面向“新基建”的新一代网络安全框架

面向“新基建”的新一代网络安全框架

李汶奇 孙宝林

国网内蒙古东部电力有限公司阿尔山市供电分公司 内蒙古 兴安盟阿尔山市 137800

摘要：当前互联网的不断发展已经把世界各地的计算机紧紧的连接在一起，网络连接在一起，网络服务也就不断的应用在各行各业。网络安全变得至关重要，网络安全是“新基建”的基础。本文分析了在面向“新基建”的新一代网络安全问题。

关键词：“新基建”；网络安全

随着Internet的高速发展，全国的各个地方都普遍建立了自己的网络，与之前的网络一样，网络安全具有相应的特点:第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地变化；第三，随着网络在社会各方面的延伸，进入网络的手段也越来越多，因此，网络安全技术是一个十分复杂的系统工程。

一、“新基建”需要新一代网络安全框架

过去20年，国内外在信息化建设方面，有一套行之有效的框架与方法论，即采用以系统工程思想结合IT的EA（Enterprise Architecture）方法论，形成TOGAF框架（开放组织体系结构框架The Open GroupArchitecture Framework），引导与推动了大规模、体系化、高效整合的信息化建设，很好地支撑了各行业的业务运营。网络安全行业一直盼望着能有与信息化系统工程方法相匹配的框架，指导未来的网络安全体系建设。因为此前，在网络安全行业，一直采用的是“局部整改”为主的安全建设模式，致使网络安全体系化缺失、碎片化严重，网络安全防御能力与数字化业务运营的保障要求严重不相匹配。把网络安全升级成“新基建”的基础工程，就必须有一套行之有效的框架作为指导。如奇安信的战略部门从 2019 年开始潜心研究，并于近日发布新一代网络安全框架。这是面向“新基建”建设、面向数字化业务，以系统工程的方法论结合“内生安全”的理念，形成的网络安全建设框架。这套框架从顶层视角出发，帮助各行业在数字化环境内部建立无处不在的“免疫力”，构建出动态综合的网络安全防御体系，全方位保障业务安全。

二、新一代网络安全防范技术

1.病毒防护技术。病毒防护技术是指通过对网络上传输的数据、系统内的文件、内存和磁盘等进行扫描和实时监控，发现病毒并将其清除的技术。

2.数据加密技术。数据加密技术是保证信息的安全性的关键技术，是一种主动的防御技术，其基本思想是通过对数据进行加密变换，将其转换成非法入侵者无法识别的一字符来保障网络安全。如数据保密、数据完整性、数据不可否认与抵赖、双向身份认证等。目前主要存在两种加密技术：一种是对称加密，其实现算法主要是AES；一种是非对称加密，其实现算法主要是RSA。

3.认证技术。认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程。其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。认证常常被用于通信双方相互确认身份，以保证通信的安全。认证可采用各种方法进行，其实现主要是通过数字信封、数字摘要、数字签名、数字证书、智能卡和生物特征识别等技术方法。

4.防火墙技术。防火墙技术实际上是一种隔离控制技术，它是一系列部件的组合，用来有效地监控不同网络或网络安全域之间的任何活动，拦截非授权的访问。目前，防火墙技术是实现网络安全策略最有效的工具之一。但防火墙技术是一种被动的防御技术，对来自内部的非法访问难以有效地控制。防火墙关键技术有：一是数据包过滤技术，是一种完全基于网络层的安全技术，它只能根据数据包的源地址、目标地址、端口号、协议类型以及状态信息等进行过滤，无法对应用层的数据进行过滤，因此对于基于应用层的恶意入侵就无能为力。二是代理技术，它用来提供网络服务级的控制，起到外部网络向被保护的内部网络申请服务时中间转接作用，这种方法可以有效地防止对内部网络的直接攻击，安全性较高。三状态监控技术，有效地提高了防火墙的安全性，可以对每一层的数据包进行检测和监控。四智能技术，一个全方位的安全技术集成系统，它可以抵御目前常见的网络攻击手段，如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等等。

5.防火墙中的网络地址转化-NAT。网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。

在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

6.入侵检测技术。入侵检测技术通过对从计算机网络或计算机系统的若干关键点收集的信息进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，关对非法使用系统资源的行为及时判断、记录和报警。协助系统管理员进行安全管理或对系统所受到的攻击采取相对应的对策。

7.VPN技术。虚拟专用网VPN(VirtualPrivateNetwork)，是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应用商同公司内部建立可信的安全连接，并保证数据的安全传输。VPN实现的两个关键技术是隧道技术和加密技术。

三、新一代网络安全框架任务

1.实战化安全运行能力建设。按次开展的安全检查与测评模式无法达到业务安全保障要求。应全面涵盖安全团队、安全运行流程、安全操作规程、安全运行支撑平台和安全工具等，并持续的评估、优化，持续提升安全运行成熟度，以达成对信息系统的持久性防护。

2.应用安全能力支撑。应用系统建设过程中安全长期缺位，安全与信息化建设普遍割裂，系统带病上线，后期整改困难。结合开发运行一体化（DevOps）模式，推进安全能力与信息系统持续集成，使安全属性内生于信息系统，保持敏捷的同时满足合规，使信息系统天然具有免疫力。

3.安全人员能力支撑。人的能力决定安全体系建设和运行的能力。设计企业网络安全团队、设置岗位与能力要求，开展能力实训，建设网络安全实战训练靶场，提升人员的实战能力，形成安全团队建制化。任务四：物联网安全能力支撑。物联网设备类型碎片化、网络异构化、部署泛在化的特性引入了大量安全风险。结合物联网“端边云”的架构，构建具有灵活性、自适应性和边云协同能力的物联网安全支撑体系。

5.业务安全能力支撑。数字化业务剧增，由恶意操作、误操作行为引发的业务风险显著增长。聚合业务与行为数据，利用大数据分析技术，保护客户隐私、交易安全，加强欺诈防范，打击涉黄、涉政等行为，保障业务运营。

综上所述，一个国家的信息安全体系实际上包括国家的法规和政策，以及技术与市场的发展平台。新一代网络有多方面，我国在构建信息防卫系统时，应着力发展自己独特的技术和安全产品。

参考文献：

［1］张娜.构建IPV6新一代网络安全架构［J］.中国金融电脑，2018（2）：48~50.

［2］李建.基于新一代网络安全技术的实现［J］.互联网天地，2018（11）：31~32.