劉葉翔

摘要：等保2.0標準作為當前網(wǎng)絡(luò)安全最前沿的檢測標準，在發(fā)現(xiàn)網(wǎng)絡(luò)安全問題方面的能力是非常強的。在網(wǎng)絡(luò)運維方面，大部分的運維工作人員在工作中都存在一定的風險，并不能有效地進行安全的防護。文章則結(jié)合等保2.0標準，來尋找安全運維的弱點。基于等保2.0標準的網(wǎng)絡(luò)安全運維是目前最有效和安全的網(wǎng)絡(luò)安全管理模式，因此相關(guān)工作人員要認真做好網(wǎng)絡(luò)安全運維工作，從而使我國的信息網(wǎng)絡(luò)系統(tǒng)可以穩(wěn)定、持續(xù)發(fā)展。

關(guān)鍵詞：網(wǎng)絡(luò)安全運維；等保2.0；信息化建設(shè)

中圖分類號：TN915.08? 文獻標志碼：A

0 引言

1994年，國務(wù)院令147號《中華人民共和國計算機信息系統(tǒng)安全保護條例》首次提出了“等?！钡母拍?。安全等級的劃分和安全等級保護的具體辦法由公安部會同有關(guān)部門制定。1999年，《計算機信息系統(tǒng)安全保護等級劃分準則》將系統(tǒng)分為5個等級，并規(guī)定了5個等級的防護等級。此后二十余年來，以1.0標準為基礎(chǔ)構(gòu)建的網(wǎng)絡(luò)安全防護體系在指導與監(jiān)管方面已明顯滯后，已不能滿足當前網(wǎng)絡(luò)安全防護的需要。只有更新和改造原有的網(wǎng)絡(luò)架構(gòu)，才能使核心業(yè)務(wù)系統(tǒng)實現(xiàn)多維度、全方位的網(wǎng)絡(luò)安全防護。2017年，國家制定了《網(wǎng)絡(luò)安全法》，第二十一條明確國家實行網(wǎng)絡(luò)安全等級保護制度；第三十一條明確關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上實行重點保護。2019年，國家正式發(fā)布了“等保2.0”的標準，即《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T22239—2019），該標準被稱為“等保2.0”。從法律義務(wù)、覆蓋面、評估要求等方面來看，等保2.0對信息系統(tǒng)保護提出了更加系統(tǒng)化、針對性強的要求。等保2.0標準在網(wǎng)絡(luò)安全方面具有極高的地位，但是基于等保2.0標準的網(wǎng)絡(luò)運維仍存在以下運維方面的問題。

1 網(wǎng)絡(luò)安全運維方面存在的問題

1.1 網(wǎng)絡(luò)線路存在安全隱患

網(wǎng)絡(luò)線路有一定的安全隱患，線路的安全問題主要表現(xiàn)在兩個方面。首先是網(wǎng)絡(luò)設(shè)備的老化。計算機由顯示器、主機和軟件系統(tǒng)構(gòu)成，每個部分都有各自的功能，缺一不可。在這些設(shè)備中，電源是最重要的一部分，這也是計算機基礎(chǔ)設(shè)施，一旦電源出了問題，整臺電腦就會停止運轉(zhuǎn)。因此，以計算機為例，相關(guān)的零部件需要進行及時更新，由此可以極大地促進網(wǎng)絡(luò)安全問題的解決［1］。（1）網(wǎng)絡(luò)安全的規(guī)劃落后，甚至存在被動防御的狀態(tài)，對核心服務(wù)和非核心服務(wù)的分區(qū)還需要進一步強化。（2）隨著網(wǎng)絡(luò)和信息技術(shù)的飛速發(fā)展，各種攻擊手段也隨之發(fā)生了翻天覆地的變化。以管理局為例，目前部分管理局雖然已在全網(wǎng)部署了防火墻、IPS等安全設(shè)施，但其核心服務(wù)系統(tǒng)和其他辦公區(qū)域的安全保護仍有一定的局限性，其中關(guān)鍵服務(wù)系統(tǒng)的安全預警等問題尚不能完全滿足《等保2.0》的要求［2］。

1.2 數(shù)據(jù)盜竊問題

網(wǎng)絡(luò)運行過程中極易出現(xiàn)數(shù)據(jù)失竊現(xiàn)象，對網(wǎng)絡(luò)的穩(wěn)定運行和用戶的數(shù)據(jù)安全構(gòu)成了嚴重的威脅。首先，網(wǎng)絡(luò)系統(tǒng)在運行時會采集用戶的個人信息和檢索信息，因此，信息的泄露將威脅到用戶的信息安全。其次，數(shù)據(jù)失竊可能導致企業(yè)商業(yè)機密泄露，給企業(yè)帶來巨大損失。再次，數(shù)據(jù)失竊會導致網(wǎng)絡(luò)攻擊，引發(fā)惡意軟件、病毒的傳播，擾亂網(wǎng)絡(luò)的正常運行。最后，數(shù)據(jù)失竊會影響用戶的信任度和對網(wǎng)絡(luò)服務(wù)的滿意度，對于維護和提升用戶體驗和品牌形象造成不良影響。因此，在網(wǎng)絡(luò)構(gòu)建和運營過程中，保障數(shù)據(jù)安全、防范數(shù)據(jù)失竊是至關(guān)重要的。目前，常見的數(shù)據(jù)失竊問題包括：（1）系統(tǒng)漏洞被攻擊。網(wǎng)絡(luò)安全運維期間，如果系統(tǒng)有漏洞未及時打補丁或者配置不當，黑客可能通過這些漏洞攻擊系統(tǒng)，盜取重要數(shù)據(jù)。（2）管理員操作不當。網(wǎng)絡(luò)安全運維中，管理員通常具有較高的權(quán)限，如果管理員在操作時疏忽大意，可能會導致敏感數(shù)據(jù)泄露。（3）黑客攻擊。黑客利用高級技術(shù)進行攻擊，尤其是社會工程學攻擊，可能誘騙運維人員透露敏感信息，從而導致數(shù)據(jù)失竊。（4）物理安全問題。在網(wǎng)絡(luò)安全運維時，物理安全非常重要，如果物理設(shè)備被竊取，攻擊者可以輕易地獲取敏感信息［3］。

1.3 設(shè)備登錄安全

設(shè)備登錄時，有的用戶通過TELNET明文傳輸方式遠程登錄網(wǎng)絡(luò)設(shè)備，加大了信息泄露的風險，甚至存在被惡意修改配置文件導致網(wǎng)絡(luò)中斷的風險。安全設(shè)備使用HTTP不安全的方式進行訪問，由于訪問控制設(shè)備的策略做得不夠完善，使得非管理員用戶可以直接訪問重要的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器，大大增加了業(yè)務(wù)中斷的風險。為了方便管理設(shè)備，運維人員為設(shè)備設(shè)置較為簡單的登錄口令，使得各個設(shè)備登錄口令更容易猜測，可能造成重大的損失。

2 基于等保2.0的網(wǎng)絡(luò)安全現(xiàn)狀

由于有多個核心業(yè)務(wù)系統(tǒng)被上級主管部門認定為二級核心系統(tǒng)，因此，在上級主管部門的大力支持下，單位網(wǎng)絡(luò)安全主管部門對網(wǎng)絡(luò)安全防護管理漏洞進行了全面梳理，并對上述的安全問題展開了全方位的整改。（1）選拔專門從事信息業(yè)務(wù)的技術(shù)人員，組成了一支專門對網(wǎng)絡(luò)安全負責的專業(yè)技術(shù)隊伍，并強化對工作人員的技術(shù)培訓，建立一套安全信息交流的長效機制，并定期對網(wǎng)絡(luò)進行測試。（2）對管理中的漏洞進行了全面梳理，建立了網(wǎng)絡(luò)設(shè)備安全臺賬，由此建立了一系列的網(wǎng)絡(luò)安全管理方法，并對網(wǎng)絡(luò)安全應急預案和突發(fā)網(wǎng)絡(luò)安全事件的處理流程進行了設(shè)計，開展被黑客攻擊、核心服務(wù)器宕機、線路中斷等事件的應急演練。（3）為了增強整個網(wǎng)絡(luò)的安全性能，根據(jù)等保原則對網(wǎng)絡(luò)進行了重排，并對路由進行了調(diào)整，使其更加合理。從原有的外網(wǎng)、DMZ區(qū)、內(nèi)網(wǎng)3個區(qū)，再到外網(wǎng)出口區(qū)、外網(wǎng)辦公區(qū)、DMZ區(qū)、內(nèi)網(wǎng)辦公區(qū)以及中心服務(wù)區(qū)，并在區(qū)域之間對網(wǎng)絡(luò)安全設(shè)備進行部署。（4）對安全設(shè)備之間的數(shù)據(jù)聯(lián)動進行強化，從而達到1+1>2的效果，讓整個網(wǎng)絡(luò)的安全防護得到強化。

2.1 局域網(wǎng)出口區(qū)

在Internet和LAN中，有許多的網(wǎng)絡(luò)安全裝置部署在Internet和LAN中，其中最重要的就是新一代的防火墻。因為像防火墻這樣的安全設(shè)備都位于局域網(wǎng)的出口處，所以為防止單點失效造成整個網(wǎng)絡(luò)癱瘓，可以使用堆疊技術(shù)虛擬多個防火墻邏輯，這樣多個設(shè)備可以相互冗余，以此提升出口鏈路的穩(wěn)定性。新一代防火墻可以實現(xiàn)對外界接入數(shù)據(jù)的有效控制，還可以通過NAT、ACL將內(nèi)部網(wǎng)絡(luò)中的特定端口映射到互聯(lián)網(wǎng)上，并通過黑名單阻止入侵。此外，防火墻還能和入侵防御系統(tǒng)、Web應用防火墻進行數(shù)據(jù)聯(lián)動，例如入侵防御系統(tǒng)、Web應用防火墻能夠根據(jù)事先設(shè)定的規(guī)則，有效地阻止異常數(shù)據(jù)的傳遞。

2.2 外網(wǎng)辦公區(qū)

由于局域網(wǎng)中的辦公終端大多位于外網(wǎng)的辦公區(qū)，防御的功能在于實現(xiàn)對終端的控制，并且在與核心交換機的連接處設(shè)置防火墻，利用網(wǎng)絡(luò)漏洞掃描技術(shù)和網(wǎng)絡(luò)接入控制技術(shù)，以增強對該地區(qū)網(wǎng)絡(luò)的保護。在此基礎(chǔ)上，本文提出了一種基于用戶行為管理和漏洞掃描的方法：掃描漏掉的外部網(wǎng)絡(luò)，以發(fā)現(xiàn)潛在的漏洞，并在有目標的情況下進行修復；利用用戶的身份認證實現(xiàn)終端準入，以此保障終端設(shè)備的安全性，同時又能規(guī)范用戶的上網(wǎng)行為；利用EDR實現(xiàn)了對終端的一鍵查殺，漏洞修復，實現(xiàn)外聯(lián)設(shè)備管控等功能。

2.3 DMZ區(qū)

DMZ是連接外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的關(guān)鍵節(jié)點，通常通過映射技術(shù)向外部網(wǎng)絡(luò)提供服務(wù)，其重要性不言而喻。作為數(shù)據(jù)交換中的一個重要節(jié)點，在網(wǎng)絡(luò)安全監(jiān)控時，DMZ經(jīng)常需要借助態(tài)勢感知系統(tǒng)、日志審計系統(tǒng)、入侵檢測系統(tǒng)、防毒墻、堡壘機等設(shè)備，實時監(jiān)控整個交互過程中的數(shù)據(jù)。同時，DMZ利用互為主備冗余的兩道防火墻把外網(wǎng)的辦公區(qū)域與內(nèi)網(wǎng)的辦公區(qū)域連接在一起，既保證了辦公區(qū)域的信息安全，又加強了對內(nèi)網(wǎng)辦公區(qū)域的保護。

2.4 內(nèi)網(wǎng)辦公區(qū)

內(nèi)部網(wǎng)絡(luò)辦公區(qū)域的安全保護與外部網(wǎng)絡(luò)的核心交換區(qū)相似，都配備了終端準入準出、漏洞掃描、EDR等保護裝置，唯一的區(qū)別就是該區(qū)域終端不能直接接入互聯(lián)網(wǎng)。不同業(yè)務(wù)部門的服務(wù)范圍存在差異，各個服務(wù)部門的內(nèi)網(wǎng)終端用戶所訪問的業(yè)務(wù)系統(tǒng)也存在一定的差異，有些用戶為了方便訪問互聯(lián)網(wǎng)，私自在內(nèi)網(wǎng)電腦上插入無線網(wǎng)卡訪問互聯(lián)網(wǎng)，存在直接將內(nèi)網(wǎng)數(shù)據(jù)傳到互聯(lián)網(wǎng)上的風險。

2.5 核心業(yè)務(wù)區(qū)

服務(wù)器區(qū)內(nèi)有很多重要業(yè)務(wù)的服務(wù)器，因為這個區(qū)域內(nèi)的服務(wù)系統(tǒng)非常重要，所以在設(shè)計時，除了要保證安全性之外，還要考慮到冗余。在配置服務(wù)器時，相關(guān)工作人員就通過服務(wù)器區(qū)防火墻配置訪問控制策略對其他設(shè)備的訪問進行限制或隔離。該防火墻與內(nèi)網(wǎng)的核心交換設(shè)備相連，通過冗余設(shè)計方式增強系統(tǒng)應用的安全性。此外，服務(wù)器使用了冗余設(shè)計方式，由此形成本地數(shù)據(jù)中心和異地容災數(shù)據(jù)，當本地數(shù)據(jù)中心出現(xiàn)故障，可以在數(shù)分鐘之內(nèi)將所有的服務(wù)端轉(zhuǎn)移到局域的容災中心，大大提高了系統(tǒng)的可靠性。大部分企業(yè)均沒有將重要數(shù)據(jù)進行異地備份，因為如果在異地建設(shè)機房需要花費較多的費用，一般的企業(yè)也實在無法承擔。

3 針對網(wǎng)絡(luò)安全運維問題的改善策略

3.1 建立重要數(shù)據(jù)備份機制

因為網(wǎng)絡(luò)線路中存在一些安全隱患，所以計算機用戶應該養(yǎng)成對文件數(shù)據(jù)進行備份的習慣。同時，網(wǎng)絡(luò)安全管理部門人員也應該提高自己的警惕性，并構(gòu)建一個重要數(shù)據(jù)的備份機制。部門管理人員定期對公司內(nèi)的所有計算機進行檢查、修理和維修，及時進行相關(guān)線路安全的排查，并對出現(xiàn)問題的線路進行及時處理，以確保網(wǎng)絡(luò)安全。在任何情況下，部門工作人員應當培養(yǎng)良好的行為習慣，在任何情況下，都要對重要的數(shù)據(jù)進行一式多份的處理，以保證數(shù)據(jù)被完整保存。另外，工作人員一旦發(fā)現(xiàn)計算機設(shè)備出現(xiàn)故障或者應用問題的時候，應當及時向管理人員進行上報，以提高工作效率。網(wǎng)絡(luò)安全管理者必須做好防數(shù)據(jù)丟失的準備，如各部門要備份數(shù)據(jù)庫，記錄各種軟硬件的性能、安裝日期以及與配置有關(guān)的參數(shù)，這樣才能保證在各種場景下，能夠及時地還原重要的數(shù)據(jù)，減少對系統(tǒng)的影響。與此同時，網(wǎng)絡(luò)部門要按時對公司的計算機進行排查，并對企業(yè)內(nèi)部報廢的計算機進行統(tǒng)計，弄清楚各個設(shè)備報廢的原因或者計算機故障的原因，為員工在計算機使用期間提供專業(yè)性建議，從而提升計算機的使用率，確保不會出現(xiàn)重要數(shù)據(jù)的丟失。

3.2 引入專業(yè)人才

在網(wǎng)絡(luò)安全領(lǐng)域，管理人員招募專業(yè)人員，組建網(wǎng)絡(luò)安全部門，以解決企業(yè)網(wǎng)絡(luò)安全中存在的問題。（1）網(wǎng)絡(luò)安全管理部門需要建立專業(yè)網(wǎng)絡(luò)安全人才培養(yǎng)機制：與高校、職業(yè)培訓機構(gòu)等合作，建立網(wǎng)絡(luò)安全人才培養(yǎng)計劃，為網(wǎng)絡(luò)安全人才培養(yǎng)提供有效途徑，并且根據(jù)企業(yè)需求進行產(chǎn)學研合作。（2）持續(xù)開展技能培訓：定期進行網(wǎng)絡(luò)安全運維人員的技能培訓和崗位培訓，使其不斷提升專業(yè)能力和技能水平，適應不斷變化的網(wǎng)絡(luò)安全環(huán)境。（3）積極加強對人才的吸引力：提高網(wǎng)絡(luò)安全運維人員的職業(yè)評價和待遇，為人才提供具有競爭力的薪酬和福利，加強對其職業(yè)發(fā)展的支持。（4）建立人才儲備體系：建立網(wǎng)絡(luò)安全“運維”人才儲備庫，根據(jù)企業(yè)需求進行精準匹配，定期進行人才儲備庫管理，保持人才資源的持續(xù)補充。（5）引入人才評估機制：建立網(wǎng)絡(luò)安全運維人才績效評估機制，通過定期績效考核，激勵員工工作的積極性和創(chuàng)造性，提高組織的戰(zhàn)斗力。（6）重視培訓：網(wǎng)絡(luò)安全“運維”相關(guān)機構(gòu)還須重視對現(xiàn)有員工的培訓和提升，以使其具備更強的技術(shù)能力和應對能力。（7）加強合作與交流：企業(yè)還需要加強與行業(yè)、學術(shù)界等相關(guān)領(lǐng)域的合作與交流，吸納最新的技術(shù)和經(jīng)驗，提升整個行業(yè)的水平和實力。

4 結(jié)語

綜上所述，文章以“一個中心+三重防護”為基礎(chǔ)，建立了一套高水平的網(wǎng)絡(luò)安全防御體系，以滿足等保2.0的要求。網(wǎng)絡(luò)工作人員在網(wǎng)絡(luò)運維工作中一定要有零信任的意識，例如防火墻的訪問控制策略，需要在配置后定期進行梳理工作。網(wǎng)絡(luò)安全運維要運維和管理兩手抓，不能僅依賴于管理，給出相應的管理文件，但是沒有依據(jù)制度來執(zhí)行，這將導致運維工作越來越難、越來越復雜。為了能夠真正地提高企業(yè)的網(wǎng)絡(luò)安全運營管理水平，提高企業(yè)計算機網(wǎng)絡(luò)信息系統(tǒng)的安全防護級別，企業(yè)應建立一個全面的網(wǎng)絡(luò)安全管理體系，運維人員嚴格按照管理體系進行運維工作，提高其安全防護能力，減少網(wǎng)絡(luò)攻擊的風險，從而實現(xiàn)企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的安全穩(wěn)定運行。

參考文獻

［1］姜可.我國網(wǎng)絡(luò)安全運維存在的隱患及改善策略［J］.無線互聯(lián)科技，2022（3）：19-20.

［2］裴建廷，于謙，孫斌，等.基于等保2.0高校網(wǎng)絡(luò)安全主動防御體系建設(shè)探析［J］.信息通信，2020（2）：166-167.

［3］郭曉宇.企業(yè)信息網(wǎng)絡(luò)安全管理的建設(shè)與運維研究［J］.現(xiàn)代信息科技，2022（6）：133-135，140.

（編輯 王雪芬）

Network security operation and maintenance based on graded protection evaluation 2.0

Liu? Yexiang

（Jiangsu Golden Shield Detection Technology Co.， Ltd.， Nanjing 210042， China）

Abstract： The graded protection evaluation 2.0 standard， as the most cutting-edge detection standard for current network security， has a very authoritative ability to detect network security issues. In terms of network operation and maintenance， most operation and maintenance personnel have certain risks in their work and cannot effectively carry out security protection. This article is based on the graded protection evaluation 2.0 standard to find weaknesses in security operations and maintenance. The network security operation and maintenance based on the graded protection evaluation 2.0 standard is currently the most effective and secure network security management mode. Therefore， we must conscientiously do a good job in the network security operation and maintenance work， so that our information network system can be stable and sustainable development.

Key words： network security operation and maintenance;graded protection evaluation 2.0; information construction