淺析企業網絡和安全設備認證平臺建設

張居庫，張文坡，張守昌，馬 巍

（中油遼河油田公司，遼寧 盤錦 124010）

0 前言

2017 年6 月1 日，《中華人民共和國網絡安全法》正式實施，其中明確規定：“網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。”國家網信辦、工業和信息化部、公安部、國家認監委聯合發布了《關于發布〈網絡關鍵設備和網絡安全專用產品目錄（第一批）〉的公告》，將路由器、交換機等4 類網絡關鍵設備，以及數據備份一體機、防火墻（硬件）等11 類網絡安全專用產品列入目錄，對其實施安全認證和安全檢測。2018 年3 月，發布安全認證及安全檢測實施機構名錄。同年5 月，國家認監委會同國家網信辦發布《關于網絡關鍵設備和網絡安全專用產品安全認證實施要求的公告》，并于同年6 月發布認證實施規則。網安中心依據 《網絡安全法》及相關制度文件，對列入目錄的產品，自2018 年7月起受理安全認證申請。2018 年8 月2 日，網安中心頒發了第一張“網絡關鍵設備和網絡安全專用產品安全認證證書”，覆蓋了防火墻、入侵檢測系統、安全審計、網閘等產品類別。網絡和安全設備認證是我國網絡安全保障體系建設的一項基礎性工作，也是落實《中華人民共和國網絡安全法》相關要求的一項重要工作。企業實施網絡和安全設備認證平臺建設，將為建設企業網絡安全保障體系，有效提升企業網絡安全保障能力起到重要作用。

1 現狀分析

2017 年6 月1 日，《中華人民共和國網絡安全法》正式施行，順應了網絡安全發展法制化大趨勢，對我國網絡安全產業發展具有重要的意義。其中第五十二條規定：負責關鍵信息基礎設施安全保護工作的部門，應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度，并按照規定報送網絡安全監測預警信息。

隨著“互聯網＋”的全面推進，信息技術在企業生產建設中的應用也越來越廣泛，同時對網絡安全的要求也越來越高，網絡安全設備也越來越多，在設備管理與維護方面也面臨著越來越多的困難。

（1）在設備維護方面，企業采購了大量的安全設備，并且部署在不同位置，分布零散。（如何管理）

（2）安全設備產生的海量的日志，為日志采集、存儲和分析帶來了困難。（如何收集、分析和展示）

（3）部署了網絡和安全設備，依舊是被動響應事件和處理，采購了安全設備還會遇到安全問題。（如何變被動為主動）

（4）部署了網絡和安全設備，缺乏專業安全分析人員，發揮不了作用，用不起來。（系統平臺如何真正起作用）

（5）重大安全事件保障工作越來越多，每次重保都會手忙腳亂地應對。（如何有效利用工具使各系統和平臺協同管理）

（6）緊急事件、專項工作等無法快速處理，給企業安全帶來隱患。（如何通過平臺快速處理此類問題）

2 建設網絡和安全設備認證平臺

為應對當前企業安全管理工作中的大量多樣性設備、海量日志、各類新型網絡威脅、分析手段匱乏等挑戰，安全防護體系建設開始更看重網絡安全監測和響應能力。隨著國家網絡安全政策法規的完善，尤其是等保2.0 國家標準的正式發布，安全管理平臺、安全運營需求將成為安全體系的“標配”，用于提升安全管理工作的監測和應急響應能力。在網絡關鍵設備和網絡安全專用產品安全認證體系基礎上，建立適合企業網絡安全保障體系的一個自動驗證過程的平臺，涵蓋企業網內所有的網絡和安全設備的認證，確保各類設備接入安全勢在必行。

2.1 建設原則

企業信息系統的建設與網絡安全建設應同步設計、同步實施，必須結合企業的實際狀況，統籌規劃，以適度風險為核心，以重點保護為原則，從業務的角度出發，重點保護重要的業務數據；信息安全建設必須技術與管理并重，二者有機結合；信息安全建設是個復雜的過程，必須遵循相應的安全標準規范；信息安全問題是動態的，必須結合信息系統的應用變化情況，動態調整安全防護措施；必須從網絡、主機、應用、數據等層面加強防護措施，保障信息管理系統的機密性、完整性和可用性。

網絡和安全設備認證平臺，注重安全漏洞和滲透或反滲透，穿透與反穿透的監管，包括網絡和安全設備的物理安全、網絡安全、主機安全、應用安全等，從系統需求分析到產品平臺的專業化整體解決方案。合理分域，準確定級，對于不同等級的安全域間通信，實施有效的訪問控制策略和機制信息系統安全之間的所有設備實施認證可控。各個應用獨立主機運行，服務器系統分區物理獨立，防止數據溢出提高權限。自定義私有網絡協議，提高網絡內數據安全性。

2.2 建設目標

通過建立網絡和安全設備認證平臺，實時掌握企業設備的健康情況和運行狀態，結合網絡安全態勢感知平臺，實現全局安全態勢可視化，幫助管理者掌握企業全網安全狀況，隨時了解最新的安全趨勢和風險狀態，輔助決策安全建設方向和投資。把威脅、漏洞、資產集中閉環管理，幫助網絡安全管理者落實安全管理和技術體系，威脅事件預警和追溯，漏洞監控并閉環處置，動態發現資產變化，做到心中有數。幫助運維人員精準發現攻擊，及時事件預警，日志審計回溯，協同應急處置，減輕運維工作量，提高工作效率。

2.3 建設步驟

網絡和設備安全認證平臺項目建設計劃分為三個階段開展，按照三個階段的服務內容執行（如表1 所示）。

表1 網絡和設備安全認證平臺范圍

2.4 技術路線

確保企業網絡安全，重點發展工業互聯網網絡安全領域，從防護對象、防護措施及防護管理三個視角，從設備、控制、網絡、應用和數據五大安全維度，重點解決安全設備各自為政、缺乏整體安全狀態監測、威脅情報來源單一和安全預警效果不佳的問題，通過網絡安全探針技術實現對企業內網絡和工業互聯網安全的監測與預警和控制，構建一體化網絡信息安全監控平臺（如圖1 所示），實現從被動網絡安全到主動網絡安全（如圖2 所示）的根本性改變。

圖1 網絡信息安全框架圖

圖2 主動安全防御體系

網絡與安全設備認證平臺以國家發布的產品技術要求與測試評價方法、企業網絡與安全設備安全基線為檢測依據（如表2 所示）。

表2 網絡與安全設備技術要求及測試評價方法列表

3 預期效果

網絡與安全設備認證平臺建設，實現統一綜合管理，將所屬企事業單位的重要服務器、網絡設備、安全防護設備、辦公設備、業務系統、工業設備全部納入管理范疇，建立網絡資源設備信息庫。在對設備進行自動探測、常規管理的基礎上，實現對設備分級、分類的重點管理。

成立認證組織機構，在企業管理層面建設一個認證中心，對所屬企事業單位重要設備、信息系統進行統籌管理、安全檢測、數據分析、安全策略定制等，建設統一標準，對接入企業的各生產商、開發商信息收集設備、系統的通信接口、協議及數據格式等進行規范，組織開展網絡和安全設備防護管理工作，實現對服務器、網絡設備、安全防護設備、辦公設備、業務系統、工業設備等的安全檢測、認證，并與認證平臺相結合，實現平臺、設備間的信息共享與聯動。

4 結語

通過建立網絡和安全設備平臺，實現企業全局安全態勢可視化，幫助管理者掌握企業全網安全狀況，隨時了解最新的安全趨勢和風險狀態，輔助決策安全建設方向和投資。平臺以保障安全生產，提高網絡服務質量管理為目標，定位于建立有效的網絡管理體系，從快速故障定位與排除、設備性能檢測、網絡流量與容量分析以及運維流程等方面切入，全面監控網絡運行，快速發現故障并修復，規范網絡運維，保障不間斷地提供服務。