淺析事業單位網絡安全等級保護的建設

◆王昭群

?

淺析事業單位網絡安全等級保護的建設

◆王昭群

（長江宜昌通信管理局 湖北 443003）

當今是一個信息時代，方方面面都離不開網絡，隨之而來的網絡安全問題也尤為尖銳。因此建設高質量、穩定可靠的安全網絡成為目前網絡發展的重中之重。本文分析了目前事業單位網絡安全等級保護的現狀，結合業務實際提出了網絡安全等級保護的策略。

事業單位；網絡安全等級保護；部署建議

0 引言

網絡安全等級保護制度是保障各事業單位網絡安全的重要方法，通過進行網絡安全分級保護，可以高效解決目前事業單位所面臨的網絡安全問題，按照“重點優先”的思想，將資源有的放矢地投入到網絡安全建設中，有助于快速夯實網絡安全等級保護的基礎。

1 網絡安全等級保護定義

網絡安全等級保護是指對單位內的秘密信息和專有信息以及可以公開的信息進行分級保護，對信息系統中的防火墻進行分級設置，對產生的網絡安全事件建立不同的響應機制。這種保護制度共分為五個級別：

自主保護、指導保護、監督保護、強制保護、專控保護。

不同的信息擁有不同的機密性，就會有相應的安全保護機制。

近期，網絡安全等級保護制度2.0國家標準正式發布，這對加強網絡安全保衛工作、提升網絡能力具有重大意義。

2 網絡安全等級保護現狀分析

按照新的網絡安全等級保護要求，絕大多數單位在網絡安全技術和管理方面存在差距和盲點，網絡安全保障體系仍需完善。主要表現在以下幾個方面：

（1）網絡安全管理工作有待進一步加強

在網絡安全管理制度方面存在不夠完善，對信息資產管理、服務外包管理等缺乏網絡安全方面有關要求。未建立體系化的內部操作規程，而且對網絡安全管理和技術人員專業技能培訓相對較少，網絡安全等級保護的定級、備案及測評等未開展。運維工作的部分操作不規范，隨意性較強，對網絡、系統安全穩定運行造成風險。

（2）網絡架構存在安全隱患和較為明顯的脆弱性

有的內網連接，雖部署了防火墻進行網絡訪問控制，但是部分防火墻缺乏安全配置及管理，訪問控制策略不嚴格，同時某些單位內部網絡也缺乏分區和邊界控制措施，無法限制非授權用戶接入內網和授權用戶濫用授權違規外聯外網的行為，部分單位發現終端跨接內外網的現象，導致整個單位的內網存在“一點接入，訪問全網，攻擊全網”的安全風險。

（3）主機計算環境抵御攻擊能力較低

主機服務器未及時更新系統安全補丁，導致存在比如MS17-010（永恒之藍）、弱口令等高危漏洞；部分服務器未部署防病毒軟件、病毒庫未更新，沒有惡意代碼防范措施，部分單位的終端感染木馬病毒，一旦被利用，可能導致內部服務器主機大面積感染惡意程序等事件發生。

（4）應用系統安全防范措施缺失

有的運行在內網應用系統，存在高風險安全漏洞；在應用系統身份鑒別、數據完整性、保密性保護等方面存在策略配置不足問題，結合其他安全風險，會帶來系統服務安全、數據安全等較嚴重的安全問題。

（5）數據安全保護能力不足

有的未對專網的重要數據進行分級分類管理，數據安全保護措施缺失，專網中的數據庫普遍存在弱口令、遠程代碼執行漏洞等高危安全漏洞，極易被攻擊利用，大量的業務數據和敏感信息存在較高的安全風險。

（6）物理安全基礎保障欠缺

有的機房未對進出人員進行鑒別登記，易造成機房遭受惡意人員破壞，存在安全風險。有的機房未部署門禁系統，未安裝防盜報警系統等進行盜竊防護。

3 網絡安全等級保護部署建議

3.1 構建等保系統框架

根據安全等級保護的總體思想，提出如圖1的網絡安全管理體系架構。

圖1 網絡安全管理體系架構

“總體安全策略”處于網絡安全管理體系的最高層級，是單位網絡安全管理體系的首要指導策略。

“安全管理組織框架”位于網絡安全管理體系的第二層，負責建立該單位網絡安全管理組織框架。它既確保了信息系統運行時資料不會被泄露，也塑造了一個能穩定運行信息系統的管理體系，保證網絡安全管理活動的有效開展。

“安全管理制度框架”位于網絡安全管理體系的第三層，分別從安全管理機構及崗位職責、信息系統的硬件設備的安全管理、系統建設管理、安全運行管理、安全事件處置和應急預案管理等方面提出規范的安全管理要求。

網絡安全管理體系的第四層描述的是如何進行規范配置和具體的操作流程以及如何對運行活動進行記錄。從日常安全管理活動的執行出發，對主要安全管理活動的具體配置、操作流程、執行規范等各種各樣的安全管理活動做出具體操作指示，指導安全管理工作的具體執行[1]。

3.2 劃分安全域

根據安全等級保護系統總體架構，重新劃分網絡安全域。

各安全域安全管理策略應遵循統一的基本要求，具體如下：

（1）保證關鍵網絡設備的業務處理能力滿足高峰期業務需求，通過網絡拓撲結構設計，避免存在網絡單點故障。

（2）部署高效的防火墻設備，防止包括DDOS在內的各類網絡攻擊；在通信網絡中部署IPS、入侵檢測系統、監控探針等，監視各種網絡攻擊行為。

（3）在關鍵位置部署數據庫審計系統，對數據庫重要配置、操作、更改進行審計記錄。

（4）對于每一個訪問網絡的用戶將會進行身份驗證，確保配置管理的操作只有被賦予權限的網絡管理員才能進行[2]。

（5）部署流量檢測設備，通過Flow采集技術，建立流量圖式基線，根據應用情況控制和分配流量。

（6）增加除口令以外的技術措施，實現雙因素認證[3]。

（7）如需遠程管理網絡設備和安全設備，應采用加密方式，避免身份鑒別信息在網絡傳輸過程中被竊取。

（8）能夠及時有效阻斷接入網絡的非授權設備。

3.3 控制安全邊界

基于部署的網絡安全軟硬件設備，設置相應的安全規則，從而實現對安全邊界的控制管理。

主要安全策略包括：

（1）互聯網區域應用安全：必須經過邊界防火墻的邏輯隔離和安全訪問控制。

（2）專網區域應用安全：對于訪問身份和訪問權限有明顯界定，必須經過邊界防火墻的邏輯隔離和安全訪問控制，其他區域和用戶都不允許直接訪問。

（3）互聯網區域數據安全：只允許外部應用域的應用服務器訪問，其他區域用戶不能直接訪問。對數據域的訪問受到訪問身份和訪問權限的約束，必須經邊界防火墻的邏輯隔離和安全訪問控制。

（4）專網區域數據安全：只允許內部應用域的應用服務器訪問，其他區域和用戶都不允許直接訪問。要訪問也必須具有受信的訪問身份和訪問權限。

（5）互聯網區域和專網區域交互安全：對于內外部之間的信息交互，采用數據擺渡和應用協議相結合的方式進行，嚴格控制雙網之間存在TCP/IP協議以及其他網絡協議的連接。

（6）開發測試安全：開發測試域作為非信任區域，要求只能在受限的前提下進行網絡訪問，必須經過邊界防火墻的邏輯隔離和安全訪問控制。

（7）密碼應用安全：所有涉及密碼應用的網絡安全設備，所采用的密碼算法必須為國密算法。

（8）統一安全管理：防火墻、IDS、IPS、防病毒網關、網絡安全審計和數據庫安全審計系統的日志統一發送到安全管理區的安全管理平臺進行分析。

（9）終端安全管理：辦公設備統一部署終端安全管理系統，并能夠有效管理終端安全配置，準入控制、防病毒功能，以及系統補丁升級。

（10）設備知識產權：所涉及網絡安全設備的，必須是具有國產知識產權。

4 總結

網絡安全等級保護工作事關重大，它是一個系統工程，需要各級人員多方面的協調合作。只有盡快補齊安全防護短板，才能切實提高一個單位的安全支撐能力、安全檢測能力、安全防護能力、應急響應能力和容災恢復能力，從而更好地保障一個單位網絡安全建設的可持續發展。

[1]歐陽莎茜.運用大數據制定園區安全環保用電策略的實例分析[D].西南交通大學, 2017.

[2]黎水林.基于安全域的政務外網安全防護體系研究[J].信息網絡安全, 2012(07): 3-5.

[3]劉太洪.大秦公司信息系統安全等級保護技術規劃設計[D].河北工業大學, 2014.