浅析建立网络数据安全与防线

摘 要：如今网络环境充斥着各种新旧不同的风险和漏洞，有些最大的风险虽然在过去的几年内没有什么变化，但许多风险仍在肆虐，给敏感信息造成极大的威胁和巨大的破坏，如何建立一个网络数据安全和防线并防范风险一直是业界关注的重点。

关键词：安全策略；安全管理机制；防火墙

近几年出现了许多大公司和企业受到网络攻击与泄密，其中有：黑客攻击索尼盗走上亿用户信息； CarrierIQ手机软件窃取用户隐私；安全公司RSA被入侵引发连锁反应；韩国SK通讯公司泄露七成韩国人资料；爱普生遭遇黑客泄露3500万用户信息；三菱重工军事信息被黑客窃取；美国银行职员盗卖客户资料损失千万；花旗银行信用卡信息被盗华盛顿邮报泄露上百万用户信息；美国头号军火供应商洛克希德马丁被入侵等等。

网络攻击与泄密事件的特点是：

1、“拖库”日渐流行：把大型网站的数据库全部盗走，之后再利用这些数据库信息，或定点攻击，或“撞库”，扩大战果；

2、“窃密时代”来临：以数据窃取为目标，定点攻击，关注政府、军事军工、科技情报；

3、剥光“个人隐私”：无论黑客、内鬼还是无良企业，把目标瞄准了个人隐私，大肆窃取后加工利用。

现在企业面临的数据库风险将有增无减。数据库越来越容易遭到攻击有两方面原因：首先，公司被要求越来越多地增加对存储在数据库中数据的访问。增加的数据访问极大地增加了数据被窃取和滥用的风险。要求访问数据的人员包括内部雇员、审计人员、承包商、分包商、供应链的合作伙伴等。其次，数据库的攻击者已经发生了变化。过去，攻击者的目的是为了炫耀其才能，虽然意图并不高尚，但很少造成数据失窃。如今，攻击者的动机往往是经济上的，有时与政治或意识形态有关。攻击者有组织并且死心塌地地寻求可以使其发财的信息，如知识产权、信用卡号、个人身份证号、政府机密等私密信息。

在考虑到这些风险后，企业需要一种可以清除漏洞、定位敏感数据、确认用户访问、监视数据库活动的安全策略，而且能在数据库水平上减轻风险。从历史上看，企业将工作的重点放在安全和外部攻击上，投资购买了防火墙、反病毒软件，并确保路由器的配置安全等。虽然这些投资很有必要，但对于阻止针对数据库的直接攻击却收效甚微。如果不阻击这些攻击，就会搞垮公司。调查发现，现代的数据库攻击所造成的单位成本比以往任何攻击都要巨大。而修复数据库损害的花费更是越来越高。在这种环境中，企业必须保护自己免受最高风险的危害，并重视保护数据库免受各种新出现风险的破坏。

下文讨论的是一些需要引起关注的重要安全风险，在制定和实施数据库防御策略：

数据安全的几道防线：

防线一:进行信息资产分析、风险分析和评估以及需求分析

通过分析人员、安全评估人员对信息资产分析、风险分析和评估以及需求分析，从而充分了解目前的网络现状和安全现状，以及相应的安全需求。

防线二:制定安全策略

根据安全需求分析结果制定适合用户信息系统的准确的安全策略，安全策略是整个信息安全的指导方针。

防线三:建立有效的安全管理机制

通过建立有效的安全管理机制，从而实现信息安全流程化、制度化、规范化的管理。

建立有效的安全管理机制，主要包括以下内容:

1.建立专门的WEB应用安全管理机构

2.建立有效的安全操作管理制度

3.建立有效的网络安全管理制度

4.建立有效的安全管理制度

5.建立有效的病毒防范管理制度

防线四:安全防护系统建设

通过第三方安全产品、安全技术、安全服务相结合，建设安全防护系统，从而实现数据安全保护。

网络防火墙及VPN；入侵防御系统(IPS)；用于实现安全域的划分和网络访问控制；用于实现检测和防御那些被明确判断为攻击行为(对网络、数据造成危害的恶意行为)WEB应用防火墙:用于网站应用层的安全防护。

安全审计系统:

操作进行安全审计；安全扫描工具；设置有效的安全审计系统，对来自重要服务器内外部的实现事后有效追溯和审计;用于扫描发现系统可能存在的安全漏洞及弱点;用于对主机、网络等整个系统进实风险评估识别脆弱性;安全加固,针对评估结果进行加固，提高系统的安全防护能力。

防线五:实施维护

成立专门负责实施维护信息系统部门，不同系统成立不同的实施维护小组，来实施维护相应的信息系统，从而实现安全防护系统的正常稳定运行。

防线六:监督核实

成立监督核实安全管理制度、安全防护措施具体落实的监督部门，通过专门的监督人员来核查其落实情况，对于没有落实或违反制度人员进行相应的处罚，从而实现保障安全管理制度、安全防护措施的具体落实。

1．事前防范

事前针对本信息系统进行深入的风险评估工作，涉入网络层、应用层、主机操作系统等技术层面，还有对安全管理制度、安全策略进行评估。在安全评估的基础上定制新的安全策略。做好安全防范工作、充分准备安全预案一方降低业务系统自身暴露的安全问题，另一方面积极加固系统的防御能力，尽可能的降低遭受攻击而带来的损失。

2．事中防御

合理部署网络层、应用层安全产品如抗DDOS、网络防火墙、IPS, WEB应用防火墙等，严格按照风险评估的结论实施安全策略，并动态的调整安全策略实现动态最佳安全平衡，当攻击事件发生时能很好的起到预计的防御能力，同时能够快速有效的进行应急响应。

3．事后审计

做好安全防范、安全防御的同时做好安全审计工作，实现针对可疑行为发生时可实时告警和记录，实现安全事件事后有效追溯和审计。

结语

网络数据安全与网络管理策略、有效的安全管理机制密不可分，通过本文对建立网络数据安全与防线的综述，可以总结出除了建立一个网络安全防御的技术，还要建立一套安全人事管理机制才能建立和防范现今的数据安全。

参考文献

[1] 万长有.计算机网络数据安全分析与防范措施[A].经济技术协作信息-2009年31期

[2]欧阳世文.计算机网络数据安全策略[A].科技广场-2009年1期

[3]王雪丽.浅析网络安全技术[A]. 中国科技博览-2012年2期