网络安全等级保护技术实现与分析

网络安全等级保护技术实现与分析

柳岩峰

国网内蒙古东部电力有限公司阿鲁科尔沁旗供电分公司内蒙古赤峰市025550

摘要：目前我国重要行业对信息系统的依赖程度日益提高，网络攻击也越来越多，如何将网络安全等级保护要求真正落地，是等级保护工作者迫切需要解决的问题。

关键词：信息系统；网络安全；等级保护

一、网络安全技术等级保护的依据

在这个信息爆炸的年代，网络成为了越来越普遍的东西，人们的很多信息和隐私都可以通过网络搜索到，这也就间接的表明了在现如今网络的时代中，信息安全问题已经十分严重了。现在对网络的攻击来自各个方面，并且攻击的形式也是多样化的。攻击网络或者计算机的常见方法有：读取网络数据进行攻击、网站欺骗进行攻击、重定向攻击以及操作防火墙攻击。病毒和木马会穿透网络、穿透网络的防火墙，进行连续的传播和感染，而网络防火墙就是黑客攻击的第一个目标，一旦防火墙遭受到攻击和破坏，将会导致网络暴露详配置信息，黑客一般将防火墙作为一个跳板来攻击系统的其他重要配置。如果想让网络自身有一定的防御功能，那么就必须要对其进行安全相关的配置，从而保证当网络遭受到外界攻击时，能够第一时间做出有效的防范和反击措施。

二、等保安全体系实现

2.1合理划分区域，域间互通管控

应根据系统或设备所处的物理位置、功能特性、网络拓扑等划分安全域，区域之间要形成数据流互通和管控策略；外联接入区和重要区域（服务器区）前段应部署安全设备，保护内部重要计算资源。具体网络结构可参照《信息系统等级保护安全设计技术要求》设计，基本区域应包括：互联网接入区、外联接入区、核心交换区、终端办公区、服务器区、运维审计区和安全管理区等，如果单位要求外网和内网物理隔离，双网之间数据交换应通过网闸进行摆渡。

2.2保障计算环境安全，实施数据访问审计

计算安全方而主要通过以下措施实现：

（1）主机加固：对服务器、终端等设备操作系统、数据库等系统软件进行安全加固，在操作系统核心层和系统层设置以强制访问控制为主体的系统安全机制，形成严密的安全保护环境，实现对用户行为的控制，具体实施方式可参照相关行业的基线配置核查标准进行；

（2）安全配置：通过安全配置，启用用户登录、密码复杂度、账户锁定、日志审计、系统更新等策略，提升系统自身防护机制的有效性；

（3）防病毒软件：在服务器、终端等设备上安装网络版杀毒软件，实现对主机恶意代码的集中监控与查杀；在网络内部部署杀毒服务器，及时更新杀毒软件版本和病毒库并下发至各服务器和终端；

（4）部署运维审计系统，监视服务器管理员的行为操作，并保存操作行为记录，以便发生问题时的倒查工作；

（5）在重要内部器区部署数据库审计系统和数据库防护系统，监视、记录并限制对数据库服务器的各类操作行为；

（6）服务器建立备份体系，保证关键服务的持续可用，具体方式可采用群集、超融合或虚拟化等技术；

2.3安全管理中心

安全管理中心实施对计算环境、区域边界和通信网络统一的安全策略管理，确保系统配置完整可信，确定用户操作权限，实施全程审计追踪，从功能上可细分为系统管理、安全管理和审计管理。

（1）部署曰志审计系统，监测并发现各设备异常事件，准确发出实时告警；

（2）部署SOC安全管理平台，全面收集网络日志和流量，深度分析用户行为，综合关联各区域时间，形成图形化报表，形象展示安全事件和发展态势；

（3）部署堡垒机系统，对主要网络设备、应用系统、主机系统的运维集中管控和审计。

2.4物理环境安全

物理机房环境是系统设备运行的基本保障，因此需要机房的功能性、安全性和可靠性的保障。可以大致划分为物理位置、访问控制、设备物理防护、设备供电和环境监控等方面

（1）机房的建设需要完善，做好漏水的防护，若有对外的窗户需要进行防漏水处理；机房有水管穿过，设置拦水坝，防止漏水后积水的转移和渗漏；

（2）需要做好物理机房的访问控制，安排人员值守，对进出机房人员身份鉴别；安装门禁控制装置，鉴别记录进出机房的人员；

（3）通过安装空气调节设备，对机房的温湿度进行调节控制，保证机房环境处于设备运行所需的正常范围；

（4）通过安装视频监控系统和红外入侵报警系统，对机房人员出入情况和物理入侵行为进行实时监控和报警；

（5）安装火灾自动灭火系统，可采用气体灭火与火灾探测联动，及时发现火情并触发进行灭火；

（6）安装防静电地板，并将设备机柜可靠接地，避免和消除静电的产生；

（7）配备短期供电设备（UPS）和备用供电设备（发电机组），当市电供电出现问题时，继续供电，保证系统的正常运行；

（8）做好避雷措施，机房所在建筑安装避雷器装置，机房电源安装防雷安保器，防止感应雷产生和危害；

（9）部署动力环境监控系统，安装防水检测绳、温湿度监控装置等，并将供电电源、空调接入该系统，实现对机房环境的监控，并可对异常情况进行报警。以上述设计为根本，在安全建设过程中遵循《基本要求》和《建设管理规范》，通过设备部署、安全加固配置和应用软件开发安全多种方式互为补充，最终满足第三级系统应的安全防护要求。

三、等保心得

3.1网络安全不只是安全产品的堆积，安全的实现不仅要有相关的安全防护设施，如：防火墙+IDS+防病毒十扫描器等，同时要求这些设备部署在合理的位置，并开启严格的访问控制策略，方能够有效的阻止不同区域间的安全攻击。这些设备之间应最终遵循统一的协调标准，做到互通联动，如在IDS发现攻击的时候，能够对不同厂商的防火墙发出指令，防火墙自动产生一条策略，阻止相关攻击数据流，真正做到主动防御。

3.2等级保护能有效阻止外部攻击的同时，更能有效防范内部的非法行为，根据20／80原则，虽然内部攻击较少，但是产生的危害巨大，笔者在实际工作中经常遇到一下情况，部分单位做到了内外网隔离，认为内网是安全的，殊不知内网是由一系列设备和汁算环境组成，这些设备本身存在一系列漏洞和错弱性，在内部网络往往缺乏访问控制措施，一旦接入内部网络，通过探测、渗透发现某

个脆弱主机，通过利用工具将能轻易攻破脆弱主机，并将其作为跳板对全网进行攻击。因此，笔者建议，在内部网络需部署准入安全设备，禁用无用交换端口，严格限制非授权终端接入。

3.3要切实通过建立纵深防御体系，不仅在外部网络边界进行访问控制，同时要在系统内部边界、服务器边界部署应用级防火墙，服务器本身也要开启主机版防火墙，从而建立起一个立体的防御体系，最大程度的保证服务器的安全，同时也可通过防火墙，隔离内部终端区以及系统内部其他区域的网络攻击行为。

3.4在主机、网络、数据库及应用系统中使用复杂度高的口令，避免使用弱口令、默认口令和空口令，做到定期修改口令，同时启用密码验证失败锁定策略，防止非授权用户对口令进行暴力破解。

总结：

等级保护工作是一个体系化的工作，除了标准要求的防护、监测和相应措施外，应还要加强渗透测试、安全运维方面的工作。主要是：渗透测试服务，通过模拟黑客攻击来主动发现系统可利用的漏洞；系统上线前安全测试服务，在新系统上线前对系统进行全面的安全测试，及时发现系统在开发设计时就有的一些安全问题，降低系统带病上线的风险；安全运维服务，这个不是普通的驻场日常运维，而是针对我们的网络及系统定期的进行漏洞扫描，策略检查，安全加固及日志分析等服务，通过安全运维服务，及时发现潜在的安全隐患，寻找有无被黑客攻击的痕迹，及时查漏补缺。

参考文献：

[1]宋蔚.浅析中央电视台新址播出系统信息安全等级保护方案的设计与实施卟现代电视技术，2018，（08）：70-73-1lO．

[2]成兵，张玮，夏国光．信息系统安全等级保护整改建设研究UJ．计算机安全，2017，（O1）：60-64

[3]刘巍伟．基于可信计算技术的移动代码安全研究[D]．北京交通大学，2019．