网络安全等级保护测评规划与设计

笔者单位虽然已采取了安全措施，但仍存在各种安全隐患，例如：外部入侵；非授权访问；冒充合法用户；破坏数据完整性；网页篡改与数据丢失；来自内部人员的威胁；安全管理比较薄弱；未定期进行安全风险评估。考虑到目前的实际情况，建议采用渗透测试、漏洞扫描、上线前安全检测、安全事件应急处置、管理制度完善、等保咨询等服务。

以等保2.0的“一个中心，三重防护”思想为核心，构建集管控、防护、检测、响应、恢复和可信验证等于一体的信息安全保障体系。

“综合防范、整体安全”：坚持管理与技术并重，从人员、管理、安全技术手段等多方面着手，建立综合防范机制，实现整体安全。

“分域保护、务求实效”：科学划分系统安全区域，在完善已有安全配置基础上，制定适度安全策略，整体提高信息安全保障的有效性。

“同步建设”：安全保障体系规划与系统建设同步、协调发展，将安全保障体系建设融入到信息化建设的规划、建设、运行和维护的全过程中。

“纵深防御，集中管理”：构建从外到内、功能互补的纵深防御体系，对资产、安全事件、风险以及访问行为等进行集中统一分析与监管的管控中心。

“设计先进、扩展容易”：设计并采用的技术具有良好的可扩展性，充分保护当前的投资和利益，保障安全体系措施实现可持续发展。

以等保2.0相应等级防护要求为依据，在利用现有安全设备基础上，采用必要的安全服务，全面识别单位重要信息系统在技术层面和管理层面存在的不足和差距。增加必要的安全产品，设计合理的安全管理制度，建立科学的结构化的信息安全保障框架（如图1所示），建立“可信、可控、可管”的安全防护体系，保障相关业务系统安全稳定运行。具体设计内容如下：对相关系统进行整体安全风险评估，及时发现现有系统存在的风险；按照等保2.0相关要求进行安全建设整改，达到国家相关标准的要求。

图1 安全体系总体框架图

1.安全技术体系实施

建立系统安全管理中心，总体架构如图2所示。大数据安全分析平台采用ElasticSearch、Hadoop等开源数据存储和索引引擎，保证数据不被绑定，便于将来对数据的二次应用；采用B/S架构，支持全中文Web管理界面，支持SSL加密模式访问；支持针对网络中各类安全产品、网络设备、服务器、中间件、数据库等产品进行日志收集和标准化，通过探针进行流量数据采集，通过大数据综合分析提供安全风险分析和问题定位能力。

图2 安全管理中心总体架构

安全通信网络主要从通信网络审计、通信网络数据传输完整性保护、通信网络数据传输保密性保护、可信连接验证方面进行防护。通过在外网边界安全域部署防火墙、在各个安全域边界部署防火墙，实现各个安全域的边界隔离和划分，在防火墙上配置访问控制策略。防火墙可根据会话状态信息，对源地址、目的地址、源端口、目的端口和协议等进行访问控制，做到允许/拒绝访问，控制力度可以为端口级。采用由密码等技术支持的保密性保护机制，以实现通信网络数据传输保密性保护。采用 SSL、IPSEC VPN 等产品或技术措施，实现整个报文或会话的保密性保护。采用身份认证系统、终端准入、VPN 等产品或技术措施，实现整个通信网络的设备真实可信，通过集中管理平台进行安全审计。

安全区域边界主要从区域边界访问控制、区域边界包过滤、区域边界安全审计、区域完整性保护、可信验证方面进行防护。根据区域边界安全控制策略，检查数据包的源地址、目的地址、传输层协议和请求的服务等，确定是否允许该数据包进出该区域边界。采用防火墙、Web应用防护系统、入侵防护、抗拒绝服务系统或者具有同等功能的产品，实现边界数据包过滤。设置自主和强制访问控制机制，对源及目标计算节点的身份、地址、端口和应用协议等进行可信验证，对进出安全区域边界的数据信息进行控制，阻止非授权访问。采用防火墙、身份认证、行为管理、入侵防护系统或同等功能的产品，实现对该区域网络数据包的出入控制。在安全域边界部署入侵检测及防御系统，及时识别由外到内和由内到外的入侵行为，并进行告警和阻断。部署下一代防火墙（开启病毒和垃圾邮件过滤功能），保证网络的高可用性，定期升级更新恶意代码库，降低被恶意代码攻击的风险。

2.安全管理体系实施

安全管理体系主要从安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理方面进行设计，由安全策略、管理制度、操作规程等构成全面的信息安全管理制度体系。

安全管理机构：明确系统管理员、网络管理员和安全管理员等岗位的岗位职责，将信息安全管理制度落实到人。

安全管理人员：在人员录用方面，要对新录用人员进行信息安全技术技能考核，从事关键岗位的人员在入职前还要签署岗位安全协议；针对即将离职和调离关键岗位的人员，制度上必须明确要求其承担的保密义务，必要时签署岗位保密协议，办理严格的调离手续后才能被允许离开；定期对各岗位的管理人员进行安全技能及安全认知考核，并对考核结果进行记录和保存；建立信息安全培训制度，定期组织信息安全培训；建立外部人员访问管理制度，对外部人员允许访问的区域、系统、设备、信息等内容进行书面的规定。

安全建设管理：制定工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准则；委托第三方测试单位对系统进行安全性测试，并出具安全性测试报告；发布《信息化管理指导意见》制度；建立完善的系统交付管理制度，对系统交付的控制方法和人员行为准则进行书面规定。

安全运维管理：加强对办公环境的保密性管理，规范办公环境人员行为，包括不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等；完善资产清单，确定资产责任部门、重要程度，根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施。对信息分类与标识方法做出规定，并对信息的使用、传输和存储等进行规范化管理。

3.安全服务体系实施

渗透测试：专业安全服务工程师模拟黑客攻击方式对用户信息系统进行非破坏性安全测试，发现深层次的安全隐患，验证现有安全措施的防护效果，及时了解其被入侵的可能性，提出整改建议。

安全事件处置：通过远程或现场的方式帮助客户对突发性安全事件进行安全处理，协助客户快速定位问题，分析判断安全事件原因，提供有效的解决建议，帮助用户将损失及影响降到最低。

信息安全管理制度建设：以风险评估、合规性分析结果为依据，按照相关行业要求，制定安全管理框架，明确管理方针、策略，以及相应的规定、操作规程、业务流程和记录表单，建立信息安全管理制度。

随着网络技术的快速发展和数字化转型的推进，网络安全工作将面临更多挑战。网络安全三级等保测评对于网络安全具有深远的影响。通过测评，能够全面了解其网络安全状况，发现并解决存在的安全问题，提高网络安全防护能力。

来源：《网络安全和信息化》杂志

作者：张辛欣 陶坤元 程丽

（本文不涉密）