專線網(wǎng)絡的信息安全保障系統(tǒng)探究

專線網(wǎng)絡的信息安全保障系統(tǒng)探究摘要：專線網(wǎng)絡的出現(xiàn)，是為了專線網(wǎng)絡用戶數(shù)據(jù)信息在傳輸時更為安全，價格相對昂貴的專線網(wǎng)絡是如何提高數(shù)據(jù)信息傳輸?shù)陌踩阅兀疚膹膶＞€網(wǎng)絡的社會需求、系統(tǒng)構建的必要、構建理念等方面闡述了如何建立專線網(wǎng)絡的信息安全保障系統(tǒng)。關鍵詞：專線網(wǎng)絡信息安全保障系統(tǒng)構建專線網(wǎng)絡往往用來傳輸企、事業(yè)單位之間比較重要或機密性較高的數(shù)據(jù)信息，專線網(wǎng)絡相對于開放式的信道雖然能夠很好的提高用戶信息傳輸時的安全性，但由于其自身不可避免的缺陷和來自于網(wǎng)絡各方面威脅的不確定性，使得專線網(wǎng)絡的信息安全保障III問題被日益重視。1、專線網(wǎng)絡的普遍需求歸納隨著各行業(yè)的信息化、網(wǎng)絡化發(fā)展，企業(yè)、事業(yè)單位信息量和信息傳輸需求的不斷增加，傳輸速度快、安全性高的專線網(wǎng)絡被越來越多的用戶所需要，并普遍應用于社會的各個方面，其中甚至包括政府部門，這就要求專線網(wǎng)絡首先要做到的就是安全性，要求信息在傳輸過程中的完整性，并不被竊??；能持續(xù)提供穩(wěn)定的、不間斷的、大容量的傳輸服務，接入點的分布范圍廣能在全國范圍內便捷、快速的接入，并能隨著業(yè)務需求量的不斷增加同步的進行擴展。2、專線網(wǎng)絡信息安全保障系統(tǒng)建立的必要性專線網(wǎng)絡的安全涉及到用戶信息能否被有效地利用，數(shù)據(jù)信息的丟失危害性小的可能造成諸如企業(yè)或學校等單位的管理混亂，危害性大時甚至可能威脅到國家安全、一個企業(yè)的生存與否，所以構建一個有安全保障系統(tǒng)的專線網(wǎng)絡是非常有必要的，國家相關文件也指出“要注意專線網(wǎng)絡安全保障系統(tǒng)中最薄弱的地方，盡量充分地認識到各種潛在的威脅，根據(jù)信息的重要性、涉密性等級，建立相應等級的安全措施和管理。”專線網(wǎng)絡的信息安全保障系統(tǒng)的建設是一個整體，需要在充分進行了風險評估的基礎上，綜合地進行考量和建設，不但要在軟、硬件安全措施方面進行設置，還要相應的提高管理人員的危機意識，充分認識到信息安全的重要性，和一旦信息丟失所造成的嚴重后果，才能使得在安全設施方面的投入被充分的利用，并發(fā)揮應有的作用。3、專線網(wǎng)絡信息安全面臨的問題隨著專線網(wǎng)絡的安全問題被日益重視，各種安全保障技術也在不斷地提高，如防火墻技術、軟件加密和硬件設備加密等等，盡管些技術在一定程度上解決了專線網(wǎng)絡的一部分安全問題，但是專線網(wǎng)絡的安全保障方面仍存在著一定的問題：雖然現(xiàn)在大多數(shù)的專線網(wǎng)絡都采用了入侵檢測和病毒掃描技術，但是由于目前入侵檢測技術的發(fā)展程度尚不成熟，無法及時高效的對入侵者采取防范措施，所以沒有被廣泛的應用；在病毒掃描方面，存在著病毒數(shù)據(jù)庫更新不夠及時，掃描手段落后，對潛在的網(wǎng)絡病毒和木馬威脅的預知幾乎為零等問題。在有些企業(yè)內部的網(wǎng)絡中安裝有安全芯片，但是目前的安全芯片無法做到高度的智能化，對人為操作的要求相對較高，很難做到高度統(tǒng)一。4、專線網(wǎng)絡信息安全系統(tǒng)構建的原則專線網(wǎng)絡信息安全系統(tǒng)構建的設計理念由于各專線網(wǎng)絡的安全級別要求不同，所以每個專線網(wǎng)絡可以根據(jù)自己的安全等級翻需要，并根據(jù)自身企業(yè)或單位的資金等具體情況，來進行安全保障系統(tǒng)方面的建設。所選擇安全保障系統(tǒng)要有較好的智能性，便于使用中的操作和日常維護；另外，要在進行防御時改被動為主動，采用取“動靜結合”的安全手段。安全保障系統(tǒng)還要具有良好的性價比，最好為一次性的投資，減少日后的附加費用，并有良好的擴展性。專線網(wǎng)絡信息安全系統(tǒng)構建的設計原則專線網(wǎng)絡采用的安全保障技術在設計時要遵循以下原則：首先要適合操作人員的能力，不要采用過于復雜的措施，人員操作水平達不到安全措施的要求時，就相當于削弱了安全保障性能；安全技術的設計也要根據(jù)系統(tǒng)的具體性能來選擇，過于繁復的運算，會大大降低系統(tǒng)的運行和響應速度；在風險評估的基礎上針對單位的具體情況，設計適合的專線網(wǎng)絡安全保障系統(tǒng)，設計的安全級別愈高，相應的投資數(shù)額就會愈多，要在考慮系統(tǒng)安全性的同時考慮用戶的投資承受能力。一個可靠的信息安全保障系統(tǒng)要有良好的整體性，綜合運用專業(yè)的措施和人為管理制度，如嚴謹?shù)牟僮髁鞒?、日常維護制度等等。5、專線網(wǎng)絡信息安全系統(tǒng)的具體構建5.1構建完善的病毒防御系統(tǒng)隨著網(wǎng)絡病毒的發(fā)展和變化，其多樣化的傳播方式、隱蔽化的感染方式，使得專線網(wǎng)絡一旦被病毒感染，很難被清除干凈。首先存在著人為因素，大多數(shù)的終端用戶對預防、清除病毒沒有重視，一旦某終端或局部網(wǎng)絡感染病毒，在缺乏管理的狀態(tài)下將會迅速傳播到整個專線網(wǎng)絡。一個較大的專線網(wǎng)絡中存在著眾多的終端用戶，很難做到統(tǒng)一升級病毒數(shù)據(jù)庫，并在同一時間內同時進行殺毒。而且現(xiàn)在的網(wǎng)絡病毒利用高科技的手段進行系統(tǒng)嵌入，一旦嵌入清除的可能性就很小。針對上述問題，建議在專線網(wǎng)絡內部建立一個兩級的既能集中管理又能進行分級管理的網(wǎng)絡病毒防御、監(jiān)控體系。二級系統(tǒng)內的服務器等網(wǎng)絡設備、所有終端都可以實現(xiàn)自我管理，并將二級系統(tǒng)內的病毒信息集中匯總后，報往上一級的管理系統(tǒng)。在專線網(wǎng)絡內部建立病毒防御管理區(qū)，分別針對內網(wǎng)、專網(wǎng)和外網(wǎng)（即互聯(lián)網(wǎng)）病毒防御服務器。構建系統(tǒng)漏洞掃描系統(tǒng)專線網(wǎng)絡用戶往往會應用各種軟件，這其中包括安全保障方面的軟件或產品，這些產品在設計時和應用時都存在著漏洞，這些漏洞就會被病毒和木馬程序所利用，直接對專線網(wǎng)絡進行攻擊。應根據(jù)專線網(wǎng)絡的實際情況，盡量的通過漏洞掃描系統(tǒng)發(fā)現(xiàn)漏洞，并及時補救。目前即使是效果最好的入侵檢測系統(tǒng)，往往也存在著不能及時更新、經(jīng)常檢測到一些沒有意義的所謂隱患，在數(shù)據(jù)流量較大時，還存在誤報和漏報，在黑客利用大量的偽造的數(shù)據(jù)包俺蓋其真正的目的攻擊意圖時，就可能造成系統(tǒng)的癱瘓。構建結合預防和主動還擊措施的漏洞檢測系統(tǒng)，在系統(tǒng)漏洞被黑客利用前，先利用已掌握的黑客軟件，攻擊自己的專線網(wǎng)絡，以檢測漏洞檢測系統(tǒng)對漏洞的檢測能力及對漏洞的定位是否準確；在受到攻擊時，采取主動還擊的方式，對攻擊來源進行攻擊，使其不再具備攻擊的能力。構建入侵檢測系統(tǒng)專線網(wǎng)絡因其所傳輸?shù)男畔⒌臋C密性和重要性，所以必須建立起一套確實可選擇入侵檢測系統(tǒng)，實時監(jiān)控可能發(fā)生的入侵行為，當有入侵行為時，能進行阻斷或弱化，并能生成詳細推檢測報告。由于黑客技術的不斷提高，在進行攻擊時往往把真正的攻周行為隱藏起來，先生成大量的虛假報警，造成入侵檢測系統(tǒng)的誤報，并不能對攻擊行為進行精準的描述。鑒于以上入侵檢測系統(tǒng)存在的問題，建議構建報警信息數(shù)據(jù)融合系統(tǒng)，由低層報警、中層報警、高層報警、入侵報告五個部分組成，如圖1：圖1報警信息融合系統(tǒng)5.4構建身份認證系統(tǒng)專線網(wǎng)絡中各終端用戶存在著權限的分級問題，在建立以上一系列安全保障措施以后，還應構建一系列身份認證系統(tǒng)，由于企業(yè)或部門的規(guī)模大小不一，尤其是一些信息量較大，應用較多的專線網(wǎng)絡，對終端用戶的權限更應明晰，沒有明確的權限區(qū)分，就會出現(xiàn)所有的人都在使用統(tǒng)一的用戶名和密碼，相當于無加密開放式的網(wǎng)絡環(huán)境，且管理人員根本無法區(qū)分到底是哪個終端用戶進行了該項訪問，用戶在專線網(wǎng)絡內不同系統(tǒng)時，還要多次重復登陸用戶名和密碼，造成了大量數(shù)據(jù)的產生，為管理工作帶來了極大的不便。終端用戶在該單位內的身份信息或所在部門如有變動，也無法及時的進行更新。鑒于以上情況應在專線網(wǎng)絡內設置公鑰基礎設施，利用信任度高的第三方平臺，為網(wǎng)內用戶提供數(shù)字證書，預防越級的、超權限的訪問行為，保證數(shù)據(jù)傳輸時的機密性和網(wǎng)內用戶發(fā)生訪問行為時的身份認