网络安全等级保护技术实现与分析
2021-03-06钟锡宝
◆钟锡宝
网络安全等级保护技术实现与分析
◆钟锡宝
(广西交通技师学院 广西 530001)
随着互联网的迅速发展,信息系统的应用也随之越来越多,中国许多重要行业都配备了属于自己的信息系统,但是网络发达也有不利的一面,信息系统的网络攻击和相关的黑客也越来越多,这就需要各个行业加强对自身信息系统的安全等级保护。本文针对网络安全等级保护技术如何实现展开了相关的探讨,希望对相关人员有所帮助。
网络安全;等级保护技术;信息系统
随着我国信息化不断发展,信息系统已在我国能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关得到了极大的应用,信息系统受到破坏将会对社会秩序和公共利益造成严重损害,或者对国家安全造成严重危害,对信息系统进行保护已经迫在眉睫,为此国家高度重视,并于2017年6月1日起正式实施《网络安全法》,《网络安全法》中明确规定国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
1 科学划分系统区域
想要使网络安全等级保护技术更好地实现,首先要做的就是对系统各个区域进行科学划分,可以把相近物理位置的设备划分在一起,或者功能性相似的信息系统或设备划分在一起,还可以根据网络拓扑来划分区域,划分出来的区域要保证彼此相互直接可以进行交互流通,并且能被系统终端良好地进行管控。同时,系统和设备的重要区域或者是外联接入区都要安装相应的安全设备,来确保外部病毒不能入侵,从而保护系统内部的资源安全。系统的区域也可以划分为很多种,有交换区域、服务区域、外联接入区域和安全管理区域等,如果有些网络运营者对于外网和内网有特别要求,需要把外网和内网在物理隔离的状态下进行数据交换,那么可以使用网闸来进行摆渡就可以解决此问题。只有把系统中每个区域的安全保障都做到位了,网络安全等级保护技术才能更好地实现。
2 保障信息系统环境安全
2.1 完善信息系统安全配置
想要保障信息系统环境安全首先就得把信息系统安全部署完善。在登录信息系统的时候要设置用户登录,只有系统的合法用户才能进入系统,并且登录密码的复杂程度要提高,账户要定时进行锁定,超过了时间就要强制退出系统,还可以通过定期进行系统更新来修复和查找系统中的漏洞。其次在信息系统的服务器或者与系统相关的设备上安装杀毒软件,定期对病毒进行彻底查杀,使系统能够对病毒进行有效的监控,杀毒服务器中的病毒库和杀毒软件都要定时进行更新。
2.2 对主机中间件进行安全加固
在保障了信息系统的安全之后就要对主机进行加固。主机包括了信息系统的服务器和各类终端,主机加固首先需要做的就是对其中的应用、数据库、操作系统进行加固,有些病毒会对信息系统中的操作系统进行强制访问,用这种方式来使系统中毒。所以需要对操作系统中的核心层设置系统安全机制,主要针对以强制访问为主体的病毒。设置了这类安全机制便能够有效控制病毒入侵操作系统。其次,服务器中的数据库和应用也可以通过设置相同的系统安全机制来阻止病毒进行入侵。
2.3 完善运维审计系统和服务器
运维审计系统是信息系统中的一项重要安全系统。运维审计系统可以对服务器管理员的操作进行监视,服务器管理员所作出的操作都会被运维审计系统全部记录下来,每当服务器管理员操作失误,运维审计系统便可以查询到服务器管理员操作失误的过程和原因,在非常重要的服务器中都会设置运维审计系统来检查服务器管理员的行为。另外,信息系统中的服务器如果出现故障可能会导致部分内容丢失,因此可以在服务器内建立一个用于备份的体系,保证服务器中的内容不会丢失,备份的方法可以利用超融合技术。有一些网络运营者服务器所储存的数据属于私密型,在这种情况下,可以在应用层启用HTTPS加密传输协议,以此来达到数据的隐秘性。许多对外的服务器都容易受到XXS跨站脚本、SQL注入、CSRF跨站请求伪造的攻击,在服务器的前端部署WEB应用防火墙能够有效阻止以上攻击行为。服务器还可以设置一个容灾系统,这种系统可以使受损的重要数据能够得到迅速恢复。
3 保障网络通信安全
3.1 架构安全
网络通信是网络安全上层应用中的支撑体系,所以保障网络安全首先应该关注网络通信中的架构安全。首先,网络拓扑中的架构应该采用具有弹性的架构,在核心层里面的架构都应该采用超融合架构;其次,在架构的核心区域旁设置相应的安全检测设备,以此来控制非法入侵,还可以设置报警系统,一旦有病毒入侵,报警系统便会自动进行检测和报警。
3.2 设备安全
设备的安全在网络通信中也是非常重要的。首先设备应该设置准入装置,只有被准入装置允许的人员才可以进入设备;其次还需要设置一个非法外联来防止病毒的入侵,有些病毒会通过无线网络来进行入侵,设备尤其要加强对外来接入的检测和认证,这种情况就可以设置一个WIFI控制体系,对所有加入WIFI的用户进行检测,一旦发现身份异常的接入者就对其实施安全防护隔离;最后保障设备的安全还可以在设备的核心区旁边部署一个APT检测设备,这个设备可以对具备攻击性的入侵进行检测,并且对设备中的漏洞进行检测。
4 保障边界安全
各个服务区域中的边界区域还有外网中的边界区域的安全都是非常重要的,边界区域的安全关乎网络安全等级保护技术能不能更好地运用。提升外网边界区域的安全首先就要部署一个NGAF防火墙,这个防火墙可以对访问者的信息进行检测,一旦访问者的身份是没有经过授权的身份,防火墙体系就会阻止访问者进行访问,这个防火墙还可以对外网中的信息数据进行控制,一旦发现数据中含有非法数据就会进行报警。有一些黑客会利用网关来进行入侵,NGAF防火墙还可以加入防恶意代码检测功能,一旦发现有恶意代码防火墙就会对恶意代码进行查杀。在外网边界区域还可以设置一个监管系统,这个监管系统可以对流经外网边界区域的数据进行识别和检测,还可以对外网使用的流量进行统计,一旦发现不正常外联,这个监管系统都可以检测得到。不论是外网边界区域还是内网边界区域都有一个经常出现的问题,那就是TCP/IP网络协议攻击,针对这个问题,可以部署一个网闸,只要是经过内网边界区域和外网边界的数据,网闸都能对其进行控制,并且运用自身所具备的摆渡功能让进出数据得到有效交互,这样便可以有效解决TCP/IP网络协议攻击问题。还可以在内外网边界区域中设置一个清洗设备,防止网络由于数据过多而造成拥堵。此外,许多的网络运营者认为只要把内网和外网隔离开来,内网就会是安全的,因此不注重加强对内网的访问控制,这种想法和做法都是错误的,内网中的设备本身就会存在一些不易察觉的漏洞,一旦病毒通过了访问,就能够渗入到内网中的主机里,并且利用相关的工具对主机实施打击,之后再对整个网络进行攻击。所以,对于内网的访问控制必须加强。
5 物理环境安全
物理环境的安全也非常重要,它是系统中的设备能进行正常运行的前提条件。首先机房得做好自身的建设工作,要做好机房的防水工作,特别是有窗户的机房和有水管的机房,一旦机房里面的设备进水了就会对设备造成难以估计的伤害,可以设置排水沟,防止漏水后机房里面形成积水从而对设备造成安全隐患。机房里面设备由于长期运行,有时会出现温度过高的现象,针对这种情况,可以在机房里面安装空气温度调节装置,保证机房中的设备运行温度在正常范围之内。机房的外面可以安装监控摄像头,对出入机房人员进行监控,还可以设置红外线探头,一旦机房出现人员入侵现象被红外线探头检测到就会出现警报。同时,机房中也非常容易着火,在机房里面可以设置一个自动灭火系统,机房里面一旦起火就会触发灭火系统,灭火系统可以对火情进行控制。安装机房地板时应该注意要安装防静电的地板,从而防止机房设备发生静电反应。考虑到机房停电或者碰上雷雨天气这两种情况,机房可以安装备用的供电设备,一旦发生停电备用供电设备就可以保证机房继续正常运行,其次,在机房的建筑物屋上安装避雷装置,机房的总电源开关也安装防雷装置,这样就可以保障机房在雷雨的天气下排除掉雷电这个隐患。
6 安全管理中心
安全管理中心对整个信息网络多个区域进行管理的地方,不管是机房的物理环境还是通信网络区域都由安全管理中心统一管理。安全管理中心可以控制审计系统,对审计系统中检测到的不正常行为都能进行警报。信息系统中的所有资源都归安全管理中心统一管理,不管是数据库、网络环境和主机哪一部分出了问题,安全管理中心都能够检测得到。同时,安全管理中心还可以配备漏洞检测设备,整个网络系统和操作系统所出现的安全漏洞都能被及时发现。安全管理中心还有一个属于自己的管理平台,这个管理平台能对访问过系统的用户的行为进行分析,还能对访问网络的流量进行统计,并且搜集网络中的资源,以此为分析基础做出报表,报表能够反映出网络系统的安全发展趋势。
7 结语
综上所述,网络安全等级保护工作不是一件简单的工作,想要做好这项工作需要对网络有一个全面的认识,网络的各个区域之间看似联系不大,其实都是彼此之间是互通的,任何一个区域出现了安全问题,对系统的打击可能都是致命的,在网络安全等级保护工作中不应该忽略任何一个细节。其次,想要让网络安全等级保护技术更好地落实在实践之中,不仅技术重要,管理也是不可或缺的一项内容。良好的技术能够检测和消灭网络中的病毒,使网络更加安全,而良好的管理能够分析系统中的漏洞,并及时进行修复,使系统中的资源更加安全,由此可见,管理和技术缺一不可。希望本文针对网络安全等级技术做出的一些分析能够为网络的安全保护工作起到一点帮助。
[1]李欣,智远,刘颖,姚亚强,李霖.基于等级保护的新型终端安全防护技术[J].电子世界,2020(18):24-25.
[2]张彦,马延妮,司群.基于等级保护思想的网络安全风险评估关键技术研究[J].铁路计算机应用,2020,29(08):28-32.
[3]张小林,鲁雷,罗汉云.高校网络安全等级保护建设研究[J].电脑知识与技术,2020,16(22):71-73.
[4]黄果.加强网络安全防护的思考和实践[J].中国食品药品监管,2020(05):14-19.
[5]GB/T 22240-2020,信息安全技术网络安全等级保护定级指南[S].
[6]罗晓明.基于等级保护的网络安全技术的应用探究[J].信息通信,2020(04):138-139.
