網絡安全等級保護建設探索

◆莫新建

網絡安全等級保護建設探索

◆莫新建

（河南航天精工制造有限公司 河南 464100）

隨著網絡安全形勢的日益嚴峻，國家有關部門先后出臺了一系列文件，明確了等級保護的重要性。為了履行國家《網絡安全法》法律義務，落實網絡安全保護責任，單位需開展網絡安全等級保護建設工作，按照技術與管理的需求進行建設實施，并加強日常運維與監管。

網絡安全；等級保護；建設探索

1 網絡安全建設規劃

按網絡安全等級保護實施指南及基本要求等文件要求，對網絡信息系統保護對象劃分區域并定級，根據定級級別，對不同的保護對象從物理環境防護、通訊網絡、網絡邊界、主機設備以及應用和數據等方面的安全防護進行不同級別的安全防護設計。同時建設統一的安全管理中心來保障安全管理措施和技術防護的有效協同及一體化管理，保障安全措施及管理有效運行。

2 網絡安全技術設施建設

2.1 物理環境安全

中心機房可以說是一個單位網絡的神經中樞，對于一個單位的網絡信息系統十分重要。所以中心機房在物理環境安全方面必須高標準嚴要求進行設計及施工。中心機房建設可以依據國家《電子信息系統機房設計規范》（GB50174-2008）的要求，主要從機房位置選擇、門禁控制、配電及UPS、防雷接地、設備監控、防火及火災報警、防水和防潮、防靜電、溫濕度控制、新風系統、電磁泄漏防護等方面綜合考慮進行建設，從而保障中心機房及網絡信息系統的安全。

2.2 網絡通信安全

網絡結構是網絡安全的前提和基礎，對信息系統所依托的網絡需要進行合理的規劃。根據總體網絡規劃，分析其重要性和所涉及信息的重要程度等，并據此劃分不同的VLAN網段，設置相應的安全訪問控制策略。另外，在網絡安全域的邊界部署防火墻及入侵防御系統，對所有流經防火墻的數據包按照安全規則過濾，屏蔽不安全的或不符合安全規則的數據包，禁止越權訪問以及各類非法攻擊的行為。利用入侵防御系統的動態檢測功能，對網絡中的異常流量進行監測，并定期對入侵防御系統的特征庫進行升級，及時發現網絡中存在的異常行為。在核心交換機上設置訪問控制策略，禁止終端用戶對安全管理設備的非授權訪問，同時在接入層交換機上對所有接入網絡的信息設備進行端口、IP地址和MAC地址的綁定。在網絡層通過旁路方式部署漏洞掃描系統，在即不影響網絡速度的情況下，又能及時的發現系統存在的漏洞，并根據漏洞掃描系統提供的解決方案及時更新補丁，消除相應的安全隱患。部署日志審計系統，對網絡設備、安全設備、服務器進行安全審計，審計記錄應包含事件的時間、用戶信息、事件類型、事件是否成功等信息。在交換機與防火墻上配置詳細的訪問控制策略，限制終端的接入方式、網絡地址的范圍等。

2.3 主機設備安全

對登錄主機設備的用戶進行用戶身份鑒別，使用賬號+密碼的方式，身份鑒別的密碼具有一定的復雜度要求并設置定期更換；對電腦登錄采用了USB-KEY+密鑰的方式進行登錄，需要進行遠程管理的設備采用堡壘機等安全防護保證措施的方式進行遠程管理。同時，針對主機系統訪問控制策略對服務器及終端設備進行安全加固，包括：刪除或修改默認賬戶名稱，修改賬戶默認口令，刪除系統及數據庫中多余無用賬戶，禁用默認共享等；根據管理員用戶的角色分配相應的管理權限，僅授權各管理員用戶所需的最小權限。日志審計系統、數據庫審計系統、上網行為審計系統等安全設備的部署實現主機設備的安全審計功能。針對主機系統遵循最小安裝原則，關閉不必要的系統服務及高危端口，比如135、139、445端口等。在所有終端主機和服務器上部署防病毒系統，加強終端主機的病毒防護能力并及時升級防病毒庫，定期對網絡中的惡意代碼進行查殺。域控服務器根據安全策略設置終端主機設備登錄的超時鎖定閾值及無效登錄次數鎖定閾值，并限制用戶對系統資源的使用最大及最小限度，并對重要的關鍵網絡設備及服務器配備硬件冗余，保障高可用性。

2.4 應用和數據安全

應用系統開發要考慮應用及數據安全需求，在開發時同時進行安全方面開發及設置。信息系統身份鑒別，可以采用用戶賬戶和密碼的方式，密碼要設置復雜度要求，也可以采用用戶賬戶與USB-KEY進行綁定的雙因子方式進行認證，為安全事件的跟蹤審計提供有效依據。應配置對登錄的用戶賬號和權限訪問控制的功能，并及時刪除或停用應用系統中多余的、過期的賬號；刪除或修改系統默認賬戶及登錄口令，設置不同的管理員權限，操作系統和數據庫管理員分權管理，安排不同人員擔任并分配不同的賬號。開啟應用系統及其使用的中間件的自帶審計功能，并把相應的日志發送到日志審計系統，統一進行審計分析。同時部署數據庫審計系統，對管理員操作數據庫的相關記錄進行安全審計，防止非法操作及更改相關數據信息。應用系統在資源控制方面，應設置一個客戶端只允許一個用戶同時登錄，并且一個用戶只允許同時在一個客戶端上登錄，從而保障信息資源的安全。在數據完整性和保密性方面，通過部署加密機實現網絡傳輸層數據的完整性和保密性防護。對信息及業務數據加密傳輸和存儲，確保傳輸的數據是加密后傳輸和存儲。在數據備份和恢復方面，重要數據實現本地備份和恢復并且異地能夠實時備份實現數據的備份和恢復。

3 網絡安全管理體系建設

網絡安全管理重要的就是要建立統一的網絡安全管理體系，落實各項網絡安全管理制度。所謂“三分技術，七分管理”，技術是基礎，安全管理是關鍵。安全管理體系建設需從安全管理制度、安全管理機構、安全人員管理、應用系統建設及安全運維管理等方面進行統籌規劃設計。

3.1 網絡安全管理策略和制度

單位應制定網絡安全管理總體方針和安全策略，明確網絡安全管理工作的總體目標、范圍、原則和框架等。根據網絡安全管理的方針策略制訂一系列網絡安全管理制度、規范、辦法等，用來規范各部門的網絡安全工作，并建立管理人員及操作人員執行的日常管理操作規程，形成由安全管理策略、制度與管理辦法、操作規程等構成的全方位的網絡安全管理制度體系，指導并有效地規范各部門的網絡安全管理工作，并形成相關的記錄表單以闡明所遵循制度操作規范取得的結果或提供完成活動的證據。網絡安全管理部門應根據環境變化對策略、安全管理制度及操作規程進行評審，并及時修訂相關內容。

3.2 網絡安全組織機構和人員管理

單位應成立網絡安全管理領導小組及辦公室等機構，明確網絡安全管理機構的組織形式和執行方法，并設立系統管理員、安全管理員、審計員等崗位，從人員配置、授權審批、溝通協調、檢查審計、人員上崗錄用、人員離崗離職及人員安全意識教育培訓等各方面進行管理落地執行。

3.3 網絡安全運維管理

單位應根據網絡安全管理制度體系框架中有關信息系統安全運維有關的管理制度規定，不斷完善運維安全管理的措施及手段，具體包括：物理環境管理、設備資產管理、存儲介質管理、設備維護管理、漏洞風險管理、網絡信息安全管理、病毒惡意代碼防范管理、策略配置管理、密鑰密碼管理、權限變更管理、備份與恢復管理、外包運維服務管理、應急預案管理及安全事件應急處置管理等等內容，確保網絡及信息系統安全穩定運行。

[1]《信息安全技術信息系統安全等級保護實施指南》GB/T 25058-2010.

[2]《信息安全技術信息系統安全等級保護體系框架》GA/T 708-2007.

[3]《信息安全技術網絡安全等級保護基本要求》GB/T 22239-2019.