网络安全风险分析及对策

吴建军

(武警海南省总队，海南·海口 570203)

随着信息化建设的快速发展，计算机网络在提高公安、武警的执勤、处突能力和实现信息资源共享方面发挥了重要作用，极大地提高了办公效率，提升了信息传递、公文流转的响应速度，但由于网络规模越来越大，应用环境越来越复杂，网络信息的安全问题也日渐突出，也给信息化建设和应用带来了巨大的安全风险，本文结合网络应用情况，分析当前计算机网络信息系统安全存在的问题，提出加强网络信息安全的措施。

一、网络安全现状

近几年，以5G、云计算、大数据、移动互联网、人工智能为代表的新一代信息技术已经日益成熟并广泛应用，以大数据、人工智能为核心的应用服务也呈现快速增长。业务应用不断丰富的同时，网络安全的风险和问题也逐渐暴露，例如近几年频繁发生的数据泄露、勒索病毒攻击、网络暴力、跨国电信诈骗等事件，给各国的网络发展与治理带来巨大的挑战。

在信息安全领域，以网络为平台和对象的犯罪无论从规模或引起的后果来看，都呈现逐年增多的现象，其中以计算机病毒和网络黑客的攻击，对信息网络的破坏最为严重。(1)王志胜.虚拟世界里的飞行规则[EB/OL].HTTP://WWW.icy.Ry.gov.c/new show.asp?Article=931.病毒、蠕虫、域名劫持、远程渗透、植入木马、侦察窃密、DDOS攻击等，日常使用网络过程中，总能碰见这种类似的威胁源。据相关机构提供的监测数据统计，仅2019年上半年，中国境内新出现信息系统高危漏洞1500余个，探测到针对移动互联网的恶意程序4万余个，被黑客控制和利用的主机有近百万余台，约3万多个网站被植入后门程序，上万个网站链接被用于传播恶意代码。由此可见，安全问题牵涉面广，除了涉及防护、检测、响应和恢复外，系统本身安全的“免疫力”的增强、系统及网络的优化、人员素质的提升等，都是网络安全中应该考虑到的问题。网络安全体系结构，应该是融合了技术和管理在内的一个可以全面解决安全问题的体系结构，它应该具有动态性、过程性、全面性、层次性和平衡性等特点。(2)刘远生.网络安全实用教程[M].北京：人民邮电出版社.2011，(04).

二、网络安全隐患分析

信息及网络安全的隐患主要来自于系统或网站的漏洞。关于网络漏洞，还没有一个全面准确统一的定义。一般可以理解为网络或系统的硬件、软件、协议等方面的具体实现过程或安全配置及策略上存在的缺陷，使得攻击者可能在没有获得授权的情况下进入系统或对系统进行破坏。例如，在IntelPentium芯片中存在的逻辑错误，Sendmail的编程错误，NFS协议中认证方式上的弱点，Windows、Linux、Unix系统管理员设置的匿名账户，Ftp服务器配置不当等问题都可能被攻击者利用并威胁到系统的安全。(3)百度百科.https://baike.baidu.com/item/%E7%BD%91%E7%BB%9C%E6%BC%8F%E6%B4%9E/5363349?fr=aladdin从信息安全通报中可以看到，攻击者可利用跨站脚本漏洞结合社会工程学进行鱼叉式钓鱼攻击，在特定页面上挂载钓鱼页面，或者伪装成合法链接发送至用户邮箱，误导用户点击，造成用户信息泄露；黑客还会利用框架注入漏洞将frame或iframe标签嵌入到被攻击的网站上，通过修改站点页面，嵌入恶意代码，诱导用户登录，窃取用户登录凭证；攻击者也频频使用“webs hell”、“SQL注入”等攻击方式对重点网站进行渗透攻击。(4)云南省网络与信息安全通报中心.网络与信息安全情况通报.2019年第18期.

虽然公安机关、武警等部门的业务信息网络与互联网是物理隔离的，但来自于各种情况的安全威胁依然存在。例如2010年，美国军方通过震网病毒成功入侵伊朗军事系统，造成伊朗铀浓缩工厂九百多台离心机报废。专家分析，由于伊朗的控制系统没有与外界网络相连，这种专门针对伊朗核设施研发的“摆渡木马”病毒，主要攻击在涉密计算机和非涉密计算机间交叉使用的U盘，通过暗中将涉密信息“摆渡”到非涉密计算机，让窃密者远程获取涉密信息。键盘、鼠标、USB这些通用设备也依然存在泄密的风险。2014年美国黑帽大会上，安全研究人员展示了一种被称为“邪恶工具”(Bad USB)的攻击方法。他们把恶意代码隐藏在键盘、鼠标等设备中，当这些设备被插入电脑后，就会自动加载并执行恶意代码，鼠标、键盘等就沦为了攻击者的窃密“傀儡”。2016年底，以色列本古里安大学研究团队提出了一种新的USB攻击技术，使用USB存储设备读写时用泄漏的微弱电磁信号传输信息。这种技术对USB存储设备没有任何要求，通过软件控制使USB存储设备产生特定频率的电磁信号，攻击者接收电磁信号获取目标电脑的文件，实现“隔空取物”的目的。

三、影响计算机网络信息系统安全的主要因素

计算机网络所具有的开放性、互联性、连接方式的多样性及终端分布的不均匀性，为资源共享、用户使用提供了方便，但也正是因为这些特点，增加了网络信息系统的不安全性。虽然公安机关、武警等部门的网络建设根据各自的情况，也部署了安全防护设备，但由于网络技术本身存在的弱点以及一些人为的疏忽，计算机网络仍存在着许多不安全因素，结合具体使用情况，主要存在如下问题：

(一)网络系统存在隐患

一是物理设备存在隐患，主要包括设备的老化、被盗、恶意破坏、电磁信息泄漏、电磁干扰、电源掉电、服务器宕机、物理设备的自然损坏、软件意外失效等；二是网络结构存在隐患，从垂直管理的角度看，各业务部门的计算机主干网是建立在树状结构的综合通信网基础之上，一般除了主干的节点设备和线路采用了冗余方式外，在下一级的节点设备上，没有做冗余，各级节点之间也没有冗余的线路，一旦某个下级节点损坏或线路出现故障，就会造成到某一方向所有下一级部门的网络业务中断。

(二)安全意识不强、管理不善带来威胁

表现在有意或无意造成的一些人为失误，如配置不当、误操作、口令丢失、管理过于简单等。有的安全意识差，把一些重要信息放到网上，没有设置任何访问控制权限，造成信息资料被非法泄露、拷贝、篡改。有的未经许可将从互联网上下载的软件装入局域网内的计算机，造成来自互联网的病毒在局域网内大量传播蔓延。有的缺乏漏洞常识，不及时打补丁或是只打操作系统补丁，而没有及时更新应用软件补丁和升级版本，或是不看说明乱打补丁后带来新的问题。有的技术水平不高，对操作系统、应用软件和网络设备的配置管理不当而造成安全漏洞，如用户的权限设置过大、服务器打开的端口太多、未及时删除已离职人员的账号、将自己的账号随意转借别人或者与别人共享资源等。有的没有依据最小授权、高度容错的原则对防火墙和入侵检测系统进行设置，导致在节点设备的出口中经常有大量无用的数据包。

(三)来自内部用户的安全威胁

由于内部网的用户相对于外部用户来说，具有更便捷的条件了解网络结构、防护措施部署情况、业务运行模式以及访问内部网权限，而当前对于来自网络内部的安全攻击和误操作等行为缺乏有效的监控和预防手段，就使得来自内部用户的安全威胁远大于外网的威胁。防火墙、入侵检测等网络安全设备，可以对网络异常行为进行监测和管理，但对网络和信息的内容或者是获得正常授权内部访问行为则基本上不做监控。因此，面对授权的网络访问而导致的信息泄密事件、网络资源滥用行为，以及对内容、行为的监控管理缺失，其防火墙、入侵检测等传统设备是难以防范的。

内网面临的安全威胁主要来自于内网的用户终端，主要有以下一些表现形式：窃取传播违禁、机密的数据资料；非授权访问、使用网络资源；安装使用盗版软件或黑客软件，对内网的其他计算机构成安全威胁；在内外网之间交叉使用移动存储设备，造成内外网间接地交换数据；私自上互联网导致泄密；随意更改IP地址造成IP冲突；数据存储中的安全威胁；本地计算环境和数据应用中的其他安全威胁等。

(四)计算机病毒对网络安全造成威胁

经统计和排查，在公安、武警专网内的病毒以木马病毒、蠕虫病毒等为主，几乎每个用户都或多或少有过感染病毒的经历。单机感染病毒轻则不能使用浏览器、不能打开文件，重则导致系统崩溃和数据丢失。在独立环境下，病毒只影响到个人电脑，在局域网内，一台感染病毒的客户计算机就影响整个网络被病毒感染，轻则降低网络速度，影响工作效率，重则破坏整个系统资源，造成系统瘫痪。在广域网上，因蠕虫病毒影响造成网络拥塞，导致主干网到某一分支节点方向的网络中断。为了快速排除故障，往往需重启中继板卡甚至有时需重启节点设备才能恢复，不但影响了数据业务，还影响了其他业务。

(五)黑客恶意攻击给网络安全造成威胁

随着互联网上黑客网站的大量出现，黑客技术逐渐被越来越多的人掌握和利用，一些傻瓜式黑客工具在网络上很容易获得，即使是与互联网物理隔离的专网，也会遭到一些来自网内或网外的恶意攻击者的攻击。在局域网内，由于网络速度快，黑客工具更能大显身手，个别人员为了学习黑客攻击技术，恶意对网站进行攻击，或者无意间侵入网站，修改系统或删除数据，都会给网络造成极大的损害。

四、加强计算机网络信息系统安全应采取的措施

为提高网络安全，公安、武警等负责总体网络建设的专门机构，陆续完成了二、三级网安全防护系统的建设，使网络安全有了一定保障，但网络安全不只是安全产品的简单堆叠，需要管理、技术、法规三者的有机结合，本文从以下几方面论述计算机网络信息安全的解决措施。

(一)制定科学、合理的安全策略

运用P2DR模型的基本思想，综合各种安全技术(如防火墙、操作系统身份认证、加密等手段)对系统进行保护，同时利用检测工具(如漏洞评估、入侵检测等系统)来监视和评估系统的安全状态，并通过适当的响应机制将系统调整到相对“最安全”和“风险最低”状态。要加强机房、网络设备、通信线路、电源系统的安全管理，增加设备、线路的备份冗余，如在分支节点增加设备的备份，增加到主干线路的链路冗余，提高网络的安全防护能力，使网络自身免受自然灾害、人为破坏等影响。

(二)做好技防、人防工作

从技防的角度，完备入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制、防火墙控制等网络安全措施。同时，通过宣传教育和授课培训，增强使用人员网络信息安全意识和防范技术，明确信息网络系统各类人员的职责、权限，防止使用和维护的随意性，减少由操作失误造成对系统破坏的可能。

(三)加强内网用户的安全管理

与防范外网安全主要集中于边界部署不同，保障内网安全需要涉及的环节较多，如内网终端防护、流量和上网行为控制、监控审计、身份认证、信息加密等。加强内网的安全管理主要采取的措施：建立健全的内部规章制度，并严格贯彻执行；根据用户的不同级别和信息安全等级对信息访问权限进行设置，防止越权访问发生；加强内网的业务行为审计，即从传统的安全审计或网络审计转向对业务行为的审计；加强终端的合规性管理，即终端安全策略、文件策略和系统补丁的统一管理；加强对移动存储介质的管理。

(四)加强计算机病毒防治

采取防火墙等安全设备与防病毒软件相结合的方式进行，建立全方位的、多层次的病毒防范系统，借助目前使用的防病毒系统，不仅在服务器端安装防病毒软件，而且还要在网络上的每一个点都安装相应的防病毒产品，形成多层次的动态实时防护体系。除防病毒软件外，还应安装反间谍、反恶意程序软件系统，制定相应的防范预案，在发现病毒流行时，能够完成带毒设备的阻隔和分离，保证系统的正常运行。

(五)构建多种安全防护设备相结合的网络安全防护体系，防范对网络的恶意攻击

一要建立完善安全保护、预警、检查类的整体规章制度，具有可操作性和针对性。二要定期对系统进行风险评估。由于黑客的攻击总是利用操作系统的安全漏洞或通信协议的安全漏洞来进行，因此，应建立统一的漏洞、补丁管理平台，及时更新操作系统、数据库、应用软件补丁，定期进行漏洞扫描、审计跟踪，降低由于系统自身原因对网络造成的威胁。实践中，不少单位服务器在打补丁时容易出现系统不能正常使用的情况，需特别重视，可安装能进行回退的补丁系统，一旦打补丁时出现问题，可回退到原来状态，如奇安信的终端安全管理系统，在对服务器区域内的设备进行杀毒、漏扫、打补丁、回退等方面，具有较好的针对性。三要利用防火墙、行为审计等安全设备，对进出局域网的常见操作进行实时检查、监控、报警和阻断。四要加强日志审核，定期查看系统日志，安全设备日志等。因为安全设备本身存在着一些缺陷，如IDS、IPS的漏报及误报问题，这就要求安全管理人员不能只是简单的收集信息，还要通过综合分析与判断，分清哪些是误报的，哪些是真正的威胁，及时调整有关参数，更改安全防护，消除安全隐患。

(六)建立灾难备份系统和网络安全应急措施

可加强数据备份与恢复，制定详细的数据备份计划，并随着网站的更新及时调整备份计划，同时制定网络系统的维护与应急措施，做到实时监控、及时响应，当系统发生紧急事件时，能快速发现并排除灾难和故障，确保计算机信息系统继续运行或紧急恢复。

网络信息安全问题是复杂的综合性工程，仅依靠简单的安全技术和单一的安全产品，无法满足网络的实际要求，需要在人员、技术和管理三方面加以综合考虑。同时，网络信息安全也是一个不断建设、不断加固的过程，是随着电子攻击技术的提高、信息系统的增多和重要性的增加而不断升级的过程。只有根据实际情况，在安全、性能、管理和经费投入之间寻找一个平衡点，才能有效实现计算机网络安全、高效、稳定的运行。