網(wǎng)絡(luò)安全風險分析及對策

吳曉晟?葉康

摘要：隨著信息化建設(shè)的快速發(fā)展，計算機網(wǎng)絡(luò)在提高公安、武警的執(zhí)勤、處突能力和實現(xiàn)信息資源共享方面發(fā)揮了重要作用，極大地提高了辦公效率，提升了信息傳遞、公文流轉(zhuǎn)的響應(yīng)速度，但由于網(wǎng)絡(luò)規(guī)模越來越大，應(yīng)用環(huán)境越來越復雜，網(wǎng)絡(luò)信息的安全問題也日漸突出，也給信息化建設(shè)和應(yīng)用帶來了巨大的安全風險，本文結(jié)合網(wǎng)絡(luò)應(yīng)用情況，分析當前計算機網(wǎng)絡(luò)信息系統(tǒng)安全存在的問題，提出加強網(wǎng)絡(luò)信息安全的措施。

關(guān)鍵詞：網(wǎng)絡(luò);安全風險;對策

一、影響計算機網(wǎng)絡(luò)信息系統(tǒng)安全的主要因素

計算機網(wǎng)絡(luò)所具有的開放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性，為資源共享、用戶使用提供了方便，但也正是因為這些特點，增加了網(wǎng)絡(luò)信息系統(tǒng)的不安全性。雖然公安機關(guān)、武警等部門的網(wǎng)絡(luò)建設(shè)根據(jù)各自的情況，也部署了安全防護設(shè)備，但由于網(wǎng)絡(luò)技術(shù)本身存在的弱點以及一些人為的疏忽，計算機網(wǎng)絡(luò)仍存在著許多不安全因素，結(jié)合具體使用情況，主要存在如下問題：

（一）網(wǎng)絡(luò)系統(tǒng)存在隱患

一是物理設(shè)備存在隱患，主要包括設(shè)備的老化、被盜、惡意破壞、電磁信息泄漏、電磁干擾、電源掉電、服務(wù)器宕機、物理設(shè)備的自然損壞、軟件意外失效等;二是網(wǎng)絡(luò)結(jié)構(gòu)存在隱患，從垂直管理的角度看，各業(yè)務(wù)部門的計算機主干網(wǎng)是建立在樹狀結(jié)構(gòu)的綜合通信網(wǎng)基礎(chǔ)之上，一般除了主干的節(jié)點設(shè)備和線路采用了冗余方式外，在下一級的節(jié)點設(shè)備上，沒有做冗余，各級節(jié)點之間也沒有冗余的線路，一旦某個下級節(jié)點損壞或線路出現(xiàn)故障，就會造成到某一方向所有下一級部門的網(wǎng)絡(luò)業(yè)務(wù)中斷。

（二）安全意識不強、管理不善帶來威脅

表現(xiàn)在有意或無意造成的一些人為失誤，如配置不當、誤操作、口令丟失、管理過于簡單等。有的安全意識差，把一些重要信息放到網(wǎng)上，沒有設(shè)置任何訪問控制權(quán)限，造成信息資料被非法泄露、拷貝、篡改。有的未經(jīng)許可將從互聯(lián)網(wǎng)上下載的軟件裝入局域網(wǎng)內(nèi)的計算機，造成來自互聯(lián)網(wǎng)的病毒在局域網(wǎng)內(nèi)大量傳播蔓延。有的缺乏漏洞常識，不及時打補丁或是只打操作系統(tǒng)補丁，而沒有及時更新應(yīng)用軟件補丁和升級版本，或是不看說明亂打補丁后帶來新的問題。有的技術(shù)水平不高，對操作系統(tǒng)、應(yīng)用軟件和網(wǎng)絡(luò)設(shè)備的配置管理不當而造成安全漏洞，如用戶的權(quán)限設(shè)置過大、服務(wù)器打開的端口太多、未及時刪除已離職人員的賬號、將自己的賬號隨意轉(zhuǎn)借別人或者與別人共享資源等。有的沒有依據(jù)最小授權(quán)、高度容錯的原則對防火墻和入侵檢測系統(tǒng)進行設(shè)置，導致在節(jié)點設(shè)備的出口中經(jīng)常有大量無用的數(shù)據(jù)包。

（三）來自內(nèi)部用戶的安全威脅

由于內(nèi)部網(wǎng)的用戶相對于外部用戶來說，具有更便捷的條件了解網(wǎng)絡(luò)結(jié)構(gòu)、防護措施部署情況、業(yè)務(wù)運行模式以及訪問內(nèi)部網(wǎng)權(quán)限，而當前對于來自網(wǎng)絡(luò)內(nèi)部的安全攻擊和誤操作等行為缺乏有效的監(jiān)控和預防手段，就使得來自內(nèi)部用戶的安全威脅遠大于外網(wǎng)的威脅。防火墻、入侵檢測等網(wǎng)絡(luò)安全設(shè)備，可以對網(wǎng)絡(luò)異常行為進行監(jiān)測和管理，但對網(wǎng)絡(luò)和信息的內(nèi)容或者是獲得正常授權(quán)內(nèi)部訪問行為則基本上不做監(jiān)控。因此，面對授權(quán)的網(wǎng)絡(luò)訪問而導致的信息泄密事件、網(wǎng)絡(luò)資源濫用行為，以及對內(nèi)容、行為的監(jiān)控管理缺失，其防火墻、入侵檢測等傳統(tǒng)設(shè)備是難以防范的。

內(nèi)網(wǎng)面臨的安全威脅主要來自于內(nèi)網(wǎng)的用戶終端，主要有以下一些表現(xiàn)形式：竊取傳播違禁、機密的數(shù)據(jù)資料;非授權(quán)訪問、使用網(wǎng)絡(luò)資源;安裝使用盜版軟件或黑客軟件，對內(nèi)網(wǎng)的其他計算機構(gòu)成安全威脅;在內(nèi)外網(wǎng)之間交叉使用移動存儲設(shè)備，造成內(nèi)外網(wǎng)間接地交換數(shù)據(jù);私自上互聯(lián)網(wǎng)導致泄密;隨意更改IP地址造成IP沖突;數(shù)據(jù)存儲中的安全威脅;本地計算環(huán)境和數(shù)據(jù)應(yīng)用中的其他安全威脅等。

二、加強計算機網(wǎng)絡(luò)信息系統(tǒng)安全應(yīng)采取的措施

（一）制定科學、合理的安全策略

運用P2DR模型的基本思想，綜合各種安全技術(shù)（如防火墻、操作系統(tǒng)身份認證、加密等手段）對系統(tǒng)進行保護，同時利用檢測工具（如漏洞評估、入侵檢測等系統(tǒng)）來監(jiān)視和評估系統(tǒng)的安全狀態(tài)，并通過適當?shù)捻憫?yīng)機制將系統(tǒng)調(diào)整到相對“最安全”和“風險最低”狀態(tài)。要加強機房、網(wǎng)絡(luò)設(shè)備、通信線路、電源系統(tǒng)的安全管理，增加設(shè)備、線路的備份冗余，如在分支節(jié)點增加設(shè)備的備份，增加到主干線路的鏈路冗余，提高網(wǎng)絡(luò)的安全防護能力，使網(wǎng)絡(luò)自身免受自然災(zāi)害、人為破壞等影響。

（二）做好技防、人防工作

從技防的角度，完備入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點的安全控制、防火墻控制等網(wǎng)絡(luò)安全措施。同時，通過宣傳教育和授課培訓，增強使用人員網(wǎng)絡(luò)信息安全意識和防范技術(shù)，明確信息網(wǎng)絡(luò)系統(tǒng)各類人員的職責、權(quán)限，防止使用和維護的隨意性，減少由操作失誤造成對系統(tǒng)破壞的可能。

（三）加強內(nèi)網(wǎng)用戶的安全管理

與防范外網(wǎng)安全主要集中于邊界部署不同，保障內(nèi)網(wǎng)安全需要涉及的環(huán)節(jié)較多，如內(nèi)網(wǎng)終端防護、流量和上網(wǎng)行為控制、監(jiān)控審計、身份認證、信息加密等。加強內(nèi)網(wǎng)的安全管理主要采取的措施：建立健全的內(nèi)部規(guī)章制度，并嚴格貫徹執(zhí)行;根據(jù)用戶的不同級別和信息安全等級對信息訪問權(quán)限進行設(shè)置，防止越權(quán)訪問發(fā)生;加強內(nèi)網(wǎng)的業(yè)務(wù)行為審計，即從傳統(tǒng)的安全審計或網(wǎng)絡(luò)審計轉(zhuǎn)向?qū)I(yè)務(wù)行為的審計;加強終端的合規(guī)性管理，即終端安全策略、文件策略和系統(tǒng)補丁的統(tǒng)一管理;加強對移動存儲介質(zhì)的管理。

（四）加強計算機病毒防治

采取防火墻等安全設(shè)備與防病毒軟件相結(jié)合的方式進行，建立全方位的、多層次的病毒防范系統(tǒng)，借助目前使用的防病毒系統(tǒng)，不僅在服務(wù)器端安裝防病毒軟件，而且還要在網(wǎng)絡(luò)上的每一個點都安裝相應(yīng)的防病毒產(chǎn)品，形成多層次的動態(tài)實時防護體系。除防病毒軟件外，還應(yīng)安裝反間諜、反惡意程序軟件系統(tǒng)，制定相應(yīng)的防范預案，在發(fā)現(xiàn)病毒流行時，能夠完成帶毒設(shè)備的阻隔和分離，保證系統(tǒng)的正常運行。

網(wǎng)絡(luò)信息安全問題是復雜的綜合性工程，僅依靠簡單的安全技術(shù)和單一的安全產(chǎn)品，無法滿足網(wǎng)絡(luò)的實際要求，需要在人員、技術(shù)和管理三方面加以綜合考慮。同時，網(wǎng)絡(luò)信息安全也是一個不斷建設(shè)、不斷加固的過程，是隨著電子攻擊技術(shù)的提高、信息系統(tǒng)的增多和重要性的增加而不斷升級的過程。只有根據(jù)實際情況，在安全、性能、管理和經(jīng)費投入之間尋找一個平衡點，才能有效實現(xiàn)計算機網(wǎng)絡(luò)安全、高效、穩(wěn)定的運行。

參考文獻：

[1]劉遠生.網(wǎng)絡(luò)安全實用教程[M].北京：人民郵電出版社.2011，（04）.

[2]云南省網(wǎng)絡(luò)與信息安全通報中心.網(wǎng)絡(luò)與信息安全情況通報.2019年第18期.