等保2.0制度框架下网络信息安全防护体系构建研究
作者: 安述照 万晓燕
摘要:等保2.0制度体现了国家对网络信息安全环境的重视,做好等保测评对企业网络信息安全、社会网络信息安全和国家网络空间安全都有着重要意义。本文阐述了等保2.0制度的基本理论、必要性,然后从技术层面、管理层面和安全技术人才培养层面等三个维度来阐明构建网络信息安全防护体系的策略和建议。
关键词:等保2.0;网络信息安全;防护体系
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2022)19-0028-03
随着新一代信息技术和网络的迅速发展,国家安全的概念已经超越地理空间的范畴,扩展到网络空间,网络空间安全成为国家安全的重要组成部分[1]。世界各国进入网络空间安全战略部署期,同时网络安全威胁的范围和种类不断扩大,网络安全形势日益严峻多变。“滴滴数据泄密事件”引发我国对信息安全的重视,也表明我国面临国内外更加复杂的网络安全形势。
“没有网络安全就没有国家安全”这是习近平总书记于2014年2月27日在中央网络安全和信息化领导小组第一次会议上的讲话。这标志着我国把网络安全提升到国家层面,对网络安全的认知提升到新的高度和境界。
1 等保2.0介绍
2019年5月13日,《网络安全等级保护制度2.0》(以下简称“等保2.0”)标准正式发布,并已于2019年12月1日开始实施,推动中国网络安全技术大飞跃。
1.1 等保2.0的含义
等保2.0是在等保1.0标准的基础上修改完善的,更加注重主动防御,加强从被动防御至事前、事中、事后的全流程动态感知、审计和防御,从而实现对传统的基础信息网络、新一代信息技术及工业自动化控制等对象的全面保护。
1.2 等保2.0与1.0的异同点
(1)相同点
五个级别不变
从一级到五级依次为:用户自主级保护、系统审计级保护、安全标记级保护、结构化级保护、访问验证级保护。
规定动作不变
规定的动作分别是:定级、备案、建设整改、等级测评、监督检查。
主体职责不变
网络安全对所定级对象的备案受理和监督检查职责不变,第三方测评机构对所定级对象的安全评估职责不变,上级主管部门对下属单位的安全管理职责不变,运营单位对所定级对象的保护职责不变。
(2)不同点
等保1.0已无法应对当前的安全风险和新威胁,被动防御为主的方式无法满足当前发展需求。等保2.0适时而出,从标准内容、法律法规、安全体系、安全实施等方面都做了完善。
标准依据的变化
从条例法规提升到国家法律层面。等保1.0是国务院发布的147号令,而等保2.0标准是遵循《中华人民共和国网络安全法》,要求全面实施安全等级保护制度,如果单位不开展等级保护等同于违法。
标准要求变化
等级2.0对大数据、云计算、物联网、工业控制、移动互联网、人工智能等新技术提出新的安全扩展标准[2],同时满足“通用+扩展”要求。删除过时的测评项目,完善不合理测评项,新增了对个人信息保护和新型网络攻击行为的防护等新测评要求,调整了网络安全标准结构,将安全管理的中心由管理层面提升到技术层面。等级2.0标准覆盖面更广,安全防护能力大大提升。
安全体系变化
等保2.0的标准依然是“一个中心、三重防护”的架构,从等保1.0的被动防御体系转向事前预防、事中回应、事后审计的动态安全管理保障体系和具有相应等级安全保护的综合防御体系。保障安全开展组织管理、队伍建设、教育培训、安全规划、技术检测、机制建设、经费保障、态势感知、监督检查、能力建设、应急处置和通报预警等工作。
等级规定动作
等保2.0在定级对象、定级级别、定级流程、测评合格要求、监督检查的实施过程进行了优化和调整。
1.3 等保2.0采用的框架结构
安全物理环境:主要针对网络机房制定的安全技术指标。是面向机房环境、物理设备和设施等,主要内容包括设备安装位置、设备控制、防盗装置、防水、防雷击设备、防静电设施、温湿度监测、电力供应系统和电磁防护等。
安全通信网络:是针对通信网络制定的安全控制指标。主要对象是局域网、城域网和广域网等,主要内容包括通信传输安全、网络架构和身份验证等。
安全区域边界:针对网络边界制定的安全控制指标[3]。主要包括区域边界及系统边界。主要内容涵盖边界防护策略、访问控制策略、入侵检测规则、恶意代码审计、安全审计和身份验证等。
安全计算环境:针对安全边界的内部而设定的安全指标。对象是边界内部的所有软硬件设备,包括网络互联设备、安全设备、服务器、终端、操作系统、应用软件、数据和其他设备等;主要内容包括身份验证、安全审计、访问控制、入侵检测、防范恶意代码、数据完整性和保密性、数据备份与恢复和个人信息保护等。
安全管理中心:是针对整个系统制定的安全管理方面的技术指标,主要安全控制中心包括审计管理模块、系统管理模块、集中管控系统和安全管理制度等。
安全管理制度:是针对管理制度体系制定的安全控制指标,主要内容包括管理制度、安全策略的制定和发布、管理制度的评审和修订等。
安全管理机构:是针对管理组织架构制定的安全控制指标,主要内容包括岗位设置、技术人员配备、授权及审批、团队沟通和合作等。
安全管理人员:是针对人员管理制定的安全规章制度,涉及的内容包括技术人员录用、职员离岗(离职)、安全意识教育与培训以及外来人员访问管理等。
安全建设管理:是针对安全建设过程制定的规则和要求,主要内容包括安全定级和备案、系统安全方案设计、安全设备采购和使用、软件开发、工程实施、系统测试与验收、系统交付、系统等级测评及服务供应商管理等。
安全运维管理:是针对安全运维过程制定的规章和规则,主要内容包括资产管理、设备管理、介质管理、备份与恢复管理、漏洞与风险管理、变更管理、设备配置管理、系统安全管理、安全事件处置、恶意代码防范管理、密码管理、应急预案管理等。
2 做好等保2.0的必要性
网络安全已经上升到国家层面,实施等保2.0制度,是保护信息化的健康发展,维护国家利益的根本保障,是国家意志在信息安全保障工作中的体现[4]。
2.1 系统安全
系统安全是保障所有企事业单位正常运转的基础,也是数据信息安全的基石。通过对单位的等级保护测评,可以发现其系统内、外存在的安全漏洞和风险,以便通过整改措施,提高系统的信息安全防护能力。然后再根据等级保护标准进行检测和信息系统分析,以划分安全等级,实施分等级保护,保障系统安全。
2.2 法律规定
等保 2.0 标准的依据是《中华人民共和国网络安全法》,所有在中国的企事业单位都要遵守国家法律法规,按要求去开展网络安全等级保护工作,否则就是违法行为。
2.3 行业需求
很多部门或行业依赖网络进行信息化办公或通信,特别注重网络安全和信息安全。主要有:政府机关、金融、能源、电力、电信、医疗、新一代信息产业和教育等。
2.4 规避风险
等保2.0制度可以通过等保测评,找出单位网络系统存在的高风险安全因素,并按照标准和建议整改,能够提高信息系统的信息安全防护能力,满足自身业务发展需求[5]。
3 等保2.0制度框架下网络信息安全防护体系构建建议
要落实等保2.0制度,构建安全可靠的防护体系,要从技术层面、管理层面和安全技术人才培养层面等进行把控,提高网络信息安全管理与技术水平。
3.1 技术层面
防火墙技术(包括WAF)、防病毒(木马)技术、入侵检测技术(IDS)、入侵防御技术(IPS)、态势感知、行为日志等是重点加强防护的技术手段。在一个局域网中至少采用3~4种的技术方能达到基本的网络安全水平。
(1)防火墙技术:是抵御外来攻击的第一道屏障,加强扫描过滤进出网络的数据,对数据流量进行监测和登记,隔离外来的攻击和恶意代码的入侵,保障内部主机、网站和数据安全。
(2)防病毒(木马)技术:防病毒(木马)技术是通过利用软、硬件技术阻止其网络传播。要实时更新病毒库,对网络中的主机进行检测、杀毒与修复。
(3)入侵检测技术:Intrusion Detection System(IDS),能够对内部、外部的攻击和误操作实时监控,识别恶意使用网络资源的行为,并做出相应报警和处理[6]。
(4)入侵防御技术。Intrusion Prevention System(IPS),这是对防病毒(木马)系统和防火墙技术的补充。IPS加强检查网络中传输的数据包,识别数据包的真正用途,决定数据包的去留,保障网络数据传输的安全性。
(5)漏洞扫描技术。网络攻击、病毒木马入侵大都是利用漏洞,因此要定时对系统进行漏洞扫描,分析检测报告,评估网络风险等级,然后进行系统升级或修补漏洞。
(6)行为日志分析技术。黑客的入侵行为会被行为日志设备记录下痕迹,通过分析日志记录,能够发现系统中存在的威胁与攻击,对存在的后门、漏洞、木马等进行检测、清理和修复。
(7)态势感知。充分利用态势感知的基于环境、动态、整体地预知安全风险能力,进行安全大数据分析,从全局视角发现识别安全威胁,并做出相应处置,为管理员提供决策与行动依据。
3.2 管理层面
(1)完善管理制度
要依据单位实情和网络安全的等级防护规定,制定网络安全防护工作机制,建立网络信息安全领导小组和安全管理小组,明确网络安全责任人。要制定网络安全事件应急处置方案及上报制度,落实专人负责,明确责任,提高突发事件应急处置能力[7]。
(2)强化民众安全意识
要充分认识到网络信息安全意识的重要性,这是信息安全工作中的重要一环,让社会民众充分认识到网络信息安全在工作和学习中的重要性和紧迫性。大力开展《中华人民共和国网络安全法》的普法宣传和教育工作,增强工作人员的网络安全责任意识,减少因失误带来的风险和损失。
(3)增强工作人员安全防御能力
网络技术的发展使企事业单位的信息化办公普及化,对网络信息安全的水平逐步提升,要提高全员的信息安全专业能力:一是引进高水平人才或培训现有技术人员,打造高水平专业技术团队;二是开展网络信息安全科普培训,普及信息泄露的途径和危害性,提升全员的网络信息安全综合能力和技术水平。
(4)重视安全技术
要增强信息化管理人员的安全意识,不断关注网络安全最新动态,对系统进行升级和修补漏洞,学习网络安全的新技术新举措,如:数据加密、数据分析、防火墙(WAF)技术、入侵检测技术(IDS)、漏洞扫描、反病毒木马技术等,提升网络安全应急响应能力,对相关日志、数据进行全面审计,及时采取封堵、阻止、限流等安全技术进行应急防护响应。
(5)建立督查、保障机制
网络安全问题要万分重视,不能麻痹大意,要加强信息安全技术监控与检查力度,对防护措施不力的人员加强教育和整改,落实和追究安全责任。在技术支持上加强保障,鼓励技术创新和变革,提高技术人员的积极性。
3.3 人才培养层面
网络安全问题日益突出,对网络信息安全人才不断提出新的要求。当前,我国网络信息安全人才紧缺,同时也存在大部分从业人员能力素质不高、结构不合理等问题,与保护国家网络空间安全、建设网络强国的目标不适应。我国网络安全技术学科建设刚刚起步,需要多途径培养安全技术人才。