基于等級保護2．0的安全通用技術設計研究

黃海 陳章芬

摘要：文章從等級保護測評要求出發，介紹了網絡安全等級保護制度2.0標準下的安全通用技術設計思路，即等級保護對象在系統設計之初應考慮的安全通用技術關鍵點及問題。利用該設計思路可有效避免或減少信息系統上線后的各類網絡安全問題，節約后期網絡安全問題整改投入。

關鍵詞：等級保護2.0;安全技術;設計

中圖法分類號：TP393文獻標識碼：A

Research on security general technology design based on level protection 2.0

HUANG Hai，CHEN Zhangfen

（Fujian Branch of National Computer Network Emergency Response TechnicalTeam/Coordination Center of China，Fuzhou，China，350025）

Abstract：This paper introduces the design idea of general security technology under the network security level protection 2.0 standard based on the requirements of hierarchical protection，that is， the key points and problems of security general technology that should be considered at the beginning of system design. The design idea will effectively avoid or reduce various network security problems after application of information system， and save the investment in the rectification of network security problems in the later stage.

Key words： network security level protection 2.0 standard， security technology，design

近年來，信息技術和網絡技術高速發展，一方面極大提高了人民群眾的生活水平，另一方面給網絡空間安全帶來愈發嚴峻的挑戰。國家計算機網絡應急技術處理協調中心（“CNCERT”或“CNCERT/CC”）發布的《2021年上半年我國互聯網網絡安全監測數據分析報告》顯示，僅2021年上半年，國內累計捕獲惡意程序樣本約2，307萬個，日均傳播次數達582萬余次;累計約1.8萬起重要信息系統的網絡安全漏洞事件受到國家信息安全漏洞共享平臺（CNVD）驗證及處置 [1]。關鍵信息系統遭受攻擊甚至破壞，都將損害公民個人及企事業單位的權益，甚至會導致社會秩序、國家安全遭受威脅，因此提高我國信息安全保障能力勢在必行。2017年，《中華人民共和國網絡安全法》明確規定我國實行網絡安全等級保護制度;2021年，《關鍵信息基礎設施安全保護條例》要求關鍵信息基礎設施運營者須在網絡安全等級保護的基礎上采取必要措施，以應對網絡安全事件。

1? 網絡安全等級保護的發展

1994年，《中華人民共和國計算機信息系統安全保護條例》（國務院147號令）頒布，這是我國首部為網絡安全等級保護實施提供依據的法律。2017年 5月，相關部門發布《GA/T1389—2017網絡安全等級保護定級指南》等4 個公共安全行業等級保護標準[2]。 2019年 5月，網絡安全等級保護制度2.0國家標準正式發布，該制度的主要內容包括《信息安全技術網絡安全等級保護基本要求》《信息安全技術網絡安全等級保護測評要求》和《信息安全技術網絡安全等級保護安全設計技術要求》等三個核心標準[3]。

2? 安全通用技術要求

《網絡安全等級保護基本要求》《網絡安全等級保護測評要求》和《網絡安全等級保護安全設計技術要求》均從安全通用、安全擴展兩個方面規定了技術要求及設計規范。其中，安全通用要求是針對共性化保護需求提出的[4] ，主要分為技術要求和管理要求兩方面。本文重點介紹的技術要求主要包括安全物理環境及系統安全保護環境，其中系統安全保護環境則由“安全通信網絡”“安全區域邊界”“安全計算環境”和“安全管理中心”組成[5]。

2.1? 安全物理環境

等級保護制度對等級保護對象的機房樓選址、機房配套和動力環境運維等方面提出要求。

（1）物理位置選擇時，應將機房設在具備多路電力供應、無內澇現象的區域內，避開強電磁場、有害氣體源以及存放易燃易爆物品的危險地帶。

（2）物理訪問控制設計時，應根據重要程度對機房進行區域隔離，部署門禁系統實現授權管理和身份鑒別。

（3）防盜竊和防破壞設計時，應在主要通道、重要區域部署視頻監控系統、防盜報警系統。

（4）防雷擊設計時，應在機柜內部署安全接地系統，使用專用地線或交流地線接地;在配電柜內配備防雷保安器、過壓保護器等防感應雷設備。

（5）防火設計時，應在機柜內部署極早期火災探測及氣體消防系統，確保第一時間發現并消除火情。

（6）防水和防潮設計時，應在空調系統進出水管處部署水浸報警系統，實時監測空調漏水、結露滲水等情況。

（7）防靜電設計時，應在機房內安裝防靜電地板，日常運維時應采取使用防靜電工作臺、佩戴防靜電手環等措施。

（8）溫濕度控制設計時，應配備空調系統對機房內溫濕度進行控制，確保其運行在許可范圍內，對于重點區域應設置備份系統。

（9）電力供應設計時，應配備 UPS 不間斷供電系統和油機發電設備，確保在市電中斷情況下，信息系統仍能維持運行。

（10）電磁防護設計時，應參照電磁防護標準進行綜合布線，關鍵設備及區域應使用屏蔽機柜或屏蔽機房。

2.2? 安全通信網絡

等級保護制度對等級保護對象提出網絡架構、通信傳輸、可信驗證等方面的要求[6]。

（1）網絡架構是實現網絡安全的前提和基礎，等級保護對象設計時應分析業務需求、劃分網絡安全域，并據此細化網絡架構，將等級保護對象的安全問題分解至各子區域，使有限的資金可以投入更有需求的區域。

（2）通信網絡的性質是開放的、公共的，因此傳輸過程中可能存在中斷、復制、偽造和竊聽等情況。等級保護對象設計時應在互聯網出口處部署 VPN 等設備，利用其隧道技術、加解密技術等手段來保證傳輸過程中數據的完整性和保密性。

（3）通信網絡可信驗證實現內部網絡的接入控制和外部網絡訪問限制。對于內部網絡接入，等級保護對象設計時應采用 IP/MAC/VLAN/端口綁定、禁用閑置端口等方式限制未授權人員接入內部網絡;對于外部網絡訪問，等級保護對象設計時應在邊界設備上配置訪問控制策略來限制外部未授權設備訪問。

2.3? 安全區域邊界

等級保護制度對等級保護對象提出了邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計等方面的要求。

（1）邊界防護負責監視和控制不同層級網絡間的數據交換。等級保護對象設計時應在終端接入域部署終端接入控制系統，通過進行 IP/MAC/VLAN/端口綁定、禁用閑置端口等措施阻止非授權設備連接到內部網絡。此外，應部署違規外聯監測系統用以監控內部網絡終端行為，對涉嫌違規外聯的行為進行阻斷和報警。

（2）區域邊界訪問控制利用區域邊界安全設備的訪問控制功能實現各網絡安全域間的數據控制。等級保護對象設計時應分析各網絡安全域之間的業務需求，制定訪問控制策略，在邊界安全設備上通過校驗地址、端口、協議的方式過濾流經數據包，杜絕越權訪問和非法攻擊行為。

（3）區域邊界入侵防范是防御網絡攻擊的重要措施。等級保護對象設計時應根據各業務域的業務特性，在網絡域邊界處配置防火墻、入侵檢測系統（IDS） 和入侵防御系統（ IPS）等防范設備，實現對內外部網絡攻擊的檢測和防控功能，并記錄攻擊源信息形成可審計日志。

（4）惡意代碼通過網頁、郵件等介質進行傳播，可對信息系統完整性造成嚴重破壞。等級保護對象設計時，應在外聯域邊界部署惡意代碼防范設備，配置惡意代碼特征庫來實現惡意代碼防范;在郵件域邊界部署防垃圾郵件網關，用以防止計算機病毒、木馬、蠕蟲和邏輯炸彈的攻擊以及通過郵件進入網絡。

（5）區域邊界安全審計可通過整合網絡邊界設備和重要網絡節點的審計功能實現。等級保護對象設計時應設立區域邊界審計機制，規定日志規格及調用接口，通過安全管理中心集中整合區域邊界上網絡設備和安全設備的審計日志，對危及區域邊界的行為進行關聯分析、記錄審計及實時報警。

2.4? 安全計算環境

等級保護制度對等級保護對象提出了身份鑒別、計算環境訪問控制、計算環境安全審計、計算環境可信驗證、計算環境入侵防范和惡意代碼防范、數據完整性、數據保密性、數據備份與恢復、剩余信息保護和個人信息保護等方面的要求。

（1）身份鑒別是提高信息系統網絡安全保護最基本、最關鍵的手段。等級保護對象設計時應在操作系統及應用系統層面設定唯一用戶身份標識，同時可通過部署公鑰基礎設施或終端接入控制系統等形式實現雙因子認證。此外，設置鑒別策略時應對鑒別失敗、超過空閑操作規定時長等情況采取必要的加固措施。

（2）計算環境訪問控制通過自主訪問控制和強制訪問控制實現對資源的管理。自主訪問控制為資源所有者對資源所具有的最高操作權限，屬主可自行決定是否將自己的客體訪問權或部分訪問權授予其他用戶，等級保護對象設計時可通過操作系統自帶的訪問控制功能來操控資源的讀、寫、運行;強制訪問控制即通過身份鑒別和權限控制來判定用戶對資源的操作權限等級，等級保護對象設計時可利用操作系統本身或應用系統的訪問控制功能進行用戶授權，從而實現強制訪問控制。

（3）計算環境安全審計通過整合計算環境內業務終端、服務器、數據庫等信息系統部件的操作記錄實現。等級保護對象設計時應在信息系統中合理規劃審計功能，規范日志格式，統一調用接口，收集記錄運維操作、終端操作、數據庫操作、應用實用以及安全時間的相關審計日志。安全管理中心對審計日志進行匯總管理，并在發生安全事件時發出報警。

（4）計算環境可信驗證即通過配置基于可信根的各類引導程序、系統程序、配置參數等安全組件杜絕引導安裝過程、執行過程中可能發生的安全防護問題。等級保護對象設計時應部署由可信安全管理平臺、可信終端軟件、可信軟件庫、可信芯片組成的免疫保護平臺，統一管理所有終端的操作系統、系統環境、安全軟件及業務應用，阻止未授權及不符合預期的執行程序運行。

（5）計算環境入侵防范是識別入侵、免疫病毒的重要手段。等級保護對象設計時應在所有終端安裝網絡版防病毒軟件，并遵循最小安裝原則，關閉不必要服務及高危端口，構建起最基本的病毒防線。針對計算環境惡意代碼防范，等級保護對象設計時應在信息系統上部署免疫保護平臺，利用可行計算校驗機制僅允許操作系統完整性安裝可信軟件，阻止未授權及不符合預期的執行程序運行。

（6）數據完整性指傳輸和存儲的數據沒有被非法修改或刪除，其安全需求與數據所處的位置、類型、數量和價值有關。等級保護對象設計時應根據信息系統的重要性采用數據校驗技術、數字簽名技術等校驗、密碼保密等技術保證傳輸過程中的數據完整性。

（7）數據保密性主要考慮防止信息被未經授權者訪問、防止信息在傳遞過程中被截獲解密，具體可分為動態信息保密性和靜態信息保密性。在動態數據保密性方面，等級保護對象設計時應部署 VPN 或其他密碼設備來實現數據傳輸過程中的保密性防護;在靜態數據保密性方面，等級保護對象設計時應通過密碼加密技術實現數據存儲過程中的保密性防護。

（8）數據備份與恢復是避免數據丟失的重要手段，組織的信息化程度越高，越應重視數據備份和恢復。等級保護對象設計時應根據信息系統重要性設置完全備份、差異備份、增量備份等備份策略;應建設異地機房對重要數據進行備份，并對其信息系統設置熱冗余機制。

（9）剩余信息保護指的是在存儲空間被釋放或重新分配前，相關的重要數據需要得到徹底清除，同時未授權用戶無法對其進行非法獲取。等級保護對象設計時應在操作系統和業務應用中建立相關保護機制，確保存儲空間被釋放或重新分配之前實現資源完全清除，且該過程中資源無法被其他用戶或業務應用調用。

（10）根據《網絡安全法》相關規定，信息系統應當僅采集和保存必需的用戶個人信息，禁止采集與業務無關的個人信息。等級保護對象進行個人信息保護時應部署行為管理系統，通過信息系統內的訪問控制限制非授權用戶對個人信息的訪問和使用。

2.5? 安全管理中心

等級保護制度對等級保護對象提出集中管控、系統管理、審計管理和安全管理等方面的要求。

（1）安全管理中心通過對安全通信網絡、安全區域邊界和安全計算環境的統一管控，建立了集中統一的縱深防御體系。等級保護對象設計時應將安全管理中心部署在單獨的管理域中，集中管控等級保護對象所涉及的通信鏈路、網絡及安全設備、服務器、終端等組件，并對其進行資源管理、運行監測、審計日志收集及分析、安全策略分發、補丁升級等安全操作。

（2）系統管理指系統管理員在安全管理中心運行維護工作的平臺。等級保護對象設計時應部署運維安全管理系統，并將信息系統資源信息納入該系統管理范圍，使系統管理員可以此進行資源配置和管理、系統異常處置、數據或設備的備份與恢復。

（3）審計管理指集中管理分布在等級保護對象各處的安全審計機制，通過對審計數據進行查詢、統計、分析，實現用戶行為監測和危險行為告警的功能。等級保護對象設計時應收集各類日志，包括但不限于網絡設備日志、安全設備日志、業務應用日志、數據庫日志等信息，并由安全管理中心進行集中統一管理。

（4）安全管理是指對信息內各類用戶系統進行統一的身份管理、授權管理。等級保護對象設計時應在安全管理中心實現集中賬號管理、集中訪問控制、集中安全審計等功能，并且應單獨部署在運維域，實現和業務數據的隔離。

參考文獻：

[1 ] 國家計算機網絡應急技術處理協調中心.2021年上半年我國互聯網網絡安全監測數據分析報告[ R].2021，https：∥ www.cert.org.cn/publish/main/upload/File/first?half%20%20year%20cyberseurity%20report%202021.pdf.

[2] 胡鵬，王暉.基于等級保護2.0的政務信息系統安全保障體系設計思路[ J].辦公自動化，2021，26（4）：15?17.

[3] 郝君婷.等保2.0標準發布網絡安全呈現新生態—網絡安全等級保護制度2.0國家標準宣貫會側記[ J].保密科學技術，2019（7）：8? 11.

[4] GB/T 22239?2019.信息安全技術網絡安全等級保護基本要求[ S].2019.

[5] 馬力，陳廣勇，祝國邦.網絡安全等級保護2.0國家標準解讀[ J].保密科學技術，2019（7）：14?19.

[6] GB/T 22239?2019.網絡安全等級保護測評要求[ S].2019.

作者簡介：

黃海（1994—） ，本科，網絡工程師，研究方向：信息系統建設及維護。

陳章芬（1991— ），碩士，通信工程師，研究方向：信息系統建設及維護。