等保2.0下的网络安全防护体系构建

赵亚雄

（中通服咨询设计研究院有限公司，江苏 南京 210019）

0 引 言

2019年，我国正式发布网络安全等级保护2.0系列标准，对网络安全管理工作提出了新的要求，并结合信息系统安全防护控制内容开展了更加科学的管理方案。

1 等保2.0下的网络保护标准

基于网络安全等级保护制度的落实，国家网络安全工作进入到2.0时代，相关标准内容涉及《网络安全等级保护基本要求》（GB/T 22239—2019）、《信息安全技术网络安全等级保护安全设计技术要求》（GB/T 25070—2019）等。相较于等保1.0，等保2.0在技术要求和管理要求方面都展开了优化处理，两者的对比如图1所示。

图1 等保1.0和等保2.0对比

在明确网络安全定级和评审工作的基础上，还对备案审核、安全建设整改方案以及自查标准内容进行了全面分析，并增设了网络服务管理模块、产品服务模块等，旨在打造更加科学规范的网络安全保护体系，以便于用户开展网络安全等级保护建设整改工作，更好地为网络应用运行提供良好的保障机制[1]。

2 等保2.0下的网络安全防护体系构建内容

为满足等保2.0下网络安全防护管理要求，要结合技术标准落实防护控制体系，并发挥相应模块的作用和价值，有效提升网络安全应用控制能力，也为用户创设良好且健康的网络信息交互环境。

2.1 安全管理中心

依据等保2.0下网络安全防护体系标准建立数据安全保障和安全事件的快速处理中心，以确保相应的工作内容都能围绕中心管理要求予以落实，并整合相应的管理资源，以维持外部服务网和内部服务网的安全管控平衡，具体内容见图2[2]。

图2 安全管理中心相关内容

在安全管理中心常规化工作中，要依据大数据技术配合广域网进行网上资源信息的汇总，从而开展相应的统一管理，这就能维持整体应用控制的规范性。最关键的是，在安全管理中心常规化工作模式中要对平台运行情况予以多元监督和管理，确保安全事件汇总和响应工作都能有序落实，并配合网络数据传输手段，保证实时性报告的效果。此外，针对异常数据及时预警，配合顶层事件安全要求建立闭环管理模式，最大程度上提高应用效能。

2.2 安全通信

对于等保2.0下网络安全防控工作而言，要想保证安全性，就要对网络通信环节予以集中管理和控制。将相应的部署机制和管理要素融合在一起，确保外服务、内服务以及安全生产专网服务等都能借助互联网和5G移动通信建立匹配的接入模式[3]。

第一，外服务网。对行业业务系统资源进行集中分析，按照互联网网站群和移动互联网安全域的内容进行划分处理，并配合社会公共服务要求，保证相应服务效果能满足安全防护控制的基本标准[4]。

第二，内服务网。在行业内部搭建相应的服务系统，确保系统应用运行管理的最优化。例如，设置对应安全域，主要分为大数据安全域、云计算平台安全域、二级系统安全域以及三级系统安全域。依据系统独立运行的要求和标准，开展相应的控制工作，提高防护效能。

第三，安全生产网。结合安全生产要求搭建的三级安全生产网，按照总系统、分属系统、独立子系统的模式进行安全生产网的管理，并配合控制系统安全域、物联网安全域、二级系统安全域以及三级系统安全域的方式搭建相应的局域网结构。

第四，专网。各个行业要结合网络广域网构建通信平台，将内部服务网和安全生产网的广域网体系作为基础承载模式，并配合独立构建的应用方式，更好地维持独立组网安全防护控制的水平，将应用系统和安全防护体系互联互通，维持网络安全的基础上推进专网应用进程，也为专网资源应用效率的优化提供支持[5]。

2.3 安全区域边界

细化处理行业综合信息网的边界防护工作，形成对应的区域边界（见表1），以保证行业内相关工作和服务平台之间都能形成良好的安全防护独立机制，减少互动造成的安全隐患，并配合相应的隔离手段，打造更加科学规范的信息管理体系，也能维持行业通信的安全性。

表1 区域边界

正是基于隔离处理，能在建构独立安全策略系统的同时，确保安全防护体系应用效率的最优化[6]。

2.4 安全计算

对于各个行业而言，要想保证网络安全防护效果，就要对基于互联网的信息安全计算环节予以监督，确保终端计算环境、服务器计算环境以及身份认证计算环境的合理性，从而保证三级模式部署工作效率最优化。

第一，终端计算环境安全管控体系。建立行业基本的安全控制要求和增强安全控制要求，确保相应的安全防控工作都能融合在具体的行业标准内，从而形成规范化的管理体系和控制模式。

第二，身份认证计算环境安全防护。将行业的外部服务网、内部服务网以及安全生产网结合在一起，依据区域边界打造更加可控的管理平台，以维持认证服务体系部署效果，从而满足服务标准，保障统筹管理工作的进一步落实[7]。

第三，融合系统。将行业部署业务安全终端予以统筹管理，匹配相应的行业服务中心，建立更加可控的网络安全防护体系。

2.5 安全体系

第一，建立网络信任体系。结合CA认证系统要求，在证书生产、身份认证等证书服务支持下全面分析用户需求，提供安全可信的支撑服务，并配合平台建立用户信息的统一管理模式，保证操作系统登录、网络接入以及业务访问等工作都能顺利开展和落实。

第二，建立安全技术体系。主要是将身份认证、访问控制、边界防护等基础工作内容融合在一起，保证审计工作都能贴合实际需求，维持安全技术应用控制的规范性。与此同时，配置入侵检测和防御系统、恶意代码防护技术体系等，提升私有云环境下虚机并行管理的纵深防御水平，确保数据加密、数据脱敏等工作都能顺利开展。

3 等保2.0下的网络安全防护体系扩展内容

等保2.0下的网络安全防护体系要想发挥其实际作用，不仅要对体系内相关要素进行监督管理，也要对动态化发展工作予以重视，确保扩展体系内容能满足网络安全防护的基本需求，共建更加科学合理且安全规范的应用平台[8]。

3.1 云计算安全扩展

基于云计算技术打造云计算和虚拟技术相融合的控制模式，并充分结合云计算安全国家标准的内容，对等保2.0下的网络安全防护体系予以扩展处理。配合虚拟化和云计算网络安全风险评估机制，综合评价安全防护体系的应用方案，从而了解具体防护体系的应用价值和能力，并借助恶意软件防护机制和边界防护机制形成完整性审核与审计体系，最大程度上优化网络安全防护效果。

第一，虚拟环境边界防护。制定访问控制策略，设置防火墙，并且建立物理主机、虚拟主机以及云服务的边界统一防护体系，减少受攻击率，有效抵御并拒绝入侵攻击。

第二，完整性监控。应用虚拟化和云计算资源监控模式，建立相应的预警管理机制，针对非授权更改内容予以报警处理，保证监控的实时性和规范性，并落实合法事件的白名单机制[9]。

第三，安全审计。结合综合日志审计机制，建构相应的协同联动操作平台，有效完成虚拟化和云计算操作管理，着重对可疑操作、网络不安全事件以及运行事件展开系统化报警控制。

3.2 大数据安全扩展体系

结合大数据国家标准，能在建立大数据技术平台的同时，匹配安全控制模式维持平台基础设施建设的合理性和规范性。

一方面，优化访问控制，结合大数据技术进行访问控制管理，选取适宜的权限控制机制开展具体工作，并结合角色、标签等访问控制要求，以提升访问控制的安全性和规范性。另一方面，数据保护，主要是借助较为成熟的加密技术和多副本机制，建立大数据技术应用平台，有效提高数据资产的保密性和完整性[10]。

除此之外，建立安全管理领导组织机构，确保能依据数据关联性更好地评估安全扩展情况。不仅能强化业务人员和管理人员的安全认知，还能提升突发事件的应用处理能力，配合规划系统安全建设工作，进一步实现信息系统实施和验收的综合水平。

3.3 移动互联安全扩展体系

在行业发展进程中，将移动互联网、移动终端、App等基础内容和防护机制予以融合，打造可信安全接入和业务级安全管控平台，维持移动互联信息管理的规范性，减少安全隐患问题的留存，也能最大程度上提高信息交互管理的基本水平。

4 结 论

总而言之，等保2.0下网络安全防护体系的建立工作具有重要的实践意义，相关行业要依法依规地开展网络安全防护工作，提高网络安全管控效率，确保行业网络稳定运行的同时，在激烈的网络安全管理体系中占据主动，促进行业的可持续发展。