劉俊

太極計算機股份有限公司 北京 100070

引言

網(wǎng)絡(luò)通信作為信息的一種重要傳輸方式，在運用時必須確保安全性，但就目前網(wǎng)絡(luò)通信安全防護工作來說，網(wǎng)絡(luò)通信安全問題一直困擾著全社會，一些重要的信息一旦被泄露，便會導致嚴重的安全事故。網(wǎng)絡(luò)通信過程中所遇到的安全問題是多個方面的，包括搭線竊聽、非法終端、非法入侵、線路干擾等，比如在搭線竊聽中，信息時代下所信息的傳遞量大大增加，信息在傳遞過程中的密級也在不斷提升，一些犯罪分子為了獲取到有利用價值的信息，往往會選擇去監(jiān)聽通信線路，通過非法途徑獲取信息。由此可見，若是缺乏行之有效的安全防護技術(shù)，則勢必會導致嚴重性的網(wǎng)絡(luò)通信安全事故。因此，積極做好網(wǎng)絡(luò)通信安全工作是十分必要和關(guān)鍵的。本文從技術(shù)層面來分析探討網(wǎng)絡(luò)通信安全防護的措施，現(xiàn)作如下的論述。

1 大數(shù)據(jù)信息安全防護的重要性

隨著信息化技術(shù)的存儲能力、分析能力、管理能力的提升，“大數(shù)據(jù)”逐漸進入了人們的視野，并且越發(fā)成熟，在諸多領(lǐng)域中已經(jīng)得到了應(yīng)用，并在各行業(yè)的進步與革新中發(fā)揮出了重要的作用。所謂的“大數(shù)據(jù)”，其指的是對巨量數(shù)據(jù)的收集、整合、存儲與分析和利用，IBM公司指出大數(shù)據(jù)具有數(shù)據(jù)量大、效率高、數(shù)據(jù)類型多樣、價值密度低以及真實可靠等特點。需要指出的一點是，“價值密度低”是相對大數(shù)據(jù)的數(shù)據(jù)信息體積而言的，只要能夠?qū)Υ髷?shù)據(jù)進行有效的分析、利用，其所能夠帶來和創(chuàng)造的價值，實際上是無法估量的。但正是由于大數(shù)據(jù)的技術(shù)特點和價值，致使其面臨著較多的信息安全風險隱患。如在大數(shù)據(jù)的采集、存儲、處理和前端應(yīng)用階段，都可能會發(fā)生信息安全問題，導致數(shù)據(jù)遭到破壞、泄露，進而引發(fā)各種技術(shù)性、社會性后果，如擾亂社會秩序，侵犯個人、集體權(quán)益等。為此，在建設(shè)和應(yīng)用大數(shù)據(jù)的同時，更需要重視并切實做好對大數(shù)據(jù)的信息安全防護工作，其重要性是可見一斑[1]。

2 信息安全防護系統(tǒng)運維模式優(yōu)化研究

2.1 從根本上轉(zhuǎn)換思想，由被動逐漸過渡到主動管理模式

多數(shù)公司管理層對于運維模式并沒有全面的了解，受知識條件的局限使得其簡單地認為，所謂運維就是使用系統(tǒng)的人在實際工作過程中發(fā)現(xiàn)了系統(tǒng)應(yīng)用問題，并就問題發(fā)生原因進行匯報，隨后只需要將故障交給運維工程師進行處理即可。但卻不知道若長期運用此種簡單的運維模式，將很容易使使用者在故障發(fā)生開始等、維修期間一直等的不良工作心理，養(yǎng)成等待維修的習慣。長此以往，無論是信息系統(tǒng)中發(fā)生何種小的故障，均需要由運維工程師對問題進行處理。甚至會滋生員工的惰性，讓其認為只要系統(tǒng)有問題出現(xiàn)就自然可以進行休息，導致出現(xiàn)等待運維進行故障處理的這段時間，只顧著休息而趁機偷懶的不良現(xiàn)象。雖然對于一些常見的小故障，運維工程師修理的時間并不會過長。但由于信息系統(tǒng)的覆蓋需求逐漸提升，網(wǎng)點數(shù)量的增長將會導致故障率隨之增加，在運維工程師數(shù)量有限的情況下，需要排隊等待解決故障的現(xiàn)象是不可避免的，所耗費的時間相較以往將有大幅度的上升。長此以往，所產(chǎn)生的最終結(jié)果就是，正常的系統(tǒng)應(yīng)用受到影響，運維資源也將遭到極大的浪費。不良現(xiàn)象的集中出現(xiàn)，也將導致客戶們的投訴事件數(shù)量增多，影響員工們的工作積極性，甚至導致公司的市場信譽受到影響，產(chǎn)生難以估量的重大損失。想要改變這一現(xiàn)狀，就應(yīng)從根本上轉(zhuǎn)變傳統(tǒng)的運維思想。首先是需要將不涉及經(jīng)營數(shù)據(jù)的故障處理基本方法教給使用系統(tǒng)的人員，使得其能夠在故障發(fā)生的第一時間進行自我排查與解決。另外為了避免由于使用者不專業(yè)而導致維修環(huán)節(jié)“越幫越忙”的現(xiàn)象出現(xiàn)，應(yīng)對使用系統(tǒng)的人員進行集中的知識綜合性培訓。管理人員應(yīng)與具有豐富經(jīng)驗的運維工程師聯(lián)合起來，以文檔或視頻方式將簡單的故障處理方法發(fā)放給系統(tǒng)使用人員，從而實現(xiàn)匯編與培訓的基本目標，為從根本上提升使用者的問題處理能力奠定堅實基礎(chǔ)。這樣一來，就能夠根本上改變運維工程師淪為使用者信息系統(tǒng)的“保姆”形勢，讓使用者們能夠嚴格遵循一邊報備、一邊解決問題的原則。只有在無法通過常用故障處理方法解決的情況下，再通知運維工程師解決此類問題。

2.2 物聯(lián)網(wǎng)信息安全防護策略

第一，感知層安全防護策略。感知層包含各類傳感器、RFID、攝像頭及多種智能設(shè)備，這些設(shè)備大小、功能各異，面對的安全威脅也多種多樣，故需從硬件、接入、操作系統(tǒng)、應(yīng)用等多個環(huán)節(jié)入手，確保硬件安全、接入安全、操作系統(tǒng)安全和應(yīng)用安全，保證數(shù)據(jù)不被篡改和未授權(quán)獲取，防范非法侵入和攻擊，保證操作系統(tǒng)升級更新過程安全可控，應(yīng)用軟件行為受到監(jiān)控。第二，網(wǎng)絡(luò)層安全防護策略。物聯(lián)網(wǎng)采用無線局域網(wǎng)、窄帶物聯(lián)網(wǎng)絡(luò)、蜂窩移動網(wǎng)絡(luò)、無線自組網(wǎng)絡(luò)等多種接入技術(shù)，面對的安全威脅也復雜多樣，需從身份認證、數(shù)據(jù)完整性保護、數(shù)據(jù)傳輸加密操作、網(wǎng)絡(luò)通信安全感知等方面進行加強，包括引入身份認證機制、強化終端數(shù)據(jù)完整性保護、禁止明文傳輸（即加密處理）、跟蹤監(jiān)控通信網(wǎng)絡(luò)行為等策略。第三，應(yīng)用層安全防護策略。物聯(lián)網(wǎng)內(nèi)會產(chǎn)生海量數(shù)據(jù)，配置大量服務(wù)資源，為避免攻克一點而全網(wǎng)崩潰的局面的出現(xiàn)，應(yīng)采用去中心管理系統(tǒng)，即分布式數(shù)據(jù)管理系統(tǒng)，同時配置系統(tǒng)加固、漏洞檢測、安全審計等功能，強化安全防護能力。對于采用云計算的應(yīng)用，為防范各種攻擊行為，可采取設(shè)置安全基線、自動檢測、不定期掃描漏洞和系統(tǒng)更新、數(shù)據(jù)統(tǒng)計分析、安裝防病毒軟件等策略，并采取業(yè)務(wù)分級保護措施。

2.3 防火墻技術(shù)

防火墻是一個非常有效的保護屏障，屬于保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施，通過在網(wǎng)絡(luò)邊界建立網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)可以很好地隔離內(nèi)部與外部網(wǎng)絡(luò)，外部的網(wǎng)絡(luò)入侵可以被有效抑制。對于網(wǎng)絡(luò)通信安全防護來說，可以考慮結(jié)合實際情況來選用網(wǎng)絡(luò)級防火墻、電路級網(wǎng)關(guān)、應(yīng)用級網(wǎng)關(guān)、規(guī)則檢查防火墻，甚至還可以考慮混合使用。以長期的實踐應(yīng)用效果來看，通過在網(wǎng)絡(luò)的對接口設(shè)置防火墻技術(shù)，可以對網(wǎng)絡(luò)層實現(xiàn)訪問控制，試圖跨越防火墻的數(shù)據(jù)流可以被全面性的鑒別，以此來防止不良信息入侵，充分確保網(wǎng)絡(luò)通信安全。但在使用防火墻技術(shù)時，需要特別注意兩點：①防火墻是無法防病毒的；②數(shù)據(jù)在防火墻的更新會存在一定的問題。另外，防火墻多采用濾波技術(shù)，而濾波技術(shù)使用時會導致網(wǎng)絡(luò)性能有大幅度的下降，若是選擇通過高速路由器來解決這一問題，勢必會增加經(jīng)濟成本。因此，防火墻技術(shù)在網(wǎng)絡(luò)通信安全中的應(yīng)用還有很大的完善空間，后續(xù)要進一步加大研究力度。

2.4 動態(tài)數(shù)據(jù)脫敏

在動態(tài)數(shù)據(jù)脫敏技術(shù)中，其也具有專門的脫敏功能模塊，位于大數(shù)據(jù)平臺，和前端的應(yīng)用平臺之間，這能夠在一定程度上，為大數(shù)據(jù)平臺中的數(shù)據(jù)提供安全保護。當前端的應(yīng)用平臺發(fā)起請求，需要訪問大數(shù)據(jù)，相關(guān)數(shù)據(jù)便被輸送到數(shù)據(jù)處理引擎，由動態(tài)脫敏模塊，對訪問請求數(shù)據(jù)進行動態(tài)脫敏。其大致的流程如下，模塊轉(zhuǎn)發(fā)請求，由大數(shù)據(jù)平臺接收。平臺接收到請求之后，對前端應(yīng)用的語法、賬戶以及程序名、IP等信息進行核對，檢查前是否具有合法性。然后數(shù)據(jù)脫敏模塊根據(jù)規(guī)則對應(yīng)用程序發(fā)送的HIVE語法、HBASE語法進行改寫，并將修改后的請求發(fā)送到大數(shù)據(jù)平臺中。最后由大數(shù)據(jù)平臺對請求進行處理，并將處理結(jié)果返回，由前端應(yīng)用平臺接收使用[2]。

2.5 企業(yè)層面

①提升系統(tǒng)整體性。當企業(yè)資源有限時，為了更有效地保障企業(yè)的信息安全，必須從全局出發(fā)，加強信息安全保護的整體布局，對原有產(chǎn)品進行升級改造、全面規(guī)劃、合理布局，追求整體投入產(chǎn)出效益。②明確系統(tǒng)層級性。企業(yè)的管理層對信息安全防護工作的效率有著重大的影響，企業(yè)信息安全保護分為技術(shù)層面保護、策略層面保護和制度層保護，三者相互作用，相互制約。為了有效地保護企業(yè)信息安全，必須處理好和協(xié)調(diào)好各系統(tǒng)間的相互關(guān)系，利用技術(shù)的支持，同時重視管理，加強工作協(xié)調(diào)，才能讓系統(tǒng)發(fā)揮其最大作用。③降低系統(tǒng)交互性。企業(yè)的信息安全保護體系中，各個環(huán)節(jié)存在著強烈的交互作用，使得系統(tǒng)的運行更加復雜。因此需要建立一套完善的內(nèi)部規(guī)章制度，加強技術(shù)并規(guī)范操作，準確識別風險源，確保信息安全策略的正確理解和有效實施，避免周期性風險的交叉影響，減小防范難度。④關(guān)注系統(tǒng)動態(tài)。由于信息技術(shù)的發(fā)展，人們對信息安全保護有著更高的要求，關(guān)于企業(yè)信息安全保障，要正確理解企業(yè)信息安全問題，就必須從時間維度上對其定性，準確定位系統(tǒng)的工作階段，明確定位信息安全風險的時間界限，注重各個階段的連續(xù)性，運用適當?shù)墓ぞ吆头椒ㄗR別風險，找出風險可能造成的危害，采取正確的防范措施，讓企業(yè)信息安全防護更加有效。

2.6 網(wǎng)絡(luò)層信息安全防護策略的實現(xiàn)

網(wǎng)絡(luò)層信息安全防護可采取通信加密和身份認證策略?，F(xiàn)代加密算法有對稱加密算法和非對稱加密算法之分，前者加密和解密使用同一密鑰，后者加密和解密使用不同的密鑰。對稱加密算法的優(yōu)點是加解密快速，但用戶數(shù)量過多時密鑰管理負擔重，AES、DES或3DES是典型的對稱加密算法。非對稱加密算法復雜，安全性高，但相對對稱加密算法來說加解密速度比較慢，RSA是典型的非對稱加密算法。身份認證策略也是基于密碼學理論實現(xiàn)的，主要基于數(shù)字證書或公鑰、身份標識認證，例如基于數(shù)字證書的身份認證由發(fā)證機構(gòu)（CA）用私鑰對身份信息（用戶名、公鑰）、證書機構(gòu)名稱、證書有效期進行數(shù)字簽名，再加上用戶身份信息就形成了數(shù)字證書。

2.7 網(wǎng)絡(luò)加密技術(shù)

通過應(yīng)用加密技術(shù)，可以有效防止不法分子從網(wǎng)絡(luò)上獲取到公用或私有化的信息，可以說網(wǎng)絡(luò)加密技術(shù)是網(wǎng)絡(luò)通信安全的核心。目前來看，應(yīng)用最為有效的網(wǎng)絡(luò)加密方式主要有鏈路加密、節(jié)點加密、端對端加密。其中的鏈路加密技術(shù)可以有效保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全，端點加密技術(shù)可以保護源端用戶到目的端用戶的數(shù)據(jù)，節(jié)點加密技術(shù)可以保護源節(jié)點到目的節(jié)點之間的傳輸鏈路安全。就鏈路加密技術(shù)的優(yōu)勢來說，其使用非常的方便，將一對密碼設(shè)備安裝在兩個節(jié)點的線路上，使用相同的密匙即可。但實際應(yīng)用過程中鏈路加密技術(shù)也有一定的局限性，比如每一條鏈路均需要設(shè)置加密和解密的設(shè)備，導致成本較高。就端對端加密技術(shù)的優(yōu)勢來說，整個消息在傳輸?shù)倪^程中均可以得到有效的保護，即便是節(jié)點被損壞，消息也不會被泄露[3]。

3 結(jié)束語

綜上所述，作為重要的輔助工具，信息系統(tǒng)現(xiàn)已經(jīng)深入到各個行業(yè)中，這使得運維工作同樣有較為良好的發(fā)展前景。作為運維工程師，應(yīng)充分考慮信息系統(tǒng)的應(yīng)用條件與可能影響其功能狀態(tài)的因素，做好技術(shù)與產(chǎn)業(yè)的創(chuàng)新融合工作，為推動信息系統(tǒng)業(yè)務(wù)的未來可持續(xù)發(fā)展奠定堅實的基礎(chǔ)。