浅谈提高聊城局计算机网络安全防护的研究

摘要：该文对聊城局计算机网络安全性存在的问题进行了深入探讨，并提出了相应的改进和防护措施

关键词：网络  安全  评估  对策  管理

多年来，聊城局在计算机网络建设和维护方面投入了大量的人力、物力，并取得了不错的成效，网络的规模和处理能力得到一定程度的提高，在防汛抗旱、水资源调度、电子政务中发挥了重要的作用，为治黄事业做出了很大的贡献。但由于受资金等方面的限制，网络安全防护体系非常薄弱，或者根本就没有防护设备，网络系统硬件、软件以及数据安全存在极大的隐患，计算机系统受病毒感染和破坏的情况相当严重，安全问题日益突出。计算机网络系统面对网络病毒的袭击和黑客行为的入侵，没有有效应对的措施和预防手段，一旦发生安全故障，将严重影响网络内数据的传输与处理，网内各种应用系统不能发挥作用，甚至造成整个网络瘫痪，为此，亟需建设市县河务局的网络安全防护体系。该文对聊城局计算机网络安全性存在的问题进行了深入探讨，并提出了相应的改进和防护措施

二、存在问题和研究思路

   1、威胁来源与分析

聊城市河务局的网络现状可以看到，其主要的信息资产是网络中的应用系统及数据，包括承载应用系统的重要服务器（数据库和应用服务器），承载访问和数据交换的网络设备和物理线路等。对这些信息资产正常安全工作形成威胁的来源主要包括：通过对外服务区来自于病毒和恶意用户的攻击，不同部门间人员的非法访问，内部人员的越权访问，设备运行故障，重要数据泄密等。为了全面地对聊城市县河务局网络信息系统安全威胁进行分析和归类，笔者根据安全风险的来源，参照业界通用的分析方法和国家《信息安全风险评估指南》，将聊城局市县河务局的网络与信息系统面临的安全风险分为边界安全风险、内网安全风险、应用安全风险和管理安全风险四个层面，针对每一层面分别具体分析所面临的安全风险。

1.1网络边界风险分析

山东局市县河务局的边界主要包括两类，第一类是市县河务局局域网与其他相关单位（省局、各县河务局）的专网网络之间的边界，第二类是市县河务局系统与互联网之间的边界；这些边界如果没有严格的访问控制措施，那将会给市县河务局的网络信息系统带来极大的安全风险。具体表现在以下方面：黑客攻击、病毒入侵、越权访问

1.2内网安全风险分析

内网安全风险主要是市县河务局的网络系统中各级单位局域网可能潜在的风险。其主要包括以下几个方面：主机系统漏洞、服务器配置不当、桌面系统漏洞、内部用户误操作、合法用户的恶意行为

1.3应用系统风险分析

应用安全风险主要是指市县河务局的网络信息系统中各应用系统所面临的各种安全风险，包括业务应用平台、OA应用平台、Web平台、邮件系统、FTP服务器等网络基本服务。这些平台、系统和服务主要依赖Web Server、FTP服务、E-mail服务、浏览器等通用软件，或者依赖商用数据库、中间件等应用开发平台所开发的应用软件，这些通用程序和第三方开发的应用程序自身的安全漏洞和配置不当造成的安全脆弱性会导致整个系统的安全性下降。

1.4管理安全风险分析

由于市县河务局建设网络覆盖面广，用户众多，技术人员水平不一，对安全设备与安全措施的使用与管理也存在着一定的风险。例如，由于没有正确地配置安全设备，导致安全区域内的防护手段失效。同时，对于安全区域内发生突发的安全事件，现有的安全管理手段很难迅速准确对这种风险进行快速响应，也无法快速定位威胁来源在哪里，因此也无法及时调整安全策略来应对这样的安全事件。

2、建立有效的防范及应对措施

通过以上的分析，山东各市县河务局信息系统在边界、内网、应用、管理四大方面均存在很多安全隐患，因此当前迫切需要通过必要的设备、技术手段和管理手段来加强信息系统的安全建设，构建网络安全体系。

2.1网络边界区域防范及应对措施

网络边界区域是内部网络访问互联网的边界，病毒通过包括Email、网页、QQ和MSN等传播渠道进入，是病毒入侵的关键区域，在边界区域对病毒源进行控制，是遏制病毒感染、黑客进入到内部网络中的最有效的方法，已部署的防火墙只起到了代理内部用户访问因特网作用，无法对病毒进行控制和过滤，所以有必要在防火墙前端部署防毒墙，防毒墙是硬件级的网络杀毒设备，作用是检测和过滤进入到内网的所有数据，对恶意病毒进行查杀和阻断后，再经过防火墙进入到内部网络。

2.2 内网安全区域防范及应对措施

内网安全区域是内部计算机、服务器和各类网络设备组成，是病毒的寄宿区，该区域网络内某一台计算机感染病毒后，会传染到其他计算机上，传染的结果是发送大量的广播包，导致网络带宽严重不足，网络速度和性能严重下降，如果是多台计算机同时发作，网络技术人员很难定位病毒源在那里，如果在网络设备上部署入侵检测系统，实时分析进出网络的数据流，对网络违规事件进行跟踪、实时报警、阻断连接并做日志，用以对付来内部人员或外部网络的病毒攻击行为；对入侵检测系统发现不了的问题，可以通过sniffer软件监控辅助控制，在三层交换机上配置镜像端口，所有流入和流出数据都会镜像到该端口，利用sniffer实时监控数据流量，一旦发现大量的非法数据，及时采取阻断措施，保证内网的安全，同时也能快速定位出病毒源在那里，及时排查出问题的原因。

（3）建立有效的网络安全评估

采用双重方案对网络安全进行评估。一是安装网络安全性扫描分析系统。通过实践性的方法扫描，分析网络系统，检查报告系统存在的弱点和漏洞，建议补救措施和安全策略，根据扫描结果配置或修改网络系统，达到增强网络安全性的目的。二是安装操作系统安全扫描系统。从操作系统的角度，以管理员的身份对独立的系统主机的安全性进行评估分析，找出用户系统的配置、用户配置的安全弱点，建议补救措施，提高整个网络的安全级别。

2.3 管理安全防范及应对措施

计算机网络的安全管理，不仅要看所采用的安全技术和防范措施，而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合，才能使计算机网络安全确实有效。

计算机网络的安全管理，包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念，提高计算机用户的安全意识，对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰，是十分重要的措施。

这就要对计算机用户不断进行法制教育，包括计算机安全法、计算机犯罪法、保密法、数据保护法等，明确计算机用户和系统管理人员应履行的权利和义务，自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则，自觉地和一切违法犯罪的行为作斗争，维护计算机及网络系统的安全，维护信息系统的安全。除此之外，还应教育计算机用户和全体工作人员，应自觉遵守为维护系统安全而建立的一切规章制度，包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。

三、结论

计算机网络安全是一项复杂的系统工程，涉及技术、设备、管理和制度等多方面的因素，安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术，将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来，根据单位资金情况，按照轻重缓急，分步实施的原则，逐步建设一套完整的、协调一致的网络安全防护体系。同时我们必须做到管理和技术并重，安全技术必须结合安全措施，并加强对计算机用户管理的力度，建立备份和恢复机制，同时制定相应的安全标准，提高聊城局的整体网络安全运行能力，真正实现网络化推动信息化，以信息化带动聊城黄河河务局治黄事业的现代化。（陈继全  王瑜）

责任编辑：邵伟             作者单位：聊城河务局