基層事業單位網絡安全技術防護探討

前言：尋找寫作靈感？中文期刊網用心挑選的基層事業單位網絡安全技術防護探討，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：在網絡信息化浪潮的不斷推動下，網絡規模迅速擴大，各個行業都主動融入其中，由此涌現出的互聯網經濟，不僅促進了企業的發展，而且給人們的生活帶來了翻天覆地的變化。但隨之而來的網絡信息安全問題也日益突出。由于網絡先天的脆弱性，導致黑客攻擊、病毒泛濫等方面的問題層出不窮，給網絡安全造成了威脅，甚至可能會造成的一定的危害。因此，在享受網絡帶來的便利的同時，我們也應該對網絡的安全問題保持高度警覺。本文闡述了基層事業單位所面臨的網絡安全問題以及相應的安全防護措施，涉及技術防范和安全管理，力圖避免一些潛在的網絡安全隱患發生，進一步提高基層事業單位計算機網絡的安全性和可靠性。

關鍵詞：基層事業單位；網絡安全；安全防護

在信息技術飛速發展的今天，互聯網絡異軍突起，以其易用、高效的便利性，輕松地融入了人們的工作和生活中。在享受科技帶來樂趣的同時，也面臨著來自網絡層出不窮的各種威脅,信息安全不斷受到挑戰，特別是基礎網絡安全防護能力薄弱，導致安全危機。網絡互聯在基層事業單位已經完全普及，很多基層單位除了和上級單位連接的內部業務網絡，還有根據自身業務接入互聯網的獨立局域網?；鶎邮聵I單位的網絡安全主要是解決自建網絡的安全問題，網絡規模不大，設備不多，但是種類與大型網絡基本相同。隨著互聯網規模的膨脹，網絡安全問題逐漸顯現，而且越來越復雜，如果安全防護不到位，很容易受到病毒、木馬等程序以及黑客的侵害，不僅會對本單位網絡，甚至可能連同上級單位的網絡一起會造成損害。因此，基層單位的網絡必須要采用行之有效的技術手段和管理辦法防范各種威脅網絡安全的事件，盡量避免安全危害發生。

1.網絡安全概述

1.1網絡安全的定義

國際標準化組織ISO74982文獻中對安全的定義是：安全就是最大限度地減少數據和資源被攻擊的可能性?！吨腥A人民共和國計算機信息系統安全保護條例》第三條，規范了包括計算機網絡系統在內的計算機信息系統安全的概念：計算機信息系統的安全保護，應當保障計算機及其相關的和配套的設備、設施（含網絡）的安全，運行環境的安全，保障信息的安全，保障計算機功能的正常發揮，以維護計算機信息系統的安全運行。

1.2網絡安全的基本要素

從本質上講，網絡安全是指網絡系統的硬件、軟件和系統中的數據受到保護，不因偶然的或者惡意的攻擊而遭到破壞、更改、泄露，系統能連續可靠地正常地運行，網絡服務不中斷。廣義上講，凡是涉及網絡上信息的保密性、完整性、可用性、可控性和不可否認性的相關技術和理論都是網絡安全所要研究的領域，即網絡安全的五個要素。（1）保密性（Configentiality）：主要是指保證非授權的用戶不能訪問，信息不暴露給未授權的實體或進程。（2）完整性（Integrity）：主要是指信息只有獲得許可的用戶才能修改實體或進程。（3）可用性（Availability）：主要是指只有授權用戶可以隨時訪問信息，有訪問控制機制阻止非授權用戶進入。（4）可控性（Contrallability）：主要是指有授權機制、可對信息傳播行為、內容和范圍進行控制。（5）不可否認性（Non-Repudiation）：主要是指出現的安全問題能提供監控、審計等手段，具備可追溯性。網絡的安全與開放是矛盾關系，系統不提供任何服務，不會產生安全威脅，一旦提供服務，在開放的網絡環境下，各種安全問題必然隨之而來。

2.基層事業網絡安全面臨的問題

2.1網絡協議自身的缺陷

網絡通信協議是互聯網絡傳輸的基礎，協議設計之初，并沒有考慮到現在網絡的復雜情況，從而導致這些協議存在著不同的原生缺陷。TCP/IP是Internet的基本協議，網絡上針對它的缺陷有很多攻擊方法。物理層的侵害主要是對網絡硬件和基礎設施進行物理破壞。例如，施工將電力線路破壞引起單位斷電，或者出口線路被挖斷，均可導致無法訪問互聯網絡。ARP（地址解析協議）和RARP（反地址解析協議）是TCP/IP數據鏈路層上的兩個重要協議，ARP欺騙和偽裝是發生在這里的常見攻擊手段。網絡層包括ICMP、IP和IGMP協議，它們常常引發大多數ICMP路由欺騙、Smuff攻擊和IP碎片攻擊等著名的網絡攻擊方式。傳輸層是被攻擊的重災區，由于TCP連接占用資源大、釋放慢和UDP無連接、不可靠等自身缺陷導致的攻擊情況非常多，最常見的有會話劫持、中間人攻擊、SYNFLOOD攻擊以及TCP序列號欺騙和攻擊等。在應用層上，應用協議眾多，如DNS、FTP、SMTP等，主要攻擊是DNS欺騙。此外，由于一些軟件如數據庫、自行開發的應用等軟件在運行中出現漏洞，同樣會引起黑客攻擊。

2.2惡意代碼的危害

由于網絡的開放、互聯特性，網絡上的用戶可以自由來往于各個站點，各種信息系統互聯互通，用戶身份和位置難以識別，同時，由于網絡協議和部分軟件存在技術漏洞，這些都為惡意代碼的傳播和擴散提供了便利。常見的惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等危害就是利用了TCP/IP協議的缺陷。越來越多的惡性攻擊事件說明目前網絡安全形勢嚴峻，不法分子的技術手段也時常更新換代，網絡的安全漏洞需要被網絡管理員們時刻關注，網絡安全的防范措施也要與時俱進能夠應付不同的威脅，確保網絡信息安全、可控。

2.3人為因素

很多計算機用戶網絡安全意識差，加之使用不當，容易被敲詐、勒索等風險通過不安全網址或電子郵件植入木馬后門，這些人為因素也會導致安全問題發生。

3.網絡安全防范措施

3.1技術防范

3.1.1物理安全

物理安全是保護計算機網絡設備、設施及其他媒體免遭地震、水災、火災等環境事故，以及人為操作失誤或者各種針對網絡或計算機的破壞行為。保證計算機信息系統各種設備的物理安全，是整個計算機信息系統安全的前提。物理攻擊分為偶然的和故意的，故意攻擊是很明顯的，網絡的物理線纜或是設備、配套設施等被破壞，無法再提供網絡服務；偶然事故和故意攻擊本質不一樣，但是結果是相同的，也會對網絡或者某個設備造成破壞。偶然事故可以不歸結于攻擊。物理環境安全主要是指對系統、設備所在的機房安全保護。保護措施和過程應按照國家有關設計標準實施，包括消防報警、安全照明、不間斷供電、溫濕度控制系統和防盜報警，應符合國家對不同等級機房的設計規范。

3.1.2網絡邊界安全

網絡安全主要包括網絡運行和網絡訪問控制的安全。在內部網絡與外部網絡之間設置防火墻，實現對外部網絡的隔離和訪問控制，是保護內部網絡安全的最主要措施，同時也是最優先、最經濟的措施之一。防火墻從實現原理上分為過濾防火墻、應用級網關防火墻、防火墻和規則檢查防火墻，它們的部署位置完全取決于單位的訪問要求和安全要求?？陀^地說，防火墻并不是解決網絡安全問題的萬能藥方，而只是網絡安全和策略中的一個組成部分，防火墻自身還有很多局限，例如，不能阻止利用協議缺陷的攻擊、不能解決來自內部網絡的攻擊和安全問題等。所以，僅靠在互聯網入口處設置防火墻是不能保護整個內部網絡安全的，還應該配備IPS（入侵防御系統）這樣專門的安全設備來彌補防火墻的不足。IPS位于防火墻和網絡設備之間，可以配置深層次的防御安全策略，監視網絡中的傳輸情況，通過對數據包的檢測，及時調整或阻斷一些不正常的傳輸，這是防火墻所無法做到的。IPS作為必要的網絡安全附加設備，已經為大多數單位網絡安全架構的標配。

3.1.3終端安全一體化安全防范

在當前的互聯網環境下，一般基層事業單位已經建立了一個完整的網絡平臺，具備一定的網絡規模，計算機終端數量較多。各種木馬病毒、0day漏洞，以及類似APT攻擊等新型的攻擊手段也越來越多，傳統的防病毒技術以及管理手段已經無法滿足現階段網絡安全的需要。目前，建立一體化終端安全和統一管理的網絡威脅防護體系是一個單位整體防范網絡安全威脅的首選。國內絕大多數從事網絡安全的公司都有面向企事業用戶的網絡安全管理系統，依托其各自的云安全系統，可提供整個網絡終端安全狀況評估，全面查殺、檢測已知、未知病毒與惡意代碼，通過云安全，實時更新安全補丁，調整威脅防護策略。通過對網絡文件的安全審計和追蹤，及時發現和定位未知威脅，可對終端漏洞修復、自動推送補丁，使網絡終端的安全風險處于可管理、可控制狀態。同時，還能將網絡終端的整體安全狀況和風險情況以數字化方式展現出來，幫助網絡安全管理人員及時、準確、清晰地了解終端所處的風險狀況，以便于快速解決問題。

3.2管理措施

在網絡安全領域的多年研究實踐中，人們逐漸認識到管理在網絡安全中的重要性，“三分技術，七分管理”的理念已經深入人心。網絡安全同樣遵循“木桶原理”，即一個木桶的容積取決于最短的那塊木板，一個系統的安全強度等于最薄弱環節的安全強度。無論采用了多么先進的技術設備，還需要有以人為目標的管理手段來支持，只要安全管理上有漏洞，那么這個系統的安全一樣沒有保障。

3.2.1定期檢測網絡狀況

網絡的狀態是不斷變化的，網絡中的計算機所面臨的威脅也隨著網絡環境在不斷變化。網絡管理員的崗位職責、日常工作要建章立制，包括定期檢查聯網計算機病毒代碼更新情況，確保其處于最新版本，開啟終端防護程序防關閉和防卸載功能，要經常通過一體化終端管理系統檢查網絡內終端安全狀況，主動推送對網內終端的安全檢測命令，使其在開機狀態下自動修補安全漏洞。對于單位的內部計算機網絡，更應嚴格控制輸入輸出，必要時應使用身份加密訪問技術，通過對來訪者身份的認證，確認是否有權限進行訪問，這也是維護網絡安全的一種有效方式。此外，網絡管理員要時常運用網絡安全監測工具如惡意軟件分析包、網絡流量分析工具、端口掃描工具和漏洞檢測框架等網絡安全性評估分析軟件或硬件，檢測系統的漏洞或潛在的威脅，發現隱患及時修補，以達到增強網絡安全性的目的。

3.2.2加強內部管理，強化安全意識

基層事業單位雖然人員相對固定和單一，但這并不意味著計算機在內部網絡中使用就是安全的，網絡安全威脅有的來自外部，有的則是來自單位內部?；鶎訂挝粵]有專職的網絡安全管理人員，防范力量較薄弱，首先要加強網絡管理員的技術培訓工作，有效補充新的網絡安全管理知識，提高網絡安全防范技術水平。此外，單位內部每年應不定期開展網絡安全自查工作，對于一些網絡使用中存在的安全隱患進行總結，利用身邊的案例開展多種形式的網絡安全宣講、教育活動。特別是要提高職工的安全意識，克制好奇心，不點擊來路不明的郵件和鏈接，從而避免被植入木馬、敲詐勒索以及詐騙等網絡安全事件的發生。培養職工使用移動存儲先殺毒的良好習慣，鼓勵個人使用正版軟件，盜版軟件本身就存在一定的安全威脅。同時，還需要完善一些監督機制，確保這些制度能夠落到實處；否則，同樣無法保障網絡安全。

4.結語

網絡安全防范是一個動態的過程，影響安全的因素都是動態變化的，防范也必然要通過一個動態的過程來實現?？煽康木W絡安全保障體系不僅具備對外部攻擊進行有效防范的能力，還包括完善的內部安全管理制度，不應僅僅局限于對某種安全隱患的防范，還要具備應對各種網絡安全隱患的整體解決能力，應當能夠隨著網絡安全需求的變化而不斷改進和完善。這就要求基層事業單位的網絡管理員在日常工作中要加強對網絡的全面監測，仔細觀察和分析影響網絡安全的相關因素，強化單位內部計算機的安全使用管理，最大程度地消除可能存在的安全隱患，確保基層事業單位的計算機網絡安全平穩、可靠地有序運行。

參考文獻

[1]石淑華，池瑞楠.計算機網絡安全技術（第4版）[M].人民郵電出版社，2016：5-6.

[2]（美）DouglasJacobson著，仰禮友，趙紅宇，譯.網絡安全基礎-網絡攻防、協議與安全[M].電子工業出版社，2016：262-270.

[3]陳曉樺，武傳坤.網絡安全技術：網絡空間健康發展的保障[M].人民郵電出版社，2017：27-28.

作者:張智偉