◆莫新建

网络安全等级保护建设探索

◆莫新建

（河南航天精工制造有限公司 河南 464100）

随着网络安全形势的日益严峻，国家有关部门先后出台了一系列文件，明确了等级保护的重要性。为了履行国家《网络安全法》法律义务，落实网络安全保护责任，单位需开展网络安全等级保护建设工作，按照技术与管理的需求进行建设实施，并加强日常运维与监管。

网络安全；等级保护；建设探索

1 网络安全建设规划

按网络安全等级保护实施指南及基本要求等文件要求，对网络信息系统保护对象划分区域并定级，根据定级级别，对不同的保护对象从物理环境防护、通讯网络、网络边界、主机设备以及应用和数据等方面的安全防护进行不同级别的安全防护设计。同时建设统一的安全管理中心来保障安全管理措施和技术防护的有效协同及一体化管理，保障安全措施及管理有效运行。

2 网络安全技术设施建设

2.1 物理环境安全

中心机房可以说是一个单位网络的神经中枢，对于一个单位的网络信息系统十分重要。所以中心机房在物理环境安全方面必须高标准严要求进行设计及施工。中心机房建设可以依据国家《电子信息系统机房设计规范》（GB50174-2008）的要求，主要从机房位置选择、门禁控制、配电及UPS、防雷接地、设备监控、防火及火灾报警、防水和防潮、防静电、温湿度控制、新风系统、电磁泄漏防护等方面综合考虑进行建设，从而保障中心机房及网络信息系统的安全。

2.2 网络通信安全

网络结构是网络安全的前提和基础，对信息系统所依托的网络需要进行合理的规划。根据总体网络规划，分析其重要性和所涉及信息的重要程度等，并据此划分不同的VLAN网段，设置相应的安全访问控制策略。另外，在网络安全域的边界部署防火墙及入侵防御系统，对所有流经防火墙的数据包按照安全规则过滤，屏蔽不安全的或不符合安全规则的数据包，禁止越权访问以及各类非法攻击的行为。利用入侵防御系统的动态检测功能，对网络中的异常流量进行监测，并定期对入侵防御系统的特征库进行升级，及时发现网络中存在的异常行为。在核心交换机上设置访问控制策略，禁止终端用户对安全管理设备的非授权访问，同时在接入层交换机上对所有接入网络的信息设备进行端口、IP地址和MAC地址的绑定。在网络层通过旁路方式部署漏洞扫描系统，在即不影响网络速度的情况下，又能及时的发现系统存在的漏洞，并根据漏洞扫描系统提供的解决方案及时更新补丁，消除相应的安全隐患。部署日志审计系统，对网络设备、安全设备、服务器进行安全审计，审计记录应包含事件的时间、用户信息、事件类型、事件是否成功等信息。在交换机与防火墙上配置详细的访问控制策略，限制终端的接入方式、网络地址的范围等。

2.3 主机设备安全

对登录主机设备的用户进行用户身份鉴别，使用账号+密码的方式，身份鉴别的密码具有一定的复杂度要求并设置定期更换；对电脑登录采用了USB-KEY+密钥的方式进行登录，需要进行远程管理的设备采用堡垒机等安全防护保证措施的方式进行远程管理。同时，针对主机系统访问控制策略对服务器及终端设备进行安全加固，包括：删除或修改默认账户名称，修改账户默认口令，删除系统及数据库中多余无用账户，禁用默认共享等；根据管理员用户的角色分配相应的管理权限，仅授权各管理员用户所需的最小权限。日志审计系统、数据库审计系统、上网行为审计系统等安全设备的部署实现主机设备的安全审计功能。针对主机系统遵循最小安装原则，关闭不必要的系统服务及高危端口，比如135、139、445端口等。在所有终端主机和服务器上部署防病毒系统，加强终端主机的病毒防护能力并及时升级防病毒库，定期对网络中的恶意代码进行查杀。域控服务器根据安全策略设置终端主机设备登录的超时锁定阈值及无效登录次数锁定阈值，并限制用户对系统资源的使用最大及最小限度，并对重要的关键网络设备及服务器配备硬件冗余，保障高可用性。

2.4 应用和数据安全

应用系统开发要考虑应用及数据安全需求，在开发时同时进行安全方面开发及设置。信息系统身份鉴别，可以采用用户账户和密码的方式，密码要设置复杂度要求，也可以采用用户账户与USB-KEY进行绑定的双因子方式进行认证，为安全事件的跟踪审计提供有效依据。应配置对登录的用户账号和权限访问控制的功能，并及时删除或停用应用系统中多余的、过期的账号；删除或修改系统默认账户及登录口令，设置不同的管理员权限，操作系统和数据库管理员分权管理，安排不同人员担任并分配不同的账号。开启应用系统及其使用的中间件的自带审计功能，并把相应的日志发送到日志审计系统，统一进行审计分析。同时部署数据库审计系统，对管理员操作数据库的相关记录进行安全审计，防止非法操作及更改相关数据信息。应用系统在资源控制方面，应设置一个客户端只允许一个用户同时登录，并且一个用户只允许同时在一个客户端上登录，从而保障信息资源的安全。在数据完整性和保密性方面，通过部署加密机实现网络传输层数据的完整性和保密性防护。对信息及业务数据加密传输和存储，确保传输的数据是加密后传输和存储。在数据备份和恢复方面，重要数据实现本地备份和恢复并且异地能够实时备份实现数据的备份和恢复。

3 网络安全管理体系建设

网络安全管理重要的就是要建立统一的网络安全管理体系，落实各项网络安全管理制度。所谓“三分技术，七分管理”，技术是基础，安全管理是关键。安全管理体系建设需从安全管理制度、安全管理机构、安全人员管理、应用系统建设及安全运维管理等方面进行统筹规划设计。

3.1 网络安全管理策略和制度

单位应制定网络安全管理总体方针和安全策略，明确网络安全管理工作的总体目标、范围、原则和框架等。根据网络安全管理的方针策略制订一系列网络安全管理制度、规范、办法等，用来规范各部门的网络安全工作，并建立管理人员及操作人员执行的日常管理操作规程，形成由安全管理策略、制度与管理办法、操作规程等构成的全方位的网络安全管理制度体系，指导并有效地规范各部门的网络安全管理工作，并形成相关的记录表单以阐明所遵循制度操作规范取得的结果或提供完成活动的证据。网络安全管理部门应根据环境变化对策略、安全管理制度及操作规程进行评审，并及时修订相关内容。

3.2 网络安全组织机构和人员管理

单位应成立网络安全管理领导小组及办公室等机构，明确网络安全管理机构的组织形式和执行方法，并设立系统管理员、安全管理员、审计员等岗位，从人员配置、授权审批、沟通协调、检查审计、人员上岗录用、人员离岗离职及人员安全意识教育培训等各方面进行管理落地执行。

3.3 网络安全运维管理

单位应根据网络安全管理制度体系框架中有关信息系统安全运维有关的管理制度规定，不断完善运维安全管理的措施及手段，具体包括：物理环境管理、设备资产管理、存储介质管理、设备维护管理、漏洞风险管理、网络信息安全管理、病毒恶意代码防范管理、策略配置管理、密钥密码管理、权限变更管理、备份与恢复管理、外包运维服务管理、应急预案管理及安全事件应急处置管理等等内容，确保网络及信息系统安全稳定运行。

[1]《信息安全技术信息系统安全等级保护实施指南》GB/T 25058-2010.

[2]《信息安全技术信息系统安全等级保护体系框架》GA/T 708-2007.

[3]《信息安全技术网络安全等级保护基本要求》GB/T 22239-2019.