新形势下网络安全等级保护2.0体系建设探索与实践

刘莉莉 吕 斌

1(甘肃省中医院 兰州 730050) 2(兰州交通大学交通运输学院 兰州 730071)

网络安全等级保护制度是我国在国民经济和社会信息化发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度.网络安全等级保护2.0(简称等保2.0)将对应《中华人民共和国网络安全法》(简称《网络安全法》)中的网络安全等级保护制度，是《网络安全法》落地的举措[1].

有效地实施网络安全等级保护制度，可以让各组成部分发挥协同、联动作用，实现保护作用最大化，极大地发挥人的主观能动性作用，增强保护效力.在促进我国网络空间安全建设与发展方面，发挥了积极、重要的作用.网络安全等级保护是按照信息系统重要性进行划分，施行分级管理、分级保护的一项工作[2].

本文将针对等保2.0体系建设进行讨论，以卫生行业为例，通过定性研究法、案例分析法、专家访谈法等方式，探讨如何通过体系化建设，在更好地落实等保2.0体系建设的同时，加强对国家关键信息基础社会的保护，对我国网络安全建设展开观察、研究、分析.

1 新形势下网络安全现状特点

1) 粗放式的管理方式，难以及时响应、定位、追查安全事件.

随着信息技术的高速发展，我国正呈现网络规模不断扩大、设备数量不断增加，建设重点向深度应用化、重安全运营与服务等方向发展的特点.但由此也将产生诸多潜在风险，例如粗放式的运维人员权限管理，常常出现账号权限过大、内部操作权限滥用、无法有效控制账号使用范围等情况.一旦发生安全事故，难以在第一时间定位账号的实际使用者和责任人.同时，由于不同设备的日志内容较为分散，运维人员很难根据实际业务情况制定统一策略，无法对违规行为进行及时响应与追查取证.

2) 数字化、智慧化发展，容易导致数据泄露.

当前，我国正向智慧化、数字化大国迈进.但随着新技术的应用，新型的网络安全风险也由此产生.一方面，线上平台普遍存在多种逻辑漏洞，可能导致身份等敏感数据泄露[3].另一方面，随着敏感端口开放数量的增加，也让更多核心资产业务暴露在外，核心业务资产直接对外暴露，极大增加了被不法分子入侵的风险.这就吸引了大量攻击者尝试通过窃取、买卖敏感数据牟取暴利[4].

3) 入侵方式多变、资产管理不到位，易遭受勒索病毒攻击.

自WannaCry为代表的安全事件爆发以来，勒索病毒一直都是网络安全行业从业者重要的关注点.从入侵的方式看，主要是利用系统漏洞入侵和端口爆破(常用的包括1433端口、3389端口等)的方式进行攻击，此外RDP/SMB弱口令爆破、NSA攻击工具包等方式也极易遭受攻击.同时，由于资产管理不到位，导致少数设备依然存在风险，这就造成在遭受勒索攻击时无法及时对数据进行恢复.

因此，在进行等保2.0体系建设时，应以自身整体信息安全为目标，以业务需求为主导，构建和业务需求相匹配的综合安全防护能力，并通过落地安全管理制度，加强运维过程中的预警监测能力和应急处置工作，不断提高单位的抗攻击能力.同时在安全保障工作中通过定期培训、加强应急预案演练、协同应急处置等方面的工作加强人员的安全技能.最终在整个安全保障工作中全面提升单位的综合防护能力.

2 等保2.0体系建设思路

新形势下，在对各机构自身安全体系架构进行设计与建设时，应以“纵深防御”为指导思想，在分析自身安全需求的基础上，通过建设“1个中心”管理下的“3重防护”体系，分别对通信网络、区域边界、计算环境进行管理，实施多层隔离和保护措施，建立预警、防护、检测、响应自适应闭环的安全防护体系，提升整体安全防御能力，构建单位可信、可控、可管的安全防护体系.

在围绕等保2.0体系化建设实践中，本文以医疗行业为例，从整体安全策略、网络安全等级保护制度、安全技术体系、安全管理体系和安全服务体系5个方面，探讨建设总体安全体系架构.

2.1 整体安全策略

整体安全策略是以本单位信息化建设为基础，立足当下，着眼未来，从全局出发所制定方针、策略.该策略因与单位内所有人息息相关，因此需要大家必须遵守，严格执行.整体安全策略应具有战略高度，并根据单位所面临的安全风险不同，而进行动态优化与更新.

2.2 落实国家网络安全等级保护制度

在实际的安全建设中：一方面需要落实国家网络安全等级保护制度，安全保障建设首先需要对单位系统进行科学的定级备案，落实安全整改建设，通过等级测评对单位安全防护能力进行有效检测，在安全运营中持续进行安全监测和响应；另一方面，需要配合上级单位和监管单位进行安全监督和检查.

2.3 增强安全技术体系

在安全技术体系方面，应从计算环境安全、安全区域边界、安全通信网络和安全管理中心4个方面分别设计[5].其中，安全计算环境是通过实施安全策略，以保障信息在存储和处理过程中的安全，主要针对定级系统的信息进行存储处理.安全计算环境包括：用户身份鉴别、自主访问控制、标记和强制访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、客体安全重用、程序可信执行保护等[6].

通信网络安全是在网络通信过程中，保证信息的机密性、完整性，特别是对定级系统安全计算环境之间各类信息传输过程实施防护.安全通信网络包括：安全审计、数据传输完整性保护、数据传输保密性保护、可信接入保护.

安全区域边界主要在互联网边界以及安全计算环境与安全通信网络之间实现双向网络攻击的检测、告警和阻断.安全区域边界包括：区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护.

安全管理中心则是对安全技术体系进行管理，包括系统、安全、审计3方面，同时按照所划分的权限对接口进行管理.

2.4 构建安全管理体系

在构建安全管理体系方面，应围绕整体安全策略，从制度建设、单位管理、工作人员管理、建设与运维等多方面进行统筹规划与设计.重点内容包括安全管理机构的组建，安全策略、管理制度、操作规程、记录表单等内容的安全管理制度体系的补充和完善，安全相关人员的录用、培训、授权和离岗管理，围绕信息系统全生命周期安全的安全建设管理和安全运维管理[5].

2.5 设立安全域

在安全域方面，应根据机构各部门不同的职能、重要程度和所涉及信息的重要程度等，对服务器、各类终端等进行安全域的划分，并从管理和控制2个维度，划分不同的安全域，分配不同地址段.不同区域与区域之间，因结构不同，可以最大限度地发挥网络性能.

为更好地保障各业务系统的正常运行，全面提升信息系统的安全保护水平，细致地划分安全域，每个区域执行相应安全策略，实现全面防护.

在医疗卫生行业中，医院利用网闸划分为业务内网和业务外网.

2.6 强化网络安全意识

通常来看，机构内部工作人员在网络安全意识方面的认知与实践水平，往往直接决定了机构的整体网络安全水平.考虑到机构内部人员分散性和独立性的特点，应当将强化各部门人员的网络安全意识作为信息化建设中的重点任务.一方面，要常态化地开展内部整体的网络安全培训会、研讨会，使内部所有员工对网络安全问题的重要性有清晰和高度的认同，从内部整体层面统一网络安全认知；另一方面，在做好各部门内部网络安全意识培训的同时，还要构建跨部门网络安全协作意识培训，使那些经常参与跨部门协作的人员，能够突破自己原有重视本部门网络安全的局限性，将安全意识上升到跨部门乃至整体、全局的层面.

2.7 健全相关制度，规范网络安全管理流程

在新时期网络信息化建设过程中，要想解决好网络安全问题，必须建立健全相关制度，规范网络安全管理流程.关于应急预案方面.由于网络安全事件具有突发性、难以预测等特点，往往会在短期内对网络安全工作造成严重影响.对此，应制定一套行之有效的应急管理预案，设置专门的应急管理部门，并配备专业化的管理人员，负责相关部门的协调、组织及监督等各项工作，明确医院各业务部门在安全事件发生时的具体应对策略，定期开展应急演练.如果发生突发事件就可按照规定流程进行处理，尤其是在临床医疗与患者服务部门，从而推动医院信息化网络安全的规范化.

在信息化平台建设过程中，建立健全完善的计算机网络安全管理与维护工作体系是十分必要的.对此，应完善相关工作体系，建立相应的责任追究制度，明确划分相关部门的工作职责，以更好地推动计算机网络安全管理与维护的有序开展.同时，还应注重考核机制的建立，对表现良好的工作人员进行相应的奖励，充分调动起工作人员的积极性，增强员工的凝聚力、向心力，进而使各个部门能够参与到计算机网络安全管理与维护中，大力推动医院信息化的全面性、全方位建设.

3 结束语

本文主要围绕信息化建设过程中，如何做好网络安全工作，切实保障信息的安全性展开分析与研究.本文的建设思路已在医疗行业进行了实践，依靠协同安全运营，构建了一套成熟、有效的监测预警体系.同时，依托安全管理平台，增强了对安全威胁的分析、处置、响应的能力.规范化、体系化的安全建设思路，起到了积极引导和促进作用.

但同时也应该意识到，单纯依靠信息化建设、依靠机器是无法做到百分之百防护的.在依托成熟的安全技术和可落地的安全管理措施的同时，还应关注与人相关的各要素.建立健全相关的制度规范、加强网络系统安全建设、提高对网络安全的重视程度、做好数据备份、优化外部环境、坚持系统思维、大力推动计算机网络安全管理与维护创新等，最终促进网络安全与管理取得更好成效，实现长远发展.