◆鐘錫寶

網(wǎng)絡(luò)安全等級(jí)保護(hù)技術(shù)實(shí)現(xiàn)與分析

◆鐘錫寶

（廣西交通技師學(xué)院 廣西 530001）

隨著互聯(lián)網(wǎng)的迅速發(fā)展，信息系統(tǒng)的應(yīng)用也隨之越來(lái)越多，中國(guó)許多重要行業(yè)都配備了屬于自己的信息系統(tǒng)，但是網(wǎng)絡(luò)發(fā)達(dá)也有不利的一面，信息系統(tǒng)的網(wǎng)絡(luò)攻擊和相關(guān)的黑客也越來(lái)越多，這就需要各個(gè)行業(yè)加強(qiáng)對(duì)自身信息系統(tǒng)的安全等級(jí)保護(hù)。本文針對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)技術(shù)如何實(shí)現(xiàn)展開(kāi)了相關(guān)的探討，希望對(duì)相關(guān)人員有所幫助。

網(wǎng)絡(luò)安全；等級(jí)保護(hù)技術(shù)；信息系統(tǒng)

隨著我國(guó)信息化不斷發(fā)展，信息系統(tǒng)已在我國(guó)能源、金融、交通、教育、科研、水利、工業(yè)制造、醫(yī)療衛(wèi)生、社會(huì)保障、公用事業(yè)等領(lǐng)域和國(guó)家機(jī)關(guān)得到了極大的應(yīng)用，信息系統(tǒng)受到破壞將會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重危害，對(duì)信息系統(tǒng)進(jìn)行保護(hù)已經(jīng)迫在眉睫，為此國(guó)家高度重視，并于2017年6月1日起正式實(shí)施《網(wǎng)絡(luò)安全法》，《網(wǎng)絡(luò)安全法》中明確規(guī)定國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

1 科學(xué)劃分系統(tǒng)區(qū)域

想要使網(wǎng)絡(luò)安全等級(jí)保護(hù)技術(shù)更好地實(shí)現(xiàn)，首先要做的就是對(duì)系統(tǒng)各個(gè)區(qū)域進(jìn)行科學(xué)劃分，可以把相近物理位置的設(shè)備劃分在一起，或者功能性相似的信息系統(tǒng)或設(shè)備劃分在一起，還可以根據(jù)網(wǎng)絡(luò)拓?fù)鋪?lái)劃分區(qū)域，劃分出來(lái)的區(qū)域要保證彼此相互直接可以進(jìn)行交互流通，并且能被系統(tǒng)終端良好地進(jìn)行管控。同時(shí)，系統(tǒng)和設(shè)備的重要區(qū)域或者是外聯(lián)接入?yún)^(qū)都要安裝相應(yīng)的安全設(shè)備，來(lái)確保外部病毒不能入侵，從而保護(hù)系統(tǒng)內(nèi)部的資源安全。系統(tǒng)的區(qū)域也可以劃分為很多種，有交換區(qū)域、服務(wù)區(qū)域、外聯(lián)接入?yún)^(qū)域和安全管理區(qū)域等，如果有些網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)于外網(wǎng)和內(nèi)網(wǎng)有特別要求，需要把外網(wǎng)和內(nèi)網(wǎng)在物理隔離的狀態(tài)下進(jìn)行數(shù)據(jù)交換，那么可以使用網(wǎng)閘來(lái)進(jìn)行擺渡就可以解決此問(wèn)題。只有把系統(tǒng)中每個(gè)區(qū)域的安全保障都做到位了，網(wǎng)絡(luò)安全等級(jí)保護(hù)技術(shù)才能更好地實(shí)現(xiàn)。

2 保障信息系統(tǒng)環(huán)境安全

2.1 完善信息系統(tǒng)安全配置

想要保障信息系統(tǒng)環(huán)境安全首先就得把信息系統(tǒng)安全部署完善。在登錄信息系統(tǒng)的時(shí)候要設(shè)置用戶登錄，只有系統(tǒng)的合法用戶才能進(jìn)入系統(tǒng)，并且登錄密碼的復(fù)雜程度要提高，賬戶要定時(shí)進(jìn)行鎖定，超過(guò)了時(shí)間就要強(qiáng)制退出系統(tǒng)，還可以通過(guò)定期進(jìn)行系統(tǒng)更新來(lái)修復(fù)和查找系統(tǒng)中的漏洞。其次在信息系統(tǒng)的服務(wù)器或者與系統(tǒng)相關(guān)的設(shè)備上安裝殺毒軟件，定期對(duì)病毒進(jìn)行徹底查殺，使系統(tǒng)能夠?qū)Σ《具M(jìn)行有效的監(jiān)控，殺毒服務(wù)器中的病毒庫(kù)和殺毒軟件都要定時(shí)進(jìn)行更新。

2.2 對(duì)主機(jī)中間件進(jìn)行安全加固

在保障了信息系統(tǒng)的安全之后就要對(duì)主機(jī)進(jìn)行加固。主機(jī)包括了信息系統(tǒng)的服務(wù)器和各類終端，主機(jī)加固首先需要做的就是對(duì)其中的應(yīng)用、數(shù)據(jù)庫(kù)、操作系統(tǒng)進(jìn)行加固，有些病毒會(huì)對(duì)信息系統(tǒng)中的操作系統(tǒng)進(jìn)行強(qiáng)制訪問(wèn)，用這種方式來(lái)使系統(tǒng)中毒。所以需要對(duì)操作系統(tǒng)中的核心層設(shè)置系統(tǒng)安全機(jī)制，主要針對(duì)以強(qiáng)制訪問(wèn)為主體的病毒。設(shè)置了這類安全機(jī)制便能夠有效控制病毒入侵操作系統(tǒng)。其次，服務(wù)器中的數(shù)據(jù)庫(kù)和應(yīng)用也可以通過(guò)設(shè)置相同的系統(tǒng)安全機(jī)制來(lái)阻止病毒進(jìn)行入侵。

2.3 完善運(yùn)維審計(jì)系統(tǒng)和服務(wù)器

運(yùn)維審計(jì)系統(tǒng)是信息系統(tǒng)中的一項(xiàng)重要安全系統(tǒng)。運(yùn)維審計(jì)系統(tǒng)可以對(duì)服務(wù)器管理員的操作進(jìn)行監(jiān)視，服務(wù)器管理員所作出的操作都會(huì)被運(yùn)維審計(jì)系統(tǒng)全部記錄下來(lái)，每當(dāng)服務(wù)器管理員操作失誤，運(yùn)維審計(jì)系統(tǒng)便可以查詢到服務(wù)器管理員操作失誤的過(guò)程和原因，在非常重要的服務(wù)器中都會(huì)設(shè)置運(yùn)維審計(jì)系統(tǒng)來(lái)檢查服務(wù)器管理員的行為。另外，信息系統(tǒng)中的服務(wù)器如果出現(xiàn)故障可能會(huì)導(dǎo)致部分內(nèi)容丟失，因此可以在服務(wù)器內(nèi)建立一個(gè)用于備份的體系，保證服務(wù)器中的內(nèi)容不會(huì)丟失，備份的方法可以利用超融合技術(shù)。有一些網(wǎng)絡(luò)運(yùn)營(yíng)者服務(wù)器所儲(chǔ)存的數(shù)據(jù)屬于私密型，在這種情況下，可以在應(yīng)用層啟用HTTPS加密傳輸協(xié)議，以此來(lái)達(dá)到數(shù)據(jù)的隱秘性。許多對(duì)外的服務(wù)器都容易受到XXS跨站腳本、SQL注入、CSRF跨站請(qǐng)求偽造的攻擊，在服務(wù)器的前端部署WEB應(yīng)用防火墻能夠有效阻止以上攻擊行為。服務(wù)器還可以設(shè)置一個(gè)容災(zāi)系統(tǒng)，這種系統(tǒng)可以使受損的重要數(shù)據(jù)能夠得到迅速恢復(fù)。

3 保障網(wǎng)絡(luò)通信安全

3.1 架構(gòu)安全

網(wǎng)絡(luò)通信是網(wǎng)絡(luò)安全上層應(yīng)用中的支撐體系，所以保障網(wǎng)絡(luò)安全首先應(yīng)該關(guān)注網(wǎng)絡(luò)通信中的架構(gòu)安全。首先，網(wǎng)絡(luò)拓?fù)渲械募軜?gòu)應(yīng)該采用具有彈性的架構(gòu)，在核心層里面的架構(gòu)都應(yīng)該采用超融合架構(gòu)；其次，在架構(gòu)的核心區(qū)域旁設(shè)置相應(yīng)的安全檢測(cè)設(shè)備，以此來(lái)控制非法入侵，還可以設(shè)置報(bào)警系統(tǒng)，一旦有病毒入侵，報(bào)警系統(tǒng)便會(huì)自動(dòng)進(jìn)行檢測(cè)和報(bào)警。

3.2 設(shè)備安全

設(shè)備的安全在網(wǎng)絡(luò)通信中也是非常重要的。首先設(shè)備應(yīng)該設(shè)置準(zhǔn)入裝置，只有被準(zhǔn)入裝置允許的人員才可以進(jìn)入設(shè)備；其次還需要設(shè)置一個(gè)非法外聯(lián)來(lái)防止病毒的入侵，有些病毒會(huì)通過(guò)無(wú)線網(wǎng)絡(luò)來(lái)進(jìn)行入侵，設(shè)備尤其要加強(qiáng)對(duì)外來(lái)接入的檢測(cè)和認(rèn)證，這種情況就可以設(shè)置一個(gè)WIFI控制體系，對(duì)所有加入WIFI的用戶進(jìn)行檢測(cè)，一旦發(fā)現(xiàn)身份異常的接入者就對(duì)其實(shí)施安全防護(hù)隔離；最后保障設(shè)備的安全還可以在設(shè)備的核心區(qū)旁邊部署一個(gè)APT檢測(cè)設(shè)備，這個(gè)設(shè)備可以對(duì)具備攻擊性的入侵進(jìn)行檢測(cè)，并且對(duì)設(shè)備中的漏洞進(jìn)行檢測(cè)。

4 保障邊界安全

各個(gè)服務(wù)區(qū)域中的邊界區(qū)域還有外網(wǎng)中的邊界區(qū)域的安全都是非常重要的，邊界區(qū)域的安全關(guān)乎網(wǎng)絡(luò)安全等級(jí)保護(hù)技術(shù)能不能更好地運(yùn)用。提升外網(wǎng)邊界區(qū)域的安全首先就要部署一個(gè)NGAF防火墻，這個(gè)防火墻可以對(duì)訪問(wèn)者的信息進(jìn)行檢測(cè)，一旦訪問(wèn)者的身份是沒(méi)有經(jīng)過(guò)授權(quán)的身份，防火墻體系就會(huì)阻止訪問(wèn)者進(jìn)行訪問(wèn)，這個(gè)防火墻還可以對(duì)外網(wǎng)中的信息數(shù)據(jù)進(jìn)行控制，一旦發(fā)現(xiàn)數(shù)據(jù)中含有非法數(shù)據(jù)就會(huì)進(jìn)行報(bào)警。有一些黑客會(huì)利用網(wǎng)關(guān)來(lái)進(jìn)行入侵，NGAF防火墻還可以加入防惡意代碼檢測(cè)功能，一旦發(fā)現(xiàn)有惡意代碼防火墻就會(huì)對(duì)惡意代碼進(jìn)行查殺。在外網(wǎng)邊界區(qū)域還可以設(shè)置一個(gè)監(jiān)管系統(tǒng)，這個(gè)監(jiān)管系統(tǒng)可以對(duì)流經(jīng)外網(wǎng)邊界區(qū)域的數(shù)據(jù)進(jìn)行識(shí)別和檢測(cè)，還可以對(duì)外網(wǎng)使用的流量進(jìn)行統(tǒng)計(jì)，一旦發(fā)現(xiàn)不正常外聯(lián)，這個(gè)監(jiān)管系統(tǒng)都可以檢測(cè)得到。不論是外網(wǎng)邊界區(qū)域還是內(nèi)網(wǎng)邊界區(qū)域都有一個(gè)經(jīng)常出現(xiàn)的問(wèn)題，那就是TCP/IP網(wǎng)絡(luò)協(xié)議攻擊，針對(duì)這個(gè)問(wèn)題，可以部署一個(gè)網(wǎng)閘，只要是經(jīng)過(guò)內(nèi)網(wǎng)邊界區(qū)域和外網(wǎng)邊界的數(shù)據(jù)，網(wǎng)閘都能對(duì)其進(jìn)行控制，并且運(yùn)用自身所具備的擺渡功能讓進(jìn)出數(shù)據(jù)得到有效交互，這樣便可以有效解決TCP/IP網(wǎng)絡(luò)協(xié)議攻擊問(wèn)題。還可以在內(nèi)外網(wǎng)邊界區(qū)域中設(shè)置一個(gè)清洗設(shè)備，防止網(wǎng)絡(luò)由于數(shù)據(jù)過(guò)多而造成擁堵。此外，許多的網(wǎng)絡(luò)運(yùn)營(yíng)者認(rèn)為只要把內(nèi)網(wǎng)和外網(wǎng)隔離開(kāi)來(lái)，內(nèi)網(wǎng)就會(huì)是安全的，因此不注重加強(qiáng)對(duì)內(nèi)網(wǎng)的訪問(wèn)控制，這種想法和做法都是錯(cuò)誤的，內(nèi)網(wǎng)中的設(shè)備本身就會(huì)存在一些不易察覺(jué)的漏洞，一旦病毒通過(guò)了訪問(wèn)，就能夠滲入到內(nèi)網(wǎng)中的主機(jī)里，并且利用相關(guān)的工具對(duì)主機(jī)實(shí)施打擊，之后再對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行攻擊。所以，對(duì)于內(nèi)網(wǎng)的訪問(wèn)控制必須加強(qiáng)。

5 物理環(huán)境安全

物理環(huán)境的安全也非常重要，它是系統(tǒng)中的設(shè)備能進(jìn)行正常運(yùn)行的前提條件。首先機(jī)房得做好自身的建設(shè)工作，要做好機(jī)房的防水工作，特別是有窗戶的機(jī)房和有水管的機(jī)房，一旦機(jī)房里面的設(shè)備進(jìn)水了就會(huì)對(duì)設(shè)備造成難以估計(jì)的傷害，可以設(shè)置排水溝，防止漏水后機(jī)房里面形成積水從而對(duì)設(shè)備造成安全隱患。機(jī)房里面設(shè)備由于長(zhǎng)期運(yùn)行，有時(shí)會(huì)出現(xiàn)溫度過(guò)高的現(xiàn)象，針對(duì)這種情況，可以在機(jī)房里面安裝空氣溫度調(diào)節(jié)裝置，保證機(jī)房中的設(shè)備運(yùn)行溫度在正常范圍之內(nèi)。機(jī)房的外面可以安裝監(jiān)控?cái)z像頭，對(duì)出入機(jī)房人員進(jìn)行監(jiān)控，還可以設(shè)置紅外線探頭，一旦機(jī)房出現(xiàn)人員入侵現(xiàn)象被紅外線探頭檢測(cè)到就會(huì)出現(xiàn)警報(bào)。同時(shí)，機(jī)房中也非常容易著火，在機(jī)房里面可以設(shè)置一個(gè)自動(dòng)滅火系統(tǒng)，機(jī)房里面一旦起火就會(huì)觸發(fā)滅火系統(tǒng)，滅火系統(tǒng)可以對(duì)火情進(jìn)行控制。安裝機(jī)房地板時(shí)應(yīng)該注意要安裝防靜電的地板，從而防止機(jī)房設(shè)備發(fā)生靜電反應(yīng)。考慮到機(jī)房停電或者碰上雷雨天氣這兩種情況，機(jī)房可以安裝備用的供電設(shè)備，一旦發(fā)生停電備用供電設(shè)備就可以保證機(jī)房繼續(xù)正常運(yùn)行，其次，在機(jī)房的建筑物屋上安裝避雷裝置，機(jī)房的總電源開(kāi)關(guān)也安裝防雷裝置，這樣就可以保障機(jī)房在雷雨的天氣下排除掉雷電這個(gè)隱患。

6 安全管理中心

安全管理中心對(duì)整個(gè)信息網(wǎng)絡(luò)多個(gè)區(qū)域進(jìn)行管理的地方，不管是機(jī)房的物理環(huán)境還是通信網(wǎng)絡(luò)區(qū)域都由安全管理中心統(tǒng)一管理。安全管理中心可以控制審計(jì)系統(tǒng)，對(duì)審計(jì)系統(tǒng)中檢測(cè)到的不正常行為都能進(jìn)行警報(bào)。信息系統(tǒng)中的所有資源都?xì)w安全管理中心統(tǒng)一管理，不管是數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)環(huán)境和主機(jī)哪一部分出了問(wèn)題，安全管理中心都能夠檢測(cè)得到。同時(shí)，安全管理中心還可以配備漏洞檢測(cè)設(shè)備，整個(gè)網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)所出現(xiàn)的安全漏洞都能被及時(shí)發(fā)現(xiàn)。安全管理中心還有一個(gè)屬于自己的管理平臺(tái)，這個(gè)管理平臺(tái)能對(duì)訪問(wèn)過(guò)系統(tǒng)的用戶的行為進(jìn)行分析，還能對(duì)訪問(wèn)網(wǎng)絡(luò)的流量進(jìn)行統(tǒng)計(jì)，并且搜集網(wǎng)絡(luò)中的資源，以此為分析基礎(chǔ)做出報(bào)表，報(bào)表能夠反映出網(wǎng)絡(luò)系統(tǒng)的安全發(fā)展趨勢(shì)。

7 結(jié)語(yǔ)

綜上所述，網(wǎng)絡(luò)安全等級(jí)保護(hù)工作不是一件簡(jiǎn)單的工作，想要做好這項(xiàng)工作需要對(duì)網(wǎng)絡(luò)有一個(gè)全面的認(rèn)識(shí)，網(wǎng)絡(luò)的各個(gè)區(qū)域之間看似聯(lián)系不大，其實(shí)都是彼此之間是互通的，任何一個(gè)區(qū)域出現(xiàn)了安全問(wèn)題，對(duì)系統(tǒng)的打擊可能都是致命的，在網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中不應(yīng)該忽略任何一個(gè)細(xì)節(jié)。其次，想要讓網(wǎng)絡(luò)安全等級(jí)保護(hù)技術(shù)更好地落實(shí)在實(shí)踐之中，不僅技術(shù)重要，管理也是不可或缺的一項(xiàng)內(nèi)容。良好的技術(shù)能夠檢測(cè)和消滅網(wǎng)絡(luò)中的病毒，使網(wǎng)絡(luò)更加安全，而良好的管理能夠分析系統(tǒng)中的漏洞，并及時(shí)進(jìn)行修復(fù)，使系統(tǒng)中的資源更加安全，由此可見(jiàn)，管理和技術(shù)缺一不可。希望本文針對(duì)網(wǎng)絡(luò)安全等級(jí)技術(shù)做出的一些分析能夠?yàn)榫W(wǎng)絡(luò)的安全保護(hù)工作起到一點(diǎn)幫助。

[1]李欣，智遠(yuǎn)，劉穎，姚亞強(qiáng)，李霖.基于等級(jí)保護(hù)的新型終端安全防護(hù)技術(shù)[J].電子世界，2020（18）：24-25.

[2]張彥，馬延妮，司群.基于等級(jí)保護(hù)思想的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)研究[J].鐵路計(jì)算機(jī)應(yīng)用，2020，29（08）：28-32.

[3]張小林，魯雷，羅漢云.高校網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)研究[J].電腦知識(shí)與技術(shù)，2020，16（22）：71-73.

[4]黃果.加強(qiáng)網(wǎng)絡(luò)安全防護(hù)的思考和實(shí)踐[J].中國(guó)食品藥品監(jiān)管，2020（05）：14-19.

[5]GB/T 22240-2020，信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南[S].

[6]羅曉明.基于等級(jí)保護(hù)的網(wǎng)絡(luò)安全技術(shù)的應(yīng)用探究[J].信息通信，2020（04）：138-139.