事业单位网络安全等级保护的建设

摘要：当今是一个信息时代，方方面面都离不开网络，随之而来的网络安全问题也尤为尖锐。因此建设高质量、稳定可靠的安全网络成为目前网络发展的重中之重。本文分析了目前事业单位网络安全等级保护的现状，结合业务实际提出了网络安全等级保护的策略。

关键词：事业单位；网络安全等级保护；部署建议

0引言

网络安全等级保护制度是保障各事业单位网络安全的重要方法，通过进行网络安全分级保护，可以高效解决目前事业单位所面临的网络安全问题，按照“重点优先”的思想，将资源有的放矢地投入到网络安全建设中，有助于快速夯实网络安全等级保护的基础。

1网络安全等级保护定义

网络安全等级保护是指对单位内的秘密信息和专有信息以及可以公开的信息进行分级保护，对信息系统中的防火墙进行分级设置，对产生的网络安全事件建立不同的响应机制。这种保护制度共分为五个级别：自主保护、指导保护、监督保护、强制保护、专控保护。不同的信息拥有不同的机密性，就会有相应的安全保护机制。近期，网络安全等级保护制度2.0国家标准正式，这对加强网络安全保卫工作、提升网络能力具有重大意义。

2网络安全等级保护现状分析

按照新的网络安全等级保护要求，绝大多数单位在网络安全技术和管理方面存在差距和盲点，网络安全保障体系仍需完善。主要表现在以下几个方面：（1）网络安全管理工作有待进一步加强在网络安全管理制度方面存在不够完善，对信息资产管理、服务外包管理等缺乏网络安全方面有关要求。未建立体系化的内部操作规程，而且对网络安全管理和技术人员专业技能培训相对较少，网络安全等级保护的定级、备案及测评等未开展。运维工作的部分操作不规范，随意性较强，对网络、系统安全稳定运行造成风险。（2）网络架构存在安全隐患和较为明显的脆弱性有的内网连接，虽部署了防火墙进行网络访问控制，但是部分防火墙缺乏安全配置及管理，访问控制策略不严格，同时某些单位内部网络也缺乏分区和边界控制措施，无法限制非授权用户接入内网和授权用户滥用授权违规外联外网的行为，部分单位发现终端跨接内外网的现象，导致整个单位的内网存在“一点接入，访问全网，攻击全网”的安全风险。（3）主机计算环境抵御攻击能力较低主机服务器未及时更新系统安全补丁，导致存在比如MS17-010（永恒之蓝）、弱口令等高危漏洞；部分服务器未部署防病毒软件、病毒库未更新，没有恶意代码防范措施，部分单位的终端感染木马病毒，一旦被利用，可能导致内部服务器主机大面积感染恶意程序等事件发生。（4）应用系统安全防范措施缺失有的运行在内网应用系统，存在高风险安全漏洞；在应用系统身份鉴别、数据完整性、保密性保护等方面存在策略配置不足问题，结合其他安全风险，会带来系统服务安全、数据安全等较严重的安全问题。（5）数据安全保护能力不足有的未对专网的重要数据进行分级分类管理，数据安全保护措施缺失，专网中的数据库普遍存在弱口令、远程代码执行漏洞等高危安全漏洞，极易被攻击利用，大量的业务数据和敏感信息存在较高的安全风险。（6）物理安全基础保障欠缺有的机房未对进出人员进行鉴别登记，易造成机房遭受恶意人员破坏，存在安全风险。有的机房未部署门禁系统，未安装防盗报警系统等进行盗窃防护。

3网络安全等级保护部署建议

3.1构建等保系统框架

根据安全等级保护的总体思想，提出如图1的网络安全管理体系架构。“总体安全策略”处于网络安全管理体系的最高层级，是单位网络安全管理体系的首要指导策略。“安全管理组织框架”位于网络安全管理体系的第二层，负责建立该单位网络安全管理组织框架。它既确保了信息系统运行时资料不会被泄露，也塑造了一个能稳定运行信息系统的管理体系，保证网络安全管理活动的有效开展。“安全管理制度框架”位于网络安全管理体系的第三层，分别从安全管理机构及岗位职责、信息系统的硬件设备的安全管理、系统建设管理、安全运行管理、安全事件处置和应急预案管理等方面提出规范的安全管理要求。网络安全管理体系的第四层描述的是如何进行规范配置和具体的操作流程以及如何对运行活动进行记录。从日常安全管理活动的执行出发，对主要安全管理活动的具体配置、操作流程、执行规范等各种各样的安全管理活动做出具体操作指示，指导安全管理工作的具体执行[1]。

3.2划分安全域

根据安全等级保护系统总体架构，重新划分网络安全域。各安全域安全管理策略应遵循统一的基本要求，具体如下：（1）保证关键网络设备的业务处理能力满足高峰期业务需求，通过网络拓扑结构设计，避免存在网络单点故障。（2）部署高效的防火墙设备，防止包括DDOS在内的各类网络攻击；在通信网络中部署IPS、入侵检测系统、监控探针等，监视各种网络攻击行为。（3）在关键位置部署数据库审计系统，对数据库重要配置、操作、更改进行审计记录。（4）对于每一个访问网络的用户将会进行身份验证，确保配置管理的操作只有被赋予权限的网络管理员才能进行[2]。（5）部署流量检测设备，通过Flow采集技术，建立流量图式基线，根据应用情况控制和分配流量。（6）增加除口令以外的技术措施，实现双因素认证[3]。（7）如需远程管理网络设备和安全设备，应采用加密方式，避免身份鉴别信息在网络传输过程中被窃取。（8）能够及时有效阻断接入网络的非授权设备。

3.3控制安全边界

基于部署的网络安全软硬件设备，设置相应的安全规则，从而实现对安全边界的控制管理。主要安全策略包括：（1）互联网区域应用安全：必须经过边界防火墙的逻辑隔离和安全访问控制。（2）专网区域应用安全：对于访问身份和访问权限有明显界定，必须经过边界防火墙的逻辑隔离和安全访问控制，其他区域和用户都不允许直接访问。（3）互联网区域数据安全：只允许外部应用域的应用服务器访问，其他区域用户不能直接访问。对数据域的访问受到访问身份和访问权限的约束，必须经边界防火墙的逻辑隔离和安全访问控制。（4）专网区域数据安全：只允许内部应用域的应用服务器访问，其他区域和用户都不允许直接访问。要访问也必须具有受信的访问身份和访问权限。（5）互联网区域和专网区域交互安全：对于内外部之间的信息交互，采用数据摆渡和应用协议相结合的方式进行，严格控制双网之间存在TCP/IP协议以及其他网络协议的连接。（6）开发测试安全：开发测试域作为非信任区域，要求只能在受限的前提下进行网络访问，必须经过边界防火墙的逻辑隔离和安全访问控制。（7）密码应用安全：所有涉及密码应用的网络安全设备，所采用的密码算法必须为国密算法。（8）统一安全管理：防火墙、IDS、IPS、防病毒网关、网络安全审计和数据库安全审计系统的日志统一发送到安全管理区的安全管理平台进行分析。（9）终端安全管理：办公设备统一部署终端安全管理系统，并能够有效管理终端安全配置，准入控制、防病毒功能，以及系统补丁升级。（10）设备知识产权：所涉及网络安全设备的，必须是具有国产知识产权。

4总结

网络安全等级保护工作事关重大，它是一个系统工程，需要各级人员多方面的协调合作。只有尽快补齐安全防护短板，才能切实提高一个单位的安全支撑能力、安全检测能力、安全防护能力、应急响应能力和容灾恢复能力，从而更好地保障一个单位网络安全建设的可持续发展。

参考文献

[1]欧阳莎茜.运用大数据制定园区安全环保用电策略的实例分析[D].西南交通大学,2017.

[2]黎水林.基于安全域的政务外网安全防护体系研究[J].信息网络安全,2012(07):3-5.

[3]刘太洪.大秦公司信息系统安全等级保护技术规划设计[D].河北工业大学,2014.

作者：王昭群 单位：长江宜昌通信管理局