黃元培

摘 ? 要：為了強化安全體系建設，提升網(wǎng)絡安全，文章對網(wǎng)絡安全等級保護2.0下的安全體系建設進行了研究。首先，結合信息技術的發(fā)展分析了網(wǎng)絡安全等級保護2.0制度的推出背景。其次，對比、分析了網(wǎng)絡安全等級保護1.0、網(wǎng)絡安全等級保護2.0，指出了兩者在保護對象、安全要求等方面的差別。最后，就如何加強安全體系建設提出了4項措施。

關鍵詞：網(wǎng)絡安全等級保護2.0;安全體系;建設

信息時代背景下，各行業(yè)的信息化水平有了大幅度提升，信息系統(tǒng)建設也得到了迅速發(fā)展。但是與此同時，網(wǎng)絡安全問題也日益嚴重。因此，為了進一步適應新的發(fā)展形勢，國家發(fā)布了網(wǎng)絡安全等級保護制度2.0標準。該標準將云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等列入了其中，并提出了構建依托安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理的三重防護體系。在這一背景下，相關單位應當充分依據(jù)等級2.0的要求，重新構建安全體系，從而有效提升網(wǎng)絡安全。

1 ? ?網(wǎng)絡安全等級保護制度2.0的推出背景

隨著信息時代的來臨，網(wǎng)絡信息系統(tǒng)在企業(yè)經(jīng)營、決策、管理等中的應用越來越廣泛。但從實際來看，大部分信息系統(tǒng)采用的是通用網(wǎng)絡協(xié)議、軟硬件設備，很容易出現(xiàn)安全防護不到位、軟件系統(tǒng)代碼缺陷等問題。一旦這些漏洞被攻擊者利用，就會使信息系統(tǒng)處于暴露狀態(tài)，導致網(wǎng)絡信息系統(tǒng)受到攻擊、入侵，出現(xiàn)信息泄露、黑客攻擊等安全問題，從而給企業(yè)帶來經(jīng)濟損失。而網(wǎng)絡安全等級保護條例是國家出臺的有關信息安全保障工作的制度、策略，旨在規(guī)范信息安全保護市場，提升信息安全保護水平。并且該制度還對信息安全產(chǎn)品等級、安全事件等級及其相應的響應及處理方法進行了規(guī)定。我國最早是在1999年提出信息系統(tǒng)安全保護等級標準的，之后又陸續(xù)發(fā)布了很多信息系統(tǒng)安全條例，并在2007年《信息安全等級保護管理辦法》確立等級保護1.0體系。但是近十幾年來，我國信息技術突飛猛進，物聯(lián)網(wǎng)、云計算等新技術逐漸推廣開來，原有的等級保護1.0體系已經(jīng)無法滿足時代發(fā)展的需求。所以，2018年我國正式發(fā)布了網(wǎng)絡安全等級保護制度2.0。

2 ? ?網(wǎng)絡安全等級保護制度2.0的變化

相比于傳統(tǒng)的等級保護制度1.0來說，等級保護制度2.0發(fā)生了以下變化：第一，保護對象范圍擴大。在原有的系統(tǒng)等級測評、建設整改等基礎上，增加了云計算平臺、物聯(lián)網(wǎng)系統(tǒng)、重要信息系統(tǒng)等保護對象。并且還將安全培訓、災難備份、安全監(jiān)測等安全保護措施納入了制度中。第二，安全要求發(fā)生了變化。其安全要求內(nèi)容已經(jīng)細化為安全通用要求、安全擴展要求。如針對云計算、大數(shù)據(jù)等新技術提出了安全擴展要求，并形成了新的要求標準。第三，控制措施分類更精準、更高效。將原來的10類措施精簡為8類措施。第四，標準控制點、要求項發(fā)生了變化?？刂泣c的主要變化是內(nèi)容有所縮減，要求項內(nèi)容有所改變。比如將原來5個規(guī)定動作改成了5個規(guī)定動作+新安全要求?？偟膩碚f，網(wǎng)絡安全等級保護制度2.0更具有適用性、操作性。

3 ? ?網(wǎng)絡安全等級保護2.0下的安全體系建設

3.1 ?傳統(tǒng)安全體系的問題及需求

首先，傳統(tǒng)安全體系的問題主要體現(xiàn)在兩個方面：第一，內(nèi)部問題。如設備無法有效聯(lián)動，基本都是各自為戰(zhàn)，只能進行單點或電線的安全防范，不能進行信息交流、共享，實現(xiàn)聯(lián)動;安全問題預測不及時，通過傳統(tǒng)的信息系統(tǒng)不能及早發(fā)現(xiàn)、預測未知威脅，且不能及時通報風險;安全管控不到位，過于關注信息系統(tǒng)建設，缺乏有效的運營工具、手段，不能及時響應安全系統(tǒng);安全分析不到位，不能追根溯源，及時定位、處理安全事件。第二，外部問題。如云計算、大數(shù)據(jù)等新技術給安全體系帶來新挑戰(zhàn)，傳統(tǒng)安全體系難以應對;普通網(wǎng)絡攻擊已經(jīng)逐漸演變成了組織與國家的對抗，傳統(tǒng)安全體系的適用性不足;傳統(tǒng)的非法入侵、病毒攻擊等攻擊方式演變成了高級威脅、供應鏈攻擊等方式，傳統(tǒng)安全體系根本起不到應有的規(guī)范作用，以致信息系統(tǒng)安全問題頻發(fā)。

其次，新安全體系應當能滿足以下需求：第一，基本需求。即符合《網(wǎng)絡安全法》《等級保護條例》等國家頒布的基本法律法規(guī)。第二，業(yè)務需求。體系應當覆蓋范圍更廣，涉及的設備種類、數(shù)量更多，尤其是可用于安全隱患的保護。第三，發(fā)展需求。安全體系應當具有長效性，可及時應對安全事件，減少安全損失。并且滿足各政府部門的安全要求，能有效推進網(wǎng)絡安全產(chǎn)業(yè)的可持續(xù)發(fā)展[1]。

3.2 ?網(wǎng)絡信任及安全技術體系的建設

首先，就網(wǎng)絡信任體系建設來說，可從以下幾個方面入手：第一，建設證書頒發(fā)機構（Certificate Authority，CA）認證系統(tǒng)，為信息系統(tǒng)的業(yè)務運行提供各種各樣的證書服務，從而提升用戶對安全體系的信任。如提供身份認證、證書生產(chǎn)等服務。第二，在建設CA認證系統(tǒng)的前提下，統(tǒng)一管理用戶信息，并為信息系統(tǒng)等級、網(wǎng)絡接入、業(yè)務系統(tǒng)訪問提供身份認證，從而提升信息系統(tǒng)的安全性。其次，就安全技術體系建設來說，要充分利用安全技術加強安全控制。如為了創(chuàng)建安全計算環(huán)境，在設備安全中應用設備身份識別、上網(wǎng)行為審計、訪問控制、漏洞檢測、安全評估等技術;在業(yè)務安全中應用代碼安全、防篡改、身份識別等技術;在數(shù)據(jù)安全中應用防火墻、數(shù)據(jù)庫審計、數(shù)據(jù)加密、數(shù)據(jù)備份與恢復等安全技術。為了創(chuàng)建安全通信網(wǎng)絡，利用網(wǎng)絡隔離、網(wǎng)絡訪問控制、通信校驗、鏈路加密等安全技術。為了創(chuàng)建網(wǎng)絡安全區(qū)域邊界，應用高級持續(xù)性威脅（Advanced Persistent Threat，APT）檢測、入侵保護、安全審計等安全技術。需要注意的是針對物理環(huán)境安全，應當積極利用防雷、防火、防靜電等方法，提升物理環(huán)境安全[2]。再次，充分利用云計算、大數(shù)據(jù)等信息技術，強化安全技術防護體系。如通過搭建云計算平臺可搭建虛擬的安全防護系統(tǒng)，并實現(xiàn)云環(huán)境下不同信息系統(tǒng)用戶的隔離;通過運用大數(shù)據(jù)技術，可在主客體之間訪問行為、訪問路徑等上運用數(shù)據(jù)加密、訪問控制等安全技術，有效保護數(shù)據(jù)安全。從次，還可運用安全技術進行惡意攻擊行為、威脅行為等的主動監(jiān)測、預判，從而有效解決安全問題無法預測的問題，進一步提升信息系統(tǒng)的安全性。最后，還應創(chuàng)新安全體系建設理念，充分利用先進的新技術、新理念，改進網(wǎng)絡信任與安全技術體系建設策略，切實提升信息系統(tǒng)的安全威脅檢測、響應能力。比如奇安信集團提出了以數(shù)據(jù)驅(qū)動安全的技術理念，充分利用大數(shù)據(jù)技術，危險情報機構搭建集檢測、響應于一體的防御體系。

3.3 ?基本保障體系建設

組織機構、設備、人才等是保證安全體系正常運行的基礎保障。所以，在建設安全體系時應及早完成基本保障體系的建設。

首先，相關組織和單位應結合實際情況，組建專門的安全管理機構，明確機構主要負責人及其他工作人員。同時，還應當制定完善的管理制度、操作規(guī)范、安全管理文件體系，保證安全管理機構能規(guī)范、有序地運行。其次，應當依據(jù)實際需求，定制相應的信息安全系統(tǒng)及軟件，配備計算機、交換機、電纜等設備，并搭建安全態(tài)勢感知、指揮調(diào)度、攻防演練等平臺，為安全體系建設提供基礎的平臺保障。再者，組建專業(yè)的安全管理團隊，并對業(yè)務人員、安全管理人員進行培訓，提升其安全意識、專業(yè)技能?；蛘呤谴罱踩珯z查團隊、應急支撐團隊、技術專家團隊于一體的安全管理團隊體系，保障各項安全管理工作有效落實。同時，還應定期開展安全事件演練活動，提升工作人員的應急處理能力，從而將安全事件的損失降到最低。最后，明確各方職責。如果建設了云安全信息系統(tǒng)，則要提前明確云計算平臺達到的安全等級，明確云平臺、云安全服務等運營商的職責。

3.4 ?加強安全整體決策的管理

單位除要建立自己的安全運維團隊、加強應急支撐團隊建設外，還可以外包的方式將日常安全運維工作委托給安全服務機構，并將管理重心放在安全的整體決策上。比如對于本地業(yè)務數(shù)據(jù)，可通過檢查全流量日志、還原文件、檢測安全設備日志等措施，分析安全威脅、安全事件，并采取針對性的修復措施，解決這些問題。或者以安全模擬的方式對信息系統(tǒng)中可利用的漏洞進行測試，并進行優(yōu)化，從而提高信息系統(tǒng)的防御能力。比如借助天眼威脅感知平臺，進行高級威脅的檢測，并定位高級威脅進行溯源，作出有效的響應。

對于云安全系統(tǒng)，可進行網(wǎng)站的云監(jiān)測、云防御、云查殺，以此分析安全風險、安全威脅[3]。比如構建威脅情報中心、應急響應中心、安全運營中心，并以態(tài)勢感知與安全運營平臺為載體，分析資源、漏洞、安全日志等數(shù)據(jù)，從而實現(xiàn)威脅感知，調(diào)整安全策略，積極響應和處理。同時，還可進行事后分析、優(yōu)化來提升整體安全運營效果。

4 ? ?結語

在網(wǎng)絡安全等級保護2.0制度背景下，非常有必要重構安全體系，提升網(wǎng)絡安全。尤其是在網(wǎng)絡攻擊方式不斷升級、計算機技術不斷創(chuàng)新、網(wǎng)絡不斷普及的背景下，更要遵循網(wǎng)絡安全等級保護2.0制度的要求，建立可操作、安全、穩(wěn)定的安全體系，從而有效促進我國信息系統(tǒng)安全產(chǎn)業(yè)的可持續(xù)發(fā)展。

[參考文獻]

[1]陳旭壯.網(wǎng)絡安全等級保護2.0安全體系構建[J].中國新通信，2019（22）：76-77.

[2]傅鈺.網(wǎng)絡安全等級保護2.0下的安全體系建設[J].網(wǎng)絡安全技術與應用，2018（8）：13，16.

[3]王文廷，于思洋.大數(shù)據(jù)時代的計算機網(wǎng)絡安全及防范措施[J].電腦編程技巧與維護，2019（12）：169-170.

Abstract：In order to strengthen the construction of security system and improve the network security， this paper studies the construction of security system under the protection of network security level 2.0. First of all， combined with the development of information technology， analyzes the background of the introduction of network security level protection 2.0 system. Secondly， this paper compare and analyze the network security level protection 1.0， network security level protection 2.0， and point out the differences between the two in terms of protection objects， security requirements and so on. Finally， four measures are put forward on how to strengthen the construction of security system.

Key words：network security level protection 2.0; security system; construction