基于等級(jí)保護(hù)的互聯(lián)網(wǎng)信息系統(tǒng)研究

殷偉 王立倩

摘要：信息安全等級(jí)保護(hù)是保障我國(guó)網(wǎng)絡(luò)安全的一項(xiàng)重要制度。該文介紹了我國(guó)等級(jí)保護(hù)制度的發(fā)展歷程和等級(jí)保護(hù)各組成環(huán)節(jié)，并結(jié)合等級(jí)保護(hù)工作體會(huì)，對(duì)信息系統(tǒng)安全域劃分與防護(hù)進(jìn)行介紹，為互聯(lián)網(wǎng)信息系統(tǒng)等級(jí)保護(hù)建設(shè)提供了必要參考。

關(guān)鍵詞：等級(jí)保護(hù);安全域;以太網(wǎng)

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）18-0035-02

隨著新技術(shù)、新應(yīng)用的高速發(fā)展，特別是云計(jì)算、互聯(lián)網(wǎng)+等新技術(shù)的不斷發(fā)展，給社會(huì)大眾提供便利的同時(shí)，也給網(wǎng)絡(luò)安全帶來了新的挑戰(zhàn)?；仡?017年，伴隨著WannaCry勒索病毒、美國(guó)2億選民資料泄露等全球性網(wǎng)絡(luò)安全事件的頻繁發(fā)生，人們?cè)絹碓秸J(rèn)識(shí)到網(wǎng)絡(luò)安全不僅僅是網(wǎng)絡(luò)本身的安全，還關(guān)乎政府、企業(yè)乃至個(gè)人信息安全。同時(shí)，公安部近年來多次召開有關(guān)會(huì)議，強(qiáng)調(diào)等級(jí)保護(hù)的重要性，由此可見，進(jìn)行互聯(lián)網(wǎng)信息系統(tǒng)安全建設(shè)與防護(hù)顯得尤為必要。

1 我國(guó)的等級(jí)保護(hù)制度

我國(guó)的等級(jí)保護(hù)始于1994年，國(guó)務(wù)院頒布了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，要求計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，隨后于1999 年推出了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，將等級(jí)保護(hù)確立為我國(guó)信息安全基本制度。2008年出臺(tái)了40余項(xiàng)等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)。2017年6月《網(wǎng)絡(luò)安全法》正式實(shí)施，使得等級(jí)保護(hù)有了明確的法律依據(jù)。

我國(guó)的等級(jí)保護(hù)是按照主體遭受破壞后對(duì)客體的破壞程度來評(píng)定信息系統(tǒng)等級(jí)的，總共分為五級(jí)。信息系統(tǒng)的定級(jí)由信息系統(tǒng)被破壞時(shí)受侵害的客體和對(duì)客體造成侵害的程度兩個(gè)要素共同確定。信息系統(tǒng)受到破壞時(shí)所侵害的客體包括：（1）公民、法人和其他組織的合法權(quán)益;（2）社會(huì)秩序、公共利益;（3）國(guó)家安全。對(duì)客體的侵害程度歸結(jié)為：（1）一般損害;（2）嚴(yán)重?fù)p害;（3）特別嚴(yán)重?fù)p害。定級(jí)要素與信息系統(tǒng)安全保護(hù)等級(jí)的關(guān)系如下表所示。

2 信息系統(tǒng)等級(jí)保護(hù)工作概述

信息系統(tǒng)等級(jí)保護(hù)工作主要分為定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查五個(gè)環(huán)節(jié)。

定級(jí)工作：首先根據(jù)有關(guān)要求對(duì)信息系統(tǒng)的保護(hù)等級(jí)進(jìn)行評(píng)定，然后組織專家評(píng)審，再由主管部門審批，最后公安機(jī)關(guān)審核。

備案工作：信息系統(tǒng)定級(jí)后，應(yīng)到所在地區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。

建設(shè)整改工作：信息系統(tǒng)定級(jí)以后，需要進(jìn)行信息系統(tǒng)整改，按照“整體防御、分區(qū)隔離”原則進(jìn)行設(shè)計(jì)，對(duì)信息系統(tǒng)進(jìn)行改造以達(dá)到相應(yīng)等級(jí)防護(hù)要求。

等級(jí)測(cè)評(píng)工作：是指邀請(qǐng)有資質(zhì)的測(cè)評(píng)機(jī)構(gòu)信息系統(tǒng)進(jìn)行測(cè)評(píng)，檢查信息系統(tǒng)是否達(dá)到相應(yīng)的安全等級(jí)要求。

監(jiān)督檢查工作：公安機(jī)關(guān)不定期對(duì)運(yùn)營(yíng)單位的重要非涉密信息系統(tǒng)進(jìn)行等級(jí)保護(hù)檢查，監(jiān)督、檢查安全設(shè)施、落實(shí)安全措施、落實(shí)責(zé)任部門和人員。

3 信息系統(tǒng)安全域劃分與防護(hù)

3.1 安全域劃分思路

安全域劃分是等級(jí)保護(hù)最重要的一塊，決定著等級(jí)保護(hù)的成敗。對(duì)互聯(lián)網(wǎng)信息系統(tǒng)進(jìn)行等級(jí)保護(hù)建設(shè)，要按照“整體防御、分區(qū)隔離”的原則，根據(jù)系統(tǒng)內(nèi)不同的功能區(qū)域進(jìn)行不同等級(jí)的保護(hù)。通過劃分安全域，再根據(jù)各安全域的實(shí)際需求部署安全產(chǎn)品進(jìn)行安全防護(hù)，使得各安全區(qū)域防護(hù)重點(diǎn)明確，也提高了安全設(shè)備利用率，便于網(wǎng)絡(luò)安全的運(yùn)維工作。

互聯(lián)網(wǎng)接入?yún)^(qū)：指內(nèi)部業(yè)務(wù)系統(tǒng)直接與互聯(lián)網(wǎng)連接區(qū)域，只要負(fù)責(zé)與內(nèi)部業(yè)務(wù)系統(tǒng)安全，防范來自互聯(lián)網(wǎng)的各類攻擊行為，包含出口路由器、防病毒網(wǎng)關(guān)、防火墻、入侵防御。防病毒網(wǎng)關(guān)用于識(shí)別攔截間諜軟件、病毒、廣告軟件、木馬等惡意內(nèi)容;防火墻的訪問控制策略匹配門戶網(wǎng)站和郵件系統(tǒng)的正常業(yè)務(wù)需求，對(duì)非業(yè)務(wù)需求予以攔截;入侵防御系統(tǒng)對(duì)流經(jīng)的報(bào)文進(jìn)行深度感知，對(duì)惡意報(bào)文進(jìn)行丟棄，對(duì)濫用報(bào)文進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源。

核心交換區(qū)：主要為核心交換機(jī)，負(fù)責(zé)對(duì)不同功能區(qū)劃分不同vlan及業(yè)務(wù)地址，并部署訪問控制策略，限制不同功能區(qū)之間的互訪，同一區(qū)域具有相同的訪問控制權(quán)限。

安全管理區(qū)：安全管理區(qū)主要負(fù)責(zé)內(nèi)部網(wǎng)絡(luò)安全，通過部署郵件安全網(wǎng)關(guān)、網(wǎng)頁防篡改系統(tǒng)、日志審計(jì)系統(tǒng)。郵件安全網(wǎng)關(guān)負(fù)責(zé)對(duì)郵件服務(wù)器的防護(hù)，主要是阻截垃圾郵件，隔離有可疑內(nèi)容的郵件;日志審計(jì)系統(tǒng)負(fù)責(zé)對(duì)網(wǎng)絡(luò)設(shè)備和安全設(shè)備進(jìn)行操作記錄和日志審計(jì);網(wǎng)頁防篡改系統(tǒng)主要是防止門戶網(wǎng)站被入侵、改寫發(fā)布的網(wǎng)站內(nèi)容。

虛擬化應(yīng)用發(fā)布區(qū)：互聯(lián)網(wǎng)門戶網(wǎng)站及電子郵件系統(tǒng)通過虛擬化平臺(tái)部署，共享虛擬化資源池。

3.2 安全域劃分原則

在對(duì)信息系統(tǒng)進(jìn)行安全域劃分過程中，主要依據(jù)以下原則：

（1）結(jié)構(gòu)簡(jiǎn)化原則：安全域劃分是為了把整個(gè)網(wǎng)絡(luò)變得更加簡(jiǎn)單明了，從而利于部署防護(hù)策略。

（2）業(yè)務(wù)保障原則：安全域劃分在業(yè)務(wù)正常運(yùn)行的情況下，最大程度上保證系統(tǒng)安全。

（3）縱深防御原則：根據(jù)TCP/IP標(biāo)準(zhǔn)網(wǎng)絡(luò)模型，在安全域設(shè)計(jì)時(shí)，應(yīng)該考慮到各個(gè)層面的潛在風(fēng)險(xiǎn)，綜合運(yùn)用身份鑒別、訪問控制、入侵防范、安全審計(jì)等安全功能實(shí)現(xiàn)協(xié)防。

（4）生命周期原則：隨著業(yè)務(wù)的不斷增長(zhǎng)，安全域的防護(hù)和劃分也在變化，所以安全域的劃分還要考慮未來業(yè)務(wù)發(fā)展的潛在需求。

3.3 安全域邊界防護(hù)

每?jī)蓚€(gè)具有直接數(shù)據(jù)通信的安全域之間存在一條邊界，每條邊界應(yīng)適當(dāng)部署安全訪問控制策略及相應(yīng)的監(jiān)控分析措施。常見的邊界防護(hù)設(shè)備載體：路由器、交換機(jī)、網(wǎng)絡(luò)防火墻、web防火墻等網(wǎng)絡(luò)設(shè)備。

信息系統(tǒng)安全域邊界防護(hù)采用如下措施：

（1）核心交換機(jī)通過劃分不同VLAN及訪問控制策略來區(qū)分不同安全域。其中虛擬化應(yīng)用發(fā)布區(qū)級(jí)別最高，互聯(lián)網(wǎng)接入?yún)^(qū)安全級(jí)別最低。高安全級(jí)別區(qū)域訪問低安全級(jí)別區(qū)域的訪問可采用較為寬松的訪問規(guī)則;低安全級(jí)別區(qū)域訪問高安全級(jí)別區(qū)域的訪問需采用較為嚴(yán)格的訪問規(guī)則。

（2）核心交換機(jī)配置ACL（訪問控制列表），未經(jīng)授權(quán)IP地址或地址段不能訪問門戶網(wǎng)站和郵件系統(tǒng)。各安全域的業(yè)務(wù)網(wǎng)段通過訪問控制列表實(shí)現(xiàn)互通。

（3）防火墻基于實(shí)際業(yè)務(wù)需求來配置策略，對(duì)非業(yè)務(wù)需求的訪問阻攔掉。

3.4 安全域內(nèi)部防護(hù)

對(duì)于安全域內(nèi)的安全風(fēng)險(xiǎn)，如病毒傳播、非法外聯(lián)等，可以通過管理和技術(shù)兩個(gè)層面共同防護(hù)。（1）通過建立相應(yīng)的安全管理制度，禁止隨意安裝非法軟件;（2）對(duì)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等進(jìn)行安全加固;（3）在邊界網(wǎng)絡(luò)設(shè)備上配置訪問控制策略，控制未經(jīng)授權(quán)的設(shè)備進(jìn)行訪問;（4）利用入侵防御系統(tǒng)及時(shí)阻斷來自網(wǎng)絡(luò)外部和內(nèi)部的網(wǎng)絡(luò)攻擊;（5）部署殺毒軟件，防范惡意代碼的傳播。

4 結(jié)束語

實(shí)施信息安全等級(jí)保護(hù)制度是一個(gè)長(zhǎng)期而艱巨的任務(wù)，既需要國(guó)家相關(guān)政策的推動(dòng)，又需要企業(yè)的高度重視與積極投入。雖然我國(guó)信息安全等級(jí)保護(hù)制度起步晚，但是我國(guó)的信息安全等級(jí)保護(hù)制度已經(jīng)建立，各國(guó)有企事業(yè)單位也在積極進(jìn)行等級(jí)保護(hù)建設(shè)。本文介紹了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基本流程，并結(jié)合實(shí)際工作體會(huì)對(duì)互聯(lián)網(wǎng)信息系統(tǒng)安全域劃分和防護(hù)進(jìn)行了介紹，為企業(yè)信息系統(tǒng)的等級(jí)保護(hù)建設(shè)提供給了參考。

網(wǎng)絡(luò)安全是一場(chǎng)永不停止的斗爭(zhēng)。各企事業(yè)單位應(yīng)重視企業(yè)互聯(lián)網(wǎng)信息系統(tǒng)安全建設(shè)，深入理解等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)體系，積極進(jìn)行信息系統(tǒng)等級(jí)保護(hù)建設(shè)，提高全員安全意識(shí)，構(gòu)建安全、可靠的互聯(lián)網(wǎng)信息系統(tǒng)。

參考文獻(xiàn)：

[1] 王斌.基于等級(jí)保護(hù)體系下信息安全整改的設(shè)計(jì)[J].信息技術(shù)與信息化，2017（6）.

[2] 張濤，李巍，廖謙.數(shù)據(jù)中心安全域劃分及防護(hù)發(fā)展趨勢(shì)[J].電力信息與通信技術(shù)，2015（1）.

[3] 王文文，孫新召.信息安全等級(jí)保護(hù)淺議[J].計(jì)算機(jī)安全，2013（1）.

[4] 鄒陸曦，胡廣祿，孫玲.三甲醫(yī)院信息安全等級(jí)保護(hù)的實(shí)施及應(yīng)用[J].中國(guó)數(shù)字醫(yī)學(xué)，2015（2）.

[5] 郭睿，陳濤.安全域劃分在企業(yè)中的實(shí)際應(yīng)用研究[J].信息網(wǎng)絡(luò)安全，2016（z1）.

[6] 邱嵐，譚彬.安全域劃分研究與應(yīng)用[J].計(jì)算機(jī)安全，2012（6）.

[7] 宋言偉，馬欽德，張健.信息安全等級(jí)保護(hù)政策和標(biāo)準(zhǔn)體系綜述[J].信息通信技術(shù)， 2010（6）.

[8] 王睿，雷蕾，楊明.支撐系統(tǒng)安全域劃分研究與應(yīng)用[J].計(jì)算機(jī)安全，2013（5）.

【通聯(lián)編輯：代影】