◆鐘錫寶

網(wǎng)絡(luò)安全等級保護(hù)技術(shù)實現(xiàn)與分析

◆鐘錫寶

（廣西交通技師學(xué)院 廣西 530001）

隨著互聯(lián)網(wǎng)的迅速發(fā)展，信息系統(tǒng)的應(yīng)用也隨之越來越多，中國許多重要行業(yè)都配備了屬于自己的信息系統(tǒng)，但是網(wǎng)絡(luò)發(fā)達(dá)也有不利的一面，信息系統(tǒng)的網(wǎng)絡(luò)攻擊和相關(guān)的黑客也越來越多，這就需要各個行業(yè)加強(qiáng)對自身信息系統(tǒng)的安全等級保護(hù)。本文針對網(wǎng)絡(luò)安全等級保護(hù)技術(shù)如何實現(xiàn)展開了相關(guān)的探討，希望對相關(guān)人員有所幫助。

網(wǎng)絡(luò)安全；等級保護(hù)技術(shù)；信息系統(tǒng)

隨著我國信息化不斷發(fā)展，信息系統(tǒng)已在我國能源、金融、交通、教育、科研、水利、工業(yè)制造、醫(yī)療衛(wèi)生、社會保障、公用事業(yè)等領(lǐng)域和國家機(jī)關(guān)得到了極大的應(yīng)用，信息系統(tǒng)受到破壞將會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重危害，對信息系統(tǒng)進(jìn)行保護(hù)已經(jīng)迫在眉睫，為此國家高度重視，并于2017年6月1日起正式實施《網(wǎng)絡(luò)安全法》，《網(wǎng)絡(luò)安全法》中明確規(guī)定國家實行網(wǎng)絡(luò)安全等級保護(hù)制度，網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

1 科學(xué)劃分系統(tǒng)區(qū)域

想要使網(wǎng)絡(luò)安全等級保護(hù)技術(shù)更好地實現(xiàn)，首先要做的就是對系統(tǒng)各個區(qū)域進(jìn)行科學(xué)劃分，可以把相近物理位置的設(shè)備劃分在一起，或者功能性相似的信息系統(tǒng)或設(shè)備劃分在一起，還可以根據(jù)網(wǎng)絡(luò)拓?fù)鋪韯澐謪^(qū)域，劃分出來的區(qū)域要保證彼此相互直接可以進(jìn)行交互流通，并且能被系統(tǒng)終端良好地進(jìn)行管控。同時，系統(tǒng)和設(shè)備的重要區(qū)域或者是外聯(lián)接入?yún)^(qū)都要安裝相應(yīng)的安全設(shè)備，來確保外部病毒不能入侵，從而保護(hù)系統(tǒng)內(nèi)部的資源安全。系統(tǒng)的區(qū)域也可以劃分為很多種，有交換區(qū)域、服務(wù)區(qū)域、外聯(lián)接入?yún)^(qū)域和安全管理區(qū)域等，如果有些網(wǎng)絡(luò)運營者對于外網(wǎng)和內(nèi)網(wǎng)有特別要求，需要把外網(wǎng)和內(nèi)網(wǎng)在物理隔離的狀態(tài)下進(jìn)行數(shù)據(jù)交換，那么可以使用網(wǎng)閘來進(jìn)行擺渡就可以解決此問題。只有把系統(tǒng)中每個區(qū)域的安全保障都做到位了，網(wǎng)絡(luò)安全等級保護(hù)技術(shù)才能更好地實現(xiàn)。

2 保障信息系統(tǒng)環(huán)境安全

2.1 完善信息系統(tǒng)安全配置

想要保障信息系統(tǒng)環(huán)境安全首先就得把信息系統(tǒng)安全部署完善。在登錄信息系統(tǒng)的時候要設(shè)置用戶登錄，只有系統(tǒng)的合法用戶才能進(jìn)入系統(tǒng)，并且登錄密碼的復(fù)雜程度要提高，賬戶要定時進(jìn)行鎖定，超過了時間就要強(qiáng)制退出系統(tǒng)，還可以通過定期進(jìn)行系統(tǒng)更新來修復(fù)和查找系統(tǒng)中的漏洞。其次在信息系統(tǒng)的服務(wù)器或者與系統(tǒng)相關(guān)的設(shè)備上安裝殺毒軟件，定期對病毒進(jìn)行徹底查殺，使系統(tǒng)能夠?qū)Σ《具M(jìn)行有效的監(jiān)控，殺毒服務(wù)器中的病毒庫和殺毒軟件都要定時進(jìn)行更新。

2.2 對主機(jī)中間件進(jìn)行安全加固

在保障了信息系統(tǒng)的安全之后就要對主機(jī)進(jìn)行加固。主機(jī)包括了信息系統(tǒng)的服務(wù)器和各類終端，主機(jī)加固首先需要做的就是對其中的應(yīng)用、數(shù)據(jù)庫、操作系統(tǒng)進(jìn)行加固，有些病毒會對信息系統(tǒng)中的操作系統(tǒng)進(jìn)行強(qiáng)制訪問，用這種方式來使系統(tǒng)中毒。所以需要對操作系統(tǒng)中的核心層設(shè)置系統(tǒng)安全機(jī)制，主要針對以強(qiáng)制訪問為主體的病毒。設(shè)置了這類安全機(jī)制便能夠有效控制病毒入侵操作系統(tǒng)。其次，服務(wù)器中的數(shù)據(jù)庫和應(yīng)用也可以通過設(shè)置相同的系統(tǒng)安全機(jī)制來阻止病毒進(jìn)行入侵。

2.3 完善運維審計系統(tǒng)和服務(wù)器

運維審計系統(tǒng)是信息系統(tǒng)中的一項重要安全系統(tǒng)。運維審計系統(tǒng)可以對服務(wù)器管理員的操作進(jìn)行監(jiān)視，服務(wù)器管理員所作出的操作都會被運維審計系統(tǒng)全部記錄下來，每當(dāng)服務(wù)器管理員操作失誤，運維審計系統(tǒng)便可以查詢到服務(wù)器管理員操作失誤的過程和原因，在非常重要的服務(wù)器中都會設(shè)置運維審計系統(tǒng)來檢查服務(wù)器管理員的行為。另外，信息系統(tǒng)中的服務(wù)器如果出現(xiàn)故障可能會導(dǎo)致部分內(nèi)容丟失，因此可以在服務(wù)器內(nèi)建立一個用于備份的體系，保證服務(wù)器中的內(nèi)容不會丟失，備份的方法可以利用超融合技術(shù)。有一些網(wǎng)絡(luò)運營者服務(wù)器所儲存的數(shù)據(jù)屬于私密型，在這種情況下，可以在應(yīng)用層啟用HTTPS加密傳輸協(xié)議，以此來達(dá)到數(shù)據(jù)的隱秘性。許多對外的服務(wù)器都容易受到XXS跨站腳本、SQL注入、CSRF跨站請求偽造的攻擊，在服務(wù)器的前端部署WEB應(yīng)用防火墻能夠有效阻止以上攻擊行為。服務(wù)器還可以設(shè)置一個容災(zāi)系統(tǒng)，這種系統(tǒng)可以使受損的重要數(shù)據(jù)能夠得到迅速恢復(fù)。

3 保障網(wǎng)絡(luò)通信安全

3.1 架構(gòu)安全

網(wǎng)絡(luò)通信是網(wǎng)絡(luò)安全上層應(yīng)用中的支撐體系，所以保障網(wǎng)絡(luò)安全首先應(yīng)該關(guān)注網(wǎng)絡(luò)通信中的架構(gòu)安全。首先，網(wǎng)絡(luò)拓?fù)渲械募軜?gòu)應(yīng)該采用具有彈性的架構(gòu)，在核心層里面的架構(gòu)都應(yīng)該采用超融合架構(gòu)；其次，在架構(gòu)的核心區(qū)域旁設(shè)置相應(yīng)的安全檢測設(shè)備，以此來控制非法入侵，還可以設(shè)置報警系統(tǒng)，一旦有病毒入侵，報警系統(tǒng)便會自動進(jìn)行檢測和報警。

3.2 設(shè)備安全

設(shè)備的安全在網(wǎng)絡(luò)通信中也是非常重要的。首先設(shè)備應(yīng)該設(shè)置準(zhǔn)入裝置，只有被準(zhǔn)入裝置允許的人員才可以進(jìn)入設(shè)備；其次還需要設(shè)置一個非法外聯(lián)來防止病毒的入侵，有些病毒會通過無線網(wǎng)絡(luò)來進(jìn)行入侵，設(shè)備尤其要加強(qiáng)對外來接入的檢測和認(rèn)證，這種情況就可以設(shè)置一個WIFI控制體系，對所有加入WIFI的用戶進(jìn)行檢測，一旦發(fā)現(xiàn)身份異常的接入者就對其實施安全防護(hù)隔離；最后保障設(shè)備的安全還可以在設(shè)備的核心區(qū)旁邊部署一個APT檢測設(shè)備，這個設(shè)備可以對具備攻擊性的入侵進(jìn)行檢測，并且對設(shè)備中的漏洞進(jìn)行檢測。

4 保障邊界安全

各個服務(wù)區(qū)域中的邊界區(qū)域還有外網(wǎng)中的邊界區(qū)域的安全都是非常重要的，邊界區(qū)域的安全關(guān)乎網(wǎng)絡(luò)安全等級保護(hù)技術(shù)能不能更好地運用。提升外網(wǎng)邊界區(qū)域的安全首先就要部署一個NGAF防火墻，這個防火墻可以對訪問者的信息進(jìn)行檢測，一旦訪問者的身份是沒有經(jīng)過授權(quán)的身份，防火墻體系就會阻止訪問者進(jìn)行訪問，這個防火墻還可以對外網(wǎng)中的信息數(shù)據(jù)進(jìn)行控制，一旦發(fā)現(xiàn)數(shù)據(jù)中含有非法數(shù)據(jù)就會進(jìn)行報警。有一些黑客會利用網(wǎng)關(guān)來進(jìn)行入侵，NGAF防火墻還可以加入防惡意代碼檢測功能，一旦發(fā)現(xiàn)有惡意代碼防火墻就會對惡意代碼進(jìn)行查殺。在外網(wǎng)邊界區(qū)域還可以設(shè)置一個監(jiān)管系統(tǒng)，這個監(jiān)管系統(tǒng)可以對流經(jīng)外網(wǎng)邊界區(qū)域的數(shù)據(jù)進(jìn)行識別和檢測，還可以對外網(wǎng)使用的流量進(jìn)行統(tǒng)計，一旦發(fā)現(xiàn)不正常外聯(lián)，這個監(jiān)管系統(tǒng)都可以檢測得到。不論是外網(wǎng)邊界區(qū)域還是內(nèi)網(wǎng)邊界區(qū)域都有一個經(jīng)常出現(xiàn)的問題，那就是TCP/IP網(wǎng)絡(luò)協(xié)議攻擊，針對這個問題，可以部署一個網(wǎng)閘，只要是經(jīng)過內(nèi)網(wǎng)邊界區(qū)域和外網(wǎng)邊界的數(shù)據(jù)，網(wǎng)閘都能對其進(jìn)行控制，并且運用自身所具備的擺渡功能讓進(jìn)出數(shù)據(jù)得到有效交互，這樣便可以有效解決TCP/IP網(wǎng)絡(luò)協(xié)議攻擊問題。還可以在內(nèi)外網(wǎng)邊界區(qū)域中設(shè)置一個清洗設(shè)備，防止網(wǎng)絡(luò)由于數(shù)據(jù)過多而造成擁堵。此外，許多的網(wǎng)絡(luò)運營者認(rèn)為只要把內(nèi)網(wǎng)和外網(wǎng)隔離開來，內(nèi)網(wǎng)就會是安全的，因此不注重加強(qiáng)對內(nèi)網(wǎng)的訪問控制，這種想法和做法都是錯誤的，內(nèi)網(wǎng)中的設(shè)備本身就會存在一些不易察覺的漏洞，一旦病毒通過了訪問，就能夠滲入到內(nèi)網(wǎng)中的主機(jī)里，并且利用相關(guān)的工具對主機(jī)實施打擊，之后再對整個網(wǎng)絡(luò)進(jìn)行攻擊。所以，對于內(nèi)網(wǎng)的訪問控制必須加強(qiáng)。

5 物理環(huán)境安全

物理環(huán)境的安全也非常重要，它是系統(tǒng)中的設(shè)備能進(jìn)行正常運行的前提條件。首先機(jī)房得做好自身的建設(shè)工作，要做好機(jī)房的防水工作，特別是有窗戶的機(jī)房和有水管的機(jī)房，一旦機(jī)房里面的設(shè)備進(jìn)水了就會對設(shè)備造成難以估計的傷害，可以設(shè)置排水溝，防止漏水后機(jī)房里面形成積水從而對設(shè)備造成安全隱患。機(jī)房里面設(shè)備由于長期運行，有時會出現(xiàn)溫度過高的現(xiàn)象，針對這種情況，可以在機(jī)房里面安裝空氣溫度調(diào)節(jié)裝置，保證機(jī)房中的設(shè)備運行溫度在正常范圍之內(nèi)。機(jī)房的外面可以安裝監(jiān)控攝像頭，對出入機(jī)房人員進(jìn)行監(jiān)控，還可以設(shè)置紅外線探頭，一旦機(jī)房出現(xiàn)人員入侵現(xiàn)象被紅外線探頭檢測到就會出現(xiàn)警報。同時，機(jī)房中也非常容易著火，在機(jī)房里面可以設(shè)置一個自動滅火系統(tǒng)，機(jī)房里面一旦起火就會觸發(fā)滅火系統(tǒng)，滅火系統(tǒng)可以對火情進(jìn)行控制。安裝機(jī)房地板時應(yīng)該注意要安裝防靜電的地板，從而防止機(jī)房設(shè)備發(fā)生靜電反應(yīng)?？紤]到機(jī)房停電或者碰上雷雨天氣這兩種情況，機(jī)房可以安裝備用的供電設(shè)備，一旦發(fā)生停電備用供電設(shè)備就可以保證機(jī)房繼續(xù)正常運行，其次，在機(jī)房的建筑物屋上安裝避雷裝置，機(jī)房的總電源開關(guān)也安裝防雷裝置，這樣就可以保障機(jī)房在雷雨的天氣下排除掉雷電這個隱患。

6 安全管理中心

安全管理中心對整個信息網(wǎng)絡(luò)多個區(qū)域進(jìn)行管理的地方，不管是機(jī)房的物理環(huán)境還是通信網(wǎng)絡(luò)區(qū)域都由安全管理中心統(tǒng)一管理。安全管理中心可以控制審計系統(tǒng)，對審計系統(tǒng)中檢測到的不正常行為都能進(jìn)行警報。信息系統(tǒng)中的所有資源都?xì)w安全管理中心統(tǒng)一管理，不管是數(shù)據(jù)庫、網(wǎng)絡(luò)環(huán)境和主機(jī)哪一部分出了問題，安全管理中心都能夠檢測得到。同時，安全管理中心還可以配備漏洞檢測設(shè)備，整個網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)所出現(xiàn)的安全漏洞都能被及時發(fā)現(xiàn)。安全管理中心還有一個屬于自己的管理平臺，這個管理平臺能對訪問過系統(tǒng)的用戶的行為進(jìn)行分析，還能對訪問網(wǎng)絡(luò)的流量進(jìn)行統(tǒng)計，并且搜集網(wǎng)絡(luò)中的資源，以此為分析基礎(chǔ)做出報表，報表能夠反映出網(wǎng)絡(luò)系統(tǒng)的安全發(fā)展趨勢。

7 結(jié)語

綜上所述，網(wǎng)絡(luò)安全等級保護(hù)工作不是一件簡單的工作，想要做好這項工作需要對網(wǎng)絡(luò)有一個全面的認(rèn)識，網(wǎng)絡(luò)的各個區(qū)域之間看似聯(lián)系不大，其實都是彼此之間是互通的，任何一個區(qū)域出現(xiàn)了安全問題，對系統(tǒng)的打擊可能都是致命的，在網(wǎng)絡(luò)安全等級保護(hù)工作中不應(yīng)該忽略任何一個細(xì)節(jié)。其次，想要讓網(wǎng)絡(luò)安全等級保護(hù)技術(shù)更好地落實在實踐之中，不僅技術(shù)重要，管理也是不可或缺的一項內(nèi)容。良好的技術(shù)能夠檢測和消滅網(wǎng)絡(luò)中的病毒，使網(wǎng)絡(luò)更加安全，而良好的管理能夠分析系統(tǒng)中的漏洞，并及時進(jìn)行修復(fù)，使系統(tǒng)中的資源更加安全，由此可見，管理和技術(shù)缺一不可。希望本文針對網(wǎng)絡(luò)安全等級技術(shù)做出的一些分析能夠為網(wǎng)絡(luò)的安全保護(hù)工作起到一點幫助。

[1]李欣，智遠(yuǎn)，劉穎，姚亞強(qiáng)，李霖.基于等級保護(hù)的新型終端安全防護(hù)技術(shù)[J].電子世界，2020（18）：24-25.

[2]張彥，馬延妮，司群.基于等級保護(hù)思想的網(wǎng)絡(luò)安全風(fēng)險評估關(guān)鍵技術(shù)研究[J].鐵路計算機(jī)應(yīng)用，2020，29（08）：28-32.

[3]張小林，魯雷，羅漢云.高校網(wǎng)絡(luò)安全等級保護(hù)建設(shè)研究[J].電腦知識與技術(shù)，2020，16（22）：71-73.

[4]黃果.加強(qiáng)網(wǎng)絡(luò)安全防護(hù)的思考和實踐[J].中國食品藥品監(jiān)管，2020（05）：14-19.

[5]GB/T 22240-2020，信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南[S].

[6]羅曉明.基于等級保護(hù)的網(wǎng)絡(luò)安全技術(shù)的應(yīng)用探究[J].信息通信，2020（04）：138-139.