新形勢下網絡安全等級保護2.0體系建設探索與實踐

劉莉莉 呂 斌

1(甘肅省中醫院 蘭州 730050) 2(蘭州交通大學交通運輸學院 蘭州 730071)

網絡安全等級保護制度是我國在國民經濟和社會信息化發展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設健康發展的一項基本制度.網絡安全等級保護2.0(簡稱等保2.0)將對應《中華人民共和國網絡安全法》(簡稱《網絡安全法》)中的網絡安全等級保護制度，是《網絡安全法》落地的舉措[1].

有效地實施網絡安全等級保護制度，可以讓各組成部分發揮協同、聯動作用，實現保護作用最大化，極大地發揮人的主觀能動性作用，增強保護效力.在促進我國網絡空間安全建設與發展方面，發揮了積極、重要的作用.網絡安全等級保護是按照信息系統重要性進行劃分，施行分級管理、分級保護的一項工作[2].

本文將針對等保2.0體系建設進行討論，以衛生行業為例，通過定性研究法、案例分析法、專家訪談法等方式，探討如何通過體系化建設，在更好地落實等保2.0體系建設的同時，加強對國家關鍵信息基礎社會的保護，對我國網絡安全建設展開觀察、研究、分析.

1 新形勢下網絡安全現狀特點

1) 粗放式的管理方式，難以及時響應、定位、追查安全事件.

隨著信息技術的高速發展，我國正呈現網絡規模不斷擴大、設備數量不斷增加，建設重點向深度應用化、重安全運營與服務等方向發展的特點.但由此也將產生諸多潛在風險，例如粗放式的運維人員權限管理，常常出現賬號權限過大、內部操作權限濫用、無法有效控制賬號使用范圍等情況.一旦發生安全事故，難以在第一時間定位賬號的實際使用者和責任人.同時，由于不同設備的日志內容較為分散，運維人員很難根據實際業務情況制定統一策略，無法對違規行為進行及時響應與追查取證.

2) 數字化、智慧化發展，容易導致數據泄露.

當前，我國正向智慧化、數字化大國邁進.但隨著新技術的應用，新型的網絡安全風險也由此產生.一方面，線上平臺普遍存在多種邏輯漏洞，可能導致身份等敏感數據泄露[3].另一方面，隨著敏感端口開放數量的增加，也讓更多核心資產業務暴露在外，核心業務資產直接對外暴露，極大增加了被不法分子入侵的風險.這就吸引了大量攻擊者嘗試通過竊取、買賣敏感數據牟取暴利[4].

3) 入侵方式多變、資產管理不到位，易遭受勒索病毒攻擊.

自WannaCry為代表的安全事件爆發以來，勒索病毒一直都是網絡安全行業從業者重要的關注點.從入侵的方式看，主要是利用系統漏洞入侵和端口爆破(常用的包括1433端口、3389端口等)的方式進行攻擊，此外RDP/SMB弱口令爆破、NSA攻擊工具包等方式也極易遭受攻擊.同時，由于資產管理不到位，導致少數設備依然存在風險，這就造成在遭受勒索攻擊時無法及時對數據進行恢復.

因此，在進行等保2.0體系建設時，應以自身整體信息安全為目標，以業務需求為主導，構建和業務需求相匹配的綜合安全防護能力，并通過落地安全管理制度，加強運維過程中的預警監測能力和應急處置工作，不斷提高單位的抗攻擊能力.同時在安全保障工作中通過定期培訓、加強應急預案演練、協同應急處置等方面的工作加強人員的安全技能.最終在整個安全保障工作中全面提升單位的綜合防護能力.

2 等保2.0體系建設思路

新形勢下，在對各機構自身安全體系架構進行設計與建設時，應以“縱深防御”為指導思想，在分析自身安全需求的基礎上，通過建設“1個中心”管理下的“3重防護”體系，分別對通信網絡、區域邊界、計算環境進行管理，實施多層隔離和保護措施，建立預警、防護、檢測、響應自適應閉環的安全防護體系，提升整體安全防御能力，構建單位可信、可控、可管的安全防護體系.

在圍繞等保2.0體系化建設實踐中，本文以醫療行業為例，從整體安全策略、網絡安全等級保護制度、安全技術體系、安全管理體系和安全服務體系5個方面，探討建設總體安全體系架構.

2.1 整體安全策略

整體安全策略是以本單位信息化建設為基礎，立足當下，著眼未來，從全局出發所制定方針、策略.該策略因與單位內所有人息息相關，因此需要大家必須遵守，嚴格執行.整體安全策略應具有戰略高度，并根據單位所面臨的安全風險不同，而進行動態優化與更新.

2.2 落實國家網絡安全等級保護制度

在實際的安全建設中：一方面需要落實國家網絡安全等級保護制度，安全保障建設首先需要對單位系統進行科學的定級備案，落實安全整改建設，通過等級測評對單位安全防護能力進行有效檢測，在安全運營中持續進行安全監測和響應；另一方面，需要配合上級單位和監管單位進行安全監督和檢查.

2.3 增強安全技術體系

在安全技術體系方面，應從計算環境安全、安全區域邊界、安全通信網絡和安全管理中心4個方面分別設計[5].其中，安全計算環境是通過實施安全策略，以保障信息在存儲和處理過程中的安全，主要針對定級系統的信息進行存儲處理.安全計算環境包括：用戶身份鑒別、自主訪問控制、標記和強制訪問控制、系統安全審計、用戶數據完整性保護、用戶數據保密性保護、客體安全重用、程序可信執行保護等[6].

通信網絡安全是在網絡通信過程中，保證信息的機密性、完整性，特別是對定級系統安全計算環境之間各類信息傳輸過程實施防護.安全通信網絡包括：安全審計、數據傳輸完整性保護、數據傳輸保密性保護、可信接入保護.

安全區域邊界主要在互聯網邊界以及安全計算環境與安全通信網絡之間實現雙向網絡攻擊的檢測、告警和阻斷.安全區域邊界包括：區域邊界訪問控制、區域邊界包過濾、區域邊界安全審計、區域邊界完整性保護.

安全管理中心則是對安全技術體系進行管理，包括系統、安全、審計3方面，同時按照所劃分的權限對接口進行管理.

2.4 構建安全管理體系

在構建安全管理體系方面，應圍繞整體安全策略，從制度建設、單位管理、工作人員管理、建設與運維等多方面進行統籌規劃與設計.重點內容包括安全管理機構的組建，安全策略、管理制度、操作規程、記錄表單等內容的安全管理制度體系的補充和完善，安全相關人員的錄用、培訓、授權和離崗管理，圍繞信息系統全生命周期安全的安全建設管理和安全運維管理[5].

2.5 設立安全域

在安全域方面，應根據機構各部門不同的職能、重要程度和所涉及信息的重要程度等，對服務器、各類終端等進行安全域的劃分，并從管理和控制2個維度，劃分不同的安全域，分配不同地址段.不同區域與區域之間，因結構不同，可以最大限度地發揮網絡性能.

為更好地保障各業務系統的正常運行，全面提升信息系統的安全保護水平，細致地劃分安全域，每個區域執行相應安全策略，實現全面防護.

在醫療衛生行業中，醫院利用網閘劃分為業務內網和業務外網.

2.6 強化網絡安全意識

通常來看，機構內部工作人員在網絡安全意識方面的認知與實踐水平，往往直接決定了機構的整體網絡安全水平.考慮到機構內部人員分散性和獨立性的特點，應當將強化各部門人員的網絡安全意識作為信息化建設中的重點任務.一方面，要常態化地開展內部整體的網絡安全培訓會、研討會，使內部所有員工對網絡安全問題的重要性有清晰和高度的認同，從內部整體層面統一網絡安全認知；另一方面，在做好各部門內部網絡安全意識培訓的同時，還要構建跨部門網絡安全協作意識培訓，使那些經常參與跨部門協作的人員，能夠突破自己原有重視本部門網絡安全的局限性，將安全意識上升到跨部門乃至整體、全局的層面.

2.7 健全相關制度，規范網絡安全管理流程

在新時期網絡信息化建設過程中，要想解決好網絡安全問題，必須建立健全相關制度，規范網絡安全管理流程.關于應急預案方面.由于網絡安全事件具有突發性、難以預測等特點，往往會在短期內對網絡安全工作造成嚴重影響.對此，應制定一套行之有效的應急管理預案，設置專門的應急管理部門，并配備專業化的管理人員，負責相關部門的協調、組織及監督等各項工作，明確醫院各業務部門在安全事件發生時的具體應對策略，定期開展應急演練.如果發生突發事件就可按照規定流程進行處理，尤其是在臨床醫療與患者服務部門，從而推動醫院信息化網絡安全的規范化.

在信息化平臺建設過程中，建立健全完善的計算機網絡安全管理與維護工作體系是十分必要的.對此，應完善相關工作體系，建立相應的責任追究制度，明確劃分相關部門的工作職責，以更好地推動計算機網絡安全管理與維護的有序開展.同時，還應注重考核機制的建立，對表現良好的工作人員進行相應的獎勵，充分調動起工作人員的積極性，增強員工的凝聚力、向心力，進而使各個部門能夠參與到計算機網絡安全管理與維護中，大力推動醫院信息化的全面性、全方位建設.

3 結束語

本文主要圍繞信息化建設過程中，如何做好網絡安全工作，切實保障信息的安全性展開分析與研究.本文的建設思路已在醫療行業進行了實踐，依靠協同安全運營，構建了一套成熟、有效的監測預警體系.同時，依托安全管理平臺，增強了對安全威脅的分析、處置、響應的能力.規范化、體系化的安全建設思路，起到了積極引導和促進作用.

但同時也應該意識到，單純依靠信息化建設、依靠機器是無法做到百分之百防護的.在依托成熟的安全技術和可落地的安全管理措施的同時，還應關注與人相關的各要素.建立健全相關的制度規范、加強網絡系統安全建設、提高對網絡安全的重視程度、做好數據備份、優化外部環境、堅持系統思維、大力推動計算機網絡安全管理與維護創新等，最終促進網絡安全與管理取得更好成效，實現長遠發展.