网络安全等级保护实施经验

■ 天津 周虎

编者按：网络安全等级保护2.0标准已于5月13日正式发布，相对于1.0相比，等保2.0有着诸多变化，需要单位在开展等保工作过程中积极应对。

网络安全等级保护进入等保2.0时代，等级保护2.0在1.0的基础上，横向扩展了对云计算、移动互联网、物联网、工业控制系统的安全要求，实现全方位主动防御、动态防御、整体防控和精准防护。

等保2.0标准将于2019年12月1日实施，在做好企业当前等级保护工作基础上，要逐步向等保2.0标准有关要求过渡，不断提升企业网络安全保护能力。

开展网络安全等级保护工作，包括定级、备案、建设整改、等级测评、监督检查等5个规定动作。

定级

定级是等级保护工作的首要环节和关键环节，定级不准，系统备案、建设、整改、等级测评等后续工作都会失去意义，网络安全就没有保证。

等级保护对象定级的一般流程包括确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查。

1.初步确定等级

系统定级主要参考《信息安全技术 网络安全等级保护定级指南》，综合业务网络安全和系统服务安全保护等级，确定定级对象的安全保护等级。等级保护级别表示为SAG，其中S为业务信息等级，A为系统服务等级，G取两者中大的。

安全保护等级根据定级对象在国家安全、经济建设、社会生活中的重要程度，以及遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定，分为五个等级，一至五级等级逐级增高，一般企事业单位等保定级主要为第二级、第三级两个级别。

图1 安全管理制度建设流程

等保2.0对于基础信息网络、云计算平台、大数据平台等支撑类网络，应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级，原则上应不低于其承载的等级保护对象的安全保护等级，其中大数据安全保护等级不低于第三级。

2.专家评审

专家评审可邀请网络安全保护等级专家、行业主管单位代表、同级别公司网络安全负责人等进行专家评审，出具专家评审意见。

专家评审时需要准备定级保护报告、备案表，同时请信息部门、业务部门参会，信息部门介绍公司网络、安全等信息化整体现状及定级思路，业务部门介绍各自系统功能、使用范围、数据敏感性等，以便专家出具评审意见，意见主要包括定级准不准、存在的问题和整改方向等内容。

3.上级主管部门审核

有上级主管部门的，应当准备定级保护报告、备案表、专家评审意见等材料，向上级主管部门汇报，出具上级主管部门审核意见。

备案

根据《信息安全等级保护备案实施细则》要求，已运营（运行）或新建的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

办理等级保护备案时，应积极与所属公安局沟通，填写《信息系统安全等级保护备案表》，按照要求准备关键岗位、支撑单位、软硬件资产、管理制度等关联信息。第三级以上定级对象应当同时提供系统拓扑结构及说明、信息安全产品清单、认证及销售许可证明等材料。

备案材料可能需要反复修改，要严格按照公安局填报要求规范填写。要带齐办理人身份证、加盖公章的备案表等，前往公安局现场领取备案证书。

建设和整改

以《网络安全等级保护基本要求》为基本准则，对安全现状进行加固整改，将不同区域、不同层面的安全保护措施形成有机的安全保护体系，落实物理安全、网络安全、主机安全、应用安全和数据安全等方面的基本要求，按照“基本合规、改进提高、持续提升”思路，更大程度发挥安全措施的保护能力。

1.安全管理制度建设

参照《网络安全等级保护基本要求》等标准规范，开展网络安全等级保护管理制度建设，工作流程如图1所示。

网络安全岗位一般设定网络管理员、系统管理员、安全管理员等关键岗位，明确岗位职责。等级保护二级限制安全管理人员，不能兼任网络管理员、系统管理员、数据库管理员等；等级保护三级要求安全管理人员不可兼任，属于专职人员，应具备安全管理工作权限和能力。

网络安全等级保护主要安全管理制度包括如表1所示内容。

2.安全技术措施建设

表1 等保安全管理制度主要内容

图2 信息安全技术整改工作流程

参照《网络安全等级保护安全设计技术要求》（主要是第1部分安全通用要求）等标准规范，开展信息系统安全技术要求建设整改。工作流程如图2所示。

（1）物理和环境安全

主要包括：设置电子门禁、精密空调、火灾自动消防、防雷、防水、防潮、动环监控等措施；设置冗余或并行的电力电缆线路为计算机系统供电（三级系统）；机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。

（2）设备和计算安全

主要包括：设置登录认证功能；用户名不易被猜测，口令复杂度达到强密码要求，不能为空密码或默认密码，要定期强制更换；重命名或删除默认账户，修改默认账户的默认口令；删除或停用多余、过期账户，避免共享账户使用、存在；应遵循最小安全原则，仅安装需要的组件和应用程序；关闭不需要的系统服务、默认共享和高危端口；限制单个用户或进程对系统资源的最大或最小使用度等。

（3）应用和数据安全

主要包括：对登录的用户进行身份标识和鉴别；三级系统要求采用两种或两种以上组合的鉴别技术对用户身份进行鉴别；提供并启用登录失败处理功能，多次登录失败后应采取必要保护措施；强制用户首次登录时修改默认密码；对单个账户的多重并发会话进行限制；提供异地实时备份功能（三级系统）；应采用密码技术保证通信过程中数据完整性等。

（4）安全产品（服务）清单

结合技术防范措施，选用下述产品清单。

等级保护二级：下一代防火墙（必选）、日志审计系统（必选）、网络防病毒系统（必选）、堡垒机（建议选择）、SSL VPN（建议选择）、数据库审计（建议选择）、上网行为管理（建议选择）、风险评估服务（可选）等。

三级：下一代防火墙（必选）、上网行为管理（必选）、日志审计系统（必选）、数据库审计（必选）、网络防病毒系统（必选）、堡垒机（建议选择）、SSL VPN（建议选择）、负载均衡（建议选择）、风险评估服务（可选）、渗透测试服务（可选）等。

在等级保护建设整改实施过程中，涉及到四个阶段：现状整理、差距分析、整改方案、整改落实。三个不同角色：运营单位、整改支持单位、测评机构。整改支持单位与测评机构原则上不能为同一个单位。

在实际开展安全建设和整改、网络安全等级保护测评之间，个人认为没有严格的顺序，要结合实际情况，合理选择先后顺序。建议先开展网络安全等级保护测评，由专业测评机构进行安全制度梳理、安全需求分析、等级保护整改规划、等级保护整改方案等工作，以便安全建设达到等级保护要求。

等级保护测评

测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统，从物理环境、网络通信、区域边界等技术层面，管理制度、管理机构、运维管理等管理层面，进行检测评估，编制等级保护测评报告。

等级保护主要测评方法包括访谈、检查和测试，收集机房数量、物理位置等物理环境信息，网络拓扑图、网络结构、安全设备等网络信息，服务器设备、终端设备等主机信息，应用系统、业务数据等应用信息、以及机构设置、人员岗位等管理信息，进行整体测评。

等级保护测评报告要报送网安审批，通过后打印一式四份，网安留一份，测评机构留一份，备案单位留两份。

定期自查与检查

备案单位应对等级保护工作落实情况进行自查，三级以上定级对象要求每年至少开展一次测评，二级信息系统建议每两年开展一次测评，掌握网络安全状况、安全管理制度及技术保护措施的落实情况等，及时发现安全隐患和存在的突出问题，有针对性地采取技术和管理措施，持续整改确保安全。

备案单位应配合公安机关（谁受理备案、谁负责检查）的监督检查工作，如实提供有关资料和文件。当第三级（含）以上定级对象发生事件、案件时，备案单位应及时向受理备案的公安机关报告。

风险规避

等级保护工作过程中，可以采取以下措施规避风险：

1.签署保密协议

测评双方及其他配合单位应签署完善的、合乎法律规范的保密协议，以约束现在和将来的行为，避免信息泄露。

2.现场风险规避

进行验证测试和工具测试时，应合理安排测试时间，尽量避开业务高峰期，如在系统资源处于空闲状态时进行，被测系统运营使用单位需要对整个测试过程进行监督。同时要对关键数据做好备份，并对可能出现的影响制定相应的处理方案。

结语

现阶段实施等级保护工作，在符合等保1.0基础上，基本满足通过测评要求；要综合考虑等保2.0标准，拓宽监管范围和手段，提升监管内容和强度，构建相对完善的安全保障体系，提高测评分数；持续完善“技术+管理+服务”，建立系统的网络安全防护体系。