牢固建立“三道防線”加強計算機網絡安全管理

■陳凱航

牢固建立“三道防線”加強計算機網絡安全管理

■陳凱航

一、計算機網絡安全管理內容

計算機網絡安全是指計算機網絡系統的硬件、軟件及系統數據受到保護，不因偶然或惡意遭到破壞、更改、泄露，安全完整地為用戶提供信息，其實質是信息安全管理。根據PDRR（Protecr防護、Detect檢測、React響應和Restore恢復的縮寫）網絡安全管理模型,網絡安全管理應當包括防護，自動檢測、管理、監控、處理漏洞和攻擊，及時阻止或延遲侵入，對安全事件做出快速反應和災難恢復等內容，其中：網絡防護主要包括網絡訪問控制、鑒別、數據保密、數據完整、行為完整性、抗抵賴性和可用性等方面的安全防護；安全檢測主要包括信道斷路檢測、通信連接檢測，同一信息交換平臺檢測和巡視，計算機硬件系統安全檢測，網絡設備安全漏洞檢測、網絡通信數據流實時監控和網絡攻擊實時監控，操作系統已知安全漏洞檢測和操作系統已知攻擊實時監控等；安全反應包括信道斷路反應,對被檢測出的硬件系統漏洞和攻擊進行反應,對被檢測出網絡漏洞和攻擊進行反應,對被檢測出操作系統漏洞和攻擊進行反應；災難恢復主要是將系統和數據恢復到原來正常業務運營狀態。

二、計算機網絡安全問題及成因

計算機網絡安全問題可劃分如下幾類：

1.網絡物理安全問題。網絡物理環境包括網絡設備、網絡布局、和網絡運營機房安全管理等方面。網絡系統自身設備老化和損壞，可出現網絡系統完整性喪失、服務中斷；網絡建設審批不嚴，網絡布局不合理，影響通信暢通和管理；網絡運營環境安全管理疏漏、設備不全，缺乏監控、報警、火警和消防等安全措施，以及不可預測的自然災害，可致使網絡安全突發事件發生。

2.網絡通信遭受被動攻擊。被動攻擊最常見的是截獲，就是攻擊者從網絡上竊聽他人通信內容，不作任何修改。網絡通信遭截獲原因是網絡傳輸設備、交換設備、傳輸線、通信終端等未采用電磁，屏蔽、吸收、過濾等技術，電磁輻射未限定在國家標準規定的區域和范圍內，未在信道上實施防泄露、防截獲的安全防范技術和保密通信技術，未采取多路傳輸、分組交換和多路由方法。

3.網絡通信遭受主動攻擊。一是通信設備和通信線路未進行物理保護、檢測，未執行適當的加密和鑒別技術，網絡報文遭受故意篡改、斷傳、偽造。二是缺少適當的反病毒軟件，網絡通信遭受計算機病毒、計算機蠕蟲、特洛伊木馬和邏輯炸彈等惡意程序破壞。三是未實施抗拒絕服務，攻擊者產生大量數據流方式占用網絡帶寬，向服務器發送畸形數據包使網絡崩潰，向應用程序發送非法請求使其崩潰，創建許多大文件耗盡磁盤空間等，阻止或妨礙合法用戶對網絡、系統和應用程序的正常使用。四是安檢手段缺失，加密技術與適當的鑒別技術末有機結合，網絡遭受分布式拒絕服務（DDOS）攻擊，即攻擊者在多臺主機中植入攻擊代理程序，由攻擊者遠程控制這些代理程序同時向受害者發動攻擊，以大量消耗受害者的網絡和計算機資源。

4.內部管理缺失對網絡安全造成負面影響。網絡運行與系統維護日常管理制度不健全，缺乏定期檢測、監督制度，崗位分工不合理，人員素質與崗位不匹配，權限過大等，可造成日常數據保護及維護失職，影響周期數據備份、恢復以及驗證數據的完整性；安全事件檢測統計分析工作不到位，未能及時發現網絡安全入侵事件、掌握威脅及威脅影響，致使人為因素導致計算機網絡安全問題產生或蔓延，現有的防范監測系統形同虛設。

三、加強計算機網絡安全管理建議

一是牢固建立網絡安全第一道防線——網絡安全物理防線。網絡安全物理環境是控制環境風險和不可預知情況產生的第一道防線。構建網絡安全物理環境，必須堅持科技高度支持業務發展的管理目標，按照網絡建設標準、要求和審批流程，使用安全可控網絡產品和安全類系統，建設網絡安全運營環境。同時，做好每日網絡物理環境監測工作，保持計算機機房適當的溫濕度，采用報警裝置，實施網絡物理隔離等防護手段。

二是牢固建立網絡安全第二道防線——網絡邊界安全防線。加強網絡接入和訪問控制,嚴密網絡接入審批，做好網絡加密信息保密、安全防護軟件安裝、網段劃分和路由控制工作，對涉及資金和敏感信息的系統工程應劃分獨立網段，制定網絡服務保證規劃，保證重要業務優先處理。合理配置防火墻和交換機，對網絡設備和系統主機訪問控制應達到單個計算機級別，嚴格控制外部網絡訪問。做好入侵事件統計分析工作，及時對入侵檢測系統特征庫升級，分析解決入侵事件。加強計算機網絡日志管理，全面完整記錄、分析網絡審計日志。

三是牢固建立網絡安全第三道防線——人員行為安全防線。嚴格執行國家網絡安全管理相關規定，建立網絡安全加密、數字簽名、鑒別、鑒別交換、身份認證工作機制及網絡安全內部管理制度。執行網絡管理員、系統操作員、系統運維員、入侵檢測員、機房及硬件管理員、網絡風險評估員崗位分離制度，定期開展網絡安全管理業務培訓，提高網絡安全管理人員業務水平。

四是定期或不定期開展網絡安全風險評估工作。依據網絡安全事件發生的頻率、嚴重性和危害性，劃分網絡安全風險級別，采取不同應對策略和管理制度，完善網絡安全風險評估工作流程和違章工作人員責任追究制度，提升網絡安全管理工作質量。

（作者單位：武昌工學院信息工程學院計算機科學與技術系）