段磊

（國家郵政局發(fā)展研究中心，北京100000）

1 引言

當前府黨政機關(guān)、各大央企國企、中小企業(yè)單位對信息化、網(wǎng)絡化建設的要求越來越嚴格，對網(wǎng)絡安全愈發(fā)重視。同時由于信息化、網(wǎng)絡化普遍面臨的安全威脅，又給單位的信息化、網(wǎng)絡化帶來嚴重的制約，甚至對各單位信息系統(tǒng)能否正常使用與順利運營產(chǎn)生嚴重威脅。由此可見，如何在新時期法律法規(guī)要求下做到既高效又安全，是各單位信息化、網(wǎng)絡化關(guān)注的重點。

2 等級保護2.0與等級保護1.0的主要變化

首先，標準名稱變化。隨著《中華人民共和國網(wǎng)絡安全法》的頒布實施，為避免與《網(wǎng)絡安全等級保護制度》出現(xiàn)沖突，由《信息系統(tǒng)安全等級保護》變更為《網(wǎng)絡安全等級保護》，為各單位具體落實提供了新的參考標準。

其次，標準內(nèi)容變化。技術(shù)與管理工作的要求分類方面變化十分顯著。前者對安全細節(jié)性的要求更高，并針對機房設施、業(yè)務應用與通信網(wǎng)絡等，實現(xiàn)有關(guān)標準的制定；后者則更加注重制度的完善構(gòu)建，對機構(gòu)與人員的重視程度也越來越高，在建設過程與運維工作中，需要進一步保證安全性。

再次，由于各類新型攻擊形式還在不斷涌現(xiàn)，因此，防護技術(shù)也必須不斷提升，等級保護2.0中分析新型網(wǎng)絡攻擊功能也在不斷增強，在事前事中事后3個階段全方位的提升自己的安全能力。此時網(wǎng)絡中若再出現(xiàn)安全事件，通過一定的安全威脅感知能力，系統(tǒng)應具備自動識別、報警與分析。

最后，等級保護2.0在合理建立可信計算體系的基礎上，所創(chuàng)建的新計算模式能達成主動免疫防御的目的。因此，身份識別與保密存儲等先進功能，也要在等保2.0中得以落實。如此更有助于其對異常成分的識別，對有害物質(zhì)起到有效的清理與排除作用，使計算機信息系統(tǒng)的免疫力全面提升[1]。

3 網(wǎng)路安全信息化保障體系建設的主要思路

3.1 建立安全預警防控系統(tǒng)與感知溯源系統(tǒng)

將ISO 27001與等級保護作為建設基點，保證網(wǎng)絡安全預警防控系統(tǒng)建設的立體性與可追溯性，進一步使網(wǎng)絡安全縱深防御體系的合理全面、安全高效得到保障。除此之外，網(wǎng)絡安全態(tài)勢感知與攻擊溯源系統(tǒng)的完善創(chuàng)建也非常必要，這是建立安全預警防控體系的重要基礎，有助于存量與增量系統(tǒng)安全設備水平的整體增強。同時，網(wǎng)絡安全風險評估與排查的效率與質(zhì)量也必須及時提升，在處理日志長期保存方面的問題時，要將各時段、端口以及流量等因素全部考慮在內(nèi)。

3.2 充分發(fā)揮身份管理支撐體系的作用

在目前網(wǎng)絡安全保障體系建設過程中，管理標準與技術(shù)標準統(tǒng)一性較差的問題較為嚴重，這也是導致無法發(fā)揮管理制度實際作用的重要因素，需要相關(guān)人員結(jié)合實際情況及時處理。另外，身份管理支撐體系未有效運用所導致的問題還表現(xiàn)在以下幾點中：同一用戶具備多個身份；未能有效管理系統(tǒng)與設備；新舊密碼均有效；管理權(quán)限與職責未明確；密碼保管人員離職后密碼仍未變更等問題。并且隨著《中華人民共和國密碼法》的推進，信息管理人員在設計密碼時也應依據(jù)《中華人民共和國密碼法》，遵循相關(guān)法律規(guī)定。

3.3 確保運行維護防控體系的完善性

在創(chuàng)建預警防控系統(tǒng)時，體系設計人員應將關(guān)鍵資產(chǎn)作為運維中心，并盡可能確保其可視性與完整性，這是使用者能對網(wǎng)絡與安全設備動態(tài)情況及時全面掌握的重中之重。同時還需了解賬號與業(yè)務應用等安全運行態(tài)勢，其對于存量與增量系統(tǒng)智能運維問題的統(tǒng)一處理也非常有幫助。除此之外，建設過程中管理人員與運維人員通過賬號口令管理，而導致的系統(tǒng)安全風險也要注意規(guī)避，及時明確IT基礎設施賬號安全管理的重要性，確保運維防控體系的有效性與完整性[2]。

3.4 實現(xiàn)數(shù)據(jù)安全架構(gòu)體系的全面覆蓋

為加強安全保障體系對信息的保護作用，要結(jié)合有關(guān)安全標準與規(guī)范，依托傳統(tǒng)安全架構(gòu)包括并不限于安全審計、防火墻、綜合審計等技術(shù)，合理創(chuàng)建數(shù)據(jù)庫的安全防控體系。與此同時，管理人員還應注意將重點放在數(shù)據(jù)中心網(wǎng)、辦公網(wǎng)以及生產(chǎn)網(wǎng)方面，盡量擴大安全防控體系的覆蓋范圍，實現(xiàn)對數(shù)據(jù)庫安全風險的有效防范。

3.5 現(xiàn)實工控安全架構(gòu)體系的安全建設

除傳統(tǒng)的網(wǎng)絡架構(gòu)外，新的等級保護要求也對生產(chǎn)網(wǎng)和物聯(lián)網(wǎng)等提出了新的要求，在進行工控安全等級保護規(guī)劃中，要從安全需求、安全風險和安全成本之間進行平衡和折中。過多的安全要求必將造成安全成本的迅速增加和運行的復雜性，適度安全也是等級保護建設的初衷。因此，在進行等級保護設計的過程中，一方面要嚴格遵循基本要求，從物理、網(wǎng)絡、主機、應用、數(shù)據(jù)等層面加強防護措施，保障信息系統(tǒng)的機密性、完整性和可用性。

3.6 保證安全運行架構(gòu)體系順利運行

將等級保護2.0的具體要求作為根據(jù)，促進安全運維管理中心不斷向統(tǒng)一化的方向發(fā)展，與此同時，創(chuàng)建安全系統(tǒng)架構(gòu)體系，并保證其高效穩(wěn)定的運行，能為身份管理認證、數(shù)據(jù)安全、終端管控等核心系統(tǒng)的準確性的提升，提供不可忽視的推動作用。經(jīng)實踐證明，如此一方面能促進有機整體的形成，另一方面又能保證穩(wěn)定性與可靠性，在確保安全運行架構(gòu)體系獨立運行的基礎上，使機房意外事故出現(xiàn)的機率全面降低，使核心系統(tǒng)運行過程中受到的影響，盡可能降到最低[3]。

4 建設合理分層的安全一體化保障架構(gòu)

體系設計人員要明確核心系統(tǒng)，以其為核心地位設計安全感知功能，確?；诘燃壉Ｗo2.0下安全一體化保障體系的防御能力、檢測水平與響應情況，均能符合有關(guān)標準與規(guī)范。除此之外，這一領(lǐng)域目前對網(wǎng)絡保護的要求，已遠不局限于單純的被動保護，只有做到保護、檢測與恢復的合理結(jié)合，結(jié)合世界網(wǎng)絡安全業(yè)界先進技術(shù)目前的發(fā)展趨勢，才能在網(wǎng)絡中各重要因素與“安全感知”的共同作用下，促進聯(lián)動防御機制不斷向立體化的方向發(fā)展。

將邊界、云以及端點安全為關(guān)鍵點，為體系增添立體防護功能，同時根據(jù)等保1.0與2.0中的安全防護標準，實現(xiàn)有效防護核心安全要素的目的，在建立基礎安全防護體系的基礎上，還應最大程度上保證其科學性與可靠性。核心安全要素的主要內(nèi)容，通常情況下含括安全通信網(wǎng)絡與安全計算環(huán)境等，技術(shù)人員需結(jié)合其實際需求，完善創(chuàng)建安全管理中心，盡可能發(fā)揮事前防護以及過程監(jiān)控的最大效果。與此同時，在生產(chǎn)網(wǎng)等工控網(wǎng)絡中要建立起一定的有效防護安全措施和初步體系架構(gòu)，以全局安全可視作為目標，增強安全保障體系的安全治理能力，在全局安全可視的基礎上，借助大數(shù)據(jù)技術(shù)與人工智能技術(shù)，促進安全運維能力的真正提升。與此同時，通過對失陷主機檢測等有關(guān)技術(shù)的利用，也更有助于運維人員及時發(fā)現(xiàn)系統(tǒng)安全風險，進一步提高措施的有效性。

5 結(jié)語

通過對安全一體化保障體系的有效運用，彌補了傳統(tǒng)安全設計中“打補丁”方式的弊端，在各體系架構(gòu)間邏輯關(guān)聯(lián)性的作用之下，安全設計框架的完整性也能得到更大的保證。此外，還需在明確建設思路的基礎上，提高對安全運營過程管理的重視程度，盡可能在安全保障體系出現(xiàn)問題的第一時間及時處理，進而為安全能力的持續(xù)輸出，提供更大的推動力量。