等級保護2.0下通信系統(tǒng)網(wǎng)絡(luò)安全體系研究

□ 文 劉俊杉 段 莉

一、背景

等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置，是針對國家網(wǎng)絡(luò)安全的基本制度。我國于2007年正式實施等級保護制度。經(jīng)過10多年的發(fā)展，2019年5月等級保護2.0標準發(fā)布，并于同年12月1日正式實施，這標志著我國網(wǎng)絡(luò)信息安全等級保護工作進入了新的時代，對保障國家網(wǎng)絡(luò)安全具有里程碑的意義。

隨著科技的進步和通信網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)與信息安全形勢日益嚴峻，網(wǎng)絡(luò)安全逐漸被推上更重要的位置。習近平總書記針對網(wǎng)絡(luò)安全提出了重要論斷：沒有網(wǎng)絡(luò)安全就沒有國家安全。黨的十九大也針對網(wǎng)絡(luò)安全作出戰(zhàn)略部署：指出加強互聯(lián)網(wǎng)內(nèi)容建設(shè)，建立網(wǎng)絡(luò)綜合治理體系，營造清朗的網(wǎng)絡(luò)空間，堅持系統(tǒng)性謀劃、綜合性治理、體系化推進，逐步建立起涵蓋領(lǐng)導管理、正能量傳播、內(nèi)容管控、社會協(xié)同、網(wǎng)絡(luò)法治、技術(shù)治網(wǎng)等多方面內(nèi)容的網(wǎng)絡(luò)綜合治理體系，全方位提升網(wǎng)絡(luò)綜合治理能力。

相較于等級保護1.0標準，等級保護2.0標準為了順應(yīng)新技術(shù)的發(fā)展及應(yīng)用，將保護對象的范圍、防御體系和實施流程等方面都納入了擴展要求。

二、等級保護2.0相關(guān)概念

2.1 等級保護制度發(fā)展歷程

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，近年來國家陸續(xù)出臺了針對網(wǎng)絡(luò)安全、信息安全的相關(guān)法律、法規(guī)和標準，為網(wǎng)絡(luò)及信息安全提供了政策保障。從1994年國務(wù)院147號令《中華人民共和國計算機系統(tǒng)安全保護條例》、2003年中辦發(fā)27號文《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》以及2004年公通字66號文《關(guān)于信息安全等級保護工作的實施意見》開始，國家針對網(wǎng)絡(luò)及信息安全保護的進程開啟。

2007年《信息安全等級保護管理辦法》發(fā)布，規(guī)定了信息系統(tǒng)定級、備案、安全建設(shè)整改、等級測評、檢查五部分。2008年以后，等級保護1.0標準發(fā)布，包括《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》、《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》、《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》等，等級保護工作開始逐步推廣，標志我國等級保護工作進入發(fā)展階段。

黨的十八大以來，網(wǎng)絡(luò)安全工作也被推到了更重要的位置。習近平總書記對網(wǎng)絡(luò)安全與國家主權(quán)、網(wǎng)絡(luò)安全與國家安全、網(wǎng)絡(luò)安全與人民、網(wǎng)絡(luò)安全與法制、網(wǎng)絡(luò)安全與信息化發(fā)展、網(wǎng)絡(luò)安全與國際社會都做出重要指示。2015年以來，我國關(guān)于網(wǎng)絡(luò)安全已頒布或印發(fā)190項法律法規(guī)和政策要求，與通信相關(guān)的有40余項。2016年11月7日，全國人民代表大會常務(wù)委員會正式頒布《中華人民共和國網(wǎng)絡(luò)安全法》。自2017年6月1日起施行，明確提出我國要實行網(wǎng)絡(luò)安全等級保護制度，等級保護已經(jīng)上升到法律層面。2019年5月，《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》以及《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護設(shè)計要求》標準正式發(fā)布，要求2019年12月1日起施行，標志我國網(wǎng)絡(luò)安全等級保護制度已經(jīng)邁入全新的2.0階段，著重于積極防御、動態(tài)防御、精準防護和整體防控，是網(wǎng)絡(luò)安全的新發(fā)展。

2.2 等級保護2.0的核心變化

通過對比等級保護1.0與等級保護2.0的相關(guān)標準，包括基本要求、測評要求、設(shè)計技術(shù)要求，等級保護2.0在制度地位上明確提升，有31條規(guī)定：國家對關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護；2.0標準在保護對象上進一步豐富和完善，要求更加適應(yīng)新形勢；2.0標準更加強調(diào)未知威脅檢測能力，強調(diào)安全檢測能力和安全響應(yīng)能力的建設(shè)；2.0標準在政策體系上也做出進一步細化完善，配套管理規(guī)范、實施細則正在陸續(xù)出臺，體現(xiàn)了動態(tài)的、積極防御的安全理念；2.0標準也進一步提升了適用性和可操作性，核心標準全部修訂、測評要求細化、充分考慮可操作性。

等級保護2.0標準新增或修訂了以下四部分。

2.2.1 保護對象更加全面

首先，從等級保護1.0標準《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》和等級保護2.0標準《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》的名稱來看，不難發(fā)現(xiàn)1.0中保護對象為信息系統(tǒng)，而2.0中已變?yōu)榫W(wǎng)絡(luò)安全系統(tǒng)，涵蓋面更全。等級保護2.0要求內(nèi)容簡要如表1。

表1 等級保護2.0要求簡圖

其次，從技術(shù)發(fā)展來看，等級保護2.0中為了適應(yīng)云計算技術(shù)、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制、移動互聯(lián)網(wǎng)的發(fā)展，不斷擴大等級保護對象的外延，將云計算、大數(shù)據(jù)等納入到保護范圍內(nèi)。等級保護2.0要求中對新納入范圍的保護對象分級闡述，并對應(yīng)用場景進行說明，新的信息技術(shù)催生新的安全技術(shù)。

2.2.2 安全要求更加豐富

安全技術(shù)指標由原來的五個層面調(diào)整為物理與環(huán)境安全、網(wǎng)絡(luò)與通信安全、設(shè)備和技術(shù)安全、應(yīng)用和數(shù)據(jù)安全四個層面，安全管理指標由原來的五個層面調(diào)整為安全策略與管理制度、安全管理機構(gòu)和人員、安全建設(shè)管理、安全運維管理四個層面。各個層面的控制點和指標項均進行了相應(yīng)的調(diào)整，結(jié)構(gòu)清晰合理，體系更加完善。

等級保護2.0要求中增加了安全擴展要求。安全擴展要求是針對特殊對象的個性化要求，包括新納入范圍的云計算、物聯(lián)網(wǎng)等的安全要求。如移動互聯(lián)網(wǎng)一般從結(jié)構(gòu)上分為移動終端、無線通道、接入設(shè)備及服務(wù)器層，2.0標準中移動互聯(lián)網(wǎng)安全擴展要求主要針對移動終端、移動應(yīng)用和無線接入網(wǎng)部分提出特殊安全要求，通過安全通用要求和安全擴展要求構(gòu)成系統(tǒng)的整體安全防護。

2.2.3 控制措施更加嚴密

等級保護2.0的管理策略為：明確定級、增強保護、常態(tài)監(jiān)督。根據(jù)定取等級對應(yīng)相應(yīng)的測評周期，二級信息系統(tǒng)每兩年測評一次，三級以上定級對象要求每年至少開展一次測評，網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)、評估形成閉環(huán)管理，更有利于發(fā)現(xiàn)問題、優(yōu)化系統(tǒng)。

相較于等級保護1.0要求，等級保護2.0中除規(guī)定的五個基本內(nèi)容外，增加了新的安全要求，包括安全檢測、數(shù)據(jù)防護、風險評估、安全監(jiān)測、通報預警、態(tài)勢感知、應(yīng)急處理等。同時，等級保護2.0將可信驗證列入各級別（一級到四級）和各環(huán)節(jié)的主要功能要求中，建立了信任鏈，保證網(wǎng)絡(luò)系統(tǒng)從軟硬件平臺到操作系統(tǒng)，再到應(yīng)用，一級信任一級，擴展至計算機系統(tǒng)，從而保證計算機系統(tǒng)的可信任。

三、通信系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀分析

通過對通信網(wǎng)絡(luò)安全系統(tǒng)現(xiàn)狀的分析，發(fā)現(xiàn)目前網(wǎng)絡(luò)安全在系統(tǒng)建設(shè)和管理方面存在以下兩方面不足。

3.1 系統(tǒng)建設(shè)方面

3.1.1 現(xiàn)網(wǎng)入侵感知能力不足

無法有效檢測攻擊行為，積極防御能力有待提升；現(xiàn)網(wǎng)存在大量入侵痕跡，內(nèi)網(wǎng)系統(tǒng)存在被植入后門、挖礦軟件、活躍蠕蟲病毒等歷史入侵痕跡，而且被控時間較長，但均無感知。

3.1.2 互聯(lián)網(wǎng)暴露面管控不足

目前網(wǎng)絡(luò)存在私搭亂建VPN，缺乏管理的現(xiàn)象，容易被滲透進入內(nèi)網(wǎng)。由于接入公網(wǎng)的系統(tǒng)逐漸增加，系統(tǒng)開發(fā)人員不同，導致部分暴露面的資產(chǎn)長期無人使用、無人管理、無人維護；安全設(shè)備大多無精細化的策略控制，WAF防火墻等未正確配置策略導致對非法攻擊行為無法及時阻斷。

3.1.3 內(nèi)網(wǎng)安全管理不足

內(nèi)網(wǎng)安全域邊界不清、邊界模糊導致內(nèi)網(wǎng)大量設(shè)備被攻擊；內(nèi)網(wǎng)主機只用相同的賬號口令，容易導致“一臺突破、同網(wǎng)盡失”；運維設(shè)備權(quán)限過大，部分網(wǎng)絡(luò)監(jiān)控、管理終端直接管理核心設(shè)備，容易被控制引發(fā)癱瘓，造成事故。

3.1.4 應(yīng)急處置機制虛設(shè)

檢測能力有待提升，互聯(lián)網(wǎng)暴露資產(chǎn)可被有效控制，監(jiān)測上報率較低；信息上報不及時，不能按照要求及時報送應(yīng)急處置工作情況；存在應(yīng)急預案與執(zhí)行兩張皮現(xiàn)象，內(nèi)網(wǎng)系統(tǒng)被攻陷時未能及時按預案啟動應(yīng)急處置機制。

3.1.5 安全運維管理不足

常見高危漏洞未及時修復，多臺主機仍存在Struts2、WebLogic等中間件高危漏洞，仍存在“永恒之藍”高危漏洞；系統(tǒng)安全配置不當、業(yè)務(wù)邏輯不清晰，日志中賬號口令明文記錄、未授權(quán)訪問等低級錯誤仍大量存在；系統(tǒng)交維存在“空窗期”，部分業(yè)務(wù)系統(tǒng)上線后驗收前并未按要求實施安全管控，存在較大的安全隱患。

3.2 組織人員方面

圖1 云計算應(yīng)用系統(tǒng)架構(gòu)簡圖

在人員結(jié)構(gòu)、能力認證、安全意識方面亟需進一步加強和提升。

目前，安全管理人員多，組織機構(gòu)龐雜；但安全技術(shù)人員少，具有實際運維經(jīng)驗的專業(yè)人員少，其中有安全相關(guān)能力認證的人員更少，在業(yè)務(wù)中斷響應(yīng)和業(yè)務(wù)應(yīng)急處置等技術(shù)能力存在不足；員工安全意識不足，大量重要系統(tǒng)的中間件、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備仍存在使用弱口令或默認口令的現(xiàn)象。

四、新技術(shù)應(yīng)用場景及網(wǎng)絡(luò)安全需求

4.1 云計算技術(shù)應(yīng)用場景

圖2 大數(shù)據(jù)系統(tǒng)架構(gòu)簡圖

云計算技術(shù)通過互聯(lián)網(wǎng)實現(xiàn)彈性可伸縮的按需服務(wù)、泛在接入、多租戶、可度量的特征。隨著云計算技術(shù)的成熟及應(yīng)用的普及，云計算安全成為制約云計算發(fā)展的重要因素之一。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心《2019年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢》統(tǒng)計，云平臺成為發(fā)生網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)。

云計算技術(shù)應(yīng)用如圖1，通常分為基礎(chǔ)設(shè)施層（IAAS）、平臺層（PAAS）及應(yīng)用層（SAAS）三層。在云計算應(yīng)用的不同模式中，提供商和租戶對計算資源有著不同的控制范圍，也相應(yīng)決定了不同角色的安全責任邊界。在提供IAAS層服務(wù)時，云計算平臺由基礎(chǔ)設(shè)施、資源管控層和虛擬化層組成；在提供PAAS層服務(wù)時，云計算平臺由基礎(chǔ)設(shè)施、資源管控層、虛擬化層和平臺能力層組成；在提供SAAS層服務(wù)時，云計算平臺由基礎(chǔ)設(shè)施、資源管控層、虛擬化層、平臺能力層和應(yīng)用層組成。

圖3 物聯(lián)網(wǎng)系統(tǒng)架構(gòu)簡圖

等級保護2.0中云計算部分主要考慮基礎(chǔ)設(shè)施和虛擬化層以及相關(guān)組件的安全。對于物理環(huán)境安全，等級保護重點在于基礎(chǔ)設(shè)施的物理安全及計算/存儲資源的跨境問題，要求全部基礎(chǔ)設(shè)施應(yīng)位于中國境內(nèi)。

4.2 大數(shù)據(jù)應(yīng)用場景

大數(shù)據(jù)以其數(shù)據(jù)5V（數(shù)據(jù)量大、種類繁多、價值高、數(shù)據(jù)增長快、數(shù)據(jù)質(zhì)量可信賴）特點，一旦遭到破壞、泄露或篡改就會嚴重威脅國家安全、社會秩序以及公共利益。大數(shù)據(jù)安全保護原則以數(shù)據(jù)為核心，關(guān)注數(shù)據(jù)的全生命周期安全，即從數(shù)據(jù)采集、到數(shù)據(jù)應(yīng)用的安全。其中通信用戶的數(shù)據(jù)又占有較大的比例，具有較高的價值。

大數(shù)據(jù)應(yīng)用如圖2，通常是由大數(shù)據(jù)平臺實現(xiàn)，大數(shù)據(jù)平臺為應(yīng)用提供數(shù)據(jù)資源、數(shù)據(jù)分析和服務(wù)支撐，包括數(shù)據(jù)采集層、數(shù)據(jù)分析層和數(shù)據(jù)應(yīng)用層，通過對數(shù)據(jù)的采集、處理、存儲、分析、展示等，為數(shù)據(jù)創(chuàng)造價值。

等級保護2.0中，大數(shù)據(jù)應(yīng)用擴展要求中重點考慮基礎(chǔ)設(shè)施、數(shù)據(jù)安全以及數(shù)據(jù)相關(guān)功能/組件的安全。對于物理環(huán)境安全、網(wǎng)絡(luò)通信安全以及計算環(huán)境安全均有明確規(guī)定。

4.3 物聯(lián)網(wǎng)應(yīng)用場景

簡單來說，物聯(lián)網(wǎng)系統(tǒng)的技術(shù)架構(gòu)如圖3，就是由感知層、網(wǎng)絡(luò)層傳輸、應(yīng)用層構(gòu)成。其中感知層包括傳感器節(jié)點和傳感網(wǎng)關(guān)節(jié)點或由RFID標簽和RFID讀寫器構(gòu)成的RFID系統(tǒng)；網(wǎng)絡(luò)傳輸層包括將感知數(shù)據(jù)遠距離傳輸?shù)教幚碇行牡木W(wǎng)絡(luò)，包括電信網(wǎng)、互聯(lián)網(wǎng)、移動通信網(wǎng)等；應(yīng)用層包括對感知數(shù)據(jù)進行存儲和智能處理的平臺，并對業(yè)務(wù)應(yīng)用終端提供服務(wù)。

感知層主要用于識別物體和采集信息，是物聯(lián)網(wǎng)的關(guān)鍵，是等級保護2.0標準中的關(guān)注重點。在測評中，重點關(guān)注感知層的節(jié)點設(shè)備和網(wǎng)關(guān)節(jié)點設(shè)備安全。

對于物理環(huán)境安全、網(wǎng)絡(luò)通訊安全、區(qū)域邊界安全、計算環(huán)境安全方面，等級保護2.0要求中均做出擴展要求。

4.4 移動互聯(lián)網(wǎng)應(yīng)用場景

移動互聯(lián)網(wǎng)指移動終端通過無線通道接入的應(yīng)用模式。移動互聯(lián)網(wǎng)的主要結(jié)構(gòu)由移動終端、無線網(wǎng)絡(luò)和應(yīng)用接入三部分組成。移動終端通過無線通道連接無線接入設(shè)備，無線接入網(wǎng)關(guān)通過訪問控制策略限制移動終端的訪問行為，后臺的管理系統(tǒng)負責對其管理，包括向客戶端軟件發(fā)送移動設(shè)備管理、移動應(yīng)用管理和移動內(nèi)容管理策略等。

等級保護中移動互聯(lián)網(wǎng)部分重點考慮移動終端、無線接入網(wǎng)關(guān)以及相關(guān)的設(shè)備安全。

4.5 5G業(yè)務(wù)應(yīng)用場景

5G將全面構(gòu)筑經(jīng)濟社會發(fā)展的關(guān)鍵信息基礎(chǔ)設(shè)施，其安全的重要性顯著提升，5G的發(fā)展已被提升至國家安全戰(zhàn)略層面。各國紛紛將5G安全定位為發(fā)展的重點。

5G網(wǎng)絡(luò)中有五大關(guān)鍵技術(shù)引入，帶來新的風險與挑戰(zhàn)：網(wǎng)絡(luò)功能虛擬化（NFV）將實體網(wǎng)元變?yōu)樘摂M化軟件，物理資源共享，導致設(shè)備安全邊界模糊；邊緣計算（MEC）導致信息內(nèi)容檢測和溯源難度增大；網(wǎng)絡(luò)開放能力導致開放端口成為數(shù)據(jù)泄漏的脆弱點；網(wǎng)絡(luò)切片技術(shù)使新業(yè)務(wù)場景下安全責任歸屬問題不明晰；異構(gòu)接入和多終端形態(tài)的安全能力差異大，容易成為新的攻擊目標。

等級保護2.0中沒有對5G業(yè)務(wù)的安全保護做出要求，針對其技術(shù)特點，可在切片安全控制、自動化運維安全增加保護，保障網(wǎng)絡(luò)通訊安全及物理環(huán)境安全。同時針對邊緣數(shù)據(jù)要防篡改、防泄漏，保障報賬計算環(huán)境安全，為5G業(yè)務(wù)的發(fā)展保駕護航。

五、等級保護2.0下的通信網(wǎng)絡(luò)安全體系

通信網(wǎng)絡(luò)安全體系的整體安全框架以國家政策法規(guī)為背景，遵循等級保護2.0要求，結(jié)合IPDDR架構(gòu)設(shè)計。通信網(wǎng)絡(luò)安全體系按要求設(shè)計安全管理、安全技術(shù)以及安全運維三大安全體系來打造更加智能的自適應(yīng)技術(shù)體系，以實現(xiàn)等級保護2.0要求中的安全管理中心和安全通信網(wǎng)絡(luò)、區(qū)域邊界、計算物理環(huán)境的防護。

根據(jù)等級保護定級規(guī)定，通信行業(yè)應(yīng)將等級保護定為三級，要求系統(tǒng)上線后，進入運營期，需要建立安全運維的長效機制；對異常事件能夠快速發(fā)現(xiàn)及處置，減少損失、降低不良影響；滿足網(wǎng)信辦、公安及上級主管部門定期檢查和測評的安全要求。

5.1 安全管理體系

安全不僅僅是技術(shù)問題，更是管理層面的問題，建立良性的管理體系尤為必要。

建立安全管理體系：建議完善安全管理工作的管理制度，解決移動通信網(wǎng)的人員管理問題。

首先，對管理部門和崗位進行劃分，明確職責；其次，定義管理人員的工作職責、分工和技能要求；再次，配備安全管理的技術(shù)專職人員，要求有相應(yīng)崗位職責的認證資格，專職技術(shù)人員能夠獨立處理緊急事件，真正形成“小管理、大技術(shù)”的安全管理團隊；第四，制定、實施安全檢查，形成常態(tài)化工作。匯總安全檢查數(shù)據(jù)，形成安全檢查報告，對安全檢查結(jié)果進行通報。

提高安全崗位人員能力及意識：制定安全技能培訓、安全意識教育等計劃，有效提升安全崗位人員的專業(yè)技能及安全意識。針對調(diào)離人員及時終止權(quán)限，嚴格辦理調(diào)離手續(xù)，同時應(yīng)對外協(xié)人員進行有效管理。安全管理人員的團隊建設(shè)將直接影響安全體系的安全系數(shù)。

建立安全管理生態(tài)：安全管理生態(tài)指貫穿到安全系統(tǒng)的全生命周期管理，在系統(tǒng)立項、方案設(shè)計、建設(shè)、定級與備案、驗收與測試、交付與測評、運維管理均需要安全管理人員參與進行安全管理。

5.2 技術(shù)支撐體系

5.2.1 安全區(qū)域邊界劃分

安全區(qū)域邊界劃分主要有5個控制點，包括邊界防護、訪問控制、入侵防范、惡意代碼/垃圾郵件防范、安全審計。

邊界防護：要求項包括受控接口通信、入網(wǎng)檢查或限制、外聯(lián)檢查或限制及無線網(wǎng)絡(luò)受控接入，主要解決方式是通過部署防火墻、網(wǎng)閘以及邊界設(shè)備策略解決不同安全域之間訪問與邏輯隔離；通過部署網(wǎng)絡(luò)準入系統(tǒng)，針對終端的違規(guī)接入和非法外聯(lián)進行管控；通過部署無線接入網(wǎng)關(guān)解決無線網(wǎng)絡(luò)受控接入。某省根據(jù)安全域邊界劃分明確的要求進行DMZ區(qū)域劃分，解決安裝防火墻后外部網(wǎng)絡(luò)的訪問用戶不能到訪內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，更加有效地保護了內(nèi)部網(wǎng)絡(luò)，使不同功能的網(wǎng)絡(luò)邊界更加明晰。

訪問控制：要求項包括訪問控制策略、訪問控制規(guī)則精簡優(yōu)化、基于會話的訪問控制以及應(yīng)用層訪問控制。通過訪問控制規(guī)則實現(xiàn)安全傳輸。基于對數(shù)據(jù)包的源地址、目的地址、源端口、目的端口，請求服務(wù)器進行檢查，以實現(xiàn)數(shù)據(jù)的安全傳輸。

入侵防范：要求項包括檢測、防止或限制內(nèi)外發(fā)起的網(wǎng)絡(luò)攻擊；檢測和分析新型攻擊以及發(fā)現(xiàn)時記錄和報警。主要通過部署入侵防御系統(tǒng)、抗DDOS攻擊系統(tǒng)、抗ATP攻擊系統(tǒng)等對惡意軟件入侵進行發(fā)現(xiàn)、記錄并報警。某省通過安全態(tài)勢感知平臺可實現(xiàn)內(nèi)外部威脅、異常行為威脅，進行檢測分析和趨勢分析，并及時預警、輸出。

惡意代碼和垃圾郵件防范：要求項包括網(wǎng)絡(luò)惡意代碼檢測和清除、惡意代碼庫升級、垃圾郵件檢測和清除、垃圾郵件規(guī)則庫升級，主要通過防病毒網(wǎng)關(guān)及病毒庫對網(wǎng)絡(luò)中的木馬、病毒進行檢測、告警和阻斷；防垃圾郵件網(wǎng)關(guān)對垃圾郵件進行有效防范。

安全審計：要求項包括全用戶審計和重要審計、審計記錄項、審計記錄備份和保護以及遠程訪問和訪問互聯(lián)網(wǎng)單獨審計，主要通過部署網(wǎng)絡(luò)審計系統(tǒng)、上網(wǎng)行為管理系統(tǒng)及在網(wǎng)絡(luò)核心放置堡壘機來對運維人員遠程運維設(shè)備時，進行操作記錄、分析、審計，為溯源提供依據(jù)。

5.2.2 安全通信網(wǎng)絡(luò)

安全通信網(wǎng)絡(luò)的主要控制點有3個，包括網(wǎng)絡(luò)架構(gòu)、通信傳輸以及可信驗證，網(wǎng)絡(luò)拓撲如圖4。

網(wǎng)絡(luò)架構(gòu)：要求項包括設(shè)備處理能力、網(wǎng)絡(luò)帶寬滿足業(yè)務(wù)要求；安全域劃分，重要區(qū)域的位置和保護以及可用性冗余。通過防火墻或網(wǎng)閘的設(shè)置，實現(xiàn)安全區(qū)域的劃分，合理劃分安全域，不同域之間進行有效安全隔離；關(guān)鍵網(wǎng)絡(luò)設(shè)備和計算設(shè)備采用冗余設(shè)計，保證系統(tǒng)有效運行。

通信傳輸：要求項包括傳輸數(shù)據(jù)完整性和保密性，主要通過IPSec VPN、SSL VPN及應(yīng)用安全網(wǎng)關(guān)實現(xiàn)。

可信驗證：要求項包括通信設(shè)備及應(yīng)用程序可信驗證、破壞報警和審計記錄外發(fā)，通過集中審計系統(tǒng)得以實現(xiàn)。

5.2.3 安全管理中心

安全管理中心的控制點有4個，包括系統(tǒng)管理、審計管理、安全管理以及集中管理。

圖4 典型網(wǎng)絡(luò)拓撲圖

系統(tǒng)管理：通過部署安全管理平臺，對登錄系統(tǒng)的管理員進行身份鑒別，系統(tǒng)配有三員角色，要求三員分離，即系統(tǒng)管理員、安全管理員和審計管理員分離。系統(tǒng)管理員對系統(tǒng)參數(shù)、配置、啟動、修改、加載等配置有授權(quán)權(quán)限，可以進行統(tǒng)一配置管理。

審計管理：審計管理員通過認證登錄管理平臺，有權(quán)限對系統(tǒng)的操作日志、告警日志進行分析、統(tǒng)計。

安全管理：安全管理員通過認證登錄管理平臺，有權(quán)限對安全策略下發(fā)、配置、修改、訪問控制、授權(quán)等統(tǒng)一配置管理。

集中管理：要求項包括特定的管理區(qū)域、管理數(shù)據(jù)的安全傳輸、全面的集中監(jiān)控、審計數(shù)據(jù)匯總和集中分析、安全策略、惡意代碼、補丁升級等集中管理以及安全事件識別、報警和分析。通過安全域劃分、策略集中管理等手段，安全管理平臺對所有安全系統(tǒng)的統(tǒng)一納管，實現(xiàn)對整體安全態(tài)勢的集中化展現(xiàn)，有效提高網(wǎng)絡(luò)安全整體防護水平。

5.3 安全運維體系

安全運維體系遵循ITIL、ISO系列標準，參考SOA架構(gòu)，建設(shè)貫穿安全運維全生命周期的管理辦法、標準、模式、管理對象以及基于流程管理的安全運維體系。建立基于現(xiàn)網(wǎng)的網(wǎng)絡(luò)安全系統(tǒng)煙囪式架構(gòu)：首先，對系統(tǒng)功能進行梳理并整合；其次，建立安全資產(chǎn)管理平臺，對資產(chǎn)進行信息管理、發(fā)現(xiàn)管理、脆弱性管理，同時可對資產(chǎn)進行展示及分析，能夠全面、直觀對全網(wǎng)安全資產(chǎn)進行閉環(huán)管理。安全運維體系能夠?qū)崿F(xiàn)安全策略管理、組織管理、運維管理，是技術(shù)體系的核心和樞紐。

安全運維體系能夠通過平臺實現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全管理、密碼管理、備份與恢復、應(yīng)急預案管理、漏洞和風險管理、惡意代碼防范、配置管理、安全事件處置、機房安全管理等功能。

安全運維體系是安全系統(tǒng)的重要組成部分，對保證網(wǎng)絡(luò)安全、提升系統(tǒng)效能、優(yōu)化系統(tǒng)流程起到必要的核心作用。

六、總結(jié)

等級保護2.0標準在云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制、移動互聯(lián)網(wǎng)等新的應(yīng)用環(huán)境均提供了建設(shè)標準及指導意見，本文從等級保護2.0標準入手，結(jié)合移動通信網(wǎng)網(wǎng)絡(luò)安全的現(xiàn)狀，以等級保護2.0標準為基準要求，提出構(gòu)建網(wǎng)絡(luò)安全體系架構(gòu)的建設(shè)思路，提升整體網(wǎng)絡(luò)安全的綜合防護能力，做到事前可預測、事發(fā)可管控、事后應(yīng)急并實時取證審計，切實保障網(wǎng)絡(luò)、用戶數(shù)據(jù)和業(yè)務(wù)的安全性，做清朗網(wǎng)絡(luò)空間的守護者。■