信息安全等级保护是国家信息安全的一项基本国策和制度,从实施至今已经有 20 多年,随着云计算、大数据、物联网和移动互联等新技术的出现,信息系统基础架构设施发生了翻天覆地的变化,同时在实际安全建设和测评工作中,标准的适用性、可操作性上还需要进一步完善,原标准体系已经不能满足新形势下网络安全等级保护工作的需要。在此大背景下,国家相关部委对标准进行了修订,等级保护进入了等保 2.0 时代。
等级保护 2.0 管理策略将由之前等级保护 1.0 的“自主定级、自主保护、监督指导”转向为“明确等级、增强保护、常态监督”的层面。同时将风险评估、安全监测、通报预警等重点措施以及云计算、大数据、物联网等新技术平台纳入等级保护管理,要求构建“侦攻防管控”一体化的网络安全综合防控体系。因此整个安全体系建设是一项系统工程,可以围绕以下几个方面进行开展。
网络信任体系建设
建设 CA 认证系统,为业务系统提供证书生产、身份认证等证书服务,为用户提供安全可信的支撑服务;在 CA 认证和服务平台的支持下,实现用户信息的统一管理,为操作系统登录、网络接入、业务系统访问提供统一的身份认证。
安全技术体系建设
综合采用身份认证、访问控制、边界防护、安全审计、入侵检测/防御、恶意代码防护等技术构建基础的技术防护体系。针对云计算平台部署虚拟化安全防护系统、云安全资源池构建云平台安全防护体系,实现私有云环境下不同虚机,公有云环境下的不同租户之间南北向的安全隔离和防御,同时可结合云端的安全防护和监测类服务实现纵深防御。针对大数据平台,根据数据的生命周期,在主客体间的访问行为和路径上综合采用身份认证、访问控制、数据加密、数据脱敏等手段进行安全防御。通过部署APT 攻击防护系统、态势感知系统对威胁及攻击行为进行主动式的监测及安全态势的预判,实现持续监测、安全可视。
安全管理体系建设
组织和单位应建立完善的安全管理领导组织机构,根据单位业务情况并结合安全管理实际建立包含总体安全策略、安全管理制度、操作流程规范、记录表单的安全管理文件体系,并按照安全管理体系要求严格执行。配备专业的机房、系统、网络、应用和安全管理人员负责信息系统的日常管理工作,加强对业务人员和安全管理人员的安全意识和技能的培训,定期开展安全事件应急处置演练,提高突发事件的应急处置能力。根据系统安全保护等级及信息系统实际情况规划系统安全建设,加强信息系统在设计、实施、验收过程的管理。信息系统如果部署在公有云上,需要确定云服务商提供的云计算平台达到相应的安全等级,作为云租户方要与云平台服务商、云安全服务商明确各自的安全责任和义务。
组织和单位除建立自身的安全运维团队外,作为对现有安全管理人员补充,以及加强安全应急支撑团队的建设,组织和单位可通过服务外包的方式委托专业安全服务机构负责日常具体的安全运维工作,把主要精力放在安全整体管理和决策上。通过安全巡检对系统状态、安全策略配置进行检查、对信息系统进行漏洞扫描发现存在的安全风险和漏洞,通过安全加固修复发现的安全问题,提升系统的安全性,通过日志分析及时发现异常和攻击行为,并针对性调整安全策略,通过应急响应对突发的安全事件进行响应和处置,并进行事后分析和预防改善。通过渗透测试模拟黑客攻击的方式主动发现系统可利用的漏洞,提升信息系统整体安全性。
风险管理体系建设
委托专业安全测评机构定期对信息系统进行等级测评和风险评估,一方面对网络安全法和信息系统安全保护等级的合规性要求进行测试评估,另外进一步发现信息系统面临的主要安全风险,积极采取风险应对措施,对残留风险持续进行监控。
网络安全靠人民,网络安全为人民。随着国家针对网络安全等级保护工作的重大举措和决策部署,政策法律、标准规范进一步得到完善,等级保护工作和监管范围进一步扩大,相信通过等级保护 2.0 的推进和实施,将全面提升我国关键基础设施和重要信息系统的安全保障水平,使我们的网络更加安全,人民更加幸福。