信息网络安全防护对策研究

信息网络安全防护对策研究

[摘要]

信息网络的安全是关系到网络中传输的信息是否能够合法、准确地进行传输,并为终端用户提供应用的关键。随着信息网络的快速发展,安全问题也随之产生,如何保证网络安全成为人们在利用信息网络时不得不考虑的问题。本文对信息网络和网络安全面临的主要威胁,提出信息网络安全防护的具体措施。

[关键词]

信息网络安全;安全防护;安全管控

信息网络是信息获取、传递和处理的中枢神经系统,是保证各种信息数据完整可靠传输的基本条件和主要平台。在越来越复杂的网络环境下,信息网络的安全面临着严峻挑战。信息网络面临的安全威胁主要有病毒和黑客入侵,进行窃取、干扰、篡改等。为有效保障信息网络安全稳定运行,应加强信息网络安全管控,及时解除信息网络安全面临的威胁。

1信息网络安全面临的威胁

1.1信息网络系统数据安全方面

一是主动攻击。其目的是破坏系统中数据的完整性,它是攻击人有意发出的行为,并且往往不会留下技术痕迹。主要方式是:在进入系统时,通常采用“合法用户”的身份,删除放在记录中的数据,使有用的数据被无意义的数据代替,非法篡改数据,并将非法指令加入到程序中,从而使计算机在执行原定任务的过程中,执行非法功能。二是被动攻击。窃取系统中的机密数据。主要表现为:窃听、破译、分析在网络上传输的信息;非法偷阅存储在信息网络数据库中的数据;以合法存取数据的方法为手段,将数据传输给非合法用户;以通过合法途径获得的具有紧密联系的统计数据为依据,推断其他数据等。

1.2在信息网络本身的安全方面

信息网络本身的安全威胁,主要是使网络的正常运行受到破坏而非窃取机密信息。这种破坏通常主要分为两个方面:一是软杀伤,通常表现为以计算机病毒为手段来破坏网络系统,攻击系统的关键节点,导致系统的主服务器瘫痪;在设计和开发软件的过程中,故意设置某种缺陷,从而使系统功能不能正常执行。二是硬杀伤,通常表现为以各种人为破坏手段攻击信息网络及周围的设备、网络线路等。

1.3在网络系统人员安全方面

作为一个巨大的人机交互系统,在信息网络系统中人员安全因素有着事关全局的作用。人为因素主要体现在以下几个方面:通过渗透我方情报机构来攻击;攻击和策反我方系统管理人员,通过系统值班员、掌握核心技术秘密的人员来攻击我方系统的安全;存在于系统合法用户中的渎职行为以及不法行为等。

2信息网络安全防护对策

2.1边界安全防护

网络边界安全是网络与信息安全的基础。为了保护系统安全,抵制非法入侵,要应用先进技术手段,采取有效措施,及时查找外界安全隐患,弥补漏洞和不足。主要技术措施包括防火墙、可信传输、网络隔离和安全检查等。

2.1.1安装防火墙

在网络出口处安装防火墙,严格按照规则进行配置,默认规则为禁止,严禁开放TCP/UDP协议的有关端口,利用防火墙的“停火区”对终端进行分类,从而使处理绝密、机密、级信息终端得到更好保护。

2.1.2实施可信传输

一是对于链路层加密设备,利用置换和变换的方法将信息转化为密文,每隔一个月对设备进行维护和测试。二是对整个网络层加密设备进行规划,区分密级网段和非密级网段,对密级网段进行数据加密传输,并禁止密级网段与非密级网段进行数据通信。

2.1.3进行网络隔离

利用网络隔离设备阻断网络层互连,通过安全控制设计只允许具有指定应用传输协议的报文通过,并在密级要求较高、业务流相对固定单位使用。如军队中的机动指挥网、雷达情报探测网、武器平台系统、专用业务处理网等间接用户接入军队专网时,要通过安全隔离网关实施网络隔离和安全控制。

2.2终端安全防护

终端防护是安全防护体系中的末端,也是安全防护的重点。一方面,网络终端是网络操作的起点,通过网络终端用户可以登录并访问网络,透过内网访问外网,访问应用系统和产生数据。另一方面,网络终端也是许多安全事件的源头,如病毒攻击、从网络内部发起恶意攻击和内部保密数据盗用或失窃等。因此,要维护信息网络安全稳定,消除安全威胁,必须加强网络终端防护。

2.2.1检测查杀病毒

一是在主机系统上部署网络版防病毒软件,接受全网统一管理、建立病毒疫情统一实时监控、病毒查杀策略统一管理、病毒特征库统一升级的网络防病毒体系。二是为保障导入数据的安全,配置专门的病毒查杀终端,部署两种以上杀毒软件,对需要导入系统的载体进行离线查杀。

2.2.2安全加固补丁

利用补丁自动分发系统,通过联网方式对网络主机操作系统和基础工具软件分发最新补丁,及时修补已知漏洞。

2.2.3访问控制

一是用户登录控制。将身份认证设备与操作系统登录机制紧密结合,实现基于用户身份认证设备的主机登录控制。二是用户权限限制。限制用户在终端上的操作使用权限,防止用户无意或者故意对终端环境进行破坏性操作。三是外设访问控制,在文件驱动层截获外设访问的系统调用,根据访问规则对外设拷贝行为进行审计与控制,防范从主机拷出涉密文件,或将攻击工具或病毒拷入主机的行为。四是网络访问控制。严格控制主机上各应用程序所使用的网络通信协议、端口号,杜绝网络攻击和越权访问行为发生。五是非法外联监控。对用户通过拨号等方式试图连接到外部网络的行为进行审计与控制,防止由于外联行为而造成的泄密事件发生。

2.2.4移动存储安全保护

主机之间利用具备强制审计功能的专用安全U盘进行数据交换,实现对用户移动存储介质的安全管理和安全审计。安全U盘具备文件操作记录、主机特征记录、U盘授权控制、审计日志管理、违规操作定位等功能,能够保证移动存储介质数据操作的可追踪、可审计。

2.2.5数据库安全防护与安全审计

通过数据库安全防护系统,建立对数据库授权控制、访问审计等安全机制。对于安全性要求更高的数据库应用系统,要采用自主知识产权的安全防护数据库,保障核心数据安全。

2.2.6信息管控

要安装相应软件,对信息的拥有者、使用者进行行之有效的认证,生成日志文件,以防止内部泄露信息。

2.3信息网络安全管控

为预防和监控网络攻击行为,要对用户上网行为、设备运行状态、网络信息资源进行有效监控和管理,把信息网络安全威胁降到最低、保证网络正常运行。信息网络安全管控是网络安全防护工作的第一道关卡,通过这道关卡可及时阻截危险行为,发现攻击、非法信息、病毒侵犯等行为,将安全事件造成的影响降低到最小。

2.3.1信息审计

信息审计系统应紧跟形势,不断完善敏感词库。同时,安全值勤人员必须加大审计力度,做到非法信息及时发现、及时处理。

2.3.2入侵检测

入侵检测系统负责管理监测骨干线路传输的数据,对当前系统资源和状态进行监控,检测可能的入侵行为,利用入侵者留下的痕迹来有效发现来自内部和外部的非法入侵,是一种主动防御,它能在不影响网络性能的情况下对网络进行检测,从而提供对内、外部攻击的实时保护。

2.3.3人员管理

一是要加强用户单位内部管理,建立合理、规范的网络安全管理系统,对用户人员要明确不同岗位的不同权限。二是要结合机房、硬件、软件、数据和网络等各个方面的安全问题,如采用屏蔽措施降低电磁辐射等提高整体网络安全意识。三是要加强人员业务、技术培训,提高操作技能;定期对信息数据进行备份,减少敌方攻击造成的损失。四是教育工作人员严格遵守操作规程和各项保密规定,严防人为事故的发生。

3结语

信息网络的安全防护需要从边界防护、终端防护、安全管控等多个方面来考虑,每个防护手段都针对不同的信息网络安全威胁,侧重点各有不同。因此,必须全面考虑、合理运用防护措施才能实现信息网络边界可靠、终端可信、秩序可控的安全防护目标,为信息网络系统建设与运用提供安全保障。

作者:张好 单位:广东省总队网管中心