馬麟 范鐵鋼

（上海精密計(jì)量測(cè)試研究所 上海 201111）

引言

隨著國(guó)家網(wǎng)信工作的不斷推進(jìn)和國(guó)內(nèi)互聯(lián)網(wǎng)產(chǎn)業(yè)的高速發(fā)展，網(wǎng)絡(luò)空間安全形勢(shì)快速變化，國(guó)際網(wǎng)絡(luò)競(jìng)爭(zhēng)博弈加劇、攻防對(duì)抗更為激烈，近年來(lái)頻繁發(fā)生的大規(guī)模數(shù)據(jù)泄漏，背后的折射的網(wǎng)絡(luò)竊密引發(fā)各國(guó)高度關(guān)注，各大公司也開始逐步打造自己的網(wǎng)絡(luò)信息平臺(tái)，構(gòu)建更強(qiáng)的加密手段和保護(hù)措施，提升數(shù)據(jù)的保密性與可靠性。因此，避免企業(yè)信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、強(qiáng)化安全防護(hù)管理措施 ，對(duì)企業(yè)穩(wěn)步發(fā)展具有非常重大的意義。

1 企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

近年來(lái)，新一代信息技術(shù)逐步提高，網(wǎng)絡(luò)安全形勢(shì)快速變化，網(wǎng)絡(luò)攻擊事件頻繁發(fā)生，面對(duì)愈演愈烈的網(wǎng)絡(luò)攻擊行為，企業(yè)在穩(wěn)固和增強(qiáng)網(wǎng)絡(luò)和信息安全的基礎(chǔ)上，仍需對(duì)可能存在的風(fēng)險(xiǎn)進(jìn)行預(yù)防與分析，主要包括以下幾個(gè)方面：

1.1 遠(yuǎn)程接入風(fēng)險(xiǎn)

企業(yè)網(wǎng)絡(luò)未建立用戶身份準(zhǔn)入控制系統(tǒng)，未將用戶姓名、MAC地址、IP地址與準(zhǔn)入系統(tǒng)綁定，使得非企業(yè)用戶也可以訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)，造成企業(yè)重要的數(shù)據(jù)信息被泄露。

1.2 邊界防護(hù)風(fēng)險(xiǎn)

企業(yè)按照傳統(tǒng)邊界安全模式打造了僅以入侵檢測(cè)技術(shù)與防火墻為主的防御機(jī)制，面對(duì)層出不窮的計(jì)算機(jī)新技術(shù)與愈演愈烈的網(wǎng)絡(luò)安全事件無(wú)法進(jìn)行有效的檢測(cè)與報(bào)警；缺乏事前的風(fēng)險(xiǎn)預(yù)知和事后的持續(xù)檢測(cè)能力；多種產(chǎn)品拼湊起來(lái)的安全防御體系缺乏有效的聯(lián)動(dòng)態(tài)勢(shì)分析能力和高效封鎖機(jī)制；后期網(wǎng)絡(luò)進(jìn)行升級(jí)和擴(kuò)容時(shí)，很容易形成性能瓶頸，使得企業(yè)的業(yè)務(wù)流程面臨被中斷的風(fēng)險(xiǎn)，

1.3 安全管理風(fēng)險(xiǎn)

安全管理是網(wǎng)絡(luò)與信息安全得到保證的重要組成部分，包括安全管理制度建設(shè)不足需要進(jìn)一步完善；未建立業(yè)務(wù)審批流程導(dǎo)致責(zé)權(quán)不明；信息化人員分工不明，操作混亂；企業(yè)信息化人員安全意識(shí)不足、安全教育培訓(xùn)不到位；安全管理制度需要進(jìn)一步完善，安全控制措施有待進(jìn)一步提高。

1.4 應(yīng)用系統(tǒng)風(fēng)險(xiǎn)

應(yīng)用系統(tǒng)風(fēng)險(xiǎn)主要包括系統(tǒng)安全配置風(fēng)險(xiǎn)、系統(tǒng)漏洞風(fēng)險(xiǎn)、病毒和惡意代碼風(fēng)險(xiǎn)等方面。系統(tǒng)漏洞與安全配置風(fēng)險(xiǎn)方面，系統(tǒng)補(bǔ)丁和漏洞監(jiān)測(cè)修復(fù)手段更新不及時(shí)、不完善，安全配置未能形成統(tǒng)一化、標(biāo)準(zhǔn)化安全部署，降低了企業(yè)防御機(jī)制的響應(yīng)力與檢測(cè)力；病毒和惡意代碼風(fēng)險(xiǎn)方面，安全產(chǎn)品病毒庫(kù)未及時(shí)更新會(huì)導(dǎo)致企業(yè)監(jiān)測(cè)病毒能力降低，各種網(wǎng)絡(luò)病毒、垃圾郵件、低俗廣告和捆綁軟件對(duì)企業(yè)網(wǎng)絡(luò)的應(yīng)用和服務(wù)也會(huì)產(chǎn)生一定的影響。

2 企業(yè)信息安全體系基本框架

2019年3月8日，工業(yè)和信息化部與國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)聯(lián)合發(fā)布《工業(yè)互聯(lián)網(wǎng)綜合標(biāo)準(zhǔn)化體系建設(shè)指南》，該指南第三章明確提出工業(yè)互聯(lián)網(wǎng)標(biāo)準(zhǔn)體系框架，框架對(duì)安全標(biāo)準(zhǔn)進(jìn)行了系統(tǒng)的描述。

2019年5月13日，國(guó)家標(biāo)準(zhǔn)化委員會(huì)正式發(fā)布了網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0國(guó)家標(biāo)準(zhǔn)（以下簡(jiǎn)稱等保2.0標(biāo)準(zhǔn)），該標(biāo)準(zhǔn)是用戶開展網(wǎng)絡(luò)安全等級(jí)信息系統(tǒng)建設(shè)、整改、安全等級(jí)測(cè)評(píng)等工作的核心指導(dǎo)標(biāo)準(zhǔn)，對(duì)這些標(biāo)準(zhǔn)的正確理解和使用，是新形勢(shì)下開展網(wǎng)絡(luò)安全工作的重要基礎(chǔ)。

本文依據(jù)《工業(yè)互聯(lián)網(wǎng)綜合標(biāo)準(zhǔn)體系建設(shè)指南》及等保2.0標(biāo)準(zhǔn)的安全框架的要求，按照多維考慮、橫向分類、縱向分層的總體思想，構(gòu)建了如圖1所示的企業(yè)信息安全體系框架。

2.1 安全物理環(huán)境

針對(duì)企業(yè)的物理機(jī)房提出的安全要求。主要對(duì)象為物理環(huán)境、物理設(shè)備和物理設(shè)施，涉及的安全控制點(diǎn)包括物理位置的選定、物理訪問(wèn)控制、防盜竊、防破壞、防雷擊、防火、防水和防潮、防靜電、濕溫度控制、電力供應(yīng)和電磁防護(hù)。

2.2 安全通信網(wǎng)絡(luò)

針對(duì)通信網(wǎng)絡(luò)提出安全要求，主對(duì)象為廣域網(wǎng)、城域網(wǎng)和局域網(wǎng)等，涉及的安全控制點(diǎn)保羅網(wǎng)絡(luò)架構(gòu)、通信傳輸和可信驗(yàn)證。

2.3 安全區(qū)域邊界防護(hù)

針對(duì)邊界內(nèi)部提出的安全要求。主要對(duì)象為邊界內(nèi)部的所有對(duì)象，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備、終端設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)對(duì)象和其他設(shè)備等；涉及的安全控制點(diǎn)包括身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范、可信驗(yàn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份與恢復(fù)、生于信息保護(hù)和個(gè)人信息保護(hù)。

2.4 網(wǎng)絡(luò)和應(yīng)用安全

應(yīng)用上的安全風(fēng)險(xiǎn)主要包含數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)病毒入侵風(fēng)險(xiǎn)、未經(jīng)授權(quán)的訪問(wèn)、關(guān)鍵信息數(shù)據(jù)丟失等。隨著各部門業(yè)務(wù)的增長(zhǎng)，企業(yè)應(yīng)用系統(tǒng)將面臨多次改造與升級(jí)，面對(duì)不斷上漲的業(yè)務(wù)需求與安全風(fēng)險(xiǎn)，信息化部門需定時(shí)對(duì)各應(yīng)用系統(tǒng)進(jìn)行漏洞掃描，每月對(duì)安全產(chǎn)品的病毒庫(kù)進(jìn)行更新并生成審計(jì)報(bào)告。

2.5 設(shè)備和控制安全

應(yīng)當(dāng)對(duì)信息設(shè)備，存儲(chǔ)設(shè)備進(jìn)行標(biāo)識(shí)管理。標(biāo)識(shí)形式可以是標(biāo)簽或者其他可區(qū)別設(shè)備屬性信息的圖形、顏色等，標(biāo)識(shí)應(yīng)當(dāng)表明信息設(shè)備和涉密存儲(chǔ)設(shè)備中存儲(chǔ)的涉密屬性、用途、分類、責(zé)任人等信息。機(jī)房應(yīng)當(dāng)確定為重要要害部位，實(shí)行專人管理；設(shè)置機(jī)房出入登記表；設(shè)置電子監(jiān)控對(duì)人員出入進(jìn)行監(jiān)控；劃分安全控制區(qū)域，采取符合有關(guān)規(guī)定和等保2.0標(biāo)準(zhǔn)的安全控制措施。

2.6 安全管理制度

建立網(wǎng)絡(luò)安全管理制度，明確不同網(wǎng)絡(luò)安全事件的分類分級(jí)、不同類別和級(jí)別事件處置的流程等，制定應(yīng)急預(yù)案等網(wǎng)絡(luò)安全事件管理文檔；應(yīng)急預(yù)案中應(yīng)明確，一旦信息系統(tǒng)中斷、受到損害或者發(fā)生故障時(shí)需要維護(hù)的關(guān)鍵業(yè)務(wù)功能，并明確遭受破壞時(shí)恢復(fù)關(guān)鍵業(yè)務(wù)和恢復(fù)全部業(yè)務(wù)的時(shí)間。在恢復(fù)關(guān)鍵業(yè)務(wù)和信息系統(tǒng)后，應(yīng)對(duì)關(guān)鍵業(yè)務(wù)和信息系統(tǒng)恢復(fù)情況進(jìn)行評(píng)估，查找事件原因，并采取措施防止關(guān)鍵業(yè)務(wù)和信息系統(tǒng)再次遭受破壞、危害或發(fā)生故障。

2.7 安全管理機(jī)構(gòu)

應(yīng)制定由網(wǎng)絡(luò)安全策略、管理制度、操作規(guī)程組成的體系文件，設(shè)置專門的信息化管理部門，建立并實(shí)施網(wǎng)絡(luò)安全考核及監(jiān)督問(wèn)責(zé)機(jī)制，當(dāng)物理環(huán)境、安全設(shè)施變化時(shí)，及時(shí)調(diào)整安全策略、管理制度、操作規(guī)程。對(duì)相關(guān)人員進(jìn)行安全技能審查和培訓(xùn)，加強(qiáng)安全審計(jì)、數(shù)據(jù)安全保護(hù)。

2.8 監(jiān)測(cè)預(yù)警制度

應(yīng)建立監(jiān)測(cè)預(yù)警和信息通報(bào)制度，確定網(wǎng)絡(luò)安全預(yù)警分級(jí)標(biāo)準(zhǔn)，明確監(jiān)測(cè)策略、監(jiān)測(cè)內(nèi)容和預(yù)警流程，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行檢測(cè)預(yù)警；建立通報(bào)預(yù)警及寫作處置機(jī)制；建立信息共享機(jī)制；加強(qiáng)不同等級(jí)系統(tǒng)、不同業(yè)務(wù)系統(tǒng)、不同區(qū)域之間信息流動(dòng)的監(jiān)測(cè)；能持續(xù)獲取預(yù)警發(fā)布機(jī)構(gòu)的安全預(yù)警信息，分析網(wǎng)絡(luò)安全保護(hù)對(duì)象可能被預(yù)警事件損害到哪種程度，必要時(shí)啟動(dòng)應(yīng)急預(yù)案。

2.9 安全建設(shè)管理

安全建設(shè)管理是指在安全建設(shè)過(guò)程中提出相關(guān)要求，其中包括定級(jí)與備案、安全方案的設(shè)計(jì)、安全產(chǎn)品的選定與使用、軟件開發(fā)、工程實(shí)施、測(cè)試與驗(yàn)收、系統(tǒng)交付、等級(jí)測(cè)評(píng)和服務(wù)供應(yīng)商管理等。

2.10 安全運(yùn)維管理

信息化管理部門應(yīng)當(dāng)建立信息系統(tǒng)、信息設(shè)備和存儲(chǔ)設(shè)備臺(tái)帳，做到信息要素完整、賬物相符，對(duì)關(guān)鍵信息存儲(chǔ)設(shè)備、信息系統(tǒng)，安全產(chǎn)品實(shí)行全生命周期管理。

2.11 安全檢查與風(fēng)險(xiǎn)分析

企業(yè)每年至少進(jìn)行一次安全風(fēng)險(xiǎn)自評(píng)估，配合相關(guān)部門，提供網(wǎng)絡(luò)安全策略、管理制度、操作規(guī)程、網(wǎng)絡(luò)拓?fù)鋱D、重要資產(chǎn)清單、網(wǎng)絡(luò)日志等重要資料和技術(shù)支持，最后形成安全風(fēng)險(xiǎn)自評(píng)估檢測(cè)報(bào)告，及時(shí)整改檢測(cè)報(bào)告中發(fā)現(xiàn)的安全問(wèn)題。

3 結(jié)語(yǔ)

目前，針對(duì)安全檢測(cè)機(jī)制不足、安全防護(hù)體系尚不健全、安全標(biāo)準(zhǔn)尚不完善等問(wèn)題，我國(guó)相關(guān)管理部門和技術(shù)人員都在積極開展安全管理制度和安全防護(hù)技術(shù)的研究，安全防護(hù)工作也在與時(shí)俱進(jìn)，正朝著規(guī)范化、體系化的方向邁進(jìn)，各企業(yè)運(yùn)營(yíng)單位也逐步在等級(jí)保護(hù)和分級(jí)保護(hù)基礎(chǔ)上，以保障關(guān)鍵業(yè)務(wù)為重點(diǎn)，實(shí)施重點(diǎn)保護(hù)。