網(wǎng)絡(luò)安全等級保護(hù)2.0安全體系構(gòu)建

陳旭壯

【摘要】? ? 網(wǎng)絡(luò)安全是國家信息安全的基礎(chǔ)，同時(shí)也是國家現(xiàn)代化建設(shè)的前提。構(gòu)建網(wǎng)絡(luò)安全等級保護(hù)體系，并確保網(wǎng)絡(luò)安全標(biāo)準(zhǔn)具有一定的適用性和可操作性，能夠有效的避免網(wǎng)絡(luò)安全漏洞，提升國家信息安全保護(hù)質(zhì)量。本文在闡述網(wǎng)絡(luò)安全等級保護(hù)必要性的同時(shí)，就當(dāng)前國家網(wǎng)絡(luò)安全等級保護(hù)中的問題進(jìn)行分析，并指出網(wǎng)絡(luò)安全等級保護(hù)2.0安全體系的構(gòu)建策略。期望能提升網(wǎng)絡(luò)安全保護(hù)質(zhì)量，進(jìn)而充分滿足國家網(wǎng)絡(luò)化、信息化發(fā)展的需要。

【關(guān)鍵詞】? ? 網(wǎng)絡(luò)安全? ? 等級保護(hù)? ? 2.0安全體系? ? 構(gòu)建策略

互聯(lián)網(wǎng)時(shí)代下，依托計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行信息化建設(shè)與管理已經(jīng)成為企業(yè)生產(chǎn)經(jīng)營的重要趨勢，其有效的改變了企業(yè)業(yè)務(wù)開展模式，實(shí)現(xiàn)了生產(chǎn)、經(jīng)營、決策、管理等環(huán)節(jié)的信息協(xié)調(diào)，對于企業(yè)生產(chǎn)效率、管理效率和服務(wù)水平具有較大影響。然而在網(wǎng)絡(luò)業(yè)務(wù)開展中，受互聯(lián)網(wǎng)自帶風(fēng)險(xiǎn)性的影響，企業(yè)信息容易受到非法訪問和惡意攻擊，增加了企業(yè)經(jīng)營的風(fēng)險(xiǎn)性。構(gòu)建網(wǎng)絡(luò)安全等級保護(hù)體系，進(jìn)行等級保護(hù)已經(jīng)成為網(wǎng)絡(luò)信息安全保護(hù)的有效途徑。

一、網(wǎng)絡(luò)安全等級保護(hù)的必要性

1.1網(wǎng)絡(luò)信息系統(tǒng)風(fēng)險(xiǎn)性較高

網(wǎng)絡(luò)協(xié)議和硬件設(shè)備是信息系統(tǒng)安全保護(hù)的兩個(gè)重要環(huán)節(jié)，然而從當(dāng)前網(wǎng)絡(luò)信息系統(tǒng)安全管理狀況來看，較多企業(yè)的網(wǎng)絡(luò)安全措施不夠嚴(yán)密，一方面，企業(yè)在網(wǎng)絡(luò)安全硬件配置上不夠全面;另一方面，網(wǎng)絡(luò)安全系統(tǒng)的軟件代碼存在缺陷。這些因素使得網(wǎng)絡(luò)信息系統(tǒng)存在一定的安全漏洞，容易被攻擊者研究和利用。譬如，美國東海岸DDoS攻擊、2017年全球WannaCry勒索病毒等都嚴(yán)重?fù)p害了社會(huì)其他群體的利益。新時(shí)期，網(wǎng)絡(luò)信息系系統(tǒng)在多個(gè)領(lǐng)域獲得了廣泛應(yīng)用，但是與之而來的是信息泄露問題不斷增加。現(xiàn)代企業(yè)亟需一套行之有效的安全保護(hù)方法，由此可見，進(jìn)行網(wǎng)絡(luò)安全等級保護(hù)很有必要。

1.2安全等級保護(hù)是國家信息安全的必然要求

信息安全等級保護(hù)是一套完整的安全保護(hù)體系，其不僅影響著現(xiàn)代企業(yè)的信息安全，更對我國現(xiàn)代化建設(shè)具有較大作用。我國從2017年開始實(shí)施《中華人民共和國網(wǎng)絡(luò)安全法》，同時(shí)通過《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》多國家信息安全進(jìn)行宏觀規(guī)劃，在這些制度條款的支撐下，我國信息安全核心技術(shù)取得了較大發(fā)展。

等級保護(hù)制度2.0標(biāo)準(zhǔn)的內(nèi)容更全，安全等級更高，信息管理效果更加凸顯。其實(shí)現(xiàn)了網(wǎng)絡(luò)信息系統(tǒng)基礎(chǔ)設(shè)施安全的有效保護(hù)，并且順應(yīng)了國家信息化建設(shè)和安全管理的發(fā)展趨勢，具有較大的現(xiàn)實(shí)意義。

二、國家網(wǎng)絡(luò)安全等級保護(hù)中問題分析

2.1技術(shù)定級應(yīng)用缺乏標(biāo)準(zhǔn)

智慧城市是我國城市化建設(shè)的重要趨勢，在其發(fā)展中，現(xiàn)代信息技術(shù)得到了廣泛應(yīng)用。在一定程度上，其使得網(wǎng)絡(luò)信息系統(tǒng)安全保護(hù)的范圍有所擴(kuò)大，需要進(jìn)行安全保護(hù)新技術(shù)平臺的開發(fā)和定級應(yīng)用。然而在實(shí)踐中，當(dāng)前較多的網(wǎng)絡(luò)信息系統(tǒng)沿用傳統(tǒng)安全定級保護(hù)標(biāo)準(zhǔn)，這使得安全保護(hù)的范圍僅僅局限于系統(tǒng)環(huán)境控制，影響了信息系統(tǒng)安全保護(hù)的系統(tǒng)性和全面性。現(xiàn)階段，進(jìn)行網(wǎng)絡(luò)信息系統(tǒng)平臺安全定級，并進(jìn)行安全等級測評和保護(hù)勢在必行。

2.2等級保護(hù)內(nèi)容不夠全面

傳統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)中，人們將安全保護(hù)的過程分為定級、備案、安全建設(shè)與整改、等級測評監(jiān)督檢查五個(gè)環(huán)節(jié)。[2]新經(jīng)濟(jì)形態(tài)下，網(wǎng)絡(luò)信息系統(tǒng)安全漏洞的攻擊源逐漸增多，不論是黑客群體，還是敵對勢力或霸權(quán)國家，其所帶來的惡意訪問和攻擊都會(huì)對國家信息安全造成較大影響。目前，現(xiàn)已實(shí)施的等級保護(hù)制度已經(jīng)難以滿足國家安全保護(hù)需要，故而在新時(shí)期，還應(yīng)進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估、安全檢查、通報(bào)預(yù)警和應(yīng)急處理的全面規(guī)范，以此來確保等級保護(hù)內(nèi)容的進(jìn)一步豐富和完善。

2.3等級保護(hù)體系尚不健全

網(wǎng)絡(luò)安全等級保護(hù)體系是當(dāng)前網(wǎng)絡(luò)信息系統(tǒng)安全管理的主要方式，在管理實(shí)踐中，其需要系統(tǒng)、全面的安全保護(hù)體系進(jìn)行保證。現(xiàn)階段，我國網(wǎng)絡(luò)安全等級保護(hù)體系尚不健全，要進(jìn)一步提升其安全管理質(zhì)量，還應(yīng)加大安全等級保護(hù)的政策、標(biāo)準(zhǔn)、測評、技術(shù)和服務(wù)體系建設(shè)，從而為企業(yè)信息安全提供保證。

三、網(wǎng)絡(luò)安全等級保護(hù)2.0安全體系的構(gòu)建策略

3.1強(qiáng)化2.0安全體系標(biāo)準(zhǔn)建設(shè)

相對于傳統(tǒng)網(wǎng)絡(luò)安全管理，等級保護(hù)2.0安全體系不僅包含了定級指南和實(shí)施指南，而且對網(wǎng)絡(luò)安全管理與策略的喲求劑型約束，確保管理?xiàng)l例的通用性。譬如，2.0安全體系標(biāo)準(zhǔn)不僅包含了云計(jì)算系統(tǒng)的安全拓展需要，而且在多個(gè)領(lǐng)域進(jìn)行拓展，使得網(wǎng)絡(luò)信息安全管理的內(nèi)容更加全面。同時(shí)，2.0安全體系新標(biāo)準(zhǔn)對網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù)的應(yīng)用進(jìn)行內(nèi)容歸納;現(xiàn)階段，網(wǎng)絡(luò)信息系統(tǒng)的安全技術(shù)被劃分為四個(gè)層面，其分別為：物理與環(huán)境安全管理;網(wǎng)絡(luò)與通信安全管理;設(shè)備與技術(shù)安全管理;應(yīng)用與技術(shù)安全管理。此外，當(dāng)前網(wǎng)絡(luò)信息系統(tǒng)的安全評價(jià)指標(biāo)也發(fā)生變化，實(shí)際評價(jià)中，安全制度與策略，管理結(jié)構(gòu)與人員、設(shè)備與安全技術(shù)、應(yīng)用和數(shù)據(jù)是2.0安全體系評價(jià)標(biāo)準(zhǔn)的重要內(nèi)容，其實(shí)現(xiàn)了網(wǎng)絡(luò)信息系統(tǒng)安全管理結(jié)構(gòu)的清晰劃分，有助于企業(yè)安全管理質(zhì)量的進(jìn)一步提升[3]。

3.2注重網(wǎng)絡(luò)信任體系建設(shè)

網(wǎng)絡(luò)ID身份認(rèn)知是安全等級保護(hù)建設(shè)重要內(nèi)容。在2.0安全等級保護(hù)體系中，為實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)生產(chǎn)證書、身份認(rèn)證的嚴(yán)格控制，應(yīng)強(qiáng)化認(rèn)證體系建設(shè)。現(xiàn)階段，CA認(rèn)證體系是較為可靠的一種安全認(rèn)證體系，其能在統(tǒng)一管理用戶信息的基礎(chǔ)上，實(shí)現(xiàn)人們登錄操作、網(wǎng)絡(luò)接入操作的優(yōu)化控制，確保信息管理和業(yè)務(wù)經(jīng)營安全。此外，在業(yè)務(wù)系統(tǒng)訪問過程中，CA認(rèn)證服務(wù)體系為放著這提供了標(biāo)準(zhǔn)化、規(guī)范化的身份認(rèn)證服務(wù)，從源頭上降低了企業(yè)網(wǎng)絡(luò)信息系統(tǒng)遭受惡意訪問和攻擊的頻率。

3.3實(shí)現(xiàn)安全技術(shù)體系創(chuàng)新

技術(shù)創(chuàng)新是網(wǎng)絡(luò)安全等級保護(hù)2.0安全體系構(gòu)建的核心所在。在技術(shù)體系創(chuàng)新中，應(yīng)注重以下要點(diǎn)：其一，強(qiáng)化身份認(rèn)證，同時(shí)進(jìn)行訪問指令的安全審計(jì)，并做好惡意代碼識別和防護(hù)工作，從而防止惡意入侵事件發(fā)生。其二，云計(jì)算平臺在當(dāng)前網(wǎng)絡(luò)信息系統(tǒng)的應(yīng)用不斷深入，在其使用過程中，應(yīng)以云平臺為基礎(chǔ)，優(yōu)化安全防護(hù)體系，為網(wǎng)絡(luò)信息安全創(chuàng)設(shè)合理有效的虛機(jī)環(huán)境。其三，對其信息管理服務(wù)和業(yè)務(wù)開展進(jìn)行縱深防御，全面監(jiān)測系統(tǒng)安全，實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的可視管理。

3.4加大安全管理和風(fēng)險(xiǎn)管理體系建設(shè)

安全管理體系建設(shè)中，還應(yīng)是實(shí)現(xiàn)管理機(jī)構(gòu)的優(yōu)化創(chuàng)新，從管理策略、制度、流程、文件等要素進(jìn)行全方位管理，確保網(wǎng)絡(luò)信息系統(tǒng)安全管理有所依據(jù)。其次，應(yīng)對專業(yè)機(jī)房、網(wǎng)路系統(tǒng)、設(shè)備線路等硬件要素進(jìn)行管理，同時(shí)做好管理人員培訓(xùn)，提升其安全意識和管理技能操作能力。此外，依據(jù)安全事件應(yīng)急演練，確保安全管理人員能夠及時(shí)有效的處理突發(fā)事件。網(wǎng)絡(luò)安全等級2.0體系中的風(fēng)險(xiǎn)管理強(qiáng)調(diào)多安全化和信息保護(hù)系統(tǒng)的合規(guī)性評估，同時(shí)，其要求編制嚴(yán)格的風(fēng)險(xiǎn)管理措施，在現(xiàn)有問題處理的同時(shí)，實(shí)現(xiàn)潛在風(fēng)險(xiǎn)的監(jiān)控與防治。

四、結(jié)論

網(wǎng)絡(luò)安全等級保護(hù)2.0安全體系建設(shè)對于國家信息安全具有重大影響。實(shí)踐中，人們只有充分認(rèn)識到網(wǎng)絡(luò)安全等級保護(hù)的必要性，并在當(dāng)前管理問題分析的基礎(chǔ)上，進(jìn)行2.0安全等級保護(hù)體系的規(guī)范建設(shè)，才能提升網(wǎng)絡(luò)安全等級保護(hù)質(zhì)量，進(jìn)而滿足當(dāng)前社會(huì)發(fā)展的需要。

參? 考? 文? 獻(xiàn)

[1]傅鈺.網(wǎng)絡(luò)安全等級保護(hù)2.0下的安全體系建設(shè)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018，No.212（8）：16+19.

[2]何占博，王穎，劉軍.我國網(wǎng)絡(luò)安全等級保護(hù)現(xiàn)狀與2.0標(biāo)準(zhǔn)體系研究[J].信息技術(shù)與網(wǎng)絡(luò)安全，2019（3）：9-14.

[3]趙晶晶.基于等級保護(hù)的網(wǎng)絡(luò)安全建設(shè)之研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（4）：17-17.