徐俊海

摘 要 隨著我國(guó)科學(xué)技術(shù)的不斷提升和數(shù)字化、信息化技術(shù)的不斷發(fā)展，IP網(wǎng)絡(luò)應(yīng)用延伸至社會(huì)生產(chǎn)生活的各個(gè)領(lǐng)域，網(wǎng)絡(luò)安全問(wèn)題隨之而來(lái)，越來(lái)越受到各領(lǐng)域的重視。本文針對(duì)網(wǎng)絡(luò)安全加固工作的安全威脅，探討安全加固的應(yīng)對(duì)分析探討，減小安全威脅，提升網(wǎng)絡(luò)防護(hù)能力，為網(wǎng)絡(luò)安全管理提供參考。

關(guān)鍵詞 網(wǎng)絡(luò)安全加固工作;分析探討;網(wǎng)絡(luò)安全管理

引言

隨著通信技術(shù)與計(jì)算機(jī)技術(shù)的快速發(fā)展，特別是近些年來(lái)大數(shù)據(jù)和分布式計(jì)算技術(shù)的創(chuàng)新與演進(jìn)，信息系統(tǒng)安全面臨嚴(yán)峻挑戰(zhàn)。作為信息系統(tǒng)主要組成部分的服務(wù)器、操作系統(tǒng)等軟硬件的安全檢測(cè)已成為必不可少的工作。

1網(wǎng)絡(luò)安全加固技術(shù)簡(jiǎn)述

一個(gè)組織的信息系統(tǒng)在運(yùn)行過(guò)程中，必然會(huì)面臨各種各樣的內(nèi)部和外部威脅，雖然在信息系統(tǒng)網(wǎng)絡(luò)中可能會(huì)部署防火墻、入侵檢測(cè)設(shè)備等各類安全產(chǎn)品，但是其并不能真正徹底地消除隱藏在信息系統(tǒng)中的脆弱性問(wèn)題。信息系統(tǒng)中的各種軟硬件設(shè)備仍然存在著眾多的脆弱性問(wèn)題。如在系統(tǒng)建設(shè)實(shí)施中，可能存在環(huán)境配置不當(dāng)、組件配置不當(dāng)、參數(shù)配置不符合安全需求等安全漏洞。在日常運(yùn)行維護(hù)中，存在如安全補(bǔ)丁沒(méi)有及時(shí)更新，存在木馬病毒，應(yīng)用服務(wù)和應(yīng)用程序被非法濫用，開(kāi)放了不必要的服務(wù)和端口，系統(tǒng)維護(hù)不符合安全需求等安全漏洞。這些脆弱性問(wèn)題必然會(huì)成為后續(xù)各類安全問(wèn)題的風(fēng)險(xiǎn)隱患。一旦信息系統(tǒng)所存在的安全漏洞被有意或無(wú)意的利用，則對(duì)信息系統(tǒng)的數(shù)據(jù)安全和業(yè)務(wù)連續(xù)性會(huì)造成不利影響，引起信息系統(tǒng)癱瘓、數(shù)據(jù)篡改、數(shù)據(jù)泄露乃至金錢和名譽(yù)上的損失。為了盡量減少信息系統(tǒng)脆弱性的存在，安全加固工作應(yīng)運(yùn)而生。通過(guò)安全加固技術(shù)，可對(duì)信息系統(tǒng)中的關(guān)鍵軟/硬件設(shè)備，如操作系統(tǒng)、服務(wù)器、路由器、交換機(jī)、防火墻、IPS等的安全性以及漏洞進(jìn)行了分析，通過(guò)補(bǔ)丁更新、參數(shù)配置更改、增加安全機(jī)制等方法，降低信息系統(tǒng)的脆弱性，提高信息系統(tǒng)應(yīng)對(duì)風(fēng)險(xiǎn)的能力[1]。

2網(wǎng)絡(luò)安全加固工作的分析探討

（1）審計(jì)安全分析。網(wǎng)絡(luò)設(shè)備安全除了自身運(yùn)行安全外，還包括人員的操作安全，設(shè)備自身的運(yùn)行安全穩(wěn)定，需要對(duì)相關(guān)參數(shù)設(shè)置、故障處理以及資源占用等進(jìn)行維護(hù)。在人員操作方面，安全防護(hù)主要是針對(duì)操作人員進(jìn)行行為記錄，比如操作的時(shí)間、操作的痕跡等。利用設(shè)備日志的功能，對(duì)運(yùn)行以及操作日志進(jìn)行記錄，進(jìn)行審計(jì)安全記錄可以作為后期系統(tǒng)維護(hù)的參考，如果有安全問(wèn)題存在，可以對(duì)記錄進(jìn)行檢查。因此審計(jì)記錄的保護(hù)也非常重要，其中涉及的就是審計(jì)進(jìn)程的安全，系統(tǒng)在開(kāi)始運(yùn)行時(shí)，審計(jì)進(jìn)程就相應(yīng)地開(kāi)啟，在整個(gè)運(yùn)行過(guò)程中發(fā)揮作用，確保審計(jì)記錄內(nèi)容的完整。系統(tǒng)需要配置安全管理中心，對(duì)審計(jì)日志進(jìn)行統(tǒng)一管理，設(shè)置審計(jì)記錄的保存時(shí)間為3個(gè)月。審計(jì)安全防護(hù)工作中，要想發(fā)現(xiàn)系統(tǒng)存在的安全隱患，需要定期分析檢查審計(jì)記錄，查看設(shè)備運(yùn)行是否存在異常，對(duì)于人員操作是否有違規(guī)情況。

（2）Web滲透實(shí)踐。一次完整的Web滲透實(shí)踐，要經(jīng)過(guò)目標(biāo)搜索、信息收集、漏洞探索、漏洞利用、內(nèi)網(wǎng)轉(zhuǎn)發(fā)、內(nèi)網(wǎng)滲透、痕跡清除、撰寫測(cè)試等過(guò)程，下圖為Web滲透流程圖。在Web滲透實(shí)踐過(guò)程中，首先要盡快確定目標(biāo)，廣泛搜索各種與目標(biāo)相關(guān)的有效信息，比如Web域名、IP地址等，以此來(lái)獲取目標(biāo)的跟蹤，同時(shí)利用掃描軟件對(duì)Web進(jìn)行全面掃描，決定潛在目標(biāo);當(dāng)搜索到目標(biāo)后，運(yùn)用挖掘工具對(duì)目標(biāo)信息進(jìn)行深度挖掘并加以整理，常用的挖掘工具有社交工程、物理闖入等，從外網(wǎng)收集被測(cè)目標(biāo)的基本信息，然后利用各種掃描工具（如TK2012掃描器、X-Scan掃描器、Fluxy掃描器、NMAP掃描器），對(duì)目標(biāo)進(jìn)行端口掃描，以此來(lái)獲取端口開(kāi)放信息，同時(shí)對(duì)Web的操作系統(tǒng)進(jìn)行目標(biāo)識(shí)別，以及對(duì)Web服務(wù)軟件的基本信息進(jìn)行識(shí)別，獲取到Web的防火墻規(guī)則等。除此以外，測(cè)試人員還需要獲取到Web的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息以及路由信息等，盡可能多的挖掘到有效信息;采集到有效信息后，以其作為依據(jù)將被測(cè)目標(biāo)與安全漏洞進(jìn)行關(guān)聯(lián)。漏洞關(guān)聯(lián)在整個(gè)Web滲透實(shí)踐中具有重要的作用，選取被測(cè)目標(biāo)的一些特殊信息，將其與已開(kāi)放的安全漏洞的相關(guān)信息進(jìn)行對(duì)比，以此判斷出目標(biāo)是否存在漏洞;關(guān)聯(lián)完漏洞后進(jìn)入到入侵攻擊測(cè)試階段，在該階段要根據(jù)漏洞關(guān)聯(lián)發(fā)現(xiàn)的Web漏洞進(jìn)行有針對(duì)性的應(yīng)對(duì)，利用合理的漏洞工具進(jìn)行維持權(quán)限，采取相應(yīng)的應(yīng)對(duì)措施解決Web漏洞問(wèn)題，在攻擊結(jié)束之后要對(duì)Web上的攻擊痕跡進(jìn)行清除，以此完成Web滲透實(shí)踐。

（3）信息傳輸安全保護(hù)分析。網(wǎng)絡(luò)安全系統(tǒng)運(yùn)行的過(guò)程中，特別是在信息傳輸和業(yè)務(wù)活動(dòng)的時(shí)候，要做好加密工作，提高安全防護(hù)等級(jí)。監(jiān)控系統(tǒng)中要增設(shè)加密裝置，將其設(shè)置在上內(nèi)部網(wǎng)絡(luò)和外界網(wǎng)絡(luò)的連接處，裝置既要有加密的功能，又要具備解密的作用。在開(kāi)展業(yè)務(wù)中加強(qiáng)網(wǎng)路安全防護(hù)，除了要使用防火墻，提高信息傳輸?shù)陌踩院涂煽啃裕€要采取縱向加密的方法，只有將兩種安全防護(hù)手段有效結(jié)合起來(lái)，才能及時(shí)高效地完成身份驗(yàn)證，識(shí)別出具有危險(xiǎn)性的信息，然后對(duì)其進(jìn)行自動(dòng)攔截，最大程度地提高數(shù)據(jù)安全性，在傳輸?shù)倪^(guò)程中對(duì)信息進(jìn)行加密，即使遇到了外界攻擊，信息被盜取和丟失的風(fēng)險(xiǎn)也會(huì)降低，相當(dāng)于有了雙重保障。在系統(tǒng)中安裝加密裝置，在信息傳輸中會(huì)自動(dòng)對(duì)所有數(shù)據(jù)進(jìn)行安全檢查，進(jìn)一步提升電力監(jiān)控系統(tǒng)安全性。電力系統(tǒng)有專屬的加密算法，無(wú)論是加密設(shè)置還是解密處理都要遵循國(guó)家規(guī)定，只有這樣才能確保網(wǎng)絡(luò)安全數(shù)據(jù)和信息真實(shí)性和安全性。

（4）腳本類漏洞滲透。嘗試對(duì)該醫(yī)療Web進(jìn)行腳本類漏洞進(jìn)行分析，通過(guò)Appscan、Wireshark等工具對(duì)Web找回密碼過(guò)程發(fā)送的HTTP請(qǐng)求進(jìn)行抓包，發(fā)現(xiàn)Web找回密碼功能中，一些Web功能未進(jìn)行加密保護(hù)，同時(shí)通過(guò)Fluxy工具掃描Web，發(fā)現(xiàn)可以通過(guò)admin身份直接登錄到該醫(yī)療Web后臺(tái)，并且發(fā)現(xiàn)該醫(yī)療Web存在腳本類漏洞。針對(duì)這一類漏洞，通過(guò)獲取短信驗(yàn)證的方式進(jìn)行加密處理，以確保用戶身份的真實(shí)有效，同時(shí)通過(guò)設(shè)置 Web 后臺(tái)權(quán)限，規(guī)避非預(yù)期的越權(quán)操作，對(duì)腳本類漏洞進(jìn)行了修復(fù)。

3結(jié)束語(yǔ)

網(wǎng)絡(luò)交換機(jī)的安全加固是在對(duì)交換機(jī)應(yīng)用場(chǎng)景的完全認(rèn)知的情況下，適度的調(diào)整加固策略，防護(hù)安全威脅。因此需要對(duì)當(dāng)前網(wǎng)絡(luò)提供的服務(wù)業(yè)務(wù)的流程深入了解，分析業(yè)務(wù)面臨的安全威脅，評(píng)估安全加固名的代價(jià)，設(shè)計(jì)安全防護(hù)的合理方案，結(jié)合選用產(chǎn)品的功能制定和實(shí)施精準(zhǔn)的安全策略。

參考文獻(xiàn)

[1] 張霞.計(jì)算機(jī)操作系統(tǒng)的安全加固技術(shù)探究[J].計(jì)算機(jī)產(chǎn)品與流通，2019（12）：18，61.