網(wǎng)絡(luò)信息安全防護(hù)工作淺析

李 陽(yáng)

（深能合和電力（河源）有限公司，廣東 河源 517025）

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》自2017年6月1日起施行，《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（以下簡(jiǎn)稱等保2.0）也在2019年12月1日實(shí)施[1]。隨著等保2.0的實(shí)施，網(wǎng)絡(luò)安全和信息系統(tǒng)安全防護(hù)有了更加規(guī)范的參考標(biāo)準(zhǔn)。在等保2.0標(biāo)準(zhǔn)的指導(dǎo)下，對(duì)信息系統(tǒng)進(jìn)行重新定級(jí)、備案、測(cè)評(píng)，對(duì)網(wǎng)絡(luò)信息安全防護(hù)工作進(jìn)行重新完善，有利于建立更加安全完善的網(wǎng)絡(luò)與信息系統(tǒng)。

1 網(wǎng)絡(luò)信息安全策略淺析

1）網(wǎng)絡(luò)安全策略配置。網(wǎng)絡(luò)安全是網(wǎng)絡(luò)與信息安全管理中最重要的一環(huán)，一旦網(wǎng)絡(luò)發(fā)生安全問(wèn)題，極易發(fā)生迅速擴(kuò)散，進(jìn)而導(dǎo)致網(wǎng)絡(luò)癱瘓和系統(tǒng)崩潰。類似于勒索病毒采取445端口的全網(wǎng)掃描攻擊，極易通過(guò)網(wǎng)絡(luò)迅速傳播。電力監(jiān)控系統(tǒng)中，必須堅(jiān)持“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則。該原則也可根據(jù)實(shí)際情況，推廣至其他類型信息系統(tǒng)。不同安全等級(jí)的網(wǎng)絡(luò)必須進(jìn)行物理分割，或采取單向網(wǎng)閘隔離，嚴(yán)禁低保護(hù)等級(jí)網(wǎng)絡(luò)（如辦公網(wǎng)）向高保護(hù)等級(jí)網(wǎng)絡(luò)（如生產(chǎn)網(wǎng)）寫(xiě)入數(shù)據(jù)。同樣安全等級(jí)的系統(tǒng)，根據(jù)現(xiàn)場(chǎng)需要也可進(jìn)行物理網(wǎng)絡(luò)分割，以免造成網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的病毒傳播。如果無(wú)法進(jìn)行物理網(wǎng)絡(luò)分割，也可先劃分VLAN，然后在交換機(jī)等設(shè)備上采用ACL權(quán)限控制，來(lái)進(jìn)行訪問(wèn)權(quán)限限制，即使發(fā)生網(wǎng)絡(luò)異常，也會(huì)被限制在個(gè)別VLAN內(nèi)部傳播，不會(huì)影響其他網(wǎng)絡(luò)。網(wǎng)絡(luò)安全不僅依賴于網(wǎng)絡(luò)分割，更重要的是禁止非授權(quán)設(shè)備接入網(wǎng)絡(luò)。網(wǎng)絡(luò)交換機(jī)的安全管理非常重要，需關(guān)閉交換機(jī)的WEB訪問(wèn)接口，僅保留ssh訪問(wèn)，關(guān)閉ssh1x訪問(wèn)，同時(shí)必須禁用默認(rèn)用戶，使用高復(fù)雜度的密碼。如果是重要信息系統(tǒng)所在的網(wǎng)絡(luò)交換機(jī)，則應(yīng)關(guān)閉任何遠(yuǎn)程配置功能，僅能在本地進(jìn)行操作。同時(shí)，需在交換機(jī)上關(guān)閉所有未使用的接口，以避免非授權(quán)設(shè)備接入；在已使用的接口中，必須采取IP與MAC地址同時(shí)綁定的策略，使得已接入網(wǎng)絡(luò)的設(shè)備不能私下更換或者任意更換IP。綜上所述，網(wǎng)絡(luò)安全依賴于不同網(wǎng)絡(luò)之間的有效分隔，使得任何網(wǎng)絡(luò)安全事件均能控制在最小的范圍內(nèi)。同時(shí)，需采取嚴(yán)格的策略來(lái)保障網(wǎng)絡(luò)交換機(jī)的安全，交換機(jī)也是網(wǎng)絡(luò)和信息系統(tǒng)正常運(yùn)行的基礎(chǔ)。

2）服務(wù)器安全策略配置。服務(wù)器是所有信息系統(tǒng)的中心，系統(tǒng)安全與數(shù)據(jù)安全依賴于服務(wù)器的正確配置，一旦服務(wù)器發(fā)生故障或者被攻陷，整個(gè)信息系統(tǒng)將崩潰，系統(tǒng)數(shù)據(jù)可能發(fā)生丟失。首先服務(wù)器應(yīng)盡量采用堡壘機(jī)等安全設(shè)備進(jìn)行管控，如果因各種原因無(wú)法部署堡壘機(jī)，則應(yīng)關(guān)閉服務(wù)器的遠(yuǎn)程端口3389，盡量使用本地KVM等設(shè)備進(jìn)行管理，如果必須進(jìn)行遠(yuǎn)程管理，則應(yīng)在防火墻高級(jí)設(shè)置中，限制使用3389端口的遠(yuǎn)程地址為指定的管理員IP，同時(shí)在安全策略中，開(kāi)啟遠(yuǎn)程桌面的加密連接。若非必要，服務(wù)器應(yīng)在防火墻高級(jí)設(shè)置中關(guān)閉135-140、445等高危端口。同時(shí)，應(yīng)關(guān)閉所有不使用的用戶，修改管理員用戶名，設(shè)置密碼復(fù)雜度與過(guò)期時(shí)間，定期更換密碼，并定期修復(fù)系統(tǒng)漏洞。最后，服務(wù)器必須保存至少六個(gè)月Windows系統(tǒng)、安全等日志，并開(kāi)啟事件審計(jì)功能，對(duì)服務(wù)器的各項(xiàng)操作進(jìn)行審計(jì)，并寫(xiě)入日志，使得任何事件可追溯。

3）計(jì)算機(jī)安全策略配置。計(jì)算機(jī)終端作為用戶使用網(wǎng)絡(luò)和信息系統(tǒng)的終端，終端安全也對(duì)網(wǎng)絡(luò)和信息系統(tǒng)產(chǎn)生較大的影響，所有終端必須安裝殺毒軟件，禁止共享，禁止外來(lái)計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)掃描本地135-140、445等端口。同時(shí)，根據(jù)信息系統(tǒng)安全等級(jí)的不同，還需對(duì)計(jì)算機(jī)終端的USB端口進(jìn)行限制。因計(jì)算機(jī)終端使用人員對(duì)電腦與網(wǎng)絡(luò)可能不太熟悉，可能會(huì)誤操作或下載木馬程序等等，所以計(jì)算機(jī)終端應(yīng)設(shè)置定期殺毒，定期修復(fù)系統(tǒng)漏洞。同時(shí)，應(yīng)加強(qiáng)安全使用計(jì)算機(jī)等方面的宣傳培訓(xùn)，提高員工的信息安全意識(shí)[2]。

4）安全設(shè)備升級(jí)。無(wú)論信息管理員如何加強(qiáng)網(wǎng)絡(luò)與信息安全防護(hù)，信息系統(tǒng)總會(huì)出現(xiàn)新的漏洞，各類病毒木馬也在不斷更新，這導(dǎo)致完全通過(guò)人工來(lái)保障網(wǎng)絡(luò)與信息安全是幾乎無(wú)法達(dá)成的任務(wù)，需要耗費(fèi)非常大的精力，因此必須部署各類安全設(shè)備。（1）防火墻。防火墻可部署在各個(gè)網(wǎng)絡(luò)的邊界，例如在互聯(lián)網(wǎng)和辦公網(wǎng)、辦公網(wǎng)和重要服務(wù)器之間進(jìn)行部署。以互聯(lián)網(wǎng)防火墻為例，可阻斷絕大部分來(lái)自互聯(lián)網(wǎng)的攻擊，也能識(shí)別出內(nèi)網(wǎng)到外網(wǎng)的各類流量，同時(shí)結(jié)合設(shè)備廠家大數(shù)據(jù)，對(duì)異常端口、異常外網(wǎng)IP、異常外網(wǎng)流量等可做到識(shí)別或阻斷，并通知管理員處理[3]。（2）入侵檢測(cè)。根據(jù)實(shí)際需要，入侵檢測(cè)可與防火墻串聯(lián)處理，用于檢測(cè)并阻斷來(lái)自外網(wǎng)的入侵或者異常流量；但如果信息系統(tǒng)對(duì)網(wǎng)絡(luò)性能要求很高、流量比較特殊或者阻斷網(wǎng)絡(luò)數(shù)據(jù)包會(huì)對(duì)系統(tǒng)造成影響的情況下，入侵檢測(cè)亦可旁路部署，通過(guò)網(wǎng)絡(luò)交換機(jī)將所有數(shù)據(jù)包鏡像一份發(fā)送到入侵檢測(cè)設(shè)備，入侵檢測(cè)設(shè)備對(duì)數(shù)據(jù)包進(jìn)行分析后，再將結(jié)果發(fā)送給管理員，由管理員進(jìn)行最終決策分析，并逐漸優(yōu)化分析策略，減少誤報(bào)。（3）上網(wǎng)行為管理。對(duì)終端用戶的網(wǎng)絡(luò)行為進(jìn)行審計(jì)管理，可以根據(jù)工作需要放行或阻斷相應(yīng)的網(wǎng)絡(luò)行為，上網(wǎng)行為管理設(shè)備可作為防火墻的補(bǔ)充，對(duì)網(wǎng)絡(luò)行為進(jìn)行精細(xì)的識(shí)別，避免出現(xiàn)異常網(wǎng)絡(luò)行為。（4）網(wǎng)閘。網(wǎng)閘作為網(wǎng)絡(luò)的邊界，可單向發(fā)送特定IP、特定MAC、特定端口的流量到其他網(wǎng)絡(luò)的特定IP、特定MAC、特定端口，網(wǎng)閘與防火墻相比，功能單一，但具有單向隔離、難以攻破、數(shù)據(jù)包加密等特性，不像防火墻在配置策略失誤的時(shí)候可能發(fā)生反寫(xiě)，因此網(wǎng)閘在工控等領(lǐng)域具有不可替代的作用。（5）日志審計(jì)系統(tǒng)。網(wǎng)絡(luò)上的各類設(shè)備，包括交換機(jī)、服務(wù)器、計(jì)算機(jī)終端、安全設(shè)備，均會(huì)產(chǎn)生大量的日志，這些日志均存儲(chǔ)在設(shè)備本地，無(wú)法進(jìn)行統(tǒng)一地查詢管理。等保2.0要求所有設(shè)備日志必須保存6個(gè)月以上，這樣可以方便的管理所有設(shè)備日志，并在有異常事件時(shí)向信息管理員發(fā)出告警。（6）態(tài)勢(shì)感知系統(tǒng)。態(tài)勢(shì)感知系統(tǒng)首先鏡像交換機(jī)上的所有流量，然后對(duì)這些流量進(jìn)行細(xì)致的分析，以發(fā)現(xiàn)可能的網(wǎng)絡(luò)或信息安全威脅事件，態(tài)勢(shì)感知系統(tǒng)擁有一定的誤報(bào)率，但是對(duì)于網(wǎng)絡(luò)和信息安全，是不可或缺的系統(tǒng)，可將很多安全事件扼殺于無(wú)形之中。

2 網(wǎng)絡(luò)信息安全運(yùn)維

1）網(wǎng)絡(luò)監(jiān)測(cè)。信息管理員需定期對(duì)各個(gè)網(wǎng)絡(luò)進(jìn)行檢測(cè)，檢查網(wǎng)絡(luò)隔離是否仍然有效，是否發(fā)生網(wǎng)絡(luò)互聯(lián)，是否產(chǎn)生了新的網(wǎng)絡(luò)出入口等等。

2）數(shù)據(jù)安全。信息系統(tǒng)不但依賴于日常的安全管理來(lái)保障服務(wù)不中斷，同時(shí)也需要做好日常的備份工作，萬(wàn)一發(fā)生故障，可以進(jìn)行快速的恢復(fù)。

數(shù)據(jù)備份需包含網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備、信息系統(tǒng)數(shù)據(jù)等，針對(duì)變動(dòng)是否頻繁以及數(shù)據(jù)的重要程度，應(yīng)進(jìn)行不同頻率的備份。同時(shí)，數(shù)據(jù)備份必須進(jìn)行定期的數(shù)據(jù)恢復(fù)演練，以免備份失效，或者無(wú)法恢復(fù)、需重新設(shè)置備份。

3 結(jié)語(yǔ)

隨著時(shí)代的發(fā)展，信息安全防護(hù)技術(shù)和信息安全威脅都在飛速地發(fā)展，作為防護(hù)的一方，信息管理員需在等保2.0標(biāo)準(zhǔn)的指導(dǎo)下，加強(qiáng)網(wǎng)絡(luò)信息安全防護(hù)工作，保證網(wǎng)絡(luò)的流暢以及信息系統(tǒng)的穩(wěn)定 運(yùn)行。