信息網絡安全防護對策研究

張 好

（廣東省總隊網管中心，廣州 510660）

信息網絡安全防護對策研究

張 好

（廣東省總隊網管中心，廣州 510660）

信息網絡的安全是關系到網絡中傳輸的信息是否能夠合法、準確地進行傳輸，并為終端用戶提供應用的關鍵。隨著信息網絡的快速發展，安全問題也隨之產生，如何保證網絡安全成為人們在利用信息網絡時不得不考慮的問題。本文對信息網絡和網絡安全面臨的主要威脅，提出信息網絡安全防護的具體措施。

信息網絡安全；安全防護；安全管控

信息網絡是信息獲取、傳遞和處理的中樞神經系統，是保證各種信息數據完整可靠傳輸的基本條件和主要平臺。在越來越復雜的網絡環境下，信息網絡的安全面臨著嚴峻挑戰。信息網絡面臨的安全威脅主要有病毒和黑客入侵，進行竊取、干擾、篡改等。為有效保障信息網絡安全穩定運行，應加強信息網絡安全管控，及時解除信息網絡安全面臨的威脅。

1　信息網絡安全面臨的威脅

1.1 信息網絡系統數據安全方面

一是主動攻擊。其目的是破壞系統中數據的完整性，它是攻擊人有意發出的行為，并且往往不會留下技術痕跡。主要方式是：在進入系統時，通常采用“合法用戶”的身份，刪除放在記錄中的數據，使有用的數據被無意義的數據代替，非法篡改數據，并將非法指令加入到程序中，從而使計算機在執行原定任務的過程中，執行非法功能。二是被動攻擊。竊取系統中的機密數據。主要表現為：竊聽、破譯、分析在網絡上傳輸的信息；非法偷閱存儲在信息網絡數據庫中的數據；以合法存取數據的方法為手段，將數據傳輸給非合法用戶；以通過合法途徑獲得的具有緊密聯系的統計數據為依據，推斷其他數據等。

1.2 在信息網絡本身的安全方面

信息網絡本身的安全威脅，主要是使網絡的正常運行受到破壞而非竊取機密信息。這種破壞通常主要分為兩個方面：一是軟殺傷，通常表現為以計算機病毒為手段來破壞網絡系統，攻擊系統的關鍵節點，導致系統的主服務器癱瘓；在設計和開發軟件的過程中，故意設置某種缺陷，從而使系統功能不能正常執行。二是硬殺傷，通常表現為以各種人為破壞手段攻擊信息網絡及周圍的設備、網絡線路等。

1.3 在網絡系統人員安全方面

作為一個巨大的人機交互系統，在信息網絡系統中人員安全因素有著事關全局的作用。人為因素主要體現在以下幾個方面：通過滲透我方情報機構來攻擊；攻擊和策反我方系統管理人員，通過系統值班員、掌握核心技術秘密的人員來攻擊我方系統的安全；存在于系統合法用戶中的瀆職行為以及不法行為等。

2　信息網絡安全防護對策

2.1 邊界安全防護

網絡邊界安全是網絡與信息安全的基礎。為了保護系統安全，抵制非法入侵，要應用先進技術手段，采取有效措施，及時查找外界安全隱患，彌補漏洞和不足。主要技術措施包括防火墻、可信傳輸、網絡隔離和安全檢查等。

2.1.1 安裝防火墻

在網絡出口處安裝防火墻，嚴格按照規則進行配置，默認規則為禁止，嚴禁開放TCP/UDP協議的有關端口，利用防火墻的“停火區”對終端進行分類，從而使處理絕密、機密、級信息終端得到更好保護。

2.1.2 實施可信傳輸

一是對于鏈路層加密設備，利用置換和變換的方法將信息轉化為密文，每隔一個月對設備進行維護和測試。二是對整個網絡層加密設備進行規劃，區分密級網段和非密級網段，對密級網段進行數據加密傳輸，并禁止密級網段與非密級網段進行數據通信。

2.1.3 進行網絡隔離

利用網絡隔離設備阻斷網絡層互連，通過安全控制設計只允許具有指定應用傳輸協議的報文通過，并在密級要求較高、業務流相對固定單位使用。如軍隊中的機動指揮網、雷達情報探測網、武器平臺系統、專用業務處理網等間接用戶接入軍隊專網時，要通過安全隔離網關實施網絡隔離和安全控制。

2.2 終端安全防護

終端防護是安全防護體系中的末端，也是安全防護的重點。一方面，網絡終端是網絡操作的起點，通過網絡終端用戶可以登錄并訪問網絡，透過內網訪問外網，訪問應用系統和產生數據。另一方面，網絡終端也是許多安全事件的源頭，如病毒攻擊、從網絡內部發起惡意攻擊和內部保密數據盜用或失竊等。因此，要維護信息網絡安全穩定，消除安全威脅，必須加強網絡終端防護。

2.2.1 檢測查殺病毒

一是在主機系統上部署網絡版防病毒軟件，接受全網統一管理、建立病毒疫情統一實時監控、病毒查殺策略統一管理、病毒特征庫統一升級的網絡防病毒體系。二是為保障導入數據的安全，配置專門的病毒查殺終端，部署兩種以上殺毒軟件，對需要導入系統的載體進行離線查殺。

2.2.2 安全加固補丁

利用補丁自動分發系統，通過聯網方式對網絡主機操作系統和基礎工具軟件分發最新補丁，及時修補已知漏洞。

2.2.3 訪問控制

一是用戶登錄控制。將身份認證設備與操作系統登錄機制緊密結合，實現基于用戶身份認證設備的主機登錄控制。二是用戶權限限制。限制用戶在終端上的操作使用權限，防止用戶無意或者故意對終端環境進行破壞性操作。三是外設訪問控制，在文件驅動層截獲外設訪問的系統調用，根據訪問規則對外設拷貝行為進行審計與控制，防范從主機拷出涉密文件，或將攻擊工具或病毒拷入主機的行為。四是網絡訪問控制。嚴格控制主機上各應用程序所使用的網絡通信協議、端口號，杜絕網絡攻擊和越權訪問行為發生。五是非法外聯監控。對用戶通過撥號等方式試圖連接到外部網絡的行為進行審計與控制，防止由于外聯行為而造成的泄密事件發生。

2.2.4 移動存儲安全保護

主機之間利用具備強制審計功能的專用安全U盤進行數據交換，實現對用戶移動存儲介質的安全管理和安全審計。安全U盤具備文件操作記錄、主機特征記錄、U盤授權控制、審計日志管理、違規操作定位等功能，能夠保證移動存儲介質數據操作的可追蹤、可審計。

2.2.5 數據庫安全防護與安全審計

通過數據庫安全防護系統，建立對數據庫授權控制、訪問審計等安全機制。對于安全性要求更高的數據庫應用系統，要采用自主知識產權的安全防護數據庫，保障核心數據安全。

2.2.6 信息管控

要安裝相應軟件，對信息的擁有者、使用者進行行之有效的認證，生成日志文件，以防止內部泄露信息。

2.3 信息網絡安全管控

為預防和監控網絡攻擊行為，要對用戶上網行為、設備運行狀態、網絡信息資源進行有效監控和管理，把信息網絡安全威脅降到最低、保證網絡正常運行。信息網絡安全管控是網絡安全防護工作的第一道關卡，通過這道關卡可及時阻截危險行為，發現攻擊、非法信息發布、病毒侵犯等行為，將安全事件造成的影響降低到最小。

2.3.1 信息審計

信息審計系統應緊跟形勢，不斷完善敏感詞庫。同時，安全值勤人員必須加大審計力度，做到非法信息及時發現、及時處理。

2.3.2 入侵檢測

入侵檢測系統負責管理監測骨干線路傳輸的數據，對當前系統資源和狀態進行監控，檢測可能的入侵行為，利用入侵者留下的痕跡來有效發現來自內部和外部的非法入侵，是一種主動防御，它能在不影響網絡性能的情況下對網絡進行檢測，從而提供對內、外部攻擊的實時保護。

2.3.3 人員管理

一是要加強用戶單位內部管理，建立合理、規范的網絡安全管理系統，對用戶人員要明確不同崗位的不同權限。二是要結合機房、硬件、軟件、數據和網絡等各個方面的安全問題，如采用屏蔽措施降低電磁輻射等提高整體網絡安全意識。三是要加強人員業務、技術培訓，提高操作技能；定期對信息數據進行備份，減少敵方攻擊造成的損失。四是教育工作人員嚴格遵守操作規程和各項保密規定，嚴防人為事故的發生。

3　結 語

信息網絡的安全防護需要從邊界防護、終端防護、安全管控等多個方面來考慮，每個防護手段都針對不同的信息網絡安全威脅，側重點各有不同。因此，必須全面考慮、合理運用防護措施才能實現信息網絡邊界可靠、終端可信、秩序可控的安全防護目標，為信息網絡系統建設與運用提供安全保障。

10.3969/j.issn.1673 - 0194.2016.10.100

TP393.08

A

1673-0194（2016）10-0143-02

2016-04-20