引言

网络安全等级保护制度是保障各机构网络安全的重要途径。通过网络安全等级保护，可以有效解决当前机构面临的网络安全问题“重点优先”将资源有针对性地投入到网络安全建设中，有助于络安全等级保护的基础。

网络安全等级保护定义

网络安全等级保护是指对单位内的秘密信息、专有信息和公共信息进行分级保护，对信息系统中的防火墙进行分级设置，对网络安全事件建立不同的响应机制。该保护系统分为五个层次：独立保护、指导保护、监督保护、强制保护和专项控制保护。不同的信息有不同的机密性，并将有相应的安全保护机制。近年来，网络安全等级保护制度2.0国家标准正式实施，对加强网络安全工作，提高网络能力具有重要意义。

网络安全等级保护现状分析

根据新的网络安全等级保护要求，绝大多数单位在网络安全技术和管理方面存在差距和盲点，网络安全体系仍需完善。主要表现在以下几个方面：（1）网络安全管理需要进一步加强，网络安全管理体系不完善，信息资产管理和服务外包管理缺乏网络安全要求。未建立系统的内部操作程序，网络安全管理和技术人员专业技能培训相对较少，网络安全等级保护等级、记录和评价未进行。部分操作维护工作不规范，随意性强，对网络、系统的安全稳定运行造成风险。（2）网络结构存在安全风险和更明显的脆弱性。虽然部署了防火墙进行网络访问控制，但部分防火墙缺乏安全配置和管理，访问控制策略不严格。同时，部分单位内部网络也缺乏分区和边界控制措施，不能限制非授权用户进入内部网络权用户滥用非法授权外部网络，部分单位发现终端跨内外网络现象，导致整个单位内部网络存在“一点接入，访问全网，攻击全网，”安全风险。(3)主机计算环境抵抗攻击能力低，主机服务器未能及时更新系统安全补丁，导致存在如MS17-010（永恒蓝色）、弱密码等高风险漏洞；部分服务器未部署病毒预防软件，病毒库未更新，无恶意代码预防措施，部分单位终端感染木马病毒，一旦使用，可能导致内部服务器主机大面积恶意程序感染。（4）内网应用系统缺乏应用系统安全防范措施，存在高风险安全漏洞；应用系统识别、数据完整性、保密保护等战略配置不足，结合其他安全风险，带来系统服务安全、数据安全等严重安全问题。（5）数据安全保护能力不足，部分未对专网重要数据进行分类管理，缺乏数据安全保护措施。专网数据库存在密码薄弱、远程代码执行漏洞等高风险安全漏洞，易于攻击和利用。大量业务数据和敏感信息存在较高的安全风险。（6）缺乏物理安全基本保障的部分机房未对进出人员进行识别登记，容易造成恶意人员损坏，存在安全风险。部分机房未部署门禁系统，未安装防盗报警系统等。

网络安全等级保护部署建议

3.构建等保系统框架

根据安全等级保护的总体思路，提出如图1所示的网络安全管理体系架构。“总体安全策略”是单位网络安全管理体系的首要指导策略。“安全管理组织框架”位于网络安全管理体系第二层，负责建立本单位网络安全管理组织框架。它不仅保证了信息系统在运行过程中不会泄露数据，而且建立了一个能够稳定运行信息系统的管理系统，以确保网络安全管理活动的有效发展。“安全管理制度框架”位于网络安全管理体系第三层，从安全管理机构和岗位职责、信息系统硬件设备安全管理、系统建设管理、安全运行管理、安全事件处置和应急预案管理等方面提出了标准化的安全管理要求。网络安全管理系统的第四层描述了如何规范配置和具体操作流程，以及如何记录操作活动。从日常安全管理活动的实施出发，对主要安全管理活动的具体配置、操作流程、实施规范等安全管理活动进行具体操作指导，指导安全管理工作的具体实施。

3.2划分安全域

根据安全等级保护系统的整体结构，重新划分网络安全域。各安全领域的安全管理策略应遵循统一的基本要求，具体如下：（1）确保关键网络设备的业务处理能力满足高峰业务需求，避免网络单点故障。（2）部署高效的防火墙设备，防止包括在内的高效防火墙设备DDOS各种网络攻击；部署在通信网络中IPS，入侵检测系统、监测探针等，监测各种网络攻击行为。(3)在关键位置部署数据库审计系统，对数据库的重要配置、操作、变更进行审计记录。（4）每个访问网络的用户将进行身份验证，以确保配置管理的操作只能由授予权限的网络管理员进行[2]。(5)部署流量检测设备，通过部署流量检测设备，Flow采集技术，建立流量图式基线，根据应用情况控制和分配流量。(6)增加除密码外的技术措施，实现双因素认证[3]。（7）如需远程管理网络设备和安全设备，应采用加密方式，避免网络传输过程中窃取身份识别信息。(8)能及时有效阻断接入网络的非授权设备。

3.3控制安全边界

基于部署的网络安全软硬件设备，设置相应的安全规则，实现安全边界的控制和管理。主要安全策略包括：（1）互联网区域应用安全：必须通过边界防火墙的逻辑隔离和安全访问控制。（2）专网区域应用安全：访问身份和访问权限定义明显，必须通过边界防火墙的逻辑隔离和安全访问控制，其他区域和用户不得直接访问。（3）互联网区域数据安全：只允许外部应用程序服务器访问，其他区域用户不能直接访问。受访问身份和访问权限身份和访问权限的限制，必须由边界防火墙的逻辑隔离和安全访问控制。（4）专网区域数据安全：只允许内部应用服务器访问，其他区域和用户不允许直接访问。访问还必须具有受信的访问身份和访问权限。（5）互联网区域与专网区域的交互安全：内外信息交互采用数据摆渡与应用协议相结合的方式，严格控制双网之间的存在TCP/IP协议与其他网络协议的连接。（6）开发测试安全：开发测试区作为一个非信任区，只能在有限的前提下进行网络访问，必须通过边界防火墙的逻辑隔离和安全访问控制。(7)密码应用安全:所有涉及密码应用的网络安全设备，所采用的密码算法必须是国密算法。(8)统一安全管理:防火墙，IDS，IPS，防病毒网关、网络安全审计和数据库安全审计系统日志统一发送到安全管理区安全管理平台进行分析。（9）终端安全管理：办公设备统一部署终端安全管理系统，有效管理终端安全配置、准入控制、病毒预防功能和系统补丁升级。（10）设备知识产权：涉及网络安全设备的，必须具有国内知识产权。

4总结

网络安全等级保护是一项系统工程，需要各级人员的协调与合作。只有尽快弥补安全防护的不足，才能有效提高单位的安全支持能力、安全检测能力、安全防护能力、应急响应能力和灾难恢复能力，更好地保障单位网络安全建设的可持续发展。