導(dǎo)語(yǔ)：淺論環(huán)保專網(wǎng)網(wǎng)絡(luò)安全保障建設(shè)一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：目前覆蓋全國(guó)的部-省-市-縣四級(jí)環(huán)保機(jī)構(gòu)的業(yè)務(wù)專網(wǎng)已是環(huán)保系統(tǒng)重要的網(wǎng)絡(luò)支撐，視頻會(huì)議、電子公文傳輸、污染源自動(dòng)監(jiān)控等重要應(yīng)用系統(tǒng)運(yùn)行于該網(wǎng)絡(luò)。要加強(qiáng)網(wǎng)絡(luò)的日常監(jiān)控，出現(xiàn)斷網(wǎng)或擁塞等情況應(yīng)及時(shí)處理，保障網(wǎng)絡(luò)暢通。重視網(wǎng)絡(luò)與信息安全，認(rèn)真排查網(wǎng)絡(luò)安全隱患，防止因各種軟硬件故障、病毒侵襲破壞等原因?qū)е孪到y(tǒng)崩潰和網(wǎng)絡(luò)癱瘓。如何更好的保障環(huán)保專網(wǎng)及業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)維，應(yīng)該從技術(shù)層面和管理層面去管理網(wǎng)絡(luò)，其中技術(shù)層面有物理支持環(huán)境安全、網(wǎng)絡(luò)和通信、主機(jī)環(huán)境安全、應(yīng)用系統(tǒng)、數(shù)據(jù)備份等；管理層面分為安全管理制度和運(yùn)維安全管理。

關(guān)鍵詞：環(huán)保專網(wǎng)；網(wǎng)絡(luò)安全：管理運(yùn)維

一、加強(qiáng)網(wǎng)絡(luò)安全保障體系建設(shè)

在網(wǎng)絡(luò)安全保障體系建設(shè)中首先要梳理資產(chǎn)了解網(wǎng)絡(luò)現(xiàn)狀，能發(fā)現(xiàn)問(wèn)題，預(yù)防風(fēng)險(xiǎn)并能跟蹤審計(jì)，從技術(shù)層面和管理層面進(jìn)行建設(shè)。技術(shù)層面主要考慮的是：物理支撐環(huán)境、網(wǎng)絡(luò)和通信、主機(jī)環(huán)境安全、應(yīng)用系統(tǒng)、數(shù)據(jù)備份；管理層面：安全管理制度、運(yùn)維安全管理。安全策略：檢查防火墻策略是否開啟了嚴(yán)格訪問(wèn)控制（最小化授權(quán)），檢查IPS/WAF/防毒墻/、郵件網(wǎng)關(guān)策略是否防護(hù)了相關(guān)設(shè)備；安全檢測(cè)：檢查IDS系統(tǒng)/APT設(shè)備檢測(cè)記錄、分析內(nèi)部威脅情況，檢查準(zhǔn)入系統(tǒng)，各終端是否接入平臺(tái)，是否有違規(guī)接入和非法外聯(lián)，檢查邊界防護(hù)設(shè)備日志（FW/IPS/AV/WAF/郵件網(wǎng)關(guān)），分析是否有外部攻擊行為；安全審計(jì)：檢查設(shè)備是否開啟日志功能，并接入日志審計(jì)系統(tǒng)，關(guān)聯(lián)分析，檢查各設(shè)備是否接入IT運(yùn)維管理系統(tǒng)，檢查各設(shè)備是否通過(guò)堡壘機(jī)進(jìn)行運(yùn)維，分析上網(wǎng)行為系統(tǒng)和流量回溯系統(tǒng)，審核用戶行為和服務(wù)器訪問(wèn)狀況；設(shè)備防護(hù)：檢查設(shè)備是否開啟身份鑒別，檢查設(shè)備是否限制了管理地址，檢查設(shè)備是否開啟了密碼策略和賬號(hào)鎖定策略，檢查設(shè)備是否采用加密管理，檢查設(shè)備是否建立了分級(jí)賬戶。網(wǎng)絡(luò)結(jié)構(gòu)安全：是否采用了彈性網(wǎng)絡(luò)架構(gòu)（HA、虛擬化、雙鏈路）、是否開啟了網(wǎng)絡(luò)優(yōu)化（DHCP、BPDU、禁用無(wú)關(guān)協(xié)議）、繪制真實(shí)拓?fù)浣Y(jié)構(gòu)，分區(qū)分域設(shè)計(jì)、是否制定了網(wǎng)絡(luò)規(guī)劃。訪問(wèn)控制：各區(qū)域邊界是否部署應(yīng)用級(jí)防火墻、網(wǎng)站邊界是否有抗DOS攻擊系統(tǒng)、外部訪問(wèn)是否進(jìn)行VPN加密傳輸、內(nèi)外網(wǎng)互通是否部署網(wǎng)閘。安全審計(jì)：是否部署網(wǎng)絡(luò)回溯系統(tǒng)、是否部署上網(wǎng)行為管理、是否部署IT運(yùn)維管理、是否部署堡壘機(jī)、是否日志審計(jì)系統(tǒng)。邊界完整性檢查：是否部署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)、是否部署終端準(zhǔn)入系統(tǒng)，非法外聯(lián)檢測(cè)。入侵防范：網(wǎng)絡(luò)邊界是否部署IPS（防火墻模塊）、是否在關(guān)鍵網(wǎng)絡(luò)部署IDS、是否部署未知威脅檢測(cè)APT系統(tǒng)。惡意代碼防范：是否部署防毒墻、網(wǎng)站邊界是否部署WAF、網(wǎng)頁(yè)防篡改、郵件系統(tǒng)是否部署郵件防護(hù)網(wǎng)關(guān)（垃圾/惡意郵件）。

二、在日常網(wǎng)絡(luò)管理工作中需要注意的地方

（一）網(wǎng)絡(luò)安全自查。首先要對(duì)基層設(shè)施如機(jī)房設(shè)備記錄表、檢查機(jī)房制度清單表、出入機(jī)房登記表進(jìn)行檢查。還應(yīng)該對(duì)網(wǎng)絡(luò)安全保障體系自查，如核心設(shè)備是否冗余部署、各網(wǎng)絡(luò)邊界是否部署了應(yīng)用級(jí)防火墻、是否部署上網(wǎng)行為管理硬件設(shè)備、是否部署終端安全管理系統(tǒng)、是否部署安全網(wǎng)閘等。我們還要做好終端的準(zhǔn)入控制，包括身份鑒別和健康狀態(tài)檢查，關(guān)閉無(wú)用的交換機(jī)端口，對(duì)于無(wú)線接入網(wǎng)絡(luò)要做到無(wú)線AP和核心交換機(jī)之間的安全隔離，也就是部署應(yīng)用級(jí)防火墻。（二）系統(tǒng)弱口令的問(wèn)題。通過(guò)專業(yè)設(shè)備進(jìn)行系統(tǒng)弱口令掃描，杜絕弱口令的問(wèn)題，尤其是系統(tǒng)在建設(shè)期內(nèi)程序員為了方便管理設(shè)置的弱口令，在系統(tǒng)正式上線后是否還沒(méi)進(jìn)行更改。（三）系統(tǒng)漏洞問(wèn)題。為什么我們會(huì)受到攻擊，是因?yàn)槲覀儽旧泶嬖诼┒?，有可以被利用的點(diǎn)。如近期爆發(fā)的勒索病毒，國(guó)內(nèi)多行業(yè)遭受勒索攻擊，看似安全的內(nèi)網(wǎng)或?qū)＞W(wǎng)平臺(tái)，依然受到攻擊，表明多數(shù)行業(yè)的服務(wù)器及終端存在著安全漏洞。因此需要定期進(jìn)行漏洞掃描，及時(shí)掌握系統(tǒng)漏洞，并進(jìn)行修補(bǔ)。這個(gè)可以算是事先的安全防護(hù)。漏洞掃描主要分為兩類，一類是系統(tǒng)漏洞掃描，主要針對(duì)系統(tǒng)平臺(tái)和數(shù)據(jù)庫(kù)、中間件等，包括發(fā)現(xiàn)系統(tǒng)平臺(tái)存在的安全漏洞、安全配置問(wèn)題、中間件系統(tǒng)安全漏洞、檢查系統(tǒng)存在的弱口令和收集系統(tǒng)不必要開放的帳號(hào)、服務(wù)、端口等等。另一類是WEB應(yīng)用漏洞掃描，主要針對(duì)WEB應(yīng)用平臺(tái)，包括定位應(yīng)用系統(tǒng)的漏洞，網(wǎng)頁(yè)掛馬檢測(cè)和SQL注入攻擊檢測(cè)等等。

三、端口開放問(wèn)題

對(duì)于當(dāng)前環(huán)保系統(tǒng)網(wǎng)絡(luò)建設(shè)情況而言說(shuō)，通過(guò)內(nèi)部進(jìn)行的攻擊比較多，目前部署的防火墻多為邊界式防火墻，它只能防護(hù)外界的非授權(quán)訪問(wèn)，對(duì)于單位內(nèi)部不適用。主機(jī)防火墻可以在很大程度上防御來(lái)自單位網(wǎng)內(nèi)部的攻擊，主要用來(lái)保護(hù)主機(jī)（個(gè)人PC、服務(wù)器等），主機(jī)防火墻的目的是嚴(yán)格控制主機(jī)上開放的端口，只準(zhǔn)訪問(wèn)經(jīng)過(guò)授權(quán)的端口，主要是防護(hù)內(nèi)部的流量。尤其是單位網(wǎng)站系統(tǒng)建議只開啟80端口。

參考文獻(xiàn)：

[1]葛瑋謝堅(jiān)劉斌.基于終端的計(jì)算機(jī)網(wǎng)絡(luò)防御體系技術(shù)小析《江西電力職業(yè)技術(shù)學(xué)院學(xué)報(bào)》

[2]吳鑫.終端安全準(zhǔn)入控制技術(shù)的比較研究《信息安全與通信保密》

[3]王琦.社會(huì)主義學(xué)院無(wú)線網(wǎng)絡(luò)建設(shè)探析《湖北省社會(huì)主義學(xué)院學(xué)報(bào)》

[4]張喜瑞.政府機(jī)關(guān)網(wǎng)絡(luò)安全建設(shè)中私接WiFi設(shè)備的防范研究《網(wǎng)絡(luò)安全技術(shù)與應(yīng)用》

作者:許飛 單位:張家口市環(huán)境信息中心