淺論環保專網網絡安全保障建設

時間:2022-11-14 11:36:22

導語:淺論環保專網網絡安全保障建設一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

淺論環保專網網絡安全保障建設

摘要:目前覆蓋全國的部-省-市-縣四級環保機構的業務專網已是環保系統重要的網絡支撐,視頻會議、電子公文傳輸、污染源自動監控等重要應用系統運行于該網絡。要加強網絡的日常監控,出現斷網或擁塞等情況應及時處理,保障網絡暢通。重視網絡與信息安全,認真排查網絡安全隱患,防止因各種軟硬件故障、病毒侵襲破壞等原因導致系統崩潰和網絡癱瘓。如何更好的保障環保專網及業務系統的穩定運維,應該從技術層面和管理層面去管理網絡,其中技術層面有物理支持環境安全、網絡和通信、主機環境安全、應用系統、數據備份等;管理層面分為安全管理制度和運維安全管理。

關鍵詞:環保專網;網絡安全:管理運維

一、加強網絡安全保障體系建設

在網絡安全保障體系建設中首先要梳理資產了解網絡現狀,能發現問題,預防風險并能跟蹤審計,從技術層面和管理層面進行建設。技術層面主要考慮的是:物理支撐環境、網絡和通信、主機環境安全、應用系統、數據備份;管理層面:安全管理制度、運維安全管理。安全策略:檢查防火墻策略是否開啟了嚴格訪問控制(最小化授權),檢查IPS/WAF/防毒墻/、郵件網關策略是否防護了相關設備;安全檢測:檢查IDS系統/APT設備檢測記錄、分析內部威脅情況,檢查準入系統,各終端是否接入平臺,是否有違規接入和非法外聯,檢查邊界防護設備日志(FW/IPS/AV/WAF/郵件網關),分析是否有外部攻擊行為;安全審計:檢查設備是否開啟日志功能,并接入日志審計系統,關聯分析,檢查各設備是否接入IT運維管理系統,檢查各設備是否通過堡壘機進行運維,分析上網行為系統和流量回溯系統,審核用戶行為和服務器訪問狀況;設備防護:檢查設備是否開啟身份鑒別,檢查設備是否限制了管理地址,檢查設備是否開啟了密碼策略和賬號鎖定策略,檢查設備是否采用加密管理,檢查設備是否建立了分級賬戶。網絡結構安全:是否采用了彈性網絡架構(HA、虛擬化、雙鏈路)、是否開啟了網絡優化(DHCP、BPDU、禁用無關協議)、繪制真實拓撲結構,分區分域設計、是否制定了網絡規劃。訪問控制:各區域邊界是否部署應用級防火墻、網站邊界是否有抗DOS攻擊系統、外部訪問是否進行VPN加密傳輸、內外網互通是否部署網閘。安全審計:是否部署網絡回溯系統、是否部署上網行為管理、是否部署IT運維管理、是否部署堡壘機、是否日志審計系統。邊界完整性檢查:是否部署網絡準入系統、是否部署終端準入系統,非法外聯檢測。入侵防范:網絡邊界是否部署IPS(防火墻模塊)、是否在關鍵網絡部署IDS、是否部署未知威脅檢測APT系統。惡意代碼防范:是否部署防毒墻、網站邊界是否部署WAF、網頁防篡改、郵件系統是否部署郵件防護網關(垃圾/惡意郵件)。

二、在日常網絡管理工作中需要注意的地方

(一)網絡安全自查。首先要對基層設施如機房設備記錄表、檢查機房制度清單表、出入機房登記表進行檢查。還應該對網絡安全保障體系自查,如核心設備是否冗余部署、各網絡邊界是否部署了應用級防火墻、是否部署上網行為管理硬件設備、是否部署終端安全管理系統、是否部署安全網閘等。我們還要做好終端的準入控制,包括身份鑒別和健康狀態檢查,關閉無用的交換機端口,對于無線接入網絡要做到無線AP和核心交換機之間的安全隔離,也就是部署應用級防火墻。(二)系統弱口令的問題。通過專業設備進行系統弱口令掃描,杜絕弱口令的問題,尤其是系統在建設期內程序員為了方便管理設置的弱口令,在系統正式上線后是否還沒進行更改。(三)系統漏洞問題。為什么我們會受到攻擊,是因為我們本身存在漏洞,有可以被利用的點。如近期爆發的勒索病毒,國內多行業遭受勒索攻擊,看似安全的內網或專網平臺,依然受到攻擊,表明多數行業的服務器及終端存在著安全漏洞。因此需要定期進行漏洞掃描,及時掌握系統漏洞,并進行修補。這個可以算是事先的安全防護。漏洞掃描主要分為兩類,一類是系統漏洞掃描,主要針對系統平臺和數據庫、中間件等,包括發現系統平臺存在的安全漏洞、安全配置問題、中間件系統安全漏洞、檢查系統存在的弱口令和收集系統不必要開放的帳號、服務、端口等等。另一類是WEB應用漏洞掃描,主要針對WEB應用平臺,包括定位應用系統的漏洞,網頁掛馬檢測和SQL注入攻擊檢測等等。

三、端口開放問題

對于當前環保系統網絡建設情況而言說,通過內部進行的攻擊比較多,目前部署的防火墻多為邊界式防火墻,它只能防護外界的非授權訪問,對于單位內部不適用。主機防火墻可以在很大程度上防御來自單位網內部的攻擊,主要用來保護主機(個人PC、服務器等),主機防火墻的目的是嚴格控制主機上開放的端口,只準訪問經過授權的端口,主要是防護內部的流量。尤其是單位網站系統建議只開啟80端口。

參考文獻:

[1]葛瑋謝堅劉斌.基于終端的計算機網絡防御體系技術小析《江西電力職業技術學院學報》

[2]吳鑫.終端安全準入控制技術的比較研究《信息安全與通信保密》

[3]王琦.社會主義學院無線網絡建設探析《湖北省社會主義學院學報》

[4]張喜瑞.政府機關網絡安全建設中私接WiFi設備的防范研究《網絡安全技術與應用》

作者:許飛 單位:張家口市環境信息中心