新時(shí)期網(wǎng)絡(luò)信息安全應(yīng)對策略

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了新時(shí)期網(wǎng)絡(luò)信息安全應(yīng)對策略范文，希望能給你帶來靈感和參考，敬請閱讀。

［摘要］在大數(shù)據(jù)時(shí)代，網(wǎng)絡(luò)已經(jīng)演變成國家競爭的主戰(zhàn)場，網(wǎng)絡(luò)信息安全的重要性日益凸顯。本文首先從“護(hù)網(wǎng)2018”實(shí)網(wǎng)攻擊演習(xí)行動引出了網(wǎng)絡(luò)信息安全話題，接著闡釋了網(wǎng)絡(luò)安全的概念，提出了網(wǎng)絡(luò)安全的原則和思路，最后從公民網(wǎng)絡(luò)安全普法意識、網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)物理安全、網(wǎng)絡(luò)設(shè)備安全、服務(wù)器系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全、桌面安全、工業(yè)控制安全和用戶行為安全等方面給出了網(wǎng)絡(luò)安全策略。

［關(guān)鍵詞］網(wǎng)絡(luò)安全；信息安全；物理安全；桌面安全；安全意識

1研究背景

隨著互聯(lián)網(wǎng)應(yīng)用的不斷深入，信息共享、信息交流的需求不斷增加，網(wǎng)絡(luò)信息服務(wù)不斷向縱深發(fā)展，網(wǎng)絡(luò)安全問題不斷凸顯。①計(jì)算機(jī)系統(tǒng)遭受病毒感染和破壞的情況非常嚴(yán)重，2017年5月12日的勒索病毒就是例證。②電腦黑客活動已形成重要威脅，國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測發(fā)現(xiàn)：2017年我國約有2萬個(gè)網(wǎng)站被非法篡改，同比增長20%。③信息基礎(chǔ)設(shè)施面臨嚴(yán)重挑戰(zhàn)，英國《簡氏戰(zhàn)略報(bào)告》和其他網(wǎng)絡(luò)組織對各國信息防護(hù)能力進(jìn)行評估，我國被列入防護(hù)能力最低的國家之一。④網(wǎng)絡(luò)政治顛覆活動頻繁，國內(nèi)外各種勢力利用互聯(lián)網(wǎng)結(jié)社組黨，針對黨和國家的非法組織和串聯(lián)活動十分猖獗，屢禁不止。網(wǎng)絡(luò)信息安全問題已經(jīng)十分嚴(yán)重，在國家、社會及個(gè)人層面都存在不同的表現(xiàn)。（1）國家層面。網(wǎng)絡(luò)安全日益成為國家競爭的主要陣地，一些組織或個(gè)人出于某些特殊目的，進(jìn)行信息泄密、破壞以及意識形態(tài)滲透，有的甚至通過網(wǎng)絡(luò)進(jìn)行政治顛覆活動，使國家和社會公共利益受到威脅。美軍于2009年宣布成立網(wǎng)絡(luò)空間司令部；2011年首提“主動防御”新概念，目的是“實(shí)時(shí)檢測、發(fā)現(xiàn)、分析和阻止威脅與薄弱環(huán)節(jié)，以便在網(wǎng)絡(luò)尚未遭到影響之前阻止惡意行為”；2018年提出了更具進(jìn)攻性的名為“防御前置”的新理念，在網(wǎng)絡(luò)空間開展競爭與實(shí)施威懾。目前，美國已搶占先機(jī)，通過遍布全球的地面衛(wèi)星站、監(jiān)聽站等采集各種數(shù)據(jù)，并進(jìn)行快速預(yù)處理、解密還原、分析比對、深度挖掘，生成相關(guān)情報(bào)。（2）社會層面。網(wǎng)絡(luò)應(yīng)用日趨全社會化，隨著社會重要基礎(chǔ)設(shè)施的高度信息化，帶來的是控制權(quán)分散的管理問題，包括政府網(wǎng)站、國防通信設(shè)施、動力控制網(wǎng)和金融系統(tǒng)等在內(nèi)的社會命脈和核心控制系統(tǒng)有可能面臨惡意攻擊，從而導(dǎo)致毀壞和癱瘓，社會秩序面臨極大的風(fēng)險(xiǎn)。資料表明，在各領(lǐng)域的計(jì)算機(jī)犯罪和網(wǎng)絡(luò)侵權(quán)方面，無論是數(shù)量、手段還是性質(zhì)、規(guī)模，都已經(jīng)達(dá)到了令人咋舌的地步。（3）個(gè)人層面。當(dāng)今社會個(gè)人就是一個(gè)組織，就是一個(gè)龐大的系統(tǒng)。手機(jī)承載了大量的個(gè)人身份信息、教育健康、娛樂消費(fèi)、銀行支付等行為，因而個(gè)人的信息安全也面臨著巨大的風(fēng)險(xiǎn)。一是信息泄漏，個(gè)人信息未經(jīng)授權(quán)被竊取、侵用與傳播；二是信息污染，個(gè)人信息未經(jīng)授權(quán)被惡意篡改。

2網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)能夠連續(xù)正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。從廣義來說，凡是涉及網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全研究的范疇。一般情況下，網(wǎng)絡(luò)安全包含信息安全和控制安全兩部分。國際標(biāo)準(zhǔn)化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”；控制安全則指身份認(rèn)證、不可否認(rèn)性、授權(quán)和訪問控制。

3網(wǎng)絡(luò)攻擊的表現(xiàn)形式

網(wǎng)絡(luò)攻擊的表現(xiàn)形式有主動攻擊和被動攻擊兩種。主動攻擊會導(dǎo)致某些數(shù)據(jù)流篡改和產(chǎn)生虛假數(shù)據(jù)流，可分為拒絕服務(wù)攻擊、分布式拒絕服務(wù)（DDos）、篡改、偽裝和重放5類。被動攻擊是由一定的情境線索引起的攻擊行為，通常包括竊聽、流量分析、破解弱加密的數(shù)據(jù)流等攻擊方式。

3.1拒絕服務(wù)

拒絕服務(wù)DoS（DenyofService）會導(dǎo)致通訊設(shè)備正常使用或管理被無條件中斷，通常是對整個(gè)網(wǎng)絡(luò)實(shí)施破壞，以達(dá)到降低性能、中斷服務(wù)的目的，也可能有一個(gè)特定的目標(biāo)，例如到某一特定目的地的所有數(shù)據(jù)包被阻止。

3.2分布式拒絕服務(wù)

分布式拒絕服務(wù)DDos（DistributedDenialofService）是在傳統(tǒng)的Dos攻擊基礎(chǔ)上產(chǎn)生的一類攻擊方式，它使許多分布的主機(jī)同時(shí)攻擊一個(gè)目標(biāo)，從而使目標(biāo)癱瘓。一個(gè)比較完善的DDos攻擊體系分為4大部分：黑客、控制傀儡機(jī)、攻擊傀儡機(jī)和受害者。

3.3篡改消息

篡改消息是指一個(gè)合法消息的某些部分被改變、刪除，消息被延遲或改變順序，通常用以產(chǎn)生一個(gè)未授權(quán)的效果，如修改傳輸消息中的數(shù)據(jù)，將“允許甲執(zhí)行操作”改為“允許乙執(zhí)行操作”。

3.4偽造

偽造指的是某個(gè)實(shí)體（人或系統(tǒng)）發(fā)出含有其他實(shí)體身份信息的數(shù)據(jù)信息，假扮成其他實(shí)體，從而以欺騙方式獲取一些合法用戶的權(quán)利。

3.5重放

重放攻擊（ReplayAttacks），是指攻擊者發(fā)送一個(gè)目的主機(jī)已接收過的包，從而產(chǎn)生一個(gè)非授權(quán)的效果，來達(dá)到欺騙系統(tǒng)的目的，主要用于身份認(rèn)證過程，破壞認(rèn)證的正確性。

3.6流量分析

流量分析攻擊方式通常比較難捉摸，敏感信息一般都是保密的，攻擊者雖然從截獲的消息中無法獲得消息的真實(shí)內(nèi)容，但能通過觀察這些數(shù)據(jù)報(bào)文，能夠分析出通信雙方的位置、通信次數(shù)及消息長度，從而獲知相關(guān)的敏感信息。

3.7竊聽

竊聽是最常用的手段，局域網(wǎng)上的數(shù)據(jù)傳送是基于廣播方式進(jìn)行的，從而一臺主機(jī)就有可能收到本子網(wǎng)上傳送的所有信息。而工作在雜收模式下的計(jì)算機(jī)網(wǎng)卡就可以將傳送的網(wǎng)絡(luò)信息傳送到上層，以供進(jìn)一步分析，如果沒有采取加密措施，通過協(xié)議分析可以完全掌握通信的全部內(nèi)容。竊聽還可以用無線截獲方式得到信息，通過高靈敏接收裝置接收網(wǎng)絡(luò)站點(diǎn)輻射的電磁波或網(wǎng)絡(luò)連接設(shè)備輻射的電磁波，通過對電磁信號進(jìn)行分析恢復(fù)原數(shù)據(jù)信號。

4網(wǎng)絡(luò)信息安全的總體思路

4.1網(wǎng)絡(luò)信息安全原則

第一，內(nèi)外部橫向聯(lián)動，縱向支撐，相互支援，資源共享。第二，領(lǐng)導(dǎo)層重視信息安全，目標(biāo)明確，體系健全。第三，中層信息安全概念清楚，思路清晰，應(yīng)急預(yù)案有效。第四，基層信息安全標(biāo)準(zhǔn)統(tǒng)一，執(zhí)行得力，防范措施可行。

4.2網(wǎng)絡(luò)信息安全體系

網(wǎng)絡(luò)信息安全體系不是依靠幾種安全設(shè)備的簡單堆砌，或者靠一兩個(gè)技術(shù)人員就能夠?qū)崿F(xiàn)，而是要從管理和技術(shù)兩個(gè)維度進(jìn)行考慮，涉及管理制度、人員素質(zhì)和意識、操作流程和規(guī)范、組織結(jié)構(gòu)的健全性等眾多因素。一套完善的信息安全體系需要綜合人、技術(shù)、產(chǎn)品、管理等因素，從而才能建立一套完備的、高保障的安全運(yùn)行體系。①人。注重網(wǎng)絡(luò)安全干系人的信息安全意識和行為規(guī)范。②技術(shù)。涉及網(wǎng)絡(luò)信息安全攻防技術(shù)。③產(chǎn)品。涉及網(wǎng)絡(luò)信息安全設(shè)備、軟件產(chǎn)品。④管理。涉及網(wǎng)絡(luò)信息安全運(yùn)行體系。

5加強(qiáng)網(wǎng)絡(luò)信息安全的策略

5.1確保網(wǎng)絡(luò)結(jié)構(gòu)安全

網(wǎng)絡(luò)安全體系結(jié)構(gòu)是由硬件網(wǎng)絡(luò)、通信軟件以及操作系統(tǒng)組成的，用戶通過使用路由器、交換機(jī)、集線器等網(wǎng)絡(luò)設(shè)備，搭建自己的通信網(wǎng)絡(luò)。網(wǎng)絡(luò)安全通常是指網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件要受到保護(hù)，不能被更改、泄露和破壞，確保整個(gè)網(wǎng)絡(luò)能夠穩(wěn)定運(yùn)行，信息傳送能夠維持完整性。網(wǎng)絡(luò)結(jié)構(gòu)安全涉及網(wǎng)絡(luò)硬件、通信協(xié)議、加密技術(shù)等領(lǐng)域。確保網(wǎng)絡(luò)結(jié)構(gòu)安全要做好以下幾方面的工作。①按保密網(wǎng)、內(nèi)部網(wǎng)和公用網(wǎng)進(jìn)行分類建設(shè)，采用物理上絕對分開、各自獨(dú)立的體系結(jié)構(gòu)，并劃分網(wǎng)絡(luò)信息安全邊界。②對信息進(jìn)行分類，以便匹配保密網(wǎng)、內(nèi)部網(wǎng)和公用網(wǎng)，實(shí)行上網(wǎng)機(jī)器與辦公機(jī)器分離，內(nèi)部信息及涉密信息嚴(yán)禁上網(wǎng)。③建設(shè)專用屏蔽機(jī)房和低信息輻射泄露網(wǎng)絡(luò)，配置網(wǎng)絡(luò)安全防火墻，配備低信息輻射泄露單機(jī)。④對信件及文件按涉密等關(guān)鍵詞組檢索進(jìn)行檢查，防止無意識泄密，起到威懾作用。⑤對各種網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用軟件進(jìn)行安全掃描。⑥保護(hù)知識產(chǎn)權(quán)、內(nèi)部資料、保密信息，攔截黃毒信息。⑦通過源地址和目標(biāo)地址的流量、數(shù)據(jù)包類型等多途徑進(jìn)行網(wǎng)絡(luò)大數(shù)據(jù)分析，發(fā)現(xiàn)網(wǎng)絡(luò)行為的必然聯(lián)系。

5.2確保網(wǎng)絡(luò)物理安全

網(wǎng)絡(luò)物理安全是確保整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提，必須確保人、網(wǎng)絡(luò)設(shè)備、系統(tǒng)軟件、應(yīng)用系統(tǒng)和數(shù)據(jù)處于安全受控的狀態(tài)。確保網(wǎng)絡(luò)物理安全要做好以下工作。①保護(hù)人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊侵害。②考慮布線系統(tǒng)與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離。③考慮布線系統(tǒng)與絕緣線、裸體線以及焊接的安全。④防雷系統(tǒng)建設(shè)。不僅考慮建筑物防雷，還要考慮計(jì)算機(jī)及其他弱電耐壓設(shè)備防雷。⑤使用門禁系統(tǒng)，防止設(shè)備、資源被盜、被毀，防止非授權(quán)人員進(jìn)入機(jī)房。⑥通過電源冗余備用，防止停電、斷電造成網(wǎng)絡(luò)設(shè)備、系統(tǒng)及數(shù)據(jù)受損。⑦雙機(jī)多冗余設(shè)計(jì)是解決軟硬件的常用方法，必要時(shí)可考慮異地建設(shè)。⑧機(jī)房環(huán)境監(jiān)控及報(bào)警系統(tǒng)建設(shè)。通過環(huán)境監(jiān)控以便提供故障分析證明，為事故事件提供查證，通過報(bào)警系統(tǒng)可以提高機(jī)房運(yùn)維的及時(shí)性和安全性。⑨通過防止電磁干擾和線路截獲，提高網(wǎng)絡(luò)的保密性。

5.3確保網(wǎng)絡(luò)設(shè)備安全

確保網(wǎng)絡(luò)設(shè)備安全要做好以下幾方面的工作。①定期更新網(wǎng)絡(luò)設(shè)備補(bǔ)丁，確保設(shè)備無安全隱患。②禁用路由器交換機(jī)Web管理頁面。③所有網(wǎng)絡(luò)設(shè)備全部嚴(yán)格按照安全基線進(jìn)行安全配置。禁用Telnet進(jìn)行遠(yuǎn)程管理；SNMP僅允許相關(guān)網(wǎng)管系統(tǒng)受限讀取配置；嚴(yán)格管控管理員賬號和權(quán)限，關(guān)閉不必要的賬號權(quán)限，口令強(qiáng)度符合安全基線要求；限制可遠(yuǎn)程管理的IP地址。④管控所有網(wǎng)絡(luò)設(shè)備及安全設(shè)備的策略，刪除無用策略，保證安全防護(hù)策略有效運(yùn)行。⑤網(wǎng)絡(luò)設(shè)備及安全設(shè)備配置備份，并確保備份的配置有效和可恢復(fù)。

5.4確保服務(wù)器系統(tǒng)安全

確保服務(wù)器系統(tǒng)安全要做好以下幾方面的工作。①梳理操作系統(tǒng)賬號，清除非必要的管理賬號，清理因人員變動、系統(tǒng)部署測試等原因產(chǎn)生的閑置賬號。②定期檢查口令強(qiáng)度和口令變更情況，禁用弱口令、空口令賬號。③服務(wù)器應(yīng)堅(jiān)持最小化系統(tǒng)安裝原則，只安裝與自身業(yè)務(wù)相關(guān)的操作系統(tǒng)組件及應(yīng)用軟件。④采取白名單原則，嚴(yán)格限制可以遠(yuǎn)程管理服務(wù)器的IP地址。⑤定期檢查更新服務(wù)器操作系統(tǒng)和相關(guān)服務(wù)的補(bǔ)丁，保證版本最新，系統(tǒng)無漏洞。⑥開啟服務(wù)器日志功能，日志應(yīng)在本地記錄同時(shí)轉(zhuǎn)發(fā)至獨(dú)立的日志服務(wù)器。⑦服務(wù)器只開放必需的服務(wù)端口，關(guān)閉不必要的端口和對外服務(wù)，減少暴露面。⑧禁止對互聯(lián)網(wǎng)開放具備遠(yuǎn)程登錄、遠(yuǎn)程控制能力的管理端口和數(shù)據(jù)庫端口，確需訪問時(shí)應(yīng)嚴(yán)格限制訪問的IP地址。⑨每日檢查服務(wù)器入侵痕跡。例如：主動對外的連接請求；非操作系統(tǒng)自帶的后臺服務(wù)；非管理員設(shè)定的計(jì)劃任務(wù)和啟動項(xiàng)；非管理員創(chuàng)建的賬號和組；非管理員創(chuàng)建的目錄或文件。⑩部署防病毒服務(wù)器系統(tǒng)。

5.5確保數(shù)據(jù)庫系統(tǒng)安全

確保數(shù)據(jù)庫系統(tǒng)安全要做好以下幾方面的工作。①定期檢查更新數(shù)據(jù)庫管理系統(tǒng)、中間件、應(yīng)用服務(wù)器的補(bǔ)丁，確保系統(tǒng)安全。②梳理數(shù)據(jù)庫管理系統(tǒng)賬號，清除非必要的管理賬號，清理因系統(tǒng)開發(fā)、測試等原因產(chǎn)生的閑置賬號。③定期檢查口令強(qiáng)度和口令變更情況，禁用弱口令、空口令賬號。④定期檢查數(shù)據(jù)庫備份策略，驗(yàn)證數(shù)據(jù)備份的有效性。⑤定期檢查用戶的數(shù)據(jù)訪問控制權(quán)限。

5.6確保桌面安全

確保桌面安全要做好以下幾方面的工作。①檢查桌面安全終端運(yùn)行情況，按照安全基線要求進(jìn)行安全配置。②安裝已的系統(tǒng)安全補(bǔ)丁。③杜絕所有賬號的弱口令、空口令情況，所有計(jì)算機(jī)終端應(yīng)該每月更改一次口令。④啟用操作系統(tǒng)防火墻，默認(rèn)阻止任何入站訪問請求。⑤禁止使用遠(yuǎn)程協(xié)助類工具，禁止通過任何工具從互聯(lián)網(wǎng)遠(yuǎn)程訪問終端。⑥禁止安裝與工作無關(guān)的應(yīng)用軟件、工具和程序。⑦安裝防病毒軟件。

5.7確保工業(yè)控制安全

確保工業(yè)控制安全要做好以下幾方面的工作。①大型企業(yè)或者組織原則上應(yīng)將工控網(wǎng)、辦公網(wǎng)和個(gè)人網(wǎng)分離，梳理工控網(wǎng)、辦公網(wǎng)和個(gè)人網(wǎng)的系統(tǒng)邊界，設(shè)置三網(wǎng)的連接點(diǎn)，連接點(diǎn)處應(yīng)部署防火墻、網(wǎng)閘等網(wǎng)絡(luò)隔離設(shè)備。②禁止遠(yuǎn)程管理工控網(wǎng)邊界隔離設(shè)備。邊界隔離設(shè)備的防護(hù)策略應(yīng)采用白名單機(jī)制。③定期更新邊界隔離設(shè)備安全補(bǔ)丁至最新版本。④邊界隔離設(shè)備嚴(yán)禁采用默認(rèn)口令、弱口令、空口令。⑤邊界隔離設(shè)備應(yīng)正確開啟日志服務(wù)并配置獨(dú)立的日志服務(wù)器。⑥部署在工控網(wǎng)的各類服務(wù)器、工程師站、操作員站等應(yīng)采用最小化系統(tǒng)安裝原則，只安裝與自身業(yè)務(wù)相關(guān)的操作系統(tǒng)組件及應(yīng)用軟件。⑦加強(qiáng)物理安全控制，禁止非授權(quán)人員進(jìn)入生產(chǎn)區(qū)域，尤其是核心工業(yè)控制系統(tǒng)軟硬件所在區(qū)域。⑧定期驗(yàn)證網(wǎng)絡(luò)設(shè)備、安全設(shè)備配置數(shù)據(jù)及關(guān)鍵業(yè)務(wù)數(shù)據(jù)備份，確保備份數(shù)據(jù)的完整性和可用性。⑨嚴(yán)禁非授權(quán)的移動設(shè)備（筆記本、移動存儲介質(zhì)等）接入工控網(wǎng)，嚴(yán)禁開展遠(yuǎn)程運(yùn)維。

5.8確保用戶行為安全

確保用戶行為安全要做好以下幾方面的工作。①定期更改口令，同時(shí)口令不得低于8位且需要包含數(shù)字、大小寫字母、特殊符號其中的3種。②禁止在終端軟件上自動保存口令，禁止公開本人口令信息，不得猜測竊取他人賬號口令。③計(jì)算機(jī)終端應(yīng)安裝桌面安全管理軟件、防病毒軟件。④使用完終端后，應(yīng)及時(shí)退出登錄，并關(guān)機(jī)或鎖屏。⑤禁止將未經(jīng)授權(quán)的計(jì)算機(jī)設(shè)備接入企業(yè)網(wǎng)絡(luò)。⑥未經(jīng)批準(zhǔn)，禁止在辦公室環(huán)境采用任何方式接入互聯(lián)網(wǎng)或其他外部網(wǎng)絡(luò)。⑦定期掃描查殺病毒，清理系統(tǒng)垃圾。⑧嚴(yán)禁打開來歷不明郵件中的鏈接地址與附件，防止泄漏個(gè)人信息或者終端被木馬、病毒等惡意程序侵?jǐn)_。⑨謹(jǐn)慎訪問.com、.cn、.com.cn、.net、.net.cn、.org、.gov以外的、非常規(guī)域名的及其他可疑網(wǎng)站。⑩重要文件、資料、數(shù)據(jù)進(jìn)行加密處理，并做好備份。嚴(yán)禁復(fù)制、外傳和使用客戶與員工的個(gè)人信息。注意手機(jī)安全，防止個(gè)人信息泄露。

6結(jié)語

在大數(shù)據(jù)時(shí)代，網(wǎng)絡(luò)已經(jīng)演變成大國角逐的主陣地，網(wǎng)絡(luò)安全已經(jīng)滲透到國家、社會、企業(yè)的方方面面，如何做好網(wǎng)絡(luò)信息安全已經(jīng)成為頭等大事。在“4.19”講話中提出要全天候、全方位感知網(wǎng)絡(luò)安全態(tài)勢。只有加強(qiáng)網(wǎng)絡(luò)安全管理體系建設(shè)，提高網(wǎng)絡(luò)安全技術(shù)水平，增強(qiáng)個(gè)人安全意識，遵守網(wǎng)絡(luò)安全行為規(guī)范，才能在新時(shí)代的競爭中贏得主動。

作者：蘇興華 張新華 單位：中國石油川慶鉆探工程有限公司