基于等級保護2．0的安全通用技術設計研究

黃海 陳章芬

摘要：文章從等級保護測評要求出發(fā)，介紹了網(wǎng)絡安全等級保護制度2.0標準下的安全通用技術設計思路，即等級保護對象在系統(tǒng)設計之初應考慮的安全通用技術關鍵點及問題。利用該設計思路可有效避免或減少信息系統(tǒng)上線后的各類網(wǎng)絡安全問題，節(jié)約后期網(wǎng)絡安全問題整改投入。

關鍵詞：等級保護2.0;安全技術;設計

中圖法分類號：TP393文獻標識碼：A

Research on security general technology design based on level protection 2.0

HUANG Hai，CHEN Zhangfen

（Fujian Branch of National Computer Network Emergency Response TechnicalTeam/Coordination Center of China，F(xiàn)uzhou，China，350025）

Abstract：This paper introduces the design idea of general security technology under the network security level protection 2.0 standard based on the requirements of hierarchical protection，that is， the key points and problems of security general technology that should be considered at the beginning of system design. The design idea will effectively avoid or reduce various network security problems after application of information system， and save the investment in the rectification of network security problems in the later stage.

Key words： network security level protection 2.0 standard， security technology，design

近年來，信息技術和網(wǎng)絡技術高速發(fā)展，一方面極大提高了人民群眾的生活水平，另一方面給網(wǎng)絡空間安全帶來愈發(fā)嚴峻的挑戰(zhàn)。國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心（“CNCERT”或“CNCERT/CC”）發(fā)布的《2021年上半年我國互聯(lián)網(wǎng)網(wǎng)絡安全監(jiān)測數(shù)據(jù)分析報告》顯示，僅2021年上半年，國內(nèi)累計捕獲惡意程序樣本約2，307萬個，日均傳播次數(shù)達582萬余次;累計約1.8萬起重要信息系統(tǒng)的網(wǎng)絡安全漏洞事件受到國家信息安全漏洞共享平臺（CNVD）驗證及處置 [1]。關鍵信息系統(tǒng)遭受攻擊甚至破壞，都將損害公民個人及企事業(yè)單位的權益，甚至會導致社會秩序、國家安全遭受威脅，因此提高我國信息安全保障能力勢在必行。2017年，《中華人民共和國網(wǎng)絡安全法》明確規(guī)定我國實行網(wǎng)絡安全等級保護制度;2021年，《關鍵信息基礎設施安全保護條例》要求關鍵信息基礎設施運營者須在網(wǎng)絡安全等級保護的基礎上采取必要措施，以應對網(wǎng)絡安全事件。

1? 網(wǎng)絡安全等級保護的發(fā)展

1994年，《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院147號令）頒布，這是我國首部為網(wǎng)絡安全等級保護實施提供依據(jù)的法律。2017年 5月，相關部門發(fā)布《GA/T1389—2017網(wǎng)絡安全等級保護定級指南》等4 個公共安全行業(yè)等級保護標準[2]。 2019年 5月，網(wǎng)絡安全等級保護制度2.0國家標準正式發(fā)布，該制度的主要內(nèi)容包括《信息安全技術網(wǎng)絡安全等級保護基本要求》《信息安全技術網(wǎng)絡安全等級保護測評要求》和《信息安全技術網(wǎng)絡安全等級保護安全設計技術要求》等三個核心標準[3]。

2? 安全通用技術要求

《網(wǎng)絡安全等級保護基本要求》《網(wǎng)絡安全等級保護測評要求》和《網(wǎng)絡安全等級保護安全設計技術要求》均從安全通用、安全擴展兩個方面規(guī)定了技術要求及設計規(guī)范。其中，安全通用要求是針對共性化保護需求提出的[4] ，主要分為技術要求和管理要求兩方面。本文重點介紹的技術要求主要包括安全物理環(huán)境及系統(tǒng)安全保護環(huán)境，其中系統(tǒng)安全保護環(huán)境則由“安全通信網(wǎng)絡”“安全區(qū)域邊界”“安全計算環(huán)境”和“安全管理中心”組成[5]。

2.1? 安全物理環(huán)境

等級保護制度對等級保護對象的機房樓選址、機房配套和動力環(huán)境運維等方面提出要求。

（1）物理位置選擇時，應將機房設在具備多路電力供應、無內(nèi)澇現(xiàn)象的區(qū)域內(nèi)，避開強電磁場、有害氣體源以及存放易燃易爆物品的危險地帶。

（2）物理訪問控制設計時，應根據(jù)重要程度對機房進行區(qū)域隔離，部署門禁系統(tǒng)實現(xiàn)授權管理和身份鑒別。

（3）防盜竊和防破壞設計時，應在主要通道、重要區(qū)域部署視頻監(jiān)控系統(tǒng)、防盜報警系統(tǒng)。

（4）防雷擊設計時，應在機柜內(nèi)部署安全接地系統(tǒng)，使用專用地線或交流地線接地;在配電柜內(nèi)配備防雷保安器、過壓保護器等防感應雷設備。

（5）防火設計時，應在機柜內(nèi)部署極早期火災探測及氣體消防系統(tǒng)，確保第一時間發(fā)現(xiàn)并消除火情。

（6）防水和防潮設計時，應在空調(diào)系統(tǒng)進出水管處部署水浸報警系統(tǒng)，實時監(jiān)測空調(diào)漏水、結(jié)露滲水等情況。

（7）防靜電設計時，應在機房內(nèi)安裝防靜電地板，日常運維時應采取使用防靜電工作臺、佩戴防靜電手環(huán)等措施。

（8）溫濕度控制設計時，應配備空調(diào)系統(tǒng)對機房內(nèi)溫濕度進行控制，確保其運行在許可范圍內(nèi)，對于重點區(qū)域應設置備份系統(tǒng)。

（9）電力供應設計時，應配備 UPS 不間斷供電系統(tǒng)和油機發(fā)電設備，確保在市電中斷情況下，信息系統(tǒng)仍能維持運行。

（10）電磁防護設計時，應參照電磁防護標準進行綜合布線，關鍵設備及區(qū)域應使用屏蔽機柜或屏蔽機房。

2.2? 安全通信網(wǎng)絡

等級保護制度對等級保護對象提出網(wǎng)絡架構(gòu)、通信傳輸、可信驗證等方面的要求[6]。

（1）網(wǎng)絡架構(gòu)是實現(xiàn)網(wǎng)絡安全的前提和基礎，等級保護對象設計時應分析業(yè)務需求、劃分網(wǎng)絡安全域，并據(jù)此細化網(wǎng)絡架構(gòu)，將等級保護對象的安全問題分解至各子區(qū)域，使有限的資金可以投入更有需求的區(qū)域。

（2）通信網(wǎng)絡的性質(zhì)是開放的、公共的，因此傳輸過程中可能存在中斷、復制、偽造和竊聽等情況。等級保護對象設計時應在互聯(lián)網(wǎng)出口處部署 VPN 等設備，利用其隧道技術、加解密技術等手段來保證傳輸過程中數(shù)據(jù)的完整性和保密性。

（3）通信網(wǎng)絡可信驗證實現(xiàn)內(nèi)部網(wǎng)絡的接入控制和外部網(wǎng)絡訪問限制。對于內(nèi)部網(wǎng)絡接入，等級保護對象設計時應采用 IP/MAC/VLAN/端口綁定、禁用閑置端口等方式限制未授權人員接入內(nèi)部網(wǎng)絡;對于外部網(wǎng)絡訪問，等級保護對象設計時應在邊界設備上配置訪問控制策略來限制外部未授權設備訪問。

2.3? 安全區(qū)域邊界

等級保護制度對等級保護對象提出了邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計等方面的要求。

（1）邊界防護負責監(jiān)視和控制不同層級網(wǎng)絡間的數(shù)據(jù)交換。等級保護對象設計時應在終端接入域部署終端接入控制系統(tǒng)，通過進行 IP/MAC/VLAN/端口綁定、禁用閑置端口等措施阻止非授權設備連接到內(nèi)部網(wǎng)絡。此外，應部署違規(guī)外聯(lián)監(jiān)測系統(tǒng)用以監(jiān)控內(nèi)部網(wǎng)絡終端行為，對涉嫌違規(guī)外聯(lián)的行為進行阻斷和報警。

（2）區(qū)域邊界訪問控制利用區(qū)域邊界安全設備的訪問控制功能實現(xiàn)各網(wǎng)絡安全域間的數(shù)據(jù)控制。等級保護對象設計時應分析各網(wǎng)絡安全域之間的業(yè)務需求，制定訪問控制策略，在邊界安全設備上通過校驗地址、端口、協(xié)議的方式過濾流經(jīng)數(shù)據(jù)包，杜絕越權訪問和非法攻擊行為。

（3）區(qū)域邊界入侵防范是防御網(wǎng)絡攻擊的重要措施。等級保護對象設計時應根據(jù)各業(yè)務域的業(yè)務特性，在網(wǎng)絡域邊界處配置防火墻、入侵檢測系統(tǒng)（IDS） 和入侵防御系統(tǒng)（ IPS）等防范設備，實現(xiàn)對內(nèi)外部網(wǎng)絡攻擊的檢測和防控功能，并記錄攻擊源信息形成可審計日志。

（4）惡意代碼通過網(wǎng)頁、郵件等介質(zhì)進行傳播，可對信息系統(tǒng)完整性造成嚴重破壞。等級保護對象設計時，應在外聯(lián)域邊界部署惡意代碼防范設備，配置惡意代碼特征庫來實現(xiàn)惡意代碼防范;在郵件域邊界部署防垃圾郵件網(wǎng)關，用以防止計算機病毒、木馬、蠕蟲和邏輯炸彈的攻擊以及通過郵件進入網(wǎng)絡。

（5）區(qū)域邊界安全審計可通過整合網(wǎng)絡邊界設備和重要網(wǎng)絡節(jié)點的審計功能實現(xiàn)。等級保護對象設計時應設立區(qū)域邊界審計機制，規(guī)定日志規(guī)格及調(diào)用接口，通過安全管理中心集中整合區(qū)域邊界上網(wǎng)絡設備和安全設備的審計日志，對危及區(qū)域邊界的行為進行關聯(lián)分析、記錄審計及實時報警。

2.4? 安全計算環(huán)境

等級保護制度對等級保護對象提出了身份鑒別、計算環(huán)境訪問控制、計算環(huán)境安全審計、計算環(huán)境可信驗證、計算環(huán)境入侵防范和惡意代碼防范、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份與恢復、剩余信息保護和個人信息保護等方面的要求。

（1）身份鑒別是提高信息系統(tǒng)網(wǎng)絡安全保護最基本、最關鍵的手段。等級保護對象設計時應在操作系統(tǒng)及應用系統(tǒng)層面設定唯一用戶身份標識，同時可通過部署公鑰基礎設施或終端接入控制系統(tǒng)等形式實現(xiàn)雙因子認證。此外，設置鑒別策略時應對鑒別失敗、超過空閑操作規(guī)定時長等情況采取必要的加固措施。

（2）計算環(huán)境訪問控制通過自主訪問控制和強制訪問控制實現(xiàn)對資源的管理。自主訪問控制為資源所有者對資源所具有的最高操作權限，屬主可自行決定是否將自己的客體訪問權或部分訪問權授予其他用戶，等級保護對象設計時可通過操作系統(tǒng)自帶的訪問控制功能來操控資源的讀、寫、運行;強制訪問控制即通過身份鑒別和權限控制來判定用戶對資源的操作權限等級，等級保護對象設計時可利用操作系統(tǒng)本身或應用系統(tǒng)的訪問控制功能進行用戶授權，從而實現(xiàn)強制訪問控制。

（3）計算環(huán)境安全審計通過整合計算環(huán)境內(nèi)業(yè)務終端、服務器、數(shù)據(jù)庫等信息系統(tǒng)部件的操作記錄實現(xiàn)。等級保護對象設計時應在信息系統(tǒng)中合理規(guī)劃審計功能，規(guī)范日志格式，統(tǒng)一調(diào)用接口，收集記錄運維操作、終端操作、數(shù)據(jù)庫操作、應用實用以及安全時間的相關審計日志。安全管理中心對審計日志進行匯總管理，并在發(fā)生安全事件時發(fā)出報警。

（4）計算環(huán)境可信驗證即通過配置基于可信根的各類引導程序、系統(tǒng)程序、配置參數(shù)等安全組件杜絕引導安裝過程、執(zhí)行過程中可能發(fā)生的安全防護問題。等級保護對象設計時應部署由可信安全管理平臺、可信終端軟件、可信軟件庫、可信芯片組成的免疫保護平臺，統(tǒng)一管理所有終端的操作系統(tǒng)、系統(tǒng)環(huán)境、安全軟件及業(yè)務應用，阻止未授權及不符合預期的執(zhí)行程序運行。

（5）計算環(huán)境入侵防范是識別入侵、免疫病毒的重要手段。等級保護對象設計時應在所有終端安裝網(wǎng)絡版防病毒軟件，并遵循最小安裝原則，關閉不必要服務及高危端口，構(gòu)建起最基本的病毒防線。針對計算環(huán)境惡意代碼防范，等級保護對象設計時應在信息系統(tǒng)上部署免疫保護平臺，利用可行計算校驗機制僅允許操作系統(tǒng)完整性安裝可信軟件，阻止未授權及不符合預期的執(zhí)行程序運行。

（6）數(shù)據(jù)完整性指傳輸和存儲的數(shù)據(jù)沒有被非法修改或刪除，其安全需求與數(shù)據(jù)所處的位置、類型、數(shù)量和價值有關。等級保護對象設計時應根據(jù)信息系統(tǒng)的重要性采用數(shù)據(jù)校驗技術、數(shù)字簽名技術等校驗、密碼保密等技術保證傳輸過程中的數(shù)據(jù)完整性。

（7）數(shù)據(jù)保密性主要考慮防止信息被未經(jīng)授權者訪問、防止信息在傳遞過程中被截獲解密，具體可分為動態(tài)信息保密性和靜態(tài)信息保密性。在動態(tài)數(shù)據(jù)保密性方面，等級保護對象設計時應部署 VPN 或其他密碼設備來實現(xiàn)數(shù)據(jù)傳輸過程中的保密性防護;在靜態(tài)數(shù)據(jù)保密性方面，等級保護對象設計時應通過密碼加密技術實現(xiàn)數(shù)據(jù)存儲過程中的保密性防護。

（8）數(shù)據(jù)備份與恢復是避免數(shù)據(jù)丟失的重要手段，組織的信息化程度越高，越應重視數(shù)據(jù)備份和恢復。等級保護對象設計時應根據(jù)信息系統(tǒng)重要性設置完全備份、差異備份、增量備份等備份策略;應建設異地機房對重要數(shù)據(jù)進行備份，并對其信息系統(tǒng)設置熱冗余機制。

（9）剩余信息保護指的是在存儲空間被釋放或重新分配前，相關的重要數(shù)據(jù)需要得到徹底清除，同時未授權用戶無法對其進行非法獲取。等級保護對象設計時應在操作系統(tǒng)和業(yè)務應用中建立相關保護機制，確保存儲空間被釋放或重新分配之前實現(xiàn)資源完全清除，且該過程中資源無法被其他用戶或業(yè)務應用調(diào)用。

（10）根據(jù)《網(wǎng)絡安全法》相關規(guī)定，信息系統(tǒng)應當僅采集和保存必需的用戶個人信息，禁止采集與業(yè)務無關的個人信息。等級保護對象進行個人信息保護時應部署行為管理系統(tǒng)，通過信息系統(tǒng)內(nèi)的訪問控制限制非授權用戶對個人信息的訪問和使用。

2.5? 安全管理中心

等級保護制度對等級保護對象提出集中管控、系統(tǒng)管理、審計管理和安全管理等方面的要求。

（1）安全管理中心通過對安全通信網(wǎng)絡、安全區(qū)域邊界和安全計算環(huán)境的統(tǒng)一管控，建立了集中統(tǒng)一的縱深防御體系。等級保護對象設計時應將安全管理中心部署在單獨的管理域中，集中管控等級保護對象所涉及的通信鏈路、網(wǎng)絡及安全設備、服務器、終端等組件，并對其進行資源管理、運行監(jiān)測、審計日志收集及分析、安全策略分發(fā)、補丁升級等安全操作。

（2）系統(tǒng)管理指系統(tǒng)管理員在安全管理中心運行維護工作的平臺。等級保護對象設計時應部署運維安全管理系統(tǒng)，并將信息系統(tǒng)資源信息納入該系統(tǒng)管理范圍，使系統(tǒng)管理員可以此進行資源配置和管理、系統(tǒng)異常處置、數(shù)據(jù)或設備的備份與恢復。

（3）審計管理指集中管理分布在等級保護對象各處的安全審計機制，通過對審計數(shù)據(jù)進行查詢、統(tǒng)計、分析，實現(xiàn)用戶行為監(jiān)測和危險行為告警的功能。等級保護對象設計時應收集各類日志，包括但不限于網(wǎng)絡設備日志、安全設備日志、業(yè)務應用日志、數(shù)據(jù)庫日志等信息，并由安全管理中心進行集中統(tǒng)一管理。

（4）安全管理是指對信息內(nèi)各類用戶系統(tǒng)進行統(tǒng)一的身份管理、授權管理。等級保護對象設計時應在安全管理中心實現(xiàn)集中賬號管理、集中訪問控制、集中安全審計等功能，并且應單獨部署在運維域，實現(xiàn)和業(yè)務數(shù)據(jù)的隔離。

參考文獻：

[1 ] 國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心.2021年上半年我國互聯(lián)網(wǎng)網(wǎng)絡安全監(jiān)測數(shù)據(jù)分析報告[ R].2021，https：∥ www.cert.org.cn/publish/main/upload/File/first?half%20%20year%20cyberseurity%20report%202021.pdf.

[2] 胡鵬，王暉.基于等級保護2.0的政務信息系統(tǒng)安全保障體系設計思路[ J].辦公自動化，2021，26（4）：15?17.

[3] 郝君婷.等保2.0標準發(fā)布網(wǎng)絡安全呈現(xiàn)新生態(tài)—網(wǎng)絡安全等級保護制度2.0國家標準宣貫會側(cè)記[ J].保密科學技術，2019（7）：8? 11.

[4] GB/T 22239?2019.信息安全技術網(wǎng)絡安全等級保護基本要求[ S].2019.

[5] 馬力，陳廣勇，祝國邦.網(wǎng)絡安全等級保護2.0國家標準解讀[ J].保密科學技術，2019（7）：14?19.

[6] GB/T 22239?2019.網(wǎng)絡安全等級保護測評要求[ S].2019.

作者簡介：

黃海（1994—） ，本科，網(wǎng)絡工程師，研究方向：信息系統(tǒng)建設及維護。

陳章芬（1991— ），碩士，通信工程師，研究方向：信息系統(tǒng)建設及維護。