劉莉莉 呂 斌

1(甘肅省中醫(yī)院 蘭州 730050) 2(蘭州交通大學(xué)交通運(yùn)輸學(xué)院 蘭州 730071)

網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是我國在國民經(jīng)濟(jì)和社會(huì)信息化發(fā)展過程中，提高信息安全保障能力和水平，維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度.網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0(簡稱等保2.0)將對應(yīng)《中華人民共和國網(wǎng)絡(luò)安全法》(簡稱《網(wǎng)絡(luò)安全法》)中的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，是《網(wǎng)絡(luò)安全法》落地的舉措[1].

有效地實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，可以讓各組成部分發(fā)揮協(xié)同、聯(lián)動(dòng)作用，實(shí)現(xiàn)保護(hù)作用最大化，極大地發(fā)揮人的主觀能動(dòng)性作用，增強(qiáng)保護(hù)效力.在促進(jìn)我國網(wǎng)絡(luò)空間安全建設(shè)與發(fā)展方面，發(fā)揮了積極、重要的作用.網(wǎng)絡(luò)安全等級(jí)保護(hù)是按照信息系統(tǒng)重要性進(jìn)行劃分，施行分級(jí)管理、分級(jí)保護(hù)的一項(xiàng)工作[2].

本文將針對等保2.0體系建設(shè)進(jìn)行討論，以衛(wèi)生行業(yè)為例，通過定性研究法、案例分析法、專家訪談法等方式，探討如何通過體系化建設(shè)，在更好地落實(shí)等保2.0體系建設(shè)的同時(shí)，加強(qiáng)對國家關(guān)鍵信息基礎(chǔ)社會(huì)的保護(hù)，對我國網(wǎng)絡(luò)安全建設(shè)展開觀察、研究、分析.

1 新形勢下網(wǎng)絡(luò)安全現(xiàn)狀特點(diǎn)

1) 粗放式的管理方式，難以及時(shí)響應(yīng)、定位、追查安全事件.

隨著信息技術(shù)的高速發(fā)展，我國正呈現(xiàn)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大、設(shè)備數(shù)量不斷增加，建設(shè)重點(diǎn)向深度應(yīng)用化、重安全運(yùn)營與服務(wù)等方向發(fā)展的特點(diǎn).但由此也將產(chǎn)生諸多潛在風(fēng)險(xiǎn)，例如粗放式的運(yùn)維人員權(quán)限管理，常常出現(xiàn)賬號(hào)權(quán)限過大、內(nèi)部操作權(quán)限濫用、無法有效控制賬號(hào)使用范圍等情況.一旦發(fā)生安全事故，難以在第一時(shí)間定位賬號(hào)的實(shí)際使用者和責(zé)任人.同時(shí)，由于不同設(shè)備的日志內(nèi)容較為分散，運(yùn)維人員很難根據(jù)實(shí)際業(yè)務(wù)情況制定統(tǒng)一策略，無法對違規(guī)行為進(jìn)行及時(shí)響應(yīng)與追查取證.

2) 數(shù)字化、智慧化發(fā)展，容易導(dǎo)致數(shù)據(jù)泄露.

當(dāng)前，我國正向智慧化、數(shù)字化大國邁進(jìn).但隨著新技術(shù)的應(yīng)用，新型的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也由此產(chǎn)生.一方面，線上平臺(tái)普遍存在多種邏輯漏洞，可能導(dǎo)致身份等敏感數(shù)據(jù)泄露[3].另一方面，隨著敏感端口開放數(shù)量的增加，也讓更多核心資產(chǎn)業(yè)務(wù)暴露在外，核心業(yè)務(wù)資產(chǎn)直接對外暴露，極大增加了被不法分子入侵的風(fēng)險(xiǎn).這就吸引了大量攻擊者嘗試通過竊取、買賣敏感數(shù)據(jù)牟取暴利[4].

3) 入侵方式多變、資產(chǎn)管理不到位，易遭受勒索病毒攻擊.

自WannaCry為代表的安全事件爆發(fā)以來，勒索病毒一直都是網(wǎng)絡(luò)安全行業(yè)從業(yè)者重要的關(guān)注點(diǎn).從入侵的方式看，主要是利用系統(tǒng)漏洞入侵和端口爆破(常用的包括1433端口、3389端口等)的方式進(jìn)行攻擊，此外RDP/SMB弱口令爆破、NSA攻擊工具包等方式也極易遭受攻擊.同時(shí)，由于資產(chǎn)管理不到位，導(dǎo)致少數(shù)設(shè)備依然存在風(fēng)險(xiǎn)，這就造成在遭受勒索攻擊時(shí)無法及時(shí)對數(shù)據(jù)進(jìn)行恢復(fù).

因此，在進(jìn)行等保2.0體系建設(shè)時(shí)，應(yīng)以自身整體信息安全為目標(biāo)，以業(yè)務(wù)需求為主導(dǎo)，構(gòu)建和業(yè)務(wù)需求相匹配的綜合安全防護(hù)能力，并通過落地安全管理制度，加強(qiáng)運(yùn)維過程中的預(yù)警監(jiān)測能力和應(yīng)急處置工作，不斷提高單位的抗攻擊能力.同時(shí)在安全保障工作中通過定期培訓(xùn)、加強(qiáng)應(yīng)急預(yù)案演練、協(xié)同應(yīng)急處置等方面的工作加強(qiáng)人員的安全技能.最終在整個(gè)安全保障工作中全面提升單位的綜合防護(hù)能力.

2 等保2.0體系建設(shè)思路

新形勢下，在對各機(jī)構(gòu)自身安全體系架構(gòu)進(jìn)行設(shè)計(jì)與建設(shè)時(shí)，應(yīng)以“縱深防御”為指導(dǎo)思想，在分析自身安全需求的基礎(chǔ)上，通過建設(shè)“1個(gè)中心”管理下的“3重防護(hù)”體系，分別對通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境進(jìn)行管理，實(shí)施多層隔離和保護(hù)措施，建立預(yù)警、防護(hù)、檢測、響應(yīng)自適應(yīng)閉環(huán)的安全防護(hù)體系，提升整體安全防御能力，構(gòu)建單位可信、可控、可管的安全防護(hù)體系.

在圍繞等保2.0體系化建設(shè)實(shí)踐中，本文以醫(yī)療行業(yè)為例，從整體安全策略、網(wǎng)絡(luò)安全等級(jí)保護(hù)制度、安全技術(shù)體系、安全管理體系和安全服務(wù)體系5個(gè)方面，探討建設(shè)總體安全體系架構(gòu).

2.1 整體安全策略

整體安全策略是以本單位信息化建設(shè)為基礎(chǔ)，立足當(dāng)下，著眼未來，從全局出發(fā)所制定方針、策略.該策略因與單位內(nèi)所有人息息相關(guān)，因此需要大家必須遵守，嚴(yán)格執(zhí)行.整體安全策略應(yīng)具有戰(zhàn)略高度，并根據(jù)單位所面臨的安全風(fēng)險(xiǎn)不同，而進(jìn)行動(dòng)態(tài)優(yōu)化與更新.

2.2 落實(shí)國家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度

在實(shí)際的安全建設(shè)中：一方面需要落實(shí)國家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，安全保障建設(shè)首先需要對單位系統(tǒng)進(jìn)行科學(xué)的定級(jí)備案，落實(shí)安全整改建設(shè)，通過等級(jí)測評對單位安全防護(hù)能力進(jìn)行有效檢測，在安全運(yùn)營中持續(xù)進(jìn)行安全監(jiān)測和響應(yīng)；另一方面，需要配合上級(jí)單位和監(jiān)管單位進(jìn)行安全監(jiān)督和檢查.

2.3 增強(qiáng)安全技術(shù)體系

在安全技術(shù)體系方面，應(yīng)從計(jì)算環(huán)境安全、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心4個(gè)方面分別設(shè)計(jì)[5].其中，安全計(jì)算環(huán)境是通過實(shí)施安全策略，以保障信息在存儲(chǔ)和處理過程中的安全，主要針對定級(jí)系統(tǒng)的信息進(jìn)行存儲(chǔ)處理.安全計(jì)算環(huán)境包括：用戶身份鑒別、自主訪問控制、標(biāo)記和強(qiáng)制訪問控制、系統(tǒng)安全審計(jì)、用戶數(shù)據(jù)完整性保護(hù)、用戶數(shù)據(jù)保密性保護(hù)、客體安全重用、程序可信執(zhí)行保護(hù)等[6].

通信網(wǎng)絡(luò)安全是在網(wǎng)絡(luò)通信過程中，保證信息的機(jī)密性、完整性，特別是對定級(jí)系統(tǒng)安全計(jì)算環(huán)境之間各類信息傳輸過程實(shí)施防護(hù).安全通信網(wǎng)絡(luò)包括：安全審計(jì)、數(shù)據(jù)傳輸完整性保護(hù)、數(shù)據(jù)傳輸保密性保護(hù)、可信接入保護(hù).

安全區(qū)域邊界主要在互聯(lián)網(wǎng)邊界以及安全計(jì)算環(huán)境與安全通信網(wǎng)絡(luò)之間實(shí)現(xiàn)雙向網(wǎng)絡(luò)攻擊的檢測、告警和阻斷.安全區(qū)域邊界包括：區(qū)域邊界訪問控制、區(qū)域邊界包過濾、區(qū)域邊界安全審計(jì)、區(qū)域邊界完整性保護(hù).

安全管理中心則是對安全技術(shù)體系進(jìn)行管理，包括系統(tǒng)、安全、審計(jì)3方面，同時(shí)按照所劃分的權(quán)限對接口進(jìn)行管理.

2.4 構(gòu)建安全管理體系

在構(gòu)建安全管理體系方面，應(yīng)圍繞整體安全策略，從制度建設(shè)、單位管理、工作人員管理、建設(shè)與運(yùn)維等多方面進(jìn)行統(tǒng)籌規(guī)劃與設(shè)計(jì).重點(diǎn)內(nèi)容包括安全管理機(jī)構(gòu)的組建，安全策略、管理制度、操作規(guī)程、記錄表單等內(nèi)容的安全管理制度體系的補(bǔ)充和完善，安全相關(guān)人員的錄用、培訓(xùn)、授權(quán)和離崗管理，圍繞信息系統(tǒng)全生命周期安全的安全建設(shè)管理和安全運(yùn)維管理[5].

2.5 設(shè)立安全域

在安全域方面，應(yīng)根據(jù)機(jī)構(gòu)各部門不同的職能、重要程度和所涉及信息的重要程度等，對服務(wù)器、各類終端等進(jìn)行安全域的劃分，并從管理和控制2個(gè)維度，劃分不同的安全域，分配不同地址段.不同區(qū)域與區(qū)域之間，因結(jié)構(gòu)不同，可以最大限度地發(fā)揮網(wǎng)絡(luò)性能.

為更好地保障各業(yè)務(wù)系統(tǒng)的正常運(yùn)行，全面提升信息系統(tǒng)的安全保護(hù)水平，細(xì)致地劃分安全域，每個(gè)區(qū)域執(zhí)行相應(yīng)安全策略，實(shí)現(xiàn)全面防護(hù).

在醫(yī)療衛(wèi)生行業(yè)中，醫(yī)院利用網(wǎng)閘劃分為業(yè)務(wù)內(nèi)網(wǎng)和業(yè)務(wù)外網(wǎng).

2.6 強(qiáng)化網(wǎng)絡(luò)安全意識(shí)

通常來看，機(jī)構(gòu)內(nèi)部工作人員在網(wǎng)絡(luò)安全意識(shí)方面的認(rèn)知與實(shí)踐水平，往往直接決定了機(jī)構(gòu)的整體網(wǎng)絡(luò)安全水平.考慮到機(jī)構(gòu)內(nèi)部人員分散性和獨(dú)立性的特點(diǎn)，應(yīng)當(dāng)將強(qiáng)化各部門人員的網(wǎng)絡(luò)安全意識(shí)作為信息化建設(shè)中的重點(diǎn)任務(wù).一方面，要常態(tài)化地開展內(nèi)部整體的網(wǎng)絡(luò)安全培訓(xùn)會(huì)、研討會(huì)，使內(nèi)部所有員工對網(wǎng)絡(luò)安全問題的重要性有清晰和高度的認(rèn)同，從內(nèi)部整體層面統(tǒng)一網(wǎng)絡(luò)安全認(rèn)知；另一方面，在做好各部門內(nèi)部網(wǎng)絡(luò)安全意識(shí)培訓(xùn)的同時(shí)，還要構(gòu)建跨部門網(wǎng)絡(luò)安全協(xié)作意識(shí)培訓(xùn)，使那些經(jīng)常參與跨部門協(xié)作的人員，能夠突破自己原有重視本部門網(wǎng)絡(luò)安全的局限性，將安全意識(shí)上升到跨部門乃至整體、全局的層面.

2.7 健全相關(guān)制度，規(guī)范網(wǎng)絡(luò)安全管理流程

在新時(shí)期網(wǎng)絡(luò)信息化建設(shè)過程中，要想解決好網(wǎng)絡(luò)安全問題，必須建立健全相關(guān)制度，規(guī)范網(wǎng)絡(luò)安全管理流程.關(guān)于應(yīng)急預(yù)案方面.由于網(wǎng)絡(luò)安全事件具有突發(fā)性、難以預(yù)測等特點(diǎn)，往往會(huì)在短期內(nèi)對網(wǎng)絡(luò)安全工作造成嚴(yán)重影響.對此，應(yīng)制定一套行之有效的應(yīng)急管理預(yù)案，設(shè)置專門的應(yīng)急管理部門，并配備專業(yè)化的管理人員，負(fù)責(zé)相關(guān)部門的協(xié)調(diào)、組織及監(jiān)督等各項(xiàng)工作，明確醫(yī)院各業(yè)務(wù)部門在安全事件發(fā)生時(shí)的具體應(yīng)對策略，定期開展應(yīng)急演練.如果發(fā)生突發(fā)事件就可按照規(guī)定流程進(jìn)行處理，尤其是在臨床醫(yī)療與患者服務(wù)部門，從而推動(dòng)醫(yī)院信息化網(wǎng)絡(luò)安全的規(guī)范化.

在信息化平臺(tái)建設(shè)過程中，建立健全完善的計(jì)算機(jī)網(wǎng)絡(luò)安全管理與維護(hù)工作體系是十分必要的.對此，應(yīng)完善相關(guān)工作體系，建立相應(yīng)的責(zé)任追究制度，明確劃分相關(guān)部門的工作職責(zé)，以更好地推動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)安全管理與維護(hù)的有序開展.同時(shí)，還應(yīng)注重考核機(jī)制的建立，對表現(xiàn)良好的工作人員進(jìn)行相應(yīng)的獎(jiǎng)勵(lì)，充分調(diào)動(dòng)起工作人員的積極性，增強(qiáng)員工的凝聚力、向心力，進(jìn)而使各個(gè)部門能夠參與到計(jì)算機(jī)網(wǎng)絡(luò)安全管理與維護(hù)中，大力推動(dòng)醫(yī)院信息化的全面性、全方位建設(shè).

3 結(jié)束語

本文主要圍繞信息化建設(shè)過程中，如何做好網(wǎng)絡(luò)安全工作，切實(shí)保障信息的安全性展開分析與研究.本文的建設(shè)思路已在醫(yī)療行業(yè)進(jìn)行了實(shí)踐，依靠協(xié)同安全運(yùn)營，構(gòu)建了一套成熟、有效的監(jiān)測預(yù)警體系.同時(shí)，依托安全管理平臺(tái)，增強(qiáng)了對安全威脅的分析、處置、響應(yīng)的能力.規(guī)范化、體系化的安全建設(shè)思路，起到了積極引導(dǎo)和促進(jìn)作用.

但同時(shí)也應(yīng)該意識(shí)到，單純依靠信息化建設(shè)、依靠機(jī)器是無法做到百分之百防護(hù)的.在依托成熟的安全技術(shù)和可落地的安全管理措施的同時(shí)，還應(yīng)關(guān)注與人相關(guān)的各要素.建立健全相關(guān)的制度規(guī)范、加強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全建設(shè)、提高對網(wǎng)絡(luò)安全的重視程度、做好數(shù)據(jù)備份、優(yōu)化外部環(huán)境、堅(jiān)持系統(tǒng)思維、大力推動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)安全管理與維護(hù)創(chuàng)新等，最終促進(jìn)網(wǎng)絡(luò)安全與管理取得更好成效，實(shí)現(xiàn)長遠(yuǎn)發(fā)展.