网络信息安全及防范探究

摘要：随着全球信息化步伐的加快和信息产业的飞速进步与发展，在享受便利的同时，也面临着众多和巨大的风险。本文着重介绍了信息系统所面临的技术安全隐患，并针对安全与防范提出了行之有效的解决方案。

关键词：信息系统；安全隐患；信息安全；防范措施；安全检测

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2017）10-0210-02

1 引言

目前，网络信息安全的地位空前提高，大家都充分认识了信息技术安全工作的重要性。从国际格局看，全球化进入深度调整期，互联网成为世界主要大国的国家战略重点和优先发展方向。从技术和产业革命看，信息革命持续演进，信息技术已经成为全球技术创新竞争的新高地。加强网络信处安全工作已迫在眉睫，信息化进程大大加快，但网络安全工作的步伐相对滞后。网络安全事件一旦发生，传播之快，影响之大也是少有的，已成为信息化发展的“瓶颈”问题，必须引起高度重视。

2 网络信息安全现状及发展趋势

2017年6月1日，《中华人民共和国网络安全法》正式实施，将网络安全的重要性以立法的形式予以明确，对落实各项网络安全工作提出了更高的要求。如何保障各个信息系统安全稳定运行和大量基础数据的安全，是一项非常重要的工作，也是一项涉及国家政策落实和广大人民群众切身利益的重要工作。

2017年5月，名为“永恒之蓝”的勒索病毒席卷全球。据监测，我国至少有29372个机构遭到这一蠕虫病毒攻击，保守估计超过30万台终端和服务器受到感染，覆盖了全国几乎所有地区。

“永恒之蓝”事件是继“冲击波”病毒发生以来非常严重网络安全攻击事件。傳播速度之快，后果之严重，防范之难，均为历史罕见。鉴于此次事件所显示的网络武器民用化、民间攻击武器化趋势，以后类似的网络攻击很可能会常态化。

信息系统受到的主要威胁有：敏感数据泄露篡改、合法权限滥用、帐号复用盗用、SQL注入、非法拖库、非法运维、非法扫描探测、网络系统攻击、数据库漏洞、木马非法外连、0day/nday漏洞等等。

数据泄漏和篡改的主要原因有：未充分认识、未整体规划，多工种各自为战不能协同、缺乏有效内控合规防护措施，缺乏全局追溯取证能力。

从数据泄漏人员角度分析，监管单位或合作伙伴占比5%，内部人员泄漏占55%，黑客盗取占40%。

3 网络信息安全的防范

3.1 建立网络信息安全管理制度

（1）建立网络信息安全组织架构。在管理策略上，建立网络信息安全组织架构，建立信息安全规章制度和应急预案，落实安全责任制。在技术策略上，建立技术人员使用标准文档、指南文档和工作流程。在用户策略上，建立用户操作手册和指导文档，进行安全意识培训。

（2）加强网络安全体系架构建设。梳理网络安全体系架构的整体布局，将对外提供服务的信息系统和服务器进行统一部署和统一防护，建立全面完备的网络架构。

（3）完善信息网络安全防护平台和监管平台建设。按照不同安全等级要求，采用分区域分层的安全防护建设原则，完善信息网络安全防护平台的建设。建设冗余网络设施、实现服务器容灾备份，增强安全防护能力建设。建设安全监管平台，实现对信息系统和网络中发生的异常安全事件进行统一安全监控。

（4）落实信息系统安全等级保护工作。按照有关文件要求，严格落实信息系统安全等级保护工作。网络和信息系统全部进行定级备案，逐步完成等级保护测评工作。

（5）建设主动安全巡检机制。对重要信息系统要进行定期安全检测，对安全隐患早发现早处置。

3.2 完善网络信息安全技术手段

3.2.1 web防火墙

Web防火墙可以通过对http请求的检测分析，为Web应用提供实时防护的安全产品。Web防火墙（WAF）是Web Application Firewall的缩写，能够有效防黑客利用应用程序漏洞入侵渗透。

Web防火墙（WAF）的主要功能：可拦截常见的web漏洞攻击，例如SQL注入攻击 、XSS跨站攻击、获取敏感信息、利用开源组件漏洞的攻击等常见的攻击行为。

Web防火墙（WAF）可提供0Day/NDay漏洞防护。当发现有未公开的0Day漏洞，或者刚公开但未修复的NDay漏洞被利用时，Web防火墙（WAF）可以在发现漏洞到用户修复漏洞这段空档期对漏洞增加虚拟补丁，抵挡黑客的攻击，防护网站安全。

3.2.2 防篡改

防篡改技术能够对信息系统的页面进行防篡改保护，被篡改后能够自动恢复。保护信息系统内容安全，防止文件被恶意篡改，保障发布信息的正确性、完整性、权威性。

网页防篡改系统由三个相互独立的子系统构成，分别是监控端（Monitor）、发布端（Publisher）和管理平台（Manager）。

监控端（Monitor）部署安装在服务器上，用于监控网站文件是否被篡改，该监控程序会阻止对所保护文件的任意篡改行为。当有恶意行为发生时，及时向管理平台上报告警事件。

发布端（Publisher）部署安装在发布服务器上，当发布端内容更新维护时，依据发布策略，向指定的服务器进行自动的文件同步和更新；

管理平台（Manager）是可通过浏览器访问的web应用，为用户提供方便、快捷的操作界面，主要功能用于管理信息系统和服务器、向服务器下发策略、展示告警件。

3.3 流量清洗

拒绝服务攻击（DoS， Denial of Service）是指利用各种服务请求耗尽被攻击网络的系统资源，从而使被攻击网络无法处理合法用户的请求。而随着僵尸网络的兴起，同时由于攻击方法简单、影响较大、难以追查等特点，又使得分布式拒绝服务攻击（DDoS，Distributed Denial of Service）得到快速壮大和日益泛滥。成千上万主机组成的僵尸网络为DDoS攻击提供了所需的带宽和主机，形成了规模巨大的攻击和网络流量，对被攻击网络造成了极大的危害。

通常情况下，网络中的数据包利用TCP/IP协议传输，信息系统接受到的这些数据包遵循正常的协议规范，是无害的，但是如果出现过多的异常数据包，就会造成信息系统使用的网络设备或者服务器负担过重；或者有些数据包利用了某些协议的天然缺陷，人为的将不完整或畸形的数据包传送给信息系统，就会造成网络设备或服务器无法正常处理业务，迅速消耗了系统资源，造成拒绝服务，这就是DDoS的工作原理。DDoS攻击之所以难以防范，就在于攻击流和正常流混合在一起，很难有效地分辨出攻击流。

4 结语

综上所述，网络信息安全防范不仅是一项复杂而又繁琐的任务，同时还具有很重要的现实意义，必须要引起有关部门的高度重视。在实际工作中要严格按照相关标准进行规范性的操作，建立完善的安全管理制度和具体的防范技术，以此来保障网络信息系统的安全运行。

参考文献

[1]王新峰.计算机网络安全防范技术初探[J].网络安全技术与应用，2011：72.

[2]谭瑛.计算机网络的安全威胁及其防御机制研究.电脑知识与技术，2009：35.

[3]STEVENS WRichard，TCP/IP详解[M].机械工业出版社，2000：80.

[4]Douglas Jacobson，网络安全基础——网络攻防、协议与安全.电子工业出版社出版，2016：135.

[5]Saadat Malik，网络安全原理与实践.人民邮电出版社出版时间，2013：98.

推荐访问:信息安全 探究 防范 网络