基于等保2.0标准下的网络安全体系设计与思考
时间:2023-04-10 19:25:05 来源:柠檬阅读网 本文已影响 人 
程 方,杨 露,黄紫翎
(长江三峡通航管理局,湖北 宜昌 443000)
“等保”,即计算机信息系统安全等级保护。1994年国务院第一次颁布《中华人民共和国计算机信息系统安全保护条例》,第一次提出等保概念,此后经过20多年信息技术的发展,新型网络攻击手段层出不穷,原有1.0标准下建设的网络安全防护体系对计算机信息系统安全保护的指导和监督明显滞后[1],已经无法满足当下网络安全防护需求。只有对原有的网络体系进行升级改造,才能为核心业务系统提供多立体全方位的网络安全保护。
2019年,国家正式发布了《GB/T 22239—2019信息安全技术网络安全等级保护基本要求》为标准的网络安全等级保护办法,简称等保2.0[2]。等保2.0在法律义务、覆盖范围和测评要求等诸多方面,对信息系统防护提出了更为系统、更有针对性的要求。
原有网络体系中一些核心业务系统,为交通领域从业人员提供多项便利服务,服务用户群体复杂,覆盖面广,服务对象综合文化层次不高,同时一些数据涉及到从业人员身份信息、交通数据,对数据的安全性和保密性要求较高。随着在信息化方面不断发展,为交通领域从业人员、企业提供的服务也越来越多,业务系统不断上线。在网络安全方面也存在一些安全隐患。
1)对网络安全规划存在滞后,在对核心业务系统和非核心系统在区域划分上还有待加强,存在被动防御,无法做到主动防御。
2)安全防护措施不全,网络信息技术的快速发展,也带来了攻击方式跨越式发展,攻击方式也在不断变化。长江三峡通航管理局在整个网络中也部署有防火墙、IPS等安全设备,但是在核心业务系统与其他办公网络区域之间存在安全防护盲点,在重要核心系统的安全预警等方面,与等保2.0标准之间还有不相适应的方面。
3)网络安全专业技术人员专业技术储备不足,网络安全专业对人员专业技能要求较高,不仅要掌握网络通信、数据库等基础知识,还要熟练掌握渗透、测试、攻防和脚本编写等专业技能,现有网络安全专业技术人员在这些专业技能方面还有待加强。
随着多个核心业务系统被上级主管部门确定为二级核心系统,在上级主管部门的大力支持下,单位网络安全主管部门全面梳理网络安全防护管理漏洞,并针对上述安全问题,进行全方位整改。
对负责信息业务的专业人员进行选拔,组建专业技术队伍,专职负责网络安全,并加大人员培训力度,形成安全信息沟通长效机制,定期开展网络测评。同时全方位梳理管理漏洞,制定了网络设备安全台账以及一系列网络安全管理办法,制定网络安全应急预案,编制突发网络安全事件处置流程,多次开展一分钟断网、核心服务器宕机等事件应急演练。
为加强整体网络的安全性,按照等保要求,重新梳理网络层级,调整路由,划分合理区域。由原来的外网、DMZ区和内网三大区域,重新划分为局域网出口区、外网办公区、DMZ区、内网办公区和核心业务区。并在区域之间部署网络安全设备,同时加强安全设备之间数据联动,形成1+1>2的效果,加强整体网络安全防护[3]。
2.1 局域网出口区
在互联网与局域网内核心交换机之间部署了大量网络安全设备,最主要的是下一代防火墙。由于防火墙等安全设备在局域网出口处,为了避免单点故障导致整个网络瘫痪,因此采用堆叠技术将多个防火墙在逻辑上虚拟成一个,多台设备之间互为为冗余,提高了出口链路的稳定性。下一代防火墙能够做到对外部访问数据的有效控制,也能通过NAT、ACL将内网服务器指定端口映射至互联网,通过黑名单禁止攻击地址。同时,防火墙还可以与IPS(入侵防御检测系统)或者IDS(入侵检测系统)之间形成数据联动,如IPS可以通过预先设置的规则,有效阻断非正常的数据传输,特别是针对一些攻击行为,可以直接阻断。
2.2 外网办公区
局域网内办公终端主要在外网办公区,因此,防御的重点在于终端的管控,并与核心交换机之间部署防火墙来加强区域防护。通过部署漏洞扫描和终端准入控制系统、EDR来实现对终端的安全防护。为了加强对终端的安全防护,可以使用漏洞扫描、行为管理等多种网络安全设备来加强防护。使用漏扫对外网区域进行扫描,主要扫描漏洞风险,同时进行针对性的漏洞修补。通过终端准入控制实名制上网,既能保障终端安全,又能一定程度上规范上网行为。通过EDR对终端进行一键查杀、漏洞修复、外联设备管控。
2.3 DMZ区
DMZ区是连接外网和内网的关键区域,为了避免将核心业务系统服务器暴露在互联网上,常常是采用映射的方式来对外提供服务,该区域的重要性不言而喻。由于是数据交换的关键节点区域,因此,在网络安全监控过程中,也是经常部署态势感知平台、日志审计等设备对整个交互的数据进行实时监控。同时,通过两台互为主备冗余的防火墙与外网办公区、内网办公区相连接,既能保障该区域的数据安全,又为内外网办公区域加强防护。
2.4 内网办公区
内网办公区与外网核心交换区的安全防护类似,也是部署有漏扫、终端准入和EDR等安全防护设备。不同的是该区域终端无法访问互联网,根据各业务部门业务范围的不同,在交换机上配置路由,不同业务部门的内网终端用户所能访问的业务系统也不尽相同。
2.5 核心业务区
核心业务区部署了大量对外提供业务支持的服务器,由于该区域业务系统的重要性,在设计时既要确保安全,又要充分考虑到冗余,因此,在服务器部署时就使用防火墙对其他设备进行隔离。防火墙与内网核心交换机相连接,通过冗余设计来增强安全性。同时,服务器也采用冗余设计,形成本地数据中心和异地容灾数据中心,当本地数据中心出现故障时,能在几分钟内将全部业务数据切换到容灾数据中心,极大地增强了网络的冗余性。
在等保2.0标准下,严格按照“一个中心+三重防护”的原则[4],制定了更高标准的网络安全防护体系,为核心业务系统提供符合等保2.0标准的网络安全防护体系。但是,随着网络技术的飞速发展,网络安全保护成为一个长期课题,只有管理与技术协同发展,才能真正答好网络安全考卷。
猜你喜欢办公区防火墙漏洞漏洞今日农业(2022年13期)2022-09-15浅析迎泽大街集中办公区办公楼维修改造工程设计建材发展导向(2022年5期)2022-04-18构建防控金融风险“防火墙”当代陕西(2019年15期)2019-09-02乔布斯办公区理念的启示华人时刊(2019年2期)2019-03-22三明:“两票制”堵住加价漏洞中国卫生(2016年5期)2016-11-12漏洞在哪儿儿童时代(2016年6期)2016-09-14电动汽车充电站在办公区建设前景分析通信电源技术(2016年3期)2016-03-26在舌尖上筑牢抵御“僵尸肉”的防火墙IT时代周刊(2015年7期)2015-11-11高铁急救应补齐三漏洞中国卫生(2015年12期)2015-11-10下一代防火墙要做的十件事自动化博览(2014年6期)2014-02-28
