網絡安全等級保護實施經驗

■ 天津 周虎

編者按：網絡安全等級保護2.0標準已于5月13日正式發布，相對于1.0相比，等保2.0有著諸多變化，需要單位在開展等保工作過程中積極應對。

網絡安全等級保護進入等保2.0時代，等級保護2.0在1.0的基礎上，橫向擴展了對云計算、移動互聯網、物聯網、工業控制系統的安全要求，實現全方位主動防御、動態防御、整體防控和精準防護。

等保2.0標準將于2019年12月1日實施，在做好企業當前等級保護工作基礎上，要逐步向等保2.0標準有關要求過渡，不斷提升企業網絡安全保護能力。

開展網絡安全等級保護工作，包括定級、備案、建設整改、等級測評、監督檢查等5個規定動作。

定級

定級是等級保護工作的首要環節和關鍵環節，定級不準，系統備案、建設、整改、等級測評等后續工作都會失去意義，網絡安全就沒有保證。

等級保護對象定級的一般流程包括確定定級對象、初步確定等級、專家評審、主管部門審核、公安機關備案審查。

1.初步確定等級

系統定級主要參考《信息安全技術 網絡安全等級保護定級指南》，綜合業務網絡安全和系統服務安全保護等級，確定定級對象的安全保護等級。等級保護級別表示為SAG，其中S為業務信息等級，A為系統服務等級，G取兩者中大的。

安全保護等級根據定級對象在國家安全、經濟建設、社會生活中的重要程度，以及遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定，分為五個等級，一至五級等級逐級增高，一般企事業單位等保定級主要為第二級、第三級兩個級別。

圖1 安全管理制度建設流程

等保2.0對于基礎信息網絡、云計算平臺、大數據平臺等支撐類網絡，應根據其承載或將要承載的等級保護對象的重要程度確定其安全保護等級，原則上應不低于其承載的等級保護對象的安全保護等級，其中大數據安全保護等級不低于第三級。

2.專家評審

專家評審可邀請網絡安全保護等級專家、行業主管單位代表、同級別公司網絡安全負責人等進行專家評審，出具專家評審意見。

專家評審時需要準備定級保護報告、備案表，同時請信息部門、業務部門參會，信息部門介紹公司網絡、安全等信息化整體現狀及定級思路，業務部門介紹各自系統功能、使用范圍、數據敏感性等，以便專家出具評審意見，意見主要包括定級準不準、存在的問題和整改方向等內容。

3.上級主管部門審核

有上級主管部門的，應當準備定級保護報告、備案表、專家評審意見等材料，向上級主管部門匯報，出具上級主管部門審核意見。

備案

根據《信息安全等級保護備案實施細則》要求，已運營（運行）或新建的第二級以上信息系統，應當在安全保護等級確定后30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。

辦理等級保護備案時，應積極與所屬公安局溝通，填寫《信息系統安全等級保護備案表》，按照要求準備關鍵崗位、支撐單位、軟硬件資產、管理制度等關聯信息。第三級以上定級對象應當同時提供系統拓撲結構及說明、信息安全產品清單、認證及銷售許可證明等材料。

備案材料可能需要反復修改，要嚴格按照公安局填報要求規范填寫。要帶齊辦理人身份證、加蓋公章的備案表等，前往公安局現場領取備案證書。

建設和整改

以《網絡安全等級保護基本要求》為基本準則，對安全現狀進行加固整改，將不同區域、不同層面的安全保護措施形成有機的安全保護體系，落實物理安全、網絡安全、主機安全、應用安全和數據安全等方面的基本要求，按照“基本合規、改進提高、持續提升”思路，更大程度發揮安全措施的保護能力。

1.安全管理制度建設

參照《網絡安全等級保護基本要求》等標準規范，開展網絡安全等級保護管理制度建設，工作流程如圖1所示。

網絡安全崗位一般設定網絡管理員、系統管理員、安全管理員等關鍵崗位，明確崗位職責。等級保護二級限制安全管理人員，不能兼任網絡管理員、系統管理員、數據庫管理員等；等級保護三級要求安全管理人員不可兼任，屬于專職人員，應具備安全管理工作權限和能力。

網絡安全等級保護主要安全管理制度包括如表1所示內容。

2.安全技術措施建設

表1 等保安全管理制度主要內容

圖2 信息安全技術整改工作流程

參照《網絡安全等級保護安全設計技術要求》（主要是第1部分安全通用要求）等標準規范，開展信息系統安全技術要求建設整改。工作流程如圖2所示。

（1）物理和環境安全

主要包括：設置電子門禁、精密空調、火災自動消防、防雷、防水、防潮、動環監控等措施；設置冗余或并行的電力電纜線路為計算機系統供電（三級系統）；機房場地應避免設在建筑物的頂層或地下室，否則應加強防水和防潮措施。

（2）設備和計算安全

主要包括：設置登錄認證功能；用戶名不易被猜測，口令復雜度達到強密碼要求，不能為空密碼或默認密碼，要定期強制更換；重命名或刪除默認賬戶，修改默認賬戶的默認口令；刪除或停用多余、過期賬戶，避免共享賬戶使用、存在；應遵循最小安全原則，僅安裝需要的組件和應用程序；關閉不需要的系統服務、默認共享和高危端口；限制單個用戶或進程對系統資源的最大或最小使用度等。

（3）應用和數據安全

主要包括：對登錄的用戶進行身份標識和鑒別；三級系統要求采用兩種或兩種以上組合的鑒別技術對用戶身份進行鑒別；提供并啟用登錄失敗處理功能，多次登錄失敗后應采取必要保護措施；強制用戶首次登錄時修改默認密碼；對單個賬戶的多重并發會話進行限制；提供異地實時備份功能（三級系統）；應采用密碼技術保證通信過程中數據完整性等。

（4）安全產品（服務）清單

結合技術防范措施，選用下述產品清單。

等級保護二級：下一代防火墻（必選）、日志審計系統（必選）、網絡防病毒系統（必選）、堡壘機（建議選擇）、SSL VPN（建議選擇）、數據庫審計（建議選擇）、上網行為管理（建議選擇）、風險評估服務（可選）等。

三級：下一代防火墻（必選）、上網行為管理（必選）、日志審計系統（必選）、數據庫審計（必選）、網絡防病毒系統（必選）、堡壘機（建議選擇）、SSL VPN（建議選擇）、負載均衡（建議選擇）、風險評估服務（可選）、滲透測試服務（可選）等。

在等級保護建設整改實施過程中，涉及到四個階段：現狀整理、差距分析、整改方案、整改落實。三個不同角色：運營單位、整改支持單位、測評機構。整改支持單位與測評機構原則上不能為同一個單位。

在實際開展安全建設和整改、網絡安全等級保護測評之間，個人認為沒有嚴格的順序，要結合實際情況，合理選擇先后順序。建議先開展網絡安全等級保護測評，由專業測評機構進行安全制度梳理、安全需求分析、等級保護整改規劃、等級保護整改方案等工作，以便安全建設達到等級保護要求。

等級保護測評

測評機構依據國家網絡安全等級保護制度規定，按照有關管理規范和技術標準，對非涉及國家秘密信息系統，從物理環境、網絡通信、區域邊界等技術層面，管理制度、管理機構、運維管理等管理層面，進行檢測評估，編制等級保護測評報告。

等級保護主要測評方法包括訪談、檢查和測試，收集機房數量、物理位置等物理環境信息，網絡拓撲圖、網絡結構、安全設備等網絡信息，服務器設備、終端設備等主機信息，應用系統、業務數據等應用信息、以及機構設置、人員崗位等管理信息，進行整體測評。

等級保護測評報告要報送網安審批，通過后打印一式四份，網安留一份，測評機構留一份，備案單位留兩份。

定期自查與檢查

備案單位應對等級保護工作落實情況進行自查，三級以上定級對象要求每年至少開展一次測評，二級信息系統建議每兩年開展一次測評，掌握網絡安全狀況、安全管理制度及技術保護措施的落實情況等，及時發現安全隱患和存在的突出問題，有針對性地采取技術和管理措施，持續整改確保安全。

備案單位應配合公安機關（誰受理備案、誰負責檢查）的監督檢查工作，如實提供有關資料和文件。當第三級（含）以上定級對象發生事件、案件時，備案單位應及時向受理備案的公安機關報告。

風險規避

等級保護工作過程中，可以采取以下措施規避風險：

1.簽署保密協議

測評雙方及其他配合單位應簽署完善的、合乎法律規范的保密協議，以約束現在和將來的行為，避免信息泄露。

2.現場風險規避

進行驗證測試和工具測試時，應合理安排測試時間，盡量避開業務高峰期，如在系統資源處于空閑狀態時進行，被測系統運營使用單位需要對整個測試過程進行監督。同時要對關鍵數據做好備份，并對可能出現的影響制定相應的處理方案。

結語

現階段實施等級保護工作，在符合等保1.0基礎上，基本滿足通過測評要求；要綜合考慮等保2.0標準，拓寬監管范圍和手段，提升監管內容和強度，構建相對完善的安全保障體系，提高測評分數；持續完善“技術+管理+服務”，建立系統的網絡安全防護體系。