新时期网络信息安全应对策略

前言：想要写出一篇引人入胜的文章？我们特意为您整理了新时期网络信息安全应对策略范文，希望能给你带来灵感和参考，敬请阅读。

［摘要］在大数据时代，网络已经演变成国家竞争的主战场，网络信息安全的重要性日益凸显。本文首先从“护网2018”实网攻击演习行动引出了网络信息安全话题，接着阐释了网络安全的概念，提出了网络安全的原则和思路，最后从公民网络安全普法意识、网络结构安全、网络物理安全、网络设备安全、服务器系统安全、数据库系统安全、桌面安全、工业控制安全和用户行为安全等方面给出了网络安全策略。

［关键词］网络安全；信息安全；物理安全；桌面安全；安全意识

1研究背景

随着互联网应用的不断深入，信息共享、信息交流的需求不断增加，网络信息服务不断向纵深发展，网络安全问题不断凸显。①计算机系统遭受病毒感染和破坏的情况非常严重，2017年5月12日的勒索病毒就是例证。②电脑黑客活动已形成重要威胁，国家互联网应急中心监测发现：2017年我国约有2万个网站被非法篡改，同比增长20%。③信息基础设施面临严重挑战，英国《简氏战略报告》和其他网络组织对各国信息防护能力进行评估，我国被列入防护能力最低的国家之一。④网络政治颠覆活动频繁，国内外各种势力利用互联网结社组党，针对党和国家的非法组织和串联活动十分猖獗，屡禁不止。网络信息安全问题已经十分严重，在国家、社会及个人层面都存在不同的表现。（1）国家层面。网络安全日益成为国家竞争的主要阵地，一些组织或个人出于某些特殊目的，进行信息泄密、破坏以及意识形态渗透，有的甚至通过网络进行政治颠覆活动，使国家和社会公共利益受到威胁。美军于2009年宣布成立网络空间司令部；2011年首提“主动防御”新概念，目的是“实时检测、发现、分析和阻止威胁与薄弱环节，以便在网络尚未遭到影响之前阻止恶意行为”；2018年提出了更具进攻性的名为“防御前置”的新理念，在网络空间开展竞争与实施威慑。目前，美国已抢占先机，通过遍布全球的地面卫星站、监听站等采集各种数据，并进行快速预处理、解密还原、分析比对、深度挖掘，生成相关情报。（2）社会层面。网络应用日趋全社会化，随着社会重要基础设施的高度信息化，带来的是控制权分散的管理问题，包括政府网站、国防通信设施、动力控制网和金融系统等在内的社会命脉和核心控制系统有可能面临恶意攻击，从而导致毁坏和瘫痪，社会秩序面临极大的风险。资料表明，在各领域的计算机犯罪和网络侵权方面，无论是数量、手段还是性质、规模，都已经达到了令人咋舌的地步。（3）个人层面。当今社会个人就是一个组织，就是一个庞大的系统。手机承载了大量的个人身份信息、教育健康、娱乐消费、银行支付等行为，因而个人的信息安全也面临着巨大的风险。一是信息泄漏，个人信息未经授权被窃取、侵用与传播；二是信息污染，个人信息未经授权被恶意篡改。

2网络安全概述

网络安全是指网络系统的硬件、软件及系统中的数据受到保护，不因偶然或者恶意的原因而遭到破坏、更改、泄露，系统能够连续正常地运行，网络服务不中断。从广义来说，凡是涉及网络信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全研究的范畴。一般情况下，网络安全包含信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”；控制安全则指身份认证、不可否认性、授权和访问控制。

3网络攻击的表现形式

网络攻击的表现形式有主动攻击和被动攻击两种。主动攻击会导致某些数据流篡改和产生虚假数据流，可分为拒绝服务攻击、分布式拒绝服务（DDos）、篡改、伪装和重放5类。被动攻击是由一定的情境线索引起的攻击行为，通常包括窃听、流量分析、破解弱加密的数据流等攻击方式。

3.1拒绝服务

拒绝服务DoS（DenyofService）会导致通讯设备正常使用或管理被无条件中断，通常是对整个网络实施破坏，以达到降低性能、中断服务的目的，也可能有一个特定的目标，例如到某一特定目的地的所有数据包被阻止。

3.2分布式拒绝服务

分布式拒绝服务DDos（DistributedDenialofService）是在传统的Dos攻击基础上产生的一类攻击方式，它使许多分布的主机同时攻击一个目标，从而使目标瘫痪。一个比较完善的DDos攻击体系分为4大部分：黑客、控制傀儡机、攻击傀儡机和受害者。

3.3篡改消息

篡改消息是指一个合法消息的某些部分被改变、删除，消息被延迟或改变顺序，通常用以产生一个未授权的效果，如修改传输消息中的数据，将“允许甲执行操作”改为“允许乙执行操作”。

3.4伪造

伪造指的是某个实体（人或系统）发出含有其他实体身份信息的数据信息，假扮成其他实体，从而以欺骗方式获取一些合法用户的权利。

3.5重放

重放攻击（ReplayAttacks），是指攻击者发送一个目的主机已接收过的包，从而产生一个非授权的效果，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。

3.6流量分析

流量分析攻击方式通常比较难捉摸，敏感信息一般都是保密的，攻击者虽然从截获的消息中无法获得消息的真实内容，但能通过观察这些数据报文，能够分析出通信双方的位置、通信次数及消息长度，从而获知相关的敏感信息。

3.7窃听

窃听是最常用的手段，局域网上的数据传送是基于广播方式进行的，从而一台主机就有可能收到本子网上传送的所有信息。而工作在杂收模式下的计算机网卡就可以将传送的网络信息传送到上层，以供进一步分析，如果没有采取加密措施，通过协议分析可以完全掌握通信的全部内容。窃听还可以用无线截获方式得到信息，通过高灵敏接收装置接收网络站点辐射的电磁波或网络连接设备辐射的电磁波，通过对电磁信号进行分析恢复原数据信号。

4网络信息安全的总体思路

4.1网络信息安全原则

第一，内外部横向联动，纵向支撑，相互支援，资源共享。第二，领导层重视信息安全，目标明确，体系健全。第三，中层信息安全概念清楚，思路清晰，应急预案有效。第四，基层信息安全标准统一，执行得力，防范措施可行。

4.2网络信息安全体系

网络信息安全体系不是依靠几种安全设备的简单堆砌，或者靠一两个技术人员就能够实现，而是要从管理和技术两个维度进行考虑，涉及管理制度、人员素质和意识、操作流程和规范、组织结构的健全性等众多因素。一套完善的信息安全体系需要综合人、技术、产品、管理等因素，从而才能建立一套完备的、高保障的安全运行体系。①人。注重网络安全干系人的信息安全意识和行为规范。②技术。涉及网络信息安全攻防技术。③产品。涉及网络信息安全设备、软件产品。④管理。涉及网络信息安全运行体系。

5加强网络信息安全的策略

5.1确保网络结构安全

网络安全体系结构是由硬件网络、通信软件以及操作系统组成的，用户通过使用路由器、交换机、集线器等网络设备，搭建自己的通信网络。网络安全通常是指网络系统中的硬件、软件要受到保护，不能被更改、泄露和破坏，确保整个网络能够稳定运行，信息传送能够维持完整性。网络结构安全涉及网络硬件、通信协议、加密技术等领域。确保网络结构安全要做好以下几方面的工作。①按保密网、内部网和公用网进行分类建设，采用物理上绝对分开、各自独立的体系结构，并划分网络信息安全边界。②对信息进行分类，以便匹配保密网、内部网和公用网，实行上网机器与办公机器分离，内部信息及涉密信息严禁上网。③建设专用屏蔽机房和低信息辐射泄露网络，配置网络安全防火墙，配备低信息辐射泄露单机。④对信件及文件按涉密等关键词组检索进行检查，防止无意识泄密，起到威慑作用。⑤对各种网络设备、操作系统、应用软件进行安全扫描。⑥保护知识产权、内部资料、保密信息，拦截黄毒信息。⑦通过源地址和目标地址的流量、数据包类型等多途径进行网络大数据分析，发现网络行为的必然联系。

5.2确保网络物理安全

网络物理安全是确保整个网络系统安全的前提，必须确保人、网络设备、系统软件、应用系统和数据处于安全受控的状态。确保网络物理安全要做好以下工作。①保护人和网络设备不受电、火灾和雷击侵害。②考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离。③考虑布线系统与绝缘线、裸体线以及焊接的安全。④防雷系统建设。不仅考虑建筑物防雷，还要考虑计算机及其他弱电耐压设备防雷。⑤使用门禁系统，防止设备、资源被盗、被毁，防止非授权人员进入机房。⑥通过电源冗余备用，防止停电、断电造成网络设备、系统及数据受损。⑦双机多冗余设计是解决软硬件的常用方法，必要时可考虑异地建设。⑧机房环境监控及报警系统建设。通过环境监控以便提供故障分析证明，为事故事件提供查证，通过报警系统可以提高机房运维的及时性和安全性。⑨通过防止电磁干扰和线路截获，提高网络的保密性。

5.3确保网络设备安全

确保网络设备安全要做好以下几方面的工作。①定期更新网络设备补丁，确保设备无安全隐患。②禁用路由器交换机Web管理页面。③所有网络设备全部严格按照安全基线进行安全配置。禁用Telnet进行远程管理；SNMP仅允许相关网管系统受限读取配置；严格管控管理员账号和权限，关闭不必要的账号权限，口令强度符合安全基线要求；限制可远程管理的IP地址。④管控所有网络设备及安全设备的策略，删除无用策略，保证安全防护策略有效运行。⑤网络设备及安全设备配置备份，并确保备份的配置有效和可恢复。

5.4确保服务器系统安全

确保服务器系统安全要做好以下几方面的工作。①梳理操作系统账号，清除非必要的管理账号，清理因人员变动、系统部署测试等原因产生的闲置账号。②定期检查口令强度和口令变更情况，禁用弱口令、空口令账号。③服务器应坚持最小化系统安装原则，只安装与自身业务相关的操作系统组件及应用软件。④采取白名单原则，严格限制可以远程管理服务器的IP地址。⑤定期检查更新服务器操作系统和相关服务的补丁，保证版本最新，系统无漏洞。⑥开启服务器日志功能，日志应在本地记录同时转发至独立的日志服务器。⑦服务器只开放必需的服务端口，关闭不必要的端口和对外服务，减少暴露面。⑧禁止对互联网开放具备远程登录、远程控制能力的管理端口和数据库端口，确需访问时应严格限制访问的IP地址。⑨每日检查服务器入侵痕迹。例如：主动对外的连接请求；非操作系统自带的后台服务；非管理员设定的计划任务和启动项；非管理员创建的账号和组；非管理员创建的目录或文件。⑩部署防病毒服务器系统。

5.5确保数据库系统安全

确保数据库系统安全要做好以下几方面的工作。①定期检查更新数据库管理系统、中间件、应用服务器的补丁，确保系统安全。②梳理数据库管理系统账号，清除非必要的管理账号，清理因系统开发、测试等原因产生的闲置账号。③定期检查口令强度和口令变更情况，禁用弱口令、空口令账号。④定期检查数据库备份策略，验证数据备份的有效性。⑤定期检查用户的数据访问控制权限。

5.6确保桌面安全

确保桌面安全要做好以下几方面的工作。①检查桌面安全终端运行情况，按照安全基线要求进行安全配置。②安装已的系统安全补丁。③杜绝所有账号的弱口令、空口令情况，所有计算机终端应该每月更改一次口令。④启用操作系统防火墙，默认阻止任何入站访问请求。⑤禁止使用远程协助类工具，禁止通过任何工具从互联网远程访问终端。⑥禁止安装与工作无关的应用软件、工具和程序。⑦安装防病毒软件。

5.7确保工业控制安全

确保工业控制安全要做好以下几方面的工作。①大型企业或者组织原则上应将工控网、办公网和个人网分离，梳理工控网、办公网和个人网的系统边界，设置三网的连接点，连接点处应部署防火墙、网闸等网络隔离设备。②禁止远程管理工控网边界隔离设备。边界隔离设备的防护策略应采用白名单机制。③定期更新边界隔离设备安全补丁至最新版本。④边界隔离设备严禁采用默认口令、弱口令、空口令。⑤边界隔离设备应正确开启日志服务并配置独立的日志服务器。⑥部署在工控网的各类服务器、工程师站、操作员站等应采用最小化系统安装原则，只安装与自身业务相关的操作系统组件及应用软件。⑦加强物理安全控制，禁止非授权人员进入生产区域，尤其是核心工业控制系统软硬件所在区域。⑧定期验证网络设备、安全设备配置数据及关键业务数据备份，确保备份数据的完整性和可用性。⑨严禁非授权的移动设备（笔记本、移动存储介质等）接入工控网，严禁开展远程运维。

5.8确保用户行为安全

确保用户行为安全要做好以下几方面的工作。①定期更改口令，同时口令不得低于8位且需要包含数字、大小写字母、特殊符号其中的3种。②禁止在终端软件上自动保存口令，禁止公开本人口令信息，不得猜测窃取他人账号口令。③计算机终端应安装桌面安全管理软件、防病毒软件。④使用完终端后，应及时退出登录，并关机或锁屏。⑤禁止将未经授权的计算机设备接入企业网络。⑥未经批准，禁止在办公室环境采用任何方式接入互联网或其他外部网络。⑦定期扫描查杀病毒，清理系统垃圾。⑧严禁打开来历不明邮件中的链接地址与附件，防止泄漏个人信息或者终端被木马、病毒等恶意程序侵扰。⑨谨慎访问.com、.cn、.com.cn、.net、.net.cn、.org、.gov以外的、非常规域名的及其他可疑网站。⑩重要文件、资料、数据进行加密处理，并做好备份。严禁复制、外传和使用客户与员工的个人信息。注意手机安全，防止个人信息泄露。

6结语

在大数据时代，网络已经演变成大国角逐的主阵地，网络安全已经渗透到国家、社会、企业的方方面面，如何做好网络信息安全已经成为头等大事。在“4.19”讲话中提出要全天候、全方位感知网络安全态势。只有加强网络安全管理体系建设，提高网络安全技术水平，增强个人安全意识，遵守网络安全行为规范，才能在新时代的竞争中赢得主动。

作者：苏兴华 张新华 单位：中国石油川庆钻探工程有限公司