基于網絡安全等級保護2.0標準的中小型海關網絡安全體系研究

李釗 汲廣陽 宋兆磊 周守宇

[摘 ? ?要 ]海關是較早實現信息化的中央直屬機構，經過近40年的發展，各種信息技術在海關諸多業務領域得到了極為廣泛化的應用。但是隨著技術的不斷進步，各類新型網絡攻擊手段層出不窮，給海關信息系統帶來了極大威脅。信息安全等級保護制度，是維護國家信息安全的根本保障。2019年5月，網絡安全等級保護2.0國家標準正式發布，信息安全技術與網絡安全保護邁入一個全新時代。本文的主要內容是在網絡安全等級保護2.0體系下，對中小型海關網絡安全體系狀況進行研究并分析問題，提出整改意見，為中小型海關實施等級保護測評提供指導。

[關鍵詞]等級保護2.0;中小型海關;網絡安全體系

[中圖分類號]TP393.08 [文獻標志碼]A [文章編號]2095–6487（2020）07–00–04

[Abstract]Customs is an organization directly under the central government which has realized informatization earlier. After nearly 40 years of development， various information technologies have been widely used in many fields of customs business. However， with the continuous progress of technology， all kinds of new network attack means emerge in endlessly， which brings great threat to customs information system. The classified protection system of information security is the fundamental guarantee of national information security. In May 2019， the national standard of network security level protection 2.0 was officially released， and information security technology and network security protection entered a new era. The main content of this paper is to study the network security system of small and medium-sized customs under the network security classified protection 2.0 system， analyze the problems， and put forward the rectification suggestions， so as to provide guidance for the evaluation of the classified protection of the small and medium-sized customs.

[Keywords]classified protection 2.0; small and medium sized customs; network security system

2019年5月，《網絡安全等級保護基本要求》（GB/T22239-2019）、《網絡安全等級保護測評要求》（GB/T28448-2019）和《網絡安全級保護安全設計技術要求》（GB/T25070-2019）三項國家標準正式發布，標志著等級保護工作邁入2.0時代。信息安全等級保護制度是提高網絡安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設健康發展的一項基本制度，是開展信息安全保護工作的有效辦法。以下將在網絡安全等級保護2.0體系下，對中小型海關網絡安全體系狀況進行介紹，分析差距，提出整改意見。

1 網絡安全等級保護2.0標準簡介

為保障網絡安全，維護網絡空間主權和國家安全，促進經濟社會信息化健康發展，不斷完善網絡安全保護方面的法律法規十分必要。2015年6月24日，十二屆全國人大常委會第十五次會議審議了網絡安全法草案，2017年6月1日起正式施行2017年。網絡安全法明確要求“國家實行網絡安全等級保護制度”（第二十一條）、“國家對一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護”（第三十一條）。上述要求為網絡安全等賦予了新的含義，重新調整和修訂等級保護1.0標準體系，配合網絡安全法的實施和落地，指導用戶按照網絡安全等級保護制度的新要求，履行網絡安全保護義務的意義重大。

與1.0標準相比，等級保護2.0標準下的等級保護對象已經從狹義的信息系統，擴展到網絡基礎設施（廣電網、電信網、專用通信網組等）、云計算平臺/系統、大數據平臺/系統、物聯網、工業控制系統移動互聯技術的系統等（如圖1所示）。

在安全通用要求基礎上，針對云計算、移動互聯、物聯網和工控系統提出了安全擴展要求;進一步明確網絡安全定級及評審、備案及審核、等級測評、安全建設整改、自查等工作要求。增加了測評活動安全管理、網絡服務管理、產品服務采購使用管理、技術維護管理、監測預警和信息通報管理、數據和信息安全保護要求、應急處置要求等內容。該標準是指導用戶開展網絡安全等級保護建設整改、等級測評等工作的核心標準，是開展新時代網絡安全等級保護工作的前提。[1]

2 海關網絡安全體系現狀

現海關網絡安全保障體系包括管理體系、技術體系、支撐體系和服務體系四個層面如圖2所示：

2.1 管理體系

從管理要素角度看，管理體系包括安全管理、安全組織、建設運行、技術管理、合規管理和安全協調六個方面內容。安全管理是開展信息安全工作的基礎，規定了信息安全工作的目標、活動和流程，并提出要求。安全組織是開展信息安全工作的組織保障，明確安全管理機構和人員的職責與分工。建設運行是開展信息安全工作重要措施，將安全工作分解到信息系統全生命周期的各個階段，進行落實。技術管理是為信息安全工作的開展進行技術研究和儲備，應對新技術、新應用對安全工作所帶來的挑戰。合規管理是對信息安全工作開展情況的監督、檢查和審計，掌握信息安全工作的執行狀況。安全協調是開展信息工作輔助手段，協調內部資源、借助外部資源及時、有效解決信息安全問題、獲取安全情報。

2.2 技術體系

從保護對象角度看，技術體系包括終端安全、應用安全、數據安全和基礎安全四個方面內容。終端是海關業務工作的人機交互界面，是造成安全問題的主要入口，加強終端安全保護，切斷安全威脅路徑。應用系統是處理海關業務的軟件系統，是信息系統脆弱性產生的主要根源，加強應用系統的功能設計和開發，降低應用系統的脆弱性。數據是海關業務的核心資產，落實數據分類分級和全生命周期保護，規避數據被非授權訪問或非法竊取的威脅?；A設施是支撐海關信息系統正常運行的基石，是整個技術體系的基礎，完善基礎安全防護，控制信息系統面臨的一般風險。

2.3 支撐體系

從網絡安全綜合防范能力角度看，支撐體系包括管理能力、檢測能力和響應能力三個方面內容。管理能力是實現海關信息系統網絡安全閉環管理的支撐;檢測能力是實現海關信息系統網絡安全態勢的感知與預警的支撐;響應能力是實現海關信息系統網絡安全事件的分析、處理和追溯的支撐。

2.4 服務體系

從安全資源角度看，安全服務體系包括人才共享、政策法規共享、信息共享、安全服務四個方面內容。人才共享是整合海關技術專家資源，充分發揮各技術人員的優勢和能力，建立安全專家工作機制;政策法規共享是建立信息安全政策法規庫，為海關信息安全工作人員提供服務信息共享是建立安全知識庫，將海關信息系統運行過程中出現的安全事件、系統故障等處理的方法與經驗進行共享;安全服務是建立能夠提供服務的平臺與系統，創新安全服務模式，完善安全服務內容，為海關提供網絡安全服務。

3 海關信息系統面臨的網絡安全形勢和問題

3.1 需要進一步符合網絡安全等級保護的新要求

隨著信息技術的發展和網絡安全形勢的變化，原信息系統安全等級保護的要求已無法有效應對新的安全風險和新技術應用所帶來的新威脅，以被動防御為主的防御思想無法滿足當今發展要求，因此新的網絡安全等級保護要求適時而出，從法律法規、標準要求、安全體系、實施環節等方面都有了變化[2]。

針對新的安全形勢，信息系統的安全設計應基于業務流程自身特點，利用邊界防護、訪問控制、入侵防范、安全審計、身份鑒別、數據安全保護、惡意代碼防范等技術手段，建立“可信、可控、可管”的安全防護體系，使得系統能夠按照預期運行，免受信息安全攻擊和破壞。同時，隨著海關今后對于新技術的采用，需符合網絡安全等級保護中擴展要求的云計算、物聯網、移動互聯網、工業控制以及大數據的相關要求。

海關信息系統安全建設應充分吸收網絡安全等級保護的實質內涵，有效適應新體系所提出的新要求，做到合規達標。

3.2 應對日趨嚴峻的網絡空間安全挑戰

通過網絡安全攻防演習、滲透測試等專項工作，在海關網絡安全方面檢驗了工作水平，積累了實戰經驗，提升了隊伍能力，排查化解了風險。同時，在VPN設備防護能力、專網管理措施、關鍵設備安全防護措施和監測手段、內網管理策略、邊界準入設備權限控制、應用系統漏洞、域安全等方面發現存在諸多問題和隱患，需要對暴露出的問題進行有針對性的整改。

3.3 在數據安全與敏感數據防泄漏方面亟待加強

數據是海關重要的戰略資產，數據安全是網絡安全中極其重要的部分。在網絡安全法中對數據安全領域的保護也有著明確的要求。如何以數據為視角強化網絡安全體系建設，實現數據分級保護，有效保護內部關鍵數據的安全，防止敏感數據的泄漏和丟失，使得核心業務數據安全、可觀、可控、可追溯是需要重點考慮的問題。

3.4 網絡安全資源需要進一步整合

2013年7月，金關工程（二期）項目啟動建設。隨著項目的推進，各直屬海關增配了多種安全設備，進一步豐富了各關的信息安全防護體系，提升了網絡安全防護能力。雖然有安全管理平臺對各安全設備進行監控和日志采集，但往往各個安全資源各自為戰，沒有形成統一分層次的防護整體，仍需要耗費人力熟悉操作使用，并對安全日志進行分析，無法準確定位安全問題，降低了安全設備的使用成效，進而制約了海關信息系統信息安全防護體系的有效提升。

4 中小型海關信息系統等級保護測評實施建議

4.1 等級保護對象的確定

作為定級對象的信息系統是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理、服務的系統。等級保護對象一般具有3個基本特征：（1）具有唯一確定的安全責任單位;（2）具有信息系統的基本要素;（3）承載單一或相對獨立的業務應用[3]。結合《海關網絡安全等級保護定級備案指導方案》中給出的海關信息系統定級對象和級別的建議，中小型海關的等級保護對象可確定為以下四個系統：（1）海關業務網;（2）海關管理系統;（3）海關作業系統;（4）電子口岸專網系統。

4.2 相關系統的定級級別

4.2.1 海關業務網

海關業務網是海關信息系統運行的基礎網絡環境，承載包括：海關作業系統以及與作業系統相關應用的網絡運行平臺，主要有運行通關管理、物流監控、檢驗檢疫等作業系統。一旦網絡中斷，相關信息系統將無法正常運行，將給海關正常業務和辦公造成影響，造成較為嚴重的損失，故建議將海關業務網這一網絡基礎環境單獨進行定級。

中小型海關的海關業務網業務信息安全或系統服務安全受到破壞后，對社會秩序和公共利益造成嚴重損害，即：工作職能受到影響，業務能力下降，對社會造成大范圍的不良影響，以及對組織和個人造成損失;以及對公民、法人、其他組織的合法權益造成嚴重損害。故該系統可考慮定級為第二級。

4.2.2 海關管理系統

海關管理系統信承載著相對獨立的業務，主要承擔：業務管理、綜合事務協調、人事管理、通知管理、文件收發、簽報管理、政務信息、督查管理、檔案管理等海關內部管理業務。

中小型海關的海關管理系統業務信息安全或系統服務安全受到破壞后，對社會秩序和公共利益以及公民、法人、其他組織的合法權益均造成嚴重損害，即工作職能受到嚴重影響，業務能力顯著下降且嚴重影響主要功能執行，出現較嚴重的法律問題，較高的財產損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。故該系統可考慮定級為第二級。

4.2.3 海關作業系統

海關作業系統承擔所屬關區的海關業務，主要業務有：關稅征管、貨運監管、通關監管、海關稽查、國際快件郵件監管、進出境運輸工具、人員和行李物品監管、加工貿易監管、衛生檢疫、進出境動植物檢疫和進出口商品檢驗鑒定及認證等。

中小型海關的海關作業系統業務信息安全或系統服務安全受到破壞后，對社會秩序和公共利益造成嚴重損害，即：工作職能受到影響，業務能力下降，對社會造成大范圍的不良影響，以及對組織和個人造成損失;以及對公民、法人、其他組織的合法權益造成嚴重損害，即：工作職能受到嚴重影響，業務能力顯著下降且嚴重影響主要功能執行，出現較嚴重的法律問題，較高的財產損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。故該系統可考慮定級為第二級。

4.2.4 電子口岸專網系統

電子口岸專網系統承載著相對獨立的業務，此系統是企業通過Ibmmq連接，發送海關總署16號公告中所有海關開通的接口報文，一般發送的文件為xml。與企業連接采用互聯網連接。與數據中心連接采用電子口岸專網連接，目前主要用以傳輸企業艙單信息，查驗信息等。通過MSMQ與企業連接，與企業連接采用互聯網連接，與數據中心連接采用互聯網連接。

中小型海關的電子口岸專網系統業務信息安全或系統服務安全受到破壞后，對社會秩序和公共利益造成嚴重損害，即：工作職能受到影響，業務能力下降，對社會造成大范圍的不良影響，以及對組織和個人造成損失;以及對公民、法人、其他組織的合法權益造成嚴重損害，即：工作職能受到嚴重影響，業務能力顯著下降且嚴重影響主要功能執行，出現較嚴重的法律問題，較高的財產損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。故該系統可考慮定級為第二級。沒有電子口岸相關業務的海關不可定級。

4.3 信息系統安全加固的重點

4.3.1 建立1個安全管理平臺

海關信息安全體系的技術設計圍繞安全管理平臺進行，面向多個安全等級保護區域統一建設集中化的包括系統管理，安全管理和審計管理的管理平臺，安全管理平臺統一完成對各區域，各層面的安全機制實施。

4.3.2 設計3重防御措施

安全計算環境：通過在操作系統核心層、系統層設置以強制訪間控制為主體的系統安全機制，形成防護層，通過對用戶行為的控制，可以有效防止非授權用戶訪問和授權用戶越權訪問，確保信息和信息系統的保密性和完整性，通過接口平臺使應用系統的主客體與保護環境的主客體相對應，達到訪問控制策略實現的一致性。

安全區域邊界：通過對進入和流出安全保護環境的信息流進行安全檢查，確保不會有違反系統安全策略的信息流經過邊界。

安全通信網絡：通過對通信數據包的保密性和完整性的保護，確保其在傳輸過程中不會被非授權竊聽和簒改，以保障數據在傳輸過程中的安全。

4.3.3 形成3道安全防線

第一道防線：以安全管理體系為基礎、以安全技術體系為支撐構建完備的安全管理體制與基礎安全設施，形成對安全苗頭進行事前防范的第一道防線，為海關信息系統的安全運行打下良好的基礎。

第二道防線：由安全支撐體系構成事中控制的第二道防線。通過周密的調度、安全運維管理、安全監測預警，及時排除安全隱患，確保海關信息系統持續、可靠地運行。

第三道防線：由安全服務體系構成事后控制的第三道防線。針對各種突發災難事件，利用專家庫建立災難恢復與業務持續性計劃，進行應急演練，形成快速響應、快速恢復的機制，將災難造成的損失降到可以接受的程度。

4.3.4 完善4個安全體系建設

安全管理體系：進一步強化海關信息系統的安全管理，建立起以關領導為核心的網絡安全管理委員會，明確關區安全發展規劃，落實安全管理機構和人員分工，積極協調各部門處室的技術力量，形成安全管理的合理閉環。

安全技術體系：切實掌握并熟練應用金關工程二期下發的各類安全設備，強化終端安全、應用安全、數據安全和基礎安全，降低各層面安全風險。

安全支撐體系：建立日常安全運行與維護機制，提高管理能力、檢測能力和響應能力，重點是建立安全運行問題處理機制，形成完善的運行保障機制，及時、準確、快速地處理問題，強調執行過程安全。

安全服務體系：加快信息安全人才隊伍建設，加強海關與其他行業的橫向縱向溝通，積極響應科技建立安全專家工作機制，利用安全服務完善安全體系建設。

5 結束語

綜上所述，網絡安全等級保護2.0是對等級保護1.0的繼承與完善，能夠為網絡安全防護工作的實施提供有效的指導。海關要結合網絡安全等級保護2.0的要求，依照“一個中心、三重防護”的安全架構優化、完善網絡安全技術防護與管理防護，結合先進技術的運用以及管理體系的不斷完善，有效應對各種安全風險問題，促使海關信息系統的整體安全得到進一步增強。

參考文獻

[1] 傅鈺.網絡安全等級保護2.0下的安全體系建設[J].網絡安全技術與應用，2018（8）：9.

[2] 付敏，蒲小英，秦偉強，等.基于網絡安全等級保護2.0標準的物聯網安全體系架構[C]//2019中國網絡安全等級保護和關鍵信息基礎設施保護大會論文集.公安部網絡安全保衛局指導;公安部第三研究所，2019.

[3] 楊春，徐瑋，夏平平，等.基于網絡安全等級保護的信息系統安全設計[J].現代工業經濟和信息化，2019（11）：68-69.

[4] 段曉祥，王洪鰲，袁洪朋，等.基于AHP的網絡安全等級保護2.0評價算法研究[C]//2019中國網絡安全等級保護和關鍵信息基礎設施保護大會.

[5] 郭樂.網絡安全等級保護2.0體系下的法院網絡安全管理及應對[J].網絡安全技術與應用，2020（5）：136-137.

[6] 林春艷，陳建云.基于網絡安全等級保護2.0的氣象信息網絡安全體系研究[J].信息記錄材料，2020，21（4）：107-108.

[7] 段曉祥，王洪鰲，袁洪朋，等.基于AHP的網絡安全等級保護2.0評價算法研究[C]//2019中國網絡安全等級保護和關鍵信息基礎設施保護大會.

[8] 劉赫.基于網絡安全等級保護2.0的安全區域邊界[J].電子技術與軟件工程，2020，171（1）：242-244.

[9] 何占博，王穎，劉軍，等.我國網絡安全等級保護現狀與2.0標準體系研究[J].信息技術與網絡安全，2019，38（3）：9-14.

[10] 管林玉.基于shellcode靜態虛擬執行的文檔類漏洞惡意代碼取證技術研究[C]//第五屆全國信息安全等級保護技術大會.