◆莫新建

網(wǎng)絡(luò)安全等級保護(hù)建設(shè)探索

◆莫新建

（河南航天精工制造有限公司 河南 464100）

隨著網(wǎng)絡(luò)安全形勢的日益嚴(yán)峻，國家有關(guān)部門先后出臺了一系列文件，明確了等級保護(hù)的重要性。為了履行國家《網(wǎng)絡(luò)安全法》法律義務(wù)，落實網(wǎng)絡(luò)安全保護(hù)責(zé)任，單位需開展網(wǎng)絡(luò)安全等級保護(hù)建設(shè)工作，按照技術(shù)與管理的需求進(jìn)行建設(shè)實施，并加強(qiáng)日常運維與監(jiān)管。

網(wǎng)絡(luò)安全；等級保護(hù)；建設(shè)探索

1 網(wǎng)絡(luò)安全建設(shè)規(guī)劃

按網(wǎng)絡(luò)安全等級保護(hù)實施指南及基本要求等文件要求，對網(wǎng)絡(luò)信息系統(tǒng)保護(hù)對象劃分區(qū)域并定級，根據(jù)定級級別，對不同的保護(hù)對象從物理環(huán)境防護(hù)、通訊網(wǎng)絡(luò)、網(wǎng)絡(luò)邊界、主機(jī)設(shè)備以及應(yīng)用和數(shù)據(jù)等方面的安全防護(hù)進(jìn)行不同級別的安全防護(hù)設(shè)計。同時建設(shè)統(tǒng)一的安全管理中心來保障安全管理措施和技術(shù)防護(hù)的有效協(xié)同及一體化管理，保障安全措施及管理有效運行。

2 網(wǎng)絡(luò)安全技術(shù)設(shè)施建設(shè)

2.1 物理環(huán)境安全

中心機(jī)房可以說是一個單位網(wǎng)絡(luò)的神經(jīng)中樞，對于一個單位的網(wǎng)絡(luò)信息系統(tǒng)十分重要。所以中心機(jī)房在物理環(huán)境安全方面必須高標(biāo)準(zhǔn)嚴(yán)要求進(jìn)行設(shè)計及施工。中心機(jī)房建設(shè)可以依據(jù)國家《電子信息系統(tǒng)機(jī)房設(shè)計規(guī)范》（GB50174-2008）的要求，主要從機(jī)房位置選擇、門禁控制、配電及UPS、防雷接地、設(shè)備監(jiān)控、防火及火災(zāi)報警、防水和防潮、防靜電、溫濕度控制、新風(fēng)系統(tǒng)、電磁泄漏防護(hù)等方面綜合考慮進(jìn)行建設(shè)，從而保障中心機(jī)房及網(wǎng)絡(luò)信息系統(tǒng)的安全。

2.2 網(wǎng)絡(luò)通信安全

網(wǎng)絡(luò)結(jié)構(gòu)是網(wǎng)絡(luò)安全的前提和基礎(chǔ)，對信息系統(tǒng)所依托的網(wǎng)絡(luò)需要進(jìn)行合理的規(guī)劃。根據(jù)總體網(wǎng)絡(luò)規(guī)劃，分析其重要性和所涉及信息的重要程度等，并據(jù)此劃分不同的VLAN網(wǎng)段，設(shè)置相應(yīng)的安全訪問控制策略。另外，在網(wǎng)絡(luò)安全域的邊界部署防火墻及入侵防御系統(tǒng)，對所有流經(jīng)防火墻的數(shù)據(jù)包按照安全規(guī)則過濾，屏蔽不安全的或不符合安全規(guī)則的數(shù)據(jù)包，禁止越權(quán)訪問以及各類非法攻擊的行為。利用入侵防御系統(tǒng)的動態(tài)檢測功能，對網(wǎng)絡(luò)中的異常流量進(jìn)行監(jiān)測，并定期對入侵防御系統(tǒng)的特征庫進(jìn)行升級，及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常行為。在核心交換機(jī)上設(shè)置訪問控制策略，禁止終端用戶對安全管理設(shè)備的非授權(quán)訪問，同時在接入層交換機(jī)上對所有接入網(wǎng)絡(luò)的信息設(shè)備進(jìn)行端口、IP地址和MAC地址的綁定。在網(wǎng)絡(luò)層通過旁路方式部署漏洞掃描系統(tǒng)，在即不影響網(wǎng)絡(luò)速度的情況下，又能及時的發(fā)現(xiàn)系統(tǒng)存在的漏洞，并根據(jù)漏洞掃描系統(tǒng)提供的解決方案及時更新補(bǔ)丁，消除相應(yīng)的安全隱患。部署日志審計系統(tǒng)，對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器進(jìn)行安全審計，審計記錄應(yīng)包含事件的時間、用戶信息、事件類型、事件是否成功等信息。在交換機(jī)與防火墻上配置詳細(xì)的訪問控制策略，限制終端的接入方式、網(wǎng)絡(luò)地址的范圍等。

2.3 主機(jī)設(shè)備安全

對登錄主機(jī)設(shè)備的用戶進(jìn)行用戶身份鑒別，使用賬號+密碼的方式，身份鑒別的密碼具有一定的復(fù)雜度要求并設(shè)置定期更換；對電腦登錄采用了USB-KEY+密鑰的方式進(jìn)行登錄，需要進(jìn)行遠(yuǎn)程管理的設(shè)備采用堡壘機(jī)等安全防護(hù)保證措施的方式進(jìn)行遠(yuǎn)程管理。同時，針對主機(jī)系統(tǒng)訪問控制策略對服務(wù)器及終端設(shè)備進(jìn)行安全加固，包括：刪除或修改默認(rèn)賬戶名稱，修改賬戶默認(rèn)口令，刪除系統(tǒng)及數(shù)據(jù)庫中多余無用賬戶，禁用默認(rèn)共享等；根據(jù)管理員用戶的角色分配相應(yīng)的管理權(quán)限，僅授權(quán)各管理員用戶所需的最小權(quán)限。日志審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、上網(wǎng)行為審計系統(tǒng)等安全設(shè)備的部署實現(xiàn)主機(jī)設(shè)備的安全審計功能。針對主機(jī)系統(tǒng)遵循最小安裝原則，關(guān)閉不必要的系統(tǒng)服務(wù)及高危端口，比如135、139、445端口等。在所有終端主機(jī)和服務(wù)器上部署防病毒系統(tǒng)，加強(qiáng)終端主機(jī)的病毒防護(hù)能力并及時升級防病毒庫，定期對網(wǎng)絡(luò)中的惡意代碼進(jìn)行查殺。域控服務(wù)器根據(jù)安全策略設(shè)置終端主機(jī)設(shè)備登錄的超時鎖定閾值及無效登錄次數(shù)鎖定閾值，并限制用戶對系統(tǒng)資源的使用最大及最小限度，并對重要的關(guān)鍵網(wǎng)絡(luò)設(shè)備及服務(wù)器配備硬件冗余，保障高可用性。

2.4 應(yīng)用和數(shù)據(jù)安全

應(yīng)用系統(tǒng)開發(fā)要考慮應(yīng)用及數(shù)據(jù)安全需求，在開發(fā)時同時進(jìn)行安全方面開發(fā)及設(shè)置。信息系統(tǒng)身份鑒別，可以采用用戶賬戶和密碼的方式，密碼要設(shè)置復(fù)雜度要求，也可以采用用戶賬戶與USB-KEY進(jìn)行綁定的雙因子方式進(jìn)行認(rèn)證，為安全事件的跟蹤審計提供有效依據(jù)。應(yīng)配置對登錄的用戶賬號和權(quán)限訪問控制的功能，并及時刪除或停用應(yīng)用系統(tǒng)中多余的、過期的賬號；刪除或修改系統(tǒng)默認(rèn)賬戶及登錄口令，設(shè)置不同的管理員權(quán)限，操作系統(tǒng)和數(shù)據(jù)庫管理員分權(quán)管理，安排不同人員擔(dān)任并分配不同的賬號。開啟應(yīng)用系統(tǒng)及其使用的中間件的自帶審計功能，并把相應(yīng)的日志發(fā)送到日志審計系統(tǒng)，統(tǒng)一進(jìn)行審計分析。同時部署數(shù)據(jù)庫審計系統(tǒng)，對管理員操作數(shù)據(jù)庫的相關(guān)記錄進(jìn)行安全審計，防止非法操作及更改相關(guān)數(shù)據(jù)信息。應(yīng)用系統(tǒng)在資源控制方面，應(yīng)設(shè)置一個客戶端只允許一個用戶同時登錄，并且一個用戶只允許同時在一個客戶端上登錄，從而保障信息資源的安全。在數(shù)據(jù)完整性和保密性方面，通過部署加密機(jī)實現(xiàn)網(wǎng)絡(luò)傳輸層數(shù)據(jù)的完整性和保密性防護(hù)。對信息及業(yè)務(wù)數(shù)據(jù)加密傳輸和存儲，確保傳輸?shù)臄?shù)據(jù)是加密后傳輸和存儲。在數(shù)據(jù)備份和恢復(fù)方面，重要數(shù)據(jù)實現(xiàn)本地備份和恢復(fù)并且異地能夠?qū)崟r備份實現(xiàn)數(shù)據(jù)的備份和恢復(fù)。

3 網(wǎng)絡(luò)安全管理體系建設(shè)

網(wǎng)絡(luò)安全管理重要的就是要建立統(tǒng)一的網(wǎng)絡(luò)安全管理體系，落實各項網(wǎng)絡(luò)安全管理制度。所謂“三分技術(shù)，七分管理”，技術(shù)是基礎(chǔ)，安全管理是關(guān)鍵。安全管理體系建設(shè)需從安全管理制度、安全管理機(jī)構(gòu)、安全人員管理、應(yīng)用系統(tǒng)建設(shè)及安全運維管理等方面進(jìn)行統(tǒng)籌規(guī)劃設(shè)計。

3.1 網(wǎng)絡(luò)安全管理策略和制度

單位應(yīng)制定網(wǎng)絡(luò)安全管理總體方針和安全策略，明確網(wǎng)絡(luò)安全管理工作的總體目標(biāo)、范圍、原則和框架等。根據(jù)網(wǎng)絡(luò)安全管理的方針策略制訂一系列網(wǎng)絡(luò)安全管理制度、規(guī)范、辦法等，用來規(guī)范各部門的網(wǎng)絡(luò)安全工作，并建立管理人員及操作人員執(zhí)行的日常管理操作規(guī)程，形成由安全管理策略、制度與管理辦法、操作規(guī)程等構(gòu)成的全方位的網(wǎng)絡(luò)安全管理制度體系，指導(dǎo)并有效地規(guī)范各部門的網(wǎng)絡(luò)安全管理工作，并形成相關(guān)的記錄表單以闡明所遵循制度操作規(guī)范取得的結(jié)果或提供完成活動的證據(jù)。網(wǎng)絡(luò)安全管理部門應(yīng)根據(jù)環(huán)境變化對策略、安全管理制度及操作規(guī)程進(jìn)行評審，并及時修訂相關(guān)內(nèi)容。

3.2 網(wǎng)絡(luò)安全組織機(jī)構(gòu)和人員管理

單位應(yīng)成立網(wǎng)絡(luò)安全管理領(lǐng)導(dǎo)小組及辦公室等機(jī)構(gòu)，明確網(wǎng)絡(luò)安全管理機(jī)構(gòu)的組織形式和執(zhí)行方法，并設(shè)立系統(tǒng)管理員、安全管理員、審計員等崗位，從人員配置、授權(quán)審批、溝通協(xié)調(diào)、檢查審計、人員上崗錄用、人員離崗離職及人員安全意識教育培訓(xùn)等各方面進(jìn)行管理落地執(zhí)行。

3.3 網(wǎng)絡(luò)安全運維管理

單位應(yīng)根據(jù)網(wǎng)絡(luò)安全管理制度體系框架中有關(guān)信息系統(tǒng)安全運維有關(guān)的管理制度規(guī)定，不斷完善運維安全管理的措施及手段，具體包括：物理環(huán)境管理、設(shè)備資產(chǎn)管理、存儲介質(zhì)管理、設(shè)備維護(hù)管理、漏洞風(fēng)險管理、網(wǎng)絡(luò)信息安全管理、病毒惡意代碼防范管理、策略配置管理、密鑰密碼管理、權(quán)限變更管理、備份與恢復(fù)管理、外包運維服務(wù)管理、應(yīng)急預(yù)案管理及安全事件應(yīng)急處置管理等等內(nèi)容，確保網(wǎng)絡(luò)及信息系統(tǒng)安全穩(wěn)定運行。

[1]《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實施指南》GB/T 25058-2010.

[2]《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)體系框架》GA/T 708-2007.

[3]《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》GB/T 22239-2019.