論運(yùn)維工作中的網(wǎng)絡(luò)入侵防御

◆趙 霞 梁 偉 鄭 群

?

論運(yùn)維工作中的網(wǎng)絡(luò)入侵防御

◆趙 霞 梁 偉 鄭 群

（中國(guó)聯(lián)通河南省分公司 河南 450003）

隨著互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益成為國(guó)際社會(huì)的焦點(diǎn)問(wèn)題，關(guān)系著國(guó)家安全、社會(huì)穩(wěn)定、企業(yè)利益、個(gè)人權(quán)益。在日常網(wǎng)絡(luò)信息系統(tǒng)的網(wǎng)絡(luò)安全工作中，做好網(wǎng)絡(luò)入侵防御對(duì)于網(wǎng)絡(luò)信息安全工作至為重要。本文主要闡述了網(wǎng)絡(luò)入侵的概念以及在實(shí)際網(wǎng)絡(luò)安全運(yùn)維中做好網(wǎng)絡(luò)入侵防護(hù)的主要手段和措施，以提升網(wǎng)絡(luò)信息單元的整體網(wǎng)絡(luò)安全技術(shù)運(yùn)維思路和做好網(wǎng)絡(luò)安全落實(shí)工作。

網(wǎng)絡(luò)安全；入侵防御；技術(shù)措施

0 前言

當(dāng)今社會(huì)，互聯(lián)網(wǎng)已深入工作生活的各個(gè)方面，網(wǎng)絡(luò)安全問(wèn)題涉及到國(guó)家安全、社會(huì)穩(wěn)定、以及企業(yè)與個(gè)人利益等多個(gè)方面。隨著《網(wǎng)絡(luò)安全法》的頒布，網(wǎng)絡(luò)安全問(wèn)題上升到了國(guó)家法律高度，網(wǎng)絡(luò)安全成為運(yùn)維工作中重要的一部分。通過(guò)研究運(yùn)維工作中的網(wǎng)絡(luò)入侵防御措施，以達(dá)到做好網(wǎng)絡(luò)安全防護(hù)的目的。

1 研究背景

1.1 網(wǎng)絡(luò)安全

“網(wǎng)絡(luò)安全，是指通過(guò)采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力?！?--《網(wǎng)絡(luò)安全法》

網(wǎng)絡(luò)安全的目的包括“網(wǎng)絡(luò)運(yùn)行安全”和“網(wǎng)絡(luò)數(shù)據(jù)安全”兩個(gè)方面。

1.2 網(wǎng)絡(luò)入侵

網(wǎng)絡(luò)入侵，一般是指通過(guò)計(jì)算機(jī)、網(wǎng)絡(luò)等技術(shù)手段，獲得非授權(quán)的網(wǎng)絡(luò)訪問(wèn)或系統(tǒng)控制的能力，從而達(dá)到侵害、干擾他人網(wǎng)絡(luò)系統(tǒng)的行為。

從信息安全的角度，網(wǎng)絡(luò)入侵的危害包括影響信息系統(tǒng)的保密性、完整性、可用性等。

2 網(wǎng)絡(luò)入侵防御

2.1 網(wǎng)絡(luò)入侵分析

網(wǎng)絡(luò)入侵行為可分為三個(gè)階段：首先確定入侵對(duì)象，然后是獲取非法權(quán)限、最后是危害網(wǎng)絡(luò)安全。

入侵對(duì)象包括網(wǎng)絡(luò)設(shè)備、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫(kù)等。

網(wǎng)絡(luò)入侵的方法有嗅探、監(jiān)聽、掃描、爬找、接觸等手段以獲取可利用資源，分析利用漏洞進(jìn)行入侵。

其危害行為包括破壞網(wǎng)絡(luò)系統(tǒng)、篡改竊取信息、發(fā)布虛假信息、進(jìn)行網(wǎng)絡(luò)欺詐、跳板攻擊等。

從網(wǎng)絡(luò)運(yùn)維層面，做好網(wǎng)絡(luò)入侵防御主要從網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、系統(tǒng)安全加固、網(wǎng)絡(luò)安全運(yùn)維三個(gè)方面開展。

2.2 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

網(wǎng)絡(luò)安全規(guī)劃是一套網(wǎng)絡(luò)系統(tǒng)在建設(shè)及使用中需要重點(diǎn)考慮的問(wèn)題之一。主要涉及以下幾個(gè)問(wèn)題：

系統(tǒng)是否需要提供互聯(lián)網(wǎng)訪問(wèn)服務(wù)；

如何確定網(wǎng)絡(luò)系統(tǒng)的邊界；

邊界安全采用那些安全措施；

內(nèi)網(wǎng)如何劃分安全域；

內(nèi)外網(wǎng)接入管理措施。

下面針對(duì)這幾個(gè)問(wèn)題分別進(jìn)行討論。

（1）系統(tǒng)是否提供互聯(lián)網(wǎng)訪問(wèn)

互聯(lián)網(wǎng)分訪問(wèn)三種情況，一種是提供網(wǎng)站域名服務(wù)，一種是非域名的內(nèi)部業(yè)務(wù)網(wǎng)站，再有就是系統(tǒng)接口及維護(hù)端口。從安全性的角度，網(wǎng)絡(luò)系統(tǒng)向互聯(lián)網(wǎng)開放的資源越多，網(wǎng)絡(luò)系統(tǒng)存在被入侵的風(fēng)險(xiǎn)就越大。所以，應(yīng)用系統(tǒng)在上線時(shí)需要確定是企業(yè)組織內(nèi)部使用，還是面向互聯(lián)網(wǎng)公眾提供服務(wù)，或者是在互聯(lián)網(wǎng)上提供有限訪問(wèn)，這是網(wǎng)絡(luò)信息系統(tǒng)在安全架構(gòu)設(shè)計(jì)或安全運(yùn)維優(yōu)化時(shí)的關(guān)鍵問(wèn)題。

（2）確定網(wǎng)絡(luò)系統(tǒng)的邊界

一般情況下，網(wǎng)絡(luò)系統(tǒng)的邊界包含以下幾個(gè)因素：網(wǎng)絡(luò)接入互聯(lián)網(wǎng),核心網(wǎng)絡(luò)區(qū)與遠(yuǎn)端網(wǎng)絡(luò)區(qū),網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的接口,網(wǎng)絡(luò)與訪問(wèn)終端。

從以上幾點(diǎn)分析，非核心區(qū)域設(shè)備對(duì)核心區(qū)域的訪問(wèn)通過(guò)邊界網(wǎng)絡(luò)安全措施進(jìn)行防護(hù)，從而達(dá)到保障核心網(wǎng)絡(luò)安全的目的。在實(shí)際環(huán)境中，網(wǎng)絡(luò)邊界的劃分和內(nèi)網(wǎng)管理容易混淆。

（3）邊界安全措施。

網(wǎng)絡(luò)的邊界根據(jù)網(wǎng)絡(luò)系統(tǒng)的級(jí)別及風(fēng)險(xiǎn)可相應(yīng)配備防火墻、入侵檢測(cè)、入侵防御、流量清洗、防病毒、日志審計(jì)、信息過(guò)濾、堡壘機(jī)、網(wǎng)閘、WAF、VPN、白名單等措施。良好的邊界安全措施對(duì)網(wǎng)絡(luò)入侵行為有明顯的防御效果，可隔離絕大多數(shù)的網(wǎng)絡(luò)入侵攻擊行為。

（4）內(nèi)網(wǎng)安全域的劃分

內(nèi)網(wǎng)在這指除核心網(wǎng)絡(luò)區(qū)外組織內(nèi)部可控的網(wǎng)絡(luò)區(qū)域。

由于內(nèi)網(wǎng)存在不同的業(yè)務(wù)性質(zhì)或者接入人員的復(fù)雜性等問(wèn)題，需要在內(nèi)網(wǎng)劃分不同的安全域進(jìn)行訪問(wèn)控制。一般內(nèi)部域可劃分為業(yè)務(wù)辦公域、維護(hù)終端域、客戶訪問(wèn)域等，不同域之間設(shè)置不同的訪問(wèn)策略，從低安全等級(jí)的域向高安全等級(jí)的域訪問(wèn)嚴(yán)格受控。安全域的劃分可通過(guò)劃分VLAN隔離、IP組策略等方法實(shí)現(xiàn)。

（5）網(wǎng)絡(luò)接入管理

網(wǎng)絡(luò)接入管理的作用主要是減少網(wǎng)絡(luò)系統(tǒng)的暴露面、使網(wǎng)絡(luò)接入處在可控的范圍內(nèi)。如采用VPN接入、設(shè)置訪問(wèn)白名單、IP綁定MAC地址等。

2.3 系統(tǒng)安全加固

系統(tǒng)的安全加固對(duì)降低網(wǎng)絡(luò)入侵風(fēng)險(xiǎn)有很重要的作用。系統(tǒng)安全加固主要有系統(tǒng)安全防護(hù)及信息數(shù)據(jù)的防護(hù)，包括信息資產(chǎn)管理、安全基線及加固、認(rèn)證與權(quán)限管理、日志留存及審計(jì)、數(shù)據(jù)保護(hù)措施、冗余備份方案等。

（1） 信息資產(chǎn)管理及等級(jí)保護(hù)

在網(wǎng)絡(luò)系統(tǒng)中確定系統(tǒng)資源是做好系統(tǒng)安全重要的基礎(chǔ)工作，網(wǎng)絡(luò)系統(tǒng)資源包括網(wǎng)絡(luò)中運(yùn)行的服務(wù)器、終端、操作系統(tǒng)、應(yīng)用系統(tǒng)、管理和使用系統(tǒng)的人員、系統(tǒng)中的信息數(shù)據(jù)等。根據(jù)系統(tǒng)的重要性及影響進(jìn)行網(wǎng)絡(luò)信息系統(tǒng)等級(jí)保護(hù)，一般指信息系統(tǒng)安全等級(jí)備案和電信網(wǎng)絡(luò)單元定級(jí)備案。

（2） 漏洞與安全基線

對(duì)網(wǎng)絡(luò)中的系統(tǒng)資源進(jìn)行安全基線的設(shè)置及定期的漏洞掃描、升級(jí)系統(tǒng)補(bǔ)丁是做好網(wǎng)絡(luò)系統(tǒng)安全最基本的要求，并盡量做到服務(wù)、端口等資源的最小化管理。

（3） 認(rèn)證與權(quán)限管理

要充分考慮系統(tǒng)帳戶、應(yīng)用帳戶、數(shù)據(jù)庫(kù)賬戶、信任關(guān)系的設(shè)置以及使用規(guī)范等多個(gè)方面，重視默認(rèn)賬戶、弱口令、權(quán)限分配的管理與稽核工作等。

（4） 日志留存及審計(jì)。

網(wǎng)絡(luò)系統(tǒng)中存在訪問(wèn)日志、操作日志、系統(tǒng)日志、網(wǎng)絡(luò)防護(hù)日志等。要做好日志留存工作，并加強(qiáng)日志審計(jì)，可有效提升入侵狀態(tài)的檢測(cè)及入侵事件的回溯水平。

（5） 信息數(shù)據(jù)保護(hù)

現(xiàn)在不管是內(nèi)網(wǎng)、wifi、互聯(lián)網(wǎng)都存在被通信監(jiān)聽的可能，黑客通過(guò)通信監(jiān)聽可獲得賬戶、密碼等重要信息，給企業(yè)、個(gè)人的安全帶來(lái)威脅。采取通信加密是現(xiàn)階段做好網(wǎng)絡(luò)安全防護(hù)的重要手段，如采用SSL、IPSEC、HTTPS等。

重要信息數(shù)據(jù)保護(hù)包括加密存儲(chǔ)和數(shù)據(jù)安全。加密數(shù)據(jù)存儲(chǔ)指采用加密交換機(jī)、存儲(chǔ)層加密等。而數(shù)據(jù)安全包括重要文檔資料安全和數(shù)據(jù)庫(kù)數(shù)據(jù)安全等，如采用文檔加密、字段加密、脫敏傳輸?shù)?。通過(guò)采取信息數(shù)據(jù)保護(hù)措施，可有效降低重要信息數(shù)據(jù)泄漏風(fēng)險(xiǎn)。

（6） 冗余與備份

網(wǎng)絡(luò)冗余、服務(wù)冗余、存儲(chǔ)冗余、系統(tǒng)備份、應(yīng)用備份、容災(zāi)中心，以及重要數(shù)據(jù)的在線備份、離線備份等措施可應(yīng)對(duì)一定的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。良好的數(shù)據(jù)備份策略及應(yīng)急方案可很好的提升網(wǎng)絡(luò)入侵危害的應(yīng)對(duì)能力。

2.4 網(wǎng)絡(luò)安全運(yùn)維

網(wǎng)絡(luò)安全運(yùn)維能力是網(wǎng)絡(luò)安全持續(xù)性的保障，在網(wǎng)絡(luò)安全運(yùn)維工作中，防范網(wǎng)絡(luò)入侵，要做好以下幾點(diǎn)工作：

（1） 增強(qiáng)網(wǎng)絡(luò)安全防范意識(shí)和處置能力

做好網(wǎng)絡(luò)安全運(yùn)維工作離不開運(yùn)維人員網(wǎng)絡(luò)安全防范意識(shí)和處置能力，通過(guò)培訓(xùn)教育、明確職責(zé)、細(xì)化日常網(wǎng)絡(luò)安全工作、加強(qiáng)應(yīng)急演練是做好網(wǎng)絡(luò)入侵防御工作的重要一環(huán)。

（2） 做好安全風(fēng)險(xiǎn)評(píng)估及整改

重視定期的網(wǎng)絡(luò)系統(tǒng)安全檢查、風(fēng)險(xiǎn)評(píng)估工作，及時(shí)采取網(wǎng)絡(luò)優(yōu)化、系統(tǒng)加固等措施，促使網(wǎng)絡(luò)安全性得到整體性提高。

3 結(jié)論

本文從網(wǎng)絡(luò)安全運(yùn)維角度，闡述了做好網(wǎng)絡(luò)入侵防御工作在網(wǎng)絡(luò)規(guī)劃、系統(tǒng)加固及運(yùn)維工作等方面中需要注意的一些原則和問(wèn)題，以做好網(wǎng)絡(luò)安全“進(jìn)不來(lái)、拿不走、看不懂、改不了”的目的，促進(jìn)網(wǎng)絡(luò)安全運(yùn)維工作的落實(shí)，提升網(wǎng)絡(luò)安全防護(hù)水平。

[1]吳世忠等.信息安全技術(shù)[M].北京：機(jī)械工業(yè)出版社，2014.

[2]吳世忠等.信息安全保障導(dǎo)論[M].北京：機(jī)械工業(yè)出版社，2014.