專線網(wǎng)絡(luò)的信息安全保障系統(tǒng)探究

專線網(wǎng)絡(luò)的信息安全保障系統(tǒng)探究摘要：專線網(wǎng)絡(luò)的出現(xiàn)，是為了專線網(wǎng)絡(luò)用戶數(shù)據(jù)信息在傳輸時(shí)更為安全，價(jià)格相對(duì)昂貴的專線網(wǎng)絡(luò)是如何提高數(shù)據(jù)信息傳輸?shù)陌踩阅?，本文從專線網(wǎng)絡(luò)的社會(huì)需求、系統(tǒng)構(gòu)建的必要、構(gòu)建理念等方面闡述了如何建立專線網(wǎng)絡(luò)的信息安全保障系統(tǒng)。關(guān)鍵詞：專線網(wǎng)絡(luò)信息安全保障系統(tǒng)構(gòu)建專線網(wǎng)絡(luò)往往用來傳輸企、事業(yè)單位之間比較重要或機(jī)密性較高的數(shù)據(jù)信息，專線網(wǎng)絡(luò)相對(duì)于開放式的信道雖然能夠很好的提高用戶信息傳輸時(shí)的安全性，但由于其自身不可避免的缺陷和來自于網(wǎng)絡(luò)各方面威脅的不確定性，使得專線網(wǎng)絡(luò)的信息安全保障III問題被日益重視。1、專線網(wǎng)絡(luò)的普遍需求歸納隨著各行業(yè)的信息化、網(wǎng)絡(luò)化發(fā)展，企業(yè)、事業(yè)單位信息量和信息傳輸需求的不斷增加，傳輸速度快、安全性高的專線網(wǎng)絡(luò)被越來越多的用戶所需要，并普遍應(yīng)用于社會(huì)的各個(gè)方面，其中甚至包括政府部門，這就要求專線網(wǎng)絡(luò)首先要做到的就是安全性，要求信息在傳輸過程中的完整性，并不被竊取；能持續(xù)提供穩(wěn)定的、不間斷的、大容量的傳輸服務(wù)，接入點(diǎn)的分布范圍廣能在全國范圍內(nèi)便捷、快速的接入，并能隨著業(yè)務(wù)需求量的不斷增加同步的進(jìn)行擴(kuò)展。2、專線網(wǎng)絡(luò)信息安全保障系統(tǒng)建立的必要性專線網(wǎng)絡(luò)的安全涉及到用戶信息能否被有效地利用，數(shù)據(jù)信息的丟失危害性小的可能造成諸如企業(yè)或?qū)W校等單位的管理混亂，危害性大時(shí)甚至可能威脅到國家安全、一個(gè)企業(yè)的生存與否，所以構(gòu)建一個(gè)有安全保障系統(tǒng)的專線網(wǎng)絡(luò)是非常有必要的，國家相關(guān)文件也指出“要注意專線網(wǎng)絡(luò)安全保障系統(tǒng)中最薄弱的地方，盡量充分地認(rèn)識(shí)到各種潛在的威脅，根據(jù)信息的重要性、涉密性等級(jí)，建立相應(yīng)等級(jí)的安全措施和管理?！睂＞€網(wǎng)絡(luò)的信息安全保障系統(tǒng)的建設(shè)是一個(gè)整體，需要在充分進(jìn)行了風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，綜合地進(jìn)行考量和建設(shè)，不但要在軟、硬件安全措施方面進(jìn)行設(shè)置，還要相應(yīng)的提高管理人員的危機(jī)意識(shí)，充分認(rèn)識(shí)到信息安全的重要性，和一旦信息丟失所造成的嚴(yán)重后果，才能使得在安全設(shè)施方面的投入被充分的利用，并發(fā)揮應(yīng)有的作用。3、專線網(wǎng)絡(luò)信息安全面臨的問題隨著專線網(wǎng)絡(luò)的安全問題被日益重視，各種安全保障技術(shù)也在不斷地提高，如防火墻技術(shù)、軟件加密和硬件設(shè)備加密等等，盡管些技術(shù)在一定程度上解決了專線網(wǎng)絡(luò)的一部分安全問題，但是專線網(wǎng)絡(luò)的安全保障方面仍存在著一定的問題：雖然現(xiàn)在大多數(shù)的專線網(wǎng)絡(luò)都采用了入侵檢測(cè)和病毒掃描技術(shù)，但是由于目前入侵檢測(cè)技術(shù)的發(fā)展程度尚不成熟，無法及時(shí)高效的對(duì)入侵者采取防范措施，所以沒有被廣泛的應(yīng)用；在病毒掃描方面，存在著病毒數(shù)據(jù)庫更新不夠及時(shí)，掃描手段落后，對(duì)潛在的網(wǎng)絡(luò)病毒和木馬威脅的預(yù)知幾乎為零等問題。在有些企業(yè)內(nèi)部的網(wǎng)絡(luò)中安裝有安全芯片，但是目前的安全芯片無法做到高度的智能化，對(duì)人為操作的要求相對(duì)較高，很難做到高度統(tǒng)一。4、專線網(wǎng)絡(luò)信息安全系統(tǒng)構(gòu)建的原則專線網(wǎng)絡(luò)信息安全系統(tǒng)構(gòu)建的設(shè)計(jì)理念由于各專線網(wǎng)絡(luò)的安全級(jí)別要求不同，所以每個(gè)專線網(wǎng)絡(luò)可以根據(jù)自己的安全等級(jí)翻需要，并根據(jù)自身企業(yè)或單位的資金等具體情況，來進(jìn)行安全保障系統(tǒng)方面的建設(shè)。所選擇安全保障系統(tǒng)要有較好的智能性，便于使用中的操作和日常維護(hù)；另外，要在進(jìn)行防御時(shí)改被動(dòng)為主動(dòng)，采用取“動(dòng)靜結(jié)合”的安全手段。安全保障系統(tǒng)還要具有良好的性價(jià)比，最好為一次性的投資，減少日后的附加費(fèi)用，并有良好的擴(kuò)展性。專線網(wǎng)絡(luò)信息安全系統(tǒng)構(gòu)建的設(shè)計(jì)原則專線網(wǎng)絡(luò)采用的安全保障技術(shù)在設(shè)計(jì)時(shí)要遵循以下原則：首先要適合操作人員的能力，不要采用過于復(fù)雜的措施，人員操作水平達(dá)不到安全措施的要求時(shí)，就相當(dāng)于削弱了安全保障性能；安全技術(shù)的設(shè)計(jì)也要根據(jù)系統(tǒng)的具體性能來選擇，過于繁復(fù)的運(yùn)算，會(huì)大大降低系統(tǒng)的運(yùn)行和響應(yīng)速度；在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上針對(duì)單位的具體情況，設(shè)計(jì)適合的專線網(wǎng)絡(luò)安全保障系統(tǒng)，設(shè)計(jì)的安全級(jí)別愈高，相應(yīng)的投資數(shù)額就會(huì)愈多，要在考慮系統(tǒng)安全性的同時(shí)考慮用戶的投資承受能力。一個(gè)可靠的信息安全保障系統(tǒng)要有良好的整體性，綜合運(yùn)用專業(yè)的措施和人為管理制度，如嚴(yán)謹(jǐn)?shù)牟僮髁鞒?、日常維護(hù)制度等等。5、專線網(wǎng)絡(luò)信息安全系統(tǒng)的具體構(gòu)建5.1構(gòu)建完善的病毒防御系統(tǒng)隨著網(wǎng)絡(luò)病毒的發(fā)展和變化，其多樣化的傳播方式、隱蔽化的感染方式，使得專線網(wǎng)絡(luò)一旦被病毒感染，很難被清除干凈。首先存在著人為因素，大多數(shù)的終端用戶對(duì)預(yù)防、清除病毒沒有重視，一旦某終端或局部網(wǎng)絡(luò)感染病毒，在缺乏管理的狀態(tài)下將會(huì)迅速傳播到整個(gè)專線網(wǎng)絡(luò)。一個(gè)較大的專線網(wǎng)絡(luò)中存在著眾多的終端用戶，很難做到統(tǒng)一升級(jí)病毒數(shù)據(jù)庫，并在同一時(shí)間內(nèi)同時(shí)進(jìn)行殺毒。而且現(xiàn)在的網(wǎng)絡(luò)病毒利用高科技的手段進(jìn)行系統(tǒng)嵌入，一旦嵌入清除的可能性就很小。針對(duì)上述問題，建議在專線網(wǎng)絡(luò)內(nèi)部建立一個(gè)兩級(jí)的既能集中管理又能進(jìn)行分級(jí)管理的網(wǎng)絡(luò)病毒防御、監(jiān)控體系。二級(jí)系統(tǒng)內(nèi)的服務(wù)器等網(wǎng)絡(luò)設(shè)備、所有終端都可以實(shí)現(xiàn)自我管理，并將二級(jí)系統(tǒng)內(nèi)的病毒信息集中匯總后，報(bào)往上一級(jí)的管理系統(tǒng)。在專線網(wǎng)絡(luò)內(nèi)部建立病毒防御管理區(qū)，分別針對(duì)內(nèi)網(wǎng)、專網(wǎng)和外網(wǎng)（即互聯(lián)網(wǎng)）病毒防御服務(wù)器。構(gòu)建系統(tǒng)漏洞掃描系統(tǒng)專線網(wǎng)絡(luò)用戶往往會(huì)應(yīng)用各種軟件，這其中包括安全保障方面的軟件或產(chǎn)品，這些產(chǎn)品在設(shè)計(jì)時(shí)和應(yīng)用時(shí)都存在著漏洞，這些漏洞就會(huì)被病毒和木馬程序所利用，直接對(duì)專線網(wǎng)絡(luò)進(jìn)行攻擊。應(yīng)根據(jù)專線網(wǎng)絡(luò)的實(shí)際情況，盡量的通過漏洞掃描系統(tǒng)發(fā)現(xiàn)漏洞，并及時(shí)補(bǔ)救。目前即使是效果最好的入侵檢測(cè)系統(tǒng)，往往也存在著不能及時(shí)更新、經(jīng)常檢測(cè)到一些沒有意義的所謂隱患，在數(shù)據(jù)流量較大時(shí)，還存在誤報(bào)和漏報(bào)，在黑客利用大量的偽造的數(shù)據(jù)包俺蓋其真正的目的攻擊意圖時(shí)，就可能造成系統(tǒng)的癱瘓。構(gòu)建結(jié)合預(yù)防和主動(dòng)還擊措施的漏洞檢測(cè)系統(tǒng)，在系統(tǒng)漏洞被黑客利用前，先利用已掌握的黑客軟件，攻擊自己的專線網(wǎng)絡(luò)，以檢測(cè)漏洞檢測(cè)系統(tǒng)對(duì)漏洞的檢測(cè)能力及對(duì)漏洞的定位是否準(zhǔn)確；在受到攻擊時(shí)，采取主動(dòng)還擊的方式，對(duì)攻擊來源進(jìn)行攻擊，使其不再具備攻擊的能力。構(gòu)建入侵檢測(cè)系統(tǒng)專線網(wǎng)絡(luò)因其所傳輸?shù)男畔⒌臋C(jī)密性和重要性，所以必須建立起一套確實(shí)可選擇入侵檢測(cè)系統(tǒng)，實(shí)時(shí)監(jiān)控可能發(fā)生的入侵行為，當(dāng)有入侵行為時(shí)，能進(jìn)行阻斷或弱化，并能生成詳細(xì)推檢測(cè)報(bào)告。由于黑客技術(shù)的不斷提高，在進(jìn)行攻擊時(shí)往往把真正的攻周行為隱藏起來，先生成大量的虛假報(bào)警，造成入侵檢測(cè)系統(tǒng)的誤報(bào)，并不能對(duì)攻擊行為進(jìn)行精準(zhǔn)的描述。鑒于以上入侵檢測(cè)系統(tǒng)存在的問題，建議構(gòu)建報(bào)警信息數(shù)據(jù)融合系統(tǒng)，由低層報(bào)警、中層報(bào)警、高層報(bào)警、入侵報(bào)告五個(gè)部分組成，如圖1：圖1報(bào)警信息融合系統(tǒng)5.4構(gòu)建身份認(rèn)證系統(tǒng)專線網(wǎng)絡(luò)中各終端用戶存在著權(quán)限的分級(jí)問題，在建立以上一系列安全保障措施以后，還應(yīng)構(gòu)建一系列身份認(rèn)證系統(tǒng)，由于企業(yè)或部門的規(guī)模大小不一，尤其是一些信息量較大，應(yīng)用較多的專線網(wǎng)絡(luò)，對(duì)終端用戶的權(quán)限更應(yīng)明晰，沒有明確的權(quán)限區(qū)分，就會(huì)出現(xiàn)所有的人都在使用統(tǒng)一的用戶名和密碼，相當(dāng)于無加密開放式的網(wǎng)絡(luò)環(huán)境，且管理人員根本無法區(qū)分到底是哪個(gè)終端用戶進(jìn)行了該項(xiàng)訪問，用戶在專線網(wǎng)絡(luò)內(nèi)不同系統(tǒng)時(shí)，還要多次重復(fù)登陸用戶名和密碼，造成了大量數(shù)據(jù)的產(chǎn)生，為管理工作帶來了極大的不便。終端用戶在該單位內(nèi)的身份信息或所在部門如有變動(dòng)，也無法及時(shí)的進(jìn)行更新。鑒于以上情況應(yīng)在專線網(wǎng)絡(luò)內(nèi)設(shè)置公鑰基礎(chǔ)設(shè)施，利用信任度高的第三方平臺(tái)，為網(wǎng)內(nèi)用戶提供數(shù)字證書，預(yù)防越級(jí)的、超權(quán)限的訪問行為，保證數(shù)據(jù)傳輸時(shí)的機(jī)密性和網(wǎng)內(nèi)用戶發(fā)生訪問行為時(shí)的身份認(rèn)