李元偉
(青島海警局,青島 266011)
2017年6月1日,《中華人民共和國網(wǎng)絡(luò)安全法》正式施行,為依法實行網(wǎng)絡(luò)安全管理提供了法律依據(jù)。網(wǎng)絡(luò)是一把雙刃劍,它在帶來前所未有的便捷之外,也帶來了尖銳的網(wǎng)絡(luò)安全問題,比如,信息泄漏、病毒擴散、數(shù)據(jù)失竊、網(wǎng)絡(luò)癱瘓、黑客攻擊等問題不勝枚舉,一次次警示人們必須將網(wǎng)絡(luò)安全問題放到事關(guān)國家安全和社會穩(wěn)定的高度,緊跟網(wǎng)絡(luò)技術(shù)發(fā)展形勢,研究網(wǎng)絡(luò)安全的性質(zhì)、特征、表現(xiàn)形式,提出針對性的應(yīng)對策略。下面,筆者就如何認識和防范網(wǎng)絡(luò)安全問題進行簡要分析,希望能給讀者帶來一些啟示。
顧名思義,計算機網(wǎng)絡(luò)安全的目標(biāo)是為確保各類網(wǎng)絡(luò)組成系統(tǒng)、設(shè)施、相關(guān)信息資源的安全運行,避免受到惡意攻擊、破壞、篡改和竊取,保證網(wǎng)絡(luò)用戶終端正常使用,保證網(wǎng)絡(luò)服務(wù)正常提供。因此,網(wǎng)絡(luò)安全的范疇非常廣泛,包括組建網(wǎng)絡(luò)的服務(wù)器、路由器等硬件設(shè)備,操作系統(tǒng)等管理支配網(wǎng)絡(luò)的軟件,還有大量的網(wǎng)絡(luò)資源,加強網(wǎng)絡(luò)安全管理就要根據(jù)網(wǎng)絡(luò)特性,相應(yīng)采取安全管理手段和技術(shù)防范措施,對網(wǎng)絡(luò)進行安全保護,使網(wǎng)絡(luò)信息完整、保密、可用、可控。
(1)是網(wǎng)絡(luò)信息數(shù)據(jù)的失竊。主要表現(xiàn)為網(wǎng)絡(luò)上的信息數(shù)據(jù)被別有用心的人采取非法手段竊取,沒有得到合法用戶的授權(quán)。
(2)是對信息資源進行破壞。非法截取網(wǎng)上的信息數(shù)據(jù),采取技術(shù)手段進行更改和刪減,影響信息資源的正常使用。
(3)是非法傳遞信息數(shù)據(jù)。在網(wǎng)絡(luò)上非法傳遞信息數(shù)據(jù),違背合法用戶授權(quán)的通信類型,造成負面影響。
(4)是信息資源使用控制不合理。資源訪問控制不嚴格,技術(shù)防范措施不到位,信息數(shù)據(jù)遭到破壞。
(5)是網(wǎng)絡(luò)資源使用違規(guī)。非法用戶違規(guī)使用網(wǎng)絡(luò)資源和服務(wù),占用了有限的資源,影響了正當(dāng)用戶的連接。
(6)是外在因素的影響。計算機網(wǎng)絡(luò)的設(shè)置環(huán)境、自然條件、人員流動等情況帶來的不利影響。
(7)是系統(tǒng)存在的漏洞。包括網(wǎng)絡(luò)中的操作系統(tǒng)、各類數(shù)據(jù)庫、登錄設(shè)置賬號密碼等軟件安全漏洞,沒有得到及時的修復(fù)和升級,容易給黑客和非法用戶留下可乘之機。
(8)是管理因素。如果網(wǎng)絡(luò)管理和使用人員責(zé)任心不強,留下網(wǎng)絡(luò)使用的隱患,或者人為造成網(wǎng)絡(luò)的中斷,都會對網(wǎng)絡(luò)安全產(chǎn)生難以估量的影響。
(1)提高主機和終端本身的安全性。由于主機和終端存儲了各類數(shù)據(jù),必須要防止被非法用戶隨意登陸使用。改善安全環(huán)境,建設(shè)報警、監(jiān)控、防盜等安全設(shè)施,在主機和終端上設(shè)置高強度的登錄口令,引入生物識別技術(shù),建立用戶特征識別系統(tǒng)。
(2)提升網(wǎng)絡(luò)信息傳輸過程的安全性。在通信網(wǎng)絡(luò)上通過變更路由,可以提高通信路徑安全性;劃分vlan等方式,杜絕信息廣播;規(guī)范網(wǎng)絡(luò)運行機制,提高技術(shù)防范能力,使竊密者無法順利得到數(shù)據(jù);采取網(wǎng)絡(luò)加密技術(shù),有效避免惡意軟件的攻擊,使竊密者得到數(shù)據(jù)也看不懂。
(1)加強硬件安全防護。改善網(wǎng)絡(luò)硬件和通信鏈路周邊環(huán)境,堵塞管理漏洞,減少惡劣自然條件帶來的丟失、破壞等潛在威脅。還要加裝濾波器,加裝電磁屏蔽干擾設(shè)施,減少交叉耦合,降低空間輻射帶來的泄漏。
(2)加強源頭管理。加強源頭管理是做好網(wǎng)絡(luò)安全的基礎(chǔ)手段。它直接決定用戶合法登錄網(wǎng)絡(luò)并獲取網(wǎng)絡(luò)資源的行為,在用戶登錄網(wǎng)絡(luò)終端、登錄網(wǎng)絡(luò)時間等問題上起到控制作用。網(wǎng)絡(luò)管理者應(yīng)當(dāng)對各類訪問用戶進行身份甄別,保證賬戶的惟一性,設(shè)定足夠的用戶口令強度,定期對各類賬戶進行清查,尤其要對特殊權(quán)限的用戶進行梳理,及時堵塞管理漏洞。
(3)區(qū)分相應(yīng)角色。權(quán)限控制是網(wǎng)絡(luò)安全的預(yù)防機制。網(wǎng)絡(luò)管理者應(yīng)當(dāng)根據(jù)不同的用戶需求提出合理化分類,賦予相應(yīng)的權(quán)限角色,每種角色之間進行嚴格的區(qū)分,適應(yīng)不同的內(nèi)外環(huán)境特征,避免出現(xiàn)越級訪問、非法訪問等問題。
(4)強化目錄級訪問。網(wǎng)絡(luò)準(zhǔn)許合法用戶根據(jù)賦予的權(quán)限在目錄及其子目錄進行訪問,使用相應(yīng)的信息資源和系統(tǒng)設(shè)備,避免交叉訪問,建立有效的的訪問控制機制,加強對網(wǎng)絡(luò)服務(wù)器的針對性保護,從而進一步提高用戶訪問效率和網(wǎng)絡(luò)安全層次。
(5)建立屬性關(guān)聯(lián)控制。在現(xiàn)有安全控制基礎(chǔ)上,根據(jù)網(wǎng)絡(luò)服務(wù)的特點,建立訪問資源與網(wǎng)絡(luò)服務(wù)器的屬性關(guān)聯(lián),當(dāng)訪問文件、目錄和網(wǎng)絡(luò)設(shè)備時,網(wǎng)絡(luò)系統(tǒng)管理員指定訪問屬性,將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來,設(shè)置文件和文件目錄的存取權(quán)限,提高預(yù)防水平。
(6)用好防火墻策略。防火墻可以提高網(wǎng)絡(luò)安全性,掃描流經(jīng)的網(wǎng)絡(luò)信息,避免一些潛在的攻擊。關(guān)閉一些用不到的端口,堵塞潛在的漏洞,避免黑客和病毒攻擊。還可以通過配置,提高防護等級,拒絕特殊站點的訪問。
(7)信息加密策略。信息加密技術(shù)利用數(shù)學(xué)或物理手段,保護網(wǎng)絡(luò)傳輸數(shù)據(jù)和終端存儲數(shù)據(jù)的安全,加密后的數(shù)據(jù)只有收發(fā)雙方可以讀懂,呈現(xiàn)給未授權(quán)用戶的都是密文。網(wǎng)絡(luò)加密技術(shù)已經(jīng)成熟,基本思路就是對網(wǎng)絡(luò)傳輸?shù)闹饕?jié)點、端點和鏈路進行加密處理或者對信息資源本身采取軟硬件手段進行編譯。信息加密技術(shù)是破解網(wǎng)絡(luò)安全問題的重要手段,也是信息安全角逐的重要戰(zhàn)場。
網(wǎng)絡(luò)安全問題同傳統(tǒng)安全問題有相似之處,同時也有自己鮮明的時代特征。做好網(wǎng)絡(luò)安全管理工作既要用好傳統(tǒng)安全管理手段,又要開展前沿技術(shù)研究,著力采取綜合防范措施,盡量避免安全問題的發(fā)生。