◆董棟

網(wǎng)絡(luò)安全等級保護實施方案的設(shè)計與應(yīng)用

◆董棟

（紹興市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊 浙江 312000）

隨著時代的發(fā)展，我國當(dāng)前正處在科學(xué)技術(shù)蓬勃發(fā)展的關(guān)鍵階段，其中，信息化、計算機技術(shù)覆蓋了社會的大多數(shù)行業(yè)及領(lǐng)域，為人們工作與生活提供了前所未有的便利條件，但是，網(wǎng)絡(luò)空間也是一把雙刃劍，相關(guān)單位或個人在使用互聯(lián)網(wǎng)技術(shù)的過程中，如果沒有對自身安全進行妥善防護，就很容易造成資料泄露等惡性事件，在嚴重情況下甚至?xí)蛊髽I(yè)出現(xiàn)巨額經(jīng)濟損失。針對這種情況，貫徹網(wǎng)絡(luò)安全等級保護方案是保障企業(yè)與個人網(wǎng)絡(luò)信息安全的重要舉措。本文通過對相關(guān)文獻進行查閱，對當(dāng)前我國網(wǎng)絡(luò)安全問題的現(xiàn)狀進行了分析，結(jié)合相關(guān)科學(xué)理論知識，最終提出了一種網(wǎng)絡(luò)安全等級保護方案的設(shè)計與應(yīng)用策略。希望本文能夠在一定程度上提升我國網(wǎng)絡(luò)安全保障水平。

網(wǎng)絡(luò)安全；信息系統(tǒng)安全等級保護；實施方案；設(shè)計與應(yīng)用

當(dāng)前，我國正處在信息時代，而網(wǎng)絡(luò)技術(shù)正是信息時代的產(chǎn)物，伴隨著網(wǎng)絡(luò)技術(shù)而衍生出的諸多行業(yè)與服務(wù)，其為民眾的生活帶來了前所未有的方便與快捷，此外，網(wǎng)絡(luò)技術(shù)不僅改變了人們的生活方式，還在某種程度上影響了人們的思維方式。隨著信息技術(shù)與網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，人們對于計算機、網(wǎng)絡(luò)技術(shù)的依賴性也越來越大，一旦網(wǎng)絡(luò)安全出現(xiàn)了問題，對于個人與企業(yè)來說都是非常糟糕的，個人可能會涉及因素泄露風(fēng)險，而企業(yè)則有可能遭受巨大的經(jīng)濟損失。

1 當(dāng)前網(wǎng)絡(luò)安全問題的現(xiàn)狀

在世界進入信息化社會之后，互聯(lián)網(wǎng)技術(shù)為民眾生活帶來極大便利的同時，也帶來了各種新興的信息風(fēng)險。具體而言，網(wǎng)絡(luò)空間受到攻擊的方式與途徑有很多種，不僅僅只針對個人電腦操作系統(tǒng)與服務(wù)器終端。在實踐中，部分網(wǎng)絡(luò)攻擊甚至可以直接從服務(wù)器達到客戶端，此外，網(wǎng)絡(luò)攻擊所造成的損失也呈現(xiàn)多樣化、嚴重化的趨勢，這與企業(yè)管理逐漸信息化是分不開的。

在世界領(lǐng)域，美國每年因網(wǎng)絡(luò)犯罪而遭受的經(jīng)濟損失超過3000萬美元，英國每年會超過1200億美元，根據(jù)權(quán)威機構(gòu)統(tǒng)計，自從信息化時代到來之后，全世界由于網(wǎng)絡(luò)犯罪而遭受的經(jīng)濟損失總和超過了驚人的6萬億美元，此外，世界上每十個人當(dāng)中就會有九個人曾經(jīng)遭受過網(wǎng)絡(luò)攻擊，對其造成不同程度的侵害[1]。

我國信息化建設(shè)起步較晚，但遭受的網(wǎng)絡(luò)攻擊數(shù)量卻并沒有因此減少，根據(jù)權(quán)威數(shù)據(jù)顯示，我國每年會遭受超過十萬次不同種類的網(wǎng)絡(luò)攻擊，總體而言，我國所遭受的網(wǎng)絡(luò)攻擊主要具備以下幾種基本特征：（1）病毒感染、木馬問題嚴重。具體而言，人們在不知不覺間都曾經(jīng)遭受到計算機病毒的侵害，這些病毒與木馬會盜取計算機內(nèi)部有價值的信息，對個人的隱私造成嚴重侵害，其中，對于企業(yè)文件的盜取會嚴重影響我國經(jīng)濟安全。（2）網(wǎng)絡(luò)經(jīng)濟犯罪影響大。根據(jù)權(quán)威機構(gòu)調(diào)查顯示，我國幾乎所有與互聯(lián)網(wǎng)相關(guān)的機構(gòu)都遭受過境外黑客的攻擊，其中，金融機構(gòu)、經(jīng)紀(jì)公司更是這些不法分子攻擊的重點，這些犯罪分子在盜取到大量企業(yè)內(nèi)部信息之后，會采取各種手段非法獲取經(jīng)濟利益，從而使相關(guān)企業(yè)遭受巨額經(jīng)濟損失[2]。（3）網(wǎng)絡(luò)安全技術(shù)薄弱。近年來，雖然我國已經(jīng)加大了發(fā)展網(wǎng)絡(luò)安全技術(shù)的力度，但是由于時間過短，當(dāng)前我國在信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)攻擊預(yù)防等方面都存在較大的問題，根據(jù)權(quán)威數(shù)據(jù)顯示，雖然我國已經(jīng)擺脫了防御能力最低國家的稱號，但是網(wǎng)絡(luò)安全防護能力依舊不能位居世界前列。

2 網(wǎng)絡(luò)安全等級保護實施方案的設(shè)計思路

隨著信息化時代的來臨，人們面臨的信息風(fēng)險呈現(xiàn)多樣化、復(fù)雜化的特點，為了更好保障網(wǎng)絡(luò)安全，就必須設(shè)定相應(yīng)的安全等級防護方案以保障網(wǎng)絡(luò)信息安全。

由于網(wǎng)絡(luò)攻擊的多樣化，因此網(wǎng)絡(luò)安全等級保護實施方案要求設(shè)計者必須從整體角度出發(fā)，對計算機設(shè)備的信息安全進行全面防護。從實踐角度講，網(wǎng)絡(luò)安全等級防護可以采取分級、分區(qū)、分層三層保護措施，其中，等級防護可以將二級系統(tǒng)統(tǒng)一成為一區(qū)，將三級系統(tǒng)作為一個獨立的區(qū)域進行劃分。安全域的劃分是等級防護的基礎(chǔ)步驟，即通過將整體問題進行細化分解的方式來降低網(wǎng)絡(luò)安全問題處理的難度。同時，對安全域進行劃分也能夠幫助相關(guān)使用者實現(xiàn)差異防護，進而從多方面降低信息安全隱患[3]。

3 網(wǎng)絡(luò)安全等級保護實施方案的設(shè)計

（1）三層防護方案

本文以我國當(dāng)前的網(wǎng)絡(luò)安全形勢為依據(jù)，結(jié)合了地方網(wǎng)絡(luò)實際情況，提出了包含區(qū)域劃分、安全防護以及環(huán)境安全的三層防護。本文提出的方案基于防護框架，最終實現(xiàn)分級、分區(qū)的防護措施，為網(wǎng)絡(luò)信息安全提供充分保障。

首先，分區(qū)防護是對網(wǎng)格統(tǒng)一劃分安全區(qū)域，從而對不同安全等級進行區(qū)分，根據(jù)差異進行單獨防護。其次，等級防護的域應(yīng)該秉持著二級系統(tǒng)同意防護及系統(tǒng)獨立防護的原則進行。最后，多層次防護的概念是指從區(qū)域邊界、環(huán)境等諸多方面進行防護[4]。

（2）安全域防護

安全域主要是指在同一個環(huán)境內(nèi)部，以共同防護需要為基礎(chǔ)，具備相同權(quán)限與防護措施的系統(tǒng)或者網(wǎng)絡(luò)。在實踐中，安全域主要起到以下作用：（1）分解復(fù)雜安全防護問題。即通過將一整個大型的復(fù)雜網(wǎng)絡(luò)安全問題進行割裂，使其成為一個個小型、復(fù)雜程度較低的安全防護問題，通過這種方式能夠很好提升系統(tǒng)安全性。（2）對不同系統(tǒng)進行差異防護?，F(xiàn)實生活中的基礎(chǔ)網(wǎng)絡(luò)服務(wù)、應(yīng)用等因素往往存在較大的差異，因此，對于防護系統(tǒng)來說，其應(yīng)該同時滿足不同種類系統(tǒng)的安全防護需要，這也是進行安全域防護的主要原因。

（3）網(wǎng)絡(luò)邊界防護

網(wǎng)絡(luò)邊界防護的目的是在網(wǎng)絡(luò)空間周邊建立一道封鎖線，保證內(nèi)部不會受到網(wǎng)絡(luò)攻擊的侵害，本文所提出的網(wǎng)絡(luò)空間防護策略主要分為兩點，首先，網(wǎng)絡(luò)邊境防護能夠保證其能夠免受來自外部的攻擊，其次，也能夠?qū)?nèi)部進行封鎖，防止外界不法分子通過開放接口進入內(nèi)部網(wǎng)絡(luò)。在發(fā)生網(wǎng)絡(luò)安全事件之前，網(wǎng)絡(luò)邊界防護可以實現(xiàn)對入侵事件的記錄與預(yù)防。多數(shù)的網(wǎng)絡(luò)邊界主要包括以下幾個種類：（1）縱向邊界。單純的外部攻擊防護措施，主要依靠防火墻實現(xiàn)。（2）橫向邊界。能夠?qū)?nèi)部安全域之間的信息交流進行防護，確保信息傳遞安全。在實踐中主要依靠以下方式實現(xiàn)：根據(jù)網(wǎng)絡(luò)邊界中的數(shù)據(jù)流制定訪問控制矩陣，并據(jù)此在網(wǎng)絡(luò)中設(shè)置特定的訪問規(guī)則；根據(jù)工作需要，指定特定的訪問方式；對違規(guī)行為進行及時記錄與分析[5]。

（4）網(wǎng)絡(luò)環(huán)境防護

檢測邊界入侵。通過嗅探方式截取數(shù)據(jù)包，通過對其特征及異常統(tǒng)計方式對其本質(zhì)進行分析，做到及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊。及時設(shè)置入侵檢測系統(tǒng)，以保證管理員處理網(wǎng)絡(luò)安全問題的及時性。（2）加固安全設(shè)備。在不影響業(yè)務(wù)的情況下優(yōu)化系統(tǒng)初始配置。主要包括以下幾點：設(shè)置用戶安全權(quán)限；限制網(wǎng)絡(luò)設(shè)備使用管理員登錄方式；禁止非法登錄等。

4 網(wǎng)絡(luò)安全等級保護實施方案的應(yīng)用

圖1 ·等級改造前的拓撲示意圖

根據(jù)圖一可知，在兩臺交換機當(dāng)中存在冗余網(wǎng)關(guān)協(xié)議，進而實現(xiàn)了鏈路域設(shè)備熱備份，但是該系統(tǒng)服務(wù)器域桌面終端都在一個大型局域網(wǎng)中，無法實現(xiàn)結(jié)構(gòu)化，也無法對服務(wù)器與個人電腦之間進行細致區(qū)分[6]。

針對這種情況，應(yīng)該通過建立一個完整的二級系統(tǒng)服務(wù)域與桌面終端來對其進行解決，為了完成這一任務(wù)，本文引入了C、D兩臺交換機，通過將網(wǎng)關(guān)下移的方式使原有的桌面終端依舊在核心交換機內(nèi)部。

首先，四臺交換機啟動PSPF協(xié)議，完成一個動態(tài)路由的建立；其次，新增加的兩臺交換機之間運行HSRP協(xié)議，最終實現(xiàn)鏈路與熱備份，這種方式可以保證先前的兩臺交換機之間依舊使用原有的冗余虛擬網(wǎng)管協(xié)定。這種方式能夠在保證服務(wù)器網(wǎng)關(guān)、鏈路冗余的同時實現(xiàn)了路由的動態(tài)計算，進而提升服務(wù)器網(wǎng)絡(luò)穩(wěn)定性，最終滿足國家有關(guān)單位對于網(wǎng)絡(luò)信息安全保護的基本要求。

綜上所述，實施網(wǎng)絡(luò)安全等級保護方案是保證網(wǎng)絡(luò)安全的最優(yōu)策略，在實踐中，相關(guān)人員應(yīng)該從實際情況出發(fā)，制定出針對性的等級保護方案。本文所提出的網(wǎng)絡(luò)安全防護方案符合國家對于信息安全等級保護的基本要求，按照“雙網(wǎng)雙機、分區(qū)分域、等級保護、多層防護”的原則進行了設(shè)計與實施，在一定程度上提升了企業(yè)網(wǎng)絡(luò)安全防護水平。

[1]譚青勇. 網(wǎng)絡(luò)安全等級保護實施方案的設(shè)計與應(yīng)用[J]. 電腦迷，2019，000（004）：84-85.

[2]朱果平. 網(wǎng)絡(luò)安全等級保護實施方案的設(shè)計及應(yīng)用實踐研究[J]. 信息通信，2020.

[3]趙文臣. 基于信息安全的網(wǎng)絡(luò)安全等級保護實施方案設(shè)計研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020，000（005）：2-3.

[4]任智敏. 試論網(wǎng)絡(luò)安全等級保護及實施方案[J]. 中國新通信，2019，21（03）：36.

[5]嚴雨辰. 基于等級保護2.0的信息化安全管理制度方案設(shè)計[J]. 水政水資源，2019（1）：59-61.

[6]周大勇. 基于等級保護的校園網(wǎng)絡(luò)安全規(guī)劃設(shè)計方案[J]. 福建電腦，2019，35（03）：126-128.