中小企業安全等級保護網絡防護研究

郝鋼有

摘要： 當前全球的網絡格局盤根錯節，曾經以軍事、恐怖、政事安全等為主要威脅，現在則以網絡為紐帶交織在一起。文章從中小企業信息安全基本情況入手，根據網絡安全等級保護的相關制度，分析中小企業信息安全方面的威脅及難點，從網絡拓撲中針對硬件和軟件方面開展研究，分析如何改進網絡以提高中小企業網絡安全防護能力。

關鍵詞：信息安全；等級保護；中小企業

中圖分類號：TP399文獻標志碼：A

1 研究背景

網絡戰、網絡恐怖的威脅日益臨近，網絡空間成為海、陸、空以及太空之外的戰場。當前，網絡安全成為國家主權和大國博弈的新疆域，黑客的攻擊從簡單的個人攻擊到一定的產業鏈，隨后變為有組織性的甚至到了國家層面的攻擊，攻擊強度越來越大，攻擊方式從互聯網接入到社工、0day漏洞，攻擊手段更加復雜，不易察覺，數據泄露的問題持續存在，種種威脅嚴重影響了人們的生活。由于這種現象日益嚴重，網絡安全等級保護顯得尤為重要。

2 網絡安全等級保護介紹

2.1 網絡安全等級保護總體介紹

信息安全等級保護是我國正在著重實施的一項基本制度。等級保護思想起源于美國軍方的安全保密制度，隨著計算機的廣泛使用和網絡時代的到來，等級保護不斷被注入新的內涵。今天，等級保護已經不僅是一種技術思想，而是貫穿信息安全保障各個環節的一個過程和一種制度。本文將追溯等級保護思想的源頭與發展歷程，并探討建立在等級保護思想之上的信息安全標準體系［1］。

網絡安全等級保護是指對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的系統分等級實行安全保護，對于信息系統中使用安全防護產品分等級進行管理，并且對信息安全事件按照等級進行響應。單位的系統對于自身或者社會甚至國家的重要性越高，它的安全保護措施就越強。《中華人民共和國網絡安全法》規定，國家實行網絡安全等級保護制度，這表明我國對于網絡安全等級保護的態度已經從鼓勵上升到制度層面了。

2.2 網絡安全等級保護具體介紹

網絡安全等級保護分為5個步驟：定級、備案、系統建設、等級測評、監督檢查。首先，各單位根據自身情況對本單位系統按照定級指南要求進行定級以及備案，再根據當前定級情況進行安全性建設；其次，聘請具有網絡安全等級保護測評資質的測評單位對當前已建設的系統進行等級測評；最后，出具信息系統安全等級保護測評報告，公安機關會對運營單位的等級保護工作開展狀況進行監督和檢查。

定級中受侵害的客體一般包括國家安全、社會秩序和公共利益、公民、法人和其他組織的合法權益；受侵害的程度包括一般損害、嚴重損害以及特別嚴重損害；根據侵害客體業務信息和系統服務受侵害的程度，綜合判斷得到初步等級。得到初步等級之后，一般二級以及二級以上的系統，需要邀請信息安全專家以及業務專家對當前定級的情況進行審定、論證，并且提出評審意見，完成專家評審意見表。最后，將當前定級結果提交給公安機關進行備案審核，如果審核通過，即確定當前等級；如果審核不通過，需要返回重新備案。

等級測評一般分為兩種層面：技術層面和管理層面。技術層面上，從網絡方面的通信網絡到信息系統的區域邊界再到設備層面的安全計算環境提出要求，體現了由外到內的縱深防御思想，一層一層保護；考慮到物理環境的安全防護，對二級以上保護對象提出安全管理中心的要求，充分體現“一個中心，三重防御”的思想。管理層面上的要求，體現了從整體到局部、從要素到活動的綜合管理體系，包括制度、機構以及人員的各類要素，并輔以建設方面以及運維管理方面的具體制度以及記錄表單，可以達到完整的制度體系。

3 中小企業網絡安全等級保護安全防護

3.1 中小企業網絡信息安全面臨的主要威脅

3.1.1 來源于企業內的安全威脅

（1）企業領導部門對網絡安全重視程度低，安全意識較為薄弱，對于安全方面的認知不清晰，缺少能夠統籌全局的相關文件以及標準，無法對整個工作進行指導。

當前很多人有這樣的認知，對于網絡安全風險管理就是信息管理部門的問題，只要出現信息安全事件就是信息管理部門工作不到位；對于公安部門下發的安全檢查文件，很多單位只是應付上級檢查，夸大當前安全防護能力，認為這種檢查就是給單位找麻煩。

（2）企業在管理體系方面的制度建設不完善，從責任部門到相關實施人員的任命未落實，相關責任劃分不明確、分工不清，并且對于機構、人員等機制以及能力未從整體方面進行考慮。

很多中小企業的信息部門可能只有一到兩個管理員，并且身兼數職，管理制度不完善，安全責任比較混亂，無法在出現安全事故的時候及時、有序地處理問題。

（3）缺乏對入侵攻擊、惡意代碼攻擊、信息竊密等的主動發現能力，缺少能處理安全問題的技術措施以及預防的管理措施。

部分企業重業務產出，對安全防護看得較輕，甚至一些系統“裸奔”在互聯網中，大大增加了系統受到威脅的程度，一旦發生安全事件，會使單位的聲譽及核心業務競爭力受到影響。

（4）應急能力比較差，未能對突發事件進行及時處置，缺少關于信息系統的應急處置預案，缺少關于應急方面的培訓以及演練，導致安全事件長期處于單位之中。

調研發現，一些中小企業雖然在制度上有明確規定定期進行應急演練，但是實際上可能一至兩年乃至更久都不會在安全方面進行演練，也不會定期進行應急培訓，當詢問發生安全事件時該如何處置時，被告知“不是很清楚”。

（5）每年關于安全方面的經費有限，各種廠家的各類設備應接不暇。中小企業內部資金有限，而信息安全防范體系的建設，不僅需要專業的人才以及對人才技術的培養，還包括硬件設備的采購、日常的管理與維護等。因此，要投入資金在信息化建設中，這對中小企業無疑是一項困難之舉［2］。

3.1.2 來源于企業外的安全威脅

（1）病毒的威脅。

來自互聯網的病毒會對中小企業的網絡安全進行破壞，如勒索病毒、機器狗病毒等，一旦這些病毒入侵企業的核心網絡，輕則導致業務無法正常開展，重則導致系統癱瘓、信息泄露。

（2）不法黑客組織的入侵威脅。

黑客的不法入侵同樣會對企業造成不良影響，他們通過數據驅動攻擊、偽造信息攻擊、ICMP報文攻擊、針對源路徑選擇的弱點攻擊等，利用企業網絡對安全方面的不足以及對服務器等方面的漏洞進行攻擊。黑客攻擊通常是為了竊取信息，但不乏有黑客會對數據進行篡改、刪除等，給被攻擊公司的聲譽以及其在行業中的影響力造成嚴重損害。對攻擊目標造成的破壞所帶來的成就感，使得越來越多的年輕人加入黑客的行列，另外，商業競爭也在導致更多的惡意攻擊事件的產生［3］。

3.2 針對企業進行的安全保護

3.2.1 制度以及平時運維

根據上述問題，結合日常工作，本文就中小企業的網絡安全做了以下研究建議。

（1）首先，要將網絡安全作為正事看待，合理安排人員的崗位職責，即使管理員身兼數職，也要明確各崗位職責。比如，A員工負責多個系統的系統管理權限，B員工負責多個系統的審計管理權限，以提高運維的抗性。

（2）需要中小企業制定合理的管理制度，包括自身的物理環境、機構管理、人員崗位管理、系統建設管理以及平時運維等各個方面，并將這些制度落實下去，從人員、制度方面著手，降低內部引起的安全問題的可能性。

（3）將安全工作融入日常工作，定期開展部門內部安全會議，定期對不同崗位的人員進行崗位職責考核，每年組織一次安全應急培訓及演練，可以讓信息部門的管理人員更加清晰地明確安全事件發生時如何進行處理，從而提高工作效率。

（4）培養內部運維人員對自身系統的熟悉和管理，了解自身物理環境的情況，如門禁、防火措施、機房布線、電力供應等；梳理清楚網絡環境、網絡拓撲等；對設備可以進行簡單調試，如創建賬號、修改訪問控制策略、熟悉服務器部署情況等。

3.2.2 設備部署

以較低的預算合理選擇設備以滿足安全防護需要，是很多單位一直關心的問題。安全防護是永無止境的，沒有一家單位可以說自己的網絡環境固若金湯、萬無一失。中小企業可以根據等級保護的具體要求，逐年逐步進行落實，這是目前較為合適的選擇。

如圖1所示，文章以二級系統為例。首先，對于系統邊界來說需要一個邊界防護類設備，該設備可以限制外部網絡直接連接內部網絡，對邊界進行安全防護，根據業務需求只開放必須提供的服務、IP和端口等，如防火墻、網閘、安全網關等。同時，在系統邊界處需要部署具有入侵檢測功能或者入侵防御功能、網絡層防病毒功能的設備或模塊，可以對入侵攻擊以及病毒攻擊進行很好的防護，并且滿足等級保護相關的條例；對于互聯網訪問的系統，最好在網絡邊界處部署一個具有應用層協議防護的設備，如Web應用防火墻，并且開啟相關安全防護策略，更新應用層面的特征庫，對應用層進行安全防護，這些設備能夠防護來自外部的大部分攻擊和入侵。

其次，在核心交換區部署能夠滿足高峰期業務的核心交換機，并且在交換機中設置合理的訪問控制策略，實現相應網段互通，可以減少病毒傳播的速度。

最后，在安全管理區部署能夠收集網絡安全信息的設備，如日志服務器、日志審計平臺等，這些設備可以收集網絡中各類設備的日志，并進行保存和分析，設置合理的保存策略，滿足網絡安全法關于日志保留時間6個月的要求。

3.2.3 軟件

服務器以及運維終端需要安裝防病毒軟件，這樣可以實現設備層面的防病毒策略。

基本的防護如上所述，而在運維管理方面，可以選擇堡壘機進行集中管理，合理分配管理員權限，并按照各級權限進行配置，實現集中化管理。

從等級保護二級系統要求來說，硬件設備基本上沒多少差別了，剩下的就是安全配置。

（1）為了防止暴力破解，防止弱口令攻擊，需要企業運維管理人員先將各類設備，包括但不限于網絡設備、安全設備、服務器、運維終端、數據庫等，設置口令復雜度策略，口令最短長度、登錄失敗處理措施以及無操作超時退出設置，這樣可以有效地防護口令方面的攻擊。

（2）為了防止用戶名密碼明文傳輸，設備方面，最有效的方式就是使用HTTPS協議、SSH協議等密文傳輸協議；應用系統方面，如果沒有使用HTTPS協議，也可以使用加密算法，以保證鑒別信息在傳輸過程的安全性，如圖2所示。當然，最好還是使用國密算法以保證信息傳輸的安全，如SM2，SM4等。

（3）為了防止如MS17-010（永恒之藍）之類的漏洞，需要對服務器、應用系統定期進行漏洞掃描，并進行高危漏洞補丁更新，關閉一些高危端口，如135，137，445等。

4 結語

網絡安全是一項長期工作，網絡安全漏洞及攻擊手段層出不窮，需要被測單位持續關注網絡安全形勢發展，及時獲取網絡設備、安全設備、操作系統、數據庫、中間件、應用系統等的漏洞信息，及時落實修補工作。盡量不使用容易引發高危漏洞（如Java反序列化、Weblogic反序列化、Shiro反序列化、Struts2等）或存在漏洞版本的中間件、組件、框架等。盡量不開啟445，139等高危端口，做好勒索病毒防護工作。保持系統內各類特征庫的最新狀態，確保各類安全措施的有效性。定期檢查網絡安全工作落實情況，避免出現為了運維便利違反安全策略的情況；做好各項已有安全措施的變更管控，避免為了使用方便，隨意取消或降低已有的安全措施。持續做好網絡安全防護工作，履行網絡安全保護義務。

參考文獻

［1］朱繼鋒，趙英杰，楊賀，等.等級保護思想的演化［J］.信息安全與通信保密，2011（4）：70-73.

［2］陳鑫.中小企業信息安全現狀分析及防護建議［J］.鐵路通信信號工程技術，2020（7）：92-96.

［3］馮運仿.基于網絡安全的中小企業信息安全策略［J］.安防科技，2006（11）：30-31.

（編輯 沈 強）