文/肖丽辉 张利明

随着信息技术的不断进步，信息系统已经成为单位办公的主要载体，为业务办理、沟通交流提供了规范、方便、快捷、高效的渠道。网络安全一直是信息技术面临的重要问题，计算机病毒、系统漏洞、网络入侵等传统网络安全问题始终存在，云计算、移动办公等新网络环境下的网络安全问题日益突出和复杂。面对网络安全问题，只有构建多层次、多方位的立体防护体系，才能确保网络信息的安全可靠。

1 网络安全问题分析

1.1 计算机病毒

计算机病毒是最具代表性的恶意程序，能够对计算机系统造成破坏性的影响，同时计算机病毒也具有较强的复制性，能够在计算机之间进行转移传播。由于用户计算机操作能力不同、操作习惯不同以及计算机病毒的不断更新，其蔓延速度也有了极大的提高，对计算机的威胁不断加强，必须采取有效的措施进行预防和清除。

1.2 系统漏洞

系统漏洞是在软件编写过程中产生的错误或缺陷，系统运行过程中发现了漏洞大多会被不断修复，有一些漏洞未被发现或被少数人发现但没有公开，容易被非法利用。漏洞会影响到的范围很大，包括系统本身及其支撑软件、应用软件、网络路由器和安全防火墙等。

1.3 网络入侵

网络入侵的形式多种多样，如拒绝服务攻击、字典攻击、劫持攻击等，入侵的手段也时刻发生着变化。软件非法入侵者通过系统漏洞采用一些技术手段能够入侵到系统后台甚至数据库，对网络和信息安全产生极大的威胁。

此外，随着云计算技术的发展和移动网络的普及，网络安全也面临着新的问题:1.3.1 云计算环境下的安全问题

云服务环境下网络边界部分消失，传统的划分边界的网络安全防护方式已经不能适应云环境。大量的数据汇集，数据被损坏、篡改、泄露或窃取的风险加大。大量数据文件在第三方平台中进行存储与处理，其安全管理方面受到更大挑战。

1.3.2 移动办公环境下的安全问题

移动办公是以便携终端为载体实现的移动信息化系统。便携式终端便于携带，带离待定办公场所仍可访问内部数据，从物理上突破了空间的限制，在给使用人带来便利的同时，也容易产生数据泄露。终端在与内部网络进行数据交换时数据容易被通过外部截获，如果不采取加密措施，就成为攻击目标，严重威胁信息安全。

2 保障网络安全的措施

2.1 物理级别

机房出入口应配置电子门禁系统，控制、鉴别和记录进出的人员，设置机房防盗报警系统或设置有专人值守的视频监控系统。机房配备空调、可持续电源等，为设备运行提供良好的温度、湿度、电力保障。人员进出机房佩戴防尘装备，保护设备免受灰尘影响。

2.2 网络级别

2.2.1 做好网络架构规划

科学规划网络结构，将网络划分为核心区、运维管理区、安全保障体系区、办公楼汇聚区等不同的子区域，并针对不同区域采用不同的安全策略，在区域之间采用防火墙等安全设备进行有效隔离。当网络需要外联时，采用前置机、边界网关、VPN 技术等方式做好边界安全防护。

2.2.2 完善基础设施，传统的网络防护工具有防火墙、入侵检测、防病毒软件和漏洞扫描等

防火墙，部署于两个不同网络安全域之间，防火墙设置一定的安全规则，两个安全域之间信息流通过防火墙过滤，不符合安全规则的数据将被拒绝通过。防火墙的访问控制策略不仅要关注从外到内的防护，也要重视从内到外的控制，避免内部人员的对外输送，便于掌握由内而外的异常情况。

防病毒系统，能够根据病毒特征码对病毒进行识别、隔离、查杀，是保护计算系统免受病毒入侵重要工具。防病毒系统既要在终端安装，也要在服务器上安装，虚拟化系统可在虚拟化底层统一安装，提高效率。

入侵检测，入侵检测设备能够对网络流量进行细致的分析，部署于网络流量入口，可以与防火墙联合使用，帮助系统防御网络攻击。

漏洞扫描，能够通过对主机、端口、数据库等进行扫描，并根据漏洞数据库对系统的安全脆弱性进行检测。因为漏洞信息会不断更新，需要定期对系统进行漏洞扫描，以获取最新的漏洞信息。

2.3 主机级别

操作系统，对管理用户登录进行强身份鉴别，口令必须有一定的长度和复杂度，并定期更换，最好采取口令和密码技术相结合的身份鉴别方式。操作系统补丁须定期更新。

数据库和应用中间件，加强对数据库和中间件的后台管理，设置好安全基线，定期对数据库和中间件进行版本升级或补丁修复。加强数据库运维管理，建立数据库运维的标准流程，防止数据库管理员因为误操作等原因而产生的数据丢失等。

2.4 数据级别

2.4.1 数据加密

明文数据在存储和传输过程中一旦被非法获取，就会导致数据泄露，加密后的信息数据即使在传输过程中被窃取或截获，窃取者也无法破解信息数据的内容，能够有效保障信息数据传输和存储安全。在云计算环境和无线传输环境中数据加密尤为重要。数据加密特别要注意密钥的产生、分配、保存、更换和销毁等各个环节上的保密措施。

2.4.2 数据备份

（1）“在线数据”，这类数据需要时时在线查询，一般存储在硬盘等存储设备上，需要采取备份手段防止数据丢失。“同城双中心”能够通过高速链路实现两个数据中心的同步运行，一个数据中心出现问题，另一个数据中心可以实现即时接管。为进一步夯实备份基础可以在异地的城市建立一个“异地灾备中心”，用于“同城双中心”的备份。

（2）“离线数据”。这类数据访问频次极低，结合国家政策要求，基于经济性和安全性考虑，可采用光盘、磁带等备份方式。

2.5 业务级别

2.5.1 身份认证与授权管理

针对不同的业务场景采取不同安全级别的身份认证方式，应采用口令、密码技术、生物技术等两种或两种以上的鉴别技术对用户进行身份认证，并且密码技术是必不可少的。访问控制的目的是对用户访问数据资源的权限进行严格的认证和控制。身份认证与授权管理系统是进行身份认证和访问控制的基础，能够对业务系统关键、敏感操作提供抗抵赖功能，并对重要的数据进行签名、加密，实现数据的完整性和机密性保护。SM2 椭圆曲线密码算法是国密算法，在计算强度和保密强度上都远远胜于1024 位的RSA 公钥密码算法，能够满足技术进步、国家政策、安全形势等方面的要求。

2.5.2 安全审计

健全审计系统是提高系统安全性的重要措施。通过记录与审查用户操作计算机及业务系统活动的过程，如用户所使用的资源、使用时间、执行的操作等，能够实现事后的可追溯。应对安全审计元进行身份鉴别，只允许通过特定的命令或操作界面进行安全审计，并对这些操作进行审计。

2.6 用户级别

（1）加强安全教育，提高安全意识。网络安全，人人有责，牢固树立忧患意识，做到居安思危，增强对网络安全重要性的认识，不仅学网、懂网，而且要安全用网，让网络安全入脑入心，织密织牢安全网。

（2）提升终端的技术防护能力。在计算机设备、移动设备等安装客户端安全监控系统等安全辅助软件，帮助用户建立良好的操作习惯，并实现网络准入控制、违规外联管理、移动存储管理等。

2.7 制度级别

（1）完善网络安全管理制度。制定和完善安全管理制度、操作规程和技术规范，网络安全相关制度包括机房管理制度、巡检制度、值班制度、应急管理制度、应用系统管理制度等。网络安全制度要根据实际执行情况和相关管理要求不断完善，以适应最新的管理需要。

（2）加强网络安全制度执行落实。加强安全管理制度的学习、规程的培训，全员签订网络安全责任书，把网络安全责任落实到每个岗位，定期组织网络安全检查，监督制度落实情况，确保网络安全制度落到实处。

3 结语

信息化离不开网络安全，网络安全保障体系必须与信息系统同步规划、同步建设、同步运行。网络安全既要用好成熟的网络安全防护技术，也要研究新环境下的网络安全防护方法，从各个层面提高网络的安全性。