◆黎亞孟

信息安全等級保護(hù)制度在計算機(jī)網(wǎng)絡(luò)建設(shè)中的應(yīng)用研究

◆黎亞孟

（廣西等保安全測評有限公司 廣西 530031）

計算機(jī)網(wǎng)絡(luò)安全是信息安全的前提條件，在互聯(lián)網(wǎng)環(huán)境下，各個領(lǐng)域都在追求信息化的發(fā)展，推動了各個行業(yè)的進(jìn)步。但是信息安全風(fēng)險問題同樣也需要得到重視。信息安全等級保護(hù)制度是我國實行信息安全保護(hù)的根本制度，依托這一制度，有關(guān)部門也發(fā)布了一系列的政策措施，在計算機(jī)網(wǎng)絡(luò)建設(shè)工作中，借助于信息安全等級保護(hù)制度構(gòu)建網(wǎng)絡(luò)安全體系，以提高網(wǎng)絡(luò)安全保護(hù)質(zhì)量，更好推動網(wǎng)絡(luò)信息化的健康發(fā)展。

計算機(jī)網(wǎng)絡(luò)；信息安全；等級保護(hù)制度；應(yīng)用

實施信息安全等級保護(hù)制度是為更好的保障國家及社會信息安全，有關(guān)部門依托等級保護(hù)制度發(fā)布了一系列的政策措施，為信息安全保護(hù)指明了方向。實施等級保護(hù)，是計算機(jī)網(wǎng)絡(luò)安全實現(xiàn)行政等級安全管理的重要保障，信息安全等級保護(hù)所包含的內(nèi)容非常全面和明確，在計算機(jī)網(wǎng)絡(luò)建設(shè)中應(yīng)用信息安全等級保護(hù)制度具有重要意義。

1 計算機(jī)網(wǎng)絡(luò)實施安全等級保護(hù)的重要性

在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中，硬件設(shè)備和網(wǎng)絡(luò)協(xié)議是實施信息安全保護(hù)的兩個重要內(nèi)容，但是從現(xiàn)階段的網(wǎng)絡(luò)系統(tǒng)安全保護(hù)管理的實際情況看來，有關(guān)計算機(jī)網(wǎng)絡(luò)安全的保護(hù)還存在一定的不足，不管是在硬件的安全配置還是在網(wǎng)絡(luò)軟件代碼中都還有缺陷，這就使得計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中有安全漏洞，容易遭受攻擊，泄漏信息。網(wǎng)絡(luò)的信息安全得不到有效的保證，就會對社會各群體甚至是國家層面的利益造成極大的損害。在當(dāng)下的網(wǎng)絡(luò)發(fā)展環(huán)境中，網(wǎng)絡(luò)信息安全的保護(hù)需要充分重視，并構(gòu)建出一套有效的安全保護(hù)方法。在信息安全等級保護(hù)制度下，建立網(wǎng)絡(luò)安全等級保護(hù)體系對于維護(hù)網(wǎng)絡(luò)信息安全有非常重要的作用。另外，信息安全等級保護(hù)是一個完整的體系，對網(wǎng)絡(luò)信息安全以及國家的現(xiàn)代化建設(shè)都有重要的影響，國家的有關(guān)法律法規(guī)中宏觀規(guī)劃了國家信息安全，而在制度的指導(dǎo)下，我國的網(wǎng)絡(luò)信息安全保護(hù)技術(shù)在不斷的發(fā)展進(jìn)步。在等級保護(hù)制度下搭建計算機(jī)網(wǎng)絡(luò)，使系統(tǒng)基礎(chǔ)設(shè)施安全得到了有效的保障，提高了國家信息安全管理的水平。

2 信息安全等級保護(hù)制度下的計算機(jī)網(wǎng)絡(luò)搭建

（1）對網(wǎng)絡(luò)訪問邊界的設(shè)置進(jìn)行控制

網(wǎng)絡(luò)訪問邊界可以依據(jù)“云計算”網(wǎng)絡(luò)應(yīng)用平臺進(jìn)行劃分，對網(wǎng)絡(luò)訪問實施控制可以從三種網(wǎng)絡(luò)邊界著手，也就是虛擬機(jī)間邊界、網(wǎng)絡(luò)內(nèi)“物理機(jī)”間邊界以及面向互聯(lián)網(wǎng)邊界。計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的互聯(lián)網(wǎng)邊界是實施安全保護(hù)的重要防線，由于所有的網(wǎng)絡(luò)分析數(shù)據(jù)流都在邊界集合，因此需要重點進(jìn)行管理和監(jiān)控。結(jié)合網(wǎng)絡(luò)中的相關(guān)業(yè)務(wù)需求數(shù)量，對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行仔細(xì)的訪問控制，依據(jù)系統(tǒng)中規(guī)定的標(biāo)準(zhǔn)來控制數(shù)據(jù)的流入和流出。計算機(jī)網(wǎng)絡(luò)系統(tǒng)是由不同的功能模塊組合而成，要想使各部分之間保持獨(dú)立且安全，就需要對網(wǎng)絡(luò)內(nèi)部的自身安全風(fēng)險進(jìn)行有效的控制。網(wǎng)絡(luò)的不同區(qū)段下，業(yè)務(wù)面向的對象以及安全等級都存在差異，所以訪問控制的需求也會存在不同。為了能夠使邊界訪問控制得到更好的效果，需要依照具體的業(yè)務(wù)需求，在網(wǎng)絡(luò)內(nèi)的物理邊界嚴(yán)格的設(shè)置安全保護(hù)，并且對業(yè)務(wù)所需流量進(jìn)行明確的規(guī)定。

虛擬機(jī)間的通信通常都是在“機(jī)間”內(nèi)部獨(dú)立完成，因此對于數(shù)據(jù)交換過程的安全隱蔽性外部不能進(jìn)行良好的檢查，這樣對于虛擬機(jī)間的信息安全是存在較大的風(fēng)險的，很容易遭到攻擊。而針對虛擬機(jī)的信息安全保護(hù)可以在網(wǎng)絡(luò)服務(wù)器內(nèi)設(shè)置安全保護(hù)軟件，這樣就可以直接保護(hù)虛擬機(jī)信息安全。使用開放端AUI網(wǎng)絡(luò)接口在虛擬交換機(jī)前輸入全部的交換流量，然后接入到安全保護(hù)軟件中，這樣進(jìn)行重復(fù)檢查維護(hù)，這個過程中虛擬機(jī)間也會依照不同的網(wǎng)絡(luò)需求，實現(xiàn)分類，進(jìn)入到不同屬性的安全范圍內(nèi)，通過訪問邊界設(shè)置和等級隔離保護(hù)達(dá)到信息安全的目標(biāo)。構(gòu)建計算機(jī)網(wǎng)絡(luò)時，虛擬保護(hù)技術(shù)的應(yīng)用主要是面對計算機(jī)虛擬環(huán)境中的信息安全問題，通過虛擬化的以太網(wǎng)入口“集合器”技術(shù)和邊界虛擬橋等，使虛擬機(jī)內(nèi)部的流量信息接入到外部設(shè)備中，這樣外部的設(shè)備在進(jìn)行流量交換前，會借助于一定的技術(shù)手段，使流量在一個安全環(huán)境內(nèi)進(jìn)行多次的檢測，在確定檢測安全性達(dá)到標(biāo)準(zhǔn)后再進(jìn)行傳輸。

（2）對網(wǎng)絡(luò)安全標(biāo)記等級進(jìn)行編碼

計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的信息如果要想更好地確定其安全性，就需要規(guī)范科學(xué)的設(shè)置安全標(biāo)記。通常來講，IPSO長度為25字節(jié)，所以安全標(biāo)記的長度字節(jié)最大就是25，設(shè)置安全標(biāo)記，就需要以達(dá)到IPSO方便攜帶為目標(biāo)。安全標(biāo)記等級中的內(nèi)容主要有安全范圍、安全等級、信任度閾值以及特殊策略，其中的特殊策略可選，計算機(jī)網(wǎng)絡(luò)中的信息在被安全標(biāo)記時，經(jīng)過特殊策略標(biāo)記的對象是網(wǎng)絡(luò)唯一的ID，而相反的，如果安全標(biāo)記是客體時，就無須特殊策略。

安全標(biāo)記等級的編碼主要包含以下幾方面：首先是“類型字段”，長度為1字節(jié)，主要的作用是對IPSO攜帶的數(shù)據(jù)信息進(jìn)行安全標(biāo)記，這樣就會與網(wǎng)絡(luò)中的其他信息數(shù)據(jù)形成區(qū)別。另外是標(biāo)記長度，長度為1字節(jié)，主要是對網(wǎng)絡(luò)中實際的信息安全標(biāo)記總長度進(jìn)行標(biāo)記。再者是安全等級字段，長度為2字節(jié)，信息主體進(jìn)行安全標(biāo)記時，安全等級就是主體安全等級，而如果是客體進(jìn)行安全標(biāo)記時，安全等級是數(shù)據(jù)流中攜帶數(shù)據(jù)的安全級別。還有是范圍字段，長度為4字節(jié)，可以對經(jīng)過的全部區(qū)域進(jìn)行標(biāo)記。再有是信任度閾值，長度為2字節(jié)，對攜帶數(shù)據(jù)流或者是主體信任度閾值進(jìn)行標(biāo)記，在信任度范圍內(nèi)就基本上安全。最后是特殊策略，長度為10字節(jié)，字段較長，主要是對部分特殊數(shù)據(jù)信息訪問進(jìn)行標(biāo)記。在網(wǎng)絡(luò)的安全標(biāo)記中，安全等級發(fā)揮重要的作用，主要是對計算機(jī)網(wǎng)絡(luò)中的有關(guān)元素等級進(jìn)行標(biāo)記。通常來講，安全等級按照機(jī)密程度的不同分為不同類型，包括公開、內(nèi)文、秘密、機(jī)密以及絕密。不同的安全等級其編碼表示不同，通過簡便易操作的編碼方式，能夠使網(wǎng)絡(luò)安全標(biāo)記更好地進(jìn)行。

（3）對網(wǎng)絡(luò)存儲數(shù)據(jù)的保密性進(jìn)行提升

計算機(jī)網(wǎng)絡(luò)系統(tǒng)中傳輸以及存儲的重要數(shù)據(jù)信息需要保證其保密性，這就需要有完整的密碼體系，通過加密保護(hù)的方式，使數(shù)據(jù)信息得到動態(tài)化管理，同時分配到相應(yīng)的網(wǎng)絡(luò)中。依照網(wǎng)絡(luò)編碼中的規(guī)則定義，對數(shù)據(jù)信息進(jìn)行分配時，需要對多余的信息加以清除，避免出現(xiàn)數(shù)據(jù)信息泄漏。審查計算機(jī)網(wǎng)絡(luò)安全時，主要包含系統(tǒng)內(nèi)所有的有需求的數(shù)據(jù)信息對象，像云平臺、路由器、防火墻等。計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的首要防護(hù)就是通過訪問控制進(jìn)出的數(shù)據(jù)信息，依照業(yè)務(wù)需求的不同以及程序規(guī)定進(jìn)行網(wǎng)絡(luò)訪問控制。接著進(jìn)行的安全保護(hù)是對網(wǎng)絡(luò)入侵情況進(jìn)行檢查，這樣網(wǎng)絡(luò)范圍內(nèi)的全部數(shù)據(jù)流都會得到監(jiān)控，通過重點分析數(shù)據(jù)流中存在的異常，如果數(shù)據(jù)流中存在異常，對網(wǎng)絡(luò)入侵的檢查就會對其進(jìn)行信息記錄，同時發(fā)出預(yù)警，這樣來實現(xiàn)信息安全保護(hù)。

網(wǎng)絡(luò)系統(tǒng)要避免受攻擊，同時對于網(wǎng)絡(luò)中存在的新型攻擊行為可以主動分析，就需要等級保護(hù)實現(xiàn)入侵防范的標(biāo)準(zhǔn)控制。首先在網(wǎng)絡(luò)中的關(guān)鍵節(jié)點設(shè)置檢查設(shè)備，避免來自計算機(jī)網(wǎng)絡(luò)內(nèi)外部的攻擊。另外，要設(shè)置網(wǎng)絡(luò)攻擊行為的分析設(shè)施，對于網(wǎng)絡(luò)中存在的新型攻擊行為規(guī)律進(jìn)行分析和掌握，如果計算機(jī)網(wǎng)絡(luò)受到攻擊，要能夠?qū)舻臅r間、類型、IP、目的等及時進(jìn)行記錄，并且實現(xiàn)自動報警。另一方面，網(wǎng)絡(luò)內(nèi)部的安全還需要注意垃圾郵件及惡意代碼的防范，針對這一方面的等級保護(hù)控制，首先是在網(wǎng)絡(luò)中的關(guān)鍵節(jié)點設(shè)置惡意代碼防護(hù)機(jī)制，對檢測到的惡意代碼進(jìn)行清理。等級安全保護(hù)管理實現(xiàn)惡意代碼的安全防范，第一要對關(guān)鍵節(jié)點中設(shè)置的防護(hù)機(jī)制進(jìn)行核查，同時明確防護(hù)機(jī)制的運(yùn)行是否正常。第二要審查網(wǎng)絡(luò)通信層面和設(shè)備計算層面之間的惡意代碼防范是否具備協(xié)同性。其次是在網(wǎng)絡(luò)的關(guān)鍵節(jié)點設(shè)置垃圾郵件的防護(hù)機(jī)制，對檢測到的垃圾郵件進(jìn)行清除。首先要明確郵件系統(tǒng)是否為購買或自建，如果是自建系統(tǒng)，需要對關(guān)鍵節(jié)點中設(shè)置的防護(hù)機(jī)制進(jìn)行審查，同時明確機(jī)制運(yùn)行是否正常。另外，要對防護(hù)機(jī)制中的數(shù)據(jù)庫最新信息加以明確。如果是購買第三方服務(wù)，系統(tǒng)郵件的信息安全保護(hù)管理需要協(xié)同服務(wù)的供應(yīng)方，其審查內(nèi)容與自建系統(tǒng)相同。

（4）網(wǎng)絡(luò)安全保護(hù)體系的建設(shè)進(jìn)一步強(qiáng)化

在信息安全等級保護(hù)管理下搭建計算機(jī)網(wǎng)絡(luò)，網(wǎng)絡(luò)安全與以往相比較更加有保障，等級保護(hù)制度為網(wǎng)絡(luò)系統(tǒng)的安全提供了明確的定級和實行指導(dǎo)，網(wǎng)絡(luò)安全管理的有關(guān)規(guī)定更具有通用性。云計算系統(tǒng)的安全拓展在等級保護(hù)中有標(biāo)準(zhǔn)規(guī)定，對于網(wǎng)絡(luò)的多領(lǐng)域都可以進(jìn)行拓展，實現(xiàn)了網(wǎng)絡(luò)信息安全保護(hù)的全面性。另外，等級保護(hù)管理下，網(wǎng)絡(luò)信息安全技術(shù)的應(yīng)用也被劃分成不同的層面，主要為：網(wǎng)絡(luò)與通信安全、物理與環(huán)境安全、應(yīng)用與技術(shù)安全、設(shè)備與技術(shù)安全。另外，在當(dāng)下的環(huán)境中，網(wǎng)絡(luò)信息安全的有關(guān)評價指標(biāo)有發(fā)生變化，等級保護(hù)中數(shù)據(jù)信息的安全是安全評價的主要指標(biāo)，通過等級保護(hù)，網(wǎng)絡(luò)信息系統(tǒng)的安全管理實現(xiàn)了結(jié)構(gòu)等級的明確區(qū)分，對計算機(jī)網(wǎng)絡(luò)安全的構(gòu)建水平提升有很好的幫助。再者，網(wǎng)絡(luò)的信任體系建設(shè)需要加強(qiáng)。目前網(wǎng)絡(luò)中的安全認(rèn)證體系有一套固定的，對用戶信息能夠?qū)崿F(xiàn)統(tǒng)一管理，在進(jìn)行數(shù)據(jù)信息交換的過程中，業(yè)務(wù)訪問有規(guī)范標(biāo)準(zhǔn)化的身份等級認(rèn)證，使網(wǎng)絡(luò)系統(tǒng)的信息可以免受惡意攻擊。

3 結(jié)語

綜上所述，在當(dāng)下的社會環(huán)境中，信息安全是國家層面和社會層面非常關(guān)注的問題，在信息化的發(fā)展建設(shè)中，計算機(jī)網(wǎng)絡(luò)的建立需要在實現(xiàn)信息安全等級保護(hù)的基礎(chǔ)上進(jìn)行。信息安全等級保護(hù)制度作為實施信息安全管理的一項根本制度，在建立計算機(jī)網(wǎng)絡(luò)時應(yīng)用具有良好的指導(dǎo)作用，有助于提高網(wǎng)絡(luò)信息安全保護(hù)的水平。

[1]賈覲. 信息安全等級保護(hù)制度在計算機(jī)網(wǎng)絡(luò)搭建中的應(yīng)用[J]. 信息與電腦（理論版），2019.

[2]袁慧. 網(wǎng)絡(luò)安全等級保護(hù)2.0制度的研究和探討[J]. 信息與電腦，2020，032（001）：223-224.

[3]譚青勇. 網(wǎng)絡(luò)安全等級保護(hù)實施方案的設(shè)計與應(yīng)用[J]. 電腦迷，2019，000（004）：84-85.

[4]郭樂. 基于網(wǎng)絡(luò)安全等級保護(hù)2.0版本的法院信息安全存在的隱患及要求[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020，000（004）：150-151.

[5]趙娟. 網(wǎng)絡(luò)安全管理與網(wǎng)絡(luò)安全等級保護(hù)制度探究[J]. 科學(xué)與財富，2017（33）：128-128.