網(wǎng)絡安全等級保護建設探索

◆莫新建

網(wǎng)絡安全等級保護建設探索

◆莫新建

（河南航天精工制造有限公司 河南 464100）

隨著網(wǎng)絡安全形勢的日益嚴峻，國家有關部門先后出臺了一系列文件，明確了等級保護的重要性。為了履行國家《網(wǎng)絡安全法》法律義務，落實網(wǎng)絡安全保護責任，單位需開展網(wǎng)絡安全等級保護建設工作，按照技術與管理的需求進行建設實施，并加強日常運維與監(jiān)管。

網(wǎng)絡安全；等級保護；建設探索

1 網(wǎng)絡安全建設規(guī)劃

按網(wǎng)絡安全等級保護實施指南及基本要求等文件要求，對網(wǎng)絡信息系統(tǒng)保護對象劃分區(qū)域并定級，根據(jù)定級級別，對不同的保護對象從物理環(huán)境防護、通訊網(wǎng)絡、網(wǎng)絡邊界、主機設備以及應用和數(shù)據(jù)等方面的安全防護進行不同級別的安全防護設計。同時建設統(tǒng)一的安全管理中心來保障安全管理措施和技術防護的有效協(xié)同及一體化管理，保障安全措施及管理有效運行。

2 網(wǎng)絡安全技術設施建設

2.1 物理環(huán)境安全

中心機房可以說是一個單位網(wǎng)絡的神經(jīng)中樞，對于一個單位的網(wǎng)絡信息系統(tǒng)十分重要。所以中心機房在物理環(huán)境安全方面必須高標準嚴要求進行設計及施工。中心機房建設可以依據(jù)國家《電子信息系統(tǒng)機房設計規(guī)范》（GB50174-2008）的要求，主要從機房位置選擇、門禁控制、配電及UPS、防雷接地、設備監(jiān)控、防火及火災報警、防水和防潮、防靜電、溫濕度控制、新風系統(tǒng)、電磁泄漏防護等方面綜合考慮進行建設，從而保障中心機房及網(wǎng)絡信息系統(tǒng)的安全。

2.2 網(wǎng)絡通信安全

網(wǎng)絡結構是網(wǎng)絡安全的前提和基礎，對信息系統(tǒng)所依托的網(wǎng)絡需要進行合理的規(guī)劃。根據(jù)總體網(wǎng)絡規(guī)劃，分析其重要性和所涉及信息的重要程度等，并據(jù)此劃分不同的VLAN網(wǎng)段，設置相應的安全訪問控制策略。另外，在網(wǎng)絡安全域的邊界部署防火墻及入侵防御系統(tǒng)，對所有流經(jīng)防火墻的數(shù)據(jù)包按照安全規(guī)則過濾，屏蔽不安全的或不符合安全規(guī)則的數(shù)據(jù)包，禁止越權訪問以及各類非法攻擊的行為。利用入侵防御系統(tǒng)的動態(tài)檢測功能，對網(wǎng)絡中的異常流量進行監(jiān)測，并定期對入侵防御系統(tǒng)的特征庫進行升級，及時發(fā)現(xiàn)網(wǎng)絡中存在的異常行為。在核心交換機上設置訪問控制策略，禁止終端用戶對安全管理設備的非授權訪問，同時在接入層交換機上對所有接入網(wǎng)絡的信息設備進行端口、IP地址和MAC地址的綁定。在網(wǎng)絡層通過旁路方式部署漏洞掃描系統(tǒng)，在即不影響網(wǎng)絡速度的情況下，又能及時的發(fā)現(xiàn)系統(tǒng)存在的漏洞，并根據(jù)漏洞掃描系統(tǒng)提供的解決方案及時更新補丁，消除相應的安全隱患。部署日志審計系統(tǒng)，對網(wǎng)絡設備、安全設備、服務器進行安全審計，審計記錄應包含事件的時間、用戶信息、事件類型、事件是否成功等信息。在交換機與防火墻上配置詳細的訪問控制策略，限制終端的接入方式、網(wǎng)絡地址的范圍等。

2.3 主機設備安全

對登錄主機設備的用戶進行用戶身份鑒別，使用賬號+密碼的方式，身份鑒別的密碼具有一定的復雜度要求并設置定期更換；對電腦登錄采用了USB-KEY+密鑰的方式進行登錄，需要進行遠程管理的設備采用堡壘機等安全防護保證措施的方式進行遠程管理。同時，針對主機系統(tǒng)訪問控制策略對服務器及終端設備進行安全加固，包括：刪除或修改默認賬戶名稱，修改賬戶默認口令，刪除系統(tǒng)及數(shù)據(jù)庫中多余無用賬戶，禁用默認共享等；根據(jù)管理員用戶的角色分配相應的管理權限，僅授權各管理員用戶所需的最小權限。日志審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、上網(wǎng)行為審計系統(tǒng)等安全設備的部署實現(xiàn)主機設備的安全審計功能。針對主機系統(tǒng)遵循最小安裝原則，關閉不必要的系統(tǒng)服務及高危端口，比如135、139、445端口等。在所有終端主機和服務器上部署防病毒系統(tǒng)，加強終端主機的病毒防護能力并及時升級防病毒庫，定期對網(wǎng)絡中的惡意代碼進行查殺。域控服務器根據(jù)安全策略設置終端主機設備登錄的超時鎖定閾值及無效登錄次數(shù)鎖定閾值，并限制用戶對系統(tǒng)資源的使用最大及最小限度，并對重要的關鍵網(wǎng)絡設備及服務器配備硬件冗余，保障高可用性。

2.4 應用和數(shù)據(jù)安全

應用系統(tǒng)開發(fā)要考慮應用及數(shù)據(jù)安全需求，在開發(fā)時同時進行安全方面開發(fā)及設置。信息系統(tǒng)身份鑒別，可以采用用戶賬戶和密碼的方式，密碼要設置復雜度要求，也可以采用用戶賬戶與USB-KEY進行綁定的雙因子方式進行認證，為安全事件的跟蹤審計提供有效依據(jù)。應配置對登錄的用戶賬號和權限訪問控制的功能，并及時刪除或停用應用系統(tǒng)中多余的、過期的賬號；刪除或修改系統(tǒng)默認賬戶及登錄口令，設置不同的管理員權限，操作系統(tǒng)和數(shù)據(jù)庫管理員分權管理，安排不同人員擔任并分配不同的賬號。開啟應用系統(tǒng)及其使用的中間件的自帶審計功能，并把相應的日志發(fā)送到日志審計系統(tǒng)，統(tǒng)一進行審計分析。同時部署數(shù)據(jù)庫審計系統(tǒng)，對管理員操作數(shù)據(jù)庫的相關記錄進行安全審計，防止非法操作及更改相關數(shù)據(jù)信息。應用系統(tǒng)在資源控制方面，應設置一個客戶端只允許一個用戶同時登錄，并且一個用戶只允許同時在一個客戶端上登錄，從而保障信息資源的安全。在數(shù)據(jù)完整性和保密性方面，通過部署加密機實現(xiàn)網(wǎng)絡傳輸層數(shù)據(jù)的完整性和保密性防護。對信息及業(yè)務數(shù)據(jù)加密傳輸和存儲，確保傳輸?shù)臄?shù)據(jù)是加密后傳輸和存儲。在數(shù)據(jù)備份和恢復方面，重要數(shù)據(jù)實現(xiàn)本地備份和恢復并且異地能夠實時備份實現(xiàn)數(shù)據(jù)的備份和恢復。

3 網(wǎng)絡安全管理體系建設

網(wǎng)絡安全管理重要的就是要建立統(tǒng)一的網(wǎng)絡安全管理體系，落實各項網(wǎng)絡安全管理制度。所謂“三分技術，七分管理”，技術是基礎，安全管理是關鍵。安全管理體系建設需從安全管理制度、安全管理機構、安全人員管理、應用系統(tǒng)建設及安全運維管理等方面進行統(tǒng)籌規(guī)劃設計。

3.1 網(wǎng)絡安全管理策略和制度

單位應制定網(wǎng)絡安全管理總體方針和安全策略，明確網(wǎng)絡安全管理工作的總體目標、范圍、原則和框架等。根據(jù)網(wǎng)絡安全管理的方針策略制訂一系列網(wǎng)絡安全管理制度、規(guī)范、辦法等，用來規(guī)范各部門的網(wǎng)絡安全工作，并建立管理人員及操作人員執(zhí)行的日常管理操作規(guī)程，形成由安全管理策略、制度與管理辦法、操作規(guī)程等構成的全方位的網(wǎng)絡安全管理制度體系，指導并有效地規(guī)范各部門的網(wǎng)絡安全管理工作，并形成相關的記錄表單以闡明所遵循制度操作規(guī)范取得的結果或提供完成活動的證據(jù)。網(wǎng)絡安全管理部門應根據(jù)環(huán)境變化對策略、安全管理制度及操作規(guī)程進行評審，并及時修訂相關內(nèi)容。

3.2 網(wǎng)絡安全組織機構和人員管理

單位應成立網(wǎng)絡安全管理領導小組及辦公室等機構，明確網(wǎng)絡安全管理機構的組織形式和執(zhí)行方法，并設立系統(tǒng)管理員、安全管理員、審計員等崗位，從人員配置、授權審批、溝通協(xié)調(diào)、檢查審計、人員上崗錄用、人員離崗離職及人員安全意識教育培訓等各方面進行管理落地執(zhí)行。

3.3 網(wǎng)絡安全運維管理

單位應根據(jù)網(wǎng)絡安全管理制度體系框架中有關信息系統(tǒng)安全運維有關的管理制度規(guī)定，不斷完善運維安全管理的措施及手段，具體包括：物理環(huán)境管理、設備資產(chǎn)管理、存儲介質管理、設備維護管理、漏洞風險管理、網(wǎng)絡信息安全管理、病毒惡意代碼防范管理、策略配置管理、密鑰密碼管理、權限變更管理、備份與恢復管理、外包運維服務管理、應急預案管理及安全事件應急處置管理等等內(nèi)容，確保網(wǎng)絡及信息系統(tǒng)安全穩(wěn)定運行。

[1]《信息安全技術信息系統(tǒng)安全等級保護實施指南》GB/T 25058-2010.

[2]《信息安全技術信息系統(tǒng)安全等級保護體系框架》GA/T 708-2007.

[3]《信息安全技術網(wǎng)絡安全等級保護基本要求》GB/T 22239-2019.