等級保護2.0下通信系統網絡安全體系研究

□ 文 劉俊杉 段 莉

一、背景

等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置，是針對國家網絡安全的基本制度。我國于2007年正式實施等級保護制度。經過10多年的發展，2019年5月等級保護2.0標準發布，并于同年12月1日正式實施，這標志著我國網絡信息安全等級保護工作進入了新的時代，對保障國家網絡安全具有里程碑的意義。

隨著科技的進步和通信網絡的發展，網絡與信息安全形勢日益嚴峻，網絡安全逐漸被推上更重要的位置。習近平總書記針對網絡安全提出了重要論斷：沒有網絡安全就沒有國家安全。黨的十九大也針對網絡安全作出戰略部署：指出加強互聯網內容建設，建立網絡綜合治理體系，營造清朗的網絡空間，堅持系統性謀劃、綜合性治理、體系化推進，逐步建立起涵蓋領導管理、正能量傳播、內容管控、社會協同、網絡法治、技術治網等多方面內容的網絡綜合治理體系，全方位提升網絡綜合治理能力。

相較于等級保護1.0標準，等級保護2.0標準為了順應新技術的發展及應用，將保護對象的范圍、防御體系和實施流程等方面都納入了擴展要求。

二、等級保護2.0相關概念

2.1 等級保護制度發展歷程

隨著互聯網技術的發展，近年來國家陸續出臺了針對網絡安全、信息安全的相關法律、法規和標準，為網絡及信息安全提供了政策保障。從1994年國務院147號令《中華人民共和國計算機系統安全保護條例》、2003年中辦發27號文《國家信息化領導小組關于加強信息安全保障工作的意見》以及2004年公通字66號文《關于信息安全等級保護工作的實施意見》開始，國家針對網絡及信息安全保護的進程開啟。

2007年《信息安全等級保護管理辦法》發布，規定了信息系統定級、備案、安全建設整改、等級測評、檢查五部分。2008年以后，等級保護1.0標準發布，包括《信息安全技術信息系統安全等級保護基本要求》、《信息安全技術信息系統安全等級保護定級指南》、《信息安全技術信息系統安全等級保護實施指南》等，等級保護工作開始逐步推廣，標志我國等級保護工作進入發展階段。

黨的十八大以來，網絡安全工作也被推到了更重要的位置。習近平總書記對網絡安全與國家主權、網絡安全與國家安全、網絡安全與人民、網絡安全與法制、網絡安全與信息化發展、網絡安全與國際社會都做出重要指示。2015年以來，我國關于網絡安全已頒布或印發190項法律法規和政策要求，與通信相關的有40余項。2016年11月7日，全國人民代表大會常務委員會正式頒布《中華人民共和國網絡安全法》。自2017年6月1日起施行，明確提出我國要實行網絡安全等級保護制度，等級保護已經上升到法律層面。2019年5月，《信息安全技術網絡安全等級保護基本要求》、《信息安全技術網絡安全等級保護測評要求》以及《信息安全技術網絡安全等級保護設計要求》標準正式發布，要求2019年12月1日起施行，標志我國網絡安全等級保護制度已經邁入全新的2.0階段，著重于積極防御、動態防御、精準防護和整體防控，是網絡安全的新發展。

2.2 等級保護2.0的核心變化

通過對比等級保護1.0與等級保護2.0的相關標準，包括基本要求、測評要求、設計技術要求，等級保護2.0在制度地位上明確提升，有31條規定：國家對關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護；2.0標準在保護對象上進一步豐富和完善，要求更加適應新形勢；2.0標準更加強調未知威脅檢測能力，強調安全檢測能力和安全響應能力的建設；2.0標準在政策體系上也做出進一步細化完善，配套管理規范、實施細則正在陸續出臺，體現了動態的、積極防御的安全理念；2.0標準也進一步提升了適用性和可操作性，核心標準全部修訂、測評要求細化、充分考慮可操作性。

等級保護2.0標準新增或修訂了以下四部分。

2.2.1 保護對象更加全面

首先，從等級保護1.0標準《信息安全技術信息系統安全等級保護基本要求》和等級保護2.0標準《信息安全技術網絡安全等級保護基本要求》的名稱來看，不難發現1.0中保護對象為信息系統，而2.0中已變為網絡安全系統，涵蓋面更全。等級保護2.0要求內容簡要如表1。

表1 等級保護2.0要求簡圖

其次，從技術發展來看，等級保護2.0中為了適應云計算技術、大數據、物聯網、工業控制、移動互聯網的發展，不斷擴大等級保護對象的外延，將云計算、大數據等納入到保護范圍內。等級保護2.0要求中對新納入范圍的保護對象分級闡述，并對應用場景進行說明，新的信息技術催生新的安全技術。

2.2.2 安全要求更加豐富

安全技術指標由原來的五個層面調整為物理與環境安全、網絡與通信安全、設備和技術安全、應用和數據安全四個層面，安全管理指標由原來的五個層面調整為安全策略與管理制度、安全管理機構和人員、安全建設管理、安全運維管理四個層面。各個層面的控制點和指標項均進行了相應的調整，結構清晰合理，體系更加完善。

等級保護2.0要求中增加了安全擴展要求。安全擴展要求是針對特殊對象的個性化要求，包括新納入范圍的云計算、物聯網等的安全要求。如移動互聯網一般從結構上分為移動終端、無線通道、接入設備及服務器層，2.0標準中移動互聯網安全擴展要求主要針對移動終端、移動應用和無線接入網部分提出特殊安全要求，通過安全通用要求和安全擴展要求構成系統的整體安全防護。

2.2.3 控制措施更加嚴密

等級保護2.0的管理策略為：明確定級、增強保護、常態監督。根據定取等級對應相應的測評周期，二級信息系統每兩年測評一次，三級以上定級對象要求每年至少開展一次測評，網絡安全系統的建設、評估形成閉環管理，更有利于發現問題、優化系統。

相較于等級保護1.0要求，等級保護2.0中除規定的五個基本內容外，增加了新的安全要求，包括安全檢測、數據防護、風險評估、安全監測、通報預警、態勢感知、應急處理等。同時，等級保護2.0將可信驗證列入各級別（一級到四級）和各環節的主要功能要求中，建立了信任鏈，保證網絡系統從軟硬件平臺到操作系統，再到應用，一級信任一級，擴展至計算機系統，從而保證計算機系統的可信任。

三、通信系統網絡安全現狀分析

通過對通信網絡安全系統現狀的分析，發現目前網絡安全在系統建設和管理方面存在以下兩方面不足。

3.1 系統建設方面

3.1.1 現網入侵感知能力不足

無法有效檢測攻擊行為，積極防御能力有待提升；現網存在大量入侵痕跡，內網系統存在被植入后門、挖礦軟件、活躍蠕蟲病毒等歷史入侵痕跡，而且被控時間較長，但均無感知。

3.1.2 互聯網暴露面管控不足

目前網絡存在私搭亂建VPN，缺乏管理的現象，容易被滲透進入內網。由于接入公網的系統逐漸增加，系統開發人員不同，導致部分暴露面的資產長期無人使用、無人管理、無人維護；安全設備大多無精細化的策略控制，WAF防火墻等未正確配置策略導致對非法攻擊行為無法及時阻斷。

3.1.3 內網安全管理不足

內網安全域邊界不清、邊界模糊導致內網大量設備被攻擊；內網主機只用相同的賬號口令，容易導致“一臺突破、同網盡失”；運維設備權限過大，部分網絡監控、管理終端直接管理核心設備，容易被控制引發癱瘓，造成事故。

3.1.4 應急處置機制虛設

檢測能力有待提升，互聯網暴露資產可被有效控制，監測上報率較低；信息上報不及時，不能按照要求及時報送應急處置工作情況；存在應急預案與執行兩張皮現象，內網系統被攻陷時未能及時按預案啟動應急處置機制。

3.1.5 安全運維管理不足

常見高危漏洞未及時修復，多臺主機仍存在Struts2、WebLogic等中間件高危漏洞，仍存在“永恒之藍”高危漏洞；系統安全配置不當、業務邏輯不清晰，日志中賬號口令明文記錄、未授權訪問等低級錯誤仍大量存在；系統交維存在“空窗期”，部分業務系統上線后驗收前并未按要求實施安全管控，存在較大的安全隱患。

3.2 組織人員方面

圖1 云計算應用系統架構簡圖

在人員結構、能力認證、安全意識方面亟需進一步加強和提升。

目前，安全管理人員多，組織機構龐雜；但安全技術人員少，具有實際運維經驗的專業人員少，其中有安全相關能力認證的人員更少，在業務中斷響應和業務應急處置等技術能力存在不足；員工安全意識不足，大量重要系統的中間件、數據庫、網絡設備仍存在使用弱口令或默認口令的現象。

四、新技術應用場景及網絡安全需求

4.1 云計算技術應用場景

圖2 大數據系統架構簡圖

云計算技術通過互聯網實現彈性可伸縮的按需服務、泛在接入、多租戶、可度量的特征。隨著云計算技術的成熟及應用的普及，云計算安全成為制約云計算發展的重要因素之一。根據國家互聯網應急中心《2019年上半年我國互聯網網絡安全態勢》統計，云平臺成為發生網絡攻擊的重災區。

云計算技術應用如圖1，通常分為基礎設施層（IAAS）、平臺層（PAAS）及應用層（SAAS）三層。在云計算應用的不同模式中，提供商和租戶對計算資源有著不同的控制范圍，也相應決定了不同角色的安全責任邊界。在提供IAAS層服務時，云計算平臺由基礎設施、資源管控層和虛擬化層組成；在提供PAAS層服務時，云計算平臺由基礎設施、資源管控層、虛擬化層和平臺能力層組成；在提供SAAS層服務時，云計算平臺由基礎設施、資源管控層、虛擬化層、平臺能力層和應用層組成。

圖3 物聯網系統架構簡圖

等級保護2.0中云計算部分主要考慮基礎設施和虛擬化層以及相關組件的安全。對于物理環境安全，等級保護重點在于基礎設施的物理安全及計算/存儲資源的跨境問題，要求全部基礎設施應位于中國境內。

4.2 大數據應用場景

大數據以其數據5V（數據量大、種類繁多、價值高、數據增長快、數據質量可信賴）特點，一旦遭到破壞、泄露或篡改就會嚴重威脅國家安全、社會秩序以及公共利益。大數據安全保護原則以數據為核心，關注數據的全生命周期安全，即從數據采集、到數據應用的安全。其中通信用戶的數據又占有較大的比例，具有較高的價值。

大數據應用如圖2，通常是由大數據平臺實現，大數據平臺為應用提供數據資源、數據分析和服務支撐，包括數據采集層、數據分析層和數據應用層，通過對數據的采集、處理、存儲、分析、展示等，為數據創造價值。

等級保護2.0中，大數據應用擴展要求中重點考慮基礎設施、數據安全以及數據相關功能/組件的安全。對于物理環境安全、網絡通信安全以及計算環境安全均有明確規定。

4.3 物聯網應用場景

簡單來說，物聯網系統的技術架構如圖3，就是由感知層、網絡層傳輸、應用層構成。其中感知層包括傳感器節點和傳感網關節點或由RFID標簽和RFID讀寫器構成的RFID系統；網絡傳輸層包括將感知數據遠距離傳輸到處理中心的網絡，包括電信網、互聯網、移動通信網等；應用層包括對感知數據進行存儲和智能處理的平臺，并對業務應用終端提供服務。

感知層主要用于識別物體和采集信息，是物聯網的關鍵，是等級保護2.0標準中的關注重點。在測評中，重點關注感知層的節點設備和網關節點設備安全。

對于物理環境安全、網絡通訊安全、區域邊界安全、計算環境安全方面，等級保護2.0要求中均做出擴展要求。

4.4 移動互聯網應用場景

移動互聯網指移動終端通過無線通道接入的應用模式。移動互聯網的主要結構由移動終端、無線網絡和應用接入三部分組成。移動終端通過無線通道連接無線接入設備，無線接入網關通過訪問控制策略限制移動終端的訪問行為，后臺的管理系統負責對其管理，包括向客戶端軟件發送移動設備管理、移動應用管理和移動內容管理策略等。

等級保護中移動互聯網部分重點考慮移動終端、無線接入網關以及相關的設備安全。

4.5 5G業務應用場景

5G將全面構筑經濟社會發展的關鍵信息基礎設施，其安全的重要性顯著提升，5G的發展已被提升至國家安全戰略層面。各國紛紛將5G安全定位為發展的重點。

5G網絡中有五大關鍵技術引入，帶來新的風險與挑戰：網絡功能虛擬化（NFV）將實體網元變為虛擬化軟件，物理資源共享，導致設備安全邊界模糊；邊緣計算（MEC）導致信息內容檢測和溯源難度增大；網絡開放能力導致開放端口成為數據泄漏的脆弱點；網絡切片技術使新業務場景下安全責任歸屬問題不明晰；異構接入和多終端形態的安全能力差異大，容易成為新的攻擊目標。

等級保護2.0中沒有對5G業務的安全保護做出要求，針對其技術特點，可在切片安全控制、自動化運維安全增加保護，保障網絡通訊安全及物理環境安全。同時針對邊緣數據要防篡改、防泄漏，保障報賬計算環境安全，為5G業務的發展保駕護航。

五、等級保護2.0下的通信網絡安全體系

通信網絡安全體系的整體安全框架以國家政策法規為背景，遵循等級保護2.0要求，結合IPDDR架構設計。通信網絡安全體系按要求設計安全管理、安全技術以及安全運維三大安全體系來打造更加智能的自適應技術體系，以實現等級保護2.0要求中的安全管理中心和安全通信網絡、區域邊界、計算物理環境的防護。

根據等級保護定級規定，通信行業應將等級保護定為三級，要求系統上線后，進入運營期，需要建立安全運維的長效機制；對異常事件能夠快速發現及處置，減少損失、降低不良影響；滿足網信辦、公安及上級主管部門定期檢查和測評的安全要求。

5.1 安全管理體系

安全不僅僅是技術問題，更是管理層面的問題，建立良性的管理體系尤為必要。

建立安全管理體系：建議完善安全管理工作的管理制度，解決移動通信網的人員管理問題。

首先，對管理部門和崗位進行劃分，明確職責；其次，定義管理人員的工作職責、分工和技能要求；再次，配備安全管理的技術專職人員，要求有相應崗位職責的認證資格，專職技術人員能夠獨立處理緊急事件，真正形成“小管理、大技術”的安全管理團隊；第四，制定、實施安全檢查，形成常態化工作。匯總安全檢查數據，形成安全檢查報告，對安全檢查結果進行通報。

提高安全崗位人員能力及意識：制定安全技能培訓、安全意識教育等計劃，有效提升安全崗位人員的專業技能及安全意識。針對調離人員及時終止權限，嚴格辦理調離手續，同時應對外協人員進行有效管理。安全管理人員的團隊建設將直接影響安全體系的安全系數。

建立安全管理生態：安全管理生態指貫穿到安全系統的全生命周期管理，在系統立項、方案設計、建設、定級與備案、驗收與測試、交付與測評、運維管理均需要安全管理人員參與進行安全管理。

5.2 技術支撐體系

5.2.1 安全區域邊界劃分

安全區域邊界劃分主要有5個控制點，包括邊界防護、訪問控制、入侵防范、惡意代碼/垃圾郵件防范、安全審計。

邊界防護：要求項包括受控接口通信、入網檢查或限制、外聯檢查或限制及無線網絡受控接入，主要解決方式是通過部署防火墻、網閘以及邊界設備策略解決不同安全域之間訪問與邏輯隔離；通過部署網絡準入系統，針對終端的違規接入和非法外聯進行管控；通過部署無線接入網關解決無線網絡受控接入。某省根據安全域邊界劃分明確的要求進行DMZ區域劃分，解決安裝防火墻后外部網絡的訪問用戶不能到訪內部網絡服務器的問題，更加有效地保護了內部網絡，使不同功能的網絡邊界更加明晰。

訪問控制：要求項包括訪問控制策略、訪問控制規則精簡優化、基于會話的訪問控制以及應用層訪問控制。通過訪問控制規則實現安全傳輸。基于對數據包的源地址、目的地址、源端口、目的端口，請求服務器進行檢查，以實現數據的安全傳輸。

入侵防范：要求項包括檢測、防止或限制內外發起的網絡攻擊；檢測和分析新型攻擊以及發現時記錄和報警。主要通過部署入侵防御系統、抗DDOS攻擊系統、抗ATP攻擊系統等對惡意軟件入侵進行發現、記錄并報警。某省通過安全態勢感知平臺可實現內外部威脅、異常行為威脅，進行檢測分析和趨勢分析，并及時預警、輸出。

惡意代碼和垃圾郵件防范：要求項包括網絡惡意代碼檢測和清除、惡意代碼庫升級、垃圾郵件檢測和清除、垃圾郵件規則庫升級，主要通過防病毒網關及病毒庫對網絡中的木馬、病毒進行檢測、告警和阻斷；防垃圾郵件網關對垃圾郵件進行有效防范。

安全審計：要求項包括全用戶審計和重要審計、審計記錄項、審計記錄備份和保護以及遠程訪問和訪問互聯網單獨審計，主要通過部署網絡審計系統、上網行為管理系統及在網絡核心放置堡壘機來對運維人員遠程運維設備時，進行操作記錄、分析、審計，為溯源提供依據。

5.2.2 安全通信網絡

安全通信網絡的主要控制點有3個，包括網絡架構、通信傳輸以及可信驗證，網絡拓撲如圖4。

網絡架構：要求項包括設備處理能力、網絡帶寬滿足業務要求；安全域劃分，重要區域的位置和保護以及可用性冗余。通過防火墻或網閘的設置，實現安全區域的劃分，合理劃分安全域，不同域之間進行有效安全隔離；關鍵網絡設備和計算設備采用冗余設計，保證系統有效運行。

通信傳輸：要求項包括傳輸數據完整性和保密性，主要通過IPSec VPN、SSL VPN及應用安全網關實現。

可信驗證：要求項包括通信設備及應用程序可信驗證、破壞報警和審計記錄外發，通過集中審計系統得以實現。

5.2.3 安全管理中心

安全管理中心的控制點有4個，包括系統管理、審計管理、安全管理以及集中管理。

圖4 典型網絡拓撲圖

系統管理：通過部署安全管理平臺，對登錄系統的管理員進行身份鑒別，系統配有三員角色，要求三員分離，即系統管理員、安全管理員和審計管理員分離。系統管理員對系統參數、配置、啟動、修改、加載等配置有授權權限，可以進行統一配置管理。

審計管理：審計管理員通過認證登錄管理平臺，有權限對系統的操作日志、告警日志進行分析、統計。

安全管理：安全管理員通過認證登錄管理平臺，有權限對安全策略下發、配置、修改、訪問控制、授權等統一配置管理。

集中管理：要求項包括特定的管理區域、管理數據的安全傳輸、全面的集中監控、審計數據匯總和集中分析、安全策略、惡意代碼、補丁升級等集中管理以及安全事件識別、報警和分析。通過安全域劃分、策略集中管理等手段，安全管理平臺對所有安全系統的統一納管，實現對整體安全態勢的集中化展現，有效提高網絡安全整體防護水平。

5.3 安全運維體系

安全運維體系遵循ITIL、ISO系列標準，參考SOA架構，建設貫穿安全運維全生命周期的管理辦法、標準、模式、管理對象以及基于流程管理的安全運維體系。建立基于現網的網絡安全系統煙囪式架構：首先，對系統功能進行梳理并整合；其次，建立安全資產管理平臺，對資產進行信息管理、發現管理、脆弱性管理，同時可對資產進行展示及分析，能夠全面、直觀對全網安全資產進行閉環管理。安全運維體系能夠實現安全策略管理、組織管理、運維管理，是技術體系的核心和樞紐。

安全運維體系能夠通過平臺實現網絡系統安全管理、密碼管理、備份與恢復、應急預案管理、漏洞和風險管理、惡意代碼防范、配置管理、安全事件處置、機房安全管理等功能。

安全運維體系是安全系統的重要組成部分，對保證網絡安全、提升系統效能、優化系統流程起到必要的核心作用。

六、總結

等級保護2.0標準在云計算、大數據、物聯網、工業控制、移動互聯網等新的應用環境均提供了建設標準及指導意見，本文從等級保護2.0標準入手，結合移動通信網網絡安全的現狀，以等級保護2.0標準為基準要求，提出構建網絡安全體系架構的建設思路，提升整體網絡安全的綜合防護能力，做到事前可預測、事發可管控、事后應急并實時取證審計，切實保障網絡、用戶數據和業務的安全性，做清朗網絡空間的守護者。■