筆者單位網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜，應(yīng)用不斷增多，使信息系統(tǒng)面臨更多的風(fēng)險(xiǎn)。同時(shí)，網(wǎng)絡(luò)攻防技術(shù)發(fā)展迅速，攻擊的技術(shù)門檻隨著自動(dòng)化攻擊工具的應(yīng)用也在不斷降低，勒索病毒等未知威脅也開始泛濫?；诖耍P者單位擬進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)，根據(jù)等保2.0的相關(guān)標(biāo)準(zhǔn)要求，以“一個(gè)中心，三重防護(hù)”為核心理念，以安全技術(shù)保障、安全管理運(yùn)營、安全監(jiān)測預(yù)警、安全應(yīng)急響應(yīng)為路線，開展等保2.0的定級(jí)、備案、建設(shè)整改、測評(píng)工作，切實(shí)保障單位網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)現(xiàn)狀分析

筆者單位雖然已采取了安全措施，但仍存在各種安全隱患，例如：外部入侵；非授權(quán)訪問；冒充合法用戶；破壞數(shù)據(jù)完整性；網(wǎng)頁篡改與數(shù)據(jù)丟失；來自內(nèi)部人員的威脅；安全管理比較薄弱；未定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估?？紤]到目前的實(shí)際情況，建議采用滲透測試、漏洞掃描、上線前安全檢測、安全事件應(yīng)急處置、管理制度完善、等保咨詢等服務(wù)。

網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)設(shè)計(jì)原則和設(shè)計(jì)內(nèi)容

以等保2.0的“一個(gè)中心，三重防護(hù)”思想為核心，構(gòu)建集管控、防護(hù)、檢測、響應(yīng)、恢復(fù)和可信驗(yàn)證等于一體的信息安全保障體系。

“綜合防范、整體安全”：堅(jiān)持管理與技術(shù)并重，從人員、管理、安全技術(shù)手段等多方面著手，建立綜合防范機(jī)制，實(shí)現(xiàn)整體安全。

“分域保護(hù)、務(wù)求實(shí)效”：科學(xué)劃分系統(tǒng)安全區(qū)域，在完善已有安全配置基礎(chǔ)上，制定適度安全策略，整體提高信息安全保障的有效性。

“同步建設(shè)”：安全保障體系規(guī)劃與系統(tǒng)建設(shè)同步、協(xié)調(diào)發(fā)展，將安全保障體系建設(shè)融入到信息化建設(shè)的規(guī)劃、建設(shè)、運(yùn)行和維護(hù)的全過程中。

“縱深防御，集中管理”：構(gòu)建從外到內(nèi)、功能互補(bǔ)的縱深防御體系，對(duì)資產(chǎn)、安全事件、風(fēng)險(xiǎn)以及訪問行為等進(jìn)行集中統(tǒng)一分析與監(jiān)管的管控中心。

“設(shè)計(jì)先進(jìn)、擴(kuò)展容易”：設(shè)計(jì)并采用的技術(shù)具有良好的可擴(kuò)展性，充分保護(hù)當(dāng)前的投資和利益，保障安全體系措施實(shí)現(xiàn)可持續(xù)發(fā)展。

以等保2.0相應(yīng)等級(jí)防護(hù)要求為依據(jù)，在利用現(xiàn)有安全設(shè)備基礎(chǔ)上，采用必要的安全服務(wù)，全面識(shí)別單位重要信息系統(tǒng)在技術(shù)層面和管理層面存在的不足和差距。增加必要的安全產(chǎn)品，設(shè)計(jì)合理的安全管理制度，建立科學(xué)的結(jié)構(gòu)化的信息安全保障框架（如圖1所示），建立“可信、可控、可管”的安全防護(hù)體系，保障相關(guān)業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行。具體設(shè)計(jì)內(nèi)容如下：對(duì)相關(guān)系統(tǒng)進(jìn)行整體安全風(fēng)險(xiǎn)評(píng)估，及時(shí)發(fā)現(xiàn)現(xiàn)有系統(tǒng)存在的風(fēng)險(xiǎn)；按照等保2.0相關(guān)要求進(jìn)行安全建設(shè)整改，達(dá)到國家相關(guān)標(biāo)準(zhǔn)的要求。

圖1? 安全體系總體框架圖

等級(jí)保護(hù)三級(jí)系統(tǒng)實(shí)施

1.安全技術(shù)體系實(shí)施

建立系統(tǒng)安全管理中心，總體架構(gòu)如圖2所示。大數(shù)據(jù)安全分析平臺(tái)采用ElasticSearch、Hadoop等開源數(shù)據(jù)存儲(chǔ)和索引引擎，保證數(shù)據(jù)不被綁定，便于將來對(duì)數(shù)據(jù)的二次應(yīng)用；采用B/S架構(gòu)，支持全中文Web管理界面，支持SSL加密模式訪問；支持針對(duì)網(wǎng)絡(luò)中各類安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫等產(chǎn)品進(jìn)行日志收集和標(biāo)準(zhǔn)化，通過探針進(jìn)行流量數(shù)據(jù)采集，通過大數(shù)據(jù)綜合分析提供安全風(fēng)險(xiǎn)分析和問題定位能力。

圖2? 安全管理中心總體架構(gòu)

安全通信網(wǎng)絡(luò)主要從通信網(wǎng)絡(luò)審計(jì)、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)、可信連接驗(yàn)證方面進(jìn)行防護(hù)。通過在外網(wǎng)邊界安全域部署防火墻、在各個(gè)安全域邊界部署防火墻，實(shí)現(xiàn)各個(gè)安全域的邊界隔離和劃分，在防火墻上配置訪問控制策略。防火墻可根據(jù)會(huì)話狀態(tài)信息，對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行訪問控制，做到允許/拒絕訪問，控制力度可以為端口級(jí)。采用由密碼等技術(shù)支持的保密性保護(hù)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)。采用 SSL、IPSEC VPN 等產(chǎn)品或技術(shù)措施，實(shí)現(xiàn)整個(gè)報(bào)文或會(huì)話的保密性保護(hù)。采用身份認(rèn)證系統(tǒng)、終端準(zhǔn)入、VPN 等產(chǎn)品或技術(shù)措施，實(shí)現(xiàn)整個(gè)通信網(wǎng)絡(luò)的設(shè)備真實(shí)可信，通過集中管理平臺(tái)進(jìn)行安全審計(jì)。

安全區(qū)域邊界主要從區(qū)域邊界訪問控制、區(qū)域邊界包過濾、區(qū)域邊界安全審計(jì)、區(qū)域完整性保護(hù)、可信驗(yàn)證方面進(jìn)行防護(hù)。根據(jù)區(qū)域邊界安全控制策略，檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議和請(qǐng)求的服務(wù)等，確定是否允許該數(shù)據(jù)包進(jìn)出該區(qū)域邊界。采用防火墻、Web應(yīng)用防護(hù)系統(tǒng)、入侵防護(hù)、抗拒絕服務(wù)系統(tǒng)或者具有同等功能的產(chǎn)品，實(shí)現(xiàn)邊界數(shù)據(jù)包過濾。設(shè)置自主和強(qiáng)制訪問控制機(jī)制，對(duì)源及目標(biāo)計(jì)算節(jié)點(diǎn)的身份、地址、端口和應(yīng)用協(xié)議等進(jìn)行可信驗(yàn)證，對(duì)進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán)訪問。采用防火墻、身份認(rèn)證、行為管理、入侵防護(hù)系統(tǒng)或同等功能的產(chǎn)品，實(shí)現(xiàn)對(duì)該區(qū)域網(wǎng)絡(luò)數(shù)據(jù)包的出入控制。在安全域邊界部署入侵檢測及防御系統(tǒng)，及時(shí)識(shí)別由外到內(nèi)和由內(nèi)到外的入侵行為，并進(jìn)行告警和阻斷。部署下一代防火墻（開啟病毒和垃圾郵件過濾功能），保證網(wǎng)絡(luò)的高可用性，定期升級(jí)更新惡意代碼庫，降低被惡意代碼攻擊的風(fēng)險(xiǎn)。

2.安全管理體系實(shí)施

安全管理體系主要從安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理方面進(jìn)行設(shè)計(jì)，由安全策略、管理制度、操作規(guī)程等構(gòu)成全面的信息安全管理制度體系。

安全管理機(jī)構(gòu)：明確系統(tǒng)管理員、網(wǎng)絡(luò)管理員和安全管理員等崗位的崗位職責(zé)，將信息安全管理制度落實(shí)到人。

安全管理人員：在人員錄用方面，要對(duì)新錄用人員進(jìn)行信息安全技術(shù)技能考核，從事關(guān)鍵崗位的人員在入職前還要簽署崗位安全協(xié)議；針對(duì)即將離職和調(diào)離關(guān)鍵崗位的人員，制度上必須明確要求其承擔(dān)的保密義務(wù)，必要時(shí)簽署崗位保密協(xié)議，辦理嚴(yán)格的調(diào)離手續(xù)后才能被允許離開；定期對(duì)各崗位的管理人員進(jìn)行安全技能及安全認(rèn)知考核，并對(duì)考核結(jié)果進(jìn)行記錄和保存；建立信息安全培訓(xùn)制度，定期組織信息安全培訓(xùn)；建立外部人員訪問管理制度，對(duì)外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容進(jìn)行書面的規(guī)定。

安全建設(shè)管理：制定工程實(shí)施方面的管理制度，明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則；委托第三方測試單位對(duì)系統(tǒng)進(jìn)行安全性測試，并出具安全性測試報(bào)告；發(fā)布《信息化管理指導(dǎo)意見》制度；建立完善的系統(tǒng)交付管理制度，對(duì)系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定。

安全運(yùn)維管理：加強(qiáng)對(duì)辦公環(huán)境的保密性管理，規(guī)范辦公環(huán)境人員行為，包括不在辦公區(qū)接待來訪人員、工作人員離開座位應(yīng)確保終端計(jì)算機(jī)退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件等；完善資產(chǎn)清單，確定資產(chǎn)責(zé)任部門、重要程度，根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理，根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的管理措施。對(duì)信息分類與標(biāo)識(shí)方法做出規(guī)定，并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管理。

3.安全服務(wù)體系實(shí)施

滲透測試：專業(yè)安全服務(wù)工程師模擬黑客攻擊方式對(duì)用戶信息系統(tǒng)進(jìn)行非破壞性安全測試，發(fā)現(xiàn)深層次的安全隱患，驗(yàn)證現(xiàn)有安全措施的防護(hù)效果，及時(shí)了解其被入侵的可能性，提出整改建議。

安全事件處置：通過遠(yuǎn)程或現(xiàn)場的方式幫助客戶對(duì)突發(fā)性安全事件進(jìn)行安全處理，協(xié)助客戶快速定位問題，分析判斷安全事件原因，提供有效的解決建議，幫助用戶將損失及影響降到最低。

信息安全管理制度建設(shè)：以風(fēng)險(xiǎn)評(píng)估、合規(guī)性分析結(jié)果為依據(jù)，按照相關(guān)行業(yè)要求，制定安全管理框架，明確管理方針、策略，以及相應(yīng)的規(guī)定、操作規(guī)程、業(yè)務(wù)流程和記錄表單，建立信息安全管理制度。

結(jié)語

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和數(shù)字化轉(zhuǎn)型的推進(jìn)，網(wǎng)絡(luò)安全工作將面臨更多挑戰(zhàn)。網(wǎng)絡(luò)安全三級(jí)等保測評(píng)對(duì)于網(wǎng)絡(luò)安全具有深遠(yuǎn)的影響。通過測評(píng)，能夠全面了解其網(wǎng)絡(luò)安全狀況，發(fā)現(xiàn)并解決存在的安全問題，提高網(wǎng)絡(luò)安全防護(hù)能力。文章來源地址http://www.zghlxwxcb.cn/news/detail-799495.html

到了這里，關(guān)于網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)規(guī)劃與設(shè)計(jì)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！