網絡信息安全防護工作淺析

李 陽

（深能合和電力（河源）有限公司，廣東 河源 517025）

《中華人民共和國網絡安全法》自2017年6月1日起施行，《信息安全技術網絡安全等級保護基本要求》（以下簡稱等保2.0）也在2019年12月1日實施[1]。隨著等保2.0的實施，網絡安全和信息系統安全防護有了更加規范的參考標準。在等保2.0標準的指導下，對信息系統進行重新定級、備案、測評，對網絡信息安全防護工作進行重新完善，有利于建立更加安全完善的網絡與信息系統。

1 網絡信息安全策略淺析

1）網絡安全策略配置。網絡安全是網絡與信息安全管理中最重要的一環，一旦網絡發生安全問題，極易發生迅速擴散，進而導致網絡癱瘓和系統崩潰。類似于勒索病毒采取445端口的全網掃描攻擊，極易通過網絡迅速傳播。電力監控系統中，必須堅持“安全分區、網絡專用、橫向隔離、縱向認證”的原則。該原則也可根據實際情況，推廣至其他類型信息系統。不同安全等級的網絡必須進行物理分割，或采取單向網閘隔離，嚴禁低保護等級網絡（如辦公網）向高保護等級網絡（如生產網）寫入數據。同樣安全等級的系統，根據現場需要也可進行物理網絡分割，以免造成網絡與網絡之間的病毒傳播。如果無法進行物理網絡分割，也可先劃分VLAN，然后在交換機等設備上采用ACL權限控制，來進行訪問權限限制，即使發生網絡異常，也會被限制在個別VLAN內部傳播，不會影響其他網絡。網絡安全不僅依賴于網絡分割，更重要的是禁止非授權設備接入網絡。網絡交換機的安全管理非常重要，需關閉交換機的WEB訪問接口，僅保留ssh訪問，關閉ssh1x訪問，同時必須禁用默認用戶，使用高復雜度的密碼。如果是重要信息系統所在的網絡交換機，則應關閉任何遠程配置功能，僅能在本地進行操作。同時，需在交換機上關閉所有未使用的接口，以避免非授權設備接入；在已使用的接口中，必須采取IP與MAC地址同時綁定的策略，使得已接入網絡的設備不能私下更換或者任意更換IP。綜上所述，網絡安全依賴于不同網絡之間的有效分隔，使得任何網絡安全事件均能控制在最小的范圍內。同時，需采取嚴格的策略來保障網絡交換機的安全，交換機也是網絡和信息系統正常運行的基礎。

2）服務器安全策略配置。服務器是所有信息系統的中心，系統安全與數據安全依賴于服務器的正確配置，一旦服務器發生故障或者被攻陷，整個信息系統將崩潰，系統數據可能發生丟失。首先服務器應盡量采用堡壘機等安全設備進行管控，如果因各種原因無法部署堡壘機，則應關閉服務器的遠程端口3389，盡量使用本地KVM等設備進行管理，如果必須進行遠程管理，則應在防火墻高級設置中，限制使用3389端口的遠程地址為指定的管理員IP，同時在安全策略中，開啟遠程桌面的加密連接。若非必要，服務器應在防火墻高級設置中關閉135-140、445等高危端口。同時，應關閉所有不使用的用戶，修改管理員用戶名，設置密碼復雜度與過期時間，定期更換密碼，并定期修復系統漏洞。最后，服務器必須保存至少六個月Windows系統、安全等日志，并開啟事件審計功能，對服務器的各項操作進行審計，并寫入日志，使得任何事件可追溯。

3）計算機安全策略配置。計算機終端作為用戶使用網絡和信息系統的終端，終端安全也對網絡和信息系統產生較大的影響，所有終端必須安裝殺毒軟件，禁止共享，禁止外來計算機通過網絡掃描本地135-140、445等端口。同時，根據信息系統安全等級的不同，還需對計算機終端的USB端口進行限制。因計算機終端使用人員對電腦與網絡可能不太熟悉，可能會誤操作或下載木馬程序等等，所以計算機終端應設置定期殺毒，定期修復系統漏洞。同時，應加強安全使用計算機等方面的宣傳培訓，提高員工的信息安全意識[2]。

4）安全設備升級。無論信息管理員如何加強網絡與信息安全防護，信息系統總會出現新的漏洞，各類病毒木馬也在不斷更新，這導致完全通過人工來保障網絡與信息安全是幾乎無法達成的任務，需要耗費非常大的精力，因此必須部署各類安全設備。（1）防火墻。防火墻可部署在各個網絡的邊界，例如在互聯網和辦公網、辦公網和重要服務器之間進行部署。以互聯網防火墻為例，可阻斷絕大部分來自互聯網的攻擊，也能識別出內網到外網的各類流量，同時結合設備廠家大數據，對異常端口、異常外網IP、異常外網流量等可做到識別或阻斷，并通知管理員處理[3]。（2）入侵檢測。根據實際需要，入侵檢測可與防火墻串聯處理，用于檢測并阻斷來自外網的入侵或者異常流量；但如果信息系統對網絡性能要求很高、流量比較特殊或者阻斷網絡數據包會對系統造成影響的情況下，入侵檢測亦可旁路部署，通過網絡交換機將所有數據包鏡像一份發送到入侵檢測設備，入侵檢測設備對數據包進行分析后，再將結果發送給管理員，由管理員進行最終決策分析，并逐漸優化分析策略，減少誤報。（3）上網行為管理。對終端用戶的網絡行為進行審計管理，可以根據工作需要放行或阻斷相應的網絡行為，上網行為管理設備可作為防火墻的補充，對網絡行為進行精細的識別，避免出現異常網絡行為。（4）網閘。網閘作為網絡的邊界，可單向發送特定IP、特定MAC、特定端口的流量到其他網絡的特定IP、特定MAC、特定端口，網閘與防火墻相比，功能單一，但具有單向隔離、難以攻破、數據包加密等特性，不像防火墻在配置策略失誤的時候可能發生反寫，因此網閘在工控等領域具有不可替代的作用。（5）日志審計系統。網絡上的各類設備，包括交換機、服務器、計算機終端、安全設備，均會產生大量的日志，這些日志均存儲在設備本地，無法進行統一地查詢管理。等保2.0要求所有設備日志必須保存6個月以上，這樣可以方便的管理所有設備日志，并在有異常事件時向信息管理員發出告警。（6）態勢感知系統。態勢感知系統首先鏡像交換機上的所有流量，然后對這些流量進行細致的分析，以發現可能的網絡或信息安全威脅事件，態勢感知系統擁有一定的誤報率，但是對于網絡和信息安全，是不可或缺的系統，可將很多安全事件扼殺于無形之中。

2 網絡信息安全運維

1）網絡監測。信息管理員需定期對各個網絡進行檢測，檢查網絡隔離是否仍然有效，是否發生網絡互聯，是否產生了新的網絡出入口等等。

2）數據安全。信息系統不但依賴于日常的安全管理來保障服務不中斷，同時也需要做好日常的備份工作，萬一發生故障，可以進行快速的恢復。

數據備份需包含網絡設備、服務器、安全設備、信息系統數據等，針對變動是否頻繁以及數據的重要程度，應進行不同頻率的備份。同時，數據備份必須進行定期的數據恢復演練，以免備份失效，或者無法恢復、需重新設置備份。

3 結語

隨著時代的發展，信息安全防護技術和信息安全威脅都在飛速地發展，作為防護的一方，信息管理員需在等保2.0標準的指導下，加強網絡信息安全防護工作，保證網絡的流暢以及信息系統的穩定 運行。