廣泛于外網終端數據安全防護

黃慧 高源 丁頁頂 季奧穎 柳偉

（國網浙江電力有限公司麗水供電公司 浙江省麗水市 323000）

1 郵件傳輸防護研究

電子郵件屬于數據信息的主要載體，承載著大量有價值的數據、資料，進入大數據時代后，企業郵件數據價值比之以往更高，如果郵箱資料被盜取，將會嚴重影響企業機密安全、經濟安全、個人隱私以及企業形象。在企業信息化建設中，安全的電子郵件系統一直都是其中的重點，受到企業的高度關注。從電子郵件的泄露來看，包括幾個形式：

（1）傳輸過程中的泄露：普通郵件是以明文形式傳輸，若未對傳輸渠道制定完善的安全防護措施，那么黑客可以采用技術手段來攔截郵件，或者切斷郵件的傳輸；

（2）用戶名與密碼泄露：采用木馬、網絡釣魚、密碼明文存放、弱密碼等，都有可能導致用戶名與密碼泄露。從本質而言，郵件信息安全事故的誘因是對數據缺乏全方位安全防護，要保障數據的安全性，需要基于郵件生命周期來應用科學的防御方式。

在郵件傳輸防護上，除了系統自身的安全防護措施之外，還從業務的應用方向著手，基于郵件的信息聲明周期來保證其安全性。具體包括：

（1）用戶登錄行為安全防護：多數情況下，企業郵件的泄露是由于用戶名、密碼簡單引致，針對此，設置多層次密碼功能，通過弱密碼檢查分析出弱密碼用戶，提示用戶修改，設置密碼有效期與防猜密碼，如果密碼輸入超過規定頻率后，會出現IP 賬號自鎖定與圖形驗證碼，輸入正確驗證碼，才可以順利解鎖。

（2）查詢近14d 登陸記錄，包括登陸時間、登陸IP、登陸方式、有無登陸成功，若發現非法登陸，系統會發出提醒，若發現異常問題，可以及時核對、更改，保障傳輸安全。

（3）反垃圾反病毒防護，黑客常見的攻擊郵箱手段有垃圾郵件、病毒郵件兩類，在這一方面，嵌入反病毒模塊，保證郵件內容的傳輸安全，對各類垃圾郵件樣本，能夠做出實時分析，通過智能算法、人工審核結合的方式對可疑郵件進行過濾判定，對帶有敏感數據的郵件正文、主題、地址、附件進行阻斷、告警、記錄放行等響應。

（4）在郵件數據傳輸安全防護上，利用CMTP 私有協議對內容進行加密、編碼處理，即便郵件被攔截、掃描，也不會出現泄密，最大限度保障端對端的安全傳輸。通過上述措施，可以最大限度避免黑客入侵、網絡病毒造成的郵件安全問題。

2 網絡通信防護研究

企業的信息安全涵蓋信息系統安全、流通存儲信息安全兩個問題，企業信息系統會受到內部也、外部因素的威脅、攻擊，在大數據時代下，企業信息安全問題更加突出，網絡通信防護在系統設計中，也是一個極為關鍵的組成，由于網絡信息系統通信協議的開放性與地域的廣泛性，決定其內容的易損性，因此，加強網絡通信防護也極為重要。在具體措施上：

（1）基于網絡安全設置防毒軟件：殺毒軟件是保證企業計算機系統安全運行的重要措施，借助殺毒軟件，既能夠滿足殺毒要求，還能夠監控使用者的舉動，將中毒可能性減小至最小化，通過審核信息、網絡流量、過濾IP 地址的方式來保證網絡通路能夠正常運行。

（2）VPN 技術（圖1），針對路由器，應用密碼算法、加/解密專用芯片，對各項內容進行管理、控制。

（3）入侵檢測與網絡誘騙系統：防護墻、路由器是針對安全威脅的靜態防護，應用網絡入侵檢測系統，在企業遭到網絡入侵時，能夠對網絡做出實時保護，并對其攻擊行為進行追蹤，確保企業通信鏈路的穩定。而應用網絡誘騙系統，能夠構建出虛擬化的網絡環境，如果發生黑客入侵，可將其定向至虛擬網絡，保證企業系統運行安全。

（4）完善安全管理制度：在企業內部，設置專門管理機構，明確具體分工，各項工作都要求做到專人管理，為通信安全提供人員保證。對于網絡使用者，進行嚴格管理，強化思想道德教育，在人員任用上，構建完善的人事管理制度，強化其忠誠意識、保密意識，并明確安全管理原則，涵蓋“任期有限原則”、“多人開發原則”、“職責分離原則”，并根據企業的情況來設置相關制度。

3 終端漏洞防護研究

終端漏洞的成因多種多樣，是影響外網安全的常見問題，安全漏洞表現形式不同，分類方法也各有差異，具體包括兩類：

（1）系統漏洞，系統漏洞是由于計算機系統本身的交互性、資源共享性引致，為了滿足日常交流、互動要求，需要拓展系統功能，在開發、應用新功能過程中，必然會出現各類漏洞，而黑客會利用這些漏洞發起攻擊。系統運行周期更長，漏洞的發生可能性會更高。

（2）協議漏洞，計算機網絡是基于TCP/IP 協議作為基礎來通信，這一協議本身就存在漏洞，此類漏洞并無明確的區分標準，在通信過程中，會受到各類攻擊，影響網絡正常通信。

針對終端漏洞防護，對從終端外設端口出去的數據進行掃描和監控，一旦識別到有匹配策略的敏感信息，系統作出阻斷、告警、記錄放行或加密的動作。同時，對終端設備存在的安全漏洞進行分析比對，建立威脅情報庫（圖2），提出可行的解決措施，切實提升信息外網終端安全防護能力。威脅情報庫是基于證據的知識，涵蓋場景、指標、機制、含義、可操作建議等方面，而威脅情報則是對有著對抗性、隱蔽性、決策性、預測性、時效性幾個屬性的高價值數據，其生成過程是以大數據為基礎對威脅數據價值進行提取的過程。應用威脅情報庫，能夠對采集的流量數據、日志數據進行預處理，根據經驗知識來匹配判斷，進行數據分析，獲取其中的威脅關鍵詞，并生成相關的威脅信息。同時，借助攻擊樹構建方式，結合統計分析方法，對各類威脅信息進行數據分析，基于此來確定攻擊方式、攻擊影響面、攻擊工具、攻擊路徑，明確攻擊意圖，尋找攻擊原因，形成威脅情報，通過該種方式，形成事前預防，能夠全面、精準對各類攻擊行為進行分析、檢測，有助于強化企業安全防護體系，減小外部攻擊風險，為企業智能化建設提供支持。

4 截屏拍照泄露防護研究

截屏拍照泄露問題也是影響外網終端數據安全的重要影響因素，在網絡上，曾經流傳過這樣一個技術貼，某網友利用明星微博中發出的家居照片，配上微博描述，采用GoogleEarth 定位技術，在短時間內就推斷出具體的家庭住址。信息媒體的數字化給人們的信息存取提供了諸多便利，讓數據的交換、傳輸更加簡單，借助數字掃描儀、計算機、打印機等電子設備，可以迅速獲取多需數字信息，而隨之引發的安全問題也受到了廣泛關注，這類以數字形式保存的文件，很容易通過截屏、拍照、打印的方式泄露。為了提升數據傳輸安全性，需要推廣水印防泄露技術，目前常見的水印解決方案有數字水?。▓D3）、圖片水印、二維碼水印、屏幕矢量水印幾類，在應用了該種技術后，可根據水印信息還原可進行事后的追溯，找出泄露的源頭，進行相關責任定位，并防止通過截圖、掃描、拍照等方式獲取的圖片將國網敏感信息外泄。

另外，在新時期企業發展信息安全的防護上，國家和政府的引導是一項十分重要的手段，在大數據時代下，任何部門都可能會出現信息安全泄露問題，對此，國家需要制定完善的法律法規，明確數據歸屬，處理好數據涉密問題，針對故意泄露數據、非法使用數據和竊取數據者，予以嚴懲。

計算機信息安全是備受社會關注的問題，進入了大數據時代后，信息加工、處理技術迅速發展，產生的數據量也呈現出幾何倍增長趨勢，如果數據遭到竊取，可能會造成財產損失、隱私泄露，甚至影響人們的人身安全。而外網終端數據安全性會受到各類因素的影響，本文從郵件傳輸防護、網絡通信防護、終端漏洞防護、截屏拍照泄露防護四個角度著手，探討了廣泛于外網終端數據安全防護措施，一般情況下，對于企業而言，合理應用上述四種技術，即可將外網終端數據安全問題減小至最小化，在具體的應用上，需要基于企業的實際情況來靈活應用。