網絡安全等級保護技術實現與分析

◆鐘錫寶

網絡安全等級保護技術實現與分析

◆鐘錫寶

（廣西交通技師學院 廣西 530001）

隨著互聯網的迅速發展，信息系統的應用也隨之越來越多，中國許多重要行業都配備了屬于自己的信息系統，但是網絡發達也有不利的一面，信息系統的網絡攻擊和相關的黑客也越來越多，這就需要各個行業加強對自身信息系統的安全等級保護。本文針對網絡安全等級保護技術如何實現展開了相關的探討，希望對相關人員有所幫助。

網絡安全；等級保護技術；信息系統

隨著我國信息化不斷發展，信息系統已在我國能源、金融、交通、教育、科研、水利、工業制造、醫療衛生、社會保障、公用事業等領域和國家機關得到了極大的應用，信息系統受到破壞將會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成嚴重危害，對信息系統進行保護已經迫在眉睫，為此國家高度重視，并于2017年6月1日起正式實施《網絡安全法》，《網絡安全法》中明確規定國家實行網絡安全等級保護制度，網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。

1 科學劃分系統區域

想要使網絡安全等級保護技術更好地實現，首先要做的就是對系統各個區域進行科學劃分，可以把相近物理位置的設備劃分在一起，或者功能性相似的信息系統或設備劃分在一起，還可以根據網絡拓撲來劃分區域，劃分出來的區域要保證彼此相互直接可以進行交互流通，并且能被系統終端良好地進行管控。同時，系統和設備的重要區域或者是外聯接入區都要安裝相應的安全設備，來確保外部病毒不能入侵，從而保護系統內部的資源安全。系統的區域也可以劃分為很多種，有交換區域、服務區域、外聯接入區域和安全管理區域等，如果有些網絡運營者對于外網和內網有特別要求，需要把外網和內網在物理隔離的狀態下進行數據交換，那么可以使用網閘來進行擺渡就可以解決此問題。只有把系統中每個區域的安全保障都做到位了，網絡安全等級保護技術才能更好地實現。

2 保障信息系統環境安全

2.1 完善信息系統安全配置

想要保障信息系統環境安全首先就得把信息系統安全部署完善。在登錄信息系統的時候要設置用戶登錄，只有系統的合法用戶才能進入系統，并且登錄密碼的復雜程度要提高，賬戶要定時進行鎖定，超過了時間就要強制退出系統，還可以通過定期進行系統更新來修復和查找系統中的漏洞。其次在信息系統的服務器或者與系統相關的設備上安裝殺毒軟件，定期對病毒進行徹底查殺，使系統能夠對病毒進行有效的監控，殺毒服務器中的病毒庫和殺毒軟件都要定時進行更新。

2.2 對主機中間件進行安全加固

在保障了信息系統的安全之后就要對主機進行加固。主機包括了信息系統的服務器和各類終端，主機加固首先需要做的就是對其中的應用、數據庫、操作系統進行加固，有些病毒會對信息系統中的操作系統進行強制訪問，用這種方式來使系統中毒。所以需要對操作系統中的核心層設置系統安全機制，主要針對以強制訪問為主體的病毒。設置了這類安全機制便能夠有效控制病毒入侵操作系統。其次，服務器中的數據庫和應用也可以通過設置相同的系統安全機制來阻止病毒進行入侵。

2.3 完善運維審計系統和服務器

運維審計系統是信息系統中的一項重要安全系統。運維審計系統可以對服務器管理員的操作進行監視，服務器管理員所作出的操作都會被運維審計系統全部記錄下來，每當服務器管理員操作失誤，運維審計系統便可以查詢到服務器管理員操作失誤的過程和原因，在非常重要的服務器中都會設置運維審計系統來檢查服務器管理員的行為。另外，信息系統中的服務器如果出現故障可能會導致部分內容丟失，因此可以在服務器內建立一個用于備份的體系，保證服務器中的內容不會丟失，備份的方法可以利用超融合技術。有一些網絡運營者服務器所儲存的數據屬于私密型，在這種情況下，可以在應用層啟用HTTPS加密傳輸協議，以此來達到數據的隱秘性。許多對外的服務器都容易受到XXS跨站腳本、SQL注入、CSRF跨站請求偽造的攻擊，在服務器的前端部署WEB應用防火墻能夠有效阻止以上攻擊行為。服務器還可以設置一個容災系統，這種系統可以使受損的重要數據能夠得到迅速恢復。

3 保障網絡通信安全

3.1 架構安全

網絡通信是網絡安全上層應用中的支撐體系，所以保障網絡安全首先應該關注網絡通信中的架構安全。首先，網絡拓撲中的架構應該采用具有彈性的架構，在核心層里面的架構都應該采用超融合架構；其次，在架構的核心區域旁設置相應的安全檢測設備，以此來控制非法入侵，還可以設置報警系統，一旦有病毒入侵，報警系統便會自動進行檢測和報警。

3.2 設備安全

設備的安全在網絡通信中也是非常重要的。首先設備應該設置準入裝置，只有被準入裝置允許的人員才可以進入設備；其次還需要設置一個非法外聯來防止病毒的入侵，有些病毒會通過無線網絡來進行入侵，設備尤其要加強對外來接入的檢測和認證，這種情況就可以設置一個WIFI控制體系，對所有加入WIFI的用戶進行檢測，一旦發現身份異常的接入者就對其實施安全防護隔離；最后保障設備的安全還可以在設備的核心區旁邊部署一個APT檢測設備，這個設備可以對具備攻擊性的入侵進行檢測，并且對設備中的漏洞進行檢測。

4 保障邊界安全

各個服務區域中的邊界區域還有外網中的邊界區域的安全都是非常重要的，邊界區域的安全關乎網絡安全等級保護技術能不能更好地運用。提升外網邊界區域的安全首先就要部署一個NGAF防火墻，這個防火墻可以對訪問者的信息進行檢測，一旦訪問者的身份是沒有經過授權的身份，防火墻體系就會阻止訪問者進行訪問，這個防火墻還可以對外網中的信息數據進行控制，一旦發現數據中含有非法數據就會進行報警。有一些黑客會利用網關來進行入侵，NGAF防火墻還可以加入防惡意代碼檢測功能，一旦發現有惡意代碼防火墻就會對惡意代碼進行查殺。在外網邊界區域還可以設置一個監管系統，這個監管系統可以對流經外網邊界區域的數據進行識別和檢測，還可以對外網使用的流量進行統計，一旦發現不正常外聯，這個監管系統都可以檢測得到。不論是外網邊界區域還是內網邊界區域都有一個經常出現的問題，那就是TCP/IP網絡協議攻擊，針對這個問題，可以部署一個網閘，只要是經過內網邊界區域和外網邊界的數據，網閘都能對其進行控制，并且運用自身所具備的擺渡功能讓進出數據得到有效交互，這樣便可以有效解決TCP/IP網絡協議攻擊問題。還可以在內外網邊界區域中設置一個清洗設備，防止網絡由于數據過多而造成擁堵。此外，許多的網絡運營者認為只要把內網和外網隔離開來，內網就會是安全的，因此不注重加強對內網的訪問控制，這種想法和做法都是錯誤的，內網中的設備本身就會存在一些不易察覺的漏洞，一旦病毒通過了訪問，就能夠滲入到內網中的主機里，并且利用相關的工具對主機實施打擊，之后再對整個網絡進行攻擊。所以，對于內網的訪問控制必須加強。

5 物理環境安全

物理環境的安全也非常重要，它是系統中的設備能進行正常運行的前提條件。首先機房得做好自身的建設工作，要做好機房的防水工作，特別是有窗戶的機房和有水管的機房，一旦機房里面的設備進水了就會對設備造成難以估計的傷害，可以設置排水溝，防止漏水后機房里面形成積水從而對設備造成安全隱患。機房里面設備由于長期運行，有時會出現溫度過高的現象，針對這種情況，可以在機房里面安裝空氣溫度調節裝置，保證機房中的設備運行溫度在正常范圍之內。機房的外面可以安裝監控攝像頭，對出入機房人員進行監控，還可以設置紅外線探頭，一旦機房出現人員入侵現象被紅外線探頭檢測到就會出現警報。同時，機房中也非常容易著火，在機房里面可以設置一個自動滅火系統，機房里面一旦起火就會觸發滅火系統，滅火系統可以對火情進行控制。安裝機房地板時應該注意要安裝防靜電的地板，從而防止機房設備發生靜電反應。考慮到機房停電或者碰上雷雨天氣這兩種情況，機房可以安裝備用的供電設備，一旦發生停電備用供電設備就可以保證機房繼續正常運行，其次，在機房的建筑物屋上安裝避雷裝置，機房的總電源開關也安裝防雷裝置，這樣就可以保障機房在雷雨的天氣下排除掉雷電這個隱患。

6 安全管理中心

安全管理中心對整個信息網絡多個區域進行管理的地方，不管是機房的物理環境還是通信網絡區域都由安全管理中心統一管理。安全管理中心可以控制審計系統，對審計系統中檢測到的不正常行為都能進行警報。信息系統中的所有資源都歸安全管理中心統一管理，不管是數據庫、網絡環境和主機哪一部分出了問題，安全管理中心都能夠檢測得到。同時，安全管理中心還可以配備漏洞檢測設備，整個網絡系統和操作系統所出現的安全漏洞都能被及時發現。安全管理中心還有一個屬于自己的管理平臺，這個管理平臺能對訪問過系統的用戶的行為進行分析，還能對訪問網絡的流量進行統計，并且搜集網絡中的資源，以此為分析基礎做出報表，報表能夠反映出網絡系統的安全發展趨勢。

7 結語

綜上所述，網絡安全等級保護工作不是一件簡單的工作，想要做好這項工作需要對網絡有一個全面的認識，網絡的各個區域之間看似聯系不大，其實都是彼此之間是互通的，任何一個區域出現了安全問題，對系統的打擊可能都是致命的，在網絡安全等級保護工作中不應該忽略任何一個細節。其次，想要讓網絡安全等級保護技術更好地落實在實踐之中，不僅技術重要，管理也是不可或缺的一項內容。良好的技術能夠檢測和消滅網絡中的病毒，使網絡更加安全，而良好的管理能夠分析系統中的漏洞，并及時進行修復，使系統中的資源更加安全，由此可見，管理和技術缺一不可。希望本文針對網絡安全等級技術做出的一些分析能夠為網絡的安全保護工作起到一點幫助。

[1]李欣，智遠，劉穎，姚亞強，李霖.基于等級保護的新型終端安全防護技術[J].電子世界，2020（18）：24-25.

[2]張彥，馬延妮，司群.基于等級保護思想的網絡安全風險評估關鍵技術研究[J].鐵路計算機應用，2020，29（08）：28-32.

[3]張小林，魯雷，羅漢云.高校網絡安全等級保護建設研究[J].電腦知識與技術，2020，16（22）：71-73.

[4]黃果.加強網絡安全防護的思考和實踐[J].中國食品藥品監管，2020（05）：14-19.

[5]GB/T 22240-2020，信息安全技術網絡安全等級保護定級指南[S].

[6]羅曉明.基于等級保護的網絡安全技術的應用探究[J].信息通信，2020（04）：138-139.