做好等保2.0网络信息安全工作的一些思考

2021-03-06童话杨浩程李怀义

网络安全技术与应用 2021年1期

◆童话杨浩程李怀义

◆童话杨浩程李怀义

（应急管理部消防救援局昆明训练总队云南 650032）

本文描述了新时代信息安全的变化，对做好等保2.0的必要性进行了分析，通过对等保2.0的重点解读，着重思考了我单位落实等保2.0建设的几个要点，后期，我单位将按照等保2.0建设要求，加强网络信息安全工作，切实保障单位网络信息系统的安全稳定运行。

信息安全；等级保护；网络安全

1 新时代信息安全的变化

互联网技术已融入经济生活的方方面面，严重影响着当前社会经济活动的生产生活方式。

随着互联网技术应用不断模糊物理边界，融入整个社会经济活动的趋势日益明显，随之带来的网络信息安全风险挑战不断增大，网络威胁不断增多，网络信息安全风险融合叠加并快速演变。

当前网络信息安全攻击目的，已由炫耀、恶意破坏等单纯动机演变为由特定经济利益驱使的、以政治攻击诉求为目的的定向攻击，甚至有以敌对势力网络战为目的的攻击；其攻击者已有个人或小规模团体，演变为有特定利益组织、政治团体甚至国家级特定组织驱动，发展成为一条地下攻击经济链条，带有强烈的利益目的，给单位网络信息安全的管理带来严峻的威胁。

随着《网络安全法》的实施，国家相关安全主管部门也在不断加强网络信息安全的管理，特别是2019年12月1日《信息安全技术网络安全等级保护基本要求》（以下简称：等保2.0）正式发布实施，标志着等级保护标准正式进入2.0时代[1]，给出了新时代信息安全防护参照的标准，在技术实施和管理上，为信息系统管理员指明方向。

2 做好等保2.0的必要性

信息安全事关国家安全和社会稳定，必须采取措施确保我国的信息安全[2]。没有网络安全就没有国家安全。网络安全是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题。实施并落实做好信息安全等级保护，是满足和落实《网络安全法》及国家相关安全监管部门的相关要求，同时也是我单位提升自身安全防御水平的迫切需要。网络信息安全等级保护机制是我国最早建立的网络信息系统体系化管理的规则制度，是《网络安全法》的要求，同时也是国家关键信息基础设施保护的要求。

2019年APT攻击逐步向各重要行业领域渗透，在重大活动和敏感时期更加猖獗[3]。面对新的挑战，我们总队需要时刻保持着高度关注，不停地变化防护技术，不停地进行技术的更迭。特别是参照等保2.0要求，落实单位的等级保护工作，将单位网络信息安全防护工作落到实处，达到国家规定要求，同时切实提高自身安全防护水平能力，保障我单位网络信息系统的安全运行，显得很有必要。

3 等保2.0的重点解读

相较于等保1.0，等保2.0发生了以下几点主要变化：

第一，名称变化。等保2.0将原来的标准由《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，与《网络安全法》保持一致。

第二，定级对象变化。等保1.0的定级对象是信息系统，现在2.0更为广泛，包含：信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。

第三，安全要求变化。基本要求的内容，由安全要求变革为安全通用要求与安全扩展要求（含云计算、移动互联、物联网、工业控制）。

第四，控制措施分类结构变化。等保2.0依旧保留技术和管理两个维度。在技术上，由物理安全、网络安全、主机安全、应用安全、数据安全，变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心；在管理上，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理，调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理，建立明确清晰的要求。

第五，内容变化。从等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作，变更为五个规定动作+新的安全要求，包括风险评估、安全监测、通报预警、态势感知等。

4 落实等保2.0建设的几个要点

4.1 网络信息安全建设管理应遵循“三同步”建设原则

保证安全技术措施同步规划、同步建设、同步使用。[4]。以“同步规划、同步建设、同步使用”为指导思想，在系统生命周期各阶段明确责任部门及安全职责，在全过程中推行安全同步开展，强化安全工作前移，降低运维阶段的服务压力。三同步原则在《安全生产法》中都有类似规定，经过长期的实施也已经相对规范，在具体落实三同步原则时，需要把握以下要素来理解三同步原则：

（1）同步规划：在业务规划的阶段同步纳入安全要求，引入安全措施。

（2）同步建设：在项目建设阶段，通过合同条款落实系统集成商、厂商的责任，保证相关安全技术措施的顺利准时建设；保证项目上线时，安全措施的验收和工程验收同步，确保只有符合安全要求的系统才能上线。

（3）同步使用：安全验收后的日常运营维护中，应当保持系统处于持续安全防护水平。

4.2 建立明确清晰的网络安全应急处置机制

等保1.0和2.0中，都有明确规定要求建立清晰的安全应急处置机制，应组建有领导层参加的安全领导小组，以批准系统安全策略、分配安全责任并协调组织范围的安全策略实施，确保对安全管理和建设有一个明确的方向并得到管理层的实际支持。安全领导小组应通过合理的责任分配和有效的资源管理促进系统安全。同时针对各类型网络安全事件建立应急处置预案，并定期开展演练，加强对网络信息安全事件的处置水平及能力。

4.3 建立切实有效的网络信息安全防护和监测能力

网络安全的本质在对抗，对抗的本质在攻防两端能力较量[5]，要结合单位业务特性，切实加强网络边界防护能力和业务边界防护能力。启用必要的账号口令管理，能够对系统上保存的账号进行集中管理，进行必要的身份认证，对维护人员集中授权；同时对各类系统产生的日志进行统一采集、存储、管理，可根据预先制定的审计策略对日志进行分析，发现高危操作，产生审计事件告警；加强对日志的核查，审计工作以及后期对应跟踪工作，对黑客攻击行为或探测行为进行全面检测，结合远程检测（主动发现脆弱点），提升主动发现能力，包含但不限于：漏洞利用、溢出攻击、碎片攻击、异常协议行为、数据库/系统漏洞攻击、恶意代码、蠕虫木马攻击等。

4.4 定期开展风险评估评测，消除潜在安全隐患。

信息安全是动态化的工作，随时都有可能存在不明确的攻击，互联网也随时爆发各种各样的漏洞，应结合单位实际情况，定期开展风险评估，采用相关安全工具进行漏洞、潜在威胁、脆弱点等隐患发掘；同时，委托第三方专业机构，开展等级保护测评、渗透测试等，以便尽可能发掘出安全隐患。将安全威胁消灭在未发生或萌芽阶段。

4.5 健全应急预案，开展信息安全应急演练

应建立健全的网络安全应急保障工作机制，坚持“统一领导、分工负责、及时预警、协作配合、快速处理、确保恢复”的原则，最大限度降低突发网络安全事件导致的损失与影响，提高网络安全应急处理能力和水平，全面保障业务系统安全运行。

安全预案包含但不限于：事件分级与处置策略（安全事件定义、分类、分级、上报策略、事件通报等）；组织体系和职责（应急组织结构、保障领导小组）；应急响应（响应流程图、发现与报告阶段说明和行动要点）以及应急措施、应急流程、应急工具、应急步骤、系统列表与负责人清单、安全事件分级标准、人员联系方式、网络安全事件处理记录表、电话通知记录表等。