网络安全等级保护2.0下的安全体系建设研究

2020-06-04 12:19黄元培
无线互联科技 2020年8期
关键词:威胁信息系统网络安全

黄元培

摘   要:为了强化安全体系建设,提升网络安全,文章对网络安全等级保护2.0下的安全体系建设进行了研究。首先,结合信息技术的发展分析了网络安全等级保护2.0制度的推出背景。其次,对比、分析了网络安全等级保护1.0、网络安全等级保护2.0,指出了两者在保护对象、安全要求等方面的差别。最后,就如何加强安全体系建设提出了4项措施。

关键词:网络安全等级保护2.0;安全体系;建设

信息时代背景下,各行业的信息化水平有了大幅度提升,信息系统建设也得到了迅速发展。但是与此同时,网络安全问题也日益严重。因此,为了进一步适应新的发展形势,国家发布了网络安全等级保护制度2.0标准。该标准将云计算、物联网、移动互联网等列入了其中,并提出了构建依托安全通信网络、安全区域边界、安全计算环境、安全管理的三重防护体系。在这一背景下,相关单位应当充分依据等级2.0的要求,重新构建安全体系,从而有效提升网络安全。

1    网络安全等级保护制度2.0的推出背景

随着信息时代的来临,网络信息系统在企业经营、决策、管理等中的应用越来越广泛。但从实际来看,大部分信息系统采用的是通用网络协议、软硬件设备,很容易出现安全防护不到位、软件系统代码缺陷等问题。一旦这些漏洞被攻击者利用,就会使信息系统处于暴露状态,导致网络信息系统受到攻击、入侵,出现信息泄露、黑客攻击等安全问题,从而给企业带来经济损失。而网络安全等级保护条例是国家出台的有关信息安全保障工作的制度、策略,旨在规范信息安全保护市场,提升信息安全保护水平。并且该制度还对信息安全产品等级、安全事件等级及其相应的响应及处理方法进行了规定。我国最早是在1999年提出信息系统安全保护等级标准的,之后又陆续发布了很多信息系统安全条例,并在2007年《信息安全等级保护管理办法》确立等级保护1.0体系。但是近十几年来,我国信息技术突飞猛进,物联网、云计算等新技术逐渐推广开来,原有的等级保护1.0体系已经无法满足时代发展的需求。所以,2018年我国正式发布了网络安全等级保护制度2.0。

2    网络安全等级保护制度2.0的变化

相比于传统的等级保护制度1.0来说,等级保护制度2.0发生了以下变化:第一,保护对象范围扩大。在原有的系统等级测评、建设整改等基础上,增加了云计算平台、物联网系统、重要信息系统等保护对象。并且还将安全培训、灾难备份、安全监测等安全保护措施纳入了制度中。第二,安全要求发生了变化。其安全要求内容已经细化为安全通用要求、安全扩展要求。如针对云计算、大数据等新技术提出了安全扩展要求,并形成了新的要求标准。第三,控制措施分类更精准、更高效。将原来的10类措施精简为8类措施。第四,标准控制点、要求项发生了变化。控制点的主要变化是内容有所缩减,要求项内容有所改变。比如将原来5个规定动作改成了5个规定动作+新安全要求。总的来说,网络安全等级保护制度2.0更具有适用性、操作性。

3    网络安全等级保护2.0下的安全体系建设

3.1  传统安全体系的问题及需求

首先,传统安全体系的问题主要体现在两个方面:第一,内部问题。如设备无法有效联动,基本都是各自为战,只能进行单点或电线的安全防范,不能进行信息交流、共享,实现联动;安全问题预测不及时,通过传统的信息系统不能及早发现、预测未知威胁,且不能及时通报风险;安全管控不到位,过于关注信息系统建设,缺乏有效的运营工具、手段,不能及时响应安全系统;安全分析不到位,不能追根溯源,及时定位、处理安全事件。第二,外部问题。如云计算、大数据等新技术给安全体系带来新挑战,传统安全体系难以应对;普通网络攻击已经逐渐演变成了组织与国家的对抗,传统安全体系的适用性不足;传统的非法入侵、病毒攻击等攻击方式演变成了高级威胁、供应链攻击等方式,传统安全体系根本起不到应有的规范作用,以致信息系统安全问题频发。

其次,新安全体系应当能满足以下需求:第一,基本需求。即符合《网络安全法》《等级保护条例》等国家颁布的基本法律法规。第二,业务需求。体系应当覆盖范围更广,涉及的设备种类、数量更多,尤其是可用于安全隐患的保护。第三,发展需求。安全体系应当具有长效性,可及时应对安全事件,减少安全损失。并且满足各政府部门的安全要求,能有效推进网络安全产业的可持续发展[1]。

3.2  网络信任及安全技術体系的建设

首先,就网络信任体系建设来说,可从以下几个方面入手:第一,建设证书颁发机构(Certificate Authority,CA)认证系统,为信息系统的业务运行提供各种各样的证书服务,从而提升用户对安全体系的信任。如提供身份认证、证书生产等服务。第二,在建设CA认证系统的前提下,统一管理用户信息,并为信息系统等级、网络接入、业务系统访问提供身份认证,从而提升信息系统的安全性。其次,就安全技术体系建设来说,要充分利用安全技术加强安全控制。如为了创建安全计算环境,在设备安全中应用设备身份识别、上网行为审计、访问控制、漏洞检测、安全评估等技术;在业务安全中应用代码安全、防篡改、身份识别等技术;在数据安全中应用防火墙、数据库审计、数据加密、数据备份与恢复等安全技术。为了创建安全通信网络,利用网络隔离、网络访问控制、通信校验、链路加密等安全技术。为了创建网络安全区域边界,应用高级持续性威胁(Advanced Persistent Threat,APT)检测、入侵保护、安全审计等安全技术。需要注意的是针对物理环境安全,应当积极利用防雷、防火、防静电等方法,提升物理环境安全[2]。再次,充分利用云计算、大数据等信息技术,强化安全技术防护体系。如通过搭建云计算平台可搭建虚拟的安全防护系统,并实现云环境下不同信息系统用户的隔离;通过运用大数据技术,可在主客体之间访问行为、访问路径等上运用数据加密、访问控制等安全技术,有效保护数据安全。从次,还可运用安全技术进行恶意攻击行为、威胁行为等的主动监测、预判,从而有效解决安全问题无法预测的问题,进一步提升信息系统的安全性。最后,还应创新安全体系建设理念,充分利用先进的新技术、新理念,改进网络信任与安全技术体系建设策略,切实提升信息系统的安全威胁检测、响应能力。比如奇安信集团提出了以数据驱动安全的技术理念,充分利用大数据技术,危险情报机构搭建集检测、响应于一体的防御体系。

3.3  基本保障體系建设

组织机构、设备、人才等是保证安全体系正常运行的基础保障。所以,在建设安全体系时应及早完成基本保障体系的建设。

首先,相关组织和单位应结合实际情况,组建专门的安全管理机构,明确机构主要负责人及其他工作人员。同时,还应当制定完善的管理制度、操作规范、安全管理文件体系,保证安全管理机构能规范、有序地运行。其次,应当依据实际需求,定制相应的信息安全系统及软件,配备计算机、交换机、电缆等设备,并搭建安全态势感知、指挥调度、攻防演练等平台,为安全体系建设提供基础的平台保障。再者,组建专业的安全管理团队,并对业务人员、安全管理人员进行培训,提升其安全意识、专业技能。或者是搭建集安全检查团队、应急支撑团队、技术专家团队于一体的安全管理团队体系,保障各项安全管理工作有效落实。同时,还应定期开展安全事件演练活动,提升工作人员的应急处理能力,从而将安全事件的损失降到最低。最后,明确各方职责。如果建设了云安全信息系统,则要提前明确云计算平台达到的安全等级,明确云平台、云安全服务等运营商的职责。

3.4  加强安全整体决策的管理

单位除要建立自己的安全运维团队、加强应急支撑团队建设外,还可以外包的方式将日常安全运维工作委托给安全服务机构,并将管理重心放在安全的整体决策上。比如对于本地业务数据,可通过检查全流量日志、还原文件、检测安全设备日志等措施,分析安全威胁、安全事件,并采取针对性的修复措施,解决这些问题。或者以安全模拟的方式对信息系统中可利用的漏洞进行测试,并进行优化,从而提高信息系统的防御能力。比如借助天眼威胁感知平台,进行高级威胁的检测,并定位高级威胁进行溯源,作出有效的响应。

对于云安全系统,可进行网站的云监测、云防御、云查杀,以此分析安全风险、安全威胁[3]。比如构建威胁情报中心、应急响应中心、安全运营中心,并以态势感知与安全运营平台为载体,分析资源、漏洞、安全日志等数据,从而实现威胁感知,调整安全策略,积极响应和处理。同时,还可进行事后分析、优化来提升整体安全运营效果。

4    结语

在网络安全等级保护2.0制度背景下,非常有必要重构安全体系,提升网络安全。尤其是在网络攻击方式不断升级、计算机技术不断创新、网络不断普及的背景下,更要遵循网络安全等级保护2.0制度的要求,建立可操作、安全、稳定的安全体系,从而有效促进我国信息系统安全产业的可持续发展。

[参考文献]

[1]陈旭壮.网络安全等级保护2.0安全体系构建[J].中国新通信,2019(22):76-77.

[2]傅钰.网络安全等级保护2.0下的安全体系建设[J].网络安全技术与应用,2018(8):13,16.

[3]王文廷,于思洋.大数据时代的计算机网络安全及防范措施[J].电脑编程技巧与维护,2019(12):169-170.

Abstract:In order to strengthen the construction of security system and improve the network security, this paper studies the construction of security system under the protection of network security level 2.0. First of all, combined with the development of information technology, analyzes the background of the introduction of network security level protection 2.0 system. Secondly, this paper compare and analyze the network security level protection 1.0, network security level protection 2.0, and point out the differences between the two in terms of protection objects, security requirements and so on. Finally, four measures are put forward on how to strengthen the construction of security system.

Key words:network security level protection 2.0; security system; construction

猜你喜欢
威胁信息系统网络安全
企业信息系统安全防护
网络安全
网络安全人才培养应“实战化”
受到威胁的生命
基于区块链的通航维护信息系统研究
上网时如何注意网络安全?
信息系统审计中计算机审计的应用
面对孩子的“威胁”,我们要会说“不”
基于SG-I6000的信息系统运检自动化诊断实践