中小企業(yè)安全等級保護網(wǎng)絡防護研究

郝鋼有

摘要： 當前全球的網(wǎng)絡格局盤根錯節(jié)，曾經以軍事、恐怖、政事安全等為主要威脅，現(xiàn)在則以網(wǎng)絡為紐帶交織在一起。文章從中小企業(yè)信息安全基本情況入手，根據(jù)網(wǎng)絡安全等級保護的相關制度，分析中小企業(yè)信息安全方面的威脅及難點，從網(wǎng)絡拓撲中針對硬件和軟件方面開展研究，分析如何改進網(wǎng)絡以提高中小企業(yè)網(wǎng)絡安全防護能力。

關鍵詞：信息安全；等級保護；中小企業(yè)

中圖分類號：TP399文獻標志碼：A

1 研究背景

網(wǎng)絡戰(zhàn)、網(wǎng)絡恐怖的威脅日益臨近，網(wǎng)絡空間成為海、陸、空以及太空之外的戰(zhàn)場。當前，網(wǎng)絡安全成為國家主權和大國博弈的新疆域，黑客的攻擊從簡單的個人攻擊到一定的產業(yè)鏈，隨后變?yōu)橛薪M織性的甚至到了國家層面的攻擊，攻擊強度越來越大，攻擊方式從互聯(lián)網(wǎng)接入到社工、0day漏洞，攻擊手段更加復雜，不易察覺，數(shù)據(jù)泄露的問題持續(xù)存在，種種威脅嚴重影響了人們的生活。由于這種現(xiàn)象日益嚴重，網(wǎng)絡安全等級保護顯得尤為重要。

2 網(wǎng)絡安全等級保護介紹

2.1 網(wǎng)絡安全等級保護總體介紹

信息安全等級保護是我國正在著重實施的一項基本制度。等級保護思想起源于美國軍方的安全保密制度，隨著計算機的廣泛使用和網(wǎng)絡時代的到來，等級保護不斷被注入新的內涵。今天，等級保護已經不僅是一種技術思想，而是貫穿信息安全保障各個環(huán)節(jié)的一個過程和一種制度。本文將追溯等級保護思想的源頭與發(fā)展歷程，并探討建立在等級保護思想之上的信息安全標準體系［1］。

網(wǎng)絡安全等級保護是指對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的系統(tǒng)分等級實行安全保護，對于信息系統(tǒng)中使用安全防護產品分等級進行管理，并且對信息安全事件按照等級進行響應。單位的系統(tǒng)對于自身或者社會甚至國家的重要性越高，它的安全保護措施就越強?！吨腥A人民共和國網(wǎng)絡安全法》規(guī)定，國家實行網(wǎng)絡安全等級保護制度，這表明我國對于網(wǎng)絡安全等級保護的態(tài)度已經從鼓勵上升到制度層面了。

2.2 網(wǎng)絡安全等級保護具體介紹

網(wǎng)絡安全等級保護分為5個步驟：定級、備案、系統(tǒng)建設、等級測評、監(jiān)督檢查。首先，各單位根據(jù)自身情況對本單位系統(tǒng)按照定級指南要求進行定級以及備案，再根據(jù)當前定級情況進行安全性建設；其次，聘請具有網(wǎng)絡安全等級保護測評資質的測評單位對當前已建設的系統(tǒng)進行等級測評；最后，出具信息系統(tǒng)安全等級保護測評報告，公安機關會對運營單位的等級保護工作開展狀況進行監(jiān)督和檢查。

定級中受侵害的客體一般包括國家安全、社會秩序和公共利益、公民、法人和其他組織的合法權益；受侵害的程度包括一般損害、嚴重損害以及特別嚴重損害；根據(jù)侵害客體業(yè)務信息和系統(tǒng)服務受侵害的程度，綜合判斷得到初步等級。得到初步等級之后，一般二級以及二級以上的系統(tǒng)，需要邀請信息安全專家以及業(yè)務專家對當前定級的情況進行審定、論證，并且提出評審意見，完成專家評審意見表。最后，將當前定級結果提交給公安機關進行備案審核，如果審核通過，即確定當前等級；如果審核不通過，需要返回重新備案。

等級測評一般分為兩種層面：技術層面和管理層面。技術層面上，從網(wǎng)絡方面的通信網(wǎng)絡到信息系統(tǒng)的區(qū)域邊界再到設備層面的安全計算環(huán)境提出要求，體現(xiàn)了由外到內的縱深防御思想，一層一層保護；考慮到物理環(huán)境的安全防護，對二級以上保護對象提出安全管理中心的要求，充分體現(xiàn)“一個中心，三重防御”的思想。管理層面上的要求，體現(xiàn)了從整體到局部、從要素到活動的綜合管理體系，包括制度、機構以及人員的各類要素，并輔以建設方面以及運維管理方面的具體制度以及記錄表單，可以達到完整的制度體系。

3 中小企業(yè)網(wǎng)絡安全等級保護安全防護

3.1 中小企業(yè)網(wǎng)絡信息安全面臨的主要威脅

3.1.1 來源于企業(yè)內的安全威脅

（1）企業(yè)領導部門對網(wǎng)絡安全重視程度低，安全意識較為薄弱，對于安全方面的認知不清晰，缺少能夠統(tǒng)籌全局的相關文件以及標準，無法對整個工作進行指導。

當前很多人有這樣的認知，對于網(wǎng)絡安全風險管理就是信息管理部門的問題，只要出現(xiàn)信息安全事件就是信息管理部門工作不到位；對于公安部門下發(fā)的安全檢查文件，很多單位只是應付上級檢查，夸大當前安全防護能力，認為這種檢查就是給單位找麻煩。

（2）企業(yè)在管理體系方面的制度建設不完善，從責任部門到相關實施人員的任命未落實，相關責任劃分不明確、分工不清，并且對于機構、人員等機制以及能力未從整體方面進行考慮。

很多中小企業(yè)的信息部門可能只有一到兩個管理員，并且身兼數(shù)職，管理制度不完善，安全責任比較混亂，無法在出現(xiàn)安全事故的時候及時、有序地處理問題。

（3）缺乏對入侵攻擊、惡意代碼攻擊、信息竊密等的主動發(fā)現(xiàn)能力，缺少能處理安全問題的技術措施以及預防的管理措施。

部分企業(yè)重業(yè)務產出，對安全防護看得較輕，甚至一些系統(tǒng)“裸奔”在互聯(lián)網(wǎng)中，大大增加了系統(tǒng)受到威脅的程度，一旦發(fā)生安全事件，會使單位的聲譽及核心業(yè)務競爭力受到影響。

（4）應急能力比較差，未能對突發(fā)事件進行及時處置，缺少關于信息系統(tǒng)的應急處置預案，缺少關于應急方面的培訓以及演練，導致安全事件長期處于單位之中。

調研發(fā)現(xiàn)，一些中小企業(yè)雖然在制度上有明確規(guī)定定期進行應急演練，但是實際上可能一至兩年乃至更久都不會在安全方面進行演練，也不會定期進行應急培訓，當詢問發(fā)生安全事件時該如何處置時，被告知“不是很清楚”。

（5）每年關于安全方面的經費有限，各種廠家的各類設備應接不暇。中小企業(yè)內部資金有限，而信息安全防范體系的建設，不僅需要專業(yè)的人才以及對人才技術的培養(yǎng)，還包括硬件設備的采購、日常的管理與維護等。因此，要投入資金在信息化建設中，這對中小企業(yè)無疑是一項困難之舉［2］。

3.1.2 來源于企業(yè)外的安全威脅

（1）病毒的威脅。

來自互聯(lián)網(wǎng)的病毒會對中小企業(yè)的網(wǎng)絡安全進行破壞，如勒索病毒、機器狗病毒等，一旦這些病毒入侵企業(yè)的核心網(wǎng)絡，輕則導致業(yè)務無法正常開展，重則導致系統(tǒng)癱瘓、信息泄露。

（2）不法黑客組織的入侵威脅。

黑客的不法入侵同樣會對企業(yè)造成不良影響，他們通過數(shù)據(jù)驅動攻擊、偽造信息攻擊、ICMP報文攻擊、針對源路徑選擇的弱點攻擊等，利用企業(yè)網(wǎng)絡對安全方面的不足以及對服務器等方面的漏洞進行攻擊。黑客攻擊通常是為了竊取信息，但不乏有黑客會對數(shù)據(jù)進行篡改、刪除等，給被攻擊公司的聲譽以及其在行業(yè)中的影響力造成嚴重損害。對攻擊目標造成的破壞所帶來的成就感，使得越來越多的年輕人加入黑客的行列，另外，商業(yè)競爭也在導致更多的惡意攻擊事件的產生［3］。

3.2 針對企業(yè)進行的安全保護

3.2.1 制度以及平時運維

根據(jù)上述問題，結合日常工作，本文就中小企業(yè)的網(wǎng)絡安全做了以下研究建議。

（1）首先，要將網(wǎng)絡安全作為正事看待，合理安排人員的崗位職責，即使管理員身兼數(shù)職，也要明確各崗位職責。比如，A員工負責多個系統(tǒng)的系統(tǒng)管理權限，B員工負責多個系統(tǒng)的審計管理權限，以提高運維的抗性。

（2）需要中小企業(yè)制定合理的管理制度，包括自身的物理環(huán)境、機構管理、人員崗位管理、系統(tǒng)建設管理以及平時運維等各個方面，并將這些制度落實下去，從人員、制度方面著手，降低內部引起的安全問題的可能性。

（3）將安全工作融入日常工作，定期開展部門內部安全會議，定期對不同崗位的人員進行崗位職責考核，每年組織一次安全應急培訓及演練，可以讓信息部門的管理人員更加清晰地明確安全事件發(fā)生時如何進行處理，從而提高工作效率。

（4）培養(yǎng)內部運維人員對自身系統(tǒng)的熟悉和管理，了解自身物理環(huán)境的情況，如門禁、防火措施、機房布線、電力供應等；梳理清楚網(wǎng)絡環(huán)境、網(wǎng)絡拓撲等；對設備可以進行簡單調試，如創(chuàng)建賬號、修改訪問控制策略、熟悉服務器部署情況等。

3.2.2 設備部署

以較低的預算合理選擇設備以滿足安全防護需要，是很多單位一直關心的問題。安全防護是永無止境的，沒有一家單位可以說自己的網(wǎng)絡環(huán)境固若金湯、萬無一失。中小企業(yè)可以根據(jù)等級保護的具體要求，逐年逐步進行落實，這是目前較為合適的選擇。

如圖1所示，文章以二級系統(tǒng)為例。首先，對于系統(tǒng)邊界來說需要一個邊界防護類設備，該設備可以限制外部網(wǎng)絡直接連接內部網(wǎng)絡，對邊界進行安全防護，根據(jù)業(yè)務需求只開放必須提供的服務、IP和端口等，如防火墻、網(wǎng)閘、安全網(wǎng)關等。同時，在系統(tǒng)邊界處需要部署具有入侵檢測功能或者入侵防御功能、網(wǎng)絡層防病毒功能的設備或模塊，可以對入侵攻擊以及病毒攻擊進行很好的防護，并且滿足等級保護相關的條例；對于互聯(lián)網(wǎng)訪問的系統(tǒng)，最好在網(wǎng)絡邊界處部署一個具有應用層協(xié)議防護的設備，如Web應用防火墻，并且開啟相關安全防護策略，更新應用層面的特征庫，對應用層進行安全防護，這些設備能夠防護來自外部的大部分攻擊和入侵。

其次，在核心交換區(qū)部署能夠滿足高峰期業(yè)務的核心交換機，并且在交換機中設置合理的訪問控制策略，實現(xiàn)相應網(wǎng)段互通，可以減少病毒傳播的速度。

最后，在安全管理區(qū)部署能夠收集網(wǎng)絡安全信息的設備，如日志服務器、日志審計平臺等，這些設備可以收集網(wǎng)絡中各類設備的日志，并進行保存和分析，設置合理的保存策略，滿足網(wǎng)絡安全法關于日志保留時間6個月的要求。

3.2.3 軟件

服務器以及運維終端需要安裝防病毒軟件，這樣可以實現(xiàn)設備層面的防病毒策略。

基本的防護如上所述，而在運維管理方面，可以選擇堡壘機進行集中管理，合理分配管理員權限，并按照各級權限進行配置，實現(xiàn)集中化管理。

從等級保護二級系統(tǒng)要求來說，硬件設備基本上沒多少差別了，剩下的就是安全配置。

（1）為了防止暴力破解，防止弱口令攻擊，需要企業(yè)運維管理人員先將各類設備，包括但不限于網(wǎng)絡設備、安全設備、服務器、運維終端、數(shù)據(jù)庫等，設置口令復雜度策略，口令最短長度、登錄失敗處理措施以及無操作超時退出設置，這樣可以有效地防護口令方面的攻擊。

（2）為了防止用戶名密碼明文傳輸，設備方面，最有效的方式就是使用HTTPS協(xié)議、SSH協(xié)議等密文傳輸協(xié)議；應用系統(tǒng)方面，如果沒有使用HTTPS協(xié)議，也可以使用加密算法，以保證鑒別信息在傳輸過程的安全性，如圖2所示。當然，最好還是使用國密算法以保證信息傳輸?shù)陌踩?，如SM2，SM4等。

（3）為了防止如MS17-010（永恒之藍）之類的漏洞，需要對服務器、應用系統(tǒng)定期進行漏洞掃描，并進行高危漏洞補丁更新，關閉一些高危端口，如135，137，445等。

4 結語

網(wǎng)絡安全是一項長期工作，網(wǎng)絡安全漏洞及攻擊手段層出不窮，需要被測單位持續(xù)關注網(wǎng)絡安全形勢發(fā)展，及時獲取網(wǎng)絡設備、安全設備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應用系統(tǒng)等的漏洞信息，及時落實修補工作。盡量不使用容易引發(fā)高危漏洞（如Java反序列化、Weblogic反序列化、Shiro反序列化、Struts2等）或存在漏洞版本的中間件、組件、框架等。盡量不開啟445，139等高危端口，做好勒索病毒防護工作。保持系統(tǒng)內各類特征庫的最新狀態(tài)，確保各類安全措施的有效性。定期檢查網(wǎng)絡安全工作落實情況，避免出現(xiàn)為了運維便利違反安全策略的情況；做好各項已有安全措施的變更管控，避免為了使用方便，隨意取消或降低已有的安全措施。持續(xù)做好網(wǎng)絡安全防護工作，履行網(wǎng)絡安全保護義務。

參考文獻

［1］朱繼鋒，趙英杰，楊賀，等.等級保護思想的演化［J］.信息安全與通信保密，2011（4）：70-73.

［2］陳鑫.中小企業(yè)信息安全現(xiàn)狀分析及防護建議［J］.鐵路通信信號工程技術，2020（7）：92-96.

［3］馮運仿.基于網(wǎng)絡安全的中小企業(yè)信息安全策略［J］.安防科技，2006（11）：30-31.

（編輯 沈 強）