信息化建設(shè)中網(wǎng)絡(luò)安全與維護(hù)策略探究

一、引言

在信息化建設(shè)中，管控網(wǎng)絡(luò)安全并加強(qiáng)管理維護(hù)涉及較多事務(wù)，相關(guān)單位需要引進(jìn)一套標(biāo)準(zhǔn)化的管理模式，明確各項(xiàng)安全管理指標(biāo)、事務(wù)要求，以提高安全管理水平和效率。

二、信息化建設(shè)中網(wǎng)絡(luò)安全與維護(hù)存在的問題分析

在信息化建設(shè)中，網(wǎng)絡(luò)安全維護(hù)存在多個(gè)方面的問題，對整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的穩(wěn)定運(yùn)行帶來直接影響，甚至?xí)?dǎo)致相關(guān)單位的經(jīng)營遭受損失，同時(shí)還可能導(dǎo)致個(gè)人隱私泄露。具體來說，部分工作人員缺乏網(wǎng)絡(luò)安全意識(shí)，對技術(shù)、流程、管理方法缺乏認(rèn)知，以至于在信息化建設(shè)環(huán)節(jié)無法對安全問題進(jìn)行嚴(yán)格把關(guān)與控制。比如，在搭建信息安全管理系統(tǒng)的過程中，未及時(shí)修復(fù)其中的漏洞問題，未構(gòu)建完善的防護(hù)體系和架構(gòu)。當(dāng)前，大部分單位在信息化建設(shè)過程中缺乏對安全基礎(chǔ)結(jié)構(gòu)的設(shè)計(jì)和優(yōu)化，未設(shè)置完善的入侵檢測系統(tǒng)、防火墻系統(tǒng)，導(dǎo)致信息系統(tǒng)面臨嚴(yán)重的安全威脅。并且，軟硬件設(shè)備也可能存在漏洞和缺陷，這也為黑客提供了可乘之機(jī)。雖然部分單位引進(jìn)了先進(jìn)的信息設(shè)備，但是，由于缺乏自主產(chǎn)權(quán)，無法對其進(jìn)行充分改造和檢測，從而可能留下相應(yīng)的安全隱患。再加上缺乏先進(jìn)的管理手段來有效應(yīng)對網(wǎng)絡(luò)安全問題，以至于安全管理流于表面。除此之外，我國網(wǎng)絡(luò)信息安全法規(guī)體系還有待完善，對違法行為的界定不夠明確、處罰力度過輕，以至于部分網(wǎng)絡(luò)犯罪行為得不到有效遏制。最后，在信息化建設(shè)中，相關(guān)單位進(jìn)行網(wǎng)絡(luò)安全維護(hù)管理時(shí)需要應(yīng)對復(fù)雜多樣的設(shè)備，如服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備等。每一類設(shè)備均具有獨(dú)特的操作和維護(hù)方式，會(huì)增加維護(hù)難度和成本?？傮w來說，在信息化建設(shè)中，相關(guān)單位需對現(xiàn)有的維護(hù)體系進(jìn)行革新，優(yōu)化工作開展形式，提高網(wǎng)絡(luò)安全維護(hù)管理水平。

三、信息化建設(shè)中網(wǎng)絡(luò)安全與維護(hù)策略分析

（一）加強(qiáng)物理安全管控

部分單位在信息化建設(shè)過程中只注重對軟件系統(tǒng)的安全管理，卻沒有加強(qiáng)物理安全管理，以至于安全管理工作不夠全面。而物理安全是網(wǎng)絡(luò)安全的主要防線，主要是從物理層面對網(wǎng)絡(luò)設(shè)備進(jìn)行保護(hù)，避免其遭受自然災(zāi)害的破壞。在此過程中，相關(guān)單位需構(gòu)建完善的物理安全管理體系和模式。在機(jī)房布局環(huán)節(jié)，需做好靈活選址，遠(yuǎn)離水源污染源，以減少自然災(zāi)害和環(huán)境污染對設(shè)備的影響；同時(shí)，還需要為機(jī)房配置獨(dú)立的門禁系統(tǒng)、監(jiān)控系統(tǒng)、報(bào)警系統(tǒng)等，對出入機(jī)房的人員進(jìn)行身份登記和驗(yàn)證，以防止未經(jīng)授權(quán)的人員進(jìn)入。另外，機(jī)房內(nèi)的溫度、濕度應(yīng)當(dāng)?shù)玫接行Ч芸?。為此，相關(guān)單位可引進(jìn)溫控系統(tǒng)，以提高機(jī)房運(yùn)行的適應(yīng)性。在設(shè)備安全管理過程中，相關(guān)單元還應(yīng)加強(qiáng)設(shè)備保護(hù)。對關(guān)鍵設(shè)備，如服務(wù)器、UPS、路由器、交換機(jī)等，需采取鎖具進(jìn)行固定。同時(shí)，定期對基礎(chǔ)設(shè)施進(jìn)行巡檢和維護(hù)，對線路連接狀態(tài)、電源供應(yīng)情況進(jìn)行實(shí)時(shí)檢測分析，確保其能夠穩(wěn)定、高效運(yùn)行。而針對敏感通信鏈路，相關(guān)單位還需要采取物理隔離的方式，將其與其他網(wǎng)絡(luò)隔離開來，以防止外部攻擊者通過非法手段接入網(wǎng)絡(luò)。并且，通信線路還應(yīng)當(dāng)采取地下管道或光纜的形式進(jìn)行鋪設(shè)，以減少被惡意破壞的風(fēng)險(xiǎn)。最后，相關(guān)單位需完善物理安全管理制度，明確各級操作人員的職責(zé)和權(quán)限，其中應(yīng)當(dāng)囊括機(jī)房管理、設(shè)備管理、通信鏈路管理等多方面的內(nèi)容。

例如，某銀行將數(shù)據(jù)中心機(jī)房遷移至地勢較高、遠(yuǎn)離水源和污染源的區(qū)域。對機(jī)房內(nèi)部進(jìn)行重新布局，明確劃分設(shè)備區(qū)、操作區(qū)、存儲(chǔ)區(qū)等功能區(qū)域，并設(shè)置合理的通道和隔離措施；安裝先進(jìn)的門禁系統(tǒng)，采用指紋識(shí)別、面部識(shí)別等生物識(shí)別技術(shù)，以提高出入控制的安全性；增加高清監(jiān)控?cái)z像頭的數(shù)量和覆蓋范圍，確保機(jī)房內(nèi)無監(jiān)控盲區(qū)。同時(shí)，引入智能分析技術(shù)，自動(dòng)識(shí)別異常行為并觸發(fā)報(bào)警。在環(huán)境控制方面，銀行引進(jìn)專業(yè)的溫控系統(tǒng)，包括精密空調(diào)、新風(fēng)系統(tǒng)等設(shè)備，確保機(jī)房內(nèi)溫度、濕度等環(huán)境參數(shù)保持在適宜范圍內(nèi)。定期對溫控系統(tǒng)進(jìn)行維護(hù)和校準(zhǔn)，確保其穩(wěn)定運(yùn)行和精準(zhǔn)控制。后續(xù)，銀行對關(guān)鍵設(shè)備如服務(wù)器、路由器、防火墻等采用專用鎖具進(jìn)行固定，防止被盜或破壞，并建立定期巡檢和維護(hù)制度，明確巡檢內(nèi)容和周期，并記錄在案。對巡檢報(bào)告進(jìn)行專夾保管。對發(fā)現(xiàn)的問題及時(shí)進(jìn)行處理和整改。在通信鏈路保護(hù)板塊，銀行對敏感通信鏈路進(jìn)行物理隔離和加密處理，確保數(shù)據(jù)傳輸?shù)陌踩?，并且采用地下管道或光纜形式鋪設(shè)通信線路，減少被意外挖斷的風(fēng)險(xiǎn)。同時(shí)，定期對線路進(jìn)行巡檢和維護(hù)，確保其穩(wěn)定運(yùn)行。

（二）加強(qiáng)訪問控制

在信息化監(jiān)測環(huán)節(jié)，加強(qiáng)訪問控制主要是保證網(wǎng)絡(luò)資源僅被授權(quán)用戶訪問，從而保護(hù)數(shù)據(jù)的機(jī)密性。在此期間，相關(guān)單位需根據(jù)員工職責(zé)、業(yè)務(wù)要求劃分不同角色，為每個(gè)角色分配適當(dāng)?shù)臋?quán)限，確保每個(gè)用戶只能訪問其工作所需信息和資源，降低信息泄露的風(fēng)險(xiǎn)。為此，相關(guān)單位需遵循最小權(quán)限原則，即用戶僅被授予完成工作所需的最小權(quán)限。這有助于減少潛在的安全風(fēng)險(xiǎn)。相關(guān)單位需同步建立健全維護(hù)訪問控制列表，詳細(xì)記錄哪些用戶可以訪問哪些資源，如通過ACL實(shí)現(xiàn)對資源訪問的精確控制，以便后續(xù)進(jìn)行安全審計(jì)和合規(guī)性檢查。在此期間，相關(guān)單位還需要采取多因素認(rèn)證的方式，借助用戶名 + 密碼 + 手機(jī)驗(yàn)證 + 生物識(shí)別，提高身份認(rèn)證的安全性。同時(shí)，要求用戶定期更換密碼，并引導(dǎo)用戶設(shè)置復(fù)雜度較高的密碼，以降低密碼被破解的概率。此外，主管部門還應(yīng)當(dāng)定期對所有訪問操作進(jìn)行日志記錄，分析數(shù)據(jù)規(guī)律，發(fā)現(xiàn)潛在安全威脅或違規(guī)行為。日志記錄是安全審計(jì)的重要依據(jù)，也是追蹤安全事件的關(guān)鍵手段。相關(guān)單位需要建立完善的日志記錄體系和架構(gòu)，明確日志記錄規(guī)范標(biāo)準(zhǔn)。最后，相關(guān)單位需同步利用防火墻和入侵檢測系統(tǒng)，對數(shù)據(jù)包進(jìn)行過濾和監(jiān)控，阻止未經(jīng)授權(quán)的訪問并部署ADS和IPS系統(tǒng)，及時(shí)發(fā)現(xiàn)并阻止網(wǎng)絡(luò)攻擊。

例如，NF銀行作為支持國家農(nóng)業(yè)發(fā)展的重要金融機(jī)構(gòu)，其信息系統(tǒng)承載著大量敏感數(shù)據(jù)和關(guān)鍵業(yè)務(wù)。隨著信息化建設(shè)的深人，NF銀行意識(shí)到加強(qiáng)信息化監(jiān)測環(huán)節(jié)的訪問控制對于保障數(shù)據(jù)安全的重要性。以下是一個(gè)基于實(shí)際操作的案例分析，展示了該銀行如何在信息化監(jiān)測中實(shí)施嚴(yán)格的訪問控制策略：NF銀行根據(jù)員工職責(zé)和業(yè)務(wù)需求，將員工劃分為“客戶經(jīng)理”“財(cái)會(huì)經(jīng)理”“行政經(jīng)理”“合規(guī)經(jīng)理”等多個(gè)職能崗位，隸屬不同的業(yè)務(wù)部室，每個(gè)職位又設(shè)置不同的員工級別，如“財(cái)會(huì)經(jīng)理”分為“執(zhí)行財(cái)會(huì)經(jīng)理”“財(cái)會(huì)業(yè)務(wù)副經(jīng)理”“財(cái)會(huì)業(yè)務(wù)經(jīng)理”等。每個(gè)崗位在不同業(yè)務(wù)系統(tǒng)內(nèi)僅被授予完成其工作所必需的最小權(quán)限集。例如，執(zhí)行財(cái)會(huì)經(jīng)理僅被允許訪問與其日常業(yè)務(wù)操作相關(guān)的系統(tǒng)模塊，如新核心系統(tǒng)中的存取款、轉(zhuǎn)賬業(yè)務(wù)等，而無法訪問本業(yè)務(wù)條線系統(tǒng)配置的高權(quán)限區(qū)域或本業(yè)務(wù)條線外的風(fēng)險(xiǎn)管理、信貸管理等系統(tǒng)。在系統(tǒng)權(quán)限分配過程中，NF銀行嚴(yán)格遵守最小權(quán)限原則。例如，新入職的客戶經(jīng)理在配置初始權(quán)限時(shí)，僅被賦予查看客戶資料、提交貸款申請等基本權(quán)限，而貸款審批、額度調(diào)整等更高權(quán)限則需在完成相應(yīng)培訓(xùn)和考核后，由上級管理員審批授予。NF銀行建立了詳盡的訪問控制列表（ACL），詳細(xì)記錄了每個(gè)用戶（或角色）的資源訪問權(quán)限。通過ACL，系統(tǒng)能夠精確控制用戶對資源的訪問權(quán)限。例如，當(dāng)某客戶經(jīng)理嘗試訪問非其職責(zé)范圍內(nèi)的客戶信息時(shí)，系統(tǒng)會(huì)自動(dòng)攔截并提示無權(quán)限訪問。此外，NF銀行制定了嚴(yán)格的密碼管理政策，要求員工設(shè)置復(fù)雜密碼（包含大小寫字母、數(shù)字和特殊字符至少三種），并定期（如每月）更換密碼。威脅感知平臺(tái)系統(tǒng)還設(shè)置了密碼強(qiáng)度檢測功能，在員工設(shè)置新密碼時(shí)自動(dòng)評估其復(fù)雜度，確保密碼難以被破解。后續(xù)，NF銀行建立了完善的日志記錄體系，對所有訪問操作進(jìn)行詳細(xì)記錄。系統(tǒng)管理員定期分析日志數(shù)據(jù)，然后通過數(shù)據(jù)挖掘和模式識(shí)別技術(shù)，發(fā)現(xiàn)潛在的安全威脅或違規(guī)行為。

（三）引進(jìn)人工智能系統(tǒng)

人工智能技術(shù)可大幅提高網(wǎng)絡(luò)安全與維護(hù)的效率。人工智能系統(tǒng)可以部署于ADS系統(tǒng)中，實(shí)時(shí)分析網(wǎng)絡(luò)流量，識(shí)別異常模式，可以對諸如DDoS攻擊SQL注入等網(wǎng)絡(luò)攻擊行為進(jìn)行實(shí)時(shí)預(yù)警。相較于傳統(tǒng)的檢測系統(tǒng)，其能夠自動(dòng)學(xué)習(xí)和適應(yīng)新的攻擊模式，提高危險(xiǎn)檢測的準(zhǔn)確性。AI系統(tǒng)在檢測到危險(xiǎn)時(shí)可以自動(dòng)觸發(fā)預(yù)設(shè)的響應(yīng)機(jī)制，結(jié)合隔離阻斷等措施，以減輕或消除危險(xiǎn)。并且，當(dāng)檢測到惡意流量時(shí)，該系統(tǒng)還能夠自動(dòng)調(diào)整防火墻規(guī)則，以阻止攻擊者的進(jìn)一步人侵。此外，系統(tǒng)還能夠向安全團(tuán)隊(duì)發(fā)送警告，通知其進(jìn)行進(jìn)一步處理。相關(guān)單位需結(jié)合人工智能系統(tǒng)，加強(qiáng)智能安全審計(jì)和合規(guī)性檢查，可開發(fā)基于AI的安全審計(jì)工具，通過收集和分析系統(tǒng)安全日志、配置信息等數(shù)據(jù)，識(shí)別潛在安全漏洞和不合規(guī)行為。該工具還可以生成詳細(xì)的審計(jì)報(bào)告，為安全團(tuán)隊(duì)提供決策支持。AI系統(tǒng)的自動(dòng)化審計(jì)功能還能夠節(jié)省大量人力、物力，以提高審計(jì)效率和準(zhǔn)確性。同時(shí)，通過持續(xù)審計(jì)和檢查，能夠及時(shí)發(fā)現(xiàn)并解決潛在的安全問題。最關(guān)鍵的是，AI系統(tǒng)的持續(xù)學(xué)習(xí)能力和自我優(yōu)化能力，能夠不斷適應(yīng)新的危險(xiǎn)模式和安全管理需求，再配合專家數(shù)據(jù)庫系統(tǒng)和人工神經(jīng)元網(wǎng)絡(luò)系統(tǒng)，可以對安全隱患做出快速響應(yīng)，提高防御能力。

例如，某銀行在其網(wǎng)絡(luò)安全架構(gòu)中集成了基于AI的ADS（AdvancedDetectionSystem）系統(tǒng)。該系統(tǒng)能夠?qū)崟r(shí)分析網(wǎng)絡(luò)流量，利用機(jī)器學(xué)習(xí)算法識(shí)別異常模式，如異常的數(shù)據(jù)包大小、頻率或來源。在一次實(shí)際攻擊中，ADS系統(tǒng)成功識(shí)別出了一起DDoS攻擊嘗試——該系統(tǒng)通過分析流量特征迅速發(fā)現(xiàn)了攻擊跡象，并在攻擊達(dá)到峰值前觸發(fā)了預(yù)警機(jī)制。相較于傳統(tǒng)基于規(guī)則的檢測系統(tǒng)，AI驅(qū)動(dòng)的ADS系統(tǒng)能夠自動(dòng)學(xué)習(xí)和適應(yīng)新的攻擊模式，從而顯著提高了危險(xiǎn)檢測的準(zhǔn)確性和實(shí)時(shí)性。在此次DDoS攻擊案例中，系統(tǒng)不僅成功進(jìn)行了預(yù)警，還根據(jù)歷史數(shù)據(jù)和當(dāng)前流量情況預(yù)測了攻擊規(guī)模，為安全團(tuán)隊(duì)爭取了寶貴的響應(yīng)時(shí)間。當(dāng)ADS系統(tǒng)檢測到潛在威脅時(shí)，它自動(dòng)觸發(fā)了預(yù)設(shè)的響應(yīng)機(jī)制。在DDoS攻擊案例中，系統(tǒng)首先通過流量清洗技術(shù)嘗試緩解攻擊壓力，同時(shí)，調(diào)整防火墻規(guī)則，以隔離并阻斷惡意流量源。這一系列自動(dòng)化操作有效阻止了攻擊者的進(jìn)一步入侵，保護(hù)了該行系統(tǒng)的核心數(shù)據(jù)資源。自動(dòng)化響應(yīng)機(jī)制顯著縮短了從檢測到防御的時(shí)間窗口，減少了人為干預(yù)的需要，提高了防御效率。此外，系統(tǒng)還能根據(jù)攻擊類型動(dòng)態(tài)調(diào)整防御策略，確保防護(hù)措施的有效性和針對性。此外，該銀行還開發(fā)了基于AI的安全審計(jì)工具。該工具定期收集和分析系統(tǒng)安全日志、配置信息等數(shù)據(jù)。在一次例行審計(jì)中，工具通過分析大量日志數(shù)據(jù)，識(shí)別出了一個(gè)潛在的SQL注入漏洞。該漏洞可能由第三方插件更新不當(dāng)引起。審計(jì)工具立即生成了詳細(xì)的審計(jì)報(bào)告，并標(biāo)記了漏洞的嚴(yán)重程度和修復(fù)建議。AI審計(jì)工具不僅提高了審計(jì)效率和準(zhǔn)確性，還節(jié)省了大量人力物力。通過持續(xù)審計(jì)和檢查，該銀行及時(shí)發(fā)現(xiàn)并解決了潛在的安全問題，降低了安全風(fēng)險(xiǎn)。此外，詳細(xì)的審計(jì)報(bào)告為安全團(tuán)隊(duì)提供了有力的決策支持，從而有助于其制定更加科學(xué)合理的安全策略。

（四）引進(jìn)先進(jìn)的加密算法

加密算法的類型豐富多樣，包含對稱加密、非對稱加密、哈希算法等。不同算法在加密過程中有著不同的規(guī)則和標(biāo)準(zhǔn)。相關(guān)單位需從安全性、性能、兼容性等多個(gè)角度，結(jié)合信息系統(tǒng)的功能屬性，選取合適的加密方式。在對加密算法的實(shí)踐應(yīng)用過程中，相關(guān)單位應(yīng)當(dāng)從數(shù)據(jù)加密存儲(chǔ)、數(shù)據(jù)加密傳輸，以及密鑰管理與分發(fā)等角度加強(qiáng)安全控制。但是，也需要根據(jù)當(dāng)前外在攻擊模式的變化，定期升級加密算法，將其升級至更安全的版本，并關(guān)注國際和國內(nèi)加密算法的發(fā)展動(dòng)態(tài)，引進(jìn)先進(jìn)的算法模式，提高安全管理的品質(zhì)和效率。

例如，某商業(yè)銀行在數(shù)據(jù)完整性校驗(yàn)和身份驗(yàn)證過程中廣泛應(yīng)用SHA-256哈希算法。在客戶登錄時(shí)，系統(tǒng)會(huì)對用戶輸人的密碼進(jìn)行哈希處理后，再與數(shù)據(jù)庫中存儲(chǔ)的哈希值進(jìn)行比較，以防止密碼泄露。同時(shí)，系統(tǒng)還定期對關(guān)鍵數(shù)據(jù)進(jìn)行哈希運(yùn)算并存儲(chǔ)哈希值，以便在數(shù)據(jù)被篡改時(shí)能夠及時(shí)發(fā)現(xiàn)。SHA-256算法具有高度的抗碰撞性和單向性，使得生成的哈希值幾乎不可能被偽造或還原成原始數(shù)據(jù)，從而保證了數(shù)據(jù)的完整性和安全性。此外，在該銀行的網(wǎng)絡(luò)通信中，系統(tǒng)采用RSA非對稱加密算法進(jìn)行數(shù)據(jù)加密傳輸。特別是在與外部機(jī)構(gòu)進(jìn)行敏感數(shù)據(jù)交換，如跨境支付信息傳輸時(shí)，系統(tǒng)使用RSA算法對傳輸數(shù)據(jù)進(jìn)行加密，確保數(shù)據(jù)在傳輸過程中不被竊取或篡改。同時(shí)，RSA算法還用于數(shù)字簽名的生成和驗(yàn)證，以確保信息的完整性和來源的真實(shí)性。RSA算法的安全性基于大數(shù)據(jù)分解難題，難以被破解。此外，非對稱加密算法的密鑰對（公鑰和私鑰）機(jī)制使得數(shù)據(jù)傳輸過程中的加密和解密操作可以分別由不同的實(shí)體完成，從而大大提高了通信的安全性。

四、結(jié)束語

總體來說，在信息化建設(shè)中，加強(qiáng)網(wǎng)絡(luò)安全與維護(hù)管理涉及較多事項(xiàng)，相關(guān)單位需要對現(xiàn)有的安全管理框架進(jìn)行革新，引進(jìn)新技術(shù)、新標(biāo)準(zhǔn)、新模式，加強(qiáng)對網(wǎng)絡(luò)安全問題的實(shí)時(shí)更新管控。

作者單位：林雁軍 中國農(nóng)業(yè)發(fā)展銀行濟(jì)寧市分行

參考文獻(xiàn)

[1]陳文兵.計(jì)算機(jī)信息管理技術(shù)在維護(hù)網(wǎng)絡(luò)安全中的應(yīng)用策略探究[J].電腦知識(shí)與技術(shù)，2015，11（36）：35-36.D

[2]賀偉濤.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全與安全維護(hù)策略[J].科技風(fēng)，2008.（19）：75.