信息網(wǎng)絡安全管理存在問題及應對措施探討

　　網(wǎng)絡安全是一項動態(tài)的、整體的系統(tǒng)工程，將從信息網(wǎng)絡安全管理方面存在的問題，參照公司在網(wǎng)絡信息安全方面的應用情況，通過建立健全的管理制度和利用多方面技術，綜合提高計算機網(wǎng)絡信息整體安全性的解決方案進行探討。分析了信息網(wǎng)絡安全管理存在的安全隱患，并提出了網(wǎng)絡安全管理及多種技術應對措施，保障網(wǎng)絡與信息安全。

　　《計算機工程與設計》辦刊宗旨：本刊以傳播新技術、促進學術交流為宗旨，堅持深度與廣度、理論與應用相結合的方針，著力報道計算機前沿技術和熱點技術，歡迎有創(chuàng)新和獨立學術見解的學術論文，包括基金項目論文、獲獎課題論文、學術會議優(yōu)秀論文、博士和碩士論文等。

　　隨著網(wǎng)絡安全技術的不斷發(fā)展，網(wǎng)絡惡意攻擊者的技術也在不斷的改進和創(chuàng)新。網(wǎng)絡信息安全由安全的操作系統(tǒng)、應用系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡監(jiān)控、信息審計、災難恢復等多個安全組件組成，一個單獨的組件是無法確保信息網(wǎng)絡的安全性。以前簡單的網(wǎng)絡邊界安全解決方案，已經(jīng)不能從整體上解決企業(yè)網(wǎng)絡安全隱患，因此在公司單位制定一套合理的整體網(wǎng)絡安全規(guī)劃，顯得尤為重要。

　　一、信息網(wǎng)絡安全管理存在的安全隱患

　　(1)外部非法接入。包括客戶、訪客、合作商、合作伙伴等在不經(jīng)過部門信息中心允許情況下與公司網(wǎng)絡的連接，而這些電腦在很多時候是游離于企業(yè)安全體系的有效管理之外的。

　　(2)局域網(wǎng)病毒、惡意軟件的泛濫。公司內部員工對電腦的了解甚少，沒有良好的防范意識，造成病毒、惡意軟件在局域網(wǎng)內廣泛傳播以至于影響到正常的日常辦公。

　　(3)資產(chǎn)管理失控。網(wǎng)絡中終端用戶隨意增減調換，每個終端硬件配備(硬盤、內存等)肆意組裝拆卸，操作系統(tǒng)隨意更換，各類應用軟件胡亂安裝卸載，各種外設無節(jié)制使用。

　　(4)網(wǎng)絡資源濫用。IP地址濫用，流量濫用，甚至工作時間聊天、游戲、瘋狂下載等行為影響工作效率，影響網(wǎng)絡的正常使用。

　　(5)內部非法外聯(lián)。內部網(wǎng)絡用戶通過調制解調器、雙網(wǎng)卡、無線網(wǎng)卡等設備進行在線違規(guī)撥號上網(wǎng)等，或違反規(guī)定將專網(wǎng)專用計算機帶出網(wǎng)絡進入其它網(wǎng)絡。

　　(6)重要信息泄密。因系統(tǒng)漏洞、病毒入侵、非法接入、非法外聯(lián)、網(wǎng)絡濫用、外設濫用等各種原因與管理不善導致組織內部重要信息泄漏或毀滅，造成不可彌補的重大企業(yè)損失。

　　(7)補丁管理混亂。終端用戶不了解系統(tǒng)補丁的狀態(tài)，不能及時打補丁，也沒有辦法統(tǒng)一進行補丁的下載、分析、測試和分發(fā)，從而為蠕蟲與黑客入侵保留了通道。

　　(8)“灰色網(wǎng)絡”的存在。即單位信息網(wǎng)絡管理人員對自己所擁有的網(wǎng)絡不是太了解，不能識別可能被利用的已知弱點，選擇合適的網(wǎng)絡安全設備并及時保證設備的策略符合性;工作中疏忽大意等造成對網(wǎng)絡的影響。

　　(9)沒有建立完善的管理體系。配置再完善的防火墻、功能再強大的入侵檢測系統(tǒng)、結構再復雜的系統(tǒng)密碼等也擋不住內部人員從網(wǎng)管背后的一瞥。在公司各單位存在信息網(wǎng)絡安全管理制度不明確合理、宣傳不力、管理不善等現(xiàn)象，造成執(zhí)行者執(zhí)行手段匱乏或執(zhí)行艱難。

　　二、網(wǎng)絡安全管理應對措施探討

　　對嚴峻的網(wǎng)絡安全形勢，如何保證網(wǎng)絡安全并有效防止入侵事件的發(fā)生，成為擺在每個網(wǎng)絡管理人員面前的難題。

　　(1)根據(jù)需求部署安全產(chǎn)品。首先要部署防火墻。它是執(zhí)行安全策略的主要手段。其次，可以考慮IDS(入侵檢測系統(tǒng))，以便對發(fā)生在防火墻后面的違規(guī)行為進行檢測，做出反應。其他的比如防病毒軟件、VPN產(chǎn)品、IPS等，對企業(yè)網(wǎng)絡的安全防護也都起著重要的作用。

　　(2)制定完整的安全策略。安全策略是制定所有安全決策的基礎，一個完整的安全策略會幫助企業(yè)網(wǎng)絡使用者校正一些日常但有威脅性的紕漏，并使之在保護網(wǎng)絡安全時做出一定的決定。強制執(zhí)行的安全策略提供貫徹組織機構的連續(xù)性;當對攻擊行為做出響應時，安全策略是首先考慮的資源;安全策略可以變動，也可以根據(jù)需要隨時更新;當安全策略變化時，要讓所有員工知道其重要性并遵守。

　　(3)制定完善的日志策略。日志是網(wǎng)絡管理員調查網(wǎng)絡入侵行為的必要工具，可以報告網(wǎng)絡異常，跟蹤入侵者的蹤跡，因此制定一個完善的日志策略對企業(yè)網(wǎng)絡安全很重要。

　　(4)進行定期的安全評估。相應的安全策略制定完成并實施后，就應當對企業(yè)網(wǎng)絡進行定期的安全評估。可以定期的請第三方網(wǎng)絡安全公司進行網(wǎng)絡安全咨詢，找出漏洞、分析漏洞及時降低風險。

　　(5)建立有效的應急響應機制。要擬定一份緊急事件應變措施，以便在事情發(fā)生、安全體系失效時發(fā)揮作用。應急措施應說明：緊急事件發(fā)生時報告給誰?誰負責回應?誰做決策?應急措施的制定要本著“企業(yè)損失最小化”的原則，體現(xiàn)出在業(yè)務中斷時間盡量短、數(shù)據(jù)丟失盡量少、網(wǎng)絡恢復盡量快等方面。

　　三、采取多種技術措施，保障網(wǎng)絡與信息安全

　　(1)防火墻技術。安裝防火墻，實現(xiàn)局域網(wǎng)與互聯(lián)網(wǎng)的邏輯隔離。通過包過濾技術實現(xiàn)允許或阻止訪問與被訪問的對象，對通過內容過濾保護網(wǎng)絡用戶合法有效地使用各種網(wǎng)絡對象;通過NAT技術實現(xiàn)動態(tài)地址轉換，使受保護的內部網(wǎng)絡的全部主機地址映射成防火墻上設置的少數(shù)幾個有效公網(wǎng)IP地址，這不僅可以對外屏蔽內部網(wǎng)絡結構和IP地址，也可以保護內部網(wǎng)絡的安全。

　　(2)入侵檢測系統(tǒng)檢測的主要方法。入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎結構的完整性。它從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，查看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。靜態(tài)配置分析：通過檢查系統(tǒng)的當前系統(tǒng)配置，諸如系統(tǒng)文件的內容或者系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者可能會遭到破壞;異常性檢測方法：是一種在不需要操作系統(tǒng)及其防范安全性缺陷專門知識的情況下，就可以檢測入侵者的方法，同時它也是檢測冒充合法用戶的入侵者的有效方法;基于行為的檢測方法：通過檢測用戶行為中那些與已知入侵行為模式類似的行為、那些利用系統(tǒng)中缺陷或間接違背系統(tǒng)安全規(guī)則的行為，來判斷系統(tǒng)中的入侵活動。

　　(3)防病毒方面。應用防病毒技術，建立全面的網(wǎng)絡防病毒體系;在核心機房和部分二級單位選擇部署諸如Symantec等防病毒服務器，按照分級方式，從總部、地區(qū)、下屬單位逐級安裝病毒服務器，實行服務器到終端機強制管理方式，實現(xiàn)逐級升級病毒定義文件，制定定期病毒庫升級與掃描策略，建立系統(tǒng)運行維護和公司防病毒技術支持相關人員，為公司員工使用的計算機終端加強了防病毒與查殺病毒的能力。

　　(4)桌面安全管理系統(tǒng)。桌面安全管理系統(tǒng)可以從技術層面幫助管理人員處理好繁雜的客戶端問題。其目標是要建立全面可靠的桌面安全防護體系，管理和保護桌面軟件系統(tǒng)，為各應用系統(tǒng)創(chuàng)造穩(wěn)定、可靠和安全的終端使用環(huán)境，有力支撐企業(yè)的業(yè)務和信息化發(fā)展，確保信息安全。

　　(5)網(wǎng)絡安全評估。建議每年定期請專業(yè)的安全咨詢公司對企業(yè)內部的網(wǎng)絡安全、關鍵服務器群、物理安全等方面做整體的安全體系的評估與安全加固，并提出一系列應對策略和應急方案，及時發(fā)現(xiàn)存在的各類威脅并進行有效整改，提高網(wǎng)絡的安全級別。網(wǎng)絡安全評估是建立安全防護體系的前提工作，是信息安全工作的基礎和重點。

　　(6)操作系統(tǒng)安全策略管理。由企業(yè)相關技術部門制定出一套操作系統(tǒng)安全管理策略配置說明書，詳細講解對操作系統(tǒng)安全策略的配置和管理，包括帳戶密碼策略、帳戶鎖定策略、審核策略、目錄共享策略、屏保策略、補丁分發(fā)策略等，對客戶端操作系統(tǒng)的安全性進行必要的設置，使其能夠關閉不必要的服務和端口、避免弱口令、刪除默認共享、及時更新系統(tǒng)補丁等，消除操作系統(tǒng)級的安全風險。

　　(7)信息的安全存儲與安全傳輸。信息的存儲安全是各業(yè)務系統(tǒng)的重點，信息的安全傳輸是機密信息交換的保證。對于數(shù)據(jù)存儲量較大的應用系統(tǒng)，可合理地選擇存儲架構，如采用存儲區(qū)域網(wǎng)(storage area network，SAN)，實現(xiàn)最大限度的數(shù)據(jù)共享和可管理性;采用RAID技術，合理的冗余硬件來保證存儲介質內數(shù)據(jù)的可靠性;采用合理的備份策略，如定期完全備份、實時增量備份、異地容災備份、多介質備份等來保證信息的可用性、可靠性、可管理性、可恢復性;制定和實施嚴密的數(shù)據(jù)使用權限;針對機密信息的網(wǎng)上傳輸、數(shù)據(jù)交換采取加密后傳輸。

　　(8)安全管理。網(wǎng)絡信息安全是一項復雜的系統(tǒng)工程，安全技術和安全設備的應用可起到一定的作用。建立和完善各種安全使用、管理制度，明確安全職責;建立如突發(fā)事件的應對預案;加強對網(wǎng)絡使用人員、網(wǎng)絡管理人員的安全教育，樹立安全觀念，提高安全防范意識，減少潛在的安全隱患;建設一支高水平的網(wǎng)絡管理、信息安全管理隊伍，定期進行安全風險評估和策略優(yōu)化。

　　(9)應用網(wǎng)絡信息安全管理技術正確面對網(wǎng)絡信息安全漏洞。目前，市場上各類網(wǎng)絡管理設備(網(wǎng)絡交換機、防火墻、入侵檢測/防護系統(tǒng)、防病毒系統(tǒng)等)從技術角度來講都已經(jīng)成熟，我們只要選擇知名品牌的信得過產(chǎn)品，對其進行合理的利用，對保障企業(yè)的網(wǎng)絡信息安全能夠起到積極作用。

　　五、結束語

　　建立完善的安全制度和安全響應方案，盡快建立起有效的信息安全防護體系，管理員加強自身學習和責任感，并不斷加強和培養(yǎng)員工的安全意識，讓公司每一位員工在意識和行動上都成為安全的“衛(wèi)士”。只有這樣，我們才能共同保障好企業(yè)的信息網(wǎng)絡安全。通過網(wǎng)絡軟件與硬件產(chǎn)品的結合，正確合理地使用各種安全策略和實施手段，相信會建立一套全面、安全、易于使用管理的配套設施，將網(wǎng)絡信息安全隱患減至最小。只有這樣，才能確保公司的網(wǎng)絡信息暢通、信息安全，才能實現(xiàn)公司信息化建設更好的服務公司的生產(chǎn)經(jīng)營。