網絡安全等級保護2.0下的安全體系建設

◆傅 鈺

網絡安全等級保護2.0下的安全體系建設

◆傅 鈺

(江蘇國保信息系統測評中心有限公司 江蘇 215006)

信息安全等級保護是國家信息安全的一項基本國策和制度，從實施至今已經有20多年，隨著云計算、大數據、物聯網和移動互聯等新技術的出現，信息系統基礎架構設施發生了翻天覆地的變化，同時在實際安全建設和測評工作中，標準的適用性、可操作性上還需要進一步完善，原標準體系已經不能滿足新形勢下網絡安全等級保護工作的需要。在此大背景下，國家相關部委對標準進行了修訂，等級保護進入了等保2.0時代，本文旨在對等級保護工作中的問題進行分析，并提出網絡安全等級保護2.0安全體系建設的一些思路。

等級保護；安全體系

1 等級保護工作背景

隨著網絡信息技術的飛速發展，組織和單位相繼建立業務信息系統用于對內部提供生產、經營、決策和管理服務，或對社會公眾提供公共信息服務，業務信息系統極大地提高了工作、生產效率以及服務水平。

信息系統大都采用通用的網絡協議和軟硬件設備，由于網絡安全防護措施不嚴密、軟件系統代碼缺陷、安全配置不當、安全管理不到位等問題不可避免的會存在安全漏洞，這些漏洞問題被攻擊者進行研究和利用，使信息系統面臨較大的安全風險，另外網絡安全威脅持續嚴峻，攻擊者綜合采用多種技術、攻擊手段和方式，使網絡入侵和攻擊事件頻發，組織和單位迫切需要一套行之有效的方法開展信息安全工作。

信息安全等級保護是國家信息安全保障工作的基本制度、基本國策，是開展信息安全工作的基本方法，是促進信息化發展、維護國家信息安全的根本保障。信息安全等級保護強調對信息系統分等級進行保護，對信息安全產品分等級進行管理，對信息安全事件分等級進行響應和處置。也就是不同等級的信息系統采取不同等級的保護方法，具備不同的安全防護措施和能力，達到突出重點、適度保護的目的。

國家相關部委針對信息安全等級保護出臺了相關標準、規范和要求規范信息系統在定級備案、安全建設整改、等級測評、測評機構管理等相關工作，2017年6月1日，《中華人民共和國網絡安全法》發布，進一步為信息安全等級保護工作提供了法律支撐，網絡安全法規定網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務和責任，未履行相關責任的組織和單位將承擔相應的法律責任，網絡安全法的出臺將等級保護工作提升到一個新的高度，組織和單位對等級保護工作的重視程度進一步提高。

2 等級保護1.0標準要求實施中存在的問題

新技術不斷在發展，網絡安全威脅不斷在演變，等級保護工作在實際開展中也遇到一些新問題和新情況。

2.1 新技術平臺定級和安全要求存在空白

隨著國家智慧城市戰略的推進，云計算、物聯網、工業控制系統、移動互聯網逐步在信息系統中得到推廣和應用，等級保護對象范圍進一步擴大，原標準體系只有針對通用系統環境的相關標準要求，但缺乏針對以上新技術平臺的定級流程規范及相關的技術要求，規范定級、安全建設整改和等級測評工作。

2.2 等級保護內容還不夠完善

等級保護工作主要包括定級、備案、安全建設整改、等級測評監督檢查五個環節的工作。而在網絡安全新形勢下已經不能完全滿足等級保護工作的需要，風險評估、安全監測、通報預警，應急處置等網絡安全工作尤為重要，等級保護工作的內涵需要進一步豐富和完善。

2.3 等級保護體系還不夠健全

隨著等級保護對象和工作內容的進一步擴大，等級保護體系需要在現有體系的基礎上進一步完善和健全，重點建立和完善政策、標準、測評、技術、服務等體系，為構建一體化安全保衛體系提供有力支撐。

3 等級保護2.0標準的變化

為適應新技術的發展，解決云計算、物聯網、移動互聯和工控領域信息系統的等級保護工作的需要，由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作，等級保護正式進入了2.0時代。

新標準包含了網絡安全等級保護定級指南、實施指南、基本要求和測評要求，其中新修訂的《網絡安全等級保護基本要求》包含網絡安全等級保護通用要求、云計算安全擴展要求、移動互聯安全擴展要求、工業控制系統安全擴展要求、物聯網安全擴展要求以及大數據安全擴展要求六個部分。

安全技術部分指標由原來的五個層面調整為物理與環境安全、網絡與通信安全、設備和技術安全、應用和數據四個層面，安全管理指標由原來的五個層面調整為安全策略與管理制度、安全管理機構和人員、安全建設管理、安全運維管理四個層面。各層面的控制點和指標項進行了相應的調整，結構更加清晰合理，體系更加完善。

4 等級保護2.0安全體系建設

等級保護2.0管理策略將由之前等級保護1.0的“自主定級、自主保護、監督指導”轉向為“明確等級、增強保護、常態監督”的層面。同時將風險評估、安全監測、通報預警等重點措施以及云計算、大數據、物聯網等新技術平臺納入等級保護管理，要求構建“偵攻防管控”一體化的網絡安全綜合防控體系。因此整個安全體系建設是一項系統工程，可以圍繞以下幾個方面進行開展。

4.1 網絡信任體系建設

建設CA認證系統，為業務系統提供證書生產、身份認證等證書服務，為用戶提供安全可信的支撐服務；在CA認證和服務平臺的支持下，實現用戶信息的統一管理，為操作系統登錄、網絡接入、業務系統訪問提供統一的身份認證。

4.2 安全技術體系建設

綜合采用身份認證、訪問控制、邊界防護、安全審計、入侵檢測/防御、惡意代碼防護等技術構建基礎的技術防護體系。針對云計算平臺部署虛擬化安全防護系統、云安全資源池構建云平臺安全防護體系，實現私有云環境下不同虛機，公有云環境下的不同租戶之間南北向的安全隔離和防御，同時可結合云端的安全防護和監測類服務實現縱深防御。針對大數據平臺，根據數據的生命周期，在主客體間的訪問行為和路徑上綜合采用身份認證、訪問控制、數據加密、數據脫敏等手段進行安全防御。通過部署APT攻擊防護系統、態勢感知系統對威脅及攻擊行為進行主動式的監測及安全態勢的預判，實現持續監測、安全可視。

4.3 安全管理體系建設

組織和單位應建立完善的安全管理領導組織機構，根據單位業務情況并結合安全管理實際建立包含總體安全策略、安全管理制度、操作流程規范、記錄表單的安全管理文件體系，并按照安全管理體系要求嚴格執行。配備專業的機房、系統、網絡、應用和安全管理人員負責信息系統的日常管理工作，加強對業務人員和安全管理人員的安全意識和技能的培訓，定期開展安全事件應急處置演練，提高突發事件的應急處置能力。根據系統安全保護等級及信息系統實際情況規劃系統安全建設，加強信息系統在設計、實施、驗收過程的管理。信息系統如果部署在公有云上，需要確定云服務商提供的云計算平臺達到相應的安全等級，作為云租戶方要與云平臺服務商、云安全服務商明確各自的安全責任和義務。

組織和單位除建立自身的安全運維團隊外，作為對現有安全管理人員補充，以及加強安全應急支撐團隊的建設，組織和單位可通過服務外包的方式委托專業安全服務機構負責日常具體的安全運維工作，把主要精力放在安全整體管理和決策上。通過安全巡檢對系統狀態、安全策略配置進行檢查、對信息系統進行漏洞掃描發現存在的安全風險和漏洞，通過安全加固修復發現的安全問題，提升系統的安全性，通過日志分析及時發現異常和攻擊行為，并針對性調整安全策略，通過應急響應對突發的安全事件進行響應和處置，并進行事后分析和預防改善。通過滲透測試模擬黑客攻擊的方式主動發現系統可利用的漏洞，提升信息系統整體安全性。

4.4 風險管理體系建設

委托專業安全測評機構定期對信息系統進行等級測評和風險評估，一方面對網絡安全法和信息系統安全保護等級的合規性要求進行測試評估，另外進一步發現信息系統面臨的主要安全風險，積極采取風險應對措施，對殘留風險持續進行監控。

5 結語

網絡安全靠人民，網絡安全為人民。隨著國家針對網絡安全等級保護工作的重大舉措和決策部署，政策法律、標準規范進一步得到完善，等級保護工作和監管范圍進一步擴大，相信通過等級保護2.0的推進和實施，將全面提升我國關鍵基礎設施和重要信息系統的安全保障水平，使我們的網絡更加安全，人民更加幸福。

[1]郭啟全.信息安全等級保護政策培訓教程2016版[M].電子工業出版社，2016.

[2]夏冰.網絡安全法和網絡安全等級保護2.0[M].電子工業出版社，2017.