基于信息安全的网络安全等级保护实施方案设计研究

2020-05-11赵文臣

网络安全技术与应用 2020年5期

◆赵文臣

◆赵文臣

（神华信息技术有限公司北京 010000）

目前信息安全得到普遍关注，也客观推动了以网络安全为核心追求的技术进步。本文以基于信息安全的网络安全等级保护实施方案设计为目标，就其工作方式、工作机制、优化模式三个方面展开论述，给出多独立防护实施方案设计、分层作业实施方案设计、综合评分实施方案设计等内容，服务后续具体工作。

信息安全；网络安全；等级保护；节点防护

网络安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，广义上看，各类具有层次化特点的防护模式，均可纳入网络安全等级保护的分析范畴。就信息安全工作而言，网络安全等级保护具有突出的运用价值，可应对单一保护模式适用性不足、机制单一的弊端，实现信息安全性的提升。

1 多独立防护实施方案设计

从工作方法上看，基于信息安全的网络安全等级保护实施方案设计考虑三种方法，即节点防护、信道防护、终端防护，三种方法的作业区域和原理见表1。

表1 三种保护方法的作业区域和原理

具体而言，节点防护实现范围内的安全保护，对可疑数据包和程序进行匹配分析，直接将其隔离在安全系统之外，使保护范围内的若干工作设备信息安全得到保证。信道防护仅对通信信道产生防护作用，要求保证信道通畅，且在多信息并道传输的情况下，能够保证不同信息不会出现互扰。终端防护仅适用于计算机或其他便携设备，通过防火墙和防护软件实时检查的方式，规避危险进入计算机导致信息丢失[1]。以终端防护为例进行技术解析，在智能终端，要求收集木马病毒的一般特点，将其输入计算机中保存，计算机与防护软件、防火墙保持实时连接，默认木马病毒存在A特点，且所有尝试进入计算机的病毒，在特点上均可呈现出与A高度关联的特征，表现为：

A=[A-n……A-2;A-1;A;A1;A2……An]

[A-n、An]代表计算机可识别的木马病毒变化下限和上限，只要收集所获的样本足够丰富，就可保证计算机[A-n、An]范围足够广泛，实现多种木马病毒的智能拦截，保证计算机内信息的安全。

2 分层作业实施方案设计

从工作机制上看，在节点防护、信道防护、终端防护三层防护的支持下，拟设计基于多层次验证、实时和瞬时防护并行的工作机制，该机制下，危险需分别从信道、节点、终端三个层次完成突破，才能破坏或盗取计算机信息。分层模式下，多层次验证强调纵向安全保护的延伸，如在信道防护层次，可在信道入口和出口分别进行同等级防护，但给出不同密钥，实现信道防护的多层次延伸，以单向多次验证的方式提升信道防护效果[2]。

实时和瞬时防护并行，是指在单一层次防护方法内，对所有尝试进行交互的程序和文件进行初次防护扫描，确定其安全后放行，该环节即瞬时防护；在此基础上，所有已经进入计算机的程序和文件，仍需接受实时处理，实时保护机制可由人员控制，随时开启，对计算机内的各类信息、程序进行扫描，评估是否存在风险。如计算机终端可启动防火墙进行初次安全保护，隔离危险文件和程序，扫描无异常后进入计算机的文件，可由管理人员对其进行二次扫描，进一步提升保护效果。分层作业可在节点防护、信道防护、终端防护三层防护基础上进行横向延伸，扩大保护范围，也可在单一层次进行纵向延伸，提升保护层次感和效果。