網絡安全防護策略及趨勢分析

◆林黎明

（92941 部隊 遼寧 125001）

1 引言

計算機網絡安全是指網絡系統中的硬件、軟件及其系統中的數據受到保護，可以有效避免因偶然或者惡意的原因而遭受到破壞、更改、泄露，網絡系統可以連續穩定可靠的運行，網絡服務不中斷。通常從網絡邊界、內部網絡、網絡隔離交換、網絡運維監管、網絡數據傳輸等方面加強計算機網絡安全防護。

2 網絡安全防護措施

2.1 網絡邊界安全

為防止來自網絡邊界的入侵需要在網絡邊界上建立可靠的安全防御策略，目前主要采用防火墻技術、多重安全網關技術、網閘技術、數據交換技術來實現不同等級網絡之間的信息防護。其中新一代防火墻技術能夠有效應對傳統網絡攻擊和高級別的網絡威脅，支持多種形式靈活部署。安全隔離網閘部署在不同安全領域或信息系統之間，實現網絡物理阻斷和白名單方式純數據交換。信息單向導入設備、視頻單向網閘能實現協議終止。數據交換技術可以有效解決不同網絡之間、異構操作系統和數據庫之間的信息交互。

2.2 內網安全

現有的網絡安全防護大多強調對來自外部的主動攻擊進行預防，檢測和處理，對內部主機授予更多的信任，實際上很多安全事件都是企業內部用戶有意或者無意的操作引起的。為加固內網安全，常用的策略手段包括抗拒絕服務系統、深度入侵防護系統等，前者能夠精確識別和防御DDoS攻擊，能夠及時發現網絡背景中的各種攻擊流量。后者采用流行病毒檢測技術，集成沙箱檢測能力，實時主動攔截黑客攻擊、蠕蟲病毒等網絡威脅。為進一步強化終端管控，還可以使用終端防護策略，包括上網行為管理系統，終端準入控制系統、電子文檔安全管理系統等。

2.3 網絡隔離交換

目前，國內主要采用第五代網絡隔離技術，通過專用通信設備，專有安全協議和加密驗證機制，應用層數據提取和鑒別認證技術，進行不同安全等級網絡之間的數據交換。徹底阻斷網絡間直接TCP/IP連接，采用對網絡之間的通信進行嚴格的身份認證，內容過濾以及安全審計等多重安全防護機制，保證網絡間數據交換的安全可控。目前主要采用的隔離技術有物理網絡隔離、邏輯網絡隔離、虛擬局域網隔離、虛擬路由轉發、虛擬交換機等策略手段。

2.4 網絡運維監管

運維管理平臺的相關產品集統一管控、運維于一體，實現網絡、服務器及數據中心一體化，可視化管理。安全運維監管平臺基于多種數據協議，采用智能數據分析技術，結合分級保護要求，綜合展示安全態勢，有效的實施實時監控和管理。具有系統設備監管、網絡拓撲展示、機房管理、告警管理、安防監控、動環監控、運維服務、威脅情報等技術于一體。

2.5 數據傳輸安全

為滿足企業數據安全快速交換，目前主要采用高速FTP/UDP系統、超高速云盤系統、高速文件同步系統、高速受管文件傳輸平臺等系統和技術手段，滿足各種類型的文件傳輸應用需求，實現完整、高效、安全、可靠的文件型大數據傳輸。

3 網絡安全防護發展趨勢

3.1 硬件產品自主可控

隨著國家很多行業注重網絡安全，伴隨著的是很多國外品牌設備正逐步被取代和替換，國產自主可控芯片及衍生的安全設備、網絡設備等一系列產品的研發、部署、應用越來越廣；自主可控系列網絡安全產品，處理器采用自主指令集，杜絕了X86架構的安全產品被植入后門的風險，并對溢出攻擊和惡意代碼有天然的免疫能力，確保自身的安全性；集成電路高端芯片、提供網絡與存儲自主可控方案，具有一整套芯片設計與驗證流程，可設計開發具有自主知識產權的國產萬兆智能網絡控制器，可應用與國產服務器；采用自主知識產權的服務器可信密碼模塊、可信計算，具有保護、免疫和修復功能。

3.2 運維監管智能化

隨著新型網絡安全威脅更加突出，傳統的以防護為主的安全體系將面臨極大挑戰，需要落實很關鍵的一點就是全天候全方位感知網絡安全態勢，要擯棄隔離就是安全的錯誤理念，特別是強化沒有意識到風險就是最大的風險。目前，國內眾多廠商提出了各自網絡安全態勢感知及綜合運維一體化解決方案，支持多元異構跨網采集，針對各類網絡設備，服務器，安全設備，數據庫等重要軟硬件設施實時采集，通過應用大數據技術架構，能夠實現全網海量數據規模的安全信息處理和集中存儲，為用戶展示面向全網業務的安全態勢，幫助用戶感知隱患和威脅，進而為安全運維提供決策支撐。

3.3 辦公自動化安全不可忽視

目前，企業內網辦公郵件傳遞著90%的數字化信息，存在與郵件相關安全風險。因而，與郵件應用相關的安全成為一個無法回避的迫切需求。為強化企業內網辦公自動化安全防護等級，國內相關廠商已開展研究相關安全防護產品，通常采用端口協議、行為審計、動態全文檢索、元消息、透明盾牌安全結構等技術，在系統架構、存儲管理、傳輸和會話控制，系統防護、管理行為，操作審計等方面進行體系化設計，還可以根據需要進行身份識別、蜜罐等安全策略定制，通過全網動態聯防聯控的安全防護體系組建安全高效的郵件服務。

4 結束語

計算機網絡安全伴隨著信息交互的全過程，沒有一成不變的安全策略，也沒有牢不可破的硬件產品。常常是一種或幾種安全防護產品或防護策略的組合運用，才能達到較好的防護效果。隨著網絡攻擊手段和方式的發展變化，安全防護措施也要隨之更新換代，通過文中提供的安全防護策略和手段，在強化網絡安全的同時，始終確保攻擊進不來、數據帶不走、威脅藏不住、上網有人管。