基于等级保护的网络安全建设之研究

◆赵晶晶

(国家工商行政管理总局 北京 100011)

基于等级保护的网络安全建设之研究

◆赵晶晶

(国家工商行政管理总局 北京 100011)

在社会的网络发展进程中，网络在国家经济及人们日常生活中的作用日益凸显，信息系统自身的安全性对于人们的工作与学习有着重要的影响，其中信息系统安全等级保护工作是现阶段网络安全系统工作的重要内容。

等级保护；网络安全体系；建设

0 引言

随着国家（国家战略）信息化建设逐步大力推进，信息安全方面的问题也逐年凸显，导致个人以及政企信息安全方面受到了极大挑战，面对各种的网络非法入侵与攻击，构建系统的网络安全体系，提升对其整体管理工作的重视变得极为迫切。对此要加速提升对信息系统安全保护工作，尤其是注重提升安全意识的重要性的工作、提升整体的监督管理体系，对于各种网络信息安全问题进行有效的控制和依法严厉打击，进而提升我国社会整体的网络安全性。

1 等级保护工作的重要性

现阶段我国网络安全系统中的相关等级保护制度尚属于起步发展阶段，现有资源与技术无法实现整个网络系统的安全防护系统完整性与完善性，这也就直接导致了等级保护工作在某些侧面无法全面开展。其中，主要涵盖的内容包含以下几点：

首先，网络信息系统中的数据信息大多涉及一些重要的商业机密。这些信息如果因为相关信息安全系统出现安全设计缺陷与安全通信问题，就会对整个国家经济整体发展带来不利影响。同时也因为大多数的机密性的信息数据在法律上并没有确定为涉密级别，也不会有明确的涉密信息登记制度或者记录，相关机密性的数据信息无法开展针对性的管理，最终导致出现各种信息的外泄问题。

其次，网络自身就是一个较为开放的资源信息网络平台，在此种模式之下的信息平台涉及了诸多的贸易业务往来，在网络中各种日常数据信息交换较为频繁，这种环境导致了数据信息其更容易受到破坏与入侵的可能性，对其进行管理过程中如果并没有设置明确的等级保护制度，就会导致其相关数据信息外泄问题的出现，对于整个社会发展带来无可估量的恶劣影响。最后，考虑到网络信息安全系统自身的复杂性与广域性的特点,如果不对网络信息以及数据进行区别等级划分，就会导致整个网络在管理过程中的可操作性变得极差。

基于上述问题的存在隐患，需要在网络安全建设的过程中构建等级保护制度，只有这样才可以实现信息系统整体结构的优化与完善，进而有效地提高整个网络信息的安全性。

2 基于等级保护的网络安全建设研究

要想构建一个安全、稳定以及规范的网络安全保障系统，就需要与专业的第三方安全公司共同构建一个完善基于各个行业的特点的安全网络信息系统，要利用相关边界防护、入侵防御以及安全审计等措施的应用，提升相关信息系统的整体数据安全性，进而满足相关业务的安全需求。

2.1 了解问题，明确目标

在实践中，要基于具体的优化要求与方针政策对其进行明确的规定，对于当下的网络安全保护措施与网络等级保护之间的差距与问题进行了解后，进而为今后的相关通信安全与架构安全设计提供参考。对此，可以基于以下几点开展工作：

2.1.1 技术差距分析

主要通过安全扫描技术、人工安全服务检查技术以及各种方式对网络、相关安全设备以及网络架构等相关内容进行系统的检查，在操作中具体内容涵盖了相关系统的结构安全与通信区域划分、相关网络访问控制、网络安全审计等相关内容，届时要对现阶段相关单位的各种设备进行系统的检查，了解网络设备在相关安全配置方面存在着哪些不足。

2.1.2 管理差距分析

主要就是利用第三方较为权威的安全评估以及检测的方式，对整体的安全管理制度进行详细的规划与设计，对其具体制度的制定、发布以及评审与修订状况进行分析，对于相关管理部门的组成以及工作组织的具体状况进行系统性的深入理解，同样加强对人员的控制与管理是非常必要的，要求具体工作人员对安全状况以及整体的控制情况进行多维度的分析，要保障其相关管理制度与规范的完整性，要对相关网络建设以及运维过程中存在的各种不足问题进行深入分析与探究。

2.2 完善相关安全管理制度，全面落实各项政策方针

首先，构建符合本单位特色的信息安全管理制度。综合具体情况，构建一个系统的工程总体政策与方向，将政策作为主要的依据，明确具体的安全管理制度与相关规范流程，要对其日常工作管理、安全管理以及系统开发与建设等相关内容进行细化分类、统筹管理，通过专门的管理机构负责其安全管理制度能够有效、整体的进行运行，同时要对其进行一定的审查与修订，保障相关安全管理制度的与实际需求相符合。

其次，构建基于实际的全生命周期信息系统管理模式。要想真正在信息系统建设中始终贯穿安全管理概念，就要在相关信息化工程的建设实施之前、建设实施过程中以及建设完成之后进行综合评估（包含信息安全综合评估）。在实践中，主要涵盖了系统定级、相关安全方案的设计、产品的具体采购与使用、软件的开发研究、工程的具体实施、测试验收以及登记评测等相关内容，要在一些日常工作开展中对其进行安全检测，提升其整体的安全性，要全面实现信息系统的整体安全性方面的优化工作。

最后，制定相关应急保障体系。体系中要含有制定一个具有综合性的应急预案和应对特殊时期与特殊事件的专项的应急预案，利用特定的时期对其进行演习，要明确安全事件的具体处置原则，对其进行熟练的掌握，不断的优化整个应急保障预案中的信息处理流程，进而提升相关信息安全事件的整体操作与应急处理能力。

2.3 技术优化整改并提升整体的风险应对水平

技术的快速发展给整体的信息安全带来了广域范围的影响，因此在对等级保护的网络建设过程中，要提升对互联网络以及相关基础网络建设中有关等保建设要求的重视，要提升对相关安全防护工作的意识，全面落实各项技术手段，降低其存在的安全风险与问题。

（1）增强对相关网络防护的检测力度，提高网络防护和检测能力

在现阶段的互联网中，高性能的防火墙设备大量在政企办公链路上进行部署，实现了内外网的有效隔离，进而提升内网的整体安全性。在其核心部分进行交换机部署，顶端链路中完善入侵检测以及网络审计的相关设施，实现相关外网入侵行为进行实时有效的检测管理，要做到早发现早处理。同样，在WEB发布服务器区域网中通过Web防火墙的部署，实现基于HTTP协议的相关深层次攻击防御，进而有效地增强管理系统的整体安全性。

（2）要做到运维层面的审计工作

在对其进度等级保护的网络建设过程中，通过对堡垒主机以及数字签名验证系统的部署，就可以有效的实现对服务器、网络设备以及相关安全设备进行有效的实名制登录方式，这样就可以对相关操作用户进行详细记录，进而有效的增强了等级保护的事中以及事后的管理与审计的性能。

2.4 完善备案以及相关测评工作，全面有效落实等级保护工作

在完成相关技术与管理内容的优化整改之后，就要对信息系统技术进行全面的防范与管理，进而对今后的安全管理与运维保障提供经验和帮助，对此要做到以下几点：

首先，全面落实信息系统的相关定级备案工作。对于一些没有定级的信息系统要对其进行系统的进行调查分析，要根据相关标准对其具体的服务对象、范围以及内容进行分类管理，进而确定各个的信息业务的具体级别与相关服务的级别，根据其信息系统的整体安全级别，编制相关报告，上报公安机关，便于对其进行备案。其次，要通过等级保护测评机构，开展定级系统的测评工作。要通过相关具备信息安全等级保护以及测评资质的部门与机构对其进行测评，要保障信息系统与规定的安全保护等级要求相符合，进而满足其整体安全需求。

3 结束语

当下，我国的等级保护网络安全体系的建设是重点工作内容，这也是今后发展的主要内容与前景，只有在基于等级保护的相关要求之上构建网络安全信息体系，才可以在根本上保障网络信息系统的整体安全性，进而有效地促进信息社会的长足发展。

[1]于雷.基于等级保护的网络安全技术的应用研究[J].电脑知识与技术，2014.

[2]李赓曦，姚健，牛晨.基于等级保护制度的校园网络安全建设实践[J].信息安全与技术，2016.

[3]宋文军，张阳，程静.基于等级保护的网络安全体系的研究与设计[J].网络安全技术与应用，2016.

[4]梁艺军.信息安个等级保护下的校园网络安全建设[J].中国网络教育，2015.