基于等保要求的網絡安全體系構建

岳守春 張莉莉

摘 要：隨著互聯網的發展，人類社會各方面都發生了巨大變化，給人們生活帶來方便的同時，也增加了很多安全隱患，影響國家、社會和各商業區域運行的穩定性。經過相關研究發現，由于網絡安全造成的經濟損失占據全部經濟損失的80%左右，影響了網絡正常運行。本文主基于等保要求對網絡安全體系進行構建，希望可以給相關人員提供借鑒。

關鍵詞：等保要求；網絡安全；體系構建

隨著互聯網的發展，互聯網開始不斷普及和建設，很多企業和學校都進將互聯網作為構建信息的重要組成部分。但是在各種體系建設短缺的影響下，互聯網出現了各種網絡問題。而且很多人員還不能正確認識互聯網存在的問題，導致網絡問題越來愈多，雖然個別企業建立了防火墻，加固了網絡系統，但是依然存在很多安全問題，對企業的正常應用和管理系統造成了很大影響，必須及時進行分析并總結。

一、概述

等級保護制度是以《計算機信息系統安全保護登記劃分準則》為主，劃分出來的10個安全因素。隨著科學技術的快速發展，這些安全因素已經不能保障信息安全。登記保護制度既有安全登記內容，也包括管理和技術等方面的措施。實施信息安全等級制度對我國信息安全具有很大作用，符合信息規范性要求，保證了國家信息的安全，可以提升計算機網絡安全。登記制度要求從公開信息、網絡產品、安全事件、安全需求和登記等實施信息和系統監管。信息系統在網絡環境的安全運行，必須要有網絡設備提供支持，同時還要提供實施有效的服務，保證數據傳輸的安全和保密。

二、網絡安全體系分析

1）設計思路。在進行網絡安全體系設計時，必須以網絡信息系統情況、安全定級、業務狀況、安全需求等方面構建系統，保證網絡安全體系的正常運行。此系統設計的重點是保證網絡終端、重要服務器和上層數據的應用和安全，建立終端、數據安全、應用安全等機制，對入侵計算機的病毒及時進行檢測和防范。2）安全設計要求。進行設計時，可以等保三級安全為基礎，實現安全標記、識別、強制控制、權利限制、安全報警、主機入侵檢測、傳輸機密性和應用資源等管理，可以用戶和用戶鑒定兩個方面構建。系統在整個生存周期內必須對用戶實現同樣標記，利用兩種或以上機制對使用者身份進行驗證，保證用戶身份、應用數據、權限和系統資源的整合，實現統一監控、綜合分析和協同保護。3）技術要求。系統構建必須符合物理安全、網絡安全、主機安全、應用安全、數據安全。物理安全表示具有一定的防風、防震功能，保證火災和其他狀況發生后，可以及時處理。為了保證網絡系統內部安全，還要對線路配置穩定器和過電壓等設備進行防護；網絡安全要求數據傳輸過程可以保證數據安全，能夠根據部門職能劃分職位，減少了網絡詐騙，阻斷了網絡攻擊；主機安全主要進行訪問控制、信息保護、木馬病毒防范、身份驗證、資源管理和安全審計等內容；應用安全是保證信息系統和用戶協調的關鍵，也是保證軟件正常運行的前提，可以根據信息安全技術信息系統安全登記保護基本要求中的規定進行管理。數據安全非常重要，是保證正常辦公順利進展的基礎，可以從數據備份、恢復、保密和完整等實施保護。4）管理要求。管理制度管理主要進行管理制度的制定、發布、評審和修改。實施信息安全管理時，主要對人員實施管理。安全管理部門應該建立安全管理制度，合理劃分人員職責，實現員工之間的溝通交流，對安全相關問題進行分析探討。進行系統管理時，可以從系統定級、系統安全方案設計、產品采購和使用、軟件開發、工程實施和測試驗收等階段進行管理。

三、網絡安全體系設計方案

1）網絡結構。通過對物理安全、網絡安主機安全和應用安全等的分析，可以將方案設計如下：第一操作系統節點系統、安全邊界系統、安全通信系統、應用控制系統、安全滾利系統、審計系統、系統管理、應用支持等組成；主要進行病毒防護、身份驗證、訪問控制、物理實體安全控制、加密信息、入侵檢測、安全審計、漏洞掃描、系統安全和安全保密等管理。

2）操作系統節點。訪問控制是三級網絡系統的核心，TCB實施訪問控制可以由安全操作人員完成，實現自主訪問控制和強制訪問控制的結合，符合三級安全要求。本次安全操作系統普遍使用windows操作系統，各項節點系統功能要求是：強制實施控制、標記、審計、數據完整性。

3）安全區域邊界系統。此系統功能是保證訪問和信息安全傳輸；系統主要由數據包過濾模塊、網絡地址轉換模塊、審計模塊等組成，利用NAT和SNAT實現地址和安全標記網絡地址轉換。系統工作正常作業時，如果非法入侵，直接丟棄該數據包；如果符合策略，進行地址轉換判斷，傳輸數據包。

4）安全通信網絡系統。安全通信網絡可以完成用戶強制接入控制、用戶身份鑒別、網絡對象安全管理、邊界強制訪問控制等內容。主要工作任務是對進入數據包處理和輸出數據包工作流程實施管理。

5）應用訪問控制系統。應用訪問控制的主要目的是實施強制性保護，主要進行安全標記、訪問控制、身份驗證授權訪問和審計等功能。該系統主要包括身份鑒別、安全標記、訪問控制和審計等模塊。首先進行身份驗證，然后對獲取認證的用戶，制定操作范疇。根據等級改變測量標記。訪問控制實施判斷的主要依據是用戶信息、資源和授權管理的安全標記，然后實施控制策略。

6）關鍵技術分析。三級網絡所具備的安全標記和安全關系中對應的關鍵技術主要由強制訪問控制技術、標記安全管理、防火墻、信息加密、漏洞掃描、入侵檢測、病毒防護等組成。由于辦公過程中很容易受到各種計算機病毒的影響，所以網絡安全實施的關鍵技術是完善病毒控制，可以針對性地建立防病毒系統。

四、結束語

本文基于等保要求，進行了網絡安全體系構建。首先介紹了等級保護制度的含義，然后對網絡安全體系進行了詳細分析，最后針對性地構建了網絡安全設計方案。經過分析發現，計算機病毒是影響計算機網絡安全的主要因素，必須加強病毒防護，提高計算機的使用安全，構建完整的網絡安全體系。

參考文獻：

[1] 羅曦.網絡安全體系構建的研究與應用[J].湖南大學，20013（06）.

[2] 胡家銘.企業計算機網絡安全問題分析及應對方案[J].吉林大學，2014（12）.

[3] 趙大鵬.我國電子政府信息安全體系研究[J].吉林大學，2010（03）.

[4] 何永利.我國網絡文化安全保障機制與體系構建[J].合肥工業大學，2012（04）.