网络安全等级保护2.0下的安全体系建设研究.docxVIP

网络安全等级保护2.0下的安全体系建设研究 　　摘要：为了强化安全体系建设，提升网络安全，文章对网络安全等级保护2.0下的安全体系建设进行了研究。首先，结合信息技术的发展分析了网络安全等级保护2.0制度的推出背景。其次，对比、分析了网络安全等级保护1.0、网络安全等级保护2.0，指出了两者在保护对象、安全要求等方面的差别。最后，就如何加强安全体系建设提出了4项措施。 　　关键词：网络安全等级保护2.0;安全体系;建设 　　信息时代背景下，各行业的信息化水平有了大幅度提升，信息系统建设也得到了迅速发展。但是与此同时，网络安全问题也日益严重。因此，为了进一步适应新的发展形势，国家发布了网络安全等级保护制度2.0标准。该标准将云计算、物联网、移动互联网等列入了其中，并提出了构建依托安全通信网络、安全区域边界、安全计算环境、安全管理的三重防护体系。在这一背景下，相关单位应当充分依据等级2.0的要求，重新构建安全体系，从而有效提升网络安全。 　　1网络安全等级保护制度2.0的推出背景 　　随着信息时代的来临，网络信息系统在企业经营、决策、管理等中的应用越来越广泛。但从实际来看，大部分信息系统采用的是通用网络协议、软硬件设备，很容易出现安全防护不到位、软件系统代码缺陷等问题。一旦这些漏洞被攻击者利用，就会使信息系统处于暴露状态，导致网络信息系统受到攻击、入侵，出现信息泄露、黑客攻击等安全问题，从而给企业带来经济损失。而网络安全等级保护条例是国家出台的有关信息安全保障工作的制度、策略，旨在规范信息安全保护市场，提升信息安全保护水平。并且该制度还对信息安全产品等级、安全事件等级及其相应的响应及处理方法进行了规定。我国最早是在1999年提出信息系统安全保护等级标准的，之后又陆续发布了很多信息系统安全条例，并在2007年《信息安全等级保护管理办法》确立等级保护1.0体系。但是近十几年来，我国信息技术突飞猛进，物联网、云计算等新技术逐渐推广开来，原有的等级保护1.0体系已经无法满足时代发展的需求。所以，2018年我国正式发布了网络安全等级保护制度2.0。 　　2网络安全等级保护制度2.0的变化 　　相比于传统的等级保护制度1.0来说，等级保护制度2.0发生了以下变化：第一，保护对象范围扩大。在原有的系统等级测评、建设整改等基础上，增加了云计算平台、物联网系统、重要信息系统等保护对象。并且还将安全培训、灾难备份、安全监测等安全保护措施纳入了制度中。第二，安全要求发生了变化。其安全要求内容已经细化为安全通用要求、安全扩展要求。如针对云计算、大数据等新技术提出了安全扩展要求，并形成了新的要求标准。第三，控制措施分类更精准、更高效。将原来的10类措施精简为8类措施。第四，标准控制点、要求项发生了变化。控制点的主要变化是内容有所缩减，要求项内容有所改变。比如将原来5个规定动作改成了5个规定动作+新安全要求。总的来说，网络安全等级保护制度2.0更具有适用性、操作性。 　　3网络安全等级保护2.0下的安全体系建设 　　3.1传统安全体系的问题及需求 　　首先，传统安全体系的问题主要体现在两个方面：第一，内部问题。如设备无法有效联动，基本都是各自为战，只能进行单点或电线的安全防范，不能进行信息交流、共享，实现联动;安全问题预测不及时，通过传统的信息系统不能及早发现、预测未知威胁，且不能及时通报风险;安全管控不到位，过于关注信息系统建设，缺乏有效的运营工具、手段，不能及时响应安全系统;安全分析不到位，不能追根溯源，及时定位、处理安全事件。第二，外部问题。如云计算、大数据等新技术给安全体系带来新挑战，传统安全体系难以应对;普通网络攻击已经逐渐演变成了组织与国家的对抗，传统安全体系的适用性不足;传统的非法入侵、病毒攻击等攻击方式演变成了高级威胁、供应链攻击等方式，传统安全体系根本起不到应有的规范作用，以致信息系统安全问题频发。 　　其次，新安全体系应当能满足以下需求：第一，基本需求。即符合《网络安全法》《等级保护条例》等国家颁布的基本法律法规。第二，业务需求。体系应当覆盖范围更广，涉及的设备种类、数量更多，尤其是可用于安全隐患的保护。第三，发展需求。安全体系应当具有长效性，可及时应对安全事件，减少安全损失。并且满足各政府部门的安全要求，能有效推进网络安全产业的可持续发展[1]。 　　3.2网络信任及安全技術体系的建设 　　首先，就网络信任体系建设来说，可从以下几个方面入手：第一，建设证书颁发机构（certificateauthority，ca）认证系统，为信息系统的业务运行提供各种各样的证书服务，从而提升用户对安全体系的信任。如提供身份认证、证书生产等服务。第二，在建