基于等級(jí)保護(hù)2．0的安全通用技術(shù)設(shè)計(jì)研究

黃海 陳章芬

摘要：文章從等級(jí)保護(hù)測(cè)評(píng)要求出發(fā)，介紹了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)下的安全通用技術(shù)設(shè)計(jì)思路，即等級(jí)保護(hù)對(duì)象在系統(tǒng)設(shè)計(jì)之初應(yīng)考慮的安全通用技術(shù)關(guān)鍵點(diǎn)及問(wèn)題。利用該設(shè)計(jì)思路可有效避免或減少信息系統(tǒng)上線后的各類(lèi)網(wǎng)絡(luò)安全問(wèn)題，節(jié)約后期網(wǎng)絡(luò)安全問(wèn)題整改投入。

關(guān)鍵詞：等級(jí)保護(hù)2.0;安全技術(shù);設(shè)計(jì)

中圖法分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A

Research on security general technology design based on level protection 2.0

HUANG Hai，CHEN Zhangfen

（Fujian Branch of National Computer Network Emergency Response TechnicalTeam/Coordination Center of China，F(xiàn)uzhou，China，350025）

Abstract：This paper introduces the design idea of general security technology under the network security level protection 2.0 standard based on the requirements of hierarchical protection，that is， the key points and problems of security general technology that should be considered at the beginning of system design. The design idea will effectively avoid or reduce various network security problems after application of information system， and save the investment in the rectification of network security problems in the later stage.

Key words： network security level protection 2.0 standard， security technology，design

近年來(lái)，信息技術(shù)和網(wǎng)絡(luò)技術(shù)高速發(fā)展，一方面極大提高了人民群眾的生活水平，另一方面給網(wǎng)絡(luò)空間安全帶來(lái)愈發(fā)嚴(yán)峻的挑戰(zhàn)。國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（“CNCERT”或“CNCERT/CC”）發(fā)布的《2021年上半年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)分析報(bào)告》顯示，僅2021年上半年，國(guó)內(nèi)累計(jì)捕獲惡意程序樣本約2，307萬(wàn)個(gè)，日均傳播次數(shù)達(dá)582萬(wàn)余次;累計(jì)約1.8萬(wàn)起重要信息系統(tǒng)的網(wǎng)絡(luò)安全漏洞事件受到國(guó)家信息安全漏洞共享平臺(tái)（CNVD）驗(yàn)證及處置 [1]。關(guān)鍵信息系統(tǒng)遭受攻擊甚至破壞，都將損害公民個(gè)人及企事業(yè)單位的權(quán)益，甚至?xí)?dǎo)致社會(huì)秩序、國(guó)家安全遭受威脅，因此提高我國(guó)信息安全保障能力勢(shì)在必行。2017年，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》明確規(guī)定我國(guó)實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度;2021年，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者須在網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)上采取必要措施，以應(yīng)對(duì)網(wǎng)絡(luò)安全事件。

1? 網(wǎng)絡(luò)安全等級(jí)保護(hù)的發(fā)展

1994年，《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院147號(hào)令）頒布，這是我國(guó)首部為網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施提供依據(jù)的法律。2017年 5月，相關(guān)部門(mén)發(fā)布《GA/T1389—2017網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》等4 個(gè)公共安全行業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn)[2]。 2019年 5月，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0國(guó)家標(biāo)準(zhǔn)正式發(fā)布，該制度的主要內(nèi)容包括《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》和《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等三個(gè)核心標(biāo)準(zhǔn)[3]。

2? 安全通用技術(shù)要求

《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》和《網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》均從安全通用、安全擴(kuò)展兩個(gè)方面規(guī)定了技術(shù)要求及設(shè)計(jì)規(guī)范。其中，安全通用要求是針對(duì)共性化保護(hù)需求提出的[4] ，主要分為技術(shù)要求和管理要求兩方面。本文重點(diǎn)介紹的技術(shù)要求主要包括安全物理環(huán)境及系統(tǒng)安全保護(hù)環(huán)境，其中系統(tǒng)安全保護(hù)環(huán)境則由“安全通信網(wǎng)絡(luò)”“安全區(qū)域邊界”“安全計(jì)算環(huán)境”和“安全管理中心”組成[5]。

2.1? 安全物理環(huán)境

等級(jí)保護(hù)制度對(duì)等級(jí)保護(hù)對(duì)象的機(jī)房樓選址、機(jī)房配套和動(dòng)力環(huán)境運(yùn)維等方面提出要求。

（1）物理位置選擇時(shí)，應(yīng)將機(jī)房設(shè)在具備多路電力供應(yīng)、無(wú)內(nèi)澇現(xiàn)象的區(qū)域內(nèi)，避開(kāi)強(qiáng)電磁場(chǎng)、有害氣體源以及存放易燃易爆物品的危險(xiǎn)地帶。

（2）物理訪問(wèn)控制設(shè)計(jì)時(shí)，應(yīng)根據(jù)重要程度對(duì)機(jī)房進(jìn)行區(qū)域隔離，部署門(mén)禁系統(tǒng)實(shí)現(xiàn)授權(quán)管理和身份鑒別。

（3）防盜竊和防破壞設(shè)計(jì)時(shí)，應(yīng)在主要通道、重要區(qū)域部署視頻監(jiān)控系統(tǒng)、防盜報(bào)警系統(tǒng)。

（4）防雷擊設(shè)計(jì)時(shí)，應(yīng)在機(jī)柜內(nèi)部署安全接地系統(tǒng)，使用專(zhuān)用地線或交流地線接地;在配電柜內(nèi)配備防雷保安器、過(guò)壓保護(hù)器等防感應(yīng)雷設(shè)備。

（5）防火設(shè)計(jì)時(shí)，應(yīng)在機(jī)柜內(nèi)部署極早期火災(zāi)探測(cè)及氣體消防系統(tǒng)，確保第一時(shí)間發(fā)現(xiàn)并消除火情。

（6）防水和防潮設(shè)計(jì)時(shí)，應(yīng)在空調(diào)系統(tǒng)進(jìn)出水管處部署水浸報(bào)警系統(tǒng)，實(shí)時(shí)監(jiān)測(cè)空調(diào)漏水、結(jié)露滲水等情況。

（7）防靜電設(shè)計(jì)時(shí)，應(yīng)在機(jī)房?jī)?nèi)安裝防靜電地板，日常運(yùn)維時(shí)應(yīng)采取使用防靜電工作臺(tái)、佩戴防靜電手環(huán)等措施。

（8）溫濕度控制設(shè)計(jì)時(shí)，應(yīng)配備空調(diào)系統(tǒng)對(duì)機(jī)房?jī)?nèi)溫濕度進(jìn)行控制，確保其運(yùn)行在許可范圍內(nèi)，對(duì)于重點(diǎn)區(qū)域應(yīng)設(shè)置備份系統(tǒng)。

（9）電力供應(yīng)設(shè)計(jì)時(shí)，應(yīng)配備 UPS 不間斷供電系統(tǒng)和油機(jī)發(fā)電設(shè)備，確保在市電中斷情況下，信息系統(tǒng)仍能維持運(yùn)行。

（10）電磁防護(hù)設(shè)計(jì)時(shí)，應(yīng)參照電磁防護(hù)標(biāo)準(zhǔn)進(jìn)行綜合布線，關(guān)鍵設(shè)備及區(qū)域應(yīng)使用屏蔽機(jī)柜或屏蔽機(jī)房。

2.2? 安全通信網(wǎng)絡(luò)

等級(jí)保護(hù)制度對(duì)等級(jí)保護(hù)對(duì)象提出網(wǎng)絡(luò)架構(gòu)、通信傳輸、可信驗(yàn)證等方面的要求[6]。

（1）網(wǎng)絡(luò)架構(gòu)是實(shí)現(xiàn)網(wǎng)絡(luò)安全的前提和基礎(chǔ)，等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)分析業(yè)務(wù)需求、劃分網(wǎng)絡(luò)安全域，并據(jù)此細(xì)化網(wǎng)絡(luò)架構(gòu)，將等級(jí)保護(hù)對(duì)象的安全問(wèn)題分解至各子區(qū)域，使有限的資金可以投入更有需求的區(qū)域。

（2）通信網(wǎng)絡(luò)的性質(zhì)是開(kāi)放的、公共的，因此傳輸過(guò)程中可能存在中斷、復(fù)制、偽造和竊聽(tīng)等情況。等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)在互聯(lián)網(wǎng)出口處部署 VPN 等設(shè)備，利用其隧道技術(shù)、加解密技術(shù)等手段來(lái)保證傳輸過(guò)程中數(shù)據(jù)的完整性和保密性。

（3）通信網(wǎng)絡(luò)可信驗(yàn)證實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的接入控制和外部網(wǎng)絡(luò)訪問(wèn)限制。對(duì)于內(nèi)部網(wǎng)絡(luò)接入，等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)采用 IP/MAC/VLAN/端口綁定、禁用閑置端口等方式限制未授權(quán)人員接入內(nèi)部網(wǎng)絡(luò);對(duì)于外部網(wǎng)絡(luò)訪問(wèn)，等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)在邊界設(shè)備上配置訪問(wèn)控制策略來(lái)限制外部未授權(quán)設(shè)備訪問(wèn)。

2.3? 安全區(qū)域邊界

等級(jí)保護(hù)制度對(duì)等級(jí)保護(hù)對(duì)象提出了邊界防護(hù)、訪問(wèn)控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計(jì)等方面的要求。

（1）邊界防護(hù)負(fù)責(zé)監(jiān)視和控制不同層級(jí)網(wǎng)絡(luò)間的數(shù)據(jù)交換。等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)在終端接入域部署終端接入控制系統(tǒng)，通過(guò)進(jìn)行 IP/MAC/VLAN/端口綁定、禁用閑置端口等措施阻止非授權(quán)設(shè)備連接到內(nèi)部網(wǎng)絡(luò)。此外，應(yīng)部署違規(guī)外聯(lián)監(jiān)測(cè)系統(tǒng)用以監(jiān)控內(nèi)部網(wǎng)絡(luò)終端行為，對(duì)涉嫌違規(guī)外聯(lián)的行為進(jìn)行阻斷和報(bào)警。

（2）區(qū)域邊界訪問(wèn)控制利用區(qū)域邊界安全設(shè)備的訪問(wèn)控制功能實(shí)現(xiàn)各網(wǎng)絡(luò)安全域間的數(shù)據(jù)控制。等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)分析各網(wǎng)絡(luò)安全域之間的業(yè)務(wù)需求，制定訪問(wèn)控制策略，在邊界安全設(shè)備上通過(guò)校驗(yàn)地址、端口、協(xié)議的方式過(guò)濾流經(jīng)數(shù)據(jù)包，杜絕越權(quán)訪問(wèn)和非法攻擊行為。

（3）區(qū)域邊界入侵防范是防御網(wǎng)絡(luò)攻擊的重要措施。等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)根據(jù)各業(yè)務(wù)域的業(yè)務(wù)特性，在網(wǎng)絡(luò)域邊界處配置防火墻、入侵檢測(cè)系統(tǒng)（IDS） 和入侵防御系統(tǒng)（ IPS）等防范設(shè)備，實(shí)現(xiàn)對(duì)內(nèi)外部網(wǎng)絡(luò)攻擊的檢測(cè)和防控功能，并記錄攻擊源信息形成可審計(jì)日志。

（4）惡意代碼通過(guò)網(wǎng)頁(yè)、郵件等介質(zhì)進(jìn)行傳播，可對(duì)信息系統(tǒng)完整性造成嚴(yán)重破壞。等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)，應(yīng)在外聯(lián)域邊界部署惡意代碼防范設(shè)備，配置惡意代碼特征庫(kù)來(lái)實(shí)現(xiàn)惡意代碼防范;在郵件域邊界部署防垃圾郵件網(wǎng)關(guān)，用以防止計(jì)算機(jī)病毒、木馬、蠕蟲(chóng)和邏輯炸彈的攻擊以及通過(guò)郵件進(jìn)入網(wǎng)絡(luò)。

（5）區(qū)域邊界安全審計(jì)可通過(guò)整合網(wǎng)絡(luò)邊界設(shè)備和重要網(wǎng)絡(luò)節(jié)點(diǎn)的審計(jì)功能實(shí)現(xiàn)。等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)設(shè)立區(qū)域邊界審計(jì)機(jī)制，規(guī)定日志規(guī)格及調(diào)用接口，通過(guò)安全管理中心集中整合區(qū)域邊界上網(wǎng)絡(luò)設(shè)備和安全設(shè)備的審計(jì)日志，對(duì)危及區(qū)域邊界的行為進(jìn)行關(guān)聯(lián)分析、記錄審計(jì)及實(shí)時(shí)報(bào)警。

2.4? 安全計(jì)算環(huán)境

等級(jí)保護(hù)制度對(duì)等級(jí)保護(hù)對(duì)象提出了身份鑒別、計(jì)算環(huán)境訪問(wèn)控制、計(jì)算環(huán)境安全審計(jì)、計(jì)算環(huán)境可信驗(yàn)證、計(jì)算環(huán)境入侵防范和惡意代碼防范、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份與恢復(fù)、剩余信息保護(hù)和個(gè)人信息保護(hù)等方面的要求。

（1）身份鑒別是提高信息系統(tǒng)網(wǎng)絡(luò)安全保護(hù)最基本、最關(guān)鍵的手段。等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)在操作系統(tǒng)及應(yīng)用系統(tǒng)層面設(shè)定唯一用戶(hù)身份標(biāo)識(shí)，同時(shí)可通過(guò)部署公鑰基礎(chǔ)設(shè)施或終端接入控制系統(tǒng)等形式實(shí)現(xiàn)雙因子認(rèn)證。此外，設(shè)置鑒別策略時(shí)應(yīng)對(duì)鑒別失敗、超過(guò)空閑操作規(guī)定時(shí)長(zhǎng)等情況采取必要的加固措施。

（2）計(jì)算環(huán)境訪問(wèn)控制通過(guò)自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制實(shí)現(xiàn)對(duì)資源的管理。自主訪問(wèn)控制為資源所有者對(duì)資源所具有的最高操作權(quán)限，屬主可自行決定是否將自己的客體訪問(wèn)權(quán)或部分訪問(wèn)權(quán)授予其他用戶(hù)，等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)可通過(guò)操作系統(tǒng)自帶的訪問(wèn)控制功能來(lái)操控資源的讀、寫(xiě)、運(yùn)行;強(qiáng)制訪問(wèn)控制即通過(guò)身份鑒別和權(quán)限控制來(lái)判定用戶(hù)對(duì)資源的操作權(quán)限等級(jí)，等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)可利用操作系統(tǒng)本身或應(yīng)用系統(tǒng)的訪問(wèn)控制功能進(jìn)行用戶(hù)授權(quán)，從而實(shí)現(xiàn)強(qiáng)制訪問(wèn)控制。

（3）計(jì)算環(huán)境安全審計(jì)通過(guò)整合計(jì)算環(huán)境內(nèi)業(yè)務(wù)終端、服務(wù)器、數(shù)據(jù)庫(kù)等信息系統(tǒng)部件的操作記錄實(shí)現(xiàn)。等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)在信息系統(tǒng)中合理規(guī)劃審計(jì)功能，規(guī)范日志格式，統(tǒng)一調(diào)用接口，收集記錄運(yùn)維操作、終端操作、數(shù)據(jù)庫(kù)操作、應(yīng)用實(shí)用以及安全時(shí)間的相關(guān)審計(jì)日志。安全管理中心對(duì)審計(jì)日志進(jìn)行匯總管理，并在發(fā)生安全事件時(shí)發(fā)出報(bào)警。

（4）計(jì)算環(huán)境可信驗(yàn)證即通過(guò)配置基于可信根的各類(lèi)引導(dǎo)程序、系統(tǒng)程序、配置參數(shù)等安全組件杜絕引導(dǎo)安裝過(guò)程、執(zhí)行過(guò)程中可能發(fā)生的安全防護(hù)問(wèn)題。等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)部署由可信安全管理平臺(tái)、可信終端軟件、可信軟件庫(kù)、可信芯片組成的免疫保護(hù)平臺(tái)，統(tǒng)一管理所有終端的操作系統(tǒng)、系統(tǒng)環(huán)境、安全軟件及業(yè)務(wù)應(yīng)用，阻止未授權(quán)及不符合預(yù)期的執(zhí)行程序運(yùn)行。

（5）計(jì)算環(huán)境入侵防范是識(shí)別入侵、免疫病毒的重要手段。等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)在所有終端安裝網(wǎng)絡(luò)版防病毒軟件，并遵循最小安裝原則，關(guān)閉不必要服務(wù)及高危端口，構(gòu)建起最基本的病毒防線。針對(duì)計(jì)算環(huán)境惡意代碼防范，等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)在信息系統(tǒng)上部署免疫保護(hù)平臺(tái)，利用可行計(jì)算校驗(yàn)機(jī)制僅允許操作系統(tǒng)完整性安裝可信軟件，阻止未授權(quán)及不符合預(yù)期的執(zhí)行程序運(yùn)行。

（6）數(shù)據(jù)完整性指?jìng)鬏敽痛鎯?chǔ)的數(shù)據(jù)沒(méi)有被非法修改或刪除，其安全需求與數(shù)據(jù)所處的位置、類(lèi)型、數(shù)量和價(jià)值有關(guān)。等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)根據(jù)信息系統(tǒng)的重要性采用數(shù)據(jù)校驗(yàn)技術(shù)、數(shù)字簽名技術(shù)等校驗(yàn)、密碼保密等技術(shù)保證傳輸過(guò)程中的數(shù)據(jù)完整性。

（7）數(shù)據(jù)保密性主要考慮防止信息被未經(jīng)授權(quán)者訪問(wèn)、防止信息在傳遞過(guò)程中被截獲解密，具體可分為動(dòng)態(tài)信息保密性和靜態(tài)信息保密性。在動(dòng)態(tài)數(shù)據(jù)保密性方面，等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)部署 VPN 或其他密碼設(shè)備來(lái)實(shí)現(xiàn)數(shù)據(jù)傳輸過(guò)程中的保密性防護(hù);在靜態(tài)數(shù)據(jù)保密性方面，等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)通過(guò)密碼加密技術(shù)實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)過(guò)程中的保密性防護(hù)。

（8）數(shù)據(jù)備份與恢復(fù)是避免數(shù)據(jù)丟失的重要手段，組織的信息化程度越高，越應(yīng)重視數(shù)據(jù)備份和恢復(fù)。等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)根據(jù)信息系統(tǒng)重要性設(shè)置完全備份、差異備份、增量備份等備份策略;應(yīng)建設(shè)異地機(jī)房對(duì)重要數(shù)據(jù)進(jìn)行備份，并對(duì)其信息系統(tǒng)設(shè)置熱冗余機(jī)制。

（9）剩余信息保護(hù)指的是在存儲(chǔ)空間被釋放或重新分配前，相關(guān)的重要數(shù)據(jù)需要得到徹底清除，同時(shí)未授權(quán)用戶(hù)無(wú)法對(duì)其進(jìn)行非法獲取。等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)在操作系統(tǒng)和業(yè)務(wù)應(yīng)用中建立相關(guān)保護(hù)機(jī)制，確保存儲(chǔ)空間被釋放或重新分配之前實(shí)現(xiàn)資源完全清除，且該過(guò)程中資源無(wú)法被其他用戶(hù)或業(yè)務(wù)應(yīng)用調(diào)用。

（10）根據(jù)《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定，信息系統(tǒng)應(yīng)當(dāng)僅采集和保存必需的用戶(hù)個(gè)人信息，禁止采集與業(yè)務(wù)無(wú)關(guān)的個(gè)人信息。等級(jí)保護(hù)對(duì)象進(jìn)行個(gè)人信息保護(hù)時(shí)應(yīng)部署行為管理系統(tǒng)，通過(guò)信息系統(tǒng)內(nèi)的訪問(wèn)控制限制非授權(quán)用戶(hù)對(duì)個(gè)人信息的訪問(wèn)和使用。

2.5? 安全管理中心

等級(jí)保護(hù)制度對(duì)等級(jí)保護(hù)對(duì)象提出集中管控、系統(tǒng)管理、審計(jì)管理和安全管理等方面的要求。

（1）安全管理中心通過(guò)對(duì)安全通信網(wǎng)絡(luò)、安全區(qū)域邊界和安全計(jì)算環(huán)境的統(tǒng)一管控，建立了集中統(tǒng)一的縱深防御體系。等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)將安全管理中心部署在單獨(dú)的管理域中，集中管控等級(jí)保護(hù)對(duì)象所涉及的通信鏈路、網(wǎng)絡(luò)及安全設(shè)備、服務(wù)器、終端等組件，并對(duì)其進(jìn)行資源管理、運(yùn)行監(jiān)測(cè)、審計(jì)日志收集及分析、安全策略分發(fā)、補(bǔ)丁升級(jí)等安全操作。

（2）系統(tǒng)管理指系統(tǒng)管理員在安全管理中心運(yùn)行維護(hù)工作的平臺(tái)。等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)部署運(yùn)維安全管理系統(tǒng)，并將信息系統(tǒng)資源信息納入該系統(tǒng)管理范圍，使系統(tǒng)管理員可以此進(jìn)行資源配置和管理、系統(tǒng)異常處置、數(shù)據(jù)或設(shè)備的備份與恢復(fù)。

（3）審計(jì)管理指集中管理分布在等級(jí)保護(hù)對(duì)象各處的安全審計(jì)機(jī)制，通過(guò)對(duì)審計(jì)數(shù)據(jù)進(jìn)行查詢(xún)、統(tǒng)計(jì)、分析，實(shí)現(xiàn)用戶(hù)行為監(jiān)測(cè)和危險(xiǎn)行為告警的功能。等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)收集各類(lèi)日志，包括但不限于網(wǎng)絡(luò)設(shè)備日志、安全設(shè)備日志、業(yè)務(wù)應(yīng)用日志、數(shù)據(jù)庫(kù)日志等信息，并由安全管理中心進(jìn)行集中統(tǒng)一管理。

（4）安全管理是指對(duì)信息內(nèi)各類(lèi)用戶(hù)系統(tǒng)進(jìn)行統(tǒng)一的身份管理、授權(quán)管理。等級(jí)保護(hù)對(duì)象設(shè)計(jì)時(shí)應(yīng)在安全管理中心實(shí)現(xiàn)集中賬號(hào)管理、集中訪問(wèn)控制、集中安全審計(jì)等功能，并且應(yīng)單獨(dú)部署在運(yùn)維域，實(shí)現(xiàn)和業(yè)務(wù)數(shù)據(jù)的隔離。

參考文獻(xiàn)：

[1 ] 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2021年上半年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)分析報(bào)告[ R].2021，https：∥ www.cert.org.cn/publish/main/upload/File/first?half%20%20year%20cyberseurity%20report%202021.pdf.

[2] 胡鵬，王暉.基于等級(jí)保護(hù)2.0的政務(wù)信息系統(tǒng)安全保障體系設(shè)計(jì)思路[ J].辦公自動(dòng)化，2021，26（4）：15?17.

[3] 郝君婷.等保2.0標(biāo)準(zhǔn)發(fā)布網(wǎng)絡(luò)安全呈現(xiàn)新生態(tài)—網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0國(guó)家標(biāo)準(zhǔn)宣貫會(huì)側(cè)記[ J].保密科學(xué)技術(shù)，2019（7）：8? 11.

[4] GB/T 22239?2019.信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[ S].2019.

[5] 馬力，陳廣勇，祝國(guó)邦.網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0國(guó)家標(biāo)準(zhǔn)解讀[ J].保密科學(xué)技術(shù)，2019（7）：14?19.

[6] GB/T 22239?2019.網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求[ S].2019.

作者簡(jiǎn)介：

黃海（1994—） ，本科，網(wǎng)絡(luò)工程師，研究方向：信息系統(tǒng)建設(shè)及維護(hù)。

陳章芬（1991— ），碩士，通信工程師，研究方向：信息系統(tǒng)建設(shè)及維護(hù)。