◆傅 鈺

網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0下的安全體系建設(shè)

◆傅 鈺

(江蘇國(guó)保信息系統(tǒng)測(cè)評(píng)中心有限公司 江蘇 215006)

信息安全等級(jí)保護(hù)是國(guó)家信息安全的一項(xiàng)基本國(guó)策和制度，從實(shí)施至今已經(jīng)有20多年，隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和移動(dòng)互聯(lián)等新技術(shù)的出現(xiàn)，信息系統(tǒng)基礎(chǔ)架構(gòu)設(shè)施發(fā)生了翻天覆地的變化，同時(shí)在實(shí)際安全建設(shè)和測(cè)評(píng)工作中，標(biāo)準(zhǔn)的適用性、可操作性上還需要進(jìn)一步完善，原標(biāo)準(zhǔn)體系已經(jīng)不能滿(mǎn)足新形勢(shì)下網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的需要。在此大背景下，國(guó)家相關(guān)部委對(duì)標(biāo)準(zhǔn)進(jìn)行了修訂，等級(jí)保護(hù)進(jìn)入了等保2.0時(shí)代，本文旨在對(duì)等級(jí)保護(hù)工作中的問(wèn)題進(jìn)行分析，并提出網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0安全體系建設(shè)的一些思路。

等級(jí)保護(hù)；安全體系

1 等級(jí)保護(hù)工作背景

隨著網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展，組織和單位相繼建立業(yè)務(wù)信息系統(tǒng)用于對(duì)內(nèi)部提供生產(chǎn)、經(jīng)營(yíng)、決策和管理服務(wù)，或?qū)ι鐣?huì)公眾提供公共信息服務(wù)，業(yè)務(wù)信息系統(tǒng)極大地提高了工作、生產(chǎn)效率以及服務(wù)水平。

信息系統(tǒng)大都采用通用的網(wǎng)絡(luò)協(xié)議和軟硬件設(shè)備，由于網(wǎng)絡(luò)安全防護(hù)措施不嚴(yán)密、軟件系統(tǒng)代碼缺陷、安全配置不當(dāng)、安全管理不到位等問(wèn)題不可避免的會(huì)存在安全漏洞，這些漏洞問(wèn)題被攻擊者進(jìn)行研究和利用，使信息系統(tǒng)面臨較大的安全風(fēng)險(xiǎn)，另外網(wǎng)絡(luò)安全威脅持續(xù)嚴(yán)峻，攻擊者綜合采用多種技術(shù)、攻擊手段和方式，使網(wǎng)絡(luò)入侵和攻擊事件頻發(fā)，組織和單位迫切需要一套行之有效的方法開(kāi)展信息安全工作。

信息安全等級(jí)保護(hù)是國(guó)家信息安全保障工作的基本制度、基本國(guó)策，是開(kāi)展信息安全工作的基本方法，是促進(jìn)信息化發(fā)展、維護(hù)國(guó)家信息安全的根本保障。信息安全等級(jí)保護(hù)強(qiáng)調(diào)對(duì)信息系統(tǒng)分等級(jí)進(jìn)行保護(hù)，對(duì)信息安全產(chǎn)品分等級(jí)進(jìn)行管理，對(duì)信息安全事件分等級(jí)進(jìn)行響應(yīng)和處置。也就是不同等級(jí)的信息系統(tǒng)采取不同等級(jí)的保護(hù)方法，具備不同的安全防護(hù)措施和能力，達(dá)到突出重點(diǎn)、適度保護(hù)的目的。

國(guó)家相關(guān)部委針對(duì)信息安全等級(jí)保護(hù)出臺(tái)了相關(guān)標(biāo)準(zhǔn)、規(guī)范和要求規(guī)范信息系統(tǒng)在定級(jí)備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)、測(cè)評(píng)機(jī)構(gòu)管理等相關(guān)工作，2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》發(fā)布，進(jìn)一步為信息安全等級(jí)保護(hù)工作提供了法律支撐，網(wǎng)絡(luò)安全法規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)和責(zé)任，未履行相關(guān)責(zé)任的組織和單位將承擔(dān)相應(yīng)的法律責(zé)任，網(wǎng)絡(luò)安全法的出臺(tái)將等級(jí)保護(hù)工作提升到一個(gè)新的高度，組織和單位對(duì)等級(jí)保護(hù)工作的重視程度進(jìn)一步提高。

2 等級(jí)保護(hù)1.0標(biāo)準(zhǔn)要求實(shí)施中存在的問(wèn)題

新技術(shù)不斷在發(fā)展，網(wǎng)絡(luò)安全威脅不斷在演變，等級(jí)保護(hù)工作在實(shí)際開(kāi)展中也遇到一些新問(wèn)題和新情況。

2.1 新技術(shù)平臺(tái)定級(jí)和安全要求存在空白

隨著國(guó)家智慧城市戰(zhàn)略的推進(jìn)，云計(jì)算、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、移動(dòng)互聯(lián)網(wǎng)逐步在信息系統(tǒng)中得到推廣和應(yīng)用，等級(jí)保護(hù)對(duì)象范圍進(jìn)一步擴(kuò)大，原標(biāo)準(zhǔn)體系只有針對(duì)通用系統(tǒng)環(huán)境的相關(guān)標(biāo)準(zhǔn)要求，但缺乏針對(duì)以上新技術(shù)平臺(tái)的定級(jí)流程規(guī)范及相關(guān)的技術(shù)要求，規(guī)范定級(jí)、安全建設(shè)整改和等級(jí)測(cè)評(píng)工作。

2.2 等級(jí)保護(hù)內(nèi)容還不夠完善

等級(jí)保護(hù)工作主要包括定級(jí)、備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)監(jiān)督檢查五個(gè)環(huán)節(jié)的工作。而在網(wǎng)絡(luò)安全新形勢(shì)下已經(jīng)不能完全滿(mǎn)足等級(jí)保護(hù)工作的需要，風(fēng)險(xiǎn)評(píng)估、安全監(jiān)測(cè)、通報(bào)預(yù)警，應(yīng)急處置等網(wǎng)絡(luò)安全工作尤為重要，等級(jí)保護(hù)工作的內(nèi)涵需要進(jìn)一步豐富和完善。

2.3 等級(jí)保護(hù)體系還不夠健全

隨著等級(jí)保護(hù)對(duì)象和工作內(nèi)容的進(jìn)一步擴(kuò)大，等級(jí)保護(hù)體系需要在現(xiàn)有體系的基礎(chǔ)上進(jìn)一步完善和健全，重點(diǎn)建立和完善政策、標(biāo)準(zhǔn)、測(cè)評(píng)、技術(shù)、服務(wù)等體系，為構(gòu)建一體化安全保衛(wèi)體系提供有力支撐。

3 等級(jí)保護(hù)2.0標(biāo)準(zhǔn)的變化

為適應(yīng)新技術(shù)的發(fā)展，解決云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工控領(lǐng)域信息系統(tǒng)的等級(jí)保護(hù)工作的需要，由公安部牽頭組織開(kāi)展了信息技術(shù)新領(lǐng)域等級(jí)保護(hù)重點(diǎn)標(biāo)準(zhǔn)申報(bào)國(guó)家標(biāo)準(zhǔn)的工作，等級(jí)保護(hù)正式進(jìn)入了2.0時(shí)代。

新標(biāo)準(zhǔn)包含了網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南、實(shí)施指南、基本要求和測(cè)評(píng)要求，其中新修訂的《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》包含網(wǎng)絡(luò)安全等級(jí)保護(hù)通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、工業(yè)控制系統(tǒng)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求以及大數(shù)據(jù)安全擴(kuò)展要求六個(gè)部分。

安全技術(shù)部分指標(biāo)由原來(lái)的五個(gè)層面調(diào)整為物理與環(huán)境安全、網(wǎng)絡(luò)與通信安全、設(shè)備和技術(shù)安全、應(yīng)用和數(shù)據(jù)四個(gè)層面，安全管理指標(biāo)由原來(lái)的五個(gè)層面調(diào)整為安全策略與管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理、安全運(yùn)維管理四個(gè)層面。各層面的控制點(diǎn)和指標(biāo)項(xiàng)進(jìn)行了相應(yīng)的調(diào)整，結(jié)構(gòu)更加清晰合理，體系更加完善。

4 等級(jí)保護(hù)2.0安全體系建設(shè)

等級(jí)保護(hù)2.0管理策略將由之前等級(jí)保護(hù)1.0的“自主定級(jí)、自主保護(hù)、監(jiān)督指導(dǎo)”轉(zhuǎn)向?yàn)椤懊鞔_等級(jí)、增強(qiáng)保護(hù)、常態(tài)監(jiān)督”的層面。同時(shí)將風(fēng)險(xiǎn)評(píng)估、安全監(jiān)測(cè)、通報(bào)預(yù)警等重點(diǎn)措施以及云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)平臺(tái)納入等級(jí)保護(hù)管理，要求構(gòu)建“偵攻防管控”一體化的網(wǎng)絡(luò)安全綜合防控體系。因此整個(gè)安全體系建設(shè)是一項(xiàng)系統(tǒng)工程，可以圍繞以下幾個(gè)方面進(jìn)行開(kāi)展。

4.1 網(wǎng)絡(luò)信任體系建設(shè)

建設(shè)CA認(rèn)證系統(tǒng)，為業(yè)務(wù)系統(tǒng)提供證書(shū)生產(chǎn)、身份認(rèn)證等證書(shū)服務(wù)，為用戶(hù)提供安全可信的支撐服務(wù)；在CA認(rèn)證和服務(wù)平臺(tái)的支持下，實(shí)現(xiàn)用戶(hù)信息的統(tǒng)一管理，為操作系統(tǒng)登錄、網(wǎng)絡(luò)接入、業(yè)務(wù)系統(tǒng)訪(fǎng)問(wèn)提供統(tǒng)一的身份認(rèn)證。

4.2 安全技術(shù)體系建設(shè)

綜合采用身份認(rèn)證、訪(fǎng)問(wèn)控制、邊界防護(hù)、安全審計(jì)、入侵檢測(cè)/防御、惡意代碼防護(hù)等技術(shù)構(gòu)建基礎(chǔ)的技術(shù)防護(hù)體系。針對(duì)云計(jì)算平臺(tái)部署虛擬化安全防護(hù)系統(tǒng)、云安全資源池構(gòu)建云平臺(tái)安全防護(hù)體系，實(shí)現(xiàn)私有云環(huán)境下不同虛機(jī)，公有云環(huán)境下的不同租戶(hù)之間南北向的安全隔離和防御，同時(shí)可結(jié)合云端的安全防護(hù)和監(jiān)測(cè)類(lèi)服務(wù)實(shí)現(xiàn)縱深防御。針對(duì)大數(shù)據(jù)平臺(tái)，根據(jù)數(shù)據(jù)的生命周期，在主客體間的訪(fǎng)問(wèn)行為和路徑上綜合采用身份認(rèn)證、訪(fǎng)問(wèn)控制、數(shù)據(jù)加密、數(shù)據(jù)脫敏等手段進(jìn)行安全防御。通過(guò)部署APT攻擊防護(hù)系統(tǒng)、態(tài)勢(shì)感知系統(tǒng)對(duì)威脅及攻擊行為進(jìn)行主動(dòng)式的監(jiān)測(cè)及安全態(tài)勢(shì)的預(yù)判，實(shí)現(xiàn)持續(xù)監(jiān)測(cè)、安全可視。

4.3 安全管理體系建設(shè)

組織和單位應(yīng)建立完善的安全管理領(lǐng)導(dǎo)組織機(jī)構(gòu)，根據(jù)單位業(yè)務(wù)情況并結(jié)合安全管理實(shí)際建立包含總體安全策略、安全管理制度、操作流程規(guī)范、記錄表單的安全管理文件體系，并按照安全管理體系要求嚴(yán)格執(zhí)行。配備專(zhuān)業(yè)的機(jī)房、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用和安全管理人員負(fù)責(zé)信息系統(tǒng)的日常管理工作，加強(qiáng)對(duì)業(yè)務(wù)人員和安全管理人員的安全意識(shí)和技能的培訓(xùn)，定期開(kāi)展安全事件應(yīng)急處置演練，提高突發(fā)事件的應(yīng)急處置能力。根據(jù)系統(tǒng)安全保護(hù)等級(jí)及信息系統(tǒng)實(shí)際情況規(guī)劃系統(tǒng)安全建設(shè)，加強(qiáng)信息系統(tǒng)在設(shè)計(jì)、實(shí)施、驗(yàn)收過(guò)程的管理。信息系統(tǒng)如果部署在公有云上，需要確定云服務(wù)商提供的云計(jì)算平臺(tái)達(dá)到相應(yīng)的安全等級(jí)，作為云租戶(hù)方要與云平臺(tái)服務(wù)商、云安全服務(wù)商明確各自的安全責(zé)任和義務(wù)。

組織和單位除建立自身的安全運(yùn)維團(tuán)隊(duì)外，作為對(duì)現(xiàn)有安全管理人員補(bǔ)充，以及加強(qiáng)安全應(yīng)急支撐團(tuán)隊(duì)的建設(shè)，組織和單位可通過(guò)服務(wù)外包的方式委托專(zhuān)業(yè)安全服務(wù)機(jī)構(gòu)負(fù)責(zé)日常具體的安全運(yùn)維工作，把主要精力放在安全整體管理和決策上。通過(guò)安全巡檢對(duì)系統(tǒng)狀態(tài)、安全策略配置進(jìn)行檢查、對(duì)信息系統(tǒng)進(jìn)行漏洞掃描發(fā)現(xiàn)存在的安全風(fēng)險(xiǎn)和漏洞，通過(guò)安全加固修復(fù)發(fā)現(xiàn)的安全問(wèn)題，提升系統(tǒng)的安全性，通過(guò)日志分析及時(shí)發(fā)現(xiàn)異常和攻擊行為，并針對(duì)性調(diào)整安全策略，通過(guò)應(yīng)急響應(yīng)對(duì)突發(fā)的安全事件進(jìn)行響應(yīng)和處置，并進(jìn)行事后分析和預(yù)防改善。通過(guò)滲透測(cè)試模擬黑客攻擊的方式主動(dòng)發(fā)現(xiàn)系統(tǒng)可利用的漏洞，提升信息系統(tǒng)整體安全性。

4.4 風(fēng)險(xiǎn)管理體系建設(shè)

委托專(zhuān)業(yè)安全測(cè)評(píng)機(jī)構(gòu)定期對(duì)信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估，一方面對(duì)網(wǎng)絡(luò)安全法和信息系統(tǒng)安全保護(hù)等級(jí)的合規(guī)性要求進(jìn)行測(cè)試評(píng)估，另外進(jìn)一步發(fā)現(xiàn)信息系統(tǒng)面臨的主要安全風(fēng)險(xiǎn)，積極采取風(fēng)險(xiǎn)應(yīng)對(duì)措施，對(duì)殘留風(fēng)險(xiǎn)持續(xù)進(jìn)行監(jiān)控。

5 結(jié)語(yǔ)

網(wǎng)絡(luò)安全靠人民，網(wǎng)絡(luò)安全為人民。隨著國(guó)家針對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的重大舉措和決策部署，政策法律、標(biāo)準(zhǔn)規(guī)范進(jìn)一步得到完善，等級(jí)保護(hù)工作和監(jiān)管范圍進(jìn)一步擴(kuò)大，相信通過(guò)等級(jí)保護(hù)2.0的推進(jìn)和實(shí)施，將全面提升我國(guó)關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的安全保障水平，使我們的網(wǎng)絡(luò)更加安全，人民更加幸福。

[1]郭啟全.信息安全等級(jí)保護(hù)政策培訓(xùn)教程2016版[M].電子工業(yè)出版社，2016.

[2]夏冰.網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0[M].電子工業(yè)出版社，2017.