RONTIER DISCUSSION
前沿探讨
46
APRIL 2021
等级保护2.0在数字图书馆中的应用探讨
引言
现今通信网络技术的快速发展,据报告“截至2021年2月,我国IPv6地址数量为57634块/32,较2019年底增长13.3%,已跃居全球第一位。我国IPv6规模部署不断加速,基础电信企业已分配IPv6地址用户数54593块/32;我国网民规模达9.89亿,普及率达到70.4%,手机网民规模达9.86亿,网民使用手机上网的比例达99.7%”。我国已快步进入了高速信息化、数字化、高效智能化社会。传统的图书馆主要职能有保存和修复科学文化著作、搜集与开发信息资源、促进人才教育等。我国文化部三大惠民工程旨在建设公益性数字服务体系,载体就是科学文化资料共享工程、数字图书馆和公共服务阅览室。数字图书馆是传统图书馆在现代化网络发展中的转变,是信息化在信息存储,共享、文化的传播需求,具有开放性,实时性,可用性。由于2019年末,全球爆发新冠病毒,传统的图书馆根据国家要求暂时闭馆,数字图书馆展现出了非
常重要的作用,给需要的客户查阅带来更多便利
传统的图书馆逐步向高集成数字化、高效智能化、大众网络化发展,而数字图书馆发展的同时也带来信息安全问题、网络安全问题、信息存储泄露问题。本文综述了我国网络安全等级保护体系的发展历程以及现状,浅析网络安全等级保护2.0对数字图书馆的重要意义,开展了等保2.0在数字图书馆中的应用探讨,为数字化图书馆的运行管理提供参考。
◎◎盐城师范学院◎◎杨强◎◎盐城市图书馆◎◎刘捷
的同时,也存在着网络安全的风险。随着网络环境日益复杂,任何网络配置模式都难以应对新的网络形式变化。传统的网络配置已经不符合我国的网络安全等级保护相关的法律法规要求。
一、信息和网络安全综述
(一)网络安全问题
我国的互联网通信快速发展,5G 正在紧锣密鼓地建设中,通信在国家政策大推动下,实施了提速降费等惠民措施,互联网信息化的普及给人们日常工作带来了极大的便捷。人们已经离不开网络,利用互联网获得的各类新闻信息,看喜爱的电视剧、电影、抖音和听好听的歌曲,在2019年12月新冠病毒疫情发展期间,互联网带来了前所未有空间,利用互联网视频会议,医疗救治,学校停课不停学。但互惠便捷
的同期,互联网的普及也带来了颇多方面的应用安全问题、网络安全问题、系统安全问题。信息安全问题、网络安全问
CIVIL-MILITARY INTEGRATION
ON CYBERSPACE
网信军民融合
2021年04月
47
题强烈影响着人们的上网感知,尤其重要的是最大限度地损害了大家的公共利益和个人利益如经济、政治名誉损坏、个人信息泄露等。导致这些信息安全问题和网络安全问题原因很多,主要从互联网业务及应用系统的脆弱性和威胁性分析。
(二)系统的脆弱性分析
系统技术的脆弱性从业务使用与软件应用上看,重要服务器未配置软件定时或动态修复备份,重要数据
备份机制配置有问题;测试用、应急用等服务器存在未关闭不使用的端口或有漏洞的开放端口;业务及应用软件服务器配置不当或少配置了有关安全的访问控制策略;审计服务器的日志审计功能没有启用或采集时间配置不完善;有关业务软件/应用程序开发时存在后门,交付使用的服务器的应用软件程序、APP 等不稳定,常死机;系统规划建设、设备和线路论证部署、资源规划配置、安全控制方面和策略控制等方面的缺陷。从很多硬件上看,相关设备的操作系统很久不更新,存在安全漏洞;相关设备存在硬件老化或质量问题;相关简单口令多人使用或没有按照要求更新;电源等主控件没有冗余保护;使用的网元或网管设备发生故障后处理不及时或告警不上报。从机房的物理环境上看,选择机房用地不合理;一些措施如防水火、防静电、接地与防雷、湿度温度控制不到位;通信线路接地、相关服务器接地等设备的保护措施不规范。
(三)管理脆弱性分析
管理脆弱性分析主要有五个方面叙述:①安全管理制度方面,管理制度存在纸上不落实、制度修订时讨论后整改不到位等;②安全管理机构方面,人员岗位设置有问题(如人员配置或多或少、权限分配不清)、审批授权程序过于简单、没有沟通就执行、无审核和检查等;③安全建设管理方面,软件系统开发程序有漏洞未处理或隐瞒、建设实施方案重点的地方设计过于简单、工程实施结束后未能安排专门人员进行验收或验收程序不标准等;④安全人员管理方面,技术员的考核录用未按照标准进行、上岗技术员未进行安全宣贯和培训、操作技术员离岗手续原有操作账号没有删除或禁用等;⑤运维管理方面,物
理机房环境设施不到位、无序使用存储介质、无定期巡检设备、厂家人员少响应速度不迅速、关键告警指标监控上报措施、无入侵防范措施、无入侵检测措施、数据备份和容灾备份配置不合理,访问控制策略应急保障措施不到位,灾难恢复预案不完善。
(四)威胁性分析
互联网业务系统及应用软件系统面临的威胁主要有三个方面可分为技术层面的威胁、人员的动机威胁和物理环境威胁。环境威胁包括自然界不可抗的威胁(如鼠蚁虫害、洪灾、火灾、山体滑坡、地震、海啸、台风、雷击等)和其他物理威胁。根据人员的动机威胁划分,人员的动机威胁行为可分为两种,恶意传播行为和非恶意传播行为。从广义技术层面威胁来说,相关设备和服务器、及网络相关的设备使用年限过久导致硬件故障;设备网元的线路使用年限过久发生故障;技术层面威胁网络设备的主流系统(如Windows,Linux 等)、重要业务软件管理软件运行故障;存储服务器设备信息资源丢失或软件突然中断导致信息与原有信息不一致;备份媒介长时间使用或产品本身问题等不能用。从物理环境威胁主要有机房市电或UPS 老化断电、机房内静电、灰尘颗粒多、过于潮湿、温湿度异常等;物理机房环境威胁含意料之外事故或通信链路方面的故障。人员的动机威胁方面细分,公司操作管理员不细心或者遗忘应该配置而没有配置命令,或分心操作输入了高危命令或错命令使得正常的网元服务器发生故障,新操作员没有经过上岗培训或操作失误使得网元服务器发生死机或损坏,操作执行员业务能力差、没有完成岗位认证操作发生的网络安全事件或处置木马、病毒配置能力薄弱,安全责任管理制度过于简单、预案
等应急措施落实不到位造成安全秩序不规范或者领导管理人员混乱导致信息安全事件,黑客运用各种扫描、嗅探、木马等软件进行抓包、分析得到网络设备、服务器等授权认证信息,对截获的信息采取重组剖析,得到更多的认证授权信息,非法用户访问本单位的数据库或其他资源设备,或未授权操作执行文件命令和信息资源,黑客运用互联网中数据库系统漏洞或某些应用系统缺陷扩散病毒、木马、蠕虫等破坏工具,运用攻击性软件(如DDOS)大量占用带宽资源或占用某些操作系统资源,使得数据库系统或操作系统的计算运行能力无法使用、不能正常使用操作系统或数据库系统。
二、等级保护标准体系
2017年6月1日国家颁布了《中华人民共和国网络安全法》,要求实行网络安全等级保护制度。网络安全法的实施,是维护国家信息与网络安全稳定、社会集体公共秩序、利益的重要保障,是中国网络安全的基础。等保标准有法律要求、规避责任、主管要求、降低风险的意义,其标志着我国网络安全等级保护进入崭新的时代,俗称“网络安全等级保护2.0”
RONTIER DISCUSSION
前沿探讨
48
APRIL 2021
时期。
(一)等级保护1.0标准体系
2007年6月22日,《信息安全等级保护管理办法》(公通字[2007]43号)文件,由四部委发布,标志着
等保1.0体系的正式实施启动。等保1.0标准规定了等级保护需要完成的规则,即定级备案、等级测评、建设整改和监督检查。为了指导用户完成等级保护,在2008年至2012年期间陆续发布了等级保护的一些主要标准,构成等保1.0的一系列的标准体系。等保1.0体系时期的主要标准如下:信息安全等级保护管理办法(政策法规上位文件);计算机信息系统安全保护等级划分准则(GB17859-1999,技术要求框架规范);信息系统安全等级保护实施指南(GB/T25058-2010,基础类规范);信息系统安全保护等级定级指南(GB/T22240-2008,应用类定级规范);信息系统安全等级保护基本要求(GB/T22239-2008,应用类建设规范);信息系统等级保护安全设计技术要求(GB/T25070-2010,应用类建设规范);信息系统安全等级保护测评要求(GB/T28448-2012,应用类测评规范);信息系统安全等级保护测评过程指南(GB/T28449-2012,应用类测评规范)。
按照《网络安全等级保护基本要求》的规则,等保1.0功能的基本规则要求分为技术框架要求和管理框架要求。技术框架要求的5个控制部分组成,分为物理安全,数据安全及备份恢复,主机安全,网络安全,应用安全。管理框架要求的5个控制部分组成,分为安全管理制度,人员安全管理,安全管理机构,安全运维管理,安全建设管理。采用的框架结构如图1所示,等级保护1.0要求。
(二)等级保护2.0标准体系
如今全球互联网通信信息创新科技的发展势头迅猛,等级保护对象已经不在是狭义中定义的信息系统,
现在已经发散到物联网平台/系统、关键网络信息基础设备、大数据“互联网+”平台/系统、运用4G、5G 承载的互联网系统等,对于入侵防御、入侵检测和新网络架构组网提出新的等级防护的技术框架要求和管理框架要求,这是等级保护2.0标准需要实施的内容。关键网络信息基础设施是等保的重点防护基础之一,基于等级保护标准提出的分等级防护要求和管理要求需要对关键网络信息基础设施加强防护,确保等级保护标准和关键网络信息基础设施防护安全标准参照也是等保2.0标准体系需要涉及的内容。等保2.0标准体系主要标准如下:网络安全等级保护条例(政策
法规总要求/上位文件);计算机信息系统安全保护等级划分准则(GB17859-1999技术要求框架规范);信息安全技术-网络安全等级保护实施指南(GB/T25058-2019基础类规范);信息安全技术-网络安全等级保护定级指南(GB/T22240正在征求意见修订);信息安全技术-网络安全等级保护基本要求(GB/T 22239-2019基础类规范)信息安全技术-网络安全等级保护安全设计技术要求(GB/T 25070-2019应用类建设规范)信息安全技术-网络安
图1 等级保护1.0要求
图2 等级保护2.0要求图3 等保1.0至等保2.0细节变化解读
2021年04月
49
全等级保护测评要求(GB/T 28448-2019应用类测评规范);信息安全技术-网络安全等级保护测评过程指南(GB/T28449-2018应用类测评规范)。
根据《中华人民共和国网络安全法》的相关内容要求,等保2.0要求分为技术框架要求和管理框架要求。技术框架要求有5大类部分组成,分为安全物理环境,安全计算环境,安全区域边界,安全通信网络,安全管理中心。管理框架要求5大部分组成,分为安全建设管理,安全管理人员,安全管理机构,安全管理制度和安全运维管理。采用的框架结构如图2所示,等级保护2.0要求。
(三)等保1.0至等保2.0主要变化
新的《信息安全技术-网络安全等级保护基本要求》、《信息安全技术-网络安全等级保护安全设计技术要求》和《信息安全技术-网络安全等级保护测评要求》与过去旧的发文的具体要求相比有一定的变化,无论是在整体框架规则构成方面还是在个别细微的准则方面均发生了变化,主要有以下5个方面的变化:台风等级划分几个等级
(1)为诠释新发布的《中华人民共和国网络安全法》,全面分析了重要网元设备系统的网络安全等保要求,等保要求的标题和一些大纲要求做了一定的修改,如旧的《信息系统安全等级保护基本要求》的标题修订为《网络安全等级保护基本要求》。等级保护对象大纲在旧的要求中统称为信息系统调整修订为大数据平台/系统、关键网络信息基础设施、云平台/系统、利用4G、5G 无线承载的互联网系统等。
(2)将原来级别的安全要求分为通用要求和扩展要求,其中通用要求是无论等级保护的评测对象是什么都必须满足
的信息安全技术-网络安全等级保护基本要求。扩展要求包括云平台/系统安全扩展要求、物联网服务扩展要求、以及4G、5G 无线网安全扩展要求等,还有新旧规则的控制点和要求点的数量也发生了相应的变化。
(3)根据等级保护对象进行等级评定,等保2.0加入了网络划分:一般网络、重要网络、特别重要网络、极其重要网络,这是等保1.0没有的。
(4)技术要求由原来的物理安全修订为安全物理环境,网络安全框架范围广、涉及面多做了修订,细分为安全通信网络、安全区域边界两大类;主机安全、应用安全、数据安全及备份恢复三大方面逻辑上属于业务终端的应用服务,合并修订为安全计算环境框架,新增加安全管理中心。管理要求由原有人员安全管理修订为安全管理人员。细节变化解读,安全管理中心也变相涵盖了网络安全、主机安全、应用安全、安全运维管理交叉范围,如图3所示。
(4)针对移动互联的特点,提出了新的安全扩展要求。主要内容包括:无线接入点的实际坐标、移动应用APP 软件等。
三、数字图书馆组网分析
(一)数字图书馆发展与演进
针对现在的网络架构数字图书馆网络的接入如图4所示,这种被称为“烟窗”式组网方式,这样的组网与合作的运营商发展有关系,经历了运营商的设备转换更替。图4中所示的数字图书馆为现在仍然存在的网络架构,这样组网结构可能会出现以下几个方面的问题:视频带宽不足、交叉容
图4 智能化数字图书馆的网络架构图
50
APRIL 2021
多年中,每隔大约50年,就会出现新的技术革命,驱动新一波的经济增长。在过去的二百年间,人类先后经历了蒸汽机时代、铁路时代、电气时代以及信息化启蒙发展时代。今天,我们正置身于一个崭新的时代临界点也是起点就是“信息的时代”。而电脑、平板、手机等智能终端快速发展,信息时代的初型已显露,信息时代带来了集成数字化、高效智能化,时间空间一体化的智能化数字图书馆也逐渐显现它的地位,将会慢慢取代传统的图书馆在社会中的角。
这就需要新的科学技术,符合数字图书馆发展需求,提出新的传送网接入。新的传送网有统一交换平台,收编大小颗粒业务类型,传送效率最高。支持纯ODU/VC 交叉搭建硬管道,支持纯分组交换搭建软管道。低时延:优化时延的方案,并提供不同时延方案满足不同的时延要求。线路高可靠:OTN、分组和光层复用,多层隔离防护技术解决了数据流不安全问题。业务安全:硬管道通过物理隔离+加密算法,软管道网络通过安全管理体系确保业务安全。易分发:业务分发和调整不受光纤资源和质量影响,业务分发零等待。易运维:强大的运行维护工具(OD/TP-assist),问题排除零等待。易部署:最佳开局体验,小型化,绿节能,美观。如图5所示,具备同时满足智能化图书馆多平台业务接入灵活性和实时性;满足实时性(10ms 时延);消耗资源少,使得机房空间小,布置会更加美观。
(二)等保2.0在数字图书馆中应用
组网演变成如上图的扁平化,结构框架清晰可见,运行管理维护界面也简化,然而,网络安全成了用户现在主要考虑的问题,等级保护2.0要求实施,为数字图书馆安全应用发展指明了方向,给数字化图书馆的安全服务服务器标明了新的要求方向。结合等保2.0的要求,简单绘制了一个中心三重防护的框架结构示意图,如图6所示。根据等保2.0要求,要求对安全的计算环境、安全区域边界、安全通信网络和安全终端,进行更高质量的防御与保护。等保2.0的基本要求,对上面提到的四个方面进行高层次的解释,为数字图书馆的发展提供安全保障。
图6是一个中心三重防护机制,融入数字图书馆的组网中,图5需要增加可靠的安全管理运维中心、软件操作系统防护、区域安全防护和日志审计监测防护。如图7所示,一个中心三重防护建设在与运营商出入口处,当然在资金富裕的情况下,内部一些服务器或其他系统软件也可以单独架设。这样组网符合了等级保护的要求。
数字图书馆在等保2.0部署施行的情况下,如何提高网络安全的建设,给客户提供安全网络环境,用户上网安全得到了保护,主要互联网业务及应用系统的脆弱性和威胁性分析得到改善,运维管理人员的各项制度手册得到落实。等保2.0的实施最大限度地阻止了大家的公共利益和个人利益受损,减少了经济、政治名誉损坏、个人信息泄露等方面破坏。
图5 智能化数字图书馆组网方式
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论