◆董棟

網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施方案的設(shè)計(jì)與應(yīng)用

◆董棟

（紹興市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì) 浙江 312000）

隨著時(shí)代的發(fā)展，我國(guó)當(dāng)前正處在科學(xué)技術(shù)蓬勃發(fā)展的關(guān)鍵階段，其中，信息化、計(jì)算機(jī)技術(shù)覆蓋了社會(huì)的大多數(shù)行業(yè)及領(lǐng)域，為人們工作與生活提供了前所未有的便利條件，但是，網(wǎng)絡(luò)空間也是一把雙刃劍，相關(guān)單位或個(gè)人在使用互聯(lián)網(wǎng)技術(shù)的過(guò)程中，如果沒(méi)有對(duì)自身安全進(jìn)行妥善防護(hù)，就很容易造成資料泄露等惡性事件，在嚴(yán)重情況下甚至?xí)蛊髽I(yè)出現(xiàn)巨額經(jīng)濟(jì)損失。針對(duì)這種情況，貫徹網(wǎng)絡(luò)安全等級(jí)保護(hù)方案是保障企業(yè)與個(gè)人網(wǎng)絡(luò)信息安全的重要舉措。本文通過(guò)對(duì)相關(guān)文獻(xiàn)進(jìn)行查閱，對(duì)當(dāng)前我國(guó)網(wǎng)絡(luò)安全問(wèn)題的現(xiàn)狀進(jìn)行了分析，結(jié)合相關(guān)科學(xué)理論知識(shí)，最終提出了一種網(wǎng)絡(luò)安全等級(jí)保護(hù)方案的設(shè)計(jì)與應(yīng)用策略。希望本文能夠在一定程度上提升我國(guó)網(wǎng)絡(luò)安全保障水平。

網(wǎng)絡(luò)安全；信息系統(tǒng)安全等級(jí)保護(hù)；實(shí)施方案；設(shè)計(jì)與應(yīng)用

當(dāng)前，我國(guó)正處在信息時(shí)代，而網(wǎng)絡(luò)技術(shù)正是信息時(shí)代的產(chǎn)物，伴隨著網(wǎng)絡(luò)技術(shù)而衍生出的諸多行業(yè)與服務(wù)，其為民眾的生活帶來(lái)了前所未有的方便與快捷，此外，網(wǎng)絡(luò)技術(shù)不僅改變了人們的生活方式，還在某種程度上影響了人們的思維方式。隨著信息技術(shù)與網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，人們對(duì)于計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)的依賴性也越來(lái)越大，一旦網(wǎng)絡(luò)安全出現(xiàn)了問(wèn)題，對(duì)于個(gè)人與企業(yè)來(lái)說(shuō)都是非常糟糕的，個(gè)人可能會(huì)涉及因素泄露風(fēng)險(xiǎn)，而企業(yè)則有可能遭受巨大的經(jīng)濟(jì)損失。

1 當(dāng)前網(wǎng)絡(luò)安全問(wèn)題的現(xiàn)狀

在世界進(jìn)入信息化社會(huì)之后，互聯(lián)網(wǎng)技術(shù)為民眾生活帶來(lái)極大便利的同時(shí)，也帶來(lái)了各種新興的信息風(fēng)險(xiǎn)。具體而言，網(wǎng)絡(luò)空間受到攻擊的方式與途徑有很多種，不僅僅只針對(duì)個(gè)人電腦操作系統(tǒng)與服務(wù)器終端。在實(shí)踐中，部分網(wǎng)絡(luò)攻擊甚至可以直接從服務(wù)器達(dá)到客戶端，此外，網(wǎng)絡(luò)攻擊所造成的損失也呈現(xiàn)多樣化、嚴(yán)重化的趨勢(shì)，這與企業(yè)管理逐漸信息化是分不開(kāi)的。

在世界領(lǐng)域，美國(guó)每年因網(wǎng)絡(luò)犯罪而遭受的經(jīng)濟(jì)損失超過(guò)3000萬(wàn)美元，英國(guó)每年會(huì)超過(guò)1200億美元，根據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，自從信息化時(shí)代到來(lái)之后，全世界由于網(wǎng)絡(luò)犯罪而遭受的經(jīng)濟(jì)損失總和超過(guò)了驚人的6萬(wàn)億美元，此外，世界上每十個(gè)人當(dāng)中就會(huì)有九個(gè)人曾經(jīng)遭受過(guò)網(wǎng)絡(luò)攻擊，對(duì)其造成不同程度的侵害[1]。

我國(guó)信息化建設(shè)起步較晚，但遭受的網(wǎng)絡(luò)攻擊數(shù)量卻并沒(méi)有因此減少，根據(jù)權(quán)威數(shù)據(jù)顯示，我國(guó)每年會(huì)遭受超過(guò)十萬(wàn)次不同種類的網(wǎng)絡(luò)攻擊，總體而言，我國(guó)所遭受的網(wǎng)絡(luò)攻擊主要具備以下幾種基本特征：（1）病毒感染、木馬問(wèn)題嚴(yán)重。具體而言，人們?cè)诓恢挥X(jué)間都曾經(jīng)遭受到計(jì)算機(jī)病毒的侵害，這些病毒與木馬會(huì)盜取計(jì)算機(jī)內(nèi)部有價(jià)值的信息，對(duì)個(gè)人的隱私造成嚴(yán)重侵害，其中，對(duì)于企業(yè)文件的盜取會(huì)嚴(yán)重影響我國(guó)經(jīng)濟(jì)安全。（2）網(wǎng)絡(luò)經(jīng)濟(jì)犯罪影響大。根據(jù)權(quán)威機(jī)構(gòu)調(diào)查顯示，我國(guó)幾乎所有與互聯(lián)網(wǎng)相關(guān)的機(jī)構(gòu)都遭受過(guò)境外黑客的攻擊，其中，金融機(jī)構(gòu)、經(jīng)紀(jì)公司更是這些不法分子攻擊的重點(diǎn)，這些犯罪分子在盜取到大量企業(yè)內(nèi)部信息之后，會(huì)采取各種手段非法獲取經(jīng)濟(jì)利益，從而使相關(guān)企業(yè)遭受巨額經(jīng)濟(jì)損失[2]。（3）網(wǎng)絡(luò)安全技術(shù)薄弱。近年來(lái)，雖然我國(guó)已經(jīng)加大了發(fā)展網(wǎng)絡(luò)安全技術(shù)的力度，但是由于時(shí)間過(guò)短，當(dāng)前我國(guó)在信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)攻擊預(yù)防等方面都存在較大的問(wèn)題，根據(jù)權(quán)威數(shù)據(jù)顯示，雖然我國(guó)已經(jīng)擺脫了防御能力最低國(guó)家的稱號(hào)，但是網(wǎng)絡(luò)安全防護(hù)能力依舊不能位居世界前列。

2 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施方案的設(shè)計(jì)思路

隨著信息化時(shí)代的來(lái)臨，人們面臨的信息風(fēng)險(xiǎn)呈現(xiàn)多樣化、復(fù)雜化的特點(diǎn)，為了更好保障網(wǎng)絡(luò)安全，就必須設(shè)定相應(yīng)的安全等級(jí)防護(hù)方案以保障網(wǎng)絡(luò)信息安全。

由于網(wǎng)絡(luò)攻擊的多樣化，因此網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施方案要求設(shè)計(jì)者必須從整體角度出發(fā)，對(duì)計(jì)算機(jī)設(shè)備的信息安全進(jìn)行全面防護(hù)。從實(shí)踐角度講，網(wǎng)絡(luò)安全等級(jí)防護(hù)可以采取分級(jí)、分區(qū)、分層三層保護(hù)措施，其中，等級(jí)防護(hù)可以將二級(jí)系統(tǒng)統(tǒng)一成為一區(qū)，將三級(jí)系統(tǒng)作為一個(gè)獨(dú)立的區(qū)域進(jìn)行劃分。安全域的劃分是等級(jí)防護(hù)的基礎(chǔ)步驟，即通過(guò)將整體問(wèn)題進(jìn)行細(xì)化分解的方式來(lái)降低網(wǎng)絡(luò)安全問(wèn)題處理的難度。同時(shí)，對(duì)安全域進(jìn)行劃分也能夠幫助相關(guān)使用者實(shí)現(xiàn)差異防護(hù)，進(jìn)而從多方面降低信息安全隱患[3]。

3 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施方案的設(shè)計(jì)

（1）三層防護(hù)方案

本文以我國(guó)當(dāng)前的網(wǎng)絡(luò)安全形勢(shì)為依據(jù)，結(jié)合了地方網(wǎng)絡(luò)實(shí)際情況，提出了包含區(qū)域劃分、安全防護(hù)以及環(huán)境安全的三層防護(hù)。本文提出的方案基于防護(hù)框架，最終實(shí)現(xiàn)分級(jí)、分區(qū)的防護(hù)措施，為網(wǎng)絡(luò)信息安全提供充分保障。

首先，分區(qū)防護(hù)是對(duì)網(wǎng)格統(tǒng)一劃分安全區(qū)域，從而對(duì)不同安全等級(jí)進(jìn)行區(qū)分，根據(jù)差異進(jìn)行單獨(dú)防護(hù)。其次，等級(jí)防護(hù)的域應(yīng)該秉持著二級(jí)系統(tǒng)同意防護(hù)及系統(tǒng)獨(dú)立防護(hù)的原則進(jìn)行。最后，多層次防護(hù)的概念是指從區(qū)域邊界、環(huán)境等諸多方面進(jìn)行防護(hù)[4]。

（2）安全域防護(hù)

安全域主要是指在同一個(gè)環(huán)境內(nèi)部，以共同防護(hù)需要為基礎(chǔ)，具備相同權(quán)限與防護(hù)措施的系統(tǒng)或者網(wǎng)絡(luò)。在實(shí)踐中，安全域主要起到以下作用：（1）分解復(fù)雜安全防護(hù)問(wèn)題。即通過(guò)將一整個(gè)大型的復(fù)雜網(wǎng)絡(luò)安全問(wèn)題進(jìn)行割裂，使其成為一個(gè)個(gè)小型、復(fù)雜程度較低的安全防護(hù)問(wèn)題，通過(guò)這種方式能夠很好提升系統(tǒng)安全性。（2）對(duì)不同系統(tǒng)進(jìn)行差異防護(hù)。現(xiàn)實(shí)生活中的基礎(chǔ)網(wǎng)絡(luò)服務(wù)、應(yīng)用等因素往往存在較大的差異，因此，對(duì)于防護(hù)系統(tǒng)來(lái)說(shuō)，其應(yīng)該同時(shí)滿足不同種類系統(tǒng)的安全防護(hù)需要，這也是進(jìn)行安全域防護(hù)的主要原因。

（3）網(wǎng)絡(luò)邊界防護(hù)

網(wǎng)絡(luò)邊界防護(hù)的目的是在網(wǎng)絡(luò)空間周邊建立一道封鎖線，保證內(nèi)部不會(huì)受到網(wǎng)絡(luò)攻擊的侵害，本文所提出的網(wǎng)絡(luò)空間防護(hù)策略主要分為兩點(diǎn)，首先，網(wǎng)絡(luò)邊境防護(hù)能夠保證其能夠免受來(lái)自外部的攻擊，其次，也能夠?qū)?nèi)部進(jìn)行封鎖，防止外界不法分子通過(guò)開(kāi)放接口進(jìn)入內(nèi)部網(wǎng)絡(luò)。在發(fā)生網(wǎng)絡(luò)安全事件之前，網(wǎng)絡(luò)邊界防護(hù)可以實(shí)現(xiàn)對(duì)入侵事件的記錄與預(yù)防。多數(shù)的網(wǎng)絡(luò)邊界主要包括以下幾個(gè)種類：（1）縱向邊界。單純的外部攻擊防護(hù)措施，主要依靠防火墻實(shí)現(xiàn)。（2）橫向邊界。能夠?qū)?nèi)部安全域之間的信息交流進(jìn)行防護(hù)，確保信息傳遞安全。在實(shí)踐中主要依靠以下方式實(shí)現(xiàn)：根據(jù)網(wǎng)絡(luò)邊界中的數(shù)據(jù)流制定訪問(wèn)控制矩陣，并據(jù)此在網(wǎng)絡(luò)中設(shè)置特定的訪問(wèn)規(guī)則；根據(jù)工作需要，指定特定的訪問(wèn)方式；對(duì)違規(guī)行為進(jìn)行及時(shí)記錄與分析[5]。

（4）網(wǎng)絡(luò)環(huán)境防護(hù)

檢測(cè)邊界入侵。通過(guò)嗅探方式截取數(shù)據(jù)包，通過(guò)對(duì)其特征及異常統(tǒng)計(jì)方式對(duì)其本質(zhì)進(jìn)行分析，做到及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊。及時(shí)設(shè)置入侵檢測(cè)系統(tǒng)，以保證管理員處理網(wǎng)絡(luò)安全問(wèn)題的及時(shí)性。（2）加固安全設(shè)備。在不影響業(yè)務(wù)的情況下優(yōu)化系統(tǒng)初始配置。主要包括以下幾點(diǎn)：設(shè)置用戶安全權(quán)限；限制網(wǎng)絡(luò)設(shè)備使用管理員登錄方式；禁止非法登錄等。

4 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施方案的應(yīng)用

圖1 ·等級(jí)改造前的拓?fù)涫疽鈭D

根據(jù)圖一可知，在兩臺(tái)交換機(jī)當(dāng)中存在冗余網(wǎng)關(guān)協(xié)議，進(jìn)而實(shí)現(xiàn)了鏈路域設(shè)備熱備份，但是該系統(tǒng)服務(wù)器域桌面終端都在一個(gè)大型局域網(wǎng)中，無(wú)法實(shí)現(xiàn)結(jié)構(gòu)化，也無(wú)法對(duì)服務(wù)器與個(gè)人電腦之間進(jìn)行細(xì)致區(qū)分[6]。

針對(duì)這種情況，應(yīng)該通過(guò)建立一個(gè)完整的二級(jí)系統(tǒng)服務(wù)域與桌面終端來(lái)對(duì)其進(jìn)行解決，為了完成這一任務(wù)，本文引入了C、D兩臺(tái)交換機(jī)，通過(guò)將網(wǎng)關(guān)下移的方式使原有的桌面終端依舊在核心交換機(jī)內(nèi)部。

首先，四臺(tái)交換機(jī)啟動(dòng)PSPF協(xié)議，完成一個(gè)動(dòng)態(tài)路由的建立；其次，新增加的兩臺(tái)交換機(jī)之間運(yùn)行HSRP協(xié)議，最終實(shí)現(xiàn)鏈路與熱備份，這種方式可以保證先前的兩臺(tái)交換機(jī)之間依舊使用原有的冗余虛擬網(wǎng)管協(xié)定。這種方式能夠在保證服務(wù)器網(wǎng)關(guān)、鏈路冗余的同時(shí)實(shí)現(xiàn)了路由的動(dòng)態(tài)計(jì)算，進(jìn)而提升服務(wù)器網(wǎng)絡(luò)穩(wěn)定性，最終滿足國(guó)家有關(guān)單位對(duì)于網(wǎng)絡(luò)信息安全保護(hù)的基本要求。

綜上所述，實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)方案是保證網(wǎng)絡(luò)安全的最優(yōu)策略，在實(shí)踐中，相關(guān)人員應(yīng)該從實(shí)際情況出發(fā)，制定出針對(duì)性的等級(jí)保護(hù)方案。本文所提出的網(wǎng)絡(luò)安全防護(hù)方案符合國(guó)家對(duì)于信息安全等級(jí)保護(hù)的基本要求，按照“雙網(wǎng)雙機(jī)、分區(qū)分域、等級(jí)保護(hù)、多層防護(hù)”的原則進(jìn)行了設(shè)計(jì)與實(shí)施，在一定程度上提升了企業(yè)網(wǎng)絡(luò)安全防護(hù)水平。

[1]譚青勇. 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施方案的設(shè)計(jì)與應(yīng)用[J]. 電腦迷，2019，000（004）：84-85.

[2]朱果平. 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施方案的設(shè)計(jì)及應(yīng)用實(shí)踐研究[J]. 信息通信，2020.

[3]趙文臣. 基于信息安全的網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施方案設(shè)計(jì)研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020，000（005）：2-3.

[4]任智敏. 試論網(wǎng)絡(luò)安全等級(jí)保護(hù)及實(shí)施方案[J]. 中國(guó)新通信，2019，21（03）：36.

[5]嚴(yán)雨辰. 基于等級(jí)保護(hù)2.0的信息化安全管理制度方案設(shè)計(jì)[J]. 水政水資源，2019（1）：59-61.

[6]周大勇. 基于等級(jí)保護(hù)的校園網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)方案[J]. 福建電腦，2019，35（03）：126-128.