如何开展信息系统网络安全等级保护工作

王昌明

我国十分重视网络安全工作，近年来一直在着手国家的网络安全法律法规体系建设工作，2017年颁布实施的《中华人民共和国网络安全法》（以下简称《网络安全法》）标志着我国网络安全工作有了基础性的法律框架，有了网络安全的“基本法”。作为“基本法”解决了以下几个问题：一是明确了部门、企业、社会组织和个人的权利、义务和责任;二是规定了国家网络安全工作的基本原则、主要任务和重大指导思想、理念;三是将成熟的政策规定和措施上升为法律，为政府部门的工作提供了法律依据，体现了依法行政、依法治国要求;四是建立了国家网络安全的一系列基本制度，这些基本制度具有全局性、基础性特点，是推动工作、夯实能力、防范重大风险所必需的。

开展网络安全等级保护工作的意义

作为信息系统的运营使用单位，在网络安全管理工作中应该承担什么样的责任呢？在《网络安全法》中明确规定，“应当依照法律、法规的规定和国家标准、行业标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范违法犯罪活动，维护网络数据的完整性、保密性和可用性。” 由此可以看出，作为系统的运行使用单位在网络安全管理中扮演着十分重要的角色。那如何落实这些要求呢？其中非常重要的一个手段就是开展网络安全等级保护的相关工作，信息系统安全等级保护是国家网络安全保障工作的基本制度、基本策略、基本方法。开展信息系统安全等级保护工作不仅是加强国家网络安全保障工作的重要内容，也是一项事关国家安全、社会稳定的政治任务。

网络安全等级保护主要工作流程

开展等级保护工作主要分为五个阶段，包括：定级、备案、测评、建设整改和监督审查。主要工作流程详见图1。

作为信息系统的运营使用单位，如何按照以上步骤开展等级保护工作呢？下面我们就着重介绍一下信息系统开展等级保护相关工作的步骤。

首先，应开展信息系统定级工作。主要包含以下几个方面的工作：首先应明确的定级对象，确定系统安全保护等级，安全保护等级的确定如图2所示。

确定系统安全保护等级后，应起草《网络安全等级保护定级报告》，填写《信息系统安全等级保护备案表》，召开定级专家会，聘请网络安全相关专家，专家应具有网络安全相关资质，至少有一名专家应具有网络安全等级测评师（高级）资质，出具系统定级专家意见。

其次，根据所辖公安机关网络安全主管部门的要求，准备网络安全等级保护相关材料。材料主要包括：定级报告、定级备案表、专家论证意见、安全管理制度（三级以上系统）以及当地公安机关要求的其他材料。将定级材料上交所辖公安机关网络安全主管部门，取得定级备案证明。

再次，开展系统等级保护测评工作。聘请有资质的单位开展系统网络安全等级测评工作。如果信息系统未进行过安全设计和安全加固，建议先进行差距分析，整改加固后再进行等级保护测评，由测评机构出具等级测评报告。最后，根据等级测评报告对系统进行整改加固，并根据系统保护等级定期开展等级保护测评工作。

信息系统网络安全等级保护防护要求

如何能够做好等级保护测评前的准备工作，提高通过等级保护测评的可能性，下面我们就以三级系统为例，从管理体系建设和技术防护措施两个方面进行阐述：

在网络安全管理方面，首先应制定网络安全工作的总体方针和安全策略，用以阐明本单位的网络安全工作的总体目标、范围、原则和安全框架等。同时需要建立网络安全管理制度体系和操作规程，涵盖单位组织架构、人员管理、系统建设、系统运维等各个方面，组织专家或相关部门对管理制度进行审定，管理制度通过正式有效方式下发至安全相关的各个部门，对制度进行版本控制、定期审阅和修订制度。明确网络安全管理机构、明确管理机构各负责人岗位和岗位职责。制定授权审批制度，明确授权审批的事项和审批流程、保存审批记录。定期召开网络安全事项的会议，保存会议纪要。编制与公安、网信、运营商、安全公司、系统上下游单位的联络表单。日常网络安全检查和定期进行全面的网络安全检查相结合，保存检查记录。制定人员管理制度，明确人员录用、离岗相关等要求。制定网络安全培训的计划，定期开展人员网络安全培训和考核的记录。在系统建设方面，应按照国家和行业的标准积极开展等级保护的定级备案相关工作，取得系统备案证明。明确系统建设的总体安全策略和安全方针，起草系统安全详细设计方案，并组织有关专家或部门对方案进行审定，出具审定意见。在设备采购时应根据系统需要对待采购设备进行选型测试，安全设备和密码产品的采购应符合国家相关要求。涉及外包开发的软件，安装前进行恶意代码扫描和源代码审计，确保软件不存在恶意代码和后门，并由开发单位提供指导软件使用文档。在系统建设过程中应明确管理建设过程实施的部门或个人，制定系统建设的实施方案，聘请第三方监理机构监督建设质量。系统建成后，应积极开展系统的测试验收工作，起草测试验收方案，聘请有资质的单位进行安全性测试和验收测试，出具测试验收报告和安全性测试报告。编制详细的系统交付清单，并要求建设企业交付时进行系统使用方面的培训。如选择安全服务商，应确保服务商有相应资质，应签订合同明确责任和义务。在系统运维过程中，首先加强物理环境的管理，制定机房和办公环境管理规定，编制详细的资产清单，制定介质管理的相关制度，制定设备维护管理制度，制定网络安全管理制度，指定专门部门或人员进行账户管理。制定重要设备的配置和操作手册，制定防恶意代码管理制度，制定系统变更管理制度，制定数据备份与恢复管理制度，制定数据的备份策略和恢复策略、备份程序和恢复程序等。制定安全事件报告和处置管理制度，保存安全事件处置记录。制定重要事件的应急预案，定期培训和演练，保存相关记录。

安全防护措施方面，首先应保证网络架构的合理性，根据系统业务情况采购设备和设计网络处理能力，保证设备处理能力和网络带宽能够满足业务高峰期需要;并根据系统功能或重要性划分不同子网和网段，并采取有效的隔离措施;采取纵深防护的网络架构，将重要网段放在网络纵深的最深处。保证重要的通信线路和重要设备的冗余配置。在网络边界应部署访问控制设备、入侵检测设备、防病毒和防垃圾邮件设备，开启合理策略，在網络边界进行防护，同时也应对网络边界的数据通信行为进行审计。在计算环境方面，应对登录的用户进行双因素的身份鉴别，为不同用户设置各自的账户，并分配合理的权限，用户密码要有复杂度设定、定期更换设定开启。限制非法登录次数、设定超时自动退出。应采用安全的远程管理方式。删除默认账户、多余账户、测试账户，修改默认口令。开启安全审计功能，并对审计记录进行保护。最小化安装系统，限制终端登录地址，修补系统高危漏洞等安全措施。同时系统应配置安全管理中心，对全网设备状态、网络流量进行监控，对全网设备的审计记录进行集中管理和关联分析，部署校时服务器，对全网设备进行校时。