关于网络安全防护系统框架的分析.pdf

1、C o m m u n i c a t i o n&I n f o r m a t i o n T e c h n o l o g y N o.4.2 0 2 3通信与信息技术2 0 2 3 年第4 期(总第2 6 4 期)关于网络安全防护系统框架的分析高伟，唐薇中通服咨询设计研究院有限公司，江苏南京2 1 0 0 1 9摘 要：主要介绍电力企业网络安全防护系统的优化策略，包括推进技术研发利用、强化管理机制构建、注重人才培养力度，以提升网络安全防护系统框架结构建设的有效性和安全性。经过试验分析与总结，系统具有高效、安全等优越性。关键词：网路安全；防护；网络安全防护系统中图分类号：T P 3 0

2、 2.1文献标识码：A文章编号：1 6 7 2-0 1 6 4(2 0 2 3)0 4-0 0 5 0-0 4设置网络安全防护系统框架结构至关重要。通过发挥网络建设技术、安全保障技术等优势，既促进系统高效率的运行，又提升设备质量安全，全面防范以信息资源为主的非法访问、窃取等不良攻击事件，最大化地保障数据资产的安全。1 网络安全防护系统框架设计1.1 安全计算环境依据信息安全保护等级指南指出，边界内部称为安全计算环境，一般是运用局域网衔接各种设备节点，形成一个庞大复杂的计算环境，如网络设备、安全设备、服务器设备、终端设备、应用系统等；对此安全控制上，应设置“一个中心、三重防御”的体系(见图1),

3、涉及到的安全控制要点也比较多样，如访问控制、安全审计、可信验证、数据备份与恢复等。安全计算环境网络安全测评网络全局性测评设备/系统类测评图1 安全计算环境思维导图1.2 安全通信网络安全通信网络主要对象有广域网、城域网、局域网，涉及到通信传输、网络架构和可信验证 2 。网络架构：明确整个网络资源分布，以及网络架构的安全性和合理性，推进各种技术功能正常应用。通信传输：通信传输过程中，设置不同等级的保护对象，为避免数据信息的恶意泄露(或篡改),应增强网络传输的完整性、可用性及保密性，既要提升各类安全计算环境的通信安全，又要侧重单一性的不同区域之间的通信安全。可信验证：对于通信设备的可信验证，打破传

4、统设计及保存形式，若是基于硬件，可增添一些预装软件，调配系统程序及配置参数，还要进行完整性的试验(或检测),确保设备的正常使用及安全性。1.3 安全区域边界安全区域边界针对网络边界明确提出安全控制要求，对象主要有系统边界和区域边界，控制点有边界防护、访问控制；通常检查步骤及程序如下：事先检查网络拓扑图与实际的网络链路是否一致，了解网络边界及设备端口情况。检测路由配置悉心、区域边界设备配置信息，以及查看网络端口是否进行跨越边界的网络通信，比如，对于C i s c o l I O S,经过输入“r o u t e r t s h o w r u n n i n g-c o n f i g”,以此来

5、检验和查看有关的设备及配置。充分利用技术核查所有端口的受控性，确保良好的通信环境，比如检测无线访问情况，灵活谁用相关工具加以检测，如无线嗅探器、无线信号检测系统等，测评对象有网络链路、设备物理端口、配置信息等。1.4 安全管理中心依照网络安全等级保护，安全管理中心可分为技术类和管理类，前者有安全物理环境、安全通信网络、安全区域边界等，后者有安全管理制度、安全管理机构、安全建建管理及安全运维管理等(见图2)。收稿日期：2 0 2 2 年1 2 月1 4 日；修回日期：2 0 2 3 年6 月1 9 日5 0行业观察关于网络安全防护系统框架的分析阿络安全等级保护基本要求技术要求管理要求宽金物思环鼻

6、端探基计金吏晶出指随俗阅更金营通制上图2 网络安全等级保护基本要求2 网路安全防护系统框架实现研究2.1 创建零信任机制零信任安全原理为所有访问请求都被可信代理拦截，实施强制访问控制，访问权限由动态访问控制引擎进行实时判定，身份分析系统进行持续的信任评估生成信任库，基于身份及权限管理系统对身份和权限进行管理 3 。根据零信任安全架构原理，以身份为关键和核心，动态访问控制过场，包括业务安全访问、持续性风险评估和动态访问控制；期间技术组建是访问主体和访问客体之间的中介，使主客体业务、数据访问更加安全可靠(见图3)。以电力系统为研究对象，针对当前移动终端安全接入现状，打造一个立体保护系统(见图4),

7、形成一个闭环数据安全传输。其中，接入端是该系统的重要组成部分，移动终端是远程接入的主体，内部应用及安全性，直接决定到数据传输过程。若是终端设备安全策略不足，会引发技术漏洞及病毒，极易被随意攻击；一旦访问终端缺少身份验证和权限管理，就会破坏、滥用整个网络资源，对此应结合实际情况，强化对该模型的网络安全防护措施。安全访同平台图3 零信任访问架构K I 证书服务系统书发行证认证证加密群安全模地安全救件C S 接入W C D A 接入L E 接入证就安全审核较集种系较B M S 系统O A 系统笔体N B _ O T 接入aA/崔电表安全技入用关系统P 系统安全县安全通治层安全接入层图4 某电力系统安

8、全防系统框架结构业务接入层2.2 完善接入策略(1)安全终端层运用数字证书、安全U S B K E Y/P C M C I A 等，增进系统安全性能，将加密芯片改造智能终端和数据采集。智能终端中嵌入数据证书，绑定A P N,灵活运用安全S I M 卡(特殊加密算法)保持接入平台通信良好田。(2)安全通道层为有效规避数据在整个传输中被随意窃听、篡改、盗取等，应在智能终端和安全接入网络之间创建通信安全传输路径，关于该网络通信传输路径，既要运用专用路线创建服务网络，如G P R S、A P N、W C D-M A 等，也要依据S S L 加密安全协议，形成一个安全通信道，增加对传输数据的双重保护。(

9、3)安全接入平台层安全接入平台层中，具有安全接入网关、集中监控系统，安全审核方面，应做好及时接收各种访问请求，在技术媒介下，将所有移动终端的访问请求，及时传输到业务访问层。关于集中监控系统；应明确监督和管理层面的接入终端；认知系统控制认证终端；安全审查系统则是侧重内部网络访问(负责记录和审查行为);各系统强强联合，实现安全防护的可控性和可操作性。其中，业务接入层及时相应和处理安全访问平台层的所有访问请求，为外部应用程序(带有数据)提供技术支持，实现电力应用的业务处理。此外，P K I 证书服务系统集管理、存储、分发等多种功能于一身，也为授权管理、访问控制等安全机制提供基础保障。2.3 终端安全

10、接入控制电力终端安全接入控制方面，严格实施终端安全接入实验过程，将S I M 卡、T I 卡用以存储，如密钥、数字证书等，运用身份证管理系统来操作身份验证和授权合作；安全卡的使用经过专业的加密算法，将该套加密算法经一些硬件设备集成到卡上，达到信息加密通信的目标。为进一步保障数据传输安全性，构建连接网络终端和接入网关的安全通道。该安全通道建立的过程，主要具有以下操作步骤：(1)无线终端向平台发送请问请求，终端与平台根据各种协议版本、算法类型、密钥等，构建相应的加密通道。(2)终端设置登录身份验证，配备加密的个人身份信息，经过认证系统和P K I 证书服务系统，以此分析和识别终端信息；监控系统发挥

11、功能作用下，若是身份验证未能通过，直接发出预警提醒，无法建立连接，身份验证后启动接下来的程序 5 。(3)终端安全检查将检查的数据信息传输到安全接入网关，运用认证系统，明确终端访问功能需求；终端以硬件为媒介，将所有业务请求上传到平台。(4)安全接入网关第一时间内将终端数据包加以解密，满足电力企业的业务访问及功能应用，审核系统跟踪和记录5 1通信与信息技术2 0 2 3 年第4 期(总第2 6 4 期)数据操作；应用系统将业务返回请求的再次与安全接入网关衔接，层层加密后，传入到终端；期间终端运用加密设施设备对数据加以解密，根据相应算法，确保整个接入过程的高效执行间。从操作过程可以看出，监测软件对

12、终端接入实现全过程、全方位的监测，在监测界面中，既能监测在线终端数量，也能对内部系统(E M S、E R P、O A)应用分析和记录各种行为(如请求、相应等)。2.4 动态授权管控网络安全防护系统的动态授权管控，包括动态纵深防御体系、监控及预警病毒系统、安全集中管理平台。(1)动态纵深防御体系：包括防护墙、入侵防护系统和网络控制三级防护。防护墙根据I P 地址、端口、方向等，筛选和处理数据，为服务器提供基础的安全保障；网络安全是一个动态的过程，入侵防护系统精准响应各类安全事件，达到立体化防护；网络控制具有内容过滤、病毒扫描、文件类型等，避免敏感数据信息的外泄(或是外网攻击)。(2)监控及预警病

13、毒系统：电力系统搭建网络安全防护系统的“三级控管”的基础架构，提升防病毒系统的有效性，经过层层监督和指导，技术部门形成一套直接建立接口机制，大幅缩减和控制相应时间。(3)安全集中管理平台：集中管理平台以网管系统为关键和核心，将远端设施设备经过状态监视、事件分析等，统筹规划和管理，动态监测和掌握电力运行现状，使得能够对电力运行网络实施全局把控间。网络安全防护系统最优资源配置包括成熟产品选型、制定运行及控制标准、系统测试及实施等。电力企业在服务区域部署1 台I D P 设备，该系统运用天融信N G F W 4 0 0 0 系列千兆防火墙，浅兆光口、百兆以太口、C o n s o l e 管理口分别

14、有5个、1 个和1 个，整机吞吐量超出6 G b p s,最大并发连接数大于2 2 0 万，具有端口映射、包过滤规则添加等，双机热备H A,硬件B y p a s s 功能，I P S 性能大于1.2 G b p s。业务服务器接入主机安全审计监控系统，运用北信源主机监控审计与补丁分发系统，全程监控和精细化管理服务器及P C 终端，还对阀值及时预警，借助于网络平台软件，播报短信报警功能；以趋势网络版防病毒系统(支持2 0 0 0 0 个节点),下发策略和生成报表，抵御和方法全网病毒爆发。经过配置和部署软硬件设备，真正做到以安全服务为基础，强化安全集中管理措施，达到内外网格系统对安全设施设备的综

15、合监管切。3 相关优化建议及策略3.1 推进技术研发利用关于计算机网络安全，离不开对技术的研发利用，对此应规范计算机网络安全技术体系，如入侵预防技术、防火墙技术、数据备份和恢复等。在计算机的普及应用下，应高度重视安全防控，及时纠正和处理潜在的安全隐患，强化网络安全防控意识，充分运用技术与管理相结合的手段。结合网络安全防护系统的运行情况，还要有效运用安全风险矩阵标准和风险评估工具，构建一套完整的信息安全风险管控P D C A 模型。其中，每个信息系统都是有生命周期的，应严格遵循网络安全“三同步”原则，建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步

16、建设、同步使用”,优化网络防护系统框架结构，明确关键信息系统技术应用，使系统应用更具安全保障。3.2 强化管理机制构建该电力企业高度重视网络安全治理，将网络信息安全管理加以分解和细化，植入到H S S E 管理体系中，持续化信息安全管理，既要从技术安全着手，又要落实管理和规范，尤其是顶层设计是整个网络安全管理的重要工作。同时，制定一套健全的信息安全管理制度，成立安全责任部门或小组，形成信息安全通报机制，对于各类信息安全事件，各种隐患坚决做到“零容忍”8。此外，明确管理流程和各部门职责，持续深化信息安全审计工作，经过综合应用网路安全防护系统，建设一个可控、安全的现代运维通道。3.3 注重人才培养

17、力度电力企业的网络安全中，应打造高效的网络安全技术团队，组织安排一系列信息安全培训，采取理论培训与业务培训相结合的方式，切实提升技术人员的专业能力素质；积极借鉴和学习国内外先进的网络安全防护技术及经验，促进企业信息安全管理质量及效率提升。为切实发挥技术人员的主观能动性，还要在内部创建绩效考核及激励约束机制，对具有优良表现的员工给予相应的物质及精神奖励。4 结语在网络安全防护系统框架结构建设中，移动终端安全接入是关键，经过打造一个立体保护模型，创建移动终端安全接入系统，经过试验分析与总结，系统具有高效、安全等优越性；期间系统在出现竞争接入时，稳定性会受到影响，对此应结合实际情况，技术采取相应的技

18、术控制措施。参考文献 1 王红.网络安全防护的外界统一防护区采用S D N 控制器的优势探讨 J .网络安全技术与应用，2 0 2 2,(1 0):8-9.2 林志达，张华兵，曹小明，卢伟开.基于堡垒机技术的企业信息网络安全防护模型 J .电子设计工程，2 0 2 2,3 0(1 8):1 7 9-1 8 3.(下转第6 4 页)5 2通信与信息技术2 0 2 3 年第4 期(总第2 6 4 期)A s e c u r e t r a n s m i s s i o n m e t h o d f o r f o r w a r d l i n k s i n c o m m u n i c

19、a t i o n n e t w o r k sb a s e d o n e x t e n d e d B a y e s i a n c l a s s i f i c a t i o nC H E N C u n t i a nS h a n x i E a r t h q u a k e A g e n c y,T a i y u a n 0 3 0 0 2 1,C h i n aA b s t r a c t:D u e t o v a r i o u s s e c u r i t y i s s u e s s u c h a s u n a u t h o r i z e

20、d a c c e s s,d a t a i n t e g r i t y d a m a g e,a n d l i n e e a v e s d r o p p i n g,t h ef o r w a r d l i n k o f t h e c o m m u n i c a t i o n n e t w o r k c a n n o t t r a n s m i t d a t a n o r m a l l y.I n t h i s r e g a r d,a c o m m u n i c a t i o n n e t w o r k f o r w a r d

21、 l i n ks e c u r e t r a n s m i s s i o n m e t h o d b a s e d o n e x t e n d e d B a y e s i a n c l a s s i f i c a t i o n i s p r o p o s e d.O n t h e b a s i s o f d e t e r m i n i n g t h e s e c u r et r a n s m i s s i o n f r a m e w o r k o f c o m m u n i c a t i o n n e t w o r k f

22、 o r w a r d l i n k i n f o r m a t i o n,t h e e x t e n d e d B a y e s i a n c l a s s i f i c a t i o n m e t h o d i si n t r o d u c e d t o c l a s s i f y t h e c o m m u n i c a t i o n n e t w o r k f o r w a r d l i n k,a n d t h e I B E m e t h o d i s i n t r o d u c e d t o e n c r y

23、p t t h e c o m m u n i c a t i o nn e t w o r k f o r w a r d l i n k d a t a,a n d t h e n t r a n s m i t i t u n i f o r m l y t o a c h i e v e s e c u r e t r a n s m i s s i o n o f c o m m u n i c a t i o n n e t w o r k f o r w a r d l i n k.T h e e x p e r i m e n t a l r e s u l t s s h o

24、 w t h a t u s i n g t h e i m p r o v e d m e t h o d,t h e d a t a t r a n s m i s s i o n v o l u m e i n c r e a s e s,t h e t r a n s m i s s i o n a c c u r a c y i sh i g h,a n d t h e t r a n s m i s s i o n t i m e i s s h o r t,w h i c h h a s c e r t a i n a d v a n t a g e s.K e y w o r

25、d s:E x t e n d e d B a y e s i a n c l a s s i f i c a t i o n,C o m m u n i c a t i o n n e t w o r k,S e c u r e t r a n s m i s s i o n(上接第5 2 页)3 陈方霞.浅谈输气管道工程中工业控制系统的网络安全防护 J .中国仪器仪表，2 0 2 2,(0 8):3 1-3 4.4 韩阳，石颖.局域网环境下计算机网络安全防护技术应用研究 J .中国新通信，2 0 2 2,2 4(1 6):1 1 3-1 1 5.5 李慧，帅小应，钱进，季宁依.网络安全课程

26、教学改革人工智能技术在网络安全防护中的利与弊辩论 J .电脑知识与技术，2 0 2 2,1 8(2 3):6 6-6 7+7 8.6 霍朝宾，武蕊.石化行业工控系统网络安全防护体系建设探析 J .网络安全与数据治理，2 0 2 2,4 1(0 8):5 5-6 0.7 王丹识，韩鹏军，王荣博，杨欧，董凯，田欣，许秀莉.我国煤炭企业网络安全现状、问题分析研究与建议 J .中国煤炭，2 0 2 2,4 8(0 7):3 4-4 0.8 张勇，胡嘉俊，肖刚.大型跨区域关基单位日常网络安全防护工作思考研究 J .网络安全技术与应用，2 0 2 2,(0 6):8-9.作者简介高伟(1 9 8 0-),

27、男，硕士，中级工程师，主要研究方向：数据治理、数据安全。A n a l y s i s o f t h e c y b e r s e c u r i t y f r a m e w o r kG A O W e i,T A N G W e iC h i n a i n f o r m a t i o n C o n s u l t i n g a n d D e s i g n i n g I n s t i t u t e C o.,L t d.,N a n j i n g 2 1 0 0 1 9,C h i n aA b s t r a c t:T h i s p a p e r m a

28、 i n l y i n t r o d u c e s t h e o p t i m i z a t i o n s t r a t e g y o f n e t w o r k s e c u r i t y p r o t e c t i o n s y s t e m o f e l e c t r i c p o w e re n t e r p r i s e s,i n c l u d i n g p r o m o t i n g t e c h n o l o g y r e s e a r c h a n d d e v e l o p m e n t a n d u

29、t i l i z a t i o n,s t r e n g t h e n i n g t h e c o n s t r u c t i o n o f m a n a g e m e n tm e c h a n i s m,a n d f o c u s i n g o n p e r s o n n e l t r a i n i n g,s o a s t o i m p r o v e t h e e f f e c t i v e n e s s a n d s e c u r i t y o f n e t w o r k s e c u r i t y p r o t e

30、 c t i o n s y s t e mf r a m e w o r k c o n s t r u c t i o n.A f t e r a n a l y s i s a n d s u m m a r y,t h e s y s t e m h a s t h e a d v a n t a g e s o f h i g h e f f i c i e n c y a n d s a f e t y.K e y w o r d s:N e t w o r k s e c u r i t y,P r o t e c t i o n,N e t w o r k s e c u r i t y p r o t e c t i o n s y s t e m6 4