今天，我們的信息系統(tǒng)處理能力和連接能力不斷提高。同時，基于網(wǎng)絡連接的安全問題也越來越突出。整體網(wǎng)絡安全主要體現(xiàn)在網(wǎng)絡物理安全、網(wǎng)絡拓撲結構安全、網(wǎng)絡系統(tǒng)安全、應用系統(tǒng)安全、網(wǎng)絡管理安全等方面。

如何保證網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不會因意外或惡意原因而損壞、更改、泄漏，系統(tǒng)連續(xù)可靠正常運行，網(wǎng)絡服務不中斷，需要保證網(wǎng)絡的物理安全，保證網(wǎng)絡拓撲結構和系統(tǒng)的安全。

01如何保證網(wǎng)絡的物理安全？

物理安全是為了保護計算機網(wǎng)絡設備、設施和其他媒體免受地震、水災、火災等環(huán)境事故（如電磁污染）以及人為操作錯誤或錯誤以及各種計算機犯罪造成的損害。物理安全是整個計算機信息系統(tǒng)安全的前提。為了獲得完全的保護，物理安全措施是計算系統(tǒng)中必要的。

物理安全主要包括三個方面：現(xiàn)場安全（環(huán)境安全）：指系統(tǒng)環(huán)境的安全，主要是現(xiàn)場和機房；設備安全：主要是指設備防盜、破壞、電磁信息輻射、泄漏、線路截獲、電磁干擾、電源保護等）；媒體安全（媒體安全）：包括媒體數(shù)據(jù)和媒體本身的安全。

1.現(xiàn)場安全。
為了有效合理地保護計算機房，計算機房應分為不同的安全等級，并根據(jù)GB9361-1988提供不同的安全保護措施。
A級機房：對計算機房安全要求嚴格，計算機安全措施完善，安全性和可靠性最高。
B級機房：對計算機房安全要求嚴格，計算機安全措施完善，安全可靠性介于A級和C級之間。
C級機房：對計算機房安全有基本要求，有基本的計算機安全措施，C級機房安全可靠性最低。
在實際應用中，機房等級可根據(jù)具體情況設置，同一機房也可設置不同的設備（如電源、主機）等級。

2.設備安全。

設備安全包括設備的防盜和破壞，防止電磁信息泄露，攔截前線，保護一級電源免受電磁干擾。其主要內(nèi)容包括：

(1)設備防盜。
為了提高計算機信息系統(tǒng)設備和部件的安全性，可以采用一定的防盜手段(如移動報警、數(shù)字檢測報警和部件鎖定)。

(2)設備防毀。
一是利用接地保護等措施保護計算機信息系統(tǒng)設備和部件，對抗自然力的破壞。二是對抗人為破壞，如使用防砸殼等措施。

(3)防止電磁信息泄露。
為了防止計算機信息系統(tǒng)中的電磁信息暴露，提高系統(tǒng)中敏感信息的安全性，通常使用各種涂層、材料和設備來防止電磁信息泄露。

(4)防止線路截獲。
主要防止計算機信息系統(tǒng)通信線路的截獲和干擾。重要技術可分為四個方面：防止線路截獲（使線路截獲設備不能正常工作）；掃描線路截獲（發(fā)現(xiàn)線路截獲并報警）；定位線路截獲（發(fā)現(xiàn)線路截獲設備工作位置）；對抗線路截獲（防止線路截獲設備的有效使用）。

(5)抗電磁干擾。
防止電磁干擾計算機信息系統(tǒng)，從而保護系統(tǒng)內(nèi)部的信息。

(6)電源保護。
計算機信息系統(tǒng)設備的可靠運行可以概括為兩個方面：保護工作電源的連續(xù)性（如使用不間斷電源）和保護工作電源的工作穩(wěn)定性。

三、介質(zhì)安全。

介質(zhì)安全是指介質(zhì)數(shù)據(jù)和介質(zhì)本身的安全。介質(zhì)安全的目的是保護存儲在介質(zhì)中的信患。包括介質(zhì)盜竊：防霉、防砸等介質(zhì)。

介質(zhì)數(shù)據(jù)的安全性是指對媒體數(shù)據(jù)的保護。媒體數(shù)據(jù)的安全刪除和媒體的安全銷毀是為了阻止被刪除或銷毀的敏感數(shù)據(jù)被他人恢復。包括媒體數(shù)據(jù)的防盜（如防止媒體數(shù)據(jù)非法復制）；媒體數(shù)據(jù)的銷毀，包括媒體的物理銷毀（如媒體粉碎等）和媒體數(shù)據(jù)的完全銷毀（如消磁等），防止媒體數(shù)據(jù)被他人刪除或銷毀后恢復和披露信息：媒體數(shù)據(jù)的防止，防止意外或故意損壞導致媒體數(shù)據(jù)丟失。

02 如何保證網(wǎng)絡拓樸結構和系統(tǒng)的安全？

網(wǎng)絡安全系統(tǒng)主要依靠防火墻、網(wǎng)絡防病毒系統(tǒng)等技術在網(wǎng)絡層構建安全屏障，通過在同一安全管理平臺上集成不同產(chǎn)品，實現(xiàn)網(wǎng)絡層的統(tǒng)一和集中安全管理。

網(wǎng)絡層安全平臺。

在選擇網(wǎng)絡層安全平臺時，主要考慮安全平臺是否能與其他相關網(wǎng)絡安全產(chǎn)品集成，是否能統(tǒng)一管理這些安全產(chǎn)品，包括配置相關安全產(chǎn)品的安全策略，維護相關安全產(chǎn)品的系統(tǒng)配置，檢查和調(diào)整相關安全產(chǎn)品的系統(tǒng)狀態(tài)。

一個完善的網(wǎng)絡安全平臺至少需要部署以下產(chǎn)品：

網(wǎng)絡安全核心提供邊界安全保護和訪問權限控制；

網(wǎng)絡防病毒系統(tǒng)，杜絕病毒傳播，為全網(wǎng)提供病毒更新和戰(zhàn)略設置。

安全網(wǎng)絡拓撲結構劃分。

防火墻主要是為了防止不同網(wǎng)段之間的攻擊和非法訪問。由于攻擊對象主要是各種計算機，因此應科學劃分計算機類別，以完善安全設計。在整個內(nèi)部網(wǎng)絡中，計算機可分為三類：內(nèi)部站點終端、外部服務應用服務器和重要的數(shù)據(jù)服務器。這三種計算機具有不同的功能、不同的重要性和不同的安全需求。

首先，應用程序服務的重點保護庫服務是確保服務器的絕對代理不允許用戶直接訪問。對于應用程序服務器，確保用戶的訪問受到控制，限制可訪問服務器的用戶范圍，以便只能以指定的方式訪問。
其次，數(shù)據(jù)服務器的安全性大于WWW服務器、E-mail服務器等應用服務器。因此，數(shù)據(jù)庫服務器在定義防火墻時比其他服務器更嚴格。

第三，內(nèi)部網(wǎng)絡可能會直接攻擊各種服務器和應用系統(tǒng)，因此內(nèi)部辦公網(wǎng)絡也需要與代理服務器、外部服務器、WWW、E-mail等隔離。

第四，外網(wǎng)用戶不允許直接訪問內(nèi)部網(wǎng)絡。
上述安全要求需要通過劃分安全的網(wǎng)絡拓撲結構和VLAN、安全路由器配置和防火墻網(wǎng)關配置來控制不同網(wǎng)段之間的訪問控制。在劃分網(wǎng)絡拓撲結構時，一方面要保證網(wǎng)絡的安全；另一方面，原有的網(wǎng)絡結構不能改變太多。因此，建議采用以防火墻為核心的三網(wǎng)安全網(wǎng)絡拓撲結構。

03 關于等級保護及相關問題。
為提高信息安全能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設，在信息系統(tǒng)建設過程中，用戶應按照《計算機信息系統(tǒng)安全保護等級劃分標準》(GB17859-1999)、《信息系統(tǒng)安全等級保護基本要求》等技術標準，參照《信息安全技術信息系統(tǒng)通用安全技術要求》(GB/T20271-2006)、《信息安全技術網(wǎng)絡基礎安全技術要求》(GB/T20270-2006)、《信息安全技術操作系統(tǒng)安全技術要求》(GB/T20272-2006)、《信息安全技術數(shù)據(jù)庫管理系統(tǒng)安全技術要求》(GB/T20273-2006)、《信息安全技術服務器技術要求》、《信息安全技術終端計算機系統(tǒng)安全等級技術要求》

1.如何判斷和定義自己的網(wǎng)絡分類？

信息系統(tǒng)的安全保護等級分為以下五個等級：

一級信息系統(tǒng)被破壞后，會損害公民、法人和其他組織的合法權益，但不會損害國家安全、社會秩序和公共利益。

第二，信息系統(tǒng)受損后，將嚴重損害公民、法人和其他組織的合法權益，或損害社會秩序和公共利益，但不損害國家安全，如部分企業(yè)門戶網(wǎng)站、部分中小企業(yè)外部辦公網(wǎng)站等。

第三，信息系統(tǒng)被破壞后，如果涉及科研成果、社會、國家等系統(tǒng)，將嚴重損害社會秩序和公共利益或國家安全。如鐵路網(wǎng)站、醫(yī)療保險、社會保障等系統(tǒng)。

第四，信息系統(tǒng)受損后，會對社會秩序和公共利益造成特別嚴重的損害，或?qū)野踩斐蓢乐氐膿p害。

第五級，信息系統(tǒng)受損后，會對國家安全造成特別嚴重的損害。

2.信息安全等級保護三級認證流程有哪些？
認證流程是具有相關部門認可的公司（經(jīng)相關部門批準）對待等待評估的單位進行評級和評估。評估后，提出整改意見，對被評估單位進行整改，是評估整改、評估和整改的過程，最終達到并通過評估。例如，等待保護的三級需要每年進行一次評估。

3.如何有效利用等保分級構建自己的安全網(wǎng)絡環(huán)境？
等保分級是為了規(guī)范信息安全等級的保護和管理，提高信息安全能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設，根據(jù)等保分級的具體要求調(diào)整現(xiàn)有網(wǎng)絡，確保網(wǎng)絡環(huán)境安全，網(wǎng)絡安全數(shù)據(jù)安全。

4.三級等保技術要求。

包括物理、網(wǎng)絡、主機、應用、數(shù)據(jù)五個方面的技術要求：

物理安全部分。
1.機房應至少分為主機房和監(jiān)控區(qū)兩部分；
2.機房應配備電子門禁系統(tǒng)、防盜報警系統(tǒng)、監(jiān)控系統(tǒng)；
3.機房不應有窗戶，應配備專用氣體滅火.ups供電系統(tǒng)；

網(wǎng)絡安全部分。
1.應繪制符合當前運行條件的拓撲圖；
2.開關、防火墻等設備配置應符合要求，如Vlan分割和Vlan邏輯隔離，QOS流量控制策略，訪問控制策略，IP/MAC綁定重要網(wǎng)絡設備和服務器；
3.應配備網(wǎng)絡審計設備、入侵檢測或防御設備。
4.交換機和防火墻的身份識別機制應滿足用戶名密碼復雜性策略、登錄訪問失敗處理機制、用戶角色和權限控制等保險要求；
5.網(wǎng)絡鏈路、核心網(wǎng)絡設備和安全設備需要冗余設計。

主機安全部分。
1.服務器本身的配置應符合身份識別機制、訪問控制機制、安全審計機制、防病毒等要求，必要時可購買第三方主機和數(shù)據(jù)庫審計設備；
2.服務器(應用和數(shù)據(jù)庫服務器)應冗余，如需要雙機熱備或集群部署；
3.服務器和重要網(wǎng)絡設備上線前需要掃描評估漏洞，不得有中高級以上漏洞(如windows系統(tǒng)漏洞、apache等中間件漏洞。數(shù)據(jù)庫軟件漏洞。其他系統(tǒng)軟件和端口漏洞等。
4.數(shù)據(jù)庫的審計日志應配備專用日志服務器保存主機。

安全部分的應用。
1.應用自身功能應符合身份鑒定機制、審計日志、通信、存儲加密等等保險要求；
2.應用程序應考慮網(wǎng)頁防篡改設備的部署；
3.應用安全評全評估（包括應用程序安全掃描、滲透測試和風險評估）應無中高級風險以上漏洞（如SQL注入、跨站腳本、網(wǎng)站掛馬、網(wǎng)頁篡改、敏感信息泄露、弱密碼和密碼猜測、后臺漏洞管理等）；
4.應用系統(tǒng)生成的日志應保存到專用日志服務器中。

數(shù)據(jù)安全備份。
1.本地備份機制應提供數(shù)據(jù)，每天備份到本地，并在場外存儲；

2.如果系統(tǒng)中有核心關鍵數(shù)據(jù)，應提供異地數(shù)據(jù)備份功能，并通過網(wǎng)絡將數(shù)據(jù)傳輸?shù)疆惖貍浞荩?/p>

管理制度要求應包括以下五個方面的制度和記錄：
1.安全管理制度。
2.安全管理機構。
3.人員安全管理。
4.系統(tǒng)建設管理。
5.系統(tǒng)運維管理。