基于等級(jí)保護(hù)的網(wǎng)絡(luò)安全建設(shè)之研究

◆趙晶晶

(國家工商行政管理總局 北京 100011)

基于等級(jí)保護(hù)的網(wǎng)絡(luò)安全建設(shè)之研究

◆趙晶晶

(國家工商行政管理總局 北京 100011)

在社會(huì)的網(wǎng)絡(luò)發(fā)展進(jìn)程中，網(wǎng)絡(luò)在國家經(jīng)濟(jì)及人們?nèi)粘Ｉ钪械淖饔萌找嫱癸@，信息系統(tǒng)自身的安全性對(duì)于人們的工作與學(xué)習(xí)有著重要的影響，其中信息系統(tǒng)安全等級(jí)保護(hù)工作是現(xiàn)階段網(wǎng)絡(luò)安全系統(tǒng)工作的重要內(nèi)容。

等級(jí)保護(hù)；網(wǎng)絡(luò)安全體系；建設(shè)

0 引言

隨著國家（國家戰(zhàn)略）信息化建設(shè)逐步大力推進(jìn)，信息安全方面的問題也逐年凸顯，導(dǎo)致個(gè)人以及政企信息安全方面受到了極大挑戰(zhàn)，面對(duì)各種的網(wǎng)絡(luò)非法入侵與攻擊，構(gòu)建系統(tǒng)的網(wǎng)絡(luò)安全體系，提升對(duì)其整體管理工作的重視變得極為迫切。對(duì)此要加速提升對(duì)信息系統(tǒng)安全保護(hù)工作，尤其是注重提升安全意識(shí)的重要性的工作、提升整體的監(jiān)督管理體系，對(duì)于各種網(wǎng)絡(luò)信息安全問題進(jìn)行有效的控制和依法嚴(yán)厲打擊，進(jìn)而提升我國社會(huì)整體的網(wǎng)絡(luò)安全性。

1 等級(jí)保護(hù)工作的重要性

現(xiàn)階段我國網(wǎng)絡(luò)安全系統(tǒng)中的相關(guān)等級(jí)保護(hù)制度尚屬于起步發(fā)展階段，現(xiàn)有資源與技術(shù)無法實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)系統(tǒng)完整性與完善性，這也就直接導(dǎo)致了等級(jí)保護(hù)工作在某些側(cè)面無法全面開展。其中，主要涵蓋的內(nèi)容包含以下幾點(diǎn)：

首先，網(wǎng)絡(luò)信息系統(tǒng)中的數(shù)據(jù)信息大多涉及一些重要的商業(yè)機(jī)密。這些信息如果因?yàn)橄嚓P(guān)信息安全系統(tǒng)出現(xiàn)安全設(shè)計(jì)缺陷與安全通信問題，就會(huì)對(duì)整個(gè)國家經(jīng)濟(jì)整體發(fā)展帶來不利影響。同時(shí)也因?yàn)榇蠖鄶?shù)的機(jī)密性的信息數(shù)據(jù)在法律上并沒有確定為涉密級(jí)別，也不會(huì)有明確的涉密信息登記制度或者記錄，相關(guān)機(jī)密性的數(shù)據(jù)信息無法開展針對(duì)性的管理，最終導(dǎo)致出現(xiàn)各種信息的外泄問題。

其次，網(wǎng)絡(luò)自身就是一個(gè)較為開放的資源信息網(wǎng)絡(luò)平臺(tái)，在此種模式之下的信息平臺(tái)涉及了諸多的貿(mào)易業(yè)務(wù)往來，在網(wǎng)絡(luò)中各種日常數(shù)據(jù)信息交換較為頻繁，這種環(huán)境導(dǎo)致了數(shù)據(jù)信息其更容易受到破壞與入侵的可能性，對(duì)其進(jìn)行管理過程中如果并沒有設(shè)置明確的等級(jí)保護(hù)制度，就會(huì)導(dǎo)致其相關(guān)數(shù)據(jù)信息外泄問題的出現(xiàn)，對(duì)于整個(gè)社會(huì)發(fā)展帶來無可估量的惡劣影響。最后，考慮到網(wǎng)絡(luò)信息安全系統(tǒng)自身的復(fù)雜性與廣域性的特點(diǎn),如果不對(duì)網(wǎng)絡(luò)信息以及數(shù)據(jù)進(jìn)行區(qū)別等級(jí)劃分，就會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)在管理過程中的可操作性變得極差。

基于上述問題的存在隱患，需要在網(wǎng)絡(luò)安全建設(shè)的過程中構(gòu)建等級(jí)保護(hù)制度，只有這樣才可以實(shí)現(xiàn)信息系統(tǒng)整體結(jié)構(gòu)的優(yōu)化與完善，進(jìn)而有效地提高整個(gè)網(wǎng)絡(luò)信息的安全性。

2 基于等級(jí)保護(hù)的網(wǎng)絡(luò)安全建設(shè)研究

要想構(gòu)建一個(gè)安全、穩(wěn)定以及規(guī)范的網(wǎng)絡(luò)安全保障系統(tǒng)，就需要與專業(yè)的第三方安全公司共同構(gòu)建一個(gè)完善基于各個(gè)行業(yè)的特點(diǎn)的安全網(wǎng)絡(luò)信息系統(tǒng)，要利用相關(guān)邊界防護(hù)、入侵防御以及安全審計(jì)等措施的應(yīng)用，提升相關(guān)信息系統(tǒng)的整體數(shù)據(jù)安全性，進(jìn)而滿足相關(guān)業(yè)務(wù)的安全需求。

2.1 了解問題，明確目標(biāo)

在實(shí)踐中，要基于具體的優(yōu)化要求與方針政策對(duì)其進(jìn)行明確的規(guī)定，對(duì)于當(dāng)下的網(wǎng)絡(luò)安全保護(hù)措施與網(wǎng)絡(luò)等級(jí)保護(hù)之間的差距與問題進(jìn)行了解后，進(jìn)而為今后的相關(guān)通信安全與架構(gòu)安全設(shè)計(jì)提供參考。對(duì)此，可以基于以下幾點(diǎn)開展工作：

2.1.1 技術(shù)差距分析

主要通過安全掃描技術(shù)、人工安全服務(wù)檢查技術(shù)以及各種方式對(duì)網(wǎng)絡(luò)、相關(guān)安全設(shè)備以及網(wǎng)絡(luò)架構(gòu)等相關(guān)內(nèi)容進(jìn)行系統(tǒng)的檢查，在操作中具體內(nèi)容涵蓋了相關(guān)系統(tǒng)的結(jié)構(gòu)安全與通信區(qū)域劃分、相關(guān)網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計(jì)等相關(guān)內(nèi)容，屆時(shí)要對(duì)現(xiàn)階段相關(guān)單位的各種設(shè)備進(jìn)行系統(tǒng)的檢查，了解網(wǎng)絡(luò)設(shè)備在相關(guān)安全配置方面存在著哪些不足。

2.1.2 管理差距分析

主要就是利用第三方較為權(quán)威的安全評(píng)估以及檢測(cè)的方式，對(duì)整體的安全管理制度進(jìn)行詳細(xì)的規(guī)劃與設(shè)計(jì)，對(duì)其具體制度的制定、發(fā)布以及評(píng)審與修訂狀況進(jìn)行分析，對(duì)于相關(guān)管理部門的組成以及工作組織的具體狀況進(jìn)行系統(tǒng)性的深入理解，同樣加強(qiáng)對(duì)人員的控制與管理是非常必要的，要求具體工作人員對(duì)安全狀況以及整體的控制情況進(jìn)行多維度的分析，要保障其相關(guān)管理制度與規(guī)范的完整性，要對(duì)相關(guān)網(wǎng)絡(luò)建設(shè)以及運(yùn)維過程中存在的各種不足問題進(jìn)行深入分析與探究。

2.2 完善相關(guān)安全管理制度，全面落實(shí)各項(xiàng)政策方針

首先，構(gòu)建符合本單位特色的信息安全管理制度。綜合具體情況，構(gòu)建一個(gè)系統(tǒng)的工程總體政策與方向，將政策作為主要的依據(jù)，明確具體的安全管理制度與相關(guān)規(guī)范流程，要對(duì)其日常工作管理、安全管理以及系統(tǒng)開發(fā)與建設(shè)等相關(guān)內(nèi)容進(jìn)行細(xì)化分類、統(tǒng)籌管理，通過專門的管理機(jī)構(gòu)負(fù)責(zé)其安全管理制度能夠有效、整體的進(jìn)行運(yùn)行，同時(shí)要對(duì)其進(jìn)行一定的審查與修訂，保障相關(guān)安全管理制度的與實(shí)際需求相符合。

其次，構(gòu)建基于實(shí)際的全生命周期信息系統(tǒng)管理模式。要想真正在信息系統(tǒng)建設(shè)中始終貫穿安全管理概念，就要在相關(guān)信息化工程的建設(shè)實(shí)施之前、建設(shè)實(shí)施過程中以及建設(shè)完成之后進(jìn)行綜合評(píng)估（包含信息安全綜合評(píng)估）。在實(shí)踐中，主要涵蓋了系統(tǒng)定級(jí)、相關(guān)安全方案的設(shè)計(jì)、產(chǎn)品的具體采購與使用、軟件的開發(fā)研究、工程的具體實(shí)施、測(cè)試驗(yàn)收以及登記評(píng)測(cè)等相關(guān)內(nèi)容，要在一些日常工作開展中對(duì)其進(jìn)行安全檢測(cè)，提升其整體的安全性，要全面實(shí)現(xiàn)信息系統(tǒng)的整體安全性方面的優(yōu)化工作。

最后，制定相關(guān)應(yīng)急保障體系。體系中要含有制定一個(gè)具有綜合性的應(yīng)急預(yù)案和應(yīng)對(duì)特殊時(shí)期與特殊事件的專項(xiàng)的應(yīng)急預(yù)案，利用特定的時(shí)期對(duì)其進(jìn)行演習(xí)，要明確安全事件的具體處置原則，對(duì)其進(jìn)行熟練的掌握，不斷的優(yōu)化整個(gè)應(yīng)急保障預(yù)案中的信息處理流程，進(jìn)而提升相關(guān)信息安全事件的整體操作與應(yīng)急處理能力。

2.3 技術(shù)優(yōu)化整改并提升整體的風(fēng)險(xiǎn)應(yīng)對(duì)水平

技術(shù)的快速發(fā)展給整體的信息安全帶來了廣域范圍的影響，因此在對(duì)等級(jí)保護(hù)的網(wǎng)絡(luò)建設(shè)過程中，要提升對(duì)互聯(lián)網(wǎng)絡(luò)以及相關(guān)基礎(chǔ)網(wǎng)絡(luò)建設(shè)中有關(guān)等保建設(shè)要求的重視，要提升對(duì)相關(guān)安全防護(hù)工作的意識(shí)，全面落實(shí)各項(xiàng)技術(shù)手段，降低其存在的安全風(fēng)險(xiǎn)與問題。

（1）增強(qiáng)對(duì)相關(guān)網(wǎng)絡(luò)防護(hù)的檢測(cè)力度，提高網(wǎng)絡(luò)防護(hù)和檢測(cè)能力

在現(xiàn)階段的互聯(lián)網(wǎng)中，高性能的防火墻設(shè)備大量在政企辦公鏈路上進(jìn)行部署，實(shí)現(xiàn)了內(nèi)外網(wǎng)的有效隔離，進(jìn)而提升內(nèi)網(wǎng)的整體安全性。在其核心部分進(jìn)行交換機(jī)部署，頂端鏈路中完善入侵檢測(cè)以及網(wǎng)絡(luò)審計(jì)的相關(guān)設(shè)施，實(shí)現(xiàn)相關(guān)外網(wǎng)入侵行為進(jìn)行實(shí)時(shí)有效的檢測(cè)管理，要做到早發(fā)現(xiàn)早處理。同樣，在WEB發(fā)布服務(wù)器區(qū)域網(wǎng)中通過Web防火墻的部署，實(shí)現(xiàn)基于HTTP協(xié)議的相關(guān)深層次攻擊防御，進(jìn)而有效地增強(qiáng)管理系統(tǒng)的整體安全性。

（2）要做到運(yùn)維層面的審計(jì)工作

在對(duì)其進(jìn)度等級(jí)保護(hù)的網(wǎng)絡(luò)建設(shè)過程中，通過對(duì)堡壘主機(jī)以及數(shù)字簽名驗(yàn)證系統(tǒng)的部署，就可以有效的實(shí)現(xiàn)對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備以及相關(guān)安全設(shè)備進(jìn)行有效的實(shí)名制登錄方式，這樣就可以對(duì)相關(guān)操作用戶進(jìn)行詳細(xì)記錄，進(jìn)而有效的增強(qiáng)了等級(jí)保護(hù)的事中以及事后的管理與審計(jì)的性能。

2.4 完善備案以及相關(guān)測(cè)評(píng)工作，全面有效落實(shí)等級(jí)保護(hù)工作

在完成相關(guān)技術(shù)與管理內(nèi)容的優(yōu)化整改之后，就要對(duì)信息系統(tǒng)技術(shù)進(jìn)行全面的防范與管理，進(jìn)而對(duì)今后的安全管理與運(yùn)維保障提供經(jīng)驗(yàn)和幫助，對(duì)此要做到以下幾點(diǎn)：

首先，全面落實(shí)信息系統(tǒng)的相關(guān)定級(jí)備案工作。對(duì)于一些沒有定級(jí)的信息系統(tǒng)要對(duì)其進(jìn)行系統(tǒng)的進(jìn)行調(diào)查分析，要根據(jù)相關(guān)標(biāo)準(zhǔn)對(duì)其具體的服務(wù)對(duì)象、范圍以及內(nèi)容進(jìn)行分類管理，進(jìn)而確定各個(gè)的信息業(yè)務(wù)的具體級(jí)別與相關(guān)服務(wù)的級(jí)別，根據(jù)其信息系統(tǒng)的整體安全級(jí)別，編制相關(guān)報(bào)告，上報(bào)公安機(jī)關(guān)，便于對(duì)其進(jìn)行備案。其次，要通過等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)，開展定級(jí)系統(tǒng)的測(cè)評(píng)工作。要通過相關(guān)具備信息安全等級(jí)保護(hù)以及測(cè)評(píng)資質(zhì)的部門與機(jī)構(gòu)對(duì)其進(jìn)行測(cè)評(píng)，要保障信息系統(tǒng)與規(guī)定的安全保護(hù)等級(jí)要求相符合，進(jìn)而滿足其整體安全需求。

3 結(jié)束語

當(dāng)下，我國的等級(jí)保護(hù)網(wǎng)絡(luò)安全體系的建設(shè)是重點(diǎn)工作內(nèi)容，這也是今后發(fā)展的主要內(nèi)容與前景，只有在基于等級(jí)保護(hù)的相關(guān)要求之上構(gòu)建網(wǎng)絡(luò)安全信息體系，才可以在根本上保障網(wǎng)絡(luò)信息系統(tǒng)的整體安全性，進(jìn)而有效地促進(jìn)信息社會(huì)的長足發(fā)展。

[1]于雷.基于等級(jí)保護(hù)的網(wǎng)絡(luò)安全技術(shù)的應(yīng)用研究[J].電腦知識(shí)與技術(shù)，2014.

[2]李賡曦，姚健，牛晨.基于等級(jí)保護(hù)制度的校園網(wǎng)絡(luò)安全建設(shè)實(shí)踐[J].信息安全與技術(shù)，2016.

[3]宋文軍，張陽，程靜.基于等級(jí)保護(hù)的網(wǎng)絡(luò)安全體系的研究與設(shè)計(jì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016.

[4]梁藝軍.信息安個(gè)等級(jí)保護(hù)下的校園網(wǎng)絡(luò)安全建設(shè)[J].中國網(wǎng)絡(luò)教育，2015.