陳旭壯

【摘要】? ? 網(wǎng)絡(luò)安全是國家信息安全的基礎(chǔ)，同時也是國家現(xiàn)代化建設(shè)的前提。構(gòu)建網(wǎng)絡(luò)安全等級保護體系，并確保網(wǎng)絡(luò)安全標(biāo)準(zhǔn)具有一定的適用性和可操作性，能夠有效的避免網(wǎng)絡(luò)安全漏洞，提升國家信息安全保護質(zhì)量。本文在闡述網(wǎng)絡(luò)安全等級保護必要性的同時，就當(dāng)前國家網(wǎng)絡(luò)安全等級保護中的問題進行分析，并指出網(wǎng)絡(luò)安全等級保護2.0安全體系的構(gòu)建策略。期望能提升網(wǎng)絡(luò)安全保護質(zhì)量，進而充分滿足國家網(wǎng)絡(luò)化、信息化發(fā)展的需要。

【關(guān)鍵詞】? ? 網(wǎng)絡(luò)安全? ? 等級保護? ? 2.0安全體系? ? 構(gòu)建策略

互聯(lián)網(wǎng)時代下，依托計算機網(wǎng)絡(luò)系統(tǒng)進行信息化建設(shè)與管理已經(jīng)成為企業(yè)生產(chǎn)經(jīng)營的重要趨勢，其有效的改變了企業(yè)業(yè)務(wù)開展模式，實現(xiàn)了生產(chǎn)、經(jīng)營、決策、管理等環(huán)節(jié)的信息協(xié)調(diào)，對于企業(yè)生產(chǎn)效率、管理效率和服務(wù)水平具有較大影響。然而在網(wǎng)絡(luò)業(yè)務(wù)開展中，受互聯(lián)網(wǎng)自帶風(fēng)險性的影響，企業(yè)信息容易受到非法訪問和惡意攻擊，增加了企業(yè)經(jīng)營的風(fēng)險性。構(gòu)建網(wǎng)絡(luò)安全等級保護體系，進行等級保護已經(jīng)成為網(wǎng)絡(luò)信息安全保護的有效途徑。

一、網(wǎng)絡(luò)安全等級保護的必要性

1.1網(wǎng)絡(luò)信息系統(tǒng)風(fēng)險性較高

網(wǎng)絡(luò)協(xié)議和硬件設(shè)備是信息系統(tǒng)安全保護的兩個重要環(huán)節(jié)，然而從當(dāng)前網(wǎng)絡(luò)信息系統(tǒng)安全管理狀況來看，較多企業(yè)的網(wǎng)絡(luò)安全措施不夠嚴(yán)密，一方面，企業(yè)在網(wǎng)絡(luò)安全硬件配置上不夠全面;另一方面，網(wǎng)絡(luò)安全系統(tǒng)的軟件代碼存在缺陷。這些因素使得網(wǎng)絡(luò)信息系統(tǒng)存在一定的安全漏洞，容易被攻擊者研究和利用。譬如，美國東海岸DDoS攻擊、2017年全球WannaCry勒索病毒等都嚴(yán)重?fù)p害了社會其他群體的利益。新時期，網(wǎng)絡(luò)信息系系統(tǒng)在多個領(lǐng)域獲得了廣泛應(yīng)用，但是與之而來的是信息泄露問題不斷增加。現(xiàn)代企業(yè)亟需一套行之有效的安全保護方法，由此可見，進行網(wǎng)絡(luò)安全等級保護很有必要。

1.2安全等級保護是國家信息安全的必然要求

信息安全等級保護是一套完整的安全保護體系，其不僅影響著現(xiàn)代企業(yè)的信息安全，更對我國現(xiàn)代化建設(shè)具有較大作用。我國從2017年開始實施《中華人民共和國網(wǎng)絡(luò)安全法》，同時通過《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》多國家信息安全進行宏觀規(guī)劃，在這些制度條款的支撐下，我國信息安全核心技術(shù)取得了較大發(fā)展。

等級保護制度2.0標(biāo)準(zhǔn)的內(nèi)容更全，安全等級更高，信息管理效果更加凸顯。其實現(xiàn)了網(wǎng)絡(luò)信息系統(tǒng)基礎(chǔ)設(shè)施安全的有效保護，并且順應(yīng)了國家信息化建設(shè)和安全管理的發(fā)展趨勢，具有較大的現(xiàn)實意義。

二、國家網(wǎng)絡(luò)安全等級保護中問題分析

2.1技術(shù)定級應(yīng)用缺乏標(biāo)準(zhǔn)

智慧城市是我國城市化建設(shè)的重要趨勢，在其發(fā)展中，現(xiàn)代信息技術(shù)得到了廣泛應(yīng)用。在一定程度上，其使得網(wǎng)絡(luò)信息系統(tǒng)安全保護的范圍有所擴大，需要進行安全保護新技術(shù)平臺的開發(fā)和定級應(yīng)用。然而在實踐中，當(dāng)前較多的網(wǎng)絡(luò)信息系統(tǒng)沿用傳統(tǒng)安全定級保護標(biāo)準(zhǔn)，這使得安全保護的范圍僅僅局限于系統(tǒng)環(huán)境控制，影響了信息系統(tǒng)安全保護的系統(tǒng)性和全面性?，F(xiàn)階段，進行網(wǎng)絡(luò)信息系統(tǒng)平臺安全定級，并進行安全等級測評和保護勢在必行。

2.2等級保護內(nèi)容不夠全面

傳統(tǒng)網(wǎng)絡(luò)安全等級保護中，人們將安全保護的過程分為定級、備案、安全建設(shè)與整改、等級測評監(jiān)督檢查五個環(huán)節(jié)。[2]新經(jīng)濟形態(tài)下，網(wǎng)絡(luò)信息系統(tǒng)安全漏洞的攻擊源逐漸增多，不論是黑客群體，還是敵對勢力或霸權(quán)國家，其所帶來的惡意訪問和攻擊都會對國家信息安全造成較大影響。目前，現(xiàn)已實施的等級保護制度已經(jīng)難以滿足國家安全保護需要，故而在新時期，還應(yīng)進行網(wǎng)絡(luò)安全風(fēng)險評估、安全檢查、通報預(yù)警和應(yīng)急處理的全面規(guī)范，以此來確保等級保護內(nèi)容的進一步豐富和完善。

2.3等級保護體系尚不健全

網(wǎng)絡(luò)安全等級保護體系是當(dāng)前網(wǎng)絡(luò)信息系統(tǒng)安全管理的主要方式，在管理實踐中，其需要系統(tǒng)、全面的安全保護體系進行保證?，F(xiàn)階段，我國網(wǎng)絡(luò)安全等級保護體系尚不健全，要進一步提升其安全管理質(zhì)量，還應(yīng)加大安全等級保護的政策、標(biāo)準(zhǔn)、測評、技術(shù)和服務(wù)體系建設(shè)，從而為企業(yè)信息安全提供保證。

三、網(wǎng)絡(luò)安全等級保護2.0安全體系的構(gòu)建策略

3.1強化2.0安全體系標(biāo)準(zhǔn)建設(shè)

相對于傳統(tǒng)網(wǎng)絡(luò)安全管理，等級保護2.0安全體系不僅包含了定級指南和實施指南，而且對網(wǎng)絡(luò)安全管理與策略的喲求劑型約束，確保管理條例的通用性。譬如，2.0安全體系標(biāo)準(zhǔn)不僅包含了云計算系統(tǒng)的安全拓展需要，而且在多個領(lǐng)域進行拓展，使得網(wǎng)絡(luò)信息安全管理的內(nèi)容更加全面。同時，2.0安全體系新標(biāo)準(zhǔn)對網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù)的應(yīng)用進行內(nèi)容歸納;現(xiàn)階段，網(wǎng)絡(luò)信息系統(tǒng)的安全技術(shù)被劃分為四個層面，其分別為：物理與環(huán)境安全管理;網(wǎng)絡(luò)與通信安全管理;設(shè)備與技術(shù)安全管理;應(yīng)用與技術(shù)安全管理。此外，當(dāng)前網(wǎng)絡(luò)信息系統(tǒng)的安全評價指標(biāo)也發(fā)生變化，實際評價中，安全制度與策略，管理結(jié)構(gòu)與人員、設(shè)備與安全技術(shù)、應(yīng)用和數(shù)據(jù)是2.0安全體系評價標(biāo)準(zhǔn)的重要內(nèi)容，其實現(xiàn)了網(wǎng)絡(luò)信息系統(tǒng)安全管理結(jié)構(gòu)的清晰劃分，有助于企業(yè)安全管理質(zhì)量的進一步提升[3]。

3.2注重網(wǎng)絡(luò)信任體系建設(shè)

網(wǎng)絡(luò)ID身份認(rèn)知是安全等級保護建設(shè)重要內(nèi)容。在2.0安全等級保護體系中，為實現(xiàn)業(yè)務(wù)系統(tǒng)生產(chǎn)證書、身份認(rèn)證的嚴(yán)格控制，應(yīng)強化認(rèn)證體系建設(shè)?，F(xiàn)階段，CA認(rèn)證體系是較為可靠的一種安全認(rèn)證體系，其能在統(tǒng)一管理用戶信息的基礎(chǔ)上，實現(xiàn)人們登錄操作、網(wǎng)絡(luò)接入操作的優(yōu)化控制，確保信息管理和業(yè)務(wù)經(jīng)營安全。此外，在業(yè)務(wù)系統(tǒng)訪問過程中，CA認(rèn)證服務(wù)體系為放著這提供了標(biāo)準(zhǔn)化、規(guī)范化的身份認(rèn)證服務(wù)，從源頭上降低了企業(yè)網(wǎng)絡(luò)信息系統(tǒng)遭受惡意訪問和攻擊的頻率。

3.3實現(xiàn)安全技術(shù)體系創(chuàng)新

技術(shù)創(chuàng)新是網(wǎng)絡(luò)安全等級保護2.0安全體系構(gòu)建的核心所在。在技術(shù)體系創(chuàng)新中，應(yīng)注重以下要點：其一，強化身份認(rèn)證，同時進行訪問指令的安全審計，并做好惡意代碼識別和防護工作，從而防止惡意入侵事件發(fā)生。其二，云計算平臺在當(dāng)前網(wǎng)絡(luò)信息系統(tǒng)的應(yīng)用不斷深入，在其使用過程中，應(yīng)以云平臺為基礎(chǔ)，優(yōu)化安全防護體系，為網(wǎng)絡(luò)信息安全創(chuàng)設(shè)合理有效的虛機環(huán)境。其三，對其信息管理服務(wù)和業(yè)務(wù)開展進行縱深防御，全面監(jiān)測系統(tǒng)安全，實現(xiàn)網(wǎng)絡(luò)信息安全的可視管理。

3.4加大安全管理和風(fēng)險管理體系建設(shè)

安全管理體系建設(shè)中，還應(yīng)是實現(xiàn)管理機構(gòu)的優(yōu)化創(chuàng)新，從管理策略、制度、流程、文件等要素進行全方位管理，確保網(wǎng)絡(luò)信息系統(tǒng)安全管理有所依據(jù)。其次，應(yīng)對專業(yè)機房、網(wǎng)路系統(tǒng)、設(shè)備線路等硬件要素進行管理，同時做好管理人員培訓(xùn)，提升其安全意識和管理技能操作能力。此外，依據(jù)安全事件應(yīng)急演練，確保安全管理人員能夠及時有效的處理突發(fā)事件。網(wǎng)絡(luò)安全等級2.0體系中的風(fēng)險管理強調(diào)多安全化和信息保護系統(tǒng)的合規(guī)性評估，同時，其要求編制嚴(yán)格的風(fēng)險管理措施，在現(xiàn)有問題處理的同時，實現(xiàn)潛在風(fēng)險的監(jiān)控與防治。

四、結(jié)論

網(wǎng)絡(luò)安全等級保護2.0安全體系建設(shè)對于國家信息安全具有重大影響。實踐中，人們只有充分認(rèn)識到網(wǎng)絡(luò)安全等級保護的必要性，并在當(dāng)前管理問題分析的基礎(chǔ)上，進行2.0安全等級保護體系的規(guī)范建設(shè)，才能提升網(wǎng)絡(luò)安全等級保護質(zhì)量，進而滿足當(dāng)前社會發(fā)展的需要。

參? 考? 文? 獻

[1]傅鈺.網(wǎng)絡(luò)安全等級保護2.0下的安全體系建設(shè)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018，No.212（8）：16+19.

[2]何占博，王穎，劉軍.我國網(wǎng)絡(luò)安全等級保護現(xiàn)狀與2.0標(biāo)準(zhǔn)體系研究[J].信息技術(shù)與網(wǎng)絡(luò)安全，2019（3）：9-14.

[3]趙晶晶.基于等級保護的網(wǎng)絡(luò)安全建設(shè)之研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（4）：17-17.