基于等保要求的網(wǎng)絡安全體系構建

岳守春 張莉莉

摘 要：隨著互聯(lián)網(wǎng)的發(fā)展，人類社會各方面都發(fā)生了巨大變化，給人們生活帶來方便的同時，也增加了很多安全隱患，影響國家、社會和各商業(yè)區(qū)域運行的穩(wěn)定性。經(jīng)過相關研究發(fā)現(xiàn)，由于網(wǎng)絡安全造成的經(jīng)濟損失占據(jù)全部經(jīng)濟損失的80%左右，影響了網(wǎng)絡正常運行。本文主基于等保要求對網(wǎng)絡安全體系進行構建，希望可以給相關人員提供借鑒。

關鍵詞：等保要求；網(wǎng)絡安全；體系構建

隨著互聯(lián)網(wǎng)的發(fā)展，互聯(lián)網(wǎng)開始不斷普及和建設，很多企業(yè)和學校都進將互聯(lián)網(wǎng)作為構建信息的重要組成部分。但是在各種體系建設短缺的影響下，互聯(lián)網(wǎng)出現(xiàn)了各種網(wǎng)絡問題。而且很多人員還不能正確認識互聯(lián)網(wǎng)存在的問題，導致網(wǎng)絡問題越來愈多，雖然個別企業(yè)建立了防火墻，加固了網(wǎng)絡系統(tǒng)，但是依然存在很多安全問題，對企業(yè)的正常應用和管理系統(tǒng)造成了很大影響，必須及時進行分析并總結。

一、概述

等級保護制度是以《計算機信息系統(tǒng)安全保護登記劃分準則》為主，劃分出來的10個安全因素。隨著科學技術的快速發(fā)展，這些安全因素已經(jīng)不能保障信息安全。登記保護制度既有安全登記內(nèi)容，也包括管理和技術等方面的措施。實施信息安全等級制度對我國信息安全具有很大作用，符合信息規(guī)范性要求，保證了國家信息的安全，可以提升計算機網(wǎng)絡安全。登記制度要求從公開信息、網(wǎng)絡產(chǎn)品、安全事件、安全需求和登記等實施信息和系統(tǒng)監(jiān)管。信息系統(tǒng)在網(wǎng)絡環(huán)境的安全運行，必須要有網(wǎng)絡設備提供支持，同時還要提供實施有效的服務，保證數(shù)據(jù)傳輸?shù)陌踩捅Ｃ堋?/p>

二、網(wǎng)絡安全體系分析

1）設計思路。在進行網(wǎng)絡安全體系設計時，必須以網(wǎng)絡信息系統(tǒng)情況、安全定級、業(yè)務狀況、安全需求等方面構建系統(tǒng)，保證網(wǎng)絡安全體系的正常運行。此系統(tǒng)設計的重點是保證網(wǎng)絡終端、重要服務器和上層數(shù)據(jù)的應用和安全，建立終端、數(shù)據(jù)安全、應用安全等機制，對入侵計算機的病毒及時進行檢測和防范。2）安全設計要求。進行設計時，可以等保三級安全為基礎，實現(xiàn)安全標記、識別、強制控制、權利限制、安全報警、主機入侵檢測、傳輸機密性和應用資源等管理，可以用戶和用戶鑒定兩個方面構建。系統(tǒng)在整個生存周期內(nèi)必須對用戶實現(xiàn)同樣標記，利用兩種或以上機制對使用者身份進行驗證，保證用戶身份、應用數(shù)據(jù)、權限和系統(tǒng)資源的整合，實現(xiàn)統(tǒng)一監(jiān)控、綜合分析和協(xié)同保護。3）技術要求。系統(tǒng)構建必須符合物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全。物理安全表示具有一定的防風、防震功能，保證火災和其他狀況發(fā)生后，可以及時處理。為了保證網(wǎng)絡系統(tǒng)內(nèi)部安全，還要對線路配置穩(wěn)定器和過電壓等設備進行防護；網(wǎng)絡安全要求數(shù)據(jù)傳輸過程可以保證數(shù)據(jù)安全，能夠根據(jù)部門職能劃分職位，減少了網(wǎng)絡詐騙，阻斷了網(wǎng)絡攻擊；主機安全主要進行訪問控制、信息保護、木馬病毒防范、身份驗證、資源管理和安全審計等內(nèi)容；應用安全是保證信息系統(tǒng)和用戶協(xié)調的關鍵，也是保證軟件正常運行的前提，可以根據(jù)信息安全技術信息系統(tǒng)安全登記保護基本要求中的規(guī)定進行管理。數(shù)據(jù)安全非常重要，是保證正常辦公順利進展的基礎，可以從數(shù)據(jù)備份、恢復、保密和完整等實施保護。4）管理要求。管理制度管理主要進行管理制度的制定、發(fā)布、評審和修改。實施信息安全管理時，主要對人員實施管理。安全管理部門應該建立安全管理制度，合理劃分人員職責，實現(xiàn)員工之間的溝通交流，對安全相關問題進行分析探討。進行系統(tǒng)管理時，可以從系統(tǒng)定級、系統(tǒng)安全方案設計、產(chǎn)品采購和使用、軟件開發(fā)、工程實施和測試驗收等階段進行管理。

三、網(wǎng)絡安全體系設計方案

1）網(wǎng)絡結構。通過對物理安全、網(wǎng)絡安主機安全和應用安全等的分析，可以將方案設計如下：第一操作系統(tǒng)節(jié)點系統(tǒng)、安全邊界系統(tǒng)、安全通信系統(tǒng)、應用控制系統(tǒng)、安全滾利系統(tǒng)、審計系統(tǒng)、系統(tǒng)管理、應用支持等組成；主要進行病毒防護、身份驗證、訪問控制、物理實體安全控制、加密信息、入侵檢測、安全審計、漏洞掃描、系統(tǒng)安全和安全保密等管理。

2）操作系統(tǒng)節(jié)點。訪問控制是三級網(wǎng)絡系統(tǒng)的核心，TCB實施訪問控制可以由安全操作人員完成，實現(xiàn)自主訪問控制和強制訪問控制的結合，符合三級安全要求。本次安全操作系統(tǒng)普遍使用windows操作系統(tǒng)，各項節(jié)點系統(tǒng)功能要求是：強制實施控制、標記、審計、數(shù)據(jù)完整性。

3）安全區(qū)域邊界系統(tǒng)。此系統(tǒng)功能是保證訪問和信息安全傳輸；系統(tǒng)主要由數(shù)據(jù)包過濾模塊、網(wǎng)絡地址轉換模塊、審計模塊等組成，利用NAT和SNAT實現(xiàn)地址和安全標記網(wǎng)絡地址轉換。系統(tǒng)工作正常作業(yè)時，如果非法入侵，直接丟棄該數(shù)據(jù)包；如果符合策略，進行地址轉換判斷，傳輸數(shù)據(jù)包。

4）安全通信網(wǎng)絡系統(tǒng)。安全通信網(wǎng)絡可以完成用戶強制接入控制、用戶身份鑒別、網(wǎng)絡對象安全管理、邊界強制訪問控制等內(nèi)容。主要工作任務是對進入數(shù)據(jù)包處理和輸出數(shù)據(jù)包工作流程實施管理。

5）應用訪問控制系統(tǒng)。應用訪問控制的主要目的是實施強制性保護，主要進行安全標記、訪問控制、身份驗證授權訪問和審計等功能。該系統(tǒng)主要包括身份鑒別、安全標記、訪問控制和審計等模塊。首先進行身份驗證，然后對獲取認證的用戶，制定操作范疇。根據(jù)等級改變測量標記。訪問控制實施判斷的主要依據(jù)是用戶信息、資源和授權管理的安全標記，然后實施控制策略。

6）關鍵技術分析。三級網(wǎng)絡所具備的安全標記和安全關系中對應的關鍵技術主要由強制訪問控制技術、標記安全管理、防火墻、信息加密、漏洞掃描、入侵檢測、病毒防護等組成。由于辦公過程中很容易受到各種計算機病毒的影響，所以網(wǎng)絡安全實施的關鍵技術是完善病毒控制，可以針對性地建立防病毒系統(tǒng)。

四、結束語

本文基于等保要求，進行了網(wǎng)絡安全體系構建。首先介紹了等級保護制度的含義，然后對網(wǎng)絡安全體系進行了詳細分析，最后針對性地構建了網(wǎng)絡安全設計方案。經(jīng)過分析發(fā)現(xiàn)，計算機病毒是影響計算機網(wǎng)絡安全的主要因素，必須加強病毒防護，提高計算機的使用安全，構建完整的網(wǎng)絡安全體系。

參考文獻：

[1] 羅曦.網(wǎng)絡安全體系構建的研究與應用[J].湖南大學，20013（06）.

[2] 胡家銘.企業(yè)計算機網(wǎng)絡安全問題分析及應對方案[J].吉林大學，2014（12）.

[3] 趙大鵬.我國電子政府信息安全體系研究[J].吉林大學，2010（03）.

[4] 何永利.我國網(wǎng)絡文化安全保障機制與體系構建[J].合肥工業(yè)大學，2012（04）.