大數據中心網路安全檢查

1. 如何加強網路安全管理技術

導語：如何加強網路安全管理技術?隨著計算機網路技術的發展，網路信息安全管理問題不容忽視。在實際運行過程中，計算機網路信息安全是一個動態的過程，需要建立一個完善的網路安全防範體系，針對用戶不同需求，採用不同的防範措施，避免泄露用戶的隱私和信息。

如何加強網路安全管理技術

第一，要安裝防火牆，可以有效的防止內部網路遭到外部破壞。

防火牆的設置，可以有效防範外部入侵，可以有效的對數據進行監視，阻擋外來攻擊。雖然有了防火牆作為屏障，但是不能從根本上保障計算機內網的安全，因為很多的不安全因素也會來自內部非授權人員的非法訪問或者惡意竊取，因此，在計算機網路內部，還要做好身份鑒別和基本的許可權管理，做好文件的保密儲存，保證內部涉密信息的安全性。

第二，口令保護。

在計算機運行過程中，黑客可以破解用戶口令進入到用戶的計算機系統，因此，用戶要加強設置口令的保護，在實際使用過程中要定期更換密碼等。就目前而言，較為常用的是採用動態口令的方式，建立新的身份認證機制，大大提高用戶賬戶信息的安全性。動態口令主要通過一定的密碼演算法，從而實時的生成用戶登錄口令。因為登錄口令是與時間密切相關的，每次口令不一樣，而且一次生效，從而解決了口令的泄露問題，有效的保證用戶信息的安全性。

第三，數據加密。

隨著互聯網技術的迅速發展，電子商務廣泛應用，企業之間的數據和信息需要互聯網進行傳播，在進行傳輸過程中，可能出現數據竊取或者被篡改的威脅，因此，為了保證數據和信息的安全，要進行保密設置，採取加密措施，從而保證數據信息的機密性和完整性，防止被他人竊取和盜用，維護企業的根本利益。另外，在實際傳輸過程中，如果有的數據被篡改後，還可以採用校驗技術，恢復已經被篡改的內容。

第四，提高網路信息安全管理意識。

對企業而言，要向員工廣泛宣傳計算機網路信息安全知識，做好基本的計算機安全維護，普及一定的安全知識，了解簡單的威脅計算機安全的特性，認識到計算機網路信息安全的重要性，提高員工的警覺性;還要建立專業的網路信息安全管理應急小左，對計算機網路信息運行中遇到的問題要進行分析和預測，從而採取有效的措施，幫助企業網路運行安全。對個人而言，要設置較為復雜口令，提高使用計算機安全意識，保護個人的重要隱私和機密數據。個人用戶要及時升級殺毒軟體，有效防止病毒入侵，保證計算機運行安全。另外，為了防止突發事件，防止計算機數據丟失，個人用戶要對重要的數據進行復制備份，在計算機遇到攻擊癱瘓以後，保證數據資料不會丟失，避免受到不必要的損失。

如何加強網路安全管理技術

1.加強政府網站安全工作組織領導，提高責任意識

從哈爾濱市每年開展的政府網站績效考核工作可以看出，有相當數量部門領導沒有把政府網站建設和安全管理工作作為一項重要工作來抓，存在重建設輕管理的問題。借鑒全國其他省(市)的先進經驗，一是建議市政府將政府網站納入地方政府和部門績效考核體系，作為領導班子綜合考核評價的內容之一，作為領導幹部選拔任用的依據。二是要按照誰主管誰負責、誰運行誰負責的原則，強化管理和明確責任，確保政府網站安全管理工作落實到人，一層抓一層，做到網站管理不缺位，信息安全有保障。

2.建立健全政府網站安全管理制度，認真貫徹執行。

一是建立政府網站的安全管理制度體系，指導和制約網站安全建設和管理工作。網站出現相關問題時，工作人員要快速向網站相關負責人反映，以便及時得到處理;二是建立網站日常巡檢制度，指定人員每日檢查網站運行情況，及時發現並妥善解決存在的問題;三是建立具體負責人制度，對網站的網路管理、資料庫服務維護、信息處理等實行誰主管誰負責;四是建立節假日值班制度，做到信息及時更新，保證網站不間斷運行;建立日誌記錄備案制度，對網站日常工作要如實記錄，並作為技術管理檔案保存。

3.加強人才隊伍的培養，統籌建立哈爾濱市應急處理體系

一是加強政府網站安全管理培訓。通過參加信息安全、信息技術、信息管理等方面的培訓，進一步提高網站工作人員整體建設網站、管理網站的能力。二是強化技術支撐保障工作。成立哈爾濱市信息安全測評中心，為哈爾濱市黨政機關、企事業單位網站提供技術保障和技術支撐服務。三是建立政府網站專項應急預案，以保證政府網站在事故發生時得到快速、及時處理。四是建立信息安全檢查監督機制。依據已確立的技術法規、標准與制度,定期開展信息安全檢查工作,對檢查中發現的違規行為,按規定處罰相關責任人,對檢查中發現的安全問題和隱患,明確責任部門和責任人,限期整改。

4.統籌規劃政府網站群建設，實施集約化管理。

積極推進雲模式下政府網站群的集約化建設。一是按照哈爾濱市電子政務建設的總體要求，進行統籌規劃，統一網站運行載體，避免分散、重復建設，即：利用哈爾濱市信息中心平台的基礎環境作為哈爾濱市政府網站運行載體;由哈爾濱市信息中心平台的技術隊伍，承擔哈爾濱市政府網站的建設及日常運行的技術維護工作;對於缺乏建設、維護網站能力的單位或部門，不再建設獨立網站，由哈爾濱市信息中心平台代為承載其應向社會公眾提供的政府信息公開等政務公共服務功能。二是確立統一標准，完善政府信息公開和政務信息資源共享機制，規劃“中國哈爾濱”門戶網站群及內容管理系統建設，進一步整合各部門政府網站，按照統一規劃、分步實施的原則，建立統一的`站群管理平台，將哈爾濱市各政府機構網站整合到站群平台上運行，形成以市政府門戶網站為核心，以政府機構網站為群體的，資源共享、協調聯動的網站群體系，全面提高政府網站公共服務水平。三是加強網站群建設管理，強化安全保障，建立應急響應機制，依託由哈爾濱市信息中心平台現有技術、人才優勢，為哈爾濱市政府網站建設單位提供安全技術支持、信息技術培訓、網路安全風險評估等服務。

5.加大安全技術體系建設

技術防護是確保網站信息安全的有力措施，在技術防護上，主要做好以下幾方面工作。

一是要加強網路環境安全。

首先要安裝網站防火牆(WAF)、網站防篡改系統、網路防火牆和入侵檢測系統等，在傳統的網路防火牆基礎上，網站防火牆(WAF)從網路的應用層面提高網站安全防護能力，利用入侵檢測系統識別黑客非法入侵、惡意攻擊以及異常數據流量, 通過對網站防火牆(WAF)和網路防火牆進一步優化配置來阻斷黑客非法入侵、惡意攻擊。網站防篡改系統是網站最後一道防護屏障，一旦防護失效時，網站首頁或內容被篡改，防篡改系統可立即恢復網站被篡改的內容，不至於造成政治事件和影響，同時給網站管理人員短暫喘息時間，及時修改和完善網站安全配置文件，確保網站安全穩定運行。

二是加強網站平台安全管理。

在現有中心平台的基礎上，進一步優化完善網路結構、合理配置網路資源，配置下一代防火牆、病毒防護體系、網路安全檢測掃描設備和網路安全集中審計系統等設備，從邊界防護、訪問控制、入侵檢測、行為審計、防毒防護、安全保護等方面不斷完善哈爾濱市信息化中心平台的安全體系建設，確保在哈爾濱市信息中心平台基礎環境下，大數據平台、大工業體系信息化輔助決策平台和雲模式下政府網站群平台安全穩定建設運行。

三是加強網站代碼安全。

一個安全的網站，不但要有良好的網路環境，更要有高質量的應用系統，現時期由於網站代碼不嚴密、安全性差引起的網路安全事件屢見不鮮，這就要求網站技術開發人員在開發應用系統過程中，要養成良好的代碼編寫習慣，盡量不要使用來歷不明的代碼和插件，編寫程序時要嚴格過濾敏感的字元，並且在系統開發完成後，要有相應的代碼檢測機制和手段，及時更新漏洞補丁，從源頭上遏制網站掛馬、SQL注入和跨站點腳本攻擊等行為。要部署網頁防篡改系統，網頁防篡改系統具備實時阻斷非法修改和對非法修改的文件進行恢復的能力，在其他防護措施失效的情況下，能夠有效地解決網頁被篡改的問題，實現針對網站信息的保護。

四是加強數據安全。

要加強資料庫的安全，採用正版資料庫系統，通過網路安全域劃分,資料庫被隱藏在安全區域,同時通過安全加固服務對資料庫進行安全配置,並對資料庫的訪問許可權做最為嚴格的設定,最大限定保證資料庫安全;部署數據災備系統，對網站和關鍵應用系統數據進行定期備份，利用市政府大樓機房環境，將這些數據進行異地備份，確保關鍵數據安全，防止造成無法挽回的損失。

2. 大數據背後, 是誰在監視我們的生活

關於大數據的問題，可以給某些行業提供便利，同時也給一部分人帶來了苦惱，究竟是誰利用大數據監視著大家的生活呢？主要是以下幾個主體吧！

一是網路安全中心。網路從來都不是法外之地，為了避免有些人利用網路做一些非法的事情，所以，網路安全中心會對所有的網路信息進行監管。這樣不僅有效的降低了相應的犯罪，同時也有一定的監視效果在其中。

比如國家反詐騙APP，就是通過大數據，讓老百姓規避很多網路詐騙的風險。對於這樣的監視大部分人都是持以支持的態度，因為這是對大家都好的事情。

四是各類APP。我們通常在下載並安裝某一個APP的時候，就會選擇是否允許它讀取你手機的信息。而這個所謂的選擇，其實是強制性的，因為如果你選擇不同意的話，你就沒有辦法使用這個APP，而當你選擇使用它就意味著你接受它的監視。

APP幕後都是有資本的力量的，而他們最終的目的就是為了賺錢。如果只是合法賺取消費者的錢，我覺得是可以接受的，最怕的是那種非法集資，監視著網民在網上的一舉一動，通過數據中心來榨取資金。所以在選擇和下載APP的時候，還是要謹慎一些。

3. 如何利用大數據來處理網路安全攻擊

「大數據」已經成為時下最火熱的IT行業詞彙，各行各業的大數據解決方案層出不窮。究竟什麼是大數據、大數據給信息安全帶來哪些挑戰和機遇、為什麼網路安全需要大數據，以及怎樣把大數據思想應用於網路安全技術，本文給出解答。
一切都源於APT
APT（Advanced Persistent Threat）攻擊是一類特定的攻擊，為了獲取某個組織甚至是國家的重要信息，有針對性的進行的一系列攻擊行為的整個過程。APT攻擊利用了多種攻擊手段，包括各種最先進的手段和社會工程學方法，一步一步的獲取進入組織內部的許可權。APT往往利用組織內部的人員作為攻擊跳板。有時候，攻擊者會針對被攻擊對象編寫專門的攻擊程序，而非使用一些通用的攻擊代碼。此外，APT攻擊具有持續性，甚至長達數年。這種持續體現在攻擊者不斷嘗試各種攻擊手段，以及在滲透到網路內部後長期蟄伏，不斷收集各種信息，直到收集到重要情報。更加危險的是，這些新型的攻擊和威脅主要就針對國家重要的基礎設施和單位進行，包括能源、電力、金融、國防等關繫到國計民生，或者是國家核心利益的網路基礎設施。
現有技術為什麼失靈
先看兩個典型APT攻擊案例，分析一下盲點在哪裡：
1、 RSA SecureID竊取攻擊
1) 攻擊者給RSA的母公司EMC的4名員工發送了兩組惡意郵件。郵件標題為「2011 Recruitment Plan」，寄件人是[email protected]，正文很簡單，寫著「I forward this file to you for review. Please open and view it.」;裡面有個EXCEL附件名為「2011 Recruitment plan.xls」；
2) 很不幸，其中一位員工對此郵件感到興趣，並將其從垃圾郵件中取出來閱讀，殊不知此電子表格其實含有當時最新的Adobe Flash的0day漏洞(CVE-2011-0609)。這個Excel打開後啥也沒有，除了在一個表單的第一個格子裡面有個「X」(叉)。而這個叉實際上就是內嵌的一個Flash；
3) 該主機被植入臭名昭著的Poison Ivy遠端控制工具，並開始自BotNet的C&C伺服器(位於 good.mincesur.com)下載指令進行任務；
4) 首批受害的使用者並非「位高權重」人物，緊接著相關聯的人士包括IT與非IT等伺服器管理員相繼被黑；
5) RSA發現開發用伺服器(Staging server)遭入侵，攻擊方隨即進行撤離，加密並壓縮所有資料(都是rar格式)，並以FTP傳送至遠端主機，又迅速再次搬離該主機，清除任何蹤跡；
6) 在拿到了SecurID的信息後，攻擊者就開始對使用SecurID的公司(例如上述防務公司等)進行攻擊了。
2、 震網攻擊
遭遇超級工廠病毒攻擊的核電站計算機系統實際上是與外界物理隔離的，理論上不會遭遇外界攻擊。堅固的堡壘只有從內部才能被攻破，超級工廠病毒也正充分的利用了這一點。超級工廠病毒的攻擊者並沒有廣泛的去傳播病毒，而是針對核電站相關工作人員的家用電腦、個人電腦等能夠接觸到互聯網的計算機發起感染攻擊，以此 為第一道攻擊跳板，進一步感染相關人員的U盤，病毒以U盤為橋梁進入「堡壘」內部，隨即潛伏下來。病毒很有耐心的逐步擴散，利用多種漏洞，包括當時的一個 0day漏洞，一點一點的進行破壞。這是一次十分成功的APT攻擊，而其最為恐怖的地方就在於極為巧妙的控制了攻擊范圍，攻擊十分精準。
以上兩個典型的APT攻擊案例中可以看出，對於APT攻擊，現代安全防禦手段有三個主要盲點：

1、0day漏洞與遠程加密通信
支撐現代網路安全技術的理論基礎最重要的就是特徵匹配，廣泛應用於各類主流網路安全產品，如殺毒、入侵檢測/防禦、漏洞掃描、深度包檢測。Oday漏洞和遠程加密通信都意味著沒有特徵，或者說還沒來得及積累特徵，這是基於特徵匹配的邊界防護技術難以應對的。
2、長期持續性的攻擊
現代網路安全產品把實時性作為衡量系統能力的一項重要指標，追求的目標就是精準的識別威脅，並實時的阻斷。而對於APT這種Salami式的攻擊，則是基於實時時間點的檢測技術難以應對的。
3、內網攻擊
任何防禦體系都會做安全域劃分，內網通常被劃成信任域，信任域內部的通信不被監控，成為了盲點。需要做接入側的安全方案加固，但不在本文討論范圍。

大數據怎麼解決問題
大數據可總結為基於分布式計算的數據挖掘，可以跟傳統數據處理模式對比去理解大數據：
1、數據采樣——>全集原始數據（Raw Data）
2、小數據+大演算法——>大數據+小演算法+上下文關聯+知識積累
3、基於模型的演算法——>機械窮舉（不帶假設條件）
4、精確性+實時性——>過程中的預測
使用大數據思想，可對現代網路安全技術做如下改進：
1、特定協議報文分析——>全流量原始數據抓取（Raw Data）
2、實時數據+復雜模型演算法——>長期全流量數據+多種簡單挖掘演算法+上下文關聯+知識積累
3、實時性+自動化——>過程中的預警+人工調查
通過傳統安全防禦措施很難檢測高級持續性攻擊，企業必須先確定日常網路中各用戶、業務系統的正常行為模型是什麼，才能盡早確定企業的網路和數據是否受到了攻擊。而安全廠商可利用大數據技術對事件的模式、攻擊的模式、時間、空間、行為上的特徵進行處理，總結抽象出來一些模型，變成大數據安全工具。為了精準地描述威脅特徵，建模的過程可能耗費幾個月甚至幾年時間，企業需要耗費大量人力、物力、財力成本，才能達到目的。但可以通過整合大數據處理資源，協調大數據處理和分析機制，共享資料庫之間的關鍵模型數據，加快對高級可持續攻擊的建模進程，消除和控制高級可持續攻擊的危害。

4. 規定網路安全等級保護指導思想原則和要求

等級保護在貫徹落實過程中,必定有一定的原則需要遵守,今天,我們通過對比和中有關描述,來看一下有關原則哪些是一如既往不變的部分,哪些是在不斷發展中拓展出來的內容。有關貫徹落實信息安全等級保護制度的原則,最要由《關於印發
的通知》公通字[2004]66號文提出。下面看具體內容:
貫徹落實信息安全等級保護制度的原則(等級保護國家信息安全等級保護堅持自主定級、自主保護的原則,對信息系統分等級進行保護,按標准進行建設、管理和監督。信息安全等級保護制度遵循以下基本原則。
(1)明確責任,共同保護。通過等級保護,組織和動員國家、法人和其他組織、公民共同參與信息安全保護工作;各方主體按照規范和標准分別承擔相應的、明確具體的信息安全保護責任。
(2)依照標准,自行保護。國家運用強制性的規范及標准,要求信息和信息系統按照相應的建設和管理要求,自行定級、自行保護。
(3)同步建設,動態調整。信息系統在新建、改建、擴建時應當同步建設信息安全設施,保障信息安全與信息化建設相適應。因信息和信息系統的應用類型、范圍等條件的變化及其他原因,安全保護等級需要變更的,應當根據等級保護的管理規范和技術標準的要求,重新確定信息系統的安全保護等級。等級保護的管理規范和技術標准應按照等級保護工作開展的實際情況適時修訂。
(4)指導監督,重點保護。國家指定信息安全監管職能部門通過備案、指導、檢查、督促整改等方式,對重要信息和信息系統的信息安全保護工作進行指導監督。
國家重點保護涉及國家安全、經濟命脈、社會穩定的基礎信息網路和重要信息系統,主要包括:國家事務處理信息系統(黨政機關辦公系統);財政、金融、稅務、海關、審計、工商、社會保障、能源、交通運輸、國防工業等關繫到國計民生的信息系統:教育、國家科研等單位的信息系統;公用通信、廣播電視傳輸等基礎信息網路中的信息系統:網路管理中心、重要網站中的重要信息系統和其他領域的重要信息系統。
安全等級保護基本模型
貫徹落實網路安全等級保護制度的原則(等級保護網路安全等級保護工作應當按照主動防禦、整體防控、突出重點、綜合保障的原則,重點保護關鍵信息基礎設施和其他涉及國家安全、國計民生、公共利益的網路的運行安全和數據安全。網路運營者在網路建設過程中,應同步規劃、同步建設、同步運行網路安全保護、保密和密碼保護措施。國家網路安全等級保護堅持分等級保護、分等級監管的原則,對網路分等級進行保護,按標准進行建設、管理和監督。在落實網路安全等級保護制度中,還應遵循以下幾點要求:
一是明確責任,共同保護。通過等級保護,組織和動員國家、法人和其他組織、公民共同參與網路安全保護工作;各方主體按照規范和標准分別承擔相應的、明確具體的網路安全保護責任。
二是依照標准,開展保護。國家運用強制性法律及規范標准,要求網路運營者按照網路安全建設和管理要求,科學准確定級,實施保護策略和措施。
三是同步建設,動態調整。網路在新建、改建、擴建時應當同步建設網路安全設施,保障網路安全與信息化建設相適應。因網路的應用類型、范圍等條件的變化及其他原因,安全保護等級需要變更的,應當根據等級保護的管理規范和技術標準的要求重新確定其安全保護等級。等級保護的管理規范和技術標准應按照等級保護工作開展的實際情況適時修訂。
四是指導監督,重點保護。國家指定網路安全監管職能部門通過備案、指導、檢查、督促整改等方式,對網路安全保護工作進行指導監督。國家重點保護涉及國家安全、經濟命脈、社會穩定的關鍵信息基礎設施,主要包括:電信網、廣電網、互聯網、移動互聯網、物聯網、行業專網等網路基礎設施;各行業、各部門、各單位的指揮調度、內部辦公、管理控制、生產作業、公眾服務等業務信息系統和網站;能源、交通、水利、市政等領域的工業控制系統;互聯網企業的網路平台、重要業務系統和網站;數據中心、大數據服務平台、雲計算服務平台、智能設備設施及數據資源;其他關系國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的網路和信息系統。
這個原則最早是由《關於印發
的通知》公通字[2004]66號文提出,等級保護即網路安全等級保護制度的原則與等級保護在文字上描述有一定的出入,不過有關原則和指示精神是一脈相承一以貫之的。從66號文我們看到,文件將安全等級保護制度是國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設健康發展的一項基本制度。實行信息安全等級保護制度,能夠充分調動國家、法人和其他組織及公民的積極性,發揮各方面的作用,達到有效保護的目的,增強安全保護的整體性、針對性和實效性,使信息系統安全建設更加突出重點、統一規范、科學合理,對促進我國信息安全的發展將起到重要推動作用。
有關《關於印發
的通知》公通字[2004]66號文五個「有利於」在以前的公眾號文章中已經簡單說過,見《等保重要政策文件66號文明確四個責任》。總體來講,保障網路(信息)安全,維護國家安全、公共利益和社會穩定,仍然是當前信息化發展中迫切需要解決的重大問題。

5. 大數據的信息社會，要如何保障自身的信息安全

對於這個問題，你不能太擔心太多了。哪個步驟進行了法律會議。這是一個人的隱私。不是據說泄漏泄漏了？即使是你的隱私。普通人將不是一步一步。我曾經說過這輛車沒有汽車儀式。現在不在嗎？因此，在社會州發展的地方，將有相應的法律和法規。至於自己泄露隱私。盡量不要向陌生人透露相關信息。甚至是您自己的頭像。該國和原子能機構呼叫。為自己，這被稱為隱私。出生後，家庭中有幾個人，名字是什麼，固定資產？什麼愛好？你有什麼需要？你家住在哪裡？這些都是隱私渠道。