文/張智偉

在信息技術飛速發(fā)展的今天，互聯(lián)網(wǎng)絡異軍突起，以其易用、高效的便利性，輕松地融入了人們的工作和生活中。在享受科技帶來樂趣的同時，也面臨著來自網(wǎng)絡層出不窮的各種威脅，信息安全不斷受到挑戰(zhàn)，特別是基礎網(wǎng)絡安全防護能力薄弱，導致安全危機。網(wǎng)絡互聯(lián)在基層事業(yè)單位已經(jīng)完全普及，很多基層單位除了和上級單位連接的內(nèi)部業(yè)務網(wǎng)絡，還有根據(jù)自身業(yè)務接入互聯(lián)網(wǎng)的獨立局域網(wǎng)?；鶎邮聵I(yè)單位的網(wǎng)絡安全主要是解決自建網(wǎng)絡的安全問題，網(wǎng)絡規(guī)模不大，設備不多，但是種類與大型網(wǎng)絡基本相同。隨著互聯(lián)網(wǎng)規(guī)模的膨脹，網(wǎng)絡安全問題逐漸顯現(xiàn)，而且越來越復雜，如果安全防護不到位，很容易受到病毒、木馬等程序以及黑客的侵害，不僅會對本單位網(wǎng)絡，甚至可能連同上級單位的網(wǎng)絡一起會造成損害。因此，基層單位的網(wǎng)絡必須要采用行之有效的技術手段和管理辦法防范各種威脅網(wǎng)絡安全的事件，盡量避免安全危害發(fā)生。

1.網(wǎng)絡安全概述

1.1 網(wǎng)絡安全的定義

國際標準化組織ISO 74982文獻中對安全的定義是:安全就是最大限度地減少數(shù)據(jù)和資源被攻擊的可能性?！吨腥A人民共和國計算機信息系統(tǒng)安全保護條例》第三條，規(guī)范了包括計算機網(wǎng)絡系統(tǒng)在內(nèi)的計算機信息系統(tǒng)安全的概念:計算機信息系統(tǒng)的安全保護，應當保障計算機及其相關的和配套的設備、設施（含網(wǎng)絡）的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全運行。

1.2 網(wǎng)絡安全的基本要素

從本質(zhì)上講，網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件和系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)能連續(xù)可靠地正常地運行，網(wǎng)絡服務不中斷。廣義上講，凡是涉及網(wǎng)絡上信息的保密性、完整性、可用性、可控性和不可否認性的相關技術和理論都是網(wǎng)絡安全所要研究的領域，即網(wǎng)絡安全的五個要素。

（1）保密性（Configentiality）:主要是指保證非授權的用戶不能訪問，信息不暴露給未授權的實體或進程。

（2）完整性（Integrity）:主要是指信息只有獲得許可的用戶才能修改實體或進程。

（3）可用性（Availability）:主要是指只有授權用戶可以隨時訪問信息，有訪問控制機制阻止非授權用戶進入。

（5）不可否認性（Non-Repudiation）:主要是指出現(xiàn)的安全問題能提供監(jiān)控、審計等手段，具備可追溯性。

網(wǎng)絡的安全與開放是矛盾關系，系統(tǒng)不提供任何服務，不會產(chǎn)生安全威脅，一旦提供服務，在開放的網(wǎng)絡環(huán)境下，各種安全問題必然隨之而來。

2.基層事業(yè)網(wǎng)絡安全面臨的問題

2.1 網(wǎng)絡協(xié)議自身的缺陷

網(wǎng)絡通信協(xié)議是互聯(lián)網(wǎng)絡傳輸?shù)幕A，協(xié)議設計之初，并沒有考慮到現(xiàn)在網(wǎng)絡的復雜情況，從而導致這些協(xié)議存在著不同的原生缺陷。TCP/IP是Internet的基本協(xié)議，網(wǎng)絡上針對它的缺陷有很多攻擊方法。

物理層的侵害主要是對網(wǎng)絡硬件和基礎設施進行物理破壞。例如，施工將電力線路破壞引起單位斷電，或者出口線路被挖斷，均可導致無法訪問互聯(lián)網(wǎng)絡。

ARP（地址解析協(xié)議）和RARP（反地址解析協(xié)議）是TCP/IP數(shù)據(jù)鏈路層上的兩個重要協(xié)議，ARP欺騙和偽裝是發(fā)生在這里的常見攻擊手段。

網(wǎng)絡層包括ICMP、IP和IGMP協(xié)議，它們常常引發(fā)大多數(shù)ICMP路由欺騙、Smuff攻擊和IP碎片攻擊等著名的網(wǎng)絡攻擊方式。

傳輸層是被攻擊的重災區(qū)，由于TCP連接占用資源大、釋放慢和UDP無連接、不可靠等自身缺陷導致的攻擊情況非常多，最常見的有會話劫持、中間人攻擊、SYN FLOOD攻擊以及TCP序列號欺騙和攻擊等。

教師主導式的意思是指教師策劃與主導及引導學生每一步之學習，例如，教師講解；準備一系列問題引導學生思考，學習不同種類的音樂；準備好實驗程序，讓學生跟著步驟進行實驗。

在應用層上，應用協(xié)議眾多，如DNS、FTP、SMTP等，主要攻擊是DNS欺騙。此外，由于一些軟件如數(shù)據(jù)庫、自行開發(fā)的應用等軟件在運行中出現(xiàn)漏洞，同樣會引起黑客攻擊。

2.2 惡意代碼的危害

由于網(wǎng)絡的開放、互聯(lián)特性，網(wǎng)絡上的用戶可以自由來往于各個站點，各種信息系統(tǒng)互聯(lián)互通，用戶身份和位置難以識別，同時，由于網(wǎng)絡協(xié)議和部分軟件存在技術漏洞，這些都為惡意代碼的傳播和擴散提供了便利。常見的惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等危害就是利用了TCP/IP協(xié)議的缺陷。越來越多的惡性攻擊事件說明目前網(wǎng)絡安全形勢嚴峻，不法分子的技術手段也時常更新?lián)Q代，網(wǎng)絡的安全漏洞需要被網(wǎng)絡管理員們時刻關注，網(wǎng)絡安全的防范措施也要與時俱進能夠應付不同的威脅，確保網(wǎng)絡信息安全、可控。

2.3 人為因素

很多計算機用戶網(wǎng)絡安全意識差，加之使用不當，容易被敲詐、勒索等風險通過不安全網(wǎng)址或電子郵件植入木馬后門，這些人為因素也會導致安全問題發(fā)生。

3.網(wǎng)絡安全防范措施

3.1 技術防范

3.1.1 物理安全

物理安全是保護計算機網(wǎng)絡設備、設施及其他媒體免遭地震、水災、火災等環(huán)境事故，以及人為操作失誤或者各種針對網(wǎng)絡或計算機的破壞行為。保證計算機信息系統(tǒng)各種設備的物理安全，是整個計算機信息系統(tǒng)安全的前提。

物理攻擊分為偶然的和故意的，故意攻擊是很明顯的，網(wǎng)絡的物理線纜或是設備、配套設施等被破壞，無法再提供網(wǎng)絡服務；偶然事故和故意攻擊本質(zhì)不一樣，但是結(jié)果是相同的，也會對網(wǎng)絡或者某個設備造成破壞。偶然事故可以不歸結(jié)于攻擊。

物理環(huán)境安全主要是指對系統(tǒng)、設備所在的機房安全保護。保護措施和過程應按照國家有關設計標準實施，包括消防報警、安全照明、不間斷供電、溫濕度控制系統(tǒng)和防盜報警，應符合國家對不同等級機房的設計規(guī)范。

3.1.2 網(wǎng)絡邊界安全

網(wǎng)絡安全主要包括網(wǎng)絡運行和網(wǎng)絡訪問控制的安全。在內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間設置防火墻，實現(xiàn)對外部網(wǎng)絡的隔離和訪問控制，是保護內(nèi)部網(wǎng)絡安全的最主要措施，同時也是最優(yōu)先、最經(jīng)濟的措施之一。

防火墻從實現(xiàn)原理上分為過濾防火墻、應用級網(wǎng)關防火墻、代理防火墻和規(guī)則檢查防火墻，它們的部署位置完全取決于單位的訪問要求和安全要求?？陀^地說，防火墻并不是解決網(wǎng)絡安全問題的萬能藥方，而只是網(wǎng)絡安全和策略中的一個組成部分，防火墻自身還有很多局限，例如，不能阻止利用協(xié)議缺陷的攻擊、不能解決來自內(nèi)部網(wǎng)絡的攻擊和安全問題等。所以，僅靠在互聯(lián)網(wǎng)入口處設置防火墻是不能保護整個內(nèi)部網(wǎng)絡安全的，還應該配備IPS（入侵防御系統(tǒng)）這樣專門的安全設備來彌補防火墻的不足。IPS位于防火墻和網(wǎng)絡設備之間，可以配置深層次的防御安全策略，監(jiān)視網(wǎng)絡中的傳輸情況，通過對數(shù)據(jù)包的檢測，及時調(diào)整或阻斷一些不正常的傳輸，這是防火墻所無法做到的。IPS作為必要的網(wǎng)絡安全附加設備，已經(jīng)為大多數(shù)單位網(wǎng)絡安全架構的標配。

3.1.3 終端安全一體化安全防范

在當前的互聯(lián)網(wǎng)環(huán)境下，一般基層事業(yè)單位已經(jīng)建立了一個完整的網(wǎng)絡平臺，具備一定的網(wǎng)絡規(guī)模，計算機終端數(shù)量較多。各種木馬病毒、0day漏洞，以及類似APT攻擊等新型的攻擊手段也越來越多，傳統(tǒng)的防病毒技術以及管理手段已經(jīng)無法滿足現(xiàn)階段網(wǎng)絡安全的需要。目前，建立一體化終端安全和統(tǒng)一管理的網(wǎng)絡威脅防護體系是一個單位整體防范網(wǎng)絡安全威脅的首選。

國內(nèi)絕大多數(shù)從事網(wǎng)絡安全的公司都有面向企事業(yè)用戶的網(wǎng)絡安全管理系統(tǒng)，依托其各自的云安全系統(tǒng)，可提供整個網(wǎng)絡終端安全狀況評估，全面查殺、檢測已知、未知病毒與惡意代碼，通過云安全，實時更新安全補丁，調(diào)整威脅防護策略。通過對網(wǎng)絡文件的安全審計和追蹤，及時發(fā)現(xiàn)和定位未知威脅，可對終端漏洞修復、自動推送補丁，使網(wǎng)絡終端的安全風險處于可管理、可控制狀態(tài)。同時，還能將網(wǎng)絡終端的整體安全狀況和風險情況以數(shù)字化方式展現(xiàn)出來，幫助網(wǎng)絡安全管理人員及時、準確、清晰地了解終端所處的風險狀況，以便于快速解決問題。

3.2 管理措施

在網(wǎng)絡安全領域的多年研究實踐中，人們逐漸認識到管理在網(wǎng)絡安全中的重要性，“三分技術，七分管理”的理念已經(jīng)深入人心。網(wǎng)絡安全同樣遵循“木桶原理”，即一個木桶的容積取決于最短的那塊木板，一個系統(tǒng)的安全強度等于最薄弱環(huán)節(jié)的安全強度。無論采用了多么先進的技術設備，還需要有以人為目標的管理手段來支持，只要安全管理上有漏洞，那么這個系統(tǒng)的安全一樣沒有保障。

3.2.1 定期檢測網(wǎng)絡狀況

網(wǎng)絡的狀態(tài)是不斷變化的，網(wǎng)絡中的計算機所面臨的威脅也隨著網(wǎng)絡環(huán)境在不斷變化。網(wǎng)絡管理員的崗位職責、日常工作要建章立制，包括定期檢查聯(lián)網(wǎng)計算機病毒代碼更新情況，確保其處于最新版本，開啟終端防護程序防關閉和防卸載功能，要經(jīng)常通過一體化終端管理系統(tǒng)檢查網(wǎng)絡內(nèi)終端安全狀況，主動推送對網(wǎng)內(nèi)終端的安全檢測命令，使其在開機狀態(tài)下自動修補安全漏洞。對于單位的內(nèi)部計算機網(wǎng)絡，更應嚴格控制輸入輸出，必要時應使用身份加密訪問技術，通過對來訪者身份的認證，確認是否有權限進行訪問，這也是維護網(wǎng)絡安全的一種有效方式。

此外，網(wǎng)絡管理員要時常運用網(wǎng)絡安全監(jiān)測工具如惡意軟件分析包、網(wǎng)絡流量分析工具、端口掃描工具和漏洞檢測框架等網(wǎng)絡安全性評估分析軟件或硬件，檢測系統(tǒng)的漏洞或潛在的威脅，發(fā)現(xiàn)隱患及時修補，以達到增強網(wǎng)絡安全性的目的。

3.2.2 加強內(nèi)部管理，強化安全意識

基層事業(yè)單位雖然人員相對固定和單一，但這并不意味著計算機在內(nèi)部網(wǎng)絡中使用就是安全的，網(wǎng)絡安全威脅有的來自外部，有的則是來自單位內(nèi)部。

基層單位沒有專職的網(wǎng)絡安全管理人員，防范力量較薄弱，首先要加強網(wǎng)絡管理員的技術培訓工作，有效補充新的網(wǎng)絡安全管理知識，提高網(wǎng)絡安全防范技術水平。

此外，單位內(nèi)部每年應不定期開展網(wǎng)絡安全自查工作，對于一些網(wǎng)絡使用中存在的安全隱患進行總結(jié)，利用身邊的案例開展多種形式的網(wǎng)絡安全宣講、教育活動。特別是要提高職工的安全意識，克制好奇心，不點擊來路不明的郵件和鏈接，從而避免被植入木馬、敲詐勒索以及詐騙等網(wǎng)絡安全事件的發(fā)生。

培養(yǎng)職工使用移動存儲先殺毒的良好習慣，鼓勵個人使用正版軟件，盜版軟件本身就存在一定的安全威脅。同時，還需要完善一些監(jiān)督機制，確保這些制度能夠落到實處；否則，同樣無法保障網(wǎng)絡安全。

結(jié)語

網(wǎng)絡安全防范是一個動態(tài)的過程，影響安全的因素都是動態(tài)變化的，防范也必然要通過一個動態(tài)的過程來實現(xiàn)?？煽康木W(wǎng)絡安全保障體系不僅具備對外部攻擊進行有效防范的能力，還包括完善的內(nèi)部安全管理制度，不應僅僅局限于對某種安全隱患的防范，還要具備應對各種網(wǎng)絡安全隱患的整體解決能力，應當能夠隨著網(wǎng)絡安全需求的變化而不斷改進和完善。這就要求基層事業(yè)單位的網(wǎng)絡管理員在日常工作中要加強對網(wǎng)絡的全面監(jiān)測，仔細觀察和分析影響網(wǎng)絡安全的相關因素，強化單位內(nèi)部計算機的安全使用管理，最大程度地消除可能存在的安全隱患，確?；鶎邮聵I(yè)單位的計算機網(wǎng)絡安全平穩(wěn)、可靠地有序運行。