前言:想要寫出一篇引人入勝的文章?我們特意為您整理了事業(yè)單位網(wǎng)絡(luò)安全等級保護的建設(shè)范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:當今是一個信息時代,方方面面都離不開網(wǎng)絡(luò),隨之而來的網(wǎng)絡(luò)安全問題也尤為尖銳。因此建設(shè)高質(zhì)量、穩(wěn)定可靠的安全網(wǎng)絡(luò)成為目前網(wǎng)絡(luò)發(fā)展的重中之重。本文分析了目前事業(yè)單位網(wǎng)絡(luò)安全等級保護的現(xiàn)狀,結(jié)合業(yè)務實際提出了網(wǎng)絡(luò)安全等級保護的策略。
關(guān)鍵詞:事業(yè)單位;網(wǎng)絡(luò)安全等級保護;部署建議
0引言
網(wǎng)絡(luò)安全等級保護制度是保障各事業(yè)單位網(wǎng)絡(luò)安全的重要方法,通過進行網(wǎng)絡(luò)安全分級保護,可以高效解決目前事業(yè)單位所面臨的網(wǎng)絡(luò)安全問題,按照“重點優(yōu)先”的思想,將資源有的放矢地投入到網(wǎng)絡(luò)安全建設(shè)中,有助于快速夯實網(wǎng)絡(luò)安全等級保護的基礎(chǔ)。
1網(wǎng)絡(luò)安全等級保護定義
網(wǎng)絡(luò)安全等級保護是指對單位內(nèi)的秘密信息和專有信息以及可以公開的信息進行分級保護,對信息系統(tǒng)中的防火墻進行分級設(shè)置,對產(chǎn)生的網(wǎng)絡(luò)安全事件建立不同的響應機制。這種保護制度共分為五個級別:自主保護、指導保護、監(jiān)督保護、強制保護、專控保護。不同的信息擁有不同的機密性,就會有相應的安全保護機制。近期,網(wǎng)絡(luò)安全等級保護制度2.0國家標準正式,這對加強網(wǎng)絡(luò)安全保衛(wèi)工作、提升網(wǎng)絡(luò)能力具有重大意義。
2網(wǎng)絡(luò)安全等級保護現(xiàn)狀分析
按照新的網(wǎng)絡(luò)安全等級保護要求,絕大多數(shù)單位在網(wǎng)絡(luò)安全技術(shù)和管理方面存在差距和盲點,網(wǎng)絡(luò)安全保障體系仍需完善。主要表現(xiàn)在以下幾個方面:(1)網(wǎng)絡(luò)安全管理工作有待進一步加強在網(wǎng)絡(luò)安全管理制度方面存在不夠完善,對信息資產(chǎn)管理、服務外包管理等缺乏網(wǎng)絡(luò)安全方面有關(guān)要求。未建立體系化的內(nèi)部操作規(guī)程,而且對網(wǎng)絡(luò)安全管理和技術(shù)人員專業(yè)技能培訓相對較少,網(wǎng)絡(luò)安全等級保護的定級、備案及測評等未開展。運維工作的部分操作不規(guī)范,隨意性較強,對網(wǎng)絡(luò)、系統(tǒng)安全穩(wěn)定運行造成風險。(2)網(wǎng)絡(luò)架構(gòu)存在安全隱患和較為明顯的脆弱性有的內(nèi)網(wǎng)連接,雖部署了防火墻進行網(wǎng)絡(luò)訪問控制,但是部分防火墻缺乏安全配置及管理,訪問控制策略不嚴格,同時某些單位內(nèi)部網(wǎng)絡(luò)也缺乏分區(qū)和邊界控制措施,無法限制非授權(quán)用戶接入內(nèi)網(wǎng)和授權(quán)用戶濫用授權(quán)違規(guī)外聯(lián)外網(wǎng)的行為,部分單位發(fā)現(xiàn)終端跨接內(nèi)外網(wǎng)的現(xiàn)象,導致整個單位的內(nèi)網(wǎng)存在“一點接入,訪問全網(wǎng),攻擊全網(wǎng)”的安全風險。(3)主機計算環(huán)境抵御攻擊能力較低主機服務器未及時更新系統(tǒng)安全補丁,導致存在比如MS17-010(永恒之藍)、弱口令等高危漏洞;部分服務器未部署防病毒軟件、病毒庫未更新,沒有惡意代碼防范措施,部分單位的終端感染木馬病毒,一旦被利用,可能導致內(nèi)部服務器主機大面積感染惡意程序等事件發(fā)生。(4)應用系統(tǒng)安全防范措施缺失有的運行在內(nèi)網(wǎng)應用系統(tǒng),存在高風險安全漏洞;在應用系統(tǒng)身份鑒別、數(shù)據(jù)完整性、保密性保護等方面存在策略配置不足問題,結(jié)合其他安全風險,會帶來系統(tǒng)服務安全、數(shù)據(jù)安全等較嚴重的安全問題。(5)數(shù)據(jù)安全保護能力不足有的未對專網(wǎng)的重要數(shù)據(jù)進行分級分類管理,數(shù)據(jù)安全保護措施缺失,專網(wǎng)中的數(shù)據(jù)庫普遍存在弱口令、遠程代碼執(zhí)行漏洞等高危安全漏洞,極易被攻擊利用,大量的業(yè)務數(shù)據(jù)和敏感信息存在較高的安全風險。(6)物理安全基礎(chǔ)保障欠缺有的機房未對進出人員進行鑒別登記,易造成機房遭受惡意人員破壞,存在安全風險。有的機房未部署門禁系統(tǒng),未安裝防盜報警系統(tǒng)等進行盜竊防護。
3網(wǎng)絡(luò)安全等級保護部署建議
3.1構(gòu)建等保系統(tǒng)框架
根據(jù)安全等級保護的總體思想,提出如圖1的網(wǎng)絡(luò)安全管理體系架構(gòu)?!翱傮w安全策略”處于網(wǎng)絡(luò)安全管理體系的最高層級,是單位網(wǎng)絡(luò)安全管理體系的首要指導策略?!鞍踩芾斫M織框架”位于網(wǎng)絡(luò)安全管理體系的第二層,負責建立該單位網(wǎng)絡(luò)安全管理組織框架。它既確保了信息系統(tǒng)運行時資料不會被泄露,也塑造了一個能穩(wěn)定運行信息系統(tǒng)的管理體系,保證網(wǎng)絡(luò)安全管理活動的有效開展?!鞍踩芾碇贫瓤蚣堋蔽挥诰W(wǎng)絡(luò)安全管理體系的第三層,分別從安全管理機構(gòu)及崗位職責、信息系統(tǒng)的硬件設(shè)備的安全管理、系統(tǒng)建設(shè)管理、安全運行管理、安全事件處置和應急預案管理等方面提出規(guī)范的安全管理要求。網(wǎng)絡(luò)安全管理體系的第四層描述的是如何進行規(guī)范配置和具體的操作流程以及如何對運行活動進行記錄。從日常安全管理活動的執(zhí)行出發(fā),對主要安全管理活動的具體配置、操作流程、執(zhí)行規(guī)范等各種各樣的安全管理活動做出具體操作指示,指導安全管理工作的具體執(zhí)行[1]。
3.2劃分安全域
根據(jù)安全等級保護系統(tǒng)總體架構(gòu),重新劃分網(wǎng)絡(luò)安全域。各安全域安全管理策略應遵循統(tǒng)一的基本要求,具體如下:(1)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務處理能力滿足高峰期業(yè)務需求,通過網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計,避免存在網(wǎng)絡(luò)單點故障。(2)部署高效的防火墻設(shè)備,防止包括DDOS在內(nèi)的各類網(wǎng)絡(luò)攻擊;在通信網(wǎng)絡(luò)中部署IPS、入侵檢測系統(tǒng)、監(jiān)控探針等,監(jiān)視各種網(wǎng)絡(luò)攻擊行為。(3)在關(guān)鍵位置部署數(shù)據(jù)庫審計系統(tǒng),對數(shù)據(jù)庫重要配置、操作、更改進行審計記錄。(4)對于每一個訪問網(wǎng)絡(luò)的用戶將會進行身份驗證,確保配置管理的操作只有被賦予權(quán)限的網(wǎng)絡(luò)管理員才能進行[2]。(5)部署流量檢測設(shè)備,通過Flow采集技術(shù),建立流量圖式基線,根據(jù)應用情況控制和分配流量。(6)增加除口令以外的技術(shù)措施,實現(xiàn)雙因素認證[3]。(7)如需遠程管理網(wǎng)絡(luò)設(shè)備和安全設(shè)備,應采用加密方式,避免身份鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊取。(8)能夠及時有效阻斷接入網(wǎng)絡(luò)的非授權(quán)設(shè)備。
3.3控制安全邊界
基于部署的網(wǎng)絡(luò)安全軟硬件設(shè)備,設(shè)置相應的安全規(guī)則,從而實現(xiàn)對安全邊界的控制管理。主要安全策略包括:(1)互聯(lián)網(wǎng)區(qū)域應用安全:必須經(jīng)過邊界防火墻的邏輯隔離和安全訪問控制。(2)專網(wǎng)區(qū)域應用安全:對于訪問身份和訪問權(quán)限有明顯界定,必須經(jīng)過邊界防火墻的邏輯隔離和安全訪問控制,其他區(qū)域和用戶都不允許直接訪問。(3)互聯(lián)網(wǎng)區(qū)域數(shù)據(jù)安全:只允許外部應用域的應用服務器訪問,其他區(qū)域用戶不能直接訪問。對數(shù)據(jù)域的訪問受到訪問身份和訪問權(quán)限的約束,必須經(jīng)邊界防火墻的邏輯隔離和安全訪問控制。(4)專網(wǎng)區(qū)域數(shù)據(jù)安全:只允許內(nèi)部應用域的應用服務器訪問,其他區(qū)域和用戶都不允許直接訪問。要訪問也必須具有受信的訪問身份和訪問權(quán)限。(5)互聯(lián)網(wǎng)區(qū)域和專網(wǎng)區(qū)域交互安全:對于內(nèi)外部之間的信息交互,采用數(shù)據(jù)擺渡和應用協(xié)議相結(jié)合的方式進行,嚴格控制雙網(wǎng)之間存在TCP/IP協(xié)議以及其他網(wǎng)絡(luò)協(xié)議的連接。(6)開發(fā)測試安全:開發(fā)測試域作為非信任區(qū)域,要求只能在受限的前提下進行網(wǎng)絡(luò)訪問,必須經(jīng)過邊界防火墻的邏輯隔離和安全訪問控制。(7)密碼應用安全:所有涉及密碼應用的網(wǎng)絡(luò)安全設(shè)備,所采用的密碼算法必須為國密算法。(8)統(tǒng)一安全管理:防火墻、IDS、IPS、防病毒網(wǎng)關(guān)、網(wǎng)絡(luò)安全審計和數(shù)據(jù)庫安全審計系統(tǒng)的日志統(tǒng)一發(fā)送到安全管理區(qū)的安全管理平臺進行分析。(9)終端安全管理:辦公設(shè)備統(tǒng)一部署終端安全管理系統(tǒng),并能夠有效管理終端安全配置,準入控制、防病毒功能,以及系統(tǒng)補丁升級。(10)設(shè)備知識產(chǎn)權(quán):所涉及網(wǎng)絡(luò)安全設(shè)備的,必須是具有國產(chǎn)知識產(chǎn)權(quán)。
4總結(jié)
網(wǎng)絡(luò)安全等級保護工作事關(guān)重大,它是一個系統(tǒng)工程,需要各級人員多方面的協(xié)調(diào)合作。只有盡快補齊安全防護短板,才能切實提高一個單位的安全支撐能力、安全檢測能力、安全防護能力、應急響應能力和容災恢復能力,從而更好地保障一個單位網(wǎng)絡(luò)安全建設(shè)的可持續(xù)發(fā)展。
參考文獻
[1]歐陽莎茜.運用大數(shù)據(jù)制定園區(qū)安全環(huán)保用電策略的實例分析[D].西南交通大學,2017.
[2]黎水林.基于安全域的政務外網(wǎng)安全防護體系研究[J].信息網(wǎng)絡(luò)安全,2012(07):3-5.
[3]劉太洪.大秦公司信息系統(tǒng)安全等級保護技術(shù)規(guī)劃設(shè)計[D].河北工業(yè)大學,2014.
作者:王昭群 單位:長江宜昌通信管理局