新時期網絡信息安全應對策略

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了新時期網絡信息安全應對策略范文，希望能給你帶來靈感和參考，敬請閱讀。

［摘要］在大數據時代，網絡已經演變成國家競爭的主戰場，網絡信息安全的重要性日益凸顯。本文首先從“護網2018”實網攻擊演習行動引出了網絡信息安全話題，接著闡釋了網絡安全的概念，提出了網絡安全的原則和思路，最后從公民網絡安全普法意識、網絡結構安全、網絡物理安全、網絡設備安全、服務器系統安全、數據庫系統安全、桌面安全、工業控制安全和用戶行為安全等方面給出了網絡安全策略。

［關鍵詞］網絡安全；信息安全；物理安全；桌面安全；安全意識

1研究背景

隨著互聯網應用的不斷深入，信息共享、信息交流的需求不斷增加，網絡信息服務不斷向縱深發展，網絡安全問題不斷凸顯。①計算機系統遭受病毒感染和破壞的情況非常嚴重，2017年5月12日的勒索病毒就是例證。②電腦黑客活動已形成重要威脅，國家互聯網應急中心監測發現：2017年我國約有2萬個網站被非法篡改，同比增長20%。③信息基礎設施面臨嚴重挑戰，英國《簡氏戰略報告》和其他網絡組織對各國信息防護能力進行評估，我國被列入防護能力最低的國家之一。④網絡政治顛覆活動頻繁，國內外各種勢力利用互聯網結社組黨，針對黨和國家的非法組織和串聯活動十分猖獗，屢禁不止。網絡信息安全問題已經十分嚴重，在國家、社會及個人層面都存在不同的表現。（1）國家層面。網絡安全日益成為國家競爭的主要陣地，一些組織或個人出于某些特殊目的，進行信息泄密、破壞以及意識形態滲透，有的甚至通過網絡進行政治顛覆活動，使國家和社會公共利益受到威脅。美軍于2009年宣布成立網絡空間司令部；2011年首提“主動防御”新概念，目的是“實時檢測、發現、分析和阻止威脅與薄弱環節，以便在網絡尚未遭到影響之前阻止惡意行為”；2018年提出了更具進攻性的名為“防御前置”的新理念，在網絡空間開展競爭與實施威懾。目前，美國已搶占先機，通過遍布全球的地面衛星站、監聽站等采集各種數據，并進行快速預處理、解密還原、分析比對、深度挖掘，生成相關情報。（2）社會層面。網絡應用日趨全社會化，隨著社會重要基礎設施的高度信息化，帶來的是控制權分散的管理問題，包括政府網站、國防通信設施、動力控制網和金融系統等在內的社會命脈和核心控制系統有可能面臨惡意攻擊，從而導致毀壞和癱瘓，社會秩序面臨極大的風險。資料表明，在各領域的計算機犯罪和網絡侵權方面，無論是數量、手段還是性質、規模，都已經達到了令人咋舌的地步。（3）個人層面。當今社會個人就是一個組織，就是一個龐大的系統。手機承載了大量的個人身份信息、教育健康、娛樂消費、銀行支付等行為，因而個人的信息安全也面臨著巨大的風險。一是信息泄漏，個人信息未經授權被竊取、侵用與傳播；二是信息污染，個人信息未經授權被惡意篡改。

2網絡安全概述

網絡安全是指網絡系統的硬件、軟件及系統中的數據受到保護，不因偶然或者惡意的原因而遭到破壞、更改、泄露，系統能夠連續正常地運行，網絡服務不中斷。從廣義來說，凡是涉及網絡信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全研究的范疇。一般情況下，網絡安全包含信息安全和控制安全兩部分。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”；控制安全則指身份認證、不可否認性、授權和訪問控制。

3網絡攻擊的表現形式

網絡攻擊的表現形式有主動攻擊和被動攻擊兩種。主動攻擊會導致某些數據流篡改和產生虛假數據流，可分為拒絕服務攻擊、分布式拒絕服務（DDos）、篡改、偽裝和重放5類。被動攻擊是由一定的情境線索引起的攻擊行為，通常包括竊聽、流量分析、破解弱加密的數據流等攻擊方式。

3.1拒絕服務

拒絕服務DoS（DenyofService）會導致通訊設備正常使用或管理被無條件中斷，通常是對整個網絡實施破壞，以達到降低性能、中斷服務的目的，也可能有一個特定的目標，例如到某一特定目的地的所有數據包被阻止。

3.2分布式拒絕服務

分布式拒絕服務DDos（DistributedDenialofService）是在傳統的Dos攻擊基礎上產生的一類攻擊方式，它使許多分布的主機同時攻擊一個目標，從而使目標癱瘓。一個比較完善的DDos攻擊體系分為4大部分：黑客、控制傀儡機、攻擊傀儡機和受害者。

3.3篡改消息

篡改消息是指一個合法消息的某些部分被改變、刪除，消息被延遲或改變順序，通常用以產生一個未授權的效果，如修改傳輸消息中的數據，將“允許甲執行操作”改為“允許乙執行操作”。

3.4偽造

偽造指的是某個實體（人或系統）發出含有其他實體身份信息的數據信息，假扮成其他實體，從而以欺騙方式獲取一些合法用戶的權利。

3.5重放

重放攻擊（ReplayAttacks），是指攻擊者發送一個目的主機已接收過的包，從而產生一個非授權的效果，來達到欺騙系統的目的，主要用于身份認證過程，破壞認證的正確性。

3.6流量分析

流量分析攻擊方式通常比較難捉摸，敏感信息一般都是保密的，攻擊者雖然從截獲的消息中無法獲得消息的真實內容，但能通過觀察這些數據報文，能夠分析出通信雙方的位置、通信次數及消息長度，從而獲知相關的敏感信息。

3.7竊聽

竊聽是最常用的手段，局域網上的數據傳送是基于廣播方式進行的，從而一臺主機就有可能收到本子網上傳送的所有信息。而工作在雜收模式下的計算機網卡就可以將傳送的網絡信息傳送到上層，以供進一步分析，如果沒有采取加密措施，通過協議分析可以完全掌握通信的全部內容。竊聽還可以用無線截獲方式得到信息，通過高靈敏接收裝置接收網絡站點輻射的電磁波或網絡連接設備輻射的電磁波，通過對電磁信號進行分析恢復原數據信號。

4網絡信息安全的總體思路

4.1網絡信息安全原則

第一，內外部橫向聯動，縱向支撐，相互支援，資源共享。第二，領導層重視信息安全，目標明確，體系健全。第三，中層信息安全概念清楚，思路清晰，應急預案有效。第四，基層信息安全標準統一，執行得力，防范措施可行。

4.2網絡信息安全體系

網絡信息安全體系不是依靠幾種安全設備的簡單堆砌，或者靠一兩個技術人員就能夠實現，而是要從管理和技術兩個維度進行考慮，涉及管理制度、人員素質和意識、操作流程和規范、組織結構的健全性等眾多因素。一套完善的信息安全體系需要綜合人、技術、產品、管理等因素，從而才能建立一套完備的、高保障的安全運行體系。①人。注重網絡安全干系人的信息安全意識和行為規范。②技術。涉及網絡信息安全攻防技術。③產品。涉及網絡信息安全設備、軟件產品。④管理。涉及網絡信息安全運行體系。

5加強網絡信息安全的策略

5.1確保網絡結構安全

網絡安全體系結構是由硬件網絡、通信軟件以及操作系統組成的，用戶通過使用路由器、交換機、集線器等網絡設備，搭建自己的通信網絡。網絡安全通常是指網絡系統中的硬件、軟件要受到保護，不能被更改、泄露和破壞，確保整個網絡能夠穩定運行，信息傳送能夠維持完整性。網絡結構安全涉及網絡硬件、通信協議、加密技術等領域。確保網絡結構安全要做好以下幾方面的工作。①按保密網、內部網和公用網進行分類建設，采用物理上絕對分開、各自獨立的體系結構，并劃分網絡信息安全邊界。②對信息進行分類，以便匹配保密網、內部網和公用網，實行上網機器與辦公機器分離，內部信息及涉密信息嚴禁上網。③建設專用屏蔽機房和低信息輻射泄露網絡，配置網絡安全防火墻，配備低信息輻射泄露單機。④對信件及文件按涉密等關鍵詞組檢索進行檢查，防止無意識泄密，起到威懾作用。⑤對各種網絡設備、操作系統、應用軟件進行安全掃描。⑥保護知識產權、內部資料、保密信息，攔截黃毒信息。⑦通過源地址和目標地址的流量、數據包類型等多途徑進行網絡大數據分析，發現網絡行為的必然聯系。

5.2確保網絡物理安全

網絡物理安全是確保整個網絡系統安全的前提，必須確保人、網絡設備、系統軟件、應用系統和數據處于安全受控的狀態。確保網絡物理安全要做好以下工作。①保護人和網絡設備不受電、火災和雷擊侵害。②考慮布線系統與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離。③考慮布線系統與絕緣線、裸體線以及焊接的安全。④防雷系統建設。不僅考慮建筑物防雷，還要考慮計算機及其他弱電耐壓設備防雷。⑤使用門禁系統，防止設備、資源被盜、被毀，防止非授權人員進入機房。⑥通過電源冗余備用，防止停電、斷電造成網絡設備、系統及數據受損。⑦雙機多冗余設計是解決軟硬件的常用方法，必要時可考慮異地建設。⑧機房環境監控及報警系統建設。通過環境監控以便提供故障分析證明，為事故事件提供查證，通過報警系統可以提高機房運維的及時性和安全性。⑨通過防止電磁干擾和線路截獲，提高網絡的保密性。

5.3確保網絡設備安全

確保網絡設備安全要做好以下幾方面的工作。①定期更新網絡設備補丁，確保設備無安全隱患。②禁用路由器交換機Web管理頁面。③所有網絡設備全部嚴格按照安全基線進行安全配置。禁用Telnet進行遠程管理；SNMP僅允許相關網管系統受限讀取配置；嚴格管控管理員賬號和權限，關閉不必要的賬號權限，口令強度符合安全基線要求；限制可遠程管理的IP地址。④管控所有網絡設備及安全設備的策略，刪除無用策略，保證安全防護策略有效運行。⑤網絡設備及安全設備配置備份，并確保備份的配置有效和可恢復。

5.4確保服務器系統安全

確保服務器系統安全要做好以下幾方面的工作。①梳理操作系統賬號，清除非必要的管理賬號，清理因人員變動、系統部署測試等原因產生的閑置賬號。②定期檢查口令強度和口令變更情況，禁用弱口令、空口令賬號。③服務器應堅持最小化系統安裝原則，只安裝與自身業務相關的操作系統組件及應用軟件。④采取白名單原則，嚴格限制可以遠程管理服務器的IP地址。⑤定期檢查更新服務器操作系統和相關服務的補丁，保證版本最新，系統無漏洞。⑥開啟服務器日志功能，日志應在本地記錄同時轉發至獨立的日志服務器。⑦服務器只開放必需的服務端口，關閉不必要的端口和對外服務，減少暴露面。⑧禁止對互聯網開放具備遠程登錄、遠程控制能力的管理端口和數據庫端口，確需訪問時應嚴格限制訪問的IP地址。⑨每日檢查服務器入侵痕跡。例如：主動對外的連接請求；非操作系統自帶的后臺服務；非管理員設定的計劃任務和啟動項；非管理員創建的賬號和組；非管理員創建的目錄或文件。⑩部署防病毒服務器系統。

5.5確保數據庫系統安全

確保數據庫系統安全要做好以下幾方面的工作。①定期檢查更新數據庫管理系統、中間件、應用服務器的補丁，確保系統安全。②梳理數據庫管理系統賬號，清除非必要的管理賬號，清理因系統開發、測試等原因產生的閑置賬號。③定期檢查口令強度和口令變更情況，禁用弱口令、空口令賬號。④定期檢查數據庫備份策略，驗證數據備份的有效性。⑤定期檢查用戶的數據訪問控制權限。

5.6確保桌面安全

確保桌面安全要做好以下幾方面的工作。①檢查桌面安全終端運行情況，按照安全基線要求進行安全配置。②安裝已的系統安全補丁。③杜絕所有賬號的弱口令、空口令情況，所有計算機終端應該每月更改一次口令。④啟用操作系統防火墻，默認阻止任何入站訪問請求。⑤禁止使用遠程協助類工具，禁止通過任何工具從互聯網遠程訪問終端。⑥禁止安裝與工作無關的應用軟件、工具和程序。⑦安裝防病毒軟件。

5.7確保工業控制安全

確保工業控制安全要做好以下幾方面的工作。①大型企業或者組織原則上應將工控網、辦公網和個人網分離，梳理工控網、辦公網和個人網的系統邊界，設置三網的連接點，連接點處應部署防火墻、網閘等網絡隔離設備。②禁止遠程管理工控網邊界隔離設備。邊界隔離設備的防護策略應采用白名單機制。③定期更新邊界隔離設備安全補丁至最新版本。④邊界隔離設備嚴禁采用默認口令、弱口令、空口令。⑤邊界隔離設備應正確開啟日志服務并配置獨立的日志服務器。⑥部署在工控網的各類服務器、工程師站、操作員站等應采用最小化系統安裝原則，只安裝與自身業務相關的操作系統組件及應用軟件。⑦加強物理安全控制，禁止非授權人員進入生產區域，尤其是核心工業控制系統軟硬件所在區域。⑧定期驗證網絡設備、安全設備配置數據及關鍵業務數據備份，確保備份數據的完整性和可用性。⑨嚴禁非授權的移動設備（筆記本、移動存儲介質等）接入工控網，嚴禁開展遠程運維。

5.8確保用戶行為安全

確保用戶行為安全要做好以下幾方面的工作。①定期更改口令，同時口令不得低于8位且需要包含數字、大小寫字母、特殊符號其中的3種。②禁止在終端軟件上自動保存口令，禁止公開本人口令信息，不得猜測竊取他人賬號口令。③計算機終端應安裝桌面安全管理軟件、防病毒軟件。④使用完終端后，應及時退出登錄，并關機或鎖屏。⑤禁止將未經授權的計算機設備接入企業網絡。⑥未經批準，禁止在辦公室環境采用任何方式接入互聯網或其他外部網絡。⑦定期掃描查殺病毒，清理系統垃圾。⑧嚴禁打開來歷不明郵件中的鏈接地址與附件，防止泄漏個人信息或者終端被木馬、病毒等惡意程序侵擾。⑨謹慎訪問.com、.cn、.com.cn、.net、.net.cn、.org、.gov以外的、非常規域名的及其他可疑網站。⑩重要文件、資料、數據進行加密處理，并做好備份。嚴禁復制、外傳和使用客戶與員工的個人信息。注意手機安全，防止個人信息泄露。

6結語

在大數據時代，網絡已經演變成大國角逐的主陣地，網絡安全已經滲透到國家、社會、企業的方方面面，如何做好網絡信息安全已經成為頭等大事。在“4.19”講話中提出要全天候、全方位感知網絡安全態勢。只有加強網絡安全管理體系建設，提高網絡安全技術水平，增強個人安全意識，遵守網絡安全行為規范，才能在新時代的競爭中贏得主動。

作者：蘇興華 張新華 單位：中國石油川慶鉆探工程有限公司