網絡安全的規劃與建設研究

前言：尋找寫作靈感？中文期刊網用心挑選的網絡安全的規劃與建設研究，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

【摘要】文章通過對新版《信息安全技術網絡安全等級保護基本要求》（GB∕T22239-2019）規范進行學習和解讀，并結合項目中網絡建設及其他規范中的各項要求，分析總結網絡安全的規劃及建設要點，對實際項目中信息安全技術網絡安全等級保護提供參考。

【關鍵詞】等級保護制度；網絡建設；網絡安全；信息保護

1引言

隨著網絡信息技術在國民生活、經濟領域占比的不斷增大，國家越來越重視信息安全，將計算機網絡技術的普及和拓展，以及信息、網絡安全提升到國家安全的高度，并針對性地制定了相關法律法規。1994年國務院頒布了《中華人民共和國計算機信息系統安全保護條例》，該條例首次在法律法規層面提出計算機信息系統必須實行等級保護。2008年國家頒布《信息安全技術-信息系統安全等級保護定級指南》《信息安全技術-信息系統安全等級保護基本要求》等一系列行之有效的信息安全管理標準，旨在提高政府內部信息系統的安全防護能力，降低系統被攻擊的風險，自此，等級保護工作開始被大眾所熟知，當年頒布的一系列標準被稱為“等保1.0”。但伴隨著信息網絡技術的發展，人工智能、物聯網、云計算、大數據等新技術的出現與應用，原有的等保1.0標準已不能滿足當代信息網絡系統的安全建設要求，因此，為了順應時代的發展，國家于2019年5月13日相繼頒布了新版的《信息安全技術網絡安全等級保護基本要求》《信息安全技術網絡安全等級保護安全設計技術要求》《信息安全技術網絡安全等級保護測評要求》等一系列具有指導意義的信息技術網絡安全等級保護標準。自此，我國信息技術網絡安全等級保護工作開始進入“等保2.0”時代。對比“等保1.0”，“等保2.0”在保護對象、保障體系、防御理念方面發生重大變化，定級流程嚴苛、測評周期變短。其他方面，“等保2.0”積極要求在網絡安全中加入“可信計算”技術，要求對通信設備進行“可信驗證”的要求；同時，“等保2.0”中還加入通用要求和安全擴展相關內容，更具適應性；標準在安全內容、章節目錄、分類結構上等方面均作出明顯地調整修改（見表1）?！暗缺?.0”標準涉及的保護對象廣泛全面，基本覆蓋各行各業的信息網絡系統。因此，該標準是國家落實重點項目網絡安全、信息安全、數據安全的重要手段，是建立健全網絡基礎設施的重要依據，已成為實現國家網絡安全的一項基本制度。

2“等保2.0”基本框架

“等保2.0”的基本框架包含了安全技術要求和安全管理要求兩大部分。分別從安全保護技術措施和安全管理措施上對被保護對象提出了具體的安全防護和管理要求。因網絡安全管理部分會根據自身的管理架構及行業特點，形式多樣，本文不討論此部分內容，著重對技術方案的安全管理中心、安全通信網絡、安全區域邊界、安全計算環境[1]四部分內容解析說明。

2.1安全管理中心安全管理中心屬于新增重點章節，包括系統管理、安全管理、審計管理和集中管控四個部分，目標是建立統一管理安全技術體系的集中管理平臺，是安全體系建立的核心部分，屬于頂層設計。在安全管理中心的構建中，對整個系統按照管理人員權限劃分，提供對應的管理接口與系統資源；同時，中心匯總各方上傳的數據進行集中分析，并建立預警機制，提前告警，對安全進行統一管理與把控；中心對各類日志文件進行審計審查，實現定期掃描，識別修復系統漏洞，排除安全隱患。工作重點集中在數據庫安全、日常安全運維、漏洞掃描、補丁升級、等保安全一體機、等保網絡安全咨詢等一系列服務。2.2安全通信網絡安全通信網絡主要從系統網絡架構、通信傳輸、可信驗證三個方面去構建可靠、受信、安全的通信網絡系統。它保障了信息傳輸的安全，提供良好的受信通信網絡，同時，合理選擇密碼技術可確保通信數據的完整性和保密性。工作重點集中在防火墻、VPN設備、路由器和交換機等設備的安全性上。

2.3安全區域邊界

安全區域邊界部分涉及內容多，由六部分組成，分別是邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計、可信驗證。安全區域邊界用于搭建系統網絡層的防護能力，維護內部計算環境與外部通信網絡之間的邊界安全，對外實行入侵防護與阻斷、訪問控制、攻擊檢測，維護內部系統安全[3]，可形成全局安全可視能力，同時實現高級威脅防護。工作重點集中在防火墻技術及配置、入侵檢測/防御、登錄身份認證、可信驗證、動態防御系統、人員上網行為管理等方面。

2.4安全計算環境

安全計算環境與安全區域邊界相比，則是對系統內部組件、接入端口、應用系統等內容的安全鑒別與防護，可分為認證權限管理，如身份鑒別、訪問控制、安全審計；入侵防范，如惡意代碼防范、可信驗證；數據安全，如數據完整性、數據保密、數據備份恢復；信息安全，如剩余信息保護、個人信息保護4部分，是保障系統內部的訪問登錄控制、數據存儲處理、信息保護方面的安全防護要求[2]，項目中合理劃分安全域，拆解復雜系統的安全問題，從而保證信息流在交換過程中的安全性。工作重點集中在數據庫安全、網頁防篡改、漏洞風險評估、數據備份與恢復、信息保護等方面。上文闡述了“等保2.0”標準中技術要求部分的主要內容及工作重點，其中安全管理中心屬于新增的獨立章節，在防護結構中又占據中心地位，其重要性不言而喻，下文將對安全管理中心章節進行著重分析說明。

3安全管理中心規劃與建設

安全管理中心章節由系統管理、審計管理、安全管理和集中管控四個部分組成，其中前三個部分又分別對應系統管理員、審計管理員和安全管理員的工作內容和管控要求，管理形成“三權分立”的形式。系統管理員、審計管理員和安全管理員三者之間權責分明，又相互依存，是維護網絡系統安全的基礎。安全管理中心作為信息網絡安全管理的總指揮，擔負著調度系統資源，共同抵御針對業務系統、數據的各種威脅和入侵，保證業務不間斷正常運行的責任。

3.1系統管理

因系統管理員是系統資源分配、配置系統運行參數的唯一主體，所以系統應從流程上嚴格控制和監督系統管理員的身份鑒別、命令操作、界面控制和操作審計等功能。在搭建系統時，應補足漏洞，避免其他用戶通過其他途徑獲得控制權限，埋下安全隱患。從技術層面和條文說明上來說，系統管理員的權限控制要求有兩點，第一點即系統需要設置有專門的登錄界面供系統管理員登錄，不可隨意登錄，同時所有的登錄和操作命令都應被記錄，以備審計。另外一項則要求設置唯一的系統管理員賬戶，只有系統管理員有權限進行某些特定操作，操作過程同樣需要記錄。在開發管理軟件時就必須留有相應的登錄管理界面，對于系統的身份鑒別，常規可采用密碼和身份驗證服務器，也可增加驗證碼，采用移動key等方式，同時在安全計算環境章節中明確有要求采用包括密碼技術在內的兩種以上身份鑒別方式。

3.2審計管理

因審計管理員是審計記錄分析和管控的唯一主體，對審計策略、審計記錄具有獨立管控的權限，與系統管理員功能類似，需具備對審計管理員的身份鑒別、特定命令、操作界面控制和操作審計等功能?！暗缺?.0”中著重強調審計功能，并設置單獨的審計管理員，將審計工作提升至日常重點管理維護的高度，并在安全區域邊界、安全計算環境章節部分也提及審計等相關要求，但各部分側重點不同，要求不同。其中，安全管理中心章節部分的審計重點在審計審查管理員的各種操作日志。審計管理員的日常工作就是對管理日志進行審計分析，因此，系統應實現自動記錄留檔管理人員的日常操作命令及操作內容，形成獨立的管理日志，以供審計審查。系統應根據建設方要求及項目性質靈活選擇記錄日志存儲時間，但至少不應低于6個月的操作審計記錄[4]，記錄包括但不限于信息的存儲、查詢、保護、備份等內容。

3.3安全管理

安全管理員是唯一能調整修改系統安全策略和進行安全參數配置的人員，其重要性不言而喻，因此，與系統管理員、審計管理員功能類似，系統應具備身份鑒別、操作界面控制等一系列基本功能。同時，安全管理員需具備安全權限，包括系統安全參數設定、可信驗證策略制定和各類用戶授權等[4]，其日常工作是制定系統安全策略、各種訪問登錄授權、安全配置巡檢、安全日志存儲、安全審計、安全標記等。

3.4集中管控

集中管控是對系統中的安全設備和組件進行集中管控，類似于集中管理平臺功能，屬于頂層設計，占據獨立的網絡資源，對傳輸鏈路通信安全性要求高。集中管控能有效提高管理效率，加強各方面的聯動配合，可實時監控設備的狀態，及時定位和處理系統故障；對各部分上傳數據進行匯總和分析，建立系統數據庫，對安全事件可進行識別和關聯分析，建立預警告警機制；整合資源，實現安全策略配置、惡意代碼識別、系統升級的集中控制。集中管控可集中管理用戶的權限及審計，運維人員可通過此部分功能，集中管控網絡系統、制定安全策略、日志管理、中高危漏洞管理、危險告警、安全事件管理等。

4結語

國家頒布最新的網絡安全保護法案，旨在通過網絡安全保護等級建設形成有效的組織管理、健全的機制建設、完善的安全規劃以及安全監測。同時建立通報預警機制、應急處置措施等多種措施，建立可靠的安全可控體系。通過對標準的學習解讀，在設計及實施階段將規范落實到項目實處，有效地建立起國家網絡安全的防御體系，保證網絡安全。

參考文獻

[1]費黎麗.信息系統等級保護測評報告自動評分研究[D].北京：北京交通大學，2021.
[2]劉莉莉，呂斌.新形勢下網絡安全等級保護2.0體系建設探索與實踐[J].信息安全研究，2022，8（2）：196-199.

[3]胡鵬，王暉.基于等級保護2.0的政務信息系統安全保障體系設計思路[J].辦公自動化，2021，26（4）：15-17.

[4]王睿.南京廣電集團共享式全域網絡安全技術平臺建設[J].影視制作，2021，27（2）：78-81.

作者:趙琳霞 傅東東單位:廣州市設計院集團有限公司