基于保護(hù)網(wǎng)絡(luò)安全一體化保障體系的建設(shè)

段磊

（國(guó)家郵政局發(fā)展研究中心，北京100000）

1 引言

當(dāng)前府黨政機(jī)關(guān)、各大央企國(guó)企、中小企業(yè)單位對(duì)信息化、網(wǎng)絡(luò)化建設(shè)的要求越來越嚴(yán)格，對(duì)網(wǎng)絡(luò)安全愈發(fā)重視。同時(shí)由于信息化、網(wǎng)絡(luò)化普遍面臨的安全威脅，又給單位的信息化、網(wǎng)絡(luò)化帶來嚴(yán)重的制約，甚至對(duì)各單位信息系統(tǒng)能否正常使用與順利運(yùn)營(yíng)產(chǎn)生嚴(yán)重威脅。由此可見，如何在新時(shí)期法律法規(guī)要求下做到既高效又安全，是各單位信息化、網(wǎng)絡(luò)化關(guān)注的重點(diǎn)。

2 等級(jí)保護(hù)2.0與等級(jí)保護(hù)1.0的主要變化

首先，標(biāo)準(zhǔn)名稱變化。隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的頒布實(shí)施，為避免與《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度》出現(xiàn)沖突，由《信息系統(tǒng)安全等級(jí)保護(hù)》變更為《網(wǎng)絡(luò)安全等級(jí)保護(hù)》，為各單位具體落實(shí)提供了新的參考標(biāo)準(zhǔn)。

其次，標(biāo)準(zhǔn)內(nèi)容變化。技術(shù)與管理工作的要求分類方面變化十分顯著。前者對(duì)安全細(xì)節(jié)性的要求更高，并針對(duì)機(jī)房設(shè)施、業(yè)務(wù)應(yīng)用與通信網(wǎng)絡(luò)等，實(shí)現(xiàn)有關(guān)標(biāo)準(zhǔn)的制定；后者則更加注重制度的完善構(gòu)建，對(duì)機(jī)構(gòu)與人員的重視程度也越來越高，在建設(shè)過程與運(yùn)維工作中，需要進(jìn)一步保證安全性。

再次，由于各類新型攻擊形式還在不斷涌現(xiàn)，因此，防護(hù)技術(shù)也必須不斷提升，等級(jí)保護(hù)2.0中分析新型網(wǎng)絡(luò)攻擊功能也在不斷增強(qiáng)，在事前事中事后3個(gè)階段全方位的提升自己的安全能力。此時(shí)網(wǎng)絡(luò)中若再出現(xiàn)安全事件，通過一定的安全威脅感知能力，系統(tǒng)應(yīng)具備自動(dòng)識(shí)別、報(bào)警與分析。

最后，等級(jí)保護(hù)2.0在合理建立可信計(jì)算體系的基礎(chǔ)上，所創(chuàng)建的新計(jì)算模式能達(dá)成主動(dòng)免疫防御的目的。因此，身份識(shí)別與保密存儲(chǔ)等先進(jìn)功能，也要在等保2.0中得以落實(shí)。如此更有助于其對(duì)異常成分的識(shí)別，對(duì)有害物質(zhì)起到有效的清理與排除作用，使計(jì)算機(jī)信息系統(tǒng)的免疫力全面提升[1]。

3 網(wǎng)路安全信息化保障體系建設(shè)的主要思路

3.1 建立安全預(yù)警防控系統(tǒng)與感知溯源系統(tǒng)

將ISO 27001與等級(jí)保護(hù)作為建設(shè)基點(diǎn)，保證網(wǎng)絡(luò)安全預(yù)警防控系統(tǒng)建設(shè)的立體性與可追溯性，進(jìn)一步使網(wǎng)絡(luò)安全縱深防御體系的合理全面、安全高效得到保障。除此之外，網(wǎng)絡(luò)安全態(tài)勢(shì)感知與攻擊溯源系統(tǒng)的完善創(chuàng)建也非常必要，這是建立安全預(yù)警防控體系的重要基礎(chǔ)，有助于存量與增量系統(tǒng)安全設(shè)備水平的整體增強(qiáng)。同時(shí)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估與排查的效率與質(zhì)量也必須及時(shí)提升，在處理日志長(zhǎng)期保存方面的問題時(shí)，要將各時(shí)段、端口以及流量等因素全部考慮在內(nèi)。

3.2 充分發(fā)揮身份管理支撐體系的作用

在目前網(wǎng)絡(luò)安全保障體系建設(shè)過程中，管理標(biāo)準(zhǔn)與技術(shù)標(biāo)準(zhǔn)統(tǒng)一性較差的問題較為嚴(yán)重，這也是導(dǎo)致無法發(fā)揮管理制度實(shí)際作用的重要因素，需要相關(guān)人員結(jié)合實(shí)際情況及時(shí)處理。另外，身份管理支撐體系未有效運(yùn)用所導(dǎo)致的問題還表現(xiàn)在以下幾點(diǎn)中：同一用戶具備多個(gè)身份；未能有效管理系統(tǒng)與設(shè)備；新舊密碼均有效；管理權(quán)限與職責(zé)未明確；密碼保管人員離職后密碼仍未變更等問題。并且隨著《中華人民共和國(guó)密碼法》的推進(jìn)，信息管理人員在設(shè)計(jì)密碼時(shí)也應(yīng)依據(jù)《中華人民共和國(guó)密碼法》，遵循相關(guān)法律規(guī)定。

3.3 確保運(yùn)行維護(hù)防控體系的完善性

在創(chuàng)建預(yù)警防控系統(tǒng)時(shí)，體系設(shè)計(jì)人員應(yīng)將關(guān)鍵資產(chǎn)作為運(yùn)維中心，并盡可能確保其可視性與完整性，這是使用者能對(duì)網(wǎng)絡(luò)與安全設(shè)備動(dòng)態(tài)情況及時(shí)全面掌握的重中之重。同時(shí)還需了解賬號(hào)與業(yè)務(wù)應(yīng)用等安全運(yùn)行態(tài)勢(shì)，其對(duì)于存量與增量系統(tǒng)智能運(yùn)維問題的統(tǒng)一處理也非常有幫助。除此之外，建設(shè)過程中管理人員與運(yùn)維人員通過賬號(hào)口令管理，而導(dǎo)致的系統(tǒng)安全風(fēng)險(xiǎn)也要注意規(guī)避，及時(shí)明確IT基礎(chǔ)設(shè)施賬號(hào)安全管理的重要性，確保運(yùn)維防控體系的有效性與完整性[2]。

3.4 實(shí)現(xiàn)數(shù)據(jù)安全架構(gòu)體系的全面覆蓋

為加強(qiáng)安全保障體系對(duì)信息的保護(hù)作用，要結(jié)合有關(guān)安全標(biāo)準(zhǔn)與規(guī)范，依托傳統(tǒng)安全架構(gòu)包括并不限于安全審計(jì)、防火墻、綜合審計(jì)等技術(shù)，合理創(chuàng)建數(shù)據(jù)庫(kù)的安全防控體系。與此同時(shí)，管理人員還應(yīng)注意將重點(diǎn)放在數(shù)據(jù)中心網(wǎng)、辦公網(wǎng)以及生產(chǎn)網(wǎng)方面，盡量擴(kuò)大安全防控體系的覆蓋范圍，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)的有效防范。

3.5 現(xiàn)實(shí)工控安全架構(gòu)體系的安全建設(shè)

除傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)外，新的等級(jí)保護(hù)要求也對(duì)生產(chǎn)網(wǎng)和物聯(lián)網(wǎng)等提出了新的要求，在進(jìn)行工控安全等級(jí)保護(hù)規(guī)劃中，要從安全需求、安全風(fēng)險(xiǎn)和安全成本之間進(jìn)行平衡和折中。過多的安全要求必將造成安全成本的迅速增加和運(yùn)行的復(fù)雜性，適度安全也是等級(jí)保護(hù)建設(shè)的初衷。因此，在進(jìn)行等級(jí)保護(hù)設(shè)計(jì)的過程中，一方面要嚴(yán)格遵循基本要求，從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等層面加強(qiáng)防護(hù)措施，保障信息系統(tǒng)的機(jī)密性、完整性和可用性。

3.6 保證安全運(yùn)行架構(gòu)體系順利運(yùn)行

將等級(jí)保護(hù)2.0的具體要求作為根據(jù)，促進(jìn)安全運(yùn)維管理中心不斷向統(tǒng)一化的方向發(fā)展，與此同時(shí)，創(chuàng)建安全系統(tǒng)架構(gòu)體系，并保證其高效穩(wěn)定的運(yùn)行，能為身份管理認(rèn)證、數(shù)據(jù)安全、終端管控等核心系統(tǒng)的準(zhǔn)確性的提升，提供不可忽視的推動(dòng)作用。經(jīng)實(shí)踐證明，如此一方面能促進(jìn)有機(jī)整體的形成，另一方面又能保證穩(wěn)定性與可靠性，在確保安全運(yùn)行架構(gòu)體系獨(dú)立運(yùn)行的基礎(chǔ)上，使機(jī)房意外事故出現(xiàn)的機(jī)率全面降低，使核心系統(tǒng)運(yùn)行過程中受到的影響，盡可能降到最低[3]。

4 建設(shè)合理分層的安全一體化保障架構(gòu)

體系設(shè)計(jì)人員要明確核心系統(tǒng)，以其為核心地位設(shè)計(jì)安全感知功能，確?；诘燃?jí)保護(hù)2.0下安全一體化保障體系的防御能力、檢測(cè)水平與響應(yīng)情況，均能符合有關(guān)標(biāo)準(zhǔn)與規(guī)范。除此之外，這一領(lǐng)域目前對(duì)網(wǎng)絡(luò)保護(hù)的要求，已遠(yuǎn)不局限于單純的被動(dòng)保護(hù)，只有做到保護(hù)、檢測(cè)與恢復(fù)的合理結(jié)合，結(jié)合世界網(wǎng)絡(luò)安全業(yè)界先進(jìn)技術(shù)目前的發(fā)展趨勢(shì)，才能在網(wǎng)絡(luò)中各重要因素與“安全感知”的共同作用下，促進(jìn)聯(lián)動(dòng)防御機(jī)制不斷向立體化的方向發(fā)展。

將邊界、云以及端點(diǎn)安全為關(guān)鍵點(diǎn)，為體系增添立體防護(hù)功能，同時(shí)根據(jù)等保1.0與2.0中的安全防護(hù)標(biāo)準(zhǔn)，實(shí)現(xiàn)有效防護(hù)核心安全要素的目的，在建立基礎(chǔ)安全防護(hù)體系的基礎(chǔ)上，還應(yīng)最大程度上保證其科學(xué)性與可靠性。核心安全要素的主要內(nèi)容，通常情況下含括安全通信網(wǎng)絡(luò)與安全計(jì)算環(huán)境等，技術(shù)人員需結(jié)合其實(shí)際需求，完善創(chuàng)建安全管理中心，盡可能發(fā)揮事前防護(hù)以及過程監(jiān)控的最大效果。與此同時(shí)，在生產(chǎn)網(wǎng)等工控網(wǎng)絡(luò)中要建立起一定的有效防護(hù)安全措施和初步體系架構(gòu)，以全局安全可視作為目標(biāo)，增強(qiáng)安全保障體系的安全治理能力，在全局安全可視的基礎(chǔ)上，借助大數(shù)據(jù)技術(shù)與人工智能技術(shù)，促進(jìn)安全運(yùn)維能力的真正提升。與此同時(shí)，通過對(duì)失陷主機(jī)檢測(cè)等有關(guān)技術(shù)的利用，也更有助于運(yùn)維人員及時(shí)發(fā)現(xiàn)系統(tǒng)安全風(fēng)險(xiǎn)，進(jìn)一步提高措施的有效性。

5 結(jié)語(yǔ)

通過對(duì)安全一體化保障體系的有效運(yùn)用，彌補(bǔ)了傳統(tǒng)安全設(shè)計(jì)中“打補(bǔ)丁”方式的弊端，在各體系架構(gòu)間邏輯關(guān)聯(lián)性的作用之下，安全設(shè)計(jì)框架的完整性也能得到更大的保證。此外，還需在明確建設(shè)思路的基礎(chǔ)上，提高對(duì)安全運(yùn)營(yíng)過程管理的重視程度，盡可能在安全保障體系出現(xiàn)問題的第一時(shí)間及時(shí)處理，進(jìn)而為安全能力的持續(xù)輸出，提供更大的推動(dòng)力量。