今天，我們的信息系統(tǒng)處理能力和連接能力不斷提高。同時，基于網(wǎng)絡(luò)連接的安全問題也越來越突出。整體網(wǎng)絡(luò)安全主要體現(xiàn)在網(wǎng)絡(luò)物理安全、網(wǎng)絡(luò)拓撲結(jié)構(gòu)安全、網(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用系統(tǒng)安全、網(wǎng)絡(luò)管理安全等方面。

如何保證網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不會因意外或惡意原因而損壞、更改、泄漏，系統(tǒng)連續(xù)可靠正常運行，網(wǎng)絡(luò)服務(wù)不中斷，需要保證網(wǎng)絡(luò)的物理安全，保證網(wǎng)絡(luò)拓撲結(jié)構(gòu)和系統(tǒng)的安全。

01如何保證網(wǎng)絡(luò)的物理安全？

物理安全是為了保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施和其他媒體免受地震、水災(zāi)、火災(zāi)等環(huán)境事故（如電磁污染）以及人為操作錯誤或錯誤以及各種計算機犯罪造成的損害。物理安全是整個計算機信息系統(tǒng)安全的前提。為了獲得完全的保護，物理安全措施是計算系統(tǒng)中必要的。

物理安全主要包括三個方面：現(xiàn)場安全（環(huán)境安全）：指系統(tǒng)環(huán)境的安全，主要是現(xiàn)場和機房；設(shè)備安全：主要是指設(shè)備防盜、破壞、電磁信息輻射、泄漏、線路截獲、電磁干擾、電源保護等）；媒體安全（媒體安全）：包括媒體數(shù)據(jù)和媒體本身的安全。

1.現(xiàn)場安全。
為了有效合理地保護計算機房，計算機房應(yīng)分為不同的安全等級，并根據(jù)GB9361-1988提供不同的安全保護措施。
A級機房：對計算機房安全要求嚴格，計算機安全措施完善，安全性和可靠性最高。
B級機房：對計算機房安全要求嚴格，計算機安全措施完善，安全可靠性介于A級和C級之間。
C級機房：對計算機房安全有基本要求，有基本的計算機安全措施，C級機房安全可靠性最低。
在實際應(yīng)用中，機房等級可根據(jù)具體情況設(shè)置，同一機房也可設(shè)置不同的設(shè)備（如電源、主機）等級。

2.設(shè)備安全。

設(shè)備安全包括設(shè)備的防盜和破壞，防止電磁信息泄露，攔截前線，保護一級電源免受電磁干擾。其主要內(nèi)容包括：

(1)設(shè)備防盜。
為了提高計算機信息系統(tǒng)設(shè)備和部件的安全性，可以采用一定的防盜手段(如移動報警、數(shù)字檢測報警和部件鎖定)。

(2)設(shè)備防毀。
一是利用接地保護等措施保護計算機信息系統(tǒng)設(shè)備和部件，對抗自然力的破壞。二是對抗人為破壞，如使用防砸殼等措施。

(3)防止電磁信息泄露。
為了防止計算機信息系統(tǒng)中的電磁信息暴露，提高系統(tǒng)中敏感信息的安全性，通常使用各種涂層、材料和設(shè)備來防止電磁信息泄露。

(4)防止線路截獲。
主要防止計算機信息系統(tǒng)通信線路的截獲和干擾。重要技術(shù)可分為四個方面：防止線路截獲（使線路截獲設(shè)備不能正常工作）；掃描線路截獲（發(fā)現(xiàn)線路截獲并報警）；定位線路截獲（發(fā)現(xiàn)線路截獲設(shè)備工作位置）；對抗線路截獲（防止線路截獲設(shè)備的有效使用）。

(5)抗電磁干擾。
防止電磁干擾計算機信息系統(tǒng)，從而保護系統(tǒng)內(nèi)部的信息。

(6)電源保護。
計算機信息系統(tǒng)設(shè)備的可靠運行可以概括為兩個方面：保護工作電源的連續(xù)性（如使用不間斷電源）和保護工作電源的工作穩(wěn)定性。

三、介質(zhì)安全。

介質(zhì)安全是指介質(zhì)數(shù)據(jù)和介質(zhì)本身的安全。介質(zhì)安全的目的是保護存儲在介質(zhì)中的信患。包括介質(zhì)盜竊：防霉、防砸等介質(zhì)。

介質(zhì)數(shù)據(jù)的安全性是指對媒體數(shù)據(jù)的保護。媒體數(shù)據(jù)的安全刪除和媒體的安全銷毀是為了阻止被刪除或銷毀的敏感數(shù)據(jù)被他人恢復。包括媒體數(shù)據(jù)的防盜（如防止媒體數(shù)據(jù)非法復制）；媒體數(shù)據(jù)的銷毀，包括媒體的物理銷毀（如媒體粉碎等）和媒體數(shù)據(jù)的完全銷毀（如消磁等），防止媒體數(shù)據(jù)被他人刪除或銷毀后恢復和披露信息：媒體數(shù)據(jù)的防止，防止意外或故意損壞導致媒體數(shù)據(jù)丟失。

02 如何保證網(wǎng)絡(luò)拓樸結(jié)構(gòu)和系統(tǒng)的安全？

網(wǎng)絡(luò)安全系統(tǒng)主要依靠防火墻、網(wǎng)絡(luò)防病毒系統(tǒng)等技術(shù)在網(wǎng)絡(luò)層構(gòu)建安全屏障，通過在同一安全管理平臺上集成不同產(chǎn)品，實現(xiàn)網(wǎng)絡(luò)層的統(tǒng)一和集中安全管理。

網(wǎng)絡(luò)層安全平臺。

在選擇網(wǎng)絡(luò)層安全平臺時，主要考慮安全平臺是否能與其他相關(guān)網(wǎng)絡(luò)安全產(chǎn)品集成，是否能統(tǒng)一管理這些安全產(chǎn)品，包括配置相關(guān)安全產(chǎn)品的安全策略，維護相關(guān)安全產(chǎn)品的系統(tǒng)配置，檢查和調(diào)整相關(guān)安全產(chǎn)品的系統(tǒng)狀態(tài)。

一個完善的網(wǎng)絡(luò)安全平臺至少需要部署以下產(chǎn)品：

網(wǎng)絡(luò)安全核心提供邊界安全保護和訪問權(quán)限控制；

網(wǎng)絡(luò)防病毒系統(tǒng)，杜絕病毒傳播，為全網(wǎng)提供病毒更新和戰(zhàn)略設(shè)置。

安全網(wǎng)絡(luò)拓撲結(jié)構(gòu)劃分。

防火墻主要是為了防止不同網(wǎng)段之間的攻擊和非法訪問。由于攻擊對象主要是各種計算機，因此應(yīng)科學劃分計算機類別，以完善安全設(shè)計。在整個內(nèi)部網(wǎng)絡(luò)中，計算機可分為三類：內(nèi)部站點終端、外部服務(wù)應(yīng)用服務(wù)器和重要的數(shù)據(jù)服務(wù)器。這三種計算機具有不同的功能、不同的重要性和不同的安全需求。

首先，應(yīng)用程序服務(wù)的重點保護庫服務(wù)是確保服務(wù)器的絕對代理不允許用戶直接訪問。對于應(yīng)用程序服務(wù)器，確保用戶的訪問受到控制，限制可訪問服務(wù)器的用戶范圍，以便只能以指定的方式訪問。
其次，數(shù)據(jù)服務(wù)器的安全性大于WWW服務(wù)器、E-mail服務(wù)器等應(yīng)用服務(wù)器。因此，數(shù)據(jù)庫服務(wù)器在定義防火墻時比其他服務(wù)器更嚴格。

第三，內(nèi)部網(wǎng)絡(luò)可能會直接攻擊各種服務(wù)器和應(yīng)用系統(tǒng)，因此內(nèi)部辦公網(wǎng)絡(luò)也需要與代理服務(wù)器、外部服務(wù)器、WWW、E-mail等隔離。

第四，外網(wǎng)用戶不允許直接訪問內(nèi)部網(wǎng)絡(luò)。
上述安全要求需要通過劃分安全的網(wǎng)絡(luò)拓撲結(jié)構(gòu)和VLAN、安全路由器配置和防火墻網(wǎng)關(guān)配置來控制不同網(wǎng)段之間的訪問控制。在劃分網(wǎng)絡(luò)拓撲結(jié)構(gòu)時，一方面要保證網(wǎng)絡(luò)的安全；另一方面，原有的網(wǎng)絡(luò)結(jié)構(gòu)不能改變太多。因此，建議采用以防火墻為核心的三網(wǎng)安全網(wǎng)絡(luò)拓撲結(jié)構(gòu)。

03 關(guān)于等級保護及相關(guān)問題。
為提高信息安全能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設(shè)，在信息系統(tǒng)建設(shè)過程中，用戶應(yīng)按照《計算機信息系統(tǒng)安全保護等級劃分標準》(GB17859-1999)、《信息系統(tǒng)安全等級保護基本要求》等技術(shù)標準，參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)、《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求》

1.如何判斷和定義自己的網(wǎng)絡(luò)分類？

信息系統(tǒng)的安全保護等級分為以下五個等級：

一級信息系統(tǒng)被破壞后，會損害公民、法人和其他組織的合法權(quán)益，但不會損害國家安全、社會秩序和公共利益。

第二，信息系統(tǒng)受損后，將嚴重損害公民、法人和其他組織的合法權(quán)益，或損害社會秩序和公共利益，但不損害國家安全，如部分企業(yè)門戶網(wǎng)站、部分中小企業(yè)外部辦公網(wǎng)站等。

第三，信息系統(tǒng)被破壞后，如果涉及科研成果、社會、國家等系統(tǒng)，將嚴重損害社會秩序和公共利益或國家安全。如鐵路網(wǎng)站、醫(yī)療保險、社會保障等系統(tǒng)。

第四，信息系統(tǒng)受損后，會對社會秩序和公共利益造成特別嚴重的損害，或?qū)野踩斐蓢乐氐膿p害。

第五級，信息系統(tǒng)受損后，會對國家安全造成特別嚴重的損害。

2.信息安全等級保護三級認證流程有哪些？
認證流程是具有相關(guān)部門認可的公司（經(jīng)相關(guān)部門批準）對待等待評估的單位進行評級和評估。評估后，提出整改意見，對被評估單位進行整改，是評估整改、評估和整改的過程，最終達到并通過評估。例如，等待保護的三級需要每年進行一次評估。

3.如何有效利用等保分級構(gòu)建自己的安全網(wǎng)絡(luò)環(huán)境？
等保分級是為了規(guī)范信息安全等級的保護和管理，提高信息安全能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設(shè)，根據(jù)等保分級的具體要求調(diào)整現(xiàn)有網(wǎng)絡(luò)，確保網(wǎng)絡(luò)環(huán)境安全，網(wǎng)絡(luò)安全數(shù)據(jù)安全。

4.三級等保技術(shù)要求。

包括物理、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)五個方面的技術(shù)要求：

物理安全部分。
1.機房應(yīng)至少分為主機房和監(jiān)控區(qū)兩部分；
2.機房應(yīng)配備電子門禁系統(tǒng)、防盜報警系統(tǒng)、監(jiān)控系統(tǒng)；
3.機房不應(yīng)有窗戶，應(yīng)配備專用氣體滅火.ups供電系統(tǒng)；

網(wǎng)絡(luò)安全部分。
1.應(yīng)繪制符合當前運行條件的拓撲圖；
2.開關(guān)、防火墻等設(shè)備配置應(yīng)符合要求，如Vlan分割和Vlan邏輯隔離，QOS流量控制策略，訪問控制策略，IP/MAC綁定重要網(wǎng)絡(luò)設(shè)備和服務(wù)器；
3.應(yīng)配備網(wǎng)絡(luò)審計設(shè)備、入侵檢測或防御設(shè)備。
4.交換機和防火墻的身份識別機制應(yīng)滿足用戶名密碼復雜性策略、登錄訪問失敗處理機制、用戶角色和權(quán)限控制等保險要求；
5.網(wǎng)絡(luò)鏈路、核心網(wǎng)絡(luò)設(shè)備和安全設(shè)備需要冗余設(shè)計。

主機安全部分。
1.服務(wù)器本身的配置應(yīng)符合身份識別機制、訪問控制機制、安全審計機制、防病毒等要求，必要時可購買第三方主機和數(shù)據(jù)庫審計設(shè)備；
2.服務(wù)器(應(yīng)用和數(shù)據(jù)庫服務(wù)器)應(yīng)冗余，如需要雙機熱備或集群部署；
3.服務(wù)器和重要網(wǎng)絡(luò)設(shè)備上線前需要掃描評估漏洞，不得有中高級以上漏洞(如windows系統(tǒng)漏洞、apache等中間件漏洞。數(shù)據(jù)庫軟件漏洞。其他系統(tǒng)軟件和端口漏洞等。
4.數(shù)據(jù)庫的審計日志應(yīng)配備專用日志服務(wù)器保存主機。

安全部分的應(yīng)用。
1.應(yīng)用自身功能應(yīng)符合身份鑒定機制、審計日志、通信、存儲加密等等保險要求；
2.應(yīng)用程序應(yīng)考慮網(wǎng)頁防篡改設(shè)備的部署；
3.應(yīng)用安全評全評估（包括應(yīng)用程序安全掃描、滲透測試和風險評估）應(yīng)無中高級風險以上漏洞（如SQL注入、跨站腳本、網(wǎng)站掛馬、網(wǎng)頁篡改、敏感信息泄露、弱密碼和密碼猜測、后臺漏洞管理等）；
4.應(yīng)用系統(tǒng)生成的日志應(yīng)保存到專用日志服務(wù)器中。

數(shù)據(jù)安全備份。
1.本地備份機制應(yīng)提供數(shù)據(jù)，每天備份到本地，并在場外存儲；

2.如果系統(tǒng)中有核心關(guān)鍵數(shù)據(jù)，應(yīng)提供異地數(shù)據(jù)備份功能，并通過網(wǎng)絡(luò)將數(shù)據(jù)傳輸?shù)疆惖貍浞荩?/p>

管理制度要求應(yīng)包括以下五個方面的制度和記錄：
1.安全管理制度。
2.安全管理機構(gòu)。
3.人員安全管理。
4.系統(tǒng)建設(shè)管理。
5.系統(tǒng)運維管理。