王昌明

我國(guó)十分重視網(wǎng)絡(luò)安全工作，近年來一直在著手國(guó)家的網(wǎng)絡(luò)安全法律法規(guī)體系建設(shè)工作，2017年頒布實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）標(biāo)志著我國(guó)網(wǎng)絡(luò)安全工作有了基礎(chǔ)性的法律框架，有了網(wǎng)絡(luò)安全的“基本法”。作為“基本法”解決了以下幾個(gè)問題：一是明確了部門、企業(yè)、社會(huì)組織和個(gè)人的權(quán)利、義務(wù)和責(zé)任;二是規(guī)定了國(guó)家網(wǎng)絡(luò)安全工作的基本原則、主要任務(wù)和重大指導(dǎo)思想、理念;三是將成熟的政策規(guī)定和措施上升為法律，為政府部門的工作提供了法律依據(jù)，體現(xiàn)了依法行政、依法治國(guó)要求;四是建立了國(guó)家網(wǎng)絡(luò)安全的一系列基本制度，這些基本制度具有全局性、基礎(chǔ)性特點(diǎn)，是推動(dòng)工作、夯實(shí)能力、防范重大風(fēng)險(xiǎn)所必需的。

開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的意義

作為信息系統(tǒng)的運(yùn)營(yíng)使用單位，在網(wǎng)絡(luò)安全管理工作中應(yīng)該承擔(dān)什么樣的責(zé)任呢？在《網(wǎng)絡(luò)安全法》中明確規(guī)定，“應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定和國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的強(qiáng)制性要求，采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行，有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件，防范違法犯罪活動(dòng)，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。” 由此可以看出，作為系統(tǒng)的運(yùn)行使用單位在網(wǎng)絡(luò)安全管理中扮演著十分重要的角色。那如何落實(shí)這些要求呢？其中非常重要的一個(gè)手段就是開展網(wǎng)絡(luò)安全等級(jí)保護(hù)的相關(guān)工作，信息系統(tǒng)安全等級(jí)保護(hù)是國(guó)家網(wǎng)絡(luò)安全保障工作的基本制度、基本策略、基本方法。開展信息系統(tǒng)安全等級(jí)保護(hù)工作不僅是加強(qiáng)國(guó)家網(wǎng)絡(luò)安全保障工作的重要內(nèi)容，也是一項(xiàng)事關(guān)國(guó)家安全、社會(huì)穩(wěn)定的政治任務(wù)。

網(wǎng)絡(luò)安全等級(jí)保護(hù)主要工作流程

開展等級(jí)保護(hù)工作主要分為五個(gè)階段，包括：定級(jí)、備案、測(cè)評(píng)、建設(shè)整改和監(jiān)督審查。主要工作流程詳見圖1。

作為信息系統(tǒng)的運(yùn)營(yíng)使用單位，如何按照以上步驟開展等級(jí)保護(hù)工作呢？下面我們就著重介紹一下信息系統(tǒng)開展等級(jí)保護(hù)相關(guān)工作的步驟。

首先，應(yīng)開展信息系統(tǒng)定級(jí)工作。主要包含以下幾個(gè)方面的工作：首先應(yīng)明確的定級(jí)對(duì)象，確定系統(tǒng)安全保護(hù)等級(jí)，安全保護(hù)等級(jí)的確定如圖2所示。

確定系統(tǒng)安全保護(hù)等級(jí)后，應(yīng)起草《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)報(bào)告》，填寫《信息系統(tǒng)安全等級(jí)保護(hù)備案表》，召開定級(jí)專家會(huì)，聘請(qǐng)網(wǎng)絡(luò)安全相關(guān)專家，專家應(yīng)具有網(wǎng)絡(luò)安全相關(guān)資質(zhì)，至少有一名專家應(yīng)具有網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)師（高級(jí)）資質(zhì)，出具系統(tǒng)定級(jí)專家意見。

其次，根據(jù)所轄公安機(jī)關(guān)網(wǎng)絡(luò)安全主管部門的要求，準(zhǔn)備網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)材料。材料主要包括：定級(jí)報(bào)告、定級(jí)備案表、專家論證意見、安全管理制度（三級(jí)以上系統(tǒng)）以及當(dāng)?shù)毓矙C(jī)關(guān)要求的其他材料。將定級(jí)材料上交所轄公安機(jī)關(guān)網(wǎng)絡(luò)安全主管部門，取得定級(jí)備案證明。

再次，開展系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作。聘請(qǐng)有資質(zhì)的單位開展系統(tǒng)網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)工作。如果信息系統(tǒng)未進(jìn)行過安全設(shè)計(jì)和安全加固，建議先進(jìn)行差距分析，整改加固后再進(jìn)行等級(jí)保護(hù)測(cè)評(píng)，由測(cè)評(píng)機(jī)構(gòu)出具等級(jí)測(cè)評(píng)報(bào)告。最后，根據(jù)等級(jí)測(cè)評(píng)報(bào)告對(duì)系統(tǒng)進(jìn)行整改加固，并根據(jù)系統(tǒng)保護(hù)等級(jí)定期開展等級(jí)保護(hù)測(cè)評(píng)工作。

信息系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)防護(hù)要求

如何能夠做好等級(jí)保護(hù)測(cè)評(píng)前的準(zhǔn)備工作，提高通過等級(jí)保護(hù)測(cè)評(píng)的可能性，下面我們就以三級(jí)系統(tǒng)為例，從管理體系建設(shè)和技術(shù)防護(hù)措施兩個(gè)方面進(jìn)行闡述：

在網(wǎng)絡(luò)安全管理方面，首先應(yīng)制定網(wǎng)絡(luò)安全工作的總體方針和安全策略，用以闡明本單位的網(wǎng)絡(luò)安全工作的總體目標(biāo)、范圍、原則和安全框架等。同時(shí)需要建立網(wǎng)絡(luò)安全管理制度體系和操作規(guī)程，涵蓋單位組織架構(gòu)、人員管理、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維等各個(gè)方面，組織專家或相關(guān)部門對(duì)管理制度進(jìn)行審定，管理制度通過正式有效方式下發(fā)至安全相關(guān)的各個(gè)部門，對(duì)制度進(jìn)行版本控制、定期審閱和修訂制度。明確網(wǎng)絡(luò)安全管理機(jī)構(gòu)、明確管理機(jī)構(gòu)各負(fù)責(zé)人崗位和崗位職責(zé)。制定授權(quán)審批制度，明確授權(quán)審批的事項(xiàng)和審批流程、保存審批記錄。定期召開網(wǎng)絡(luò)安全事項(xiàng)的會(huì)議，保存會(huì)議紀(jì)要。編制與公安、網(wǎng)信、運(yùn)營(yíng)商、安全公司、系統(tǒng)上下游單位的聯(lián)絡(luò)表單。日常網(wǎng)絡(luò)安全檢查和定期進(jìn)行全面的網(wǎng)絡(luò)安全檢查相結(jié)合，保存檢查記錄。制定人員管理制度，明確人員錄用、離崗相關(guān)等要求。制定網(wǎng)絡(luò)安全培訓(xùn)的計(jì)劃，定期開展人員網(wǎng)絡(luò)安全培訓(xùn)和考核的記錄。在系統(tǒng)建設(shè)方面，應(yīng)按照國(guó)家和行業(yè)的標(biāo)準(zhǔn)積極開展等級(jí)保護(hù)的定級(jí)備案相關(guān)工作，取得系統(tǒng)備案證明。明確系統(tǒng)建設(shè)的總體安全策略和安全方針，起草系統(tǒng)安全詳細(xì)設(shè)計(jì)方案，并組織有關(guān)專家或部門對(duì)方案進(jìn)行審定，出具審定意見。在設(shè)備采購(gòu)時(shí)應(yīng)根據(jù)系統(tǒng)需要對(duì)待采購(gòu)設(shè)備進(jìn)行選型測(cè)試，安全設(shè)備和密碼產(chǎn)品的采購(gòu)應(yīng)符合國(guó)家相關(guān)要求。涉及外包開發(fā)的軟件，安裝前進(jìn)行惡意代碼掃描和源代碼審計(jì)，確保軟件不存在惡意代碼和后門，并由開發(fā)單位提供指導(dǎo)軟件使用文檔。在系統(tǒng)建設(shè)過程中應(yīng)明確管理建設(shè)過程實(shí)施的部門或個(gè)人，制定系統(tǒng)建設(shè)的實(shí)施方案，聘請(qǐng)第三方監(jiān)理機(jī)構(gòu)監(jiān)督建設(shè)質(zhì)量。系統(tǒng)建成后，應(yīng)積極開展系統(tǒng)的測(cè)試驗(yàn)收工作，起草測(cè)試驗(yàn)收方案，聘請(qǐng)有資質(zhì)的單位進(jìn)行安全性測(cè)試和驗(yàn)收測(cè)試，出具測(cè)試驗(yàn)收?qǐng)?bào)告和安全性測(cè)試報(bào)告。編制詳細(xì)的系統(tǒng)交付清單，并要求建設(shè)企業(yè)交付時(shí)進(jìn)行系統(tǒng)使用方面的培訓(xùn)。如選擇安全服務(wù)商，應(yīng)確保服務(wù)商有相應(yīng)資質(zhì)，應(yīng)簽訂合同明確責(zé)任和義務(wù)。在系統(tǒng)運(yùn)維過程中，首先加強(qiáng)物理環(huán)境的管理，制定機(jī)房和辦公環(huán)境管理規(guī)定，編制詳細(xì)的資產(chǎn)清單，制定介質(zhì)管理的相關(guān)制度，制定設(shè)備維護(hù)管理制度，制定網(wǎng)絡(luò)安全管理制度，指定專門部門或人員進(jìn)行賬戶管理。制定重要設(shè)備的配置和操作手冊(cè)，制定防惡意代碼管理制度，制定系統(tǒng)變更管理制度，制定數(shù)據(jù)備份與恢復(fù)管理制度，制定數(shù)據(jù)的備份策略和恢復(fù)策略、備份程序和恢復(fù)程序等。制定安全事件報(bào)告和處置管理制度，保存安全事件處置記錄。制定重要事件的應(yīng)急預(yù)案，定期培訓(xùn)和演練，保存相關(guān)記錄。

安全防護(hù)措施方面，首先應(yīng)保證網(wǎng)絡(luò)架構(gòu)的合理性，根據(jù)系統(tǒng)業(yè)務(wù)情況采購(gòu)設(shè)備和設(shè)計(jì)網(wǎng)絡(luò)處理能力，保證設(shè)備處理能力和網(wǎng)絡(luò)帶寬能夠滿足業(yè)務(wù)高峰期需要;并根據(jù)系統(tǒng)功能或重要性劃分不同子網(wǎng)和網(wǎng)段，并采取有效的隔離措施;采取縱深防護(hù)的網(wǎng)絡(luò)架構(gòu)，將重要網(wǎng)段放在網(wǎng)絡(luò)縱深的最深處。保證重要的通信線路和重要設(shè)備的冗余配置。在網(wǎng)絡(luò)邊界應(yīng)部署訪問控制設(shè)備、入侵檢測(cè)設(shè)備、防病毒和防垃圾郵件設(shè)備，開啟合理策略，在網(wǎng)絡(luò)邊界進(jìn)行防護(hù)，同時(shí)也應(yīng)對(duì)網(wǎng)絡(luò)邊界的數(shù)據(jù)通信行為進(jìn)行審計(jì)。在計(jì)算環(huán)境方面，應(yīng)對(duì)登錄的用戶進(jìn)行雙因素的身份鑒別，為不同用戶設(shè)置各自的賬戶，并分配合理的權(quán)限，用戶密碼要有復(fù)雜度設(shè)定、定期更換設(shè)定開啟。限制非法登錄次數(shù)、設(shè)定超時(shí)自動(dòng)退出。應(yīng)采用安全的遠(yuǎn)程管理方式。刪除默認(rèn)賬戶、多余賬戶、測(cè)試賬戶，修改默認(rèn)口令。開啟安全審計(jì)功能，并對(duì)審計(jì)記錄進(jìn)行保護(hù)。最小化安裝系統(tǒng)，限制終端登錄地址，修補(bǔ)系統(tǒng)高危漏洞等安全措施。同時(shí)系統(tǒng)應(yīng)配置安全管理中心，對(duì)全網(wǎng)設(shè)備狀態(tài)、網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，對(duì)全網(wǎng)設(shè)備的審計(jì)記錄進(jìn)行集中管理和關(guān)聯(lián)分析，部署校時(shí)服務(wù)器，對(duì)全網(wǎng)設(shè)備進(jìn)行校時(shí)。