事業(yè)單位網(wǎng)絡(luò)安全等級保護(hù)的建設(shè)
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了事業(yè)單位網(wǎng)絡(luò)安全等級保護(hù)的建設(shè)范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:當(dāng)今是一個(gè)信息時(shí)代,方方面面都離不開網(wǎng)絡(luò),隨之而來的網(wǎng)絡(luò)安全問題也尤為尖銳。因此建設(shè)高質(zhì)量、穩(wěn)定可靠的安全網(wǎng)絡(luò)成為目前網(wǎng)絡(luò)發(fā)展的重中之重。本文分析了目前事業(yè)單位網(wǎng)絡(luò)安全等級保護(hù)的現(xiàn)狀,結(jié)合業(yè)務(wù)實(shí)際提出了網(wǎng)絡(luò)安全等級保護(hù)的策略。
關(guān)鍵詞:事業(yè)單位;網(wǎng)絡(luò)安全等級保護(hù);部署建議
0引言
網(wǎng)絡(luò)安全等級保護(hù)制度是保障各事業(yè)單位網(wǎng)絡(luò)安全的重要方法,通過進(jìn)行網(wǎng)絡(luò)安全分級保護(hù),可以高效解決目前事業(yè)單位所面臨的網(wǎng)絡(luò)安全問題,按照“重點(diǎn)優(yōu)先”的思想,將資源有的放矢地投入到網(wǎng)絡(luò)安全建設(shè)中,有助于快速夯實(shí)網(wǎng)絡(luò)安全等級保護(hù)的基礎(chǔ)。
1網(wǎng)絡(luò)安全等級保護(hù)定義
網(wǎng)絡(luò)安全等級保護(hù)是指對單位內(nèi)的秘密信息和專有信息以及可以公開的信息進(jìn)行分級保護(hù),對信息系統(tǒng)中的防火墻進(jìn)行分級設(shè)置,對產(chǎn)生的網(wǎng)絡(luò)安全事件建立不同的響應(yīng)機(jī)制。這種保護(hù)制度共分為五個(gè)級別:自主保護(hù)、指導(dǎo)保護(hù)、監(jiān)督保護(hù)、強(qiáng)制保護(hù)、專控保護(hù)。不同的信息擁有不同的機(jī)密性,就會(huì)有相應(yīng)的安全保護(hù)機(jī)制。近期,網(wǎng)絡(luò)安全等級保護(hù)制度2.0國家標(biāo)準(zhǔn)正式,這對加強(qiáng)網(wǎng)絡(luò)安全保衛(wèi)工作、提升網(wǎng)絡(luò)能力具有重大意義。
2網(wǎng)絡(luò)安全等級保護(hù)現(xiàn)狀分析
按照新的網(wǎng)絡(luò)安全等級保護(hù)要求,絕大多數(shù)單位在網(wǎng)絡(luò)安全技術(shù)和管理方面存在差距和盲點(diǎn),網(wǎng)絡(luò)安全保障體系仍需完善。主要表現(xiàn)在以下幾個(gè)方面:(1)網(wǎng)絡(luò)安全管理工作有待進(jìn)一步加強(qiáng)在網(wǎng)絡(luò)安全管理制度方面存在不夠完善,對信息資產(chǎn)管理、服務(wù)外包管理等缺乏網(wǎng)絡(luò)安全方面有關(guān)要求。未建立體系化的內(nèi)部操作規(guī)程,而且對網(wǎng)絡(luò)安全管理和技術(shù)人員專業(yè)技能培訓(xùn)相對較少,網(wǎng)絡(luò)安全等級保護(hù)的定級、備案及測評等未開展。運(yùn)維工作的部分操作不規(guī)范,隨意性較強(qiáng),對網(wǎng)絡(luò)、系統(tǒng)安全穩(wěn)定運(yùn)行造成風(fēng)險(xiǎn)。(2)網(wǎng)絡(luò)架構(gòu)存在安全隱患和較為明顯的脆弱性有的內(nèi)網(wǎng)連接,雖部署了防火墻進(jìn)行網(wǎng)絡(luò)訪問控制,但是部分防火墻缺乏安全配置及管理,訪問控制策略不嚴(yán)格,同時(shí)某些單位內(nèi)部網(wǎng)絡(luò)也缺乏分區(qū)和邊界控制措施,無法限制非授權(quán)用戶接入內(nèi)網(wǎng)和授權(quán)用戶濫用授權(quán)違規(guī)外聯(lián)外網(wǎng)的行為,部分單位發(fā)現(xiàn)終端跨接內(nèi)外網(wǎng)的現(xiàn)象,導(dǎo)致整個(gè)單位的內(nèi)網(wǎng)存在“一點(diǎn)接入,訪問全網(wǎng),攻擊全網(wǎng)”的安全風(fēng)險(xiǎn)。(3)主機(jī)計(jì)算環(huán)境抵御攻擊能力較低主機(jī)服務(wù)器未及時(shí)更新系統(tǒng)安全補(bǔ)丁,導(dǎo)致存在比如MS17-010(永恒之藍(lán))、弱口令等高危漏洞;部分服務(wù)器未部署防病毒軟件、病毒庫未更新,沒有惡意代碼防范措施,部分單位的終端感染木馬病毒,一旦被利用,可能導(dǎo)致內(nèi)部服務(wù)器主機(jī)大面積感染惡意程序等事件發(fā)生。(4)應(yīng)用系統(tǒng)安全防范措施缺失有的運(yùn)行在內(nèi)網(wǎng)應(yīng)用系統(tǒng),存在高風(fēng)險(xiǎn)安全漏洞;在應(yīng)用系統(tǒng)身份鑒別、數(shù)據(jù)完整性、保密性保護(hù)等方面存在策略配置不足問題,結(jié)合其他安全風(fēng)險(xiǎn),會(huì)帶來系統(tǒng)服務(wù)安全、數(shù)據(jù)安全等較嚴(yán)重的安全問題。(5)數(shù)據(jù)安全保護(hù)能力不足有的未對專網(wǎng)的重要數(shù)據(jù)進(jìn)行分級分類管理,數(shù)據(jù)安全保護(hù)措施缺失,專網(wǎng)中的數(shù)據(jù)庫普遍存在弱口令、遠(yuǎn)程代碼執(zhí)行漏洞等高危安全漏洞,極易被攻擊利用,大量的業(yè)務(wù)數(shù)據(jù)和敏感信息存在較高的安全風(fēng)險(xiǎn)。(6)物理安全基礎(chǔ)保障欠缺有的機(jī)房未對進(jìn)出人員進(jìn)行鑒別登記,易造成機(jī)房遭受惡意人員破壞,存在安全風(fēng)險(xiǎn)。有的機(jī)房未部署門禁系統(tǒng),未安裝防盜報(bào)警系統(tǒng)等進(jìn)行盜竊防護(hù)。
3網(wǎng)絡(luò)安全等級保護(hù)部署建議
3.1構(gòu)建等保系統(tǒng)框架
根據(jù)安全等級保護(hù)的總體思想,提出如圖1的網(wǎng)絡(luò)安全管理體系架構(gòu)。“總體安全策略”處于網(wǎng)絡(luò)安全管理體系的最高層級,是單位網(wǎng)絡(luò)安全管理體系的首要指導(dǎo)策略。“安全管理組織框架”位于網(wǎng)絡(luò)安全管理體系的第二層,負(fù)責(zé)建立該單位網(wǎng)絡(luò)安全管理組織框架。它既確保了信息系統(tǒng)運(yùn)行時(shí)資料不會(huì)被泄露,也塑造了一個(gè)能穩(wěn)定運(yùn)行信息系統(tǒng)的管理體系,保證網(wǎng)絡(luò)安全管理活動(dòng)的有效開展。“安全管理制度框架”位于網(wǎng)絡(luò)安全管理體系的第三層,分別從安全管理機(jī)構(gòu)及崗位職責(zé)、信息系統(tǒng)的硬件設(shè)備的安全管理、系統(tǒng)建設(shè)管理、安全運(yùn)行管理、安全事件處置和應(yīng)急預(yù)案管理等方面提出規(guī)范的安全管理要求。網(wǎng)絡(luò)安全管理體系的第四層描述的是如何進(jìn)行規(guī)范配置和具體的操作流程以及如何對運(yùn)行活動(dòng)進(jìn)行記錄。從日常安全管理活動(dòng)的執(zhí)行出發(fā),對主要安全管理活動(dòng)的具體配置、操作流程、執(zhí)行規(guī)范等各種各樣的安全管理活動(dòng)做出具體操作指示,指導(dǎo)安全管理工作的具體執(zhí)行[1]。
3.2劃分安全域
根據(jù)安全等級保護(hù)系統(tǒng)總體架構(gòu),重新劃分網(wǎng)絡(luò)安全域。各安全域安全管理策略應(yīng)遵循統(tǒng)一的基本要求,具體如下:(1)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足高峰期業(yè)務(wù)需求,通過網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì),避免存在網(wǎng)絡(luò)單點(diǎn)故障。(2)部署高效的防火墻設(shè)備,防止包括DDOS在內(nèi)的各類網(wǎng)絡(luò)攻擊;在通信網(wǎng)絡(luò)中部署IPS、入侵檢測系統(tǒng)、監(jiān)控探針等,監(jiān)視各種網(wǎng)絡(luò)攻擊行為。(3)在關(guān)鍵位置部署數(shù)據(jù)庫審計(jì)系統(tǒng),對數(shù)據(jù)庫重要配置、操作、更改進(jìn)行審計(jì)記錄。(4)對于每一個(gè)訪問網(wǎng)絡(luò)的用戶將會(huì)進(jìn)行身份驗(yàn)證,確保配置管理的操作只有被賦予權(quán)限的網(wǎng)絡(luò)管理員才能進(jìn)行[2]。(5)部署流量檢測設(shè)備,通過Flow采集技術(shù),建立流量圖式基線,根據(jù)應(yīng)用情況控制和分配流量。(6)增加除口令以外的技術(shù)措施,實(shí)現(xiàn)雙因素認(rèn)證[3]。(7)如需遠(yuǎn)程管理網(wǎng)絡(luò)設(shè)備和安全設(shè)備,應(yīng)采用加密方式,避免身份鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊取。(8)能夠及時(shí)有效阻斷接入網(wǎng)絡(luò)的非授權(quán)設(shè)備。
3.3控制安全邊界
基于部署的網(wǎng)絡(luò)安全軟硬件設(shè)備,設(shè)置相應(yīng)的安全規(guī)則,從而實(shí)現(xiàn)對安全邊界的控制管理。主要安全策略包括:(1)互聯(lián)網(wǎng)區(qū)域應(yīng)用安全:必須經(jīng)過邊界防火墻的邏輯隔離和安全訪問控制。(2)專網(wǎng)區(qū)域應(yīng)用安全:對于訪問身份和訪問權(quán)限有明顯界定,必須經(jīng)過邊界防火墻的邏輯隔離和安全訪問控制,其他區(qū)域和用戶都不允許直接訪問。(3)互聯(lián)網(wǎng)區(qū)域數(shù)據(jù)安全:只允許外部應(yīng)用域的應(yīng)用服務(wù)器訪問,其他區(qū)域用戶不能直接訪問。對數(shù)據(jù)域的訪問受到訪問身份和訪問權(quán)限的約束,必須經(jīng)邊界防火墻的邏輯隔離和安全訪問控制。(4)專網(wǎng)區(qū)域數(shù)據(jù)安全:只允許內(nèi)部應(yīng)用域的應(yīng)用服務(wù)器訪問,其他區(qū)域和用戶都不允許直接訪問。要訪問也必須具有受信的訪問身份和訪問權(quán)限。(5)互聯(lián)網(wǎng)區(qū)域和專網(wǎng)區(qū)域交互安全:對于內(nèi)外部之間的信息交互,采用數(shù)據(jù)擺渡和應(yīng)用協(xié)議相結(jié)合的方式進(jìn)行,嚴(yán)格控制雙網(wǎng)之間存在TCP/IP協(xié)議以及其他網(wǎng)絡(luò)協(xié)議的連接。(6)開發(fā)測試安全:開發(fā)測試域作為非信任區(qū)域,要求只能在受限的前提下進(jìn)行網(wǎng)絡(luò)訪問,必須經(jīng)過邊界防火墻的邏輯隔離和安全訪問控制。(7)密碼應(yīng)用安全:所有涉及密碼應(yīng)用的網(wǎng)絡(luò)安全設(shè)備,所采用的密碼算法必須為國密算法。(8)統(tǒng)一安全管理:防火墻、IDS、IPS、防病毒網(wǎng)關(guān)、網(wǎng)絡(luò)安全審計(jì)和數(shù)據(jù)庫安全審計(jì)系統(tǒng)的日志統(tǒng)一發(fā)送到安全管理區(qū)的安全管理平臺(tái)進(jìn)行分析。(9)終端安全管理:辦公設(shè)備統(tǒng)一部署終端安全管理系統(tǒng),并能夠有效管理終端安全配置,準(zhǔn)入控制、防病毒功能,以及系統(tǒng)補(bǔ)丁升級。(10)設(shè)備知識(shí)產(chǎn)權(quán):所涉及網(wǎng)絡(luò)安全設(shè)備的,必須是具有國產(chǎn)知識(shí)產(chǎn)權(quán)。
4總結(jié)
網(wǎng)絡(luò)安全等級保護(hù)工作事關(guān)重大,它是一個(gè)系統(tǒng)工程,需要各級人員多方面的協(xié)調(diào)合作。只有盡快補(bǔ)齊安全防護(hù)短板,才能切實(shí)提高一個(gè)單位的安全支撐能力、安全檢測能力、安全防護(hù)能力、應(yīng)急響應(yīng)能力和容災(zāi)恢復(fù)能力,從而更好地保障一個(gè)單位網(wǎng)絡(luò)安全建設(shè)的可持續(xù)發(fā)展。
參考文獻(xiàn)
[1]歐陽莎茜.運(yùn)用大數(shù)據(jù)制定園區(qū)安全環(huán)保用電策略的實(shí)例分析[D].西南交通大學(xué),2017.
[2]黎水林.基于安全域的政務(wù)外網(wǎng)安全防護(hù)體系研究[J].信息網(wǎng)絡(luò)安全,2012(07):3-5.
[3]劉太洪.大秦公司信息系統(tǒng)安全等級保護(hù)技術(shù)規(guī)劃設(shè)計(jì)[D].河北工業(yè)大學(xué),2014.
作者:王昭群 單位:長江宜昌通信管理局