互联网数据业务安全防范措施

互联网数据业务安全防范措施摘要：近几年，我国互联网数据业务发展迅猛，随着SP/CP的日渐兴起，电子商务也得到了相应的理性发展，特别是电子政务系统的推进为我国互联网数据业务提供了广泛的客户群体，行业发展潜力巨大，可见，互联网数据业务的发展必然对中国移动行业的发展产生重要影响，进而逐渐成为移动业务的主要扩展方向之一。但是，互联网数据业务在营销过程中产生了诸多的危险，对数据业务系统的整体性安全产生着不良的影响，所以相关企业和研究部门应该加强对数据业务安全防护能力的探索，提升数据业务在未来发展中的适用性。鉴于此，文章对互联网数据业务安全防范措施进行了研究，以供参考。关键词：互联网；数据业务；安全防范1互联网数据业务面临的网络安全威胁随着信息技术全球化发展趋势的逐渐加强，网络安全问题也日渐严重，给中国移动的各项信息化安全建设带来了巨大的挑战：首先，黑客通过网络攻击来获取网站中集中存储的相关数据信息，并通过对特定用户口令的使用，搜索网络中存在的相应缺陷，从而直接获取用户使用权限，最终实现对互联网主机系统的控制，导致用户重要信息遭到窃取和流失。其次，随着社会上互联网移动终端的智能化发展，3G和W旧网络在社会中得以普及，恶意应用程序随之成为黑客攻击智能移动终端的重要手段，最终威胁移动客户的信息和财产安全。再次，随着电子商务技术在企业中的普及性发展，社会大众已经逐渐接受使用支付宝等第三方交易平台进行相关交易，在此情况下，黑客将对企业中的一些重要数据信息实施更为专业的恶意攻击，窃取客户财产。最后，随着云计算技术在我国社会上的大规模发展和应用，云计算作为一种相对新颖的网络虚拟计算模式，对互联网系统的安全运营和科学管理带来了新的困境，云计算中虚拟系统存在的安全漏洞需要相关互联网数据业务技术人员进行更加全面系统加固，最终构建相对完善的数据业务安全防护体系。2互联网数据业务机房安全域划分及部署基于业务保障、结构简化、等级保护、生命周期等原则，数据业务机房的主要安全域可以划分为：互联网接人域、停火区、核心汇聚区域、业务域、日常操作区、第三方接人区、管理服务区。2.1综合管控为了实现综合维护接人、账号口令管理等功能，避免非授权的用户访问现象的发生，杜绝网络滥用，需要在互联网接人域以及停火区采取措施，部署安全网关类设备于日常维护操作区、第三方接人区与核心汇聚域等位置。这样就可以对于用户名、用户组、访问时间、访问对象等的权限的精确化管理。逐步建立可以支撑互联网数据业务机房的日常安全管理工作平台，实现网络层用户访问日志记录和审计，支持使用短信认证、静态强口令认证等安全合规，利用管控平台的事件关联分析，对发现的安全事件确定重要性。通过对重要安全时间的分析结合集中告警平台可以实现对数据业务机房的全方位安全监控，包括僵尸木马监测、病毒监测、DDoS监测、人侵监测以及利用系统漏洞开展的其他形式的攻击类型监测等。2.2互联网数据业务机房接入域管控互联网接人域是与外部网络互连的人口，是数据业务机房与互联网连接的出口，实现路由选择和分发功能的高速连接，提供可高的高速的数据网络连接，过滤一些来自互联网的病毒。在互联网接人域管控，是为了监测接人域异常流量的攻击后能抗拒服务攻击设备的流量攻击，过滤异常流量，通过部署异常流量监测及过滤设备，可以为重要客户提供互联网接入客户抗拒绝攻击服务。2.3互联网数据业务机房停火区管控逻辑上来讲，停火区是安全缓冲器，这是因为作为连接互联网和IDC内部网络的桥梁，外部用户是不能直接访问内部网络的数据库的.。由于停火区放置了对外发布数据的Web。服务器，外部用户通过互联网接人域之后，可以直接访问停火区内的服务器。这样停火区就在外部用户和内部网络的数据库之间架起了一道逻辑意义上的防火墙。可以监测、防止来自互联网的恶意攻击，为需要该类防护服务的业务提供定制化的监测防护能力，支持IDS，IPS等人浸检测设备的虚拟功能.。为了实现对网页信息、安全的防护，防止网页篡改和信息泄露，部署Web篡改防护设备。通过病毒防护系统集中升级出口进行针对Windows、类平台部署的网络版防病毒系统的自动、集中升级。维护人员以及IDC客户有时会有远程管理所属系统的需求，因此需要部署互联网专用Portal，VPN网关、堡垒主机等设备。2.4互联网数据业务机房核心汇聚域管控由汇聚层交换机和核心路由器构成的核心汇聚域，汇聚了互联网数据业务域对外连接和内部数据流的汇聚，提供到互联网接入域的上行路线，十多台业务接人交换机的汇聚点。核心汇聚域是各个业务模块的汇聚层，按照业务系统划分各个业务系统的需求的区域，并为之提供基础的安全保障措施。为了隔离互联网和停火区、内部网络，部署支持虚拟功能的双重异构防火墙，为了避免某一品牌防火墙操作系统漏洞同时失效，此处双重异构防火墙采用不同品牌。防火层设置的策略为外层防火墙侧重实施粗粒度访问控制，内层防火墙侧重实施细粒度访问控制。以业务区域的不同需求为基础提供定制化的控制访问的防火墙能力。可以利用物理隔离的方式或是通过在防火墙设定安全防止控制策略隔离各个业务区域。监测针对IDC内部系统之间的相互攻击、来自互联网的入浸行为，部署支持虚拟功能的人浸检测设备，支持虚拟功能人浸监测系统在核心汇聚域交换机镜像端口。2.5互联网数据业务机房业务域管控业务域根据安全管理的可控性的差异分为自有业务域和第三方业务域，有接人交换机和各业务系统的服务器、存储器设备等组成。采用IDC统一部署、支持虚拟功能的双重异构防火墙，网站备案系统，支持虚拟功能的入浸监测系统，集中化的不良信息监测与封堵网站。流量监控和过滤系统，通用活着Web漏洞扫描，网络版的病毒防护系统，网页篡改系统以及安全管控平台，根据自由业务的安全需求，部署相应的物理安全设备，以高可靠性的网络与第三方区域的严格隔离。第三方业务域不同防护的部署根据客户的不同的安全需求进行。提供基于客户的流量监控服务，为客户提供基础的网络连接和物理机房资源的基础安全服务，及时发现流量异常，通知客户采取后续措施处理异常。还可以根据不同用户的特殊需求，在基础性安全服务的基础上提供增值性的安全性服务和安全加固服务等，这些服务包括网页信息安全防护系统、支持虚拟功能的双重异构防火墙、具备虚拟功能的人侵监测系统、流量监控、流量过滤、各类漏洞扫描系统、安全管控系统等。结语综上所述，互联网数据业务相关企业应该定期对上线系统进行全面的检查，保证其日常运行能够与安全管理要求相符合，为相关客户提供安全可靠并可以控制的本地业务维护、远程业务维护等，及时发现系统中存在的安全隐患，并对这些隐患进行排除和整改，未雨绸缪，加强对互联网数据业务的安全防护，逐步提升企业互联网数据业务的可靠性和安全性。参考文献：卢波.互联网数据业务安全防护措施分析[J].中国新通信，2013（24