密技術(shù)可以保護(hù)源端用戶到目的端用戶的數(shù)據(jù)，節(jié)點(diǎn)加密技術(shù)可以保護(hù)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路安全。就鏈路加密技術(shù)的優(yōu)勢(shì)來(lái)說(shuō)，其使用非常的方便，將一對(duì)密碼設(shè)備安裝在兩個(gè)節(jié)點(diǎn)的線路上，使用相同的密匙即可。但實(shí)際應(yīng)用過(guò)程中鏈路加密技術(shù)也有一定的局限性，比如每一條鏈路均需要設(shè)置加密和解密的設(shè)備，導(dǎo)致成本較高。就端對(duì)端加密技術(shù)的優(yōu)勢(shì)來(lái)說(shuō)，整個(gè)消息在傳輸?shù)倪^(guò)程中均可以得到有效的保護(hù)，即便是節(jié)點(diǎn)被損壞，消息也不會(huì)被泄露[3]。

3 結(jié)束語(yǔ)

綜上所述，作為重要的輔助工具，信息系統(tǒng)現(xiàn)已經(jīng)深入到各個(gè)行業(yè)中，這使得運(yùn)維工作同樣有較為良好的發(fā)展前景。作為運(yùn)維工程師，應(yīng)充分考慮信息系統(tǒng)的應(yīng)用條件與可能影響其功能狀態(tài)的因素，做好技術(shù)與產(chǎn)業(yè)的創(chuàng)新融合工作，為推動(dòng)信息系統(tǒng)業(yè)務(wù)的未來(lái)可持續(xù)發(fā)展奠定堅(jiān)實(shí)的基礎(chǔ)。