1、信息网络安全防护对策研究 摘 要 信息网络的安全是关系到网络中传输的信息是否能够合法、准确地进行传输,并为终端用户提供应用的关键。随着信息网络的快速发展,安全问题也随之产生,如何保证网络安全成为人们在利用信息网络时不得不考虑的问题。本文对信息网络和网络安全面临的主要威胁,提出信息网络安全防护的具体措施。 下载 关键词 信息网络安全;安全防护;安全管控 doi: 10.3969/j.i 中图分类号 TP393.08 文献标识码 A 文章编号 1673-0194( 2016) 10-0-02 信息网络是信息获取、传递和处理的中枢神经系统,是保证各种信息数据完整可靠传输的基本条件和主要平台。在越来越
2、复杂的网络环境下,信息网络的安全面临着严峻挑战。信息网络面临的安全威胁主要有病毒和黑客入侵,进行窃取、干扰、篡改等。为有效保障信息网络安全稳定运行,应加强信息网络安全管控,及时解除信息网络安全面临的威 胁。 1 信息网络安全面临的威胁 1.1 信息网络系统数据安全方面 一是主动攻击。其目的是破坏系统中数据的完整性,它是攻击人有意发出的行为,并且往往不会留下技术痕迹。主要方式是:在进入系统时,通常采用 “ 合法用户 ” 的身份,删除放在记录中的数据,使有用的数据被无意义的数据代替,非法篡改数据,并将非法指令加入到程序中,从而使计算机在执行原定任务的过程中,执行非法功能。二是被动攻击。窃取系统中的
3、机密数据。主要表现为:窃听、破译、分析在网络上传输的信息;非法偷阅存储在信息网络数据库中的数 据;以合法存取数据的方法为手段,将数据传输给非合法用户;以通过合法途径获得的具有紧密联系的统计数据为依据,推断其他数据等。 1.2 在信息网络本身的安全方面 信息网络本身的安全威胁,主要是使网络的正常运行受到破坏而非窃取机密信息。这种破坏通常主要分为两个方面:一是软杀伤,通常表现为以计算机病毒为手段来破坏网络系统,攻击系统的关键节点,导致系统的主服务器瘫痪;在设计和开发软件的过程中,故意设置某种缺陷,从而使系统功能不能正常执行。二是硬杀伤,通常表现为以各种人为破坏手段攻击信息网络及周围的 设备、网络线
4、路等。 1.3 在网络系统人员安全方面 作为一个巨大的人机交互系统,在信息网络系统中人员安全因素有着事关全局的作用。人为因素主要体现在以下几个方面:通过渗透我方情报机构来攻击;攻击和策反我方系统管理人员,通过系统值班员、掌握核心技术秘密的人员来攻击我方系统的安全;存在于系统合法用户中的渎职行为以及不法行为等。 2 信息网络安全防护对策 2.1 边界安全防护 网络边界安全是网络与信息安全的基础。为了保护系统安全,抵制非法入侵,要应用先进技术手段,采 取有效措施,及时查找外界安全隐患,弥补漏洞和不足。主要技术措施包括防火墙、可信传输、网络隔离和安全检查等。 2.1.1 安装防火墙 在网络出口处安装
5、防火墙,严格按照规则进行配置,默认规则为禁止,严禁开放 TCP/UDP协议的有关端口,利用防火墙的 “ 停火区 ” 对终端进行分类,从而使处理绝密、机密、级信息终端得到更好保护。 2.1.2 实施可信传输 一是对于链路层加密设备,利用置换和变换的方法将信息转化为密文,每隔一个月对设备进行维护和测试。二是对整个网络层加密设备进行规划,区分密级网段和非密级网段,对密级网段进行数据加密传输,并禁止密级网段与非密级网段进行数据通信。 2.1.3 进行网络隔离 利用网络隔离设备阻断网络层互连,通过安全控制设计只允许具有指定应用传输协议的报文通过,并在密级要求较高、业务流相对固定单位使用。如军队中的机动指
6、挥网、雷达情报探测网、武器平台系统、专用业务处理网等间接用户接入军队专网时,要通过安全隔离网关实施网络隔离和安全控制。 2.2 终端安全防护 终端防护是安全防护体系中的末端,也是安全防护的重点。一方面,网络 终端是网络操作的起点,通过网络终端用户可以登录并访问网络,透过内网访问外网,访问应用系统和产生数据。另一方面,网络终端也是许多安全事件的源头,如病毒攻击、从网络内部发起恶意攻击和内部保密数据盗用或失窃等。因此,要维护信息网络安全稳定,消除安全威胁,必须加强网络终端防护。 2.2.1 检测查杀病毒 一是在主机系统上部署网络版防病毒软件,接受全网统一管理、建立病毒疫情统一实时监控、病毒查杀策略
7、统一管理、病毒特征库统一升级的网络防病毒体系。二是为保障导入数据的安全,配置专门的病毒查杀终端,部署 两种以上杀毒软件,对需要导入系统的载体进行离线查杀。 2.2.2 安全加固补丁 利用补丁自动分发系统,通过联网方式对网络主机操作系统和基础工具软件分发最新补丁,及时修补已知漏洞。 2.2.3 访问控制 一是用户登录控制。将身份认证设备与操作系统登录机制紧密结合,实现基于用户身份认证设备的主机登录控制。二是用户权限限制。限制用户在终端上的操作使用权限,防止用户无意或者故意对终端环境进行破坏性操作。三是外设访问控制,在文件驱动层截获外设访问的系统调用,根据访问规则对外设拷 贝行为进行审计与控制,防
8、范从主机拷出涉密文件,或将攻击工具或病毒拷入主机的行为。四是网络访问控制。严格控制主机上各应用程序所使用的网络通信协议、端口号,杜绝网络攻击和越权访问行为发生。五是非法外联监控。对用户通过拨号等方式试图连接到外部网络的行为进行审计与控制,防止由于外联行为而造成的泄密事件发生。 2.2.4 移动存储安全保护 主机之间利用具备强制审计功能的专用安全 U 盘进行数据交换,实现对用户移动存储介质的安全管理和安全审计。安全 U盘具备文件操作记录、主机特征记录、 U 盘授权控制、审计日 志管理、违规操作定位等功能,能够保证移动存储介质数据操作的可追踪、可审计。 2.2.5 数据库安全防护与安全审计 通过数
9、据库安全防护系统,建立对数据库授权控制、访问审计等安全机制。对于安全性要求更高的数据库应用系统,要采用自主知识产权的安全防护数据库,保障核心数据安全。 2.2.6 信息管控 要安装相应软件,对信息的拥有者、使用者进行行之有效的认证,生成日志文件,以防止内部泄露信息。 2.3 信息网络安全管控 为预防和监控网络攻击行为,要对用户上网 行为、设备运行状态、网络信息资源进行有效监控和管理,把信息网络安全威胁降到最低、保证网络正常运行。信息网络安全管控是网络安全防护工作的第一道关卡,通过这道关卡可及时阻截危险行为,发现攻击、非法信息发布、病毒侵犯等行为,将安全事件造成的影响降低到最小。 2.3.1 信
10、息审计 信息审计系统应紧跟形势,不断完善敏感词库。同时,安全值勤人员必须加大审计力度,做到非法信息及时发现、及时处理。 2.3.2 入侵检测 入侵检测系统负责管理监测骨干线路传输的数据,对当前系统资源和状态 进行监控,检测可能的入侵行为,利用入侵者留下的痕迹来有效发现来自内部和外部的非法入侵,是一种主动防御,它能在不影响网络性能的情况下对网络进行检测,从而提供对内、外部攻击的实时保护。 2.3.3 人员管理 一是要加强用户单位内部管理,建立合理、规范的网络安全管理系统,对用户人员要明确不同岗位的不同权限。二是要结合机房、硬件、软件、数据和网络等各个方面的安全问题,如采用屏蔽措施降低电磁辐射等提高整体网络安全意识。三是要加强人员业务、技术培训,提高操作技能;定期对信息数据进行备份,减少敌方攻击 造成的损失。四是教育工作人员严格遵守操作规程和各项保密规定,严防人为事故的发生。 3 结 语 信息网络的安全防护需要从边界防护、终端防护、安全管控等多个方面来考虑,每个防护手段都针对不同的信息网络安全威胁,侧重点各有不同。因此,必须全面考虑、合理运用防护措施才能实现信息网络边界可靠、终端可信、秩序可控的安全防护目标,为信息网络系统建设与运用提供安全保障。
