基于等級保護的互聯網信息系統研究

殷偉 王立倩

摘要：信息安全等級保護是保障我國網絡安全的一項重要制度。該文介紹了我國等級保護制度的發展歷程和等級保護各組成環節，并結合等級保護工作體會，對信息系統安全域劃分與防護進行介紹，為互聯網信息系統等級保護建設提供了必要參考。

關鍵詞：等級保護;安全域;以太網

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2019）18-0035-02

隨著新技術、新應用的高速發展，特別是云計算、互聯網+等新技術的不斷發展，給社會大眾提供便利的同時，也給網絡安全帶來了新的挑戰?；仡?017年，伴隨著WannaCry勒索病毒、美國2億選民資料泄露等全球性網絡安全事件的頻繁發生，人們越來越認識到網絡安全不僅僅是網絡本身的安全，還關乎政府、企業乃至個人信息安全。同時，公安部近年來多次召開有關會議，強調等級保護的重要性，由此可見，進行互聯網信息系統安全建設與防護顯得尤為必要。

1 我國的等級保護制度

我國的等級保護始于1994年，國務院頒布了《中華人民共和國計算機信息系統安全保護條例》，要求計算機信息系統實行安全等級保護，隨后于1999 年推出了《計算機信息系統安全保護等級劃分準則》，將等級保護確立為我國信息安全基本制度。2008年出臺了40余項等級保護相關標準。2017年6月《網絡安全法》正式實施，使得等級保護有了明確的法律依據。

我國的等級保護是按照主體遭受破壞后對客體的破壞程度來評定信息系統等級的，總共分為五級。信息系統的定級由信息系統被破壞時受侵害的客體和對客體造成侵害的程度兩個要素共同確定。信息系統受到破壞時所侵害的客體包括：（1）公民、法人和其他組織的合法權益;（2）社會秩序、公共利益;（3）國家安全。對客體的侵害程度歸結為：（1）一般損害;（2）嚴重損害;（3）特別嚴重損害。定級要素與信息系統安全保護等級的關系如下表所示。

2 信息系統等級保護工作概述

信息系統等級保護工作主要分為定級、備案、建設整改、等級測評和監督檢查五個環節。

定級工作：首先根據有關要求對信息系統的保護等級進行評定，然后組織專家評審，再由主管部門審批，最后公安機關審核。

備案工作：信息系統定級后，應到所在地區的市級以上公安機關辦理備案手續。

建設整改工作：信息系統定級以后，需要進行信息系統整改，按照“整體防御、分區隔離”原則進行設計，對信息系統進行改造以達到相應等級防護要求。

等級測評工作：是指邀請有資質的測評機構信息系統進行測評，檢查信息系統是否達到相應的安全等級要求。

監督檢查工作：公安機關不定期對運營單位的重要非涉密信息系統進行等級保護檢查，監督、檢查安全設施、落實安全措施、落實責任部門和人員。

3 信息系統安全域劃分與防護

3.1 安全域劃分思路

安全域劃分是等級保護最重要的一塊，決定著等級保護的成敗。對互聯網信息系統進行等級保護建設，要按照“整體防御、分區隔離”的原則，根據系統內不同的功能區域進行不同等級的保護。通過劃分安全域，再根據各安全域的實際需求部署安全產品進行安全防護，使得各安全區域防護重點明確，也提高了安全設備利用率，便于網絡安全的運維工作。

互聯網接入區：指內部業務系統直接與互聯網連接區域，只要負責與內部業務系統安全，防范來自互聯網的各類攻擊行為，包含出口路由器、防病毒網關、防火墻、入侵防御。防病毒網關用于識別攔截間諜軟件、病毒、廣告軟件、木馬等惡意內容;防火墻的訪問控制策略匹配門戶網站和郵件系統的正常業務需求，對非業務需求予以攔截;入侵防御系統對流經的報文進行深度感知，對惡意報文進行丟棄，對濫用報文進行限流以保護網絡帶寬資源。

核心交換區：主要為核心交換機，負責對不同功能區劃分不同vlan及業務地址，并部署訪問控制策略，限制不同功能區之間的互訪，同一區域具有相同的訪問控制權限。

安全管理區：安全管理區主要負責內部網絡安全，通過部署郵件安全網關、網頁防篡改系統、日志審計系統。郵件安全網關負責對郵件服務器的防護，主要是阻截垃圾郵件，隔離有可疑內容的郵件;日志審計系統負責對網絡設備和安全設備進行操作記錄和日志審計;網頁防篡改系統主要是防止門戶網站被入侵、改寫發布的網站內容。

虛擬化應用發布區：互聯網門戶網站及電子郵件系統通過虛擬化平臺部署，共享虛擬化資源池。

3.2 安全域劃分原則

在對信息系統進行安全域劃分過程中，主要依據以下原則：

（1）結構簡化原則：安全域劃分是為了把整個網絡變得更加簡單明了，從而利于部署防護策略。

（2）業務保障原則：安全域劃分在業務正常運行的情況下，最大程度上保證系統安全。

（3）縱深防御原則：根據TCP/IP標準網絡模型，在安全域設計時，應該考慮到各個層面的潛在風險，綜合運用身份鑒別、訪問控制、入侵防范、安全審計等安全功能實現協防。

（4）生命周期原則：隨著業務的不斷增長，安全域的防護和劃分也在變化，所以安全域的劃分還要考慮未來業務發展的潛在需求。

3.3 安全域邊界防護

每兩個具有直接數據通信的安全域之間存在一條邊界，每條邊界應適當部署安全訪問控制策略及相應的監控分析措施。常見的邊界防護設備載體：路由器、交換機、網絡防火墻、web防火墻等網絡設備。

信息系統安全域邊界防護采用如下措施：

（1）核心交換機通過劃分不同VLAN及訪問控制策略來區分不同安全域。其中虛擬化應用發布區級別最高，互聯網接入區安全級別最低。高安全級別區域訪問低安全級別區域的訪問可采用較為寬松的訪問規則;低安全級別區域訪問高安全級別區域的訪問需采用較為嚴格的訪問規則。

（2）核心交換機配置ACL（訪問控制列表），未經授權IP地址或地址段不能訪問門戶網站和郵件系統。各安全域的業務網段通過訪問控制列表實現互通。

（3）防火墻基于實際業務需求來配置策略，對非業務需求的訪問阻攔掉。

3.4 安全域內部防護

對于安全域內的安全風險，如病毒傳播、非法外聯等，可以通過管理和技術兩個層面共同防護。（1）通過建立相應的安全管理制度，禁止隨意安裝非法軟件;（2）對操作系統、網絡設備、數據庫等進行安全加固;（3）在邊界網絡設備上配置訪問控制策略，控制未經授權的設備進行訪問;（4）利用入侵防御系統及時阻斷來自網絡外部和內部的網絡攻擊;（5）部署殺毒軟件，防范惡意代碼的傳播。

4 結束語

實施信息安全等級保護制度是一個長期而艱巨的任務，既需要國家相關政策的推動，又需要企業的高度重視與積極投入。雖然我國信息安全等級保護制度起步晚，但是我國的信息安全等級保護制度已經建立，各國有企事業單位也在積極進行等級保護建設。本文介紹了網絡安全等級保護制度的基本流程，并結合實際工作體會對互聯網信息系統安全域劃分和防護進行了介紹，為企業信息系統的等級保護建設提供給了參考。

網絡安全是一場永不停止的斗爭。各企事業單位應重視企業互聯網信息系統安全建設，深入理解等級保護相關標準體系，積極進行信息系統等級保護建設，提高全員安全意識，構建安全、可靠的互聯網信息系統。

參考文獻：

[1] 王斌.基于等級保護體系下信息安全整改的設計[J].信息技術與信息化，2017（6）.

[2] 張濤，李巍，廖謙.數據中心安全域劃分及防護發展趨勢[J].電力信息與通信技術，2015（1）.

[3] 王文文，孫新召.信息安全等級保護淺議[J].計算機安全，2013（1）.

[4] 鄒陸曦，胡廣祿，孫玲.三甲醫院信息安全等級保護的實施及應用[J].中國數字醫學，2015（2）.

[5] 郭睿，陳濤.安全域劃分在企業中的實際應用研究[J].信息網絡安全，2016（z1）.

[6] 邱嵐，譚彬.安全域劃分研究與應用[J].計算機安全，2012（6）.

[7] 宋言偉，馬欽德，張健.信息安全等級保護政策和標準體系綜述[J].信息通信技術， 2010（6）.

[8] 王睿，雷蕾，楊明.支撐系統安全域劃分研究與應用[J].計算機安全，2013（5）.

【通聯編輯：代影】