網(wǎng)絡(luò)安全等級保護實施經(jīng)驗

■ 天津 周虎

編者按：網(wǎng)絡(luò)安全等級保護2.0標準已于5月13日正式發(fā)布，相對于1.0相比，等保2.0有著諸多變化，需要單位在開展等保工作過程中積極應(yīng)對。

網(wǎng)絡(luò)安全等級保護進入等保2.0時代，等級保護2.0在1.0的基礎(chǔ)上，橫向擴展了對云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)的安全要求，實現(xiàn)全方位主動防御、動態(tài)防御、整體防控和精準防護。

等保2.0標準將于2019年12月1日實施，在做好企業(yè)當前等級保護工作基礎(chǔ)上，要逐步向等保2.0標準有關(guān)要求過渡，不斷提升企業(yè)網(wǎng)絡(luò)安全保護能力。

開展網(wǎng)絡(luò)安全等級保護工作，包括定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查等5個規(guī)定動作。

定級

定級是等級保護工作的首要環(huán)節(jié)和關(guān)鍵環(huán)節(jié)，定級不準，系統(tǒng)備案、建設(shè)、整改、等級測評等后續(xù)工作都會失去意義，網(wǎng)絡(luò)安全就沒有保證。

等級保護對象定級的一般流程包括確定定級對象、初步確定等級、專家評審、主管部門審核、公安機關(guān)備案審查。

1.初步確定等級

系統(tǒng)定級主要參考《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護定級指南》，綜合業(yè)務(wù)網(wǎng)絡(luò)安全和系統(tǒng)服務(wù)安全保護等級，確定定級對象的安全保護等級。等級保護級別表示為SAG，其中S為業(yè)務(wù)信息等級，A為系統(tǒng)服務(wù)等級，G取兩者中大的。

安全保護等級根據(jù)定級對象在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，以及遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定，分為五個等級，一至五級等級逐級增高，一般企事業(yè)單位等保定級主要為第二級、第三級兩個級別。

圖1 安全管理制度建設(shè)流程

等保2.0對于基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺、大數(shù)據(jù)平臺等支撐類網(wǎng)絡(luò)，應(yīng)根據(jù)其承載或?qū)⒁休d的等級保護對象的重要程度確定其安全保護等級，原則上應(yīng)不低于其承載的等級保護對象的安全保護等級，其中大數(shù)據(jù)安全保護等級不低于第三級。

2.專家評審

專家評審可邀請網(wǎng)絡(luò)安全保護等級專家、行業(yè)主管單位代表、同級別公司網(wǎng)絡(luò)安全負責人等進行專家評審，出具專家評審意見。

專家評審時需要準備定級保護報告、備案表，同時請信息部門、業(yè)務(wù)部門參會，信息部門介紹公司網(wǎng)絡(luò)、安全等信息化整體現(xiàn)狀及定級思路，業(yè)務(wù)部門介紹各自系統(tǒng)功能、使用范圍、數(shù)據(jù)敏感性等，以便專家出具評審意見，意見主要包括定級準不準、存在的問題和整改方向等內(nèi)容。

3.上級主管部門審核

有上級主管部門的，應(yīng)當準備定級保護報告、備案表、專家評審意見等材料，向上級主管部門匯報，出具上級主管部門審核意見。

備案

根據(jù)《信息安全等級保護備案實施細則》要求，已運營（運行）或新建的第二級以上信息系統(tǒng)，應(yīng)當在安全保護等級確定后30日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。

辦理等級保護備案時，應(yīng)積極與所屬公安局溝通，填寫《信息系統(tǒng)安全等級保護備案表》，按照要求準備關(guān)鍵崗位、支撐單位、軟硬件資產(chǎn)、管理制度等關(guān)聯(lián)信息。第三級以上定級對象應(yīng)當同時提供系統(tǒng)拓撲結(jié)構(gòu)及說明、信息安全產(chǎn)品清單、認證及銷售許可證明等材料。

備案材料可能需要反復修改，要嚴格按照公安局填報要求規(guī)范填寫。要帶齊辦理人身份證、加蓋公章的備案表等，前往公安局現(xiàn)場領(lǐng)取備案證書。

建設(shè)和整改

以《網(wǎng)絡(luò)安全等級保護基本要求》為基本準則，對安全現(xiàn)狀進行加固整改，將不同區(qū)域、不同層面的安全保護措施形成有機的安全保護體系，落實物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全等方面的基本要求，按照“基本合規(guī)、改進提高、持續(xù)提升”思路，更大程度發(fā)揮安全措施的保護能力。

1.安全管理制度建設(shè)

參照《網(wǎng)絡(luò)安全等級保護基本要求》等標準規(guī)范，開展網(wǎng)絡(luò)安全等級保護管理制度建設(shè)，工作流程如圖1所示。

網(wǎng)絡(luò)安全崗位一般設(shè)定網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員等關(guān)鍵崗位，明確崗位職責。等級保護二級限制安全管理人員，不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等；等級保護三級要求安全管理人員不可兼任，屬于專職人員，應(yīng)具備安全管理工作權(quán)限和能力。

網(wǎng)絡(luò)安全等級保護主要安全管理制度包括如表1所示內(nèi)容。

2.安全技術(shù)措施建設(shè)

表1 等保安全管理制度主要內(nèi)容

圖2 信息安全技術(shù)整改工作流程

參照《網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》（主要是第1部分安全通用要求）等標準規(guī)范，開展信息系統(tǒng)安全技術(shù)要求建設(shè)整改。工作流程如圖2所示。

（1）物理和環(huán)境安全

主要包括：設(shè)置電子門禁、精密空調(diào)、火災(zāi)自動消防、防雷、防水、防潮、動環(huán)監(jiān)控等措施；設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電（三級系統(tǒng)）；機房場地應(yīng)避免設(shè)在建筑物的頂層或地下室，否則應(yīng)加強防水和防潮措施。

（2）設(shè)備和計算安全

主要包括：設(shè)置登錄認證功能；用戶名不易被猜測，口令復雜度達到強密碼要求，不能為空密碼或默認密碼，要定期強制更換；重命名或刪除默認賬戶，修改默認賬戶的默認口令；刪除或停用多余、過期賬戶，避免共享賬戶使用、存在；應(yīng)遵循最小安全原則，僅安裝需要的組件和應(yīng)用程序；關(guān)閉不需要的系統(tǒng)服務(wù)、默認共享和高危端口；限制單個用戶或進程對系統(tǒng)資源的最大或最小使用度等。

（3）應(yīng)用和數(shù)據(jù)安全

主要包括：對登錄的用戶進行身份標識和鑒別；三級系統(tǒng)要求采用兩種或兩種以上組合的鑒別技術(shù)對用戶身份進行鑒別；提供并啟用登錄失敗處理功能，多次登錄失敗后應(yīng)采取必要保護措施；強制用戶首次登錄時修改默認密碼；對單個賬戶的多重并發(fā)會話進行限制；提供異地實時備份功能（三級系統(tǒng)）；應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)完整性等。

（4）安全產(chǎn)品（服務(wù)）清單

結(jié)合技術(shù)防范措施，選用下述產(chǎn)品清單。

等級保護二級：下一代防火墻（必選）、日志審計系統(tǒng)（必選）、網(wǎng)絡(luò)防病毒系統(tǒng)（必選）、堡壘機（建議選擇）、SSL VPN（建議選擇）、數(shù)據(jù)庫審計（建議選擇）、上網(wǎng)行為管理（建議選擇）、風險評估服務(wù)（可選）等。

三級：下一代防火墻（必選）、上網(wǎng)行為管理（必選）、日志審計系統(tǒng)（必選）、數(shù)據(jù)庫審計（必選）、網(wǎng)絡(luò)防病毒系統(tǒng)（必選）、堡壘機（建議選擇）、SSL VPN（建議選擇）、負載均衡（建議選擇）、風險評估服務(wù)（可選）、滲透測試服務(wù)（可選）等。

在等級保護建設(shè)整改實施過程中，涉及到四個階段：現(xiàn)狀整理、差距分析、整改方案、整改落實。三個不同角色：運營單位、整改支持單位、測評機構(gòu)。整改支持單位與測評機構(gòu)原則上不能為同一個單位。

在實際開展安全建設(shè)和整改、網(wǎng)絡(luò)安全等級保護測評之間，個人認為沒有嚴格的順序，要結(jié)合實際情況，合理選擇先后順序。建議先開展網(wǎng)絡(luò)安全等級保護測評，由專業(yè)測評機構(gòu)進行安全制度梳理、安全需求分析、等級保護整改規(guī)劃、等級保護整改方案等工作，以便安全建設(shè)達到等級保護要求。

等級保護測評

測評機構(gòu)依據(jù)國家網(wǎng)絡(luò)安全等級保護制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標準，對非涉及國家秘密信息系統(tǒng)，從物理環(huán)境、網(wǎng)絡(luò)通信、區(qū)域邊界等技術(shù)層面，管理制度、管理機構(gòu)、運維管理等管理層面，進行檢測評估，編制等級保護測評報告。

等級保護主要測評方法包括訪談、檢查和測試，收集機房數(shù)量、物理位置等物理環(huán)境信息，網(wǎng)絡(luò)拓撲圖、網(wǎng)絡(luò)結(jié)構(gòu)、安全設(shè)備等網(wǎng)絡(luò)信息，服務(wù)器設(shè)備、終端設(shè)備等主機信息，應(yīng)用系統(tǒng)、業(yè)務(wù)數(shù)據(jù)等應(yīng)用信息、以及機構(gòu)設(shè)置、人員崗位等管理信息，進行整體測評。

等級保護測評報告要報送網(wǎng)安審批，通過后打印一式四份，網(wǎng)安留一份，測評機構(gòu)留一份，備案單位留兩份。

定期自查與檢查

備案單位應(yīng)對等級保護工作落實情況進行自查，三級以上定級對象要求每年至少開展一次測評，二級信息系統(tǒng)建議每兩年開展一次測評，掌握網(wǎng)絡(luò)安全狀況、安全管理制度及技術(shù)保護措施的落實情況等，及時發(fā)現(xiàn)安全隱患和存在的突出問題，有針對性地采取技術(shù)和管理措施，持續(xù)整改確保安全。

備案單位應(yīng)配合公安機關(guān)（誰受理備案、誰負責檢查）的監(jiān)督檢查工作，如實提供有關(guān)資料和文件。當?shù)谌墸ê┮陨隙墝ο蟀l(fā)生事件、案件時，備案單位應(yīng)及時向受理備案的公安機關(guān)報告。

風險規(guī)避

等級保護工作過程中，可以采取以下措施規(guī)避風險：

1.簽署保密協(xié)議

測評雙方及其他配合單位應(yīng)簽署完善的、合乎法律規(guī)范的保密協(xié)議，以約束現(xiàn)在和將來的行為，避免信息泄露。

2.現(xiàn)場風險規(guī)避

進行驗證測試和工具測試時，應(yīng)合理安排測試時間，盡量避開業(yè)務(wù)高峰期，如在系統(tǒng)資源處于空閑狀態(tài)時進行，被測系統(tǒng)運營使用單位需要對整個測試過程進行監(jiān)督。同時要對關(guān)鍵數(shù)據(jù)做好備份，并對可能出現(xiàn)的影響制定相應(yīng)的處理方案。

結(jié)語

現(xiàn)階段實施等級保護工作，在符合等保1.0基礎(chǔ)上，基本滿足通過測評要求；要綜合考慮等保2.0標準，拓寬監(jiān)管范圍和手段，提升監(jiān)管內(nèi)容和強度，構(gòu)建相對完善的安全保障體系，提高測評分數(shù)；持續(xù)完善“技術(shù)+管理+服務(wù)”，建立系統(tǒng)的網(wǎng)絡(luò)安全防護體系。