浅论环保专网网络安全保障建设

时间:2022-11-14 11:36:22

导语:浅论环保专网网络安全保障建设一文来源于网友上传,不代表本站观点,若需要原创文章可咨询客服老师,欢迎参考。

浅论环保专网网络安全保障建设

摘要:目前覆盖全国的部-省-市-县四级环保机构的业务专网已是环保系统重要的网络支撑,视频会议、电子公文传输、污染源自动监控等重要应用系统运行于该网络。要加强网络的日常监控,出现断网或拥塞等情况应及时处理,保障网络畅通。重视网络与信息安全,认真排查网络安全隐患,防止因各种软硬件故障、病毒侵袭破坏等原因导致系统崩溃和网络瘫痪。如何更好的保障环保专网及业务系统的稳定运维,应该从技术层面和管理层面去管理网络,其中技术层面有物理支持环境安全、网络和通信、主机环境安全、应用系统、数据备份等;管理层面分为安全管理制度和运维安全管理。

关键词:环保专网;网络安全:管理运维

一、加强网络安全保障体系建设

在网络安全保障体系建设中首先要梳理资产了解网络现状,能发现问题,预防风险并能跟踪审计,从技术层面和管理层面进行建设。技术层面主要考虑的是:物理支撑环境、网络和通信、主机环境安全、应用系统、数据备份;管理层面:安全管理制度、运维安全管理。安全策略:检查防火墙策略是否开启了严格访问控制(最小化授权),检查IPS/WAF/防毒墙/、邮件网关策略是否防护了相关设备;安全检测:检查IDS系统/APT设备检测记录、分析内部威胁情况,检查准入系统,各终端是否接入平台,是否有违规接入和非法外联,检查边界防护设备日志(FW/IPS/AV/WAF/邮件网关),分析是否有外部攻击行为;安全审计:检查设备是否开启日志功能,并接入日志审计系统,关联分析,检查各设备是否接入IT运维管理系统,检查各设备是否通过堡垒机进行运维,分析上网行为系统和流量回溯系统,审核用户行为和服务器访问状况;设备防护:检查设备是否开启身份鉴别,检查设备是否限制了管理地址,检查设备是否开启了密码策略和账号锁定策略,检查设备是否采用加密管理,检查设备是否建立了分级账户。网络结构安全:是否采用了弹性网络架构(HA、虚拟化、双链路)、是否开启了网络优化(DHCP、BPDU、禁用无关协议)、绘制真实拓扑结构,分区分域设计、是否制定了网络规划。访问控制:各区域边界是否部署应用级防火墙、网站边界是否有抗DOS攻击系统、外部访问是否进行VPN加密传输、内外网互通是否部署网闸。安全审计:是否部署网络回溯系统、是否部署上网行为管理、是否部署IT运维管理、是否部署堡垒机、是否日志审计系统。边界完整性检查:是否部署网络准入系统、是否部署终端准入系统,非法外联检测。入侵防范:网络边界是否部署IPS(防火墙模块)、是否在关键网络部署IDS、是否部署未知威胁检测APT系统。恶意代码防范:是否部署防毒墙、网站边界是否部署WAF、网页防篡改、邮件系统是否部署邮件防护网关(垃圾/恶意邮件)。

二、在日常网络管理工作中需要注意的地方

(一)网络安全自查。首先要对基层设施如机房设备记录表、检查机房制度清单表、出入机房登记表进行检查。还应该对网络安全保障体系自查,如核心设备是否冗余部署、各网络边界是否部署了应用级防火墙、是否部署上网行为管理硬件设备、是否部署终端安全管理系统、是否部署安全网闸等。我们还要做好终端的准入控制,包括身份鉴别和健康状态检查,关闭无用的交换机端口,对于无线接入网络要做到无线AP和核心交换机之间的安全隔离,也就是部署应用级防火墙。(二)系统弱口令的问题。通过专业设备进行系统弱口令扫描,杜绝弱口令的问题,尤其是系统在建设期内程序员为了方便管理设置的弱口令,在系统正式上线后是否还没进行更改。(三)系统漏洞问题。为什么我们会受到攻击,是因为我们本身存在漏洞,有可以被利用的点。如近期爆发的勒索病毒,国内多行业遭受勒索攻击,看似安全的内网或专网平台,依然受到攻击,表明多数行业的服务器及终端存在着安全漏洞。因此需要定期进行漏洞扫描,及时掌握系统漏洞,并进行修补。这个可以算是事先的安全防护。漏洞扫描主要分为两类,一类是系统漏洞扫描,主要针对系统平台和数据库、中间件等,包括发现系统平台存在的安全漏洞、安全配置问题、中间件系统安全漏洞、检查系统存在的弱口令和收集系统不必要开放的帐号、服务、端口等等。另一类是WEB应用漏洞扫描,主要针对WEB应用平台,包括定位应用系统的漏洞,网页挂马检测和SQL注入攻击检测等等。

三、端口开放问题

对于当前环保系统网络建设情况而言说,通过内部进行的攻击比较多,目前部署的防火墙多为边界式防火墙,它只能防护外界的非授权访问,对于单位内部不适用。主机防火墙可以在很大程度上防御来自单位网内部的攻击,主要用来保护主机(个人PC、服务器等),主机防火墙的目的是严格控制主机上开放的端口,只准访问经过授权的端口,主要是防护内部的流量。尤其是单位网站系统建议只开启80端口。

参考文献:

[1]葛玮谢坚刘斌.基于终端的计算机网络防御体系技术小析《江西电力职业技术学院学报》

[2]吴鑫.终端安全准入控制技术的比较研究《信息安全与通信保密》

[3]王琦.社会主义学院无线网络建设探析《湖北省社会主义学院学报》

[4]张喜瑞.政府机关网络安全建设中私接WiFi设备的防范研究《网络安全技术与应用》

作者:许飞 单位:张家口市环境信息中心