隨著《中華人民共和國網絡安全法》的頒布，對“等保1.0”的內容進行了修訂，出臺了新的標準，形成了“等級保護2.0 標準”，簡稱“等保2.0”。本文以“等保2.0”為依據，將網絡和信息安全劃分為網絡安全技術、網絡安全運營和網絡安全信息管理三個方面，并對建設內容進行論述，最終論述了基于等保2.0的網絡和信息安全防御保障體系。

在網絡安全建設初期，我國網絡安全主要應用的制度為等保1.0，其從物理、網絡、主機、應用及數據五個角度評測，等保1.0在覆蓋范疇上存在一定局限性。等保1.0的網絡安全防御工事以被動防護為主，對風險的主動感知的能力較弱，與云安全、人工智能、大數據、移動網絡等新科技、新概念存在不兼容問題。為了解決此類缺陷短板，同時也為了使我國網絡安全防護體系建設得更加健全，2019年 5月出臺了《網絡安全等級保護制度2.0標準》，在法律規定、技術要求、管理要求、實施標準以及覆蓋領域等方面都有了明顯的優化調整，將網絡安全中心作為重中之重，實現由安全管理中心對安全通信網絡、安全區域邊界以及安全計算環境進行統一管控，這將使我國在網絡安全防護方面邁上一個新的臺階，對加強我國網絡安全保障工作具有重大的意義。

近年來，隨著我國經濟的飛速發展，信息化的生產工具廣泛而迅速地進入了工業、農業、商業、醫療、教育等人們工作與生活的方方面面，網上商務、網上銀行、網上醫療等涉及個人私密信息的服務日益增多，國家軍事、政治的情報通過互聯網進行傳遞也更為頻繁，在此情況下，確保信息的安全日益成為當今社會最迫切且極需要快速解決的問題，在國家產業布局乃至國家安全戰略格局中占據重中之重的地位。在此背景下，以“等保2.0”為標準，研究探討網絡和信息安全保障體系建設“等保2.0”的核心內容是“一個中心、三重防護”。即建設安全管理中心，做好計算環境、區域邊界和通信網絡的防護，形成網絡安全綜合防御體系。

1、安全網絡技術體系建設

（1）建立完善的網絡安全技術體系。在梳理系統資產設備的基礎上，完成系統資產重要程度分級、風險評估和資產風險修復。

（2）建設縱深防御體系和態勢感知系統。建設災備機制，實現重要數據的異地備份，持續進行網絡安全加固。

2、建立網絡安全運營體系

（1）建立符合等保2.0的定級備案體系。建立規范的網信安全運行和維護流程，實現對業務系統和數據的安全運營與維護；建立完善的技術服務和安全運維體系；建立《網絡和信息安全事件應急預案》，形成通報預警機制；建立完善的安全管理體系。建設完善的網信安全管理制度，規范網信安全管理過程，通過規章制度對組織和人員進行 約束，從而降低系統的風險。

（2）建立安全態勢感知系統。建設安全態勢感知系統，通過對流量和日志的監控，可清晰地了解安全情況及敵我態勢等，推動網信安全從被動防御向主動防御轉變。

（3）建立災備機制。建設數據災備，梳理重要業務系統的數據，建立數據災備機制和策略，按照數據備份的流程進行數據備份。建設災備機房可實現重要數據的異地備份,保障數據安全。持續安全加固根據網信安全相關規定和業務需求制定網絡安全持續加固方案，對信息系統內的操作系統、數據庫、安全設備以及中間件等安全配置策略進行升級和加固，對安全設備的規則庫進行及時升級，可有效降低惡意攻擊者利用安全漏洞威脅系統安全的幾率。

（4）建立等保2.0定級備案體系。①定級備案。依據《信息安全等級保護定級指南》（GB/T22240-2008）的要求，各信息系統以系統為單位開展定級備案工作。②等級保護差距測評。根據《信息安全技術網絡安全等級保護測評過程指南》《信息安全技術網絡安全等級保護測評要求》《信息安全技術網絡安全等級保護基本要求》等標準，從安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理以及安全運維管理等方面，根據分析出的安全隱患和薄弱環節，找出業務系統與國家技術標準之間的差距。③信息系統備案和等級保護測評。對未備案的重要業務系統進行等保備案，并完成等保測評工作。

3、建立網絡安全管理體系

（1）建立安全運維監控中心。建立安全運維監控中心，通過技術手段對網絡空間進行7x24h監測，監測包括對外發布的網站和對內提供校園服務的信息平臺。

（2）安全設備巡檢。建立安全巡檢制度，規范巡檢流程和內容，建立巡檢檔案，規范巡檢內容，完善過程管理。

（3）安全問題處置。安全風險監測技術上線后，大量未知和隱形的安全問題將得以暴露。安全問題要按照“持續發現－持續處置”的原則，形成規范化的處置流程。

（4）安全應急保障。安全應急保障包涵安全應急響應和安全應急演練兩部分。

（5）安全數據歸檔。在執行整個安全運維體系時，將產生大量安全數據，按照相關要求對數據進行歸檔留存處理，以月度或季度安全報告的形式將相關數據和材料整理出電子版和紙質版，以備后續監管單位檢查。

（6）建立數據運營體系。通過建立數據安全管理制度和流程，做好數據分級或分類管理。設立數據安全審計員，對所有敏感數據的開發、運維、使用日志進行必要的專項審計和定期審計等，并提交報告。及時發現并彌補業務層面和系統層面中可能導致敏感數據被篡改和泄漏的漏洞。建立通報預警機制和網絡信息安全事件應急預案，針對網信安全事件的發生，形成通報預警流程，確保能夠及時有效地進行預警、通報和處置，形成網信安全通報預警機制。

信息系統在部署防火墻和裝載殺毒軟件的過程中，應明確分析相關安全保護工具與操作系統之間的兼容性，以防止工具的保護效用難以發揮，使系統暴露于危險的網絡環境之中。最后運行系統、安全工具均使用無誤的情況下，各站的終端操作人員和后臺管理人員還應做好日常化與定期化兼備的系統運維工作，如病毒檢測、漏洞修復，從而為系統提供最大化的人工管理保障，進一步增強信息化系統的安全性、穩定性及耐久性。

“等保2.0”網絡和信息安全的建設進行了詳細的戰略規劃，根據自身實際工作實踐，通過網絡和信息安全建設，通過加強制度建設和項目管理等手段，“等保2.0”要求的網絡和信息安全保障體系是信息化系統安全的保障，也是未來信息化系統的大勢所趨。

作者：劉伯駒  / 中國安防協會