论运维工作中的网络入侵防御

◆赵 霞 梁 伟 郑 群



论运维工作中的网络入侵防御

◆赵 霞 梁 伟 郑 群

（中国联通河南省分公司 河南 450003）

随着互联网的高速发展，网络安全问题日益成为国际社会的焦点问题，关系着国家安全、社会稳定、企业利益、个人权益。在日常网络信息系统的网络安全工作中，做好网络入侵防御对于网络信息安全工作至为重要。本文主要阐述了网络入侵的概念以及在实际网络安全运维中做好网络入侵防护的主要手段和措施，以提升网络信息单元的整体网络安全技术运维思路和做好网络安全落实工作。

网络安全；入侵防御；技术措施

0 前言

当今社会，互联网已深入工作生活的各个方面，网络安全问题涉及到国家安全、社会稳定、以及企业与个人利益等多个方面。随着《网络安全法》的颁布，网络安全问题上升到了国家法律高度，网络安全成为运维工作中重要的一部分。通过研究运维工作中的网络入侵防御措施，以达到做好网络安全防护的目的。

1 研究背景

1.1 网络安全

“网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。”---《网络安全法》

网络安全的目的包括“网络运行安全”和“网络数据安全”两个方面。

1.2 网络入侵

网络入侵，一般是指通过计算机、网络等技术手段，获得非授权的网络访问或系统控制的能力，从而达到侵害、干扰他人网络系统的行为。

从信息安全的角度，网络入侵的危害包括影响信息系统的保密性、完整性、可用性等。

2 网络入侵防御

2.1 网络入侵分析

网络入侵行为可分为三个阶段：首先确定入侵对象，然后是获取非法权限、最后是危害网络安全。

入侵对象包括网络设备、系统、应用、数据库等。

网络入侵的方法有嗅探、监听、扫描、爬找、接触等手段以获取可利用资源，分析利用漏洞进行入侵。

其危害行为包括破坏网络系统、篡改窃取信息、发布虚假信息、进行网络欺诈、跳板攻击等。

从网络运维层面，做好网络入侵防御主要从网络架构设计、系统安全加固、网络安全运维三个方面开展。

2.2 网络架构设计

网络安全规划是一套网络系统在建设及使用中需要重点考虑的问题之一。主要涉及以下几个问题：

系统是否需要提供互联网访问服务；

如何确定网络系统的边界；

边界安全采用那些安全措施；

内网如何划分安全域；

内外网接入管理措施。

下面针对这几个问题分别进行讨论。

（1）系统是否提供互联网访问

互联网分访问三种情况，一种是提供网站域名服务，一种是非域名的内部业务网站，再有就是系统接口及维护端口。从安全性的角度，网络系统向互联网开放的资源越多，网络系统存在被入侵的风险就越大。所以，应用系统在上线时需要确定是企业组织内部使用，还是面向互联网公众提供服务，或者是在互联网上提供有限访问，这是网络信息系统在安全架构设计或安全运维优化时的关键问题。

（2）确定网络系统的边界

一般情况下，网络系统的边界包含以下几个因素：网络接入互联网,核心网络区与远端网络区,网络与其他网络的接口,网络与访问终端。

从以上几点分析，非核心区域设备对核心区域的访问通过边界网络安全措施进行防护，从而达到保障核心网络安全的目的。在实际环境中，网络边界的划分和内网管理容易混淆。

（3）边界安全措施。

网络的边界根据网络系统的级别及风险可相应配备防火墙、入侵检测、入侵防御、流量清洗、防病毒、日志审计、信息过滤、堡垒机、网闸、WAF、VPN、白名单等措施。良好的边界安全措施对网络入侵行为有明显的防御效果，可隔离绝大多数的网络入侵攻击行为。

（4）内网安全域的划分

内网在这指除核心网络区外组织内部可控的网络区域。

由于内网存在不同的业务性质或者接入人员的复杂性等问题，需要在内网划分不同的安全域进行访问控制。一般内部域可划分为业务办公域、维护终端域、客户访问域等，不同域之间设置不同的访问策略，从低安全等级的域向高安全等级的域访问严格受控。安全域的划分可通过划分VLAN隔离、IP组策略等方法实现。

（5）网络接入管理

网络接入管理的作用主要是减少网络系统的暴露面、使网络接入处在可控的范围内。如采用VPN接入、设置访问白名单、IP绑定MAC地址等。

2.3 系统安全加固

系统的安全加固对降低网络入侵风险有很重要的作用。系统安全加固主要有系统安全防护及信息数据的防护，包括信息资产管理、安全基线及加固、认证与权限管理、日志留存及审计、数据保护措施、冗余备份方案等。

（1） 信息资产管理及等级保护

在网络系统中确定系统资源是做好系统安全重要的基础工作，网络系统资源包括网络中运行的服务器、终端、操作系统、应用系统、管理和使用系统的人员、系统中的信息数据等。根据系统的重要性及影响进行网络信息系统等级保护，一般指信息系统安全等级备案和电信网络单元定级备案。

（2） 漏洞与安全基线

对网络中的系统资源进行安全基线的设置及定期的漏洞扫描、升级系统补丁是做好网络系统安全最基本的要求，并尽量做到服务、端口等资源的最小化管理。

（3） 认证与权限管理

要充分考虑系统帐户、应用帐户、数据库账户、信任关系的设置以及使用规范等多个方面，重视默认账户、弱口令、权限分配的管理与稽核工作等。

（4） 日志留存及审计。

网络系统中存在访问日志、操作日志、系统日志、网络防护日志等。要做好日志留存工作，并加强日志审计，可有效提升入侵状态的检测及入侵事件的回溯水平。

（5） 信息数据保护

现在不管是内网、wifi、互联网都存在被通信监听的可能，黑客通过通信监听可获得账户、密码等重要信息，给企业、个人的安全带来威胁。采取通信加密是现阶段做好网络安全防护的重要手段，如采用SSL、IPSEC、HTTPS等。

重要信息数据保护包括加密存储和数据安全。加密数据存储指采用加密交换机、存储层加密等。而数据安全包括重要文档资料安全和数据库数据安全等，如采用文档加密、字段加密、脱敏传输等。通过采取信息数据保护措施，可有效降低重要信息数据泄漏风险。

（6） 冗余与备份

网络冗余、服务冗余、存储冗余、系统备份、应用备份、容灾中心，以及重要数据的在线备份、离线备份等措施可应对一定的网络安全风险。良好的数据备份策略及应急方案可很好的提升网络入侵危害的应对能力。

2.4 网络安全运维

网络安全运维能力是网络安全持续性的保障，在网络安全运维工作中，防范网络入侵，要做好以下几点工作：

（1） 增强网络安全防范意识和处置能力

做好网络安全运维工作离不开运维人员网络安全防范意识和处置能力，通过培训教育、明确职责、细化日常网络安全工作、加强应急演练是做好网络入侵防御工作的重要一环。

（2） 做好安全风险评估及整改

重视定期的网络系统安全检查、风险评估工作，及时采取网络优化、系统加固等措施，促使网络安全性得到整体性提高。

3 结论

本文从网络安全运维角度，阐述了做好网络入侵防御工作在网络规划、系统加固及运维工作等方面中需要注意的一些原则和问题，以做好网络安全“进不来、拿不走、看不懂、改不了”的目的，促进网络安全运维工作的落实，提升网络安全防护水平。

[1]吴世忠等.信息安全技术[M].北京：机械工业出版社，2014.

[2]吴世忠等.信息安全保障导论[M].北京：机械工业出版社，2014.