网络安全工作目标、基本要求、工作任务及保护措施

网络安全工作目标、基本要求、

工作任务及保护措施

一、工作目标、基本要求

网络安全工作的目标是：

①进不来，②拿不走，③看不懂，④改不了，⑤跑不了。

二、工作任务及保护措施

1.进不来

这个是安全工作的第一级目标，也是发生在我们网络的边界的安全工作。这是我们内部网络的大门。把好这大门的第一道关，总共有两道出口。

①网络出口边界

网络是通往互联网的一道大门。我们需要从互联网上获取有价值内容，也把我们有价值的内容分享到互联网上。这里是病毒、攻击的的一条高速公路。要保障这条信息高速公路的安全，需要设立一个防火墙/UTM O防火墙可以设立各种安全策略来阻断非法访问。

②主机出口边界

终端安全：部署一套终端安全管理系统来对终端进行安全管控，包括“防病毒、终端准入”产品。终端准入可以有强制的安全基线，对不安全的终端强制隔离。

终端内部访问：终端访问内部服务器或其他IT资产，需要对网络进行分区域，不同安全区域之间部署区域防火墙, 强制将安全要求不同的区域隔离开。

终端外部访问：终端随意访问不健康的互联网资源，需要上一台上网行为管理来对内部终端进行管控。

以上设备我局已经具备。

运维安全：运维是人对IT资产管理的必要交互。需要上一套堡垒机来进行运维安全管控。这是下一步的工作。

2 .拿不走

拿不走是对进不来的第二级防护工作目标。主要是对我们信息系统的数字资产的防护。是对数据库、重要文件等重要信息的保护。

①加密传输

通过VPN设备来加密我们机构或者在外办公的同事连回公司的网络连接。可以通过SSL加密技术让我们网站对外采用HTTPS 访问。网络运维全部采用加密的SSH、SFTP等来进行。

②权限管控

为了防止数据被非法复制走，必须对本地数据库、重要文件等进行严格的权限管控。能不给复制的权限就不给复制的权限。而且对权限管理细粒度足够细，控制足够严。

③防止黑客程序

为了防止黑客在机器上放木马等黑客程序，这就需要部署防病毒软件或者网络防病毒设备来解决。

④防止内部人员拿走

需要用一套数据防泄密系统。可以严格限制内部人员拷贝数据发送数据。甚至截屏、拍照都可以通过水印来事后追踪。

3.看不懂

看不懂属于第三级安全防护工作目标。数据万一泄露，他们也看不懂。需要用到数据加密技术来解决，技术原理上主要有对称加密、非对称加密、数字证书等。解决方案有：

①数据库加密

数据库的数据统一存储在数据库程序的表空间里。必须采用数据库加密系统对数据库中的敏感字段加密、索引加密。最后对秘钥进行安全管理。

②文档加密

文档加密系统可以对文档的整个生命周期进行管理，对重要文档进行加密。

4.改不了

改不了是第四级安全防护工作目标。技术上，这里需要用到防篡改解决方案。防篡改监测内容通常有进程、文件、注册表、等等。场景通常涉及到网页防篡改、网站防篡改、服务器防篡改。

5 .跑不了

跑不了是最后一道防线的安全工作。这也是最低要求，必须有技术手段的记录信息，可以通过记录来追踪。中国今年来对网络安全高度重视，出台的的《网络安全法》中对网络日志的保存期限已明确要求不低于六个月。我们要做好这项安全工作，这也是接下来我局将要进行的工作，可以采用以下方法：

①：自己搭建日志服务器

由日志服务器统一收集所有网络设备的日志。采集方式可以

通过SNMP Trap、WMI、HTTPS都可以。

②：购买一套日志审计系统

可以完成日志采集、日志归集、日志存储，日志分析告警等等功能。还有非常完善的报表系统给你展示当前的网络设备运行情况。采集方式基本也都相同。日志分析策略还可以定制一些攻击模型策略，可以通过日志尽快发现攻击。

③：购买一套日志大数据产品

日志大数据是结合了日志采集和大数据分析，通过大数据分析可以在大量的日志中做趋势分析，做前瞻性决策。

综上，在这些年中国在网络安全方面非常重视。不仅出台了《网络安全法》对网络安全作了法律上的规定。还每年组织护网行动，采用攻防对抗来提升单位的网络安全能力。等保2.0已经出台，我局将严格按照等保2.0的有关要求开展等保工作，确保网络安全。