专线网络的信息安全保障系统探究

摘要：专线网络的出现，是为了专线网络用户数据信息在传输时更为安全，价格相对昂贵的专线网络是如何提高数据信息传输的安全性呢，本文从专线网络的社会需求、系统构建的必要、构建理念等方面阐述了如何建立专线网络的信息安全保障系统。

关键词：专线网络　信息　安全保障系统　构建

专线网络往往用来传输企、事业单位之间比较重要或机密性较高的数据信息，专线网络相对于开放式的信道虽然能够很好的提高用户信息传输时的安全性，但由于其自身不可避免的缺陷和来自于网络各方面威胁的不确定性，使得专线网络的信息安全保障Ⅲ问题被日益重视。

1、专线网络的普遍需求归纳

随着各行业的信息化、网络化发展，企业、事业单位信息量和信息传输需求的不断增加，传输速度快、安全性高的专线网络被越来越多的用户所需要，并普遍应用于社会的各个方面，其中甚至包括政府部门，这就要求专线网络首先要做到的就是安全性，要求信息在传输过程中的完整性，并不被窃取；能持续提供稳定的、不间断的、大容量的传输服务，接入点的分布范围广能在全国范围内便捷、快速的接入，并能随着业务需求量的不断增加同步的进行扩展。

2、专线网络信息安全保障系统建立的必要性

专线网络的安全涉及到用户信息能否被有效地利用，数据信息的丢失危害性小的可能造成诸如企业或学校等单位的管理混乱，危害性大时甚至可能威胁到国家安全、一个企业的生存与否，所以构建一个有安全保障系统的专线网络是非常有必要的，国家相关文件也指出“要注意专线网络安全保障系统中最薄弱的地方，尽量充分地认识到各种潜在的威胁，根据信息的重要性、性等级，建立相应等级的安全措施和管理。”

专线网络的信息安全保障系统的建设是一个整体，需要在充分进行了风险评估的基础上，综合地进行考量和建设，不但要在软、硬件安全措施方面进行设置，还要相应的提高管理人员的危机意识，充分认识到信息安全的重要性，和一旦信息丢失所造成的严重后果，才能使得在安全设施方面的投入被充分的利用，并发挥应有的作用。

3、专线网络信息安全面临的问题

随着专线网络的安全问题被日益重视，各种安全保障技术也在不断地提高，如防火墙技术、软件加密和硬件设备加密等等，尽管些技术在一定程度上解决了专线网络的一部分安全问题，但是专线网络的安全保障方面仍存在着一定的问题：虽然现在大多数的专线网络都采用了入侵检测和病毒扫描技术，但是由于目前入侵检测技术的发展程度尚不成熟，无法及时高效的对入侵者采取防范措施，所以没有被广泛的应用；在病毒扫描方面，存在着病毒数据库更新不够及时，扫描手段落后，对潜在的网络病毒和木马威胁的预知几乎为零等问题。在有些企业内部的网络中安装有安全芯片，但是目前的安全芯片无法做到高度的智能化，对人为操作的要求相对较高，很难做到高度统一。

4、专线网络信息安全系统构建的原则

4.1专线网络信息安全系统构建的设计理念

由于各专线网络的安全级别要求不同，所以每个专线网络可以根据自己的安全等级翻需要，并根据自身企业或单位的资金等具体情况，来进行安全保障系统方面的建设。所选择安全保障系统要有较好的智能性，便于使用中的操作和日常维护；另外，要在进行防御时改被动为主动，采用取“动静结合”的安全手段。安全保障系统还要具有良好的性价比，最好为一次性的投资，减少日后的附加费用，并有良好的扩展性。

4.2专线网络信息安全系统构建的设计原则

专线网络采用的安全保障技术在设计时要遵循以下原则：首先要适合操作人员的能力，不要采用过于复杂的措施，人员操作水平达不到安全措施的要求时，就相当于削弱了安全保障性能；安全技术的设计也要根据系统的具体性能来选择，过于繁复的运算，会大大降低系统的运行和响应速度；在风险评估的基础上针对单位的具体情况，设计适合的专线网络安全保障系统，设计的安全级别愈高，相应的投资数额就会愈多，要在考虑系统安全性的同时考虑用户的投资承受能力。一个可靠的信息安全保障系统要有良好的整体性，综合运用专业的措施和人为管理制度，如严谨的操作流程、日常维护制度等等。

5、专线网络信息安全系统的具体构建

5.1构建完善的病毒防御系统

随着网络病毒的发展和变化，其多样化的传播方式、隐蔽化的感染方式，使得专线网络一旦被病毒感染，很难被清除干净。首先存在着人为因素，大多数的终端用户对预防、清除病毒没有重视，一旦某终端或局部网络感染病毒，在缺乏管理的状态下将会迅速传播到整个专线网络。一个较大的专线网络中存在着众多的终端用户，很难做到统一升级病毒数据库，并在同一时间内同时进行杀毒。而且现在的网络病毒利用高科技的手段进行系统嵌入，一旦嵌入清除的可能性就很小。

针对上述问题，建议在专线网络内部建立一个两级的既能集中管理又能进行分级管理的网络病毒防御、监控体系。二级系统内的服务器等网络设备、所有终端都可以实现自我管理，并将二级系统内的病毒信息集中汇总后，报往上一级的管理系统。在专线网络内部建立病毒防御管理区，分别针对内网、专网和外网(即互联网)病毒防御服务器。

5.2构建系统漏洞扫描系统

专线网络用户往往会应用各种软件，这其中包括安全保障方面的软件或产品，这些产品在设计时和应用时都存在着漏洞，这些漏洞就会被病毒和木马程序所利用，直接对专线网络进行攻击。应根据专线网络的实际情况，尽量的通过漏洞扫描系统发现漏洞，并及时补救。目前即使是效果最好的入侵检测系统，往往也存在着不能及时更新、经常检测到一些没有意义的所谓隐患，在数据流量较大时，还存在误报和漏报，在黑客利用大量的伪造的数据包俺盖其真正的目的攻击意图时，就可能造成系统的瘫痪。构建结合预防和主动还击措施的漏洞检测系统，在系统漏洞被黑客利用前，先利用已掌握的黑客软件，攻击自己的专线网络，以检测漏洞检测系统对漏洞的检测能力及对漏洞的定位是否准确；在受到攻击时，采取主动还击的方式，对攻击来源进行攻击，使其不再具备攻击的能力。

5.3构建入侵检测系统

专线网络因其所传输的信息的机密性和重要性，所以必须建立起一套确实可选择入侵检测系统，实时监控可能发生的入侵行为，当有入侵行为时，能进行阻断或弱化，并能生成详细推检测报告。由于黑客技术的不断提高，在进行攻击时往往把真正的攻周行为隐藏起来，先生成大量的虚假报警，造成入侵检测系统的误报，并不能对攻击行为进行精准的描述。鉴于以上入侵检测系统存在的问题，建议构建报警信息数据融合系统，由低层报警、中层报警、高层报警、入侵报告五个部分组成，如图1：

5.4构建身份认证系统

专线网络中各终端用户存在着权限的分级问题，在建立以上一系列安全保障措施以后，还应构建一系列身份认证系统，由于企业或部门的规模大小不一，尤其是一些信息量较大，应用较多的专线网络，对终端用户的权限更应明晰，没有明确的权限区分，就会出现所有的人都在使用统一的用户名和密码，相当于无加密开放式的网络环境，且管理人员根本无法区分到底是哪个终端用户进行了该项访问，用户在专线网络内不同系统时，还要多次重复登陆用户名和密码，造成了大量数据的产生，为管理工作带来了极大的不便。终端用户在该单位内的身份信息或所在部门如有变动，也无法及时的进行更新。

鉴于以上情况应在专线网络内设置公钥基础设施，利用信任度高的第三方平台，为网内用户提供数字证书，预防越级的、超权限的访问行为，保证数据传输时的机密性和网内用户发生访问行为时的身份认证。如数字证书需要绑定的属性信息较大时，也可采用将属性证书与身份证书分开但是联合使用的方法，用身份证书确认用户的身份，这一身份基本上是长期不变的，所以此期间该用户的身份证书可持续使用；用属性证书来限制专线网络用户的访问权限，当有部门或职务变化时，直接变动属性证书就可以了，避免了大量废弃身份证书的存储和管理问题。