導語：淺論環(huán)保專網(wǎng)網(wǎng)絡安全保障建設一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：目前覆蓋全國的部-省-市-縣四級環(huán)保機構(gòu)的業(yè)務專網(wǎng)已是環(huán)保系統(tǒng)重要的網(wǎng)絡支撐，視頻會議、電子公文傳輸、污染源自動監(jiān)控等重要應用系統(tǒng)運行于該網(wǎng)絡。要加強網(wǎng)絡的日常監(jiān)控，出現(xiàn)斷網(wǎng)或擁塞等情況應及時處理，保障網(wǎng)絡暢通。重視網(wǎng)絡與信息安全，認真排查網(wǎng)絡安全隱患，防止因各種軟硬件故障、病毒侵襲破壞等原因?qū)е孪到y(tǒng)崩潰和網(wǎng)絡癱瘓。如何更好的保障環(huán)保專網(wǎng)及業(yè)務系統(tǒng)的穩(wěn)定運維，應該從技術層面和管理層面去管理網(wǎng)絡，其中技術層面有物理支持環(huán)境安全、網(wǎng)絡和通信、主機環(huán)境安全、應用系統(tǒng)、數(shù)據(jù)備份等；管理層面分為安全管理制度和運維安全管理。

關鍵詞：環(huán)保專網(wǎng)；網(wǎng)絡安全：管理運維

一、加強網(wǎng)絡安全保障體系建設

在網(wǎng)絡安全保障體系建設中首先要梳理資產(chǎn)了解網(wǎng)絡現(xiàn)狀，能發(fā)現(xiàn)問題，預防風險并能跟蹤審計，從技術層面和管理層面進行建設。技術層面主要考慮的是：物理支撐環(huán)境、網(wǎng)絡和通信、主機環(huán)境安全、應用系統(tǒng)、數(shù)據(jù)備份；管理層面：安全管理制度、運維安全管理。安全策略：檢查防火墻策略是否開啟了嚴格訪問控制（最小化授權(quán)），檢查IPS/WAF/防毒墻/、郵件網(wǎng)關策略是否防護了相關設備；安全檢測：檢查IDS系統(tǒng)/APT設備檢測記錄、分析內(nèi)部威脅情況，檢查準入系統(tǒng)，各終端是否接入平臺，是否有違規(guī)接入和非法外聯(lián)，檢查邊界防護設備日志（FW/IPS/AV/WAF/郵件網(wǎng)關），分析是否有外部攻擊行為；安全審計：檢查設備是否開啟日志功能，并接入日志審計系統(tǒng)，關聯(lián)分析，檢查各設備是否接入IT運維管理系統(tǒng)，檢查各設備是否通過堡壘機進行運維，分析上網(wǎng)行為系統(tǒng)和流量回溯系統(tǒng)，審核用戶行為和服務器訪問狀況；設備防護：檢查設備是否開啟身份鑒別，檢查設備是否限制了管理地址，檢查設備是否開啟了密碼策略和賬號鎖定策略，檢查設備是否采用加密管理，檢查設備是否建立了分級賬戶。網(wǎng)絡結(jié)構(gòu)安全：是否采用了彈性網(wǎng)絡架構(gòu)（HA、虛擬化、雙鏈路）、是否開啟了網(wǎng)絡優(yōu)化（DHCP、BPDU、禁用無關協(xié)議）、繪制真實拓撲結(jié)構(gòu)，分區(qū)分域設計、是否制定了網(wǎng)絡規(guī)劃。訪問控制：各區(qū)域邊界是否部署應用級防火墻、網(wǎng)站邊界是否有抗DOS攻擊系統(tǒng)、外部訪問是否進行VPN加密傳輸、內(nèi)外網(wǎng)互通是否部署網(wǎng)閘。安全審計：是否部署網(wǎng)絡回溯系統(tǒng)、是否部署上網(wǎng)行為管理、是否部署IT運維管理、是否部署堡壘機、是否日志審計系統(tǒng)。邊界完整性檢查：是否部署網(wǎng)絡準入系統(tǒng)、是否部署終端準入系統(tǒng)，非法外聯(lián)檢測。入侵防范：網(wǎng)絡邊界是否部署IPS（防火墻模塊）、是否在關鍵網(wǎng)絡部署IDS、是否部署未知威脅檢測APT系統(tǒng)。惡意代碼防范：是否部署防毒墻、網(wǎng)站邊界是否部署WAF、網(wǎng)頁防篡改、郵件系統(tǒng)是否部署郵件防護網(wǎng)關（垃圾/惡意郵件）。

二、在日常網(wǎng)絡管理工作中需要注意的地方

（一）網(wǎng)絡安全自查。首先要對基層設施如機房設備記錄表、檢查機房制度清單表、出入機房登記表進行檢查。還應該對網(wǎng)絡安全保障體系自查，如核心設備是否冗余部署、各網(wǎng)絡邊界是否部署了應用級防火墻、是否部署上網(wǎng)行為管理硬件設備、是否部署終端安全管理系統(tǒng)、是否部署安全網(wǎng)閘等。我們還要做好終端的準入控制，包括身份鑒別和健康狀態(tài)檢查，關閉無用的交換機端口，對于無線接入網(wǎng)絡要做到無線AP和核心交換機之間的安全隔離，也就是部署應用級防火墻。（二）系統(tǒng)弱口令的問題。通過專業(yè)設備進行系統(tǒng)弱口令掃描，杜絕弱口令的問題，尤其是系統(tǒng)在建設期內(nèi)程序員為了方便管理設置的弱口令，在系統(tǒng)正式上線后是否還沒進行更改。（三）系統(tǒng)漏洞問題。為什么我們會受到攻擊，是因為我們本身存在漏洞，有可以被利用的點。如近期爆發(fā)的勒索病毒，國內(nèi)多行業(yè)遭受勒索攻擊，看似安全的內(nèi)網(wǎng)或?qū)＞W(wǎng)平臺，依然受到攻擊，表明多數(shù)行業(yè)的服務器及終端存在著安全漏洞。因此需要定期進行漏洞掃描，及時掌握系統(tǒng)漏洞，并進行修補。這個可以算是事先的安全防護。漏洞掃描主要分為兩類，一類是系統(tǒng)漏洞掃描，主要針對系統(tǒng)平臺和數(shù)據(jù)庫、中間件等，包括發(fā)現(xiàn)系統(tǒng)平臺存在的安全漏洞、安全配置問題、中間件系統(tǒng)安全漏洞、檢查系統(tǒng)存在的弱口令和收集系統(tǒng)不必要開放的帳號、服務、端口等等。另一類是WEB應用漏洞掃描，主要針對WEB應用平臺，包括定位應用系統(tǒng)的漏洞，網(wǎng)頁掛馬檢測和SQL注入攻擊檢測等等。

三、端口開放問題

對于當前環(huán)保系統(tǒng)網(wǎng)絡建設情況而言說，通過內(nèi)部進行的攻擊比較多，目前部署的防火墻多為邊界式防火墻，它只能防護外界的非授權(quán)訪問，對于單位內(nèi)部不適用。主機防火墻可以在很大程度上防御來自單位網(wǎng)內(nèi)部的攻擊，主要用來保護主機（個人PC、服務器等），主機防火墻的目的是嚴格控制主機上開放的端口，只準訪問經(jīng)過授權(quán)的端口，主要是防護內(nèi)部的流量。尤其是單位網(wǎng)站系統(tǒng)建議只開啟80端口。

參考文獻：

[1]葛瑋謝堅劉斌.基于終端的計算機網(wǎng)絡防御體系技術小析《江西電力職業(yè)技術學院學報》

[2]吳鑫.終端安全準入控制技術的比較研究《信息安全與通信保密》

[3]王琦.社會主義學院無線網(wǎng)絡建設探析《湖北省社會主義學院學報》

[4]張喜瑞.政府機關網(wǎng)絡安全建設中私接WiFi設備的防范研究《網(wǎng)絡安全技術與應用》

作者:許飛 單位:張家口市環(huán)境信息中心