基于等保2.0的網絡安全運維

劉葉翔

摘要：等保2.0標準作為當前網絡安全最前沿的檢測標準，在發現網絡安全問題方面的能力是非常強的。在網絡運維方面，大部分的運維工作人員在工作中都存在一定的風險，并不能有效地進行安全的防護。文章則結合等保2.0標準，來尋找安全運維的弱點。基于等保2.0標準的網絡安全運維是目前最有效和安全的網絡安全管理模式，因此相關工作人員要認真做好網絡安全運維工作，從而使我國的信息網絡系統可以穩定、持續發展。

關鍵詞：網絡安全運維；等保2.0；信息化建設

中圖分類號：TN915.08? 文獻標志碼：A

0 引言

1994年，國務院令147號《中華人民共和國計算機信息系統安全保護條例》首次提出了“等保”的概念。安全等級的劃分和安全等級保護的具體辦法由公安部會同有關部門制定。1999年，《計算機信息系統安全保護等級劃分準則》將系統分為5個等級，并規定了5個等級的防護等級。此后二十余年來，以1.0標準為基礎構建的網絡安全防護體系在指導與監管方面已明顯滯后，已不能滿足當前網絡安全防護的需要。只有更新和改造原有的網絡架構，才能使核心業務系統實現多維度、全方位的網絡安全防護。2017年，國家制定了《網絡安全法》，第二十一條明確國家實行網絡安全等級保護制度；第三十一條明確關鍵信息基礎設施在網絡安全等級保護制度的基礎上實行重點保護。2019年，國家正式發布了“等保2.0”的標準，即《信息安全技術網絡安全等級保護基本要求》（GB/T22239—2019），該標準被稱為“等保2.0”。從法律義務、覆蓋面、評估要求等方面來看，等保2.0對信息系統保護提出了更加系統化、針對性強的要求。等保2.0標準在網絡安全方面具有極高的地位，但是基于等保2.0標準的網絡運維仍存在以下運維方面的問題。

1 網絡安全運維方面存在的問題

1.1 網絡線路存在安全隱患

網絡線路有一定的安全隱患，線路的安全問題主要表現在兩個方面。首先是網絡設備的老化。計算機由顯示器、主機和軟件系統構成，每個部分都有各自的功能，缺一不可。在這些設備中，電源是最重要的一部分，這也是計算機基礎設施，一旦電源出了問題，整臺電腦就會停止運轉。因此，以計算機為例，相關的零部件需要進行及時更新，由此可以極大地促進網絡安全問題的解決［1］。（1）網絡安全的規劃落后，甚至存在被動防御的狀態，對核心服務和非核心服務的分區還需要進一步強化。（2）隨著網絡和信息技術的飛速發展，各種攻擊手段也隨之發生了翻天覆地的變化。以管理局為例，目前部分管理局雖然已在全網部署了防火墻、IPS等安全設施，但其核心服務系統和其他辦公區域的安全保護仍有一定的局限性，其中關鍵服務系統的安全預警等問題尚不能完全滿足《等保2.0》的要求［2］。

1.2 數據盜竊問題

網絡運行過程中極易出現數據失竊現象，對網絡的穩定運行和用戶的數據安全構成了嚴重的威脅。首先，網絡系統在運行時會采集用戶的個人信息和檢索信息，因此，信息的泄露將威脅到用戶的信息安全。其次，數據失竊可能導致企業商業機密泄露，給企業帶來巨大損失。再次，數據失竊會導致網絡攻擊，引發惡意軟件、病毒的傳播，擾亂網絡的正常運行。最后，數據失竊會影響用戶的信任度和對網絡服務的滿意度，對于維護和提升用戶體驗和品牌形象造成不良影響。因此，在網絡構建和運營過程中，保障數據安全、防范數據失竊是至關重要的。目前，常見的數據失竊問題包括：（1）系統漏洞被攻擊。網絡安全運維期間，如果系統有漏洞未及時打補丁或者配置不當，黑客可能通過這些漏洞攻擊系統，盜取重要數據。（2）管理員操作不當。網絡安全運維中，管理員通常具有較高的權限，如果管理員在操作時疏忽大意，可能會導致敏感數據泄露。（3）黑客攻擊。黑客利用高級技術進行攻擊，尤其是社會工程學攻擊，可能誘騙運維人員透露敏感信息，從而導致數據失竊。（4）物理安全問題。在網絡安全運維時，物理安全非常重要，如果物理設備被竊取，攻擊者可以輕易地獲取敏感信息［3］。

1.3 設備登錄安全

設備登錄時，有的用戶通過TELNET明文傳輸方式遠程登錄網絡設備，加大了信息泄露的風險，甚至存在被惡意修改配置文件導致網絡中斷的風險。安全設備使用HTTP不安全的方式進行訪問，由于訪問控制設備的策略做得不夠完善，使得非管理員用戶可以直接訪問重要的網絡設備、安全設備、服務器，大大增加了業務中斷的風險。為了方便管理設備，運維人員為設備設置較為簡單的登錄口令，使得各個設備登錄口令更容易猜測，可能造成重大的損失。

2 基于等保2.0的網絡安全現狀

由于有多個核心業務系統被上級主管部門認定為二級核心系統，因此，在上級主管部門的大力支持下，單位網絡安全主管部門對網絡安全防護管理漏洞進行了全面梳理，并對上述的安全問題展開了全方位的整改。（1）選拔專門從事信息業務的技術人員，組成了一支專門對網絡安全負責的專業技術隊伍，并強化對工作人員的技術培訓，建立一套安全信息交流的長效機制，并定期對網絡進行測試。（2）對管理中的漏洞進行了全面梳理，建立了網絡設備安全臺賬，由此建立了一系列的網絡安全管理方法，并對網絡安全應急預案和突發網絡安全事件的處理流程進行了設計，開展被黑客攻擊、核心服務器宕機、線路中斷等事件的應急演練。（3）為了增強整個網絡的安全性能，根據等保原則對網絡進行了重排，并對路由進行了調整，使其更加合理。從原有的外網、DMZ區、內網3個區，再到外網出口區、外網辦公區、DMZ區、內網辦公區以及中心服務區，并在區域之間對網絡安全設備進行部署。（4）對安全設備之間的數據聯動進行強化，從而達到1+1>2的效果，讓整個網絡的安全防護得到強化。

2.1 局域網出口區

在Internet和LAN中，有許多的網絡安全裝置部署在Internet和LAN中，其中最重要的就是新一代的防火墻。因為像防火墻這樣的安全設備都位于局域網的出口處，所以為防止單點失效造成整個網絡癱瘓，可以使用堆疊技術虛擬多個防火墻邏輯，這樣多個設備可以相互冗余，以此提升出口鏈路的穩定性。新一代防火墻可以實現對外界接入數據的有效控制，還可以通過NAT、ACL將內部網絡中的特定端口映射到互聯網上，并通過黑名單阻止入侵。此外，防火墻還能和入侵防御系統、Web應用防火墻進行數據聯動，例如入侵防御系統、Web應用防火墻能夠根據事先設定的規則，有效地阻止異常數據的傳遞。

2.2 外網辦公區

由于局域網中的辦公終端大多位于外網的辦公區，防御的功能在于實現對終端的控制，并且在與核心交換機的連接處設置防火墻，利用網絡漏洞掃描技術和網絡接入控制技術，以增強對該地區網絡的保護。在此基礎上，本文提出了一種基于用戶行為管理和漏洞掃描的方法：掃描漏掉的外部網絡，以發現潛在的漏洞，并在有目標的情況下進行修復；利用用戶的身份認證實現終端準入，以此保障終端設備的安全性，同時又能規范用戶的上網行為；利用EDR實現了對終端的一鍵查殺，漏洞修復，實現外聯設備管控等功能。

2.3 DMZ區

DMZ是連接外部網絡和內部網絡的關鍵節點，通常通過映射技術向外部網絡提供服務，其重要性不言而喻。作為數據交換中的一個重要節點，在網絡安全監控時，DMZ經常需要借助態勢感知系統、日志審計系統、入侵檢測系統、防毒墻、堡壘機等設備，實時監控整個交互過程中的數據。同時，DMZ利用互為主備冗余的兩道防火墻把外網的辦公區域與內網的辦公區域連接在一起，既保證了辦公區域的信息安全，又加強了對內網辦公區域的保護。

2.4 內網辦公區

內部網絡辦公區域的安全保護與外部網絡的核心交換區相似，都配備了終端準入準出、漏洞掃描、EDR等保護裝置，唯一的區別就是該區域終端不能直接接入互聯網。不同業務部門的服務范圍存在差異，各個服務部門的內網終端用戶所訪問的業務系統也存在一定的差異，有些用戶為了方便訪問互聯網，私自在內網電腦上插入無線網卡訪問互聯網，存在直接將內網數據傳到互聯網上的風險。

2.5 核心業務區

服務器區內有很多重要業務的服務器，因為這個區域內的服務系統非常重要，所以在設計時，除了要保證安全性之外，還要考慮到冗余。在配置服務器時，相關工作人員就通過服務器區防火墻配置訪問控制策略對其他設備的訪問進行限制或隔離。該防火墻與內網的核心交換設備相連，通過冗余設計方式增強系統應用的安全性。此外，服務器使用了冗余設計方式，由此形成本地數據中心和異地容災數據，當本地數據中心出現故障，可以在數分鐘之內將所有的服務端轉移到局域的容災中心，大大提高了系統的可靠性。大部分企業均沒有將重要數據進行異地備份，因為如果在異地建設機房需要花費較多的費用，一般的企業也實在無法承擔。

3 針對網絡安全運維問題的改善策略

3.1 建立重要數據備份機制

因為網絡線路中存在一些安全隱患，所以計算機用戶應該養成對文件數據進行備份的習慣。同時，網絡安全管理部門人員也應該提高自己的警惕性，并構建一個重要數據的備份機制。部門管理人員定期對公司內的所有計算機進行檢查、修理和維修，及時進行相關線路安全的排查，并對出現問題的線路進行及時處理，以確保網絡安全。在任何情況下，部門工作人員應當培養良好的行為習慣，在任何情況下，都要對重要的數據進行一式多份的處理，以保證數據被完整保存。另外，工作人員一旦發現計算機設備出現故障或者應用問題的時候，應當及時向管理人員進行上報，以提高工作效率。網絡安全管理者必須做好防數據丟失的準備，如各部門要備份數據庫，記錄各種軟硬件的性能、安裝日期以及與配置有關的參數，這樣才能保證在各種場景下，能夠及時地還原重要的數據，減少對系統的影響。與此同時，網絡部門要按時對公司的計算機進行排查，并對企業內部報廢的計算機進行統計，弄清楚各個設備報廢的原因或者計算機故障的原因，為員工在計算機使用期間提供專業性建議，從而提升計算機的使用率，確保不會出現重要數據的丟失。

3.2 引入專業人才

在網絡安全領域，管理人員招募專業人員，組建網絡安全部門，以解決企業網絡安全中存在的問題。（1）網絡安全管理部門需要建立專業網絡安全人才培養機制：與高校、職業培訓機構等合作，建立網絡安全人才培養計劃，為網絡安全人才培養提供有效途徑，并且根據企業需求進行產學研合作。（2）持續開展技能培訓：定期進行網絡安全運維人員的技能培訓和崗位培訓，使其不斷提升專業能力和技能水平，適應不斷變化的網絡安全環境。（3）積極加強對人才的吸引力：提高網絡安全運維人員的職業評價和待遇，為人才提供具有競爭力的薪酬和福利，加強對其職業發展的支持。（4）建立人才儲備體系：建立網絡安全“運維”人才儲備庫，根據企業需求進行精準匹配，定期進行人才儲備庫管理，保持人才資源的持續補充。（5）引入人才評估機制：建立網絡安全運維人才績效評估機制，通過定期績效考核，激勵員工工作的積極性和創造性，提高組織的戰斗力。（6）重視培訓：網絡安全“運維”相關機構還須重視對現有員工的培訓和提升，以使其具備更強的技術能力和應對能力。（7）加強合作與交流：企業還需要加強與行業、學術界等相關領域的合作與交流，吸納最新的技術和經驗，提升整個行業的水平和實力。

4 結語

綜上所述，文章以“一個中心+三重防護”為基礎，建立了一套高水平的網絡安全防御體系，以滿足等保2.0的要求。網絡工作人員在網絡運維工作中一定要有零信任的意識，例如防火墻的訪問控制策略，需要在配置后定期進行梳理工作。網絡安全運維要運維和管理兩手抓，不能僅依賴于管理，給出相應的管理文件，但是沒有依據制度來執行，這將導致運維工作越來越難、越來越復雜。為了能夠真正地提高企業的網絡安全運營管理水平，提高企業計算機網絡信息系統的安全防護級別，企業應建立一個全面的網絡安全管理體系，運維人員嚴格按照管理體系進行運維工作，提高其安全防護能力，減少網絡攻擊的風險，從而實現企業網絡信息系統的安全穩定運行。

參考文獻

［1］姜可.我國網絡安全運維存在的隱患及改善策略［J］.無線互聯科技，2022（3）：19-20.

［2］裴建廷，于謙，孫斌，等.基于等保2.0高校網絡安全主動防御體系建設探析［J］.信息通信，2020（2）：166-167.

［3］郭曉宇.企業信息網絡安全管理的建設與運維研究［J］.現代信息科技，2022（6）：133-135，140.

（編輯 王雪芬）

Network security operation and maintenance based on graded protection evaluation 2.0

Liu? Yexiang

（Jiangsu Golden Shield Detection Technology Co.， Ltd.， Nanjing 210042， China）

Abstract： The graded protection evaluation 2.0 standard， as the most cutting-edge detection standard for current network security， has a very authoritative ability to detect network security issues. In terms of network operation and maintenance， most operation and maintenance personnel have certain risks in their work and cannot effectively carry out security protection. This article is based on the graded protection evaluation 2.0 standard to find weaknesses in security operations and maintenance. The network security operation and maintenance based on the graded protection evaluation 2.0 standard is currently the most effective and secure network security management mode. Therefore， we must conscientiously do a good job in the network security operation and maintenance work， so that our information network system can be stable and sustainable development.

Key words： network security operation and maintenance;graded protection evaluation 2.0; information construction