基層事業(yè)單位網(wǎng)絡(luò)安全技術(shù)防護(hù)及管理

文/張智偉

在信息技術(shù)飛速發(fā)展的今天，互聯(lián)網(wǎng)絡(luò)異軍突起，以其易用、高效的便利性，輕松地融入了人們的工作和生活中。在享受科技帶來樂趣的同時(shí)，也面臨著來自網(wǎng)絡(luò)層出不窮的各種威脅，信息安全不斷受到挑戰(zhàn)，特別是基礎(chǔ)網(wǎng)絡(luò)安全防護(hù)能力薄弱，導(dǎo)致安全危機(jī)。網(wǎng)絡(luò)互聯(lián)在基層事業(yè)單位已經(jīng)完全普及，很多基層單位除了和上級(jí)單位連接的內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)，還有根據(jù)自身業(yè)務(wù)接入互聯(lián)網(wǎng)的獨(dú)立局域網(wǎng)?；鶎邮聵I(yè)單位的網(wǎng)絡(luò)安全主要是解決自建網(wǎng)絡(luò)的安全問題，網(wǎng)絡(luò)規(guī)模不大，設(shè)備不多，但是種類與大型網(wǎng)絡(luò)基本相同。隨著互聯(lián)網(wǎng)規(guī)模的膨脹，網(wǎng)絡(luò)安全問題逐漸顯現(xiàn)，而且越來越復(fù)雜，如果安全防護(hù)不到位，很容易受到病毒、木馬等程序以及黑客的侵害，不僅會(huì)對(duì)本單位網(wǎng)絡(luò)，甚至可能連同上級(jí)單位的網(wǎng)絡(luò)一起會(huì)造成損害。因此，基層單位的網(wǎng)絡(luò)必須要采用行之有效的技術(shù)手段和管理辦法防范各種威脅網(wǎng)絡(luò)安全的事件，盡量避免安全危害發(fā)生。

1.網(wǎng)絡(luò)安全概述

1.1 網(wǎng)絡(luò)安全的定義

國際標(biāo)準(zhǔn)化組織ISO 74982文獻(xiàn)中對(duì)安全的定義是:安全就是最大限度地減少數(shù)據(jù)和資源被攻擊的可能性?！吨腥A人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第三條，規(guī)范了包括計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在內(nèi)的計(jì)算機(jī)信息系統(tǒng)安全的概念:計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行。

1.2 網(wǎng)絡(luò)安全的基本要素

從本質(zhì)上講，網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)能連續(xù)可靠地正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。廣義上講，凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、可控性和不可否認(rèn)性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域，即網(wǎng)絡(luò)安全的五個(gè)要素。

（1）保密性（Configentiality）:主要是指保證非授權(quán)的用戶不能訪問，信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。

（2）完整性（Integrity）:主要是指信息只有獲得許可的用戶才能修改實(shí)體或進(jìn)程。

（3）可用性（Availability）:主要是指只有授權(quán)用戶可以隨時(shí)訪問信息，有訪問控制機(jī)制阻止非授權(quán)用戶進(jìn)入。

（5）不可否認(rèn)性（Non-Repudiation）:主要是指出現(xiàn)的安全問題能提供監(jiān)控、審計(jì)等手段，具備可追溯性。

網(wǎng)絡(luò)的安全與開放是矛盾關(guān)系，系統(tǒng)不提供任何服務(wù)，不會(huì)產(chǎn)生安全威脅，一旦提供服務(wù)，在開放的網(wǎng)絡(luò)環(huán)境下，各種安全問題必然隨之而來。

2.基層事業(yè)網(wǎng)絡(luò)安全面臨的問題

2.1 網(wǎng)絡(luò)協(xié)議自身的缺陷

網(wǎng)絡(luò)通信協(xié)議是互聯(lián)網(wǎng)絡(luò)傳輸?shù)幕A(chǔ)，協(xié)議設(shè)計(jì)之初，并沒有考慮到現(xiàn)在網(wǎng)絡(luò)的復(fù)雜情況，從而導(dǎo)致這些協(xié)議存在著不同的原生缺陷。TCP/IP是Internet的基本協(xié)議，網(wǎng)絡(luò)上針對(duì)它的缺陷有很多攻擊方法。

物理層的侵害主要是對(duì)網(wǎng)絡(luò)硬件和基礎(chǔ)設(shè)施進(jìn)行物理破壞。例如，施工將電力線路破壞引起單位斷電，或者出口線路被挖斷，均可導(dǎo)致無法訪問互聯(lián)網(wǎng)絡(luò)。

ARP（地址解析協(xié)議）和RARP（反地址解析協(xié)議）是TCP/IP數(shù)據(jù)鏈路層上的兩個(gè)重要協(xié)議，ARP欺騙和偽裝是發(fā)生在這里的常見攻擊手段。

網(wǎng)絡(luò)層包括ICMP、IP和IGMP協(xié)議，它們常常引發(fā)大多數(shù)ICMP路由欺騙、Smuff攻擊和IP碎片攻擊等著名的網(wǎng)絡(luò)攻擊方式。

傳輸層是被攻擊的重災(zāi)區(qū)，由于TCP連接占用資源大、釋放慢和UDP無連接、不可靠等自身缺陷導(dǎo)致的攻擊情況非常多，最常見的有會(huì)話劫持、中間人攻擊、SYN FLOOD攻擊以及TCP序列號(hào)欺騙和攻擊等。

教師主導(dǎo)式的意思是指教師策劃與主導(dǎo)及引導(dǎo)學(xué)生每一步之學(xué)習(xí)，例如，教師講解；準(zhǔn)備一系列問題引導(dǎo)學(xué)生思考，學(xué)習(xí)不同種類的音樂；準(zhǔn)備好實(shí)驗(yàn)程序，讓學(xué)生跟著步驟進(jìn)行實(shí)驗(yàn)。

在應(yīng)用層上，應(yīng)用協(xié)議眾多，如DNS、FTP、SMTP等，主要攻擊是DNS欺騙。此外，由于一些軟件如數(shù)據(jù)庫、自行開發(fā)的應(yīng)用等軟件在運(yùn)行中出現(xiàn)漏洞，同樣會(huì)引起黑客攻擊。

2.2 惡意代碼的危害

由于網(wǎng)絡(luò)的開放、互聯(lián)特性，網(wǎng)絡(luò)上的用戶可以自由來往于各個(gè)站點(diǎn)，各種信息系統(tǒng)互聯(lián)互通，用戶身份和位置難以識(shí)別，同時(shí)，由于網(wǎng)絡(luò)協(xié)議和部分軟件存在技術(shù)漏洞，這些都為惡意代碼的傳播和擴(kuò)散提供了便利。常見的惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等危害就是利用了TCP/IP協(xié)議的缺陷。越來越多的惡性攻擊事件說明目前網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻，不法分子的技術(shù)手段也時(shí)常更新?lián)Q代，網(wǎng)絡(luò)的安全漏洞需要被網(wǎng)絡(luò)管理員們時(shí)刻關(guān)注，網(wǎng)絡(luò)安全的防范措施也要與時(shí)俱進(jìn)能夠應(yīng)付不同的威脅，確保網(wǎng)絡(luò)信息安全、可控。

2.3 人為因素

很多計(jì)算機(jī)用戶網(wǎng)絡(luò)安全意識(shí)差，加之使用不當(dāng)，容易被敲詐、勒索等風(fēng)險(xiǎn)通過不安全網(wǎng)址或電子郵件植入木馬后門，這些人為因素也會(huì)導(dǎo)致安全問題發(fā)生。

3.網(wǎng)絡(luò)安全防范措施

3.1 技術(shù)防范

3.1.1 物理安全

物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故，以及人為操作失誤或者各種針對(duì)網(wǎng)絡(luò)或計(jì)算機(jī)的破壞行為。保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全，是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提。

物理攻擊分為偶然的和故意的，故意攻擊是很明顯的，網(wǎng)絡(luò)的物理線纜或是設(shè)備、配套設(shè)施等被破壞，無法再提供網(wǎng)絡(luò)服務(wù)；偶然事故和故意攻擊本質(zhì)不一樣，但是結(jié)果是相同的，也會(huì)對(duì)網(wǎng)絡(luò)或者某個(gè)設(shè)備造成破壞。偶然事故可以不歸結(jié)于攻擊。

物理環(huán)境安全主要是指對(duì)系統(tǒng)、設(shè)備所在的機(jī)房安全保護(hù)。保護(hù)措施和過程應(yīng)按照國家有關(guān)設(shè)計(jì)標(biāo)準(zhǔn)實(shí)施，包括消防報(bào)警、安全照明、不間斷供電、溫濕度控制系統(tǒng)和防盜報(bào)警，應(yīng)符合國家對(duì)不同等級(jí)機(jī)房的設(shè)計(jì)規(guī)范。

3.1.2 網(wǎng)絡(luò)邊界安全

網(wǎng)絡(luò)安全主要包括網(wǎng)絡(luò)運(yùn)行和網(wǎng)絡(luò)訪問控制的安全。在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間設(shè)置防火墻，實(shí)現(xiàn)對(duì)外部網(wǎng)絡(luò)的隔離和訪問控制，是保護(hù)內(nèi)部網(wǎng)絡(luò)安全的最主要措施，同時(shí)也是最優(yōu)先、最經(jīng)濟(jì)的措施之一。

防火墻從實(shí)現(xiàn)原理上分為過濾防火墻、應(yīng)用級(jí)網(wǎng)關(guān)防火墻、代理防火墻和規(guī)則檢查防火墻，它們的部署位置完全取決于單位的訪問要求和安全要求。客觀地說，防火墻并不是解決網(wǎng)絡(luò)安全問題的萬能藥方，而只是網(wǎng)絡(luò)安全和策略中的一個(gè)組成部分，防火墻自身還有很多局限，例如，不能阻止利用協(xié)議缺陷的攻擊、不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題等。所以，僅靠在互聯(lián)網(wǎng)入口處設(shè)置防火墻是不能保護(hù)整個(gè)內(nèi)部網(wǎng)絡(luò)安全的，還應(yīng)該配備IPS（入侵防御系統(tǒng)）這樣專門的安全設(shè)備來彌補(bǔ)防火墻的不足。IPS位于防火墻和網(wǎng)絡(luò)設(shè)備之間，可以配置深層次的防御安全策略，監(jiān)視網(wǎng)絡(luò)中的傳輸情況，通過對(duì)數(shù)據(jù)包的檢測(cè)，及時(shí)調(diào)整或阻斷一些不正常的傳輸，這是防火墻所無法做到的。IPS作為必要的網(wǎng)絡(luò)安全附加設(shè)備，已經(jīng)為大多數(shù)單位網(wǎng)絡(luò)安全架構(gòu)的標(biāo)配。

3.1.3 終端安全一體化安全防范

在當(dāng)前的互聯(lián)網(wǎng)環(huán)境下，一般基層事業(yè)單位已經(jīng)建立了一個(gè)完整的網(wǎng)絡(luò)平臺(tái)，具備一定的網(wǎng)絡(luò)規(guī)模，計(jì)算機(jī)終端數(shù)量較多。各種木馬病毒、0day漏洞，以及類似APT攻擊等新型的攻擊手段也越來越多，傳統(tǒng)的防病毒技術(shù)以及管理手段已經(jīng)無法滿足現(xiàn)階段網(wǎng)絡(luò)安全的需要。目前，建立一體化終端安全和統(tǒng)一管理的網(wǎng)絡(luò)威脅防護(hù)體系是一個(gè)單位整體防范網(wǎng)絡(luò)安全威脅的首選。

國內(nèi)絕大多數(shù)從事網(wǎng)絡(luò)安全的公司都有面向企事業(yè)用戶的網(wǎng)絡(luò)安全管理系統(tǒng)，依托其各自的云安全系統(tǒng)，可提供整個(gè)網(wǎng)絡(luò)終端安全狀況評(píng)估，全面查殺、檢測(cè)已知、未知病毒與惡意代碼，通過云安全，實(shí)時(shí)更新安全補(bǔ)丁，調(diào)整威脅防護(hù)策略。通過對(duì)網(wǎng)絡(luò)文件的安全審計(jì)和追蹤，及時(shí)發(fā)現(xiàn)和定位未知威脅，可對(duì)終端漏洞修復(fù)、自動(dòng)推送補(bǔ)丁，使網(wǎng)絡(luò)終端的安全風(fēng)險(xiǎn)處于可管理、可控制狀態(tài)。同時(shí)，還能將網(wǎng)絡(luò)終端的整體安全狀況和風(fēng)險(xiǎn)情況以數(shù)字化方式展現(xiàn)出來，幫助網(wǎng)絡(luò)安全管理人員及時(shí)、準(zhǔn)確、清晰地了解終端所處的風(fēng)險(xiǎn)狀況，以便于快速解決問題。

3.2 管理措施

在網(wǎng)絡(luò)安全領(lǐng)域的多年研究實(shí)踐中，人們逐漸認(rèn)識(shí)到管理在網(wǎng)絡(luò)安全中的重要性，“三分技術(shù)，七分管理”的理念已經(jīng)深入人心。網(wǎng)絡(luò)安全同樣遵循“木桶原理”，即一個(gè)木桶的容積取決于最短的那塊木板，一個(gè)系統(tǒng)的安全強(qiáng)度等于最薄弱環(huán)節(jié)的安全強(qiáng)度。無論采用了多么先進(jìn)的技術(shù)設(shè)備，還需要有以人為目標(biāo)的管理手段來支持，只要安全管理上有漏洞，那么這個(gè)系統(tǒng)的安全一樣沒有保障。

3.2.1 定期檢測(cè)網(wǎng)絡(luò)狀況

網(wǎng)絡(luò)的狀態(tài)是不斷變化的，網(wǎng)絡(luò)中的計(jì)算機(jī)所面臨的威脅也隨著網(wǎng)絡(luò)環(huán)境在不斷變化。網(wǎng)絡(luò)管理員的崗位職責(zé)、日常工作要建章立制，包括定期檢查聯(lián)網(wǎng)計(jì)算機(jī)病毒代碼更新情況，確保其處于最新版本，開啟終端防護(hù)程序防關(guān)閉和防卸載功能，要經(jīng)常通過一體化終端管理系統(tǒng)檢查網(wǎng)絡(luò)內(nèi)終端安全狀況，主動(dòng)推送對(duì)網(wǎng)內(nèi)終端的安全檢測(cè)命令，使其在開機(jī)狀態(tài)下自動(dòng)修補(bǔ)安全漏洞。對(duì)于單位的內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)，更應(yīng)嚴(yán)格控制輸入輸出，必要時(shí)應(yīng)使用身份加密訪問技術(shù)，通過對(duì)來訪者身份的認(rèn)證，確認(rèn)是否有權(quán)限進(jìn)行訪問，這也是維護(hù)網(wǎng)絡(luò)安全的一種有效方式。

此外，網(wǎng)絡(luò)管理員要時(shí)常運(yùn)用網(wǎng)絡(luò)安全監(jiān)測(cè)工具如惡意軟件分析包、網(wǎng)絡(luò)流量分析工具、端口掃描工具和漏洞檢測(cè)框架等網(wǎng)絡(luò)安全性評(píng)估分析軟件或硬件，檢測(cè)系統(tǒng)的漏洞或潛在的威脅，發(fā)現(xiàn)隱患及時(shí)修補(bǔ)，以達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。

3.2.2 加強(qiáng)內(nèi)部管理，強(qiáng)化安全意識(shí)

基層事業(yè)單位雖然人員相對(duì)固定和單一，但這并不意味著計(jì)算機(jī)在內(nèi)部網(wǎng)絡(luò)中使用就是安全的，網(wǎng)絡(luò)安全威脅有的來自外部，有的則是來自單位內(nèi)部。

基層單位沒有專職的網(wǎng)絡(luò)安全管理人員，防范力量較薄弱，首先要加強(qiáng)網(wǎng)絡(luò)管理員的技術(shù)培訓(xùn)工作，有效補(bǔ)充新的網(wǎng)絡(luò)安全管理知識(shí)，提高網(wǎng)絡(luò)安全防范技術(shù)水平。

此外，單位內(nèi)部每年應(yīng)不定期開展網(wǎng)絡(luò)安全自查工作，對(duì)于一些網(wǎng)絡(luò)使用中存在的安全隱患進(jìn)行總結(jié)，利用身邊的案例開展多種形式的網(wǎng)絡(luò)安全宣講、教育活動(dòng)。特別是要提高職工的安全意識(shí)，克制好奇心，不點(diǎn)擊來路不明的郵件和鏈接，從而避免被植入木馬、敲詐勒索以及詐騙等網(wǎng)絡(luò)安全事件的發(fā)生。

培養(yǎng)職工使用移動(dòng)存儲(chǔ)先殺毒的良好習(xí)慣，鼓勵(lì)個(gè)人使用正版軟件，盜版軟件本身就存在一定的安全威脅。同時(shí)，還需要完善一些監(jiān)督機(jī)制，確保這些制度能夠落到實(shí)處；否則，同樣無法保障網(wǎng)絡(luò)安全。

結(jié)語

網(wǎng)絡(luò)安全防范是一個(gè)動(dòng)態(tài)的過程，影響安全的因素都是動(dòng)態(tài)變化的，防范也必然要通過一個(gè)動(dòng)態(tài)的過程來實(shí)現(xiàn)?？煽康木W(wǎng)絡(luò)安全保障體系不僅具備對(duì)外部攻擊進(jìn)行有效防范的能力，還包括完善的內(nèi)部安全管理制度，不應(yīng)僅僅局限于對(duì)某種安全隱患的防范，還要具備應(yīng)對(duì)各種網(wǎng)絡(luò)安全隱患的整體解決能力，應(yīng)當(dāng)能夠隨著網(wǎng)絡(luò)安全需求的變化而不斷改進(jìn)和完善。這就要求基層事業(yè)單位的網(wǎng)絡(luò)管理員在日常工作中要加強(qiáng)對(duì)網(wǎng)絡(luò)的全面監(jiān)測(cè)，仔細(xì)觀察和分析影響網(wǎng)絡(luò)安全的相關(guān)因素，強(qiáng)化單位內(nèi)部計(jì)算機(jī)的安全使用管理，最大程度地消除可能存在的安全隱患，確?；鶎邮聵I(yè)單位的計(jì)算機(jī)網(wǎng)絡(luò)安全平穩(wěn)、可靠地有序運(yùn)行。