網(wǎng)絡(luò)安全等級保護2.0下的安全體系建設(shè)

◆傅 鈺

網(wǎng)絡(luò)安全等級保護2.0下的安全體系建設(shè)

◆傅 鈺

(江蘇國保信息系統(tǒng)測評中心有限公司 江蘇 215006)

信息安全等級保護是國家信息安全的一項基本國策和制度，從實施至今已經(jīng)有20多年，隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和移動互聯(lián)等新技術(shù)的出現(xiàn)，信息系統(tǒng)基礎(chǔ)架構(gòu)設(shè)施發(fā)生了翻天覆地的變化，同時在實際安全建設(shè)和測評工作中，標準的適用性、可操作性上還需要進一步完善，原標準體系已經(jīng)不能滿足新形勢下網(wǎng)絡(luò)安全等級保護工作的需要。在此大背景下，國家相關(guān)部委對標準進行了修訂，等級保護進入了等保2.0時代，本文旨在對等級保護工作中的問題進行分析，并提出網(wǎng)絡(luò)安全等級保護2.0安全體系建設(shè)的一些思路。

等級保護；安全體系

1 等級保護工作背景

隨著網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展，組織和單位相繼建立業(yè)務(wù)信息系統(tǒng)用于對內(nèi)部提供生產(chǎn)、經(jīng)營、決策和管理服務(wù)，或?qū)ι鐣娞峁┕残畔⒎?wù)，業(yè)務(wù)信息系統(tǒng)極大地提高了工作、生產(chǎn)效率以及服務(wù)水平。

信息系統(tǒng)大都采用通用的網(wǎng)絡(luò)協(xié)議和軟硬件設(shè)備，由于網(wǎng)絡(luò)安全防護措施不嚴密、軟件系統(tǒng)代碼缺陷、安全配置不當(dāng)、安全管理不到位等問題不可避免的會存在安全漏洞，這些漏洞問題被攻擊者進行研究和利用，使信息系統(tǒng)面臨較大的安全風(fēng)險，另外網(wǎng)絡(luò)安全威脅持續(xù)嚴峻，攻擊者綜合采用多種技術(shù)、攻擊手段和方式，使網(wǎng)絡(luò)入侵和攻擊事件頻發(fā)，組織和單位迫切需要一套行之有效的方法開展信息安全工作。

信息安全等級保護是國家信息安全保障工作的基本制度、基本國策，是開展信息安全工作的基本方法，是促進信息化發(fā)展、維護國家信息安全的根本保障。信息安全等級保護強調(diào)對信息系統(tǒng)分等級進行保護，對信息安全產(chǎn)品分等級進行管理，對信息安全事件分等級進行響應(yīng)和處置。也就是不同等級的信息系統(tǒng)采取不同等級的保護方法，具備不同的安全防護措施和能力，達到突出重點、適度保護的目的。

國家相關(guān)部委針對信息安全等級保護出臺了相關(guān)標準、規(guī)范和要求規(guī)范信息系統(tǒng)在定級備案、安全建設(shè)整改、等級測評、測評機構(gòu)管理等相關(guān)工作，2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》發(fā)布，進一步為信息安全等級保護工作提供了法律支撐，網(wǎng)絡(luò)安全法規(guī)定網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行安全保護義務(wù)和責(zé)任，未履行相關(guān)責(zé)任的組織和單位將承擔(dān)相應(yīng)的法律責(zé)任，網(wǎng)絡(luò)安全法的出臺將等級保護工作提升到一個新的高度，組織和單位對等級保護工作的重視程度進一步提高。

2 等級保護1.0標準要求實施中存在的問題

新技術(shù)不斷在發(fā)展，網(wǎng)絡(luò)安全威脅不斷在演變，等級保護工作在實際開展中也遇到一些新問題和新情況。

2.1 新技術(shù)平臺定級和安全要求存在空白

隨著國家智慧城市戰(zhàn)略的推進，云計算、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、移動互聯(lián)網(wǎng)逐步在信息系統(tǒng)中得到推廣和應(yīng)用，等級保護對象范圍進一步擴大，原標準體系只有針對通用系統(tǒng)環(huán)境的相關(guān)標準要求，但缺乏針對以上新技術(shù)平臺的定級流程規(guī)范及相關(guān)的技術(shù)要求，規(guī)范定級、安全建設(shè)整改和等級測評工作。

2.2 等級保護內(nèi)容還不夠完善

等級保護工作主要包括定級、備案、安全建設(shè)整改、等級測評監(jiān)督檢查五個環(huán)節(jié)的工作。而在網(wǎng)絡(luò)安全新形勢下已經(jīng)不能完全滿足等級保護工作的需要，風(fēng)險評估、安全監(jiān)測、通報預(yù)警，應(yīng)急處置等網(wǎng)絡(luò)安全工作尤為重要，等級保護工作的內(nèi)涵需要進一步豐富和完善。

2.3 等級保護體系還不夠健全

隨著等級保護對象和工作內(nèi)容的進一步擴大，等級保護體系需要在現(xiàn)有體系的基礎(chǔ)上進一步完善和健全，重點建立和完善政策、標準、測評、技術(shù)、服務(wù)等體系，為構(gòu)建一體化安全保衛(wèi)體系提供有力支撐。

3 等級保護2.0標準的變化

為適應(yīng)新技術(shù)的發(fā)展，解決云計算、物聯(lián)網(wǎng)、移動互聯(lián)和工控領(lǐng)域信息系統(tǒng)的等級保護工作的需要，由公安部牽頭組織開展了信息技術(shù)新領(lǐng)域等級保護重點標準申報國家標準的工作，等級保護正式進入了2.0時代。

新標準包含了網(wǎng)絡(luò)安全等級保護定級指南、實施指南、基本要求和測評要求，其中新修訂的《網(wǎng)絡(luò)安全等級保護基本要求》包含網(wǎng)絡(luò)安全等級保護通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、工業(yè)控制系統(tǒng)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求以及大數(shù)據(jù)安全擴展要求六個部分。

安全技術(shù)部分指標由原來的五個層面調(diào)整為物理與環(huán)境安全、網(wǎng)絡(luò)與通信安全、設(shè)備和技術(shù)安全、應(yīng)用和數(shù)據(jù)四個層面，安全管理指標由原來的五個層面調(diào)整為安全策略與管理制度、安全管理機構(gòu)和人員、安全建設(shè)管理、安全運維管理四個層面。各層面的控制點和指標項進行了相應(yīng)的調(diào)整，結(jié)構(gòu)更加清晰合理，體系更加完善。

4 等級保護2.0安全體系建設(shè)

等級保護2.0管理策略將由之前等級保護1.0的“自主定級、自主保護、監(jiān)督指導(dǎo)”轉(zhuǎn)向為“明確等級、增強保護、常態(tài)監(jiān)督”的層面。同時將風(fēng)險評估、安全監(jiān)測、通報預(yù)警等重點措施以及云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)平臺納入等級保護管理，要求構(gòu)建“偵攻防管控”一體化的網(wǎng)絡(luò)安全綜合防控體系。因此整個安全體系建設(shè)是一項系統(tǒng)工程，可以圍繞以下幾個方面進行開展。

4.1 網(wǎng)絡(luò)信任體系建設(shè)

建設(shè)CA認證系統(tǒng)，為業(yè)務(wù)系統(tǒng)提供證書生產(chǎn)、身份認證等證書服務(wù)，為用戶提供安全可信的支撐服務(wù)；在CA認證和服務(wù)平臺的支持下，實現(xiàn)用戶信息的統(tǒng)一管理，為操作系統(tǒng)登錄、網(wǎng)絡(luò)接入、業(yè)務(wù)系統(tǒng)訪問提供統(tǒng)一的身份認證。

4.2 安全技術(shù)體系建設(shè)

綜合采用身份認證、訪問控制、邊界防護、安全審計、入侵檢測/防御、惡意代碼防護等技術(shù)構(gòu)建基礎(chǔ)的技術(shù)防護體系。針對云計算平臺部署虛擬化安全防護系統(tǒng)、云安全資源池構(gòu)建云平臺安全防護體系，實現(xiàn)私有云環(huán)境下不同虛機，公有云環(huán)境下的不同租戶之間南北向的安全隔離和防御，同時可結(jié)合云端的安全防護和監(jiān)測類服務(wù)實現(xiàn)縱深防御。針對大數(shù)據(jù)平臺，根據(jù)數(shù)據(jù)的生命周期，在主客體間的訪問行為和路徑上綜合采用身份認證、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)脫敏等手段進行安全防御。通過部署APT攻擊防護系統(tǒng)、態(tài)勢感知系統(tǒng)對威脅及攻擊行為進行主動式的監(jiān)測及安全態(tài)勢的預(yù)判，實現(xiàn)持續(xù)監(jiān)測、安全可視。

4.3 安全管理體系建設(shè)

組織和單位應(yīng)建立完善的安全管理領(lǐng)導(dǎo)組織機構(gòu)，根據(jù)單位業(yè)務(wù)情況并結(jié)合安全管理實際建立包含總體安全策略、安全管理制度、操作流程規(guī)范、記錄表單的安全管理文件體系，并按照安全管理體系要求嚴格執(zhí)行。配備專業(yè)的機房、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用和安全管理人員負責(zé)信息系統(tǒng)的日常管理工作，加強對業(yè)務(wù)人員和安全管理人員的安全意識和技能的培訓(xùn)，定期開展安全事件應(yīng)急處置演練，提高突發(fā)事件的應(yīng)急處置能力。根據(jù)系統(tǒng)安全保護等級及信息系統(tǒng)實際情況規(guī)劃系統(tǒng)安全建設(shè)，加強信息系統(tǒng)在設(shè)計、實施、驗收過程的管理。信息系統(tǒng)如果部署在公有云上，需要確定云服務(wù)商提供的云計算平臺達到相應(yīng)的安全等級，作為云租戶方要與云平臺服務(wù)商、云安全服務(wù)商明確各自的安全責(zé)任和義務(wù)。

組織和單位除建立自身的安全運維團隊外，作為對現(xiàn)有安全管理人員補充，以及加強安全應(yīng)急支撐團隊的建設(shè)，組織和單位可通過服務(wù)外包的方式委托專業(yè)安全服務(wù)機構(gòu)負責(zé)日常具體的安全運維工作，把主要精力放在安全整體管理和決策上。通過安全巡檢對系統(tǒng)狀態(tài)、安全策略配置進行檢查、對信息系統(tǒng)進行漏洞掃描發(fā)現(xiàn)存在的安全風(fēng)險和漏洞，通過安全加固修復(fù)發(fā)現(xiàn)的安全問題，提升系統(tǒng)的安全性，通過日志分析及時發(fā)現(xiàn)異常和攻擊行為，并針對性調(diào)整安全策略，通過應(yīng)急響應(yīng)對突發(fā)的安全事件進行響應(yīng)和處置，并進行事后分析和預(yù)防改善。通過滲透測試模擬黑客攻擊的方式主動發(fā)現(xiàn)系統(tǒng)可利用的漏洞，提升信息系統(tǒng)整體安全性。

4.4 風(fēng)險管理體系建設(shè)

委托專業(yè)安全測評機構(gòu)定期對信息系統(tǒng)進行等級測評和風(fēng)險評估，一方面對網(wǎng)絡(luò)安全法和信息系統(tǒng)安全保護等級的合規(guī)性要求進行測試評估，另外進一步發(fā)現(xiàn)信息系統(tǒng)面臨的主要安全風(fēng)險，積極采取風(fēng)險應(yīng)對措施，對殘留風(fēng)險持續(xù)進行監(jiān)控。

5 結(jié)語

網(wǎng)絡(luò)安全靠人民，網(wǎng)絡(luò)安全為人民。隨著國家針對網(wǎng)絡(luò)安全等級保護工作的重大舉措和決策部署，政策法律、標準規(guī)范進一步得到完善，等級保護工作和監(jiān)管范圍進一步擴大，相信通過等級保護2.0的推進和實施，將全面提升我國關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的安全保障水平，使我們的網(wǎng)絡(luò)更加安全，人民更加幸福。

[1]郭啟全.信息安全等級保護政策培訓(xùn)教程2016版[M].電子工業(yè)出版社，2016.

[2]夏冰.網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級保護2.0[M].電子工業(yè)出版社，2017.