淺析事業(yè)單位網(wǎng)絡(luò)安全等級保護(hù)的建設(shè)

◆王昭群

?

淺析事業(yè)單位網(wǎng)絡(luò)安全等級保護(hù)的建設(shè)

◆王昭群

（長江宜昌通信管理局 湖北 443003）

當(dāng)今是一個信息時代，方方面面都離不開網(wǎng)絡(luò)，隨之而來的網(wǎng)絡(luò)安全問題也尤為尖銳。因此建設(shè)高質(zhì)量、穩(wěn)定可靠的安全網(wǎng)絡(luò)成為目前網(wǎng)絡(luò)發(fā)展的重中之重。本文分析了目前事業(yè)單位網(wǎng)絡(luò)安全等級保護(hù)的現(xiàn)狀，結(jié)合業(yè)務(wù)實(shí)際提出了網(wǎng)絡(luò)安全等級保護(hù)的策略。

事業(yè)單位；網(wǎng)絡(luò)安全等級保護(hù)；部署建議

0 引言

網(wǎng)絡(luò)安全等級保護(hù)制度是保障各事業(yè)單位網(wǎng)絡(luò)安全的重要方法，通過進(jìn)行網(wǎng)絡(luò)安全分級保護(hù)，可以高效解決目前事業(yè)單位所面臨的網(wǎng)絡(luò)安全問題，按照“重點(diǎn)優(yōu)先”的思想，將資源有的放矢地投入到網(wǎng)絡(luò)安全建設(shè)中，有助于快速夯實(shí)網(wǎng)絡(luò)安全等級保護(hù)的基礎(chǔ)。

1 網(wǎng)絡(luò)安全等級保護(hù)定義

網(wǎng)絡(luò)安全等級保護(hù)是指對單位內(nèi)的秘密信息和專有信息以及可以公開的信息進(jìn)行分級保護(hù)，對信息系統(tǒng)中的防火墻進(jìn)行分級設(shè)置，對產(chǎn)生的網(wǎng)絡(luò)安全事件建立不同的響應(yīng)機(jī)制。這種保護(hù)制度共分為五個級別：

自主保護(hù)、指導(dǎo)保護(hù)、監(jiān)督保護(hù)、強(qiáng)制保護(hù)、?？乇Ｗo(hù)。

不同的信息擁有不同的機(jī)密性，就會有相應(yīng)的安全保護(hù)機(jī)制。

近期，網(wǎng)絡(luò)安全等級保護(hù)制度2.0國家標(biāo)準(zhǔn)正式發(fā)布，這對加強(qiáng)網(wǎng)絡(luò)安全保衛(wèi)工作、提升網(wǎng)絡(luò)能力具有重大意義。

2 網(wǎng)絡(luò)安全等級保護(hù)現(xiàn)狀分析

按照新的網(wǎng)絡(luò)安全等級保護(hù)要求，絕大多數(shù)單位在網(wǎng)絡(luò)安全技術(shù)和管理方面存在差距和盲點(diǎn)，網(wǎng)絡(luò)安全保障體系仍需完善。主要表現(xiàn)在以下幾個方面：

（1）網(wǎng)絡(luò)安全管理工作有待進(jìn)一步加強(qiáng)

在網(wǎng)絡(luò)安全管理制度方面存在不夠完善，對信息資產(chǎn)管理、服務(wù)外包管理等缺乏網(wǎng)絡(luò)安全方面有關(guān)要求。未建立體系化的內(nèi)部操作規(guī)程，而且對網(wǎng)絡(luò)安全管理和技術(shù)人員專業(yè)技能培訓(xùn)相對較少，網(wǎng)絡(luò)安全等級保護(hù)的定級、備案及測評等未開展。運(yùn)維工作的部分操作不規(guī)范，隨意性較強(qiáng)，對網(wǎng)絡(luò)、系統(tǒng)安全穩(wěn)定運(yùn)行造成風(fēng)險。

（2）網(wǎng)絡(luò)架構(gòu)存在安全隱患和較為明顯的脆弱性

有的內(nèi)網(wǎng)連接，雖部署了防火墻進(jìn)行網(wǎng)絡(luò)訪問控制，但是部分防火墻缺乏安全配置及管理，訪問控制策略不嚴(yán)格，同時某些單位內(nèi)部網(wǎng)絡(luò)也缺乏分區(qū)和邊界控制措施，無法限制非授權(quán)用戶接入內(nèi)網(wǎng)和授權(quán)用戶濫用授權(quán)違規(guī)外聯(lián)外網(wǎng)的行為，部分單位發(fā)現(xiàn)終端跨接內(nèi)外網(wǎng)的現(xiàn)象，導(dǎo)致整個單位的內(nèi)網(wǎng)存在“一點(diǎn)接入，訪問全網(wǎng)，攻擊全網(wǎng)”的安全風(fēng)險。

（3）主機(jī)計算環(huán)境抵御攻擊能力較低

主機(jī)服務(wù)器未及時更新系統(tǒng)安全補(bǔ)丁，導(dǎo)致存在比如MS17-010（永恒之藍(lán)）、弱口令等高危漏洞；部分服務(wù)器未部署防病毒軟件、病毒庫未更新，沒有惡意代碼防范措施，部分單位的終端感染木馬病毒，一旦被利用，可能導(dǎo)致內(nèi)部服務(wù)器主機(jī)大面積感染惡意程序等事件發(fā)生。

（4）應(yīng)用系統(tǒng)安全防范措施缺失

有的運(yùn)行在內(nèi)網(wǎng)應(yīng)用系統(tǒng)，存在高風(fēng)險安全漏洞；在應(yīng)用系統(tǒng)身份鑒別、數(shù)據(jù)完整性、保密性保護(hù)等方面存在策略配置不足問題，結(jié)合其他安全風(fēng)險，會帶來系統(tǒng)服務(wù)安全、數(shù)據(jù)安全等較嚴(yán)重的安全問題。

（5）數(shù)據(jù)安全保護(hù)能力不足

有的未對專網(wǎng)的重要數(shù)據(jù)進(jìn)行分級分類管理，數(shù)據(jù)安全保護(hù)措施缺失，專網(wǎng)中的數(shù)據(jù)庫普遍存在弱口令、遠(yuǎn)程代碼執(zhí)行漏洞等高危安全漏洞，極易被攻擊利用，大量的業(yè)務(wù)數(shù)據(jù)和敏感信息存在較高的安全風(fēng)險。

（6）物理安全基礎(chǔ)保障欠缺

有的機(jī)房未對進(jìn)出人員進(jìn)行鑒別登記，易造成機(jī)房遭受惡意人員破壞，存在安全風(fēng)險。有的機(jī)房未部署門禁系統(tǒng)，未安裝防盜報警系統(tǒng)等進(jìn)行盜竊防護(hù)。

3 網(wǎng)絡(luò)安全等級保護(hù)部署建議

3.1 構(gòu)建等保系統(tǒng)框架

根據(jù)安全等級保護(hù)的總體思想，提出如圖1的網(wǎng)絡(luò)安全管理體系架構(gòu)。

圖1 網(wǎng)絡(luò)安全管理體系架構(gòu)

“總體安全策略”處于網(wǎng)絡(luò)安全管理體系的最高層級，是單位網(wǎng)絡(luò)安全管理體系的首要指導(dǎo)策略。

“安全管理組織框架”位于網(wǎng)絡(luò)安全管理體系的第二層，負(fù)責(zé)建立該單位網(wǎng)絡(luò)安全管理組織框架。它既確保了信息系統(tǒng)運(yùn)行時資料不會被泄露，也塑造了一個能穩(wěn)定運(yùn)行信息系統(tǒng)的管理體系，保證網(wǎng)絡(luò)安全管理活動的有效開展。

“安全管理制度框架”位于網(wǎng)絡(luò)安全管理體系的第三層，分別從安全管理機(jī)構(gòu)及崗位職責(zé)、信息系統(tǒng)的硬件設(shè)備的安全管理、系統(tǒng)建設(shè)管理、安全運(yùn)行管理、安全事件處置和應(yīng)急預(yù)案管理等方面提出規(guī)范的安全管理要求。

網(wǎng)絡(luò)安全管理體系的第四層描述的是如何進(jìn)行規(guī)范配置和具體的操作流程以及如何對運(yùn)行活動進(jìn)行記錄。從日常安全管理活動的執(zhí)行出發(fā)，對主要安全管理活動的具體配置、操作流程、執(zhí)行規(guī)范等各種各樣的安全管理活動做出具體操作指示，指導(dǎo)安全管理工作的具體執(zhí)行[1]。

3.2 劃分安全域

根據(jù)安全等級保護(hù)系統(tǒng)總體架構(gòu)，重新劃分網(wǎng)絡(luò)安全域。

各安全域安全管理策略應(yīng)遵循統(tǒng)一的基本要求，具體如下：

（1）保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足高峰期業(yè)務(wù)需求，通過網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計，避免存在網(wǎng)絡(luò)單點(diǎn)故障。

（2）部署高效的防火墻設(shè)備，防止包括DDOS在內(nèi)的各類網(wǎng)絡(luò)攻擊；在通信網(wǎng)絡(luò)中部署IPS、入侵檢測系統(tǒng)、監(jiān)控探針等，監(jiān)視各種網(wǎng)絡(luò)攻擊行為。

（3）在關(guān)鍵位置部署數(shù)據(jù)庫審計系統(tǒng)，對數(shù)據(jù)庫重要配置、操作、更改進(jìn)行審計記錄。

（4）對于每一個訪問網(wǎng)絡(luò)的用戶將會進(jìn)行身份驗(yàn)證，確保配置管理的操作只有被賦予權(quán)限的網(wǎng)絡(luò)管理員才能進(jìn)行[2]。

（5）部署流量檢測設(shè)備，通過Flow采集技術(shù)，建立流量圖式基線，根據(jù)應(yīng)用情況控制和分配流量。

（6）增加除口令以外的技術(shù)措施，實(shí)現(xiàn)雙因素認(rèn)證[3]。

（7）如需遠(yuǎn)程管理網(wǎng)絡(luò)設(shè)備和安全設(shè)備，應(yīng)采用加密方式，避免身份鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊取。

（8）能夠及時有效阻斷接入網(wǎng)絡(luò)的非授權(quán)設(shè)備。

3.3 控制安全邊界

基于部署的網(wǎng)絡(luò)安全軟硬件設(shè)備，設(shè)置相應(yīng)的安全規(guī)則，從而實(shí)現(xiàn)對安全邊界的控制管理。

主要安全策略包括：

（1）互聯(lián)網(wǎng)區(qū)域應(yīng)用安全：必須經(jīng)過邊界防火墻的邏輯隔離和安全訪問控制。

（2）專網(wǎng)區(qū)域應(yīng)用安全：對于訪問身份和訪問權(quán)限有明顯界定，必須經(jīng)過邊界防火墻的邏輯隔離和安全訪問控制，其他區(qū)域和用戶都不允許直接訪問。

（3）互聯(lián)網(wǎng)區(qū)域數(shù)據(jù)安全：只允許外部應(yīng)用域的應(yīng)用服務(wù)器訪問，其他區(qū)域用戶不能直接訪問。對數(shù)據(jù)域的訪問受到訪問身份和訪問權(quán)限的約束，必須經(jīng)邊界防火墻的邏輯隔離和安全訪問控制。

（4）專網(wǎng)區(qū)域數(shù)據(jù)安全：只允許內(nèi)部應(yīng)用域的應(yīng)用服務(wù)器訪問，其他區(qū)域和用戶都不允許直接訪問。要訪問也必須具有受信的訪問身份和訪問權(quán)限。

（5）互聯(lián)網(wǎng)區(qū)域和專網(wǎng)區(qū)域交互安全：對于內(nèi)外部之間的信息交互，采用數(shù)據(jù)擺渡和應(yīng)用協(xié)議相結(jié)合的方式進(jìn)行，嚴(yán)格控制雙網(wǎng)之間存在TCP/IP協(xié)議以及其他網(wǎng)絡(luò)協(xié)議的連接。

（6）開發(fā)測試安全：開發(fā)測試域作為非信任區(qū)域，要求只能在受限的前提下進(jìn)行網(wǎng)絡(luò)訪問，必須經(jīng)過邊界防火墻的邏輯隔離和安全訪問控制。

（7）密碼應(yīng)用安全：所有涉及密碼應(yīng)用的網(wǎng)絡(luò)安全設(shè)備，所采用的密碼算法必須為國密算法。

（8）統(tǒng)一安全管理：防火墻、IDS、IPS、防病毒網(wǎng)關(guān)、網(wǎng)絡(luò)安全審計和數(shù)據(jù)庫安全審計系統(tǒng)的日志統(tǒng)一發(fā)送到安全管理區(qū)的安全管理平臺進(jìn)行分析。

（9）終端安全管理：辦公設(shè)備統(tǒng)一部署終端安全管理系統(tǒng)，并能夠有效管理終端安全配置，準(zhǔn)入控制、防病毒功能，以及系統(tǒng)補(bǔ)丁升級。

（10）設(shè)備知識產(chǎn)權(quán)：所涉及網(wǎng)絡(luò)安全設(shè)備的，必須是具有國產(chǎn)知識產(chǎn)權(quán)。

4 總結(jié)

網(wǎng)絡(luò)安全等級保護(hù)工作事關(guān)重大，它是一個系統(tǒng)工程，需要各級人員多方面的協(xié)調(diào)合作。只有盡快補(bǔ)齊安全防護(hù)短板，才能切實(shí)提高一個單位的安全支撐能力、安全檢測能力、安全防護(hù)能力、應(yīng)急響應(yīng)能力和容災(zāi)恢復(fù)能力，從而更好地保障一個單位網(wǎng)絡(luò)安全建設(shè)的可持續(xù)發(fā)展。

[1]歐陽莎茜.運(yùn)用大數(shù)據(jù)制定園區(qū)安全環(huán)保用電策略的實(shí)例分析[D].西南交通大學(xué), 2017.

[2]黎水林.基于安全域的政務(wù)外網(wǎng)安全防護(hù)體系研究[J].信息網(wǎng)絡(luò)安全, 2012(07): 3-5.

[3]劉太洪.大秦公司信息系統(tǒng)安全等級保護(hù)技術(shù)規(guī)劃設(shè)計[D].河北工業(yè)大學(xué), 2014.