基于等保2.0的网络安全运维

刘叶翔

摘要：等保2.0标准作为当前网络安全最前沿的检测标准，在发现网络安全问题方面的能力是非常强的。在网络运维方面，大部分的运维工作人员在工作中都存在一定的风险，并不能有效地进行安全的防护。文章则结合等保2.0标准，来寻找安全运维的弱点。基于等保2.0标准的网络安全运维是目前最有效和安全的网络安全管理模式，因此相关工作人员要认真做好网络安全运维工作，从而使我国的信息网络系统可以稳定、持续发展。

关键词：网络安全运维；等保2.0；信息化建设

中图分类号：TN915.08  文献标志码：A

0 引言

1994年，国务院令147号《中华人民共和国计算机信息系统安全保护条例》首次提出了“等保”的概念。安全等级的划分和安全等级保护的具体办法由公安部会同有关部门制定。1999年，《计算机信息系统安全保护等级划分准则》将系统分为5个等级，并规定了5个等级的防护等级。此后二十余年来，以1.0标准为基础构建的网络安全防护体系在指导与监管方面已明显滞后，已不能满足当前网络安全防护的需要。只有更新和改造原有的网络架构，才能使核心业务系统实现多维度、全方位的网络安全防护。2017年，国家制定了《网络安全法》，第二十一条明确国家实行网络安全等级保护制度；第三十一条明确关键信息基础设施在网络安全等级保护制度的基础上实行重点保护。2019年，国家正式发布了“等保2.0”的标准，即《信息安全技术网络安全等级保护基本要求》（GB/T22239—2019），该标准被称为“等保2.0”。从法律义务、覆盖面、评估要求等方面来看，等保2.0对信息系统保护提出了更加系统化、针对性强的要求。等保2.0标准在网络安全方面具有极高的地位，但是基于等保2.0标准的网络运维仍存在以下运维方面的问题。

1 网络安全运维方面存在的问题

1.1 网络线路存在安全隐患

网络线路有一定的安全隐患，线路的安全问题主要表现在两个方面。首先是网络设备的老化。计算机由显示器、主机和软件系统构成，每个部分都有各自的功能，缺一不可。在这些设备中，电源是最重要的一部分，这也是计算机基础设施，一旦电源出了问题，整台电脑就会停止运转。因此，以计算机为例，相关的零部件需要进行及时更新，由此可以极大地促进网络安全问题的解决［1］。（1）网络安全的规划落后，甚至存在被动防御的状态，对核心服务和非核心服务的分区还需要进一步强化。（2）随着网络和信息技术的飞速发展，各种攻击手段也随之发生了翻天覆地的变化。以管理局为例，目前部分管理局虽然已在全网部署了防火墙、IPS等安全设施，但其核心服务系统和其他办公区域的安全保护仍有一定的局限性，其中关键服务系统的安全预警等问题尚不能完全满足《等保2.0》的要求［2］。

1.2 数据盗窃问题

网络运行过程中极易出现数据失窃现象，对网络的稳定运行和用户的数据安全构成了严重的威胁。首先，网络系统在运行时会采集用户的个人信息和检索信息，因此，信息的泄露将威胁到用户的信息安全。其次，数据失窃可能导致企业商业机密泄露，给企业带来巨大损失。再次，数据失窃会导致网络攻击，引发恶意软件、病毒的传播，扰乱网络的正常运行。最后，数据失窃会影响用户的信任度和对网络服务的满意度，对于维护和提升用户体验和品牌形象造成不良影响。因此，在网络构建和运营过程中，保障数据安全、防范数据失窃是至关重要的。目前，常见的数据失窃问题包括：（1）系统漏洞被攻击。网络安全运维期间，如果系统有漏洞未及时打补丁或者配置不当，黑客可能通过这些漏洞攻击系统，盗取重要数据。（2）管理员操作不当。网络安全运维中，管理员通常具有较高的权限，如果管理员在操作时疏忽大意，可能会导致敏感数据泄露。（3）黑客攻击。黑客利用高级技术进行攻击，尤其是社会工程学攻击，可能诱骗运维人员透露敏感信息，从而导致数据失窃。（4）物理安全问题。在网络安全运维时，物理安全非常重要，如果物理设备被窃取，攻击者可以轻易地获取敏感信息［3］。

1.3 设备登录安全

设备登录时，有的用户通过TELNET明文传输方式远程登录网络设备，加大了信息泄露的风险，甚至存在被恶意修改配置文件导致网络中断的风险。安全设备使用HTTP不安全的方式进行访问，由于访问控制设备的策略做得不够完善，使得非管理员用户可以直接访问重要的网络设备、安全设备、服务器，大大增加了业务中断的风险。为了方便管理设备，运维人员为设备设置较为简单的登录口令，使得各个设备登录口令更容易猜测，可能造成重大的损失。

2 基于等保2.0的网络安全现状

由于有多个核心业务系统被上级主管部门认定为二级核心系统，因此，在上级主管部门的大力支持下，单位网络安全主管部门对网络安全防护管理漏洞进行了全面梳理，并对上述的安全问题展开了全方位的整改。（1）选拔专门从事信息业务的技术人员，组成了一支专门对网络安全负责的专业技术队伍，并强化对工作人员的技术培训，建立一套安全信息交流的长效机制，并定期对网络进行测试。（2）对管理中的漏洞进行了全面梳理，建立了网络设备安全台账，由此建立了一系列的网络安全管理方法，并对网络安全应急预案和突发网络安全事件的处理流程进行了设计，开展被黑客攻击、核心服务器宕机、线路中断等事件的应急演练。（3）为了增强整个网络的安全性能，根据等保原则对网络进行了重排，并对路由进行了调整，使其更加合理。从原有的外网、DMZ区、内网3个区，再到外网出口区、外网办公区、DMZ区、内网办公区以及中心服务区，并在区域之间对网络安全设备进行部署。（4）对安全设备之间的数据联动进行强化，从而达到1+1>2的效果，让整个网络的安全防护得到强化。

2.1 局域网出口区

在Internet和LAN中，有许多的网络安全装置部署在Internet和LAN中，其中最重要的就是新一代的防火墙。因为像防火墙这样的安全设备都位于局域网的出口处，所以为防止单点失效造成整个网络瘫痪，可以使用堆叠技术虚拟多个防火墙逻辑，这样多个设备可以相互冗余，以此提升出口链路的稳定性。新一代防火墙可以实现对外界接入数据的有效控制，还可以通过NAT、ACL将内部网络中的特定端口映射到互联网上，并通过黑名单阻止入侵。此外，防火墙还能和入侵防御系统、Web應用防火墙进行数据联动，例如入侵防御系统、Web应用防火墙能够根据事先设定的规则，有效地阻止异常数据的传递。

2.2 外网办公区

由于局域网中的办公终端大多位于外网的办公区，防御的功能在于实现对终端的控制，并且在与核心交换机的连接处设置防火墙，利用网络漏洞扫描技术和网络接入控制技术，以增强对该地区网络的保护。在此基础上，本文提出了一种基于用户行为管理和漏洞扫描的方法：扫描漏掉的外部网络，以发现潜在的漏洞，并在有目标的情况下进行修复；利用用户的身份认证实现终端准入，以此保障终端设备的安全性，同时又能规范用户的上网行为；利用EDR实现了对终端的一键查杀，漏洞修复，实现外联设备管控等功能。

2.3 DMZ区

DMZ是连接外部网络和内部网络的关键节点，通常通过映射技术向外部网络提供服务，其重要性不言而喻。作为数据交换中的一个重要节点，在网络安全监控时，DMZ经常需要借助态势感知系统、日志审计系统、入侵检测系统、防毒墙、堡垒机等设备，实时监控整个交互过程中的数据。同时，DMZ利用互为主备冗余的两道防火墙把外网的办公区域与内网的办公区域连接在一起，既保证了办公区域的信息安全，又加强了对内网办公区域的保护。

2.4 内网办公区

内部网络办公区域的安全保护与外部网络的核心交换区相似，都配备了终端准入准出、漏洞扫描、EDR等保护装置，唯一的区别就是该区域终端不能直接接入互联网。不同业务部门的服务范围存在差异，各个服务部门的内网终端用户所访问的业务系统也存在一定的差异，有些用户为了方便访问互联网，私自在内网电脑上插入无线网卡访问互联网，存在直接将内网数据传到互联网上的风险。

2.5 核心业务区

服务器区内有很多重要业务的服务器，因为这个区域内的服务系统非常重要，所以在设计时，除了要保证安全性之外，还要考虑到冗余。在配置服务器时，相关工作人员就通过服务器区防火墙配置访问控制策略对其他设备的访问进行限制或隔离。该防火墙与内网的核心交换设备相连，通过冗余设计方式增强系统应用的安全性。此外，服务器使用了冗余设计方式，由此形成本地数据中心和异地容灾数据，当本地数据中心出现故障，可以在数分钟之内将所有的服务端转移到局域的容灾中心，大大提高了系统的可靠性。大部分企业均没有将重要数据进行异地备份，因为如果在异地建设机房需要花费较多的费用，一般的企业也实在无法承担。

3 针对网络安全运维问题的改善策略

3.1 建立重要数据备份机制

因为网络线路中存在一些安全隐患，所以计算机用户应该养成对文件数据进行备份的习惯。同时，网络安全管理部门人员也应该提高自己的警惕性，并构建一个重要数据的备份机制。部门管理人员定期对公司内的所有计算机进行检查、修理和维修，及时进行相关线路安全的排查，并对出现问题的线路进行及时处理，以确保网络安全。在任何情况下，部门工作人员应当培养良好的行为习惯，在任何情况下，都要对重要的数据进行一式多份的处理，以保证数据被完整保存。另外，工作人员一旦发现计算机设备出现故障或者应用问题的时候，应当及时向管理人员进行上报，以提高工作效率。网络安全管理者必须做好防数据丢失的准备，如各部门要备份数据库，记录各种软硬件的性能、安装日期以及与配置有关的参数，这样才能保证在各种场景下，能够及时地还原重要的数据，减少对系统的影响。与此同时，网络部门要按时对公司的计算机进行排查，并对企业内部报废的计算机进行统计，弄清楚各个设备报废的原因或者计算机故障的原因，为员工在计算机使用期间提供专业性建议，从而提升计算机的使用率，确保不会出现重要数据的丢失。

3.2 引入专业人才

在网络安全领域，管理人员招募专业人员，组建网络安全部门，以解决企业网络安全中存在的问题。（1）网络安全管理部门需要建立专业网络安全人才培养机制：与高校、职业培训机构等合作，建立网络安全人才培养计划，为网络安全人才培养提供有效途径，并且根据企业需求进行产学研合作。（2）持续开展技能培训：定期进行网络安全运维人员的技能培训和岗位培训，使其不断提升专业能力和技能水平，适应不断变化的网络安全环境。（3）积极加强对人才的吸引力：提高网络安全运维人员的职业评价和待遇，为人才提供具有竞争力的薪酬和福利，加强对其职业发展的支持。（4）建立人才储备体系：建立网络安全“运维”人才储备库，根据企业需求进行精准匹配，定期进行人才储备库管理，保持人才资源的持续补充。（5）引入人才评估机制：建立网络安全运维人才绩效评估机制，通过定期绩效考核，激励员工工作的积极性和创造性，提高组织的战斗力。（6）重视培训：网络安全“运维”相关机构还须重视对现有员工的培训和提升，以使其具备更强的技术能力和应对能力。（7）加强合作与交流：企业还需要加强与行业、学术界等相关领域的合作与交流，吸纳最新的技术和经验，提升整个行业的水平和实力。

4 结语

综上所述，文章以“一个中心+三重防护”为基础，建立了一套高水平的网络安全防御体系，以满足等保2.0的要求。网络工作人员在网络运维工作中一定要有零信任的意识，例如防火墙的访问控制策略，需要在配置后定期进行梳理工作。网络安全运维要运维和管理两手抓，不能仅依赖于管理，给出相应的管理文件，但是没有依据制度来执行，这将导致运维工作越来越难、越来越复杂。为了能够真正地提高企业的网络安全运营管理水平，提高企业计算机网络信息系统的安全防护级别，企业应建立一个全面的网络安全管理体系，运维人员严格按照管理体系进行运维工作，提高其安全防护能力，减少网络攻击的风险，从而实现企业网络信息系统的安全稳定运行。

参考文献

［1］姜可.我国网络安全运维存在的隐患及改善策略［J］.无线互联科技，2022（3）：19-20.

［2］裴建廷，于谦，孙斌，等.基于等保2.0高校网络安全主动防御体系建设探析［J］.信息通信，2020（2）：166-167.

［3］郭晓宇.企業信息网络安全管理的建设与运维研究［J］.现代信息科技，2022（6）：133-135，140.

（編辑 王雪芬）

Network security operation and maintenance based on graded protection evaluation 2.0

Liu  Yexiang

（Jiangsu Golden Shield Detection Technology Co.， Ltd.， Nanjing 210042， China）

Abstract： The graded protection evaluation 2.0 standard， as the most cutting-edge detection standard for current network security， has a very authoritative ability to detect network security issues. In terms of network operation and maintenance， most operation and maintenance personnel have certain risks in their work and cannot effectively carry out security protection. This article is based on the graded protection evaluation 2.0 standard to find weaknesses in security operations and maintenance. The network security operation and maintenance based on the graded protection evaluation 2.0 standard is currently the most effective and secure network security management mode. Therefore， we must conscientiously do a good job in the network security operation and maintenance work， so that our information network system can be stable and sustainable development.

Key words： network security operation and maintenance;graded protection evaluation 2.0; information construction