等保2.0制度框架下網絡信息安全防護體系構建研究

安述照 萬曉燕

摘要：等保2.0制度體現了國家對網絡信息安全環境的重視，做好等保測評對企業網絡信息安全、社會網絡信息安全和國家網絡空間安全都有著重要意義。本文闡述了等保2.0制度的基本理論、必要性，然后從技術層面、管理層面和安全技術人才培養層面等三個維度來闡明構建網絡信息安全防護體系的策略和建議。

關鍵詞：等保2.0;網絡信息安全;防護體系

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）19-0028-03

隨著新一代信息技術和網絡的迅速發展，國家安全的概念已經超越地理空間的范疇，擴展到網絡空間，網絡空間安全成為國家安全的重要組成部分[1]。世界各國進入網絡空間安全戰略部署期，同時網絡安全威脅的范圍和種類不斷擴大，網絡安全形勢日益嚴峻多變。“滴滴數據泄密事件”引發我國對信息安全的重視，也表明我國面臨國內外更加復雜的網絡安全形勢。

“沒有網絡安全就沒有國家安全”這是習近平總書記于2014年2月27日在中央網絡安全和信息化領導小組第一次會議上的講話。這標志著我國把網絡安全提升到國家層面，對網絡安全的認知提升到新的高度和境界。

1 等保2.0介紹

2019年5月13日，《網絡安全等級保護制度2.0》（以下簡稱“等保2.0”）標準正式發布，并已于2019年12月1日開始實施，推動中國網絡安全技術大飛躍。

1.1 等保2.0的含義

等保2.0是在等保1.0標準的基礎上修改完善的，更加注重主動防御，加強從被動防御至事前、事中、事后的全流程動態感知、審計和防御，從而實現對傳統的基礎信息網絡、新一代信息技術及工業自動化控制等對象的全面保護。

1.2 等保2.0與1.0的異同點

（1）相同點

?五個級別不變

從一級到五級依次為：用戶自主級保護、系統審計級保護、安全標記級保護、結構化級保護、訪問驗證級保護。

?規定動作不變

規定的動作分別是：定級、備案、建設整改、等級測評、監督檢查。

?主體職責不變

網絡安全對所定級對象的備案受理和監督檢查職責不變，第三方測評機構對所定級對象的安全評估職責不變，上級主管部門對下屬單位的安全管理職責不變，運營單位對所定級對象的保護職責不變。

（2）不同點

等保1.0已無法應對當前的安全風險和新威脅，被動防御為主的方式無法滿足當前發展需求。等保2.0適時而出，從標準內容、法律法規、安全體系、安全實施等方面都做了完善。

?標準依據的變化

從條例法規提升到國家法律層面。等保1.0是國務院發布的147號令，而等保2.0標準是遵循《中華人民共和國網絡安全法》，要求全面實施安全等級保護制度，如果單位不開展等級保護等同于違法。

?標準要求變化

等級2.0對大數據、云計算、物聯網、工業控制、移動互聯網、人工智能等新技術提出新的安全擴展標準[2]，同時滿足“通用+擴展”要求。刪除過時的測評項目，完善不合理測評項，新增了對個人信息保護和新型網絡攻擊行為的防護等新測評要求，調整了網絡安全標準結構，將安全管理的中心由管理層面提升到技術層面。等級2.0標準覆蓋面更廣，安全防護能力大大提升。

?安全體系變化

等保2.0的標準依然是“一個中心、三重防護”的架構，從等保1.0的被動防御體系轉向事前預防、事中回應、事后審計的動態安全管理保障體系和具有相應等級安全保護的綜合防御體系。保障安全開展組織管理、隊伍建設、教育培訓、安全規劃、技術檢測、機制建設、經費保障、態勢感知、監督檢查、能力建設、應急處置和通報預警等工作。

?等級規定動作

等保2.0在定級對象、定級級別、定級流程、測評合格要求、監督檢查的實施過程進行了優化和調整。

1.3 等保2.0采用的框架結構

安全物理環境：主要針對網絡機房制定的安全技術指標。是面向機房環境、物理設備和設施等，主要內容包括設備安裝位置、設備控制、防盜裝置、防水、防雷擊設備、防靜電設施、溫濕度監測、電力供應系統和電磁防護等。

安全通信網絡：是針對通信網絡制定的安全控制指標。主要對象是局域網、城域網和廣域網等，主要內容包括通信傳輸安全、網絡架構和身份驗證等。

安全區域邊界：針對網絡邊界制定的安全控制指標[3]。主要包括區域邊界及系統邊界。主要內容涵蓋邊界防護策略、訪問控制策略、入侵檢測規則、惡意代碼審計、安全審計和身份驗證等。

安全計算環境：針對安全邊界的內部而設定的安全指標。對象是邊界內部的所有軟硬件設備，包括網絡互聯設備、安全設備、服務器、終端、操作系統、應用軟件、數據和其他設備等;主要內容包括身份驗證、安全審計、訪問控制、入侵檢測、防范惡意代碼、數據完整性和保密性、數據備份與恢復和個人信息保護等。

安全管理中心：是針對整個系統制定的安全管理方面的技術指標，主要安全控制中心包括審計管理模塊、系統管理模塊、集中管控系統和安全管理制度等。

安全管理制度：是針對管理制度體系制定的安全控制指標，主要內容包括管理制度、安全策略的制定和發布、管理制度的評審和修訂等。

安全管理機構：是針對管理組織架構制定的安全控制指標，主要內容包括崗位設置、技術人員配備、授權及審批、團隊溝通和合作等。

安全管理人員：是針對人員管理制定的安全規章制度，涉及的內容包括技術人員錄用、職員離崗（離職）、安全意識教育與培訓以及外來人員訪問管理等。

安全建設管理：是針對安全建設過程制定的規則和要求，主要內容包括安全定級和備案、系統安全方案設計、安全設備采購和使用、軟件開發、工程實施、系統測試與驗收、系統交付、系統等級測評及服務供應商管理等。

安全運維管理：是針對安全運維過程制定的規章和規則，主要內容包括資產管理、設備管理、介質管理、備份與恢復管理、漏洞與風險管理、變更管理、設備配置管理、系統安全管理、安全事件處置、惡意代碼防范管理、密碼管理、應急預案管理等。

2 做好等保2.0的必要性

網絡安全已經上升到國家層面，實施等保2.0制度，是保護信息化的健康發展，維護國家利益的根本保障，是國家意志在信息安全保障工作中的體現[4]。

2.1 系統安全

系統安全是保障所有企事業單位正常運轉的基礎，也是數據信息安全的基石。通過對單位的等級保護測評，可以發現其系統內、外存在的安全漏洞和風險，以便通過整改措施，提高系統的信息安全防護能力。然后再根據等級保護標準進行檢測和信息系統分析，以劃分安全等級，實施分等級保護，保障系統安全。

2.2 法律規定

等保 2.0 標準的依據是《中華人民共和國網絡安全法》，所有在中國的企事業單位都要遵守國家法律法規，按要求去開展網絡安全等級保護工作，否則就是違法行為。

2.3 行業需求

很多部門或行業依賴網絡進行信息化辦公或通信，特別注重網絡安全和信息安全。主要有：政府機關、金融、能源、電力、電信、醫療、新一代信息產業和教育等。

2.4 規避風險

等保2.0制度可以通過等保測評，找出單位網絡系統存在的高風險安全因素，并按照標準和建議整改，能夠提高信息系統的信息安全防護能力，滿足自身業務發展需求[5]。

3 等保2.0制度框架下網絡信息安全防護體系構建建議

要落實等保2.0制度，構建安全可靠的防護體系，要從技術層面、管理層面和安全技術人才培養層面等進行把控，提高網絡信息安全管理與技術水平。

3.1 技術層面

防火墻技術（包括WAF）、防病毒（木馬）技術、入侵檢測技術（IDS）、入侵防御技術（IPS）、態勢感知、行為日志等是重點加強防護的技術手段。在一個局域網中至少采用3～4種的技術方能達到基本的網絡安全水平。

（1）防火墻技術：是抵御外來攻擊的第一道屏障，加強掃描過濾進出網絡的數據，對數據流量進行監測和登記，隔離外來的攻擊和惡意代碼的入侵，保障內部主機、網站和數據安全。

（2）防病毒（木馬）技術：防病毒（木馬）技術是通過利用軟、硬件技術阻止其網絡傳播。要實時更新病毒庫，對網絡中的主機進行檢測、殺毒與修復。

（3）入侵檢測技術：Intrusion Detection System（IDS），能夠對內部、外部的攻擊和誤操作實時監控，識別惡意使用網絡資源的行為，并做出相應報警和處理[6]。

（4）入侵防御技術。Intrusion Prevention System（IPS），這是對防病毒（木馬）系統和防火墻技術的補充。IPS加強檢查網絡中傳輸的數據包，識別數據包的真正用途，決定數據包的去留，保障網絡數據傳輸的安全性。

（5）漏洞掃描技術。網絡攻擊、病毒木馬入侵大都是利用漏洞，因此要定時對系統進行漏洞掃描，分析檢測報告，評估網絡風險等級，然后進行系統升級或修補漏洞。

（6）行為日志分析技術。黑客的入侵行為會被行為日志設備記錄下痕跡，通過分析日志記錄，能夠發現系統中存在的威脅與攻擊，對存在的后門、漏洞、木馬等進行檢測、清理和修復。

（7）態勢感知。充分利用態勢感知的基于環境、動態、整體地預知安全風險能力，進行安全大數據分析，從全局視角發現識別安全威脅，并做出相應處置，為管理員提供決策與行動依據。

3.2 管理層面

（1）完善管理制度

要依據單位實情和網絡安全的等級防護規定，制定網絡安全防護工作機制，建立網絡信息安全領導小組和安全管理小組，明確網絡安全責任人。要制定網絡安全事件應急處置方案及上報制度，落實專人負責，明確責任，提高突發事件應急處置能力[7]。

（2）強化民眾安全意識

要充分認識到網絡信息安全意識的重要性，這是信息安全工作中的重要一環，讓社會民眾充分認識到網絡信息安全在工作和學習中的重要性和緊迫性。大力開展《中華人民共和國網絡安全法》的普法宣傳和教育工作，增強工作人員的網絡安全責任意識，減少因失誤帶來的風險和損失。

（3）增強工作人員安全防御能力

網絡技術的發展使企事業單位的信息化辦公普及化，對網絡信息安全的水平逐步提升，要提高全員的信息安全專業能力：一是引進高水平人才或培訓現有技術人員，打造高水平專業技術團隊;二是開展網絡信息安全科普培訓，普及信息泄露的途徑和危害性，提升全員的網絡信息安全綜合能力和技術水平。

（4）重視安全技術

要增強信息化管理人員的安全意識，不斷關注網絡安全最新動態，對系統進行升級和修補漏洞，學習網絡安全的新技術新舉措，如：數據加密、數據分析、防火墻（WAF）技術、入侵檢測技術（IDS）、漏洞掃描、反病毒木馬技術等，提升網絡安全應急響應能力，對相關日志、數據進行全面審計，及時采取封堵、阻止、限流等安全技術進行應急防護響應。

（5）建立督查、保障機制

網絡安全問題要萬分重視，不能麻痹大意，要加強信息安全技術監控與檢查力度，對防護措施不力的人員加強教育和整改，落實和追究安全責任。在技術支持上加強保障，鼓勵技術創新和變革，提高技術人員的積極性。

3.3 人才培養層面

網絡安全問題日益突出，對網絡信息安全人才不斷提出新的要求。當前，我國網絡信息安全人才緊缺，同時也存在大部分從業人員能力素質不高、結構不合理等問題，與保護國家網絡空間安全、建設網絡強國的目標不適應。我國網絡安全技術學科建設剛剛起步，需要多途徑培養安全技術人才。

（1）堅持正確思想

網絡安全技術有著突出的兩面性特點，從業者的技術水平越高，對思想覺悟、價值觀的考驗越高，稍有疏忽，就會誤入歧途。因此，在培養網絡信息安全技術人才時要首先樹立正確的價值觀和人生觀，加強愛國主義教育，學習相關的法律法規，培養正確的職業觀，用合法的工作推動網絡安全行業快速發展。

（2）加強師資培訓

我國的網絡安全學科建設起步較晚，大部分高校的網絡安全專業教師不是科班出身，沒有網絡安全專業系統的理論知識和實踐經驗，師資隊伍水平不高，人才培養質量低。因此，國家層面要重視高校的師資培養，給予資金和政策支持，一方面，對現有教師進行系統培訓，特別不能忽視高職層次的師資培養，另一方面，高薪引進高水平人才，特別是從企業引進有經驗的工程師。加強學校之間的教師交流、訪學，促進專業建設水平提高。

（3）完善課程體系

對本科及以上層次的網絡安全專業人才培養方案，要對課程體系進行優化，實現信息安全與軟件工程、密碼學、計算機和通信等課程的結合，還要覆蓋網絡空間安全理論知識和實踐課程，提升學生實戰能力。對高職層次人才培養，要加強實踐動手能力，以安全運維人員培養為主要方向，以技能實操和體驗式培訓為手段，以安全認證為支撐，以攻防滲透能力培養為核心，培養面向中小安全公司就業的高素質技能型人才。還需要將新技術、新理論以及新需求融入教學中，讓學生能夠從工作崗位需求出發，提升自身的能力素養。

（4）加強校企融合

在信息產業大類，先進的技術基本由知名大企業的研發人員掌握，因此，要把企業的專家請進課堂任教，同時讓高校教師到企業掛職工作，實現產學研模式的構建。企業真實項目注入，利用企業技術優勢和產業資源，發揮學校的師生人力資源優勢，突出行業技術標準向教學課程標準的轉化，提升教師和學生的知識、技術和技能水平[8]。

（5）加強實戰化人才培養

當前本科及以上層次的高校的人才培養大部分還是停留在基本技能與理論知識學習，畢業后需要一段時間的學習和實踐才能滿足崗位的需要，影響企業業務開展。因此，在開展網絡安全人才培養過程中，需要營造實戰化的實訓環境，將理論知識與實踐技能相結合，更好地提升網絡安全實戰能力。特別是通過校企合作，讓學生參與真實項目案例，實現企業、學校和學生共贏，推動中國網絡信息安全發展。

（6）不拘一格降人才

從調研數據分析，網絡安全行業的高水平人才，通常有著特殊性，這些人才很多不是科班出身，也沒有高學歷。網絡信息安全的高技術人才是需要有靈感、有天賦、有興趣，愿意為之奮斗的奇才、怪才。高等院校可以開設網絡安全相關專業“特長班”。 建議高等院校、科研機構根據需求和發展，拓展網絡安全專業方向，擴大網絡信息安全專業人才培養規模。各院校還可以在全校范圍內以協會、興趣小組或工作室等方式，召集對網絡安全技術感興趣的同學，發揮其長處，催化其興趣，培養高水平信息安全精英式人才。

4 結束語

隨著新一代信息技術發展以及基礎設施的網絡全球互聯化，網絡空間環境日益復雜，面臨的安全威脅不斷增多，面對網絡空間安全保障的重大需求，我國推出了等級保護2.0制度[9]。等保2.0涵蓋了云計算、物聯網、大數據、人工智能、工控網絡等新場景下的信息安全要求，安全防護技術和要求相比于傳統安全體系有了極大提高，成為新時期網絡安全架構建設的新基礎。要以等保2.0制度為基礎框架，構建明確思路、分析需求、發現問題、制定目標，建設滿足合規、保障業務安全的網絡安全體系。從整體安全的角度，將技術、資源、制度、人才培養和全民安全意識投放在抵御新的網絡安全風險和滿足個人網絡信息安全需求上，構建基于等級保護、面向最佳實踐的網絡安全體系。

參考文獻：

[1] 馮澤冰，司培培.面向5G資產的統一安全評測模型與體系構建[J].信息安全研究，2021，7（5）：436-442.

[2] 楊強，劉捷.等級保護2.0在數字圖書館中的應用探討[J].網信軍民融合，2021（4）：46-51.

[3] 馬玉州.等保2.0時代普通高校等級保護工作實踐[J].網絡安全技術與應用，2021（7）：97-98

[4] 網絡信息安全[EB/OL].[2021-05-10].https：//blog.csdn.net/xiaofengdada/article/details/123036800.

[5] 夏冰.網絡安全法和網絡安全等級保護2.0[M].北京：電子工業出版社，2017

[6] 吳小偉.“等保2.0”背景下政府部門網絡信息安全防護技術探析[J].江蘇科技信息，2021，38（32）：39-41.

[7] 鐘焯榮，張曉鵬.高校網絡安全防護體系建設與研究[J].無線互聯科技，2021，18（23）：16-17.

[8] 何躍鷹.互聯網規制研究——基于國家網絡空間安全戰略[D].北京：北京郵電大學，2012.

[9] 李攀攀，朱蓉，翟建宏.網絡安全等級保護2.0視域下網絡空間安全人才的培養探索[J].實驗室研究與探索，2021，40（8）：163-167，172.

收稿日期：2022-02-25

基金項目：《網絡安全等級保護2.0視域下網絡安全人才培養研究》，2021年青島酒店管理職業技術學院科研課題（課題編號2021ZD18）;《計算機應用專業群個性化成才培養模式改革》，2020年青島酒店管理職業技術學院教學改革研究項目（課題編號：JGZD2015）

作者簡介：安述照（1975—），男，山東青島人，教授，本科，研究方向為網絡安全技術;萬曉燕（1980—），女，江西南昌人，副教授，研究生，研究方向為網絡安全技術。