網絡安全等級保護 2.0 下的安全體系建設

信息安全等級保護是國家信息安全的一項基本國策和制度，從實施至今已經有 20 多年，隨着雲計算、大數據、物聯網和移動互聯等新技術的出現，信息系統基礎架構設施發生了翻天覆地的變化，同時在實際安全建設和測評工做中，標準的適用性、可操做性上還須要進一步完善，原標準體系已經不能知足新形勢下網絡安全等級保護工做的須要。在此大背景下，國家相關部委對標準進行了修訂，等級保護進入了等保 2.0 時代。 

等級保護 2.0 管理策略將由以前等級保護 1.0 的「自主定級、自主保護、監督指導」轉向爲「明確等級、加強保護、常態監督」的層面。同時將風險評估、安全監測、通報預警等重點措施以及雲計算、大數據、物聯網等新技術平臺歸入等級保護管理，要求構建「偵攻防管控」一體化的網絡安全綜合防控體系。所以整個安全體系建設是一項系統工程，能夠圍繞如下幾個方面進行開展。

網絡信任體系建設

建設 CA 認證系統，爲業務系統提供證書生產、身份認證等證書服務，爲用戶提供安全可信的支撐服務；在 CA 認證和服務平臺的支持下，實現用戶信息的統一管理，爲操做系統登陸、網絡接入、業務系統訪問提供統一的身份認證。

安全技術體系建設

綜合採用身份認證、訪問控制、邊界防禦、安全審計、入侵檢測/防護、惡意代碼防禦等技術構建基礎的技術防禦體系。針對雲計算平臺部署虛擬化安全防禦系統、雲安全資源池構建雲平臺安全防禦體系，實現私有云環境下不一樣虛機，公有云環境下的不一樣租戶之間南北向的安全隔離和防護，同時可結合雲端的安全防禦和監測類服務實現縱深防護。針對大數據平臺，根據數據的生命週期，在主客體間的訪問行爲和路徑上綜合採用身份認證、訪問控制、數據加密、數據脫敏等手段進行安全防護。經過部署APT 攻擊防禦系統、態勢感知系統對威脅及攻擊行爲進行主動式的監測及安全態勢的預判，實現持續監測、安全可視。

安全管理體系建設

組織和單位應創建完善的安全管理領導組織機構，根據單位業務狀況並結合安全管理實際創建包含整體安全策略、安全管理制度、操做流程規範、記錄表單的安全管理文件體系，並按照安全管理體系要求嚴格執行。配備專業的機房、系統、網絡、應用和安全管理人員負責信息系統的平常管理工做，增強對業務人員和安全管理人員的安全意識和技能的培訓，按期開展安全事件應急處置演練，提升突發事件的應急處置能力。根據系統安全保護等級及信息系統實際狀況規劃系統安全建設，增強信息系統在設計、實施、驗收過程的管理。信息系統若是部署在公有云上，須要肯定雲服務商提供的雲計算平臺達到相應的安全等級，做爲雲租戶方要與雲平臺服務商、雲安全服務商明確各自的安全責任和義務。

組織和單位除創建自身的安全運維團隊外，做爲對現有安全管理人員補充，以及增強安全應急支撐團隊的建設，組織和單位可經過服務外包的方式委託專業安全服務機構負責平常具體的安全運維工做，把主要精力放在安全總體管理和決策上。經過安全巡檢對系統狀態、安全策略配置進行檢查、對信息系統進行漏洞掃描發現存在的安全風險和漏洞，經過安全加固修復發現的安全問題，提高系統的安全性，經過日誌分析及時發現異常和攻擊行爲，並針對性調整安全策略，經過應急響應對突發的安全事件進行響應和處置，並進行過後分析和預防改善。經過滲透測試模擬黑客攻擊的方式主動發現系統可利用的漏洞，提高信息系統總體安全性。

風險管理體系建設

委託專業安全測評機構按期對信息系統進行等級測評和風險評估，一方面對網絡安全法和信息系統安全保護等級的合規性要求進行測試評估，另外進一步發現信息系統面臨的主要安全風險，積極採起風險應對措施，對殘留風險持續進行監控。

網絡安全靠人民，網絡安全爲人民。隨着國家針對網絡安全等級保護工做的重大舉措和決策部署，政策法律、標準規範進一步獲得完善，等級保護工做和監管範圍進一步擴大，相信經過等級保護 2.0 的推動和實施，將全面提高我國關鍵基礎設施和重要信息系統的安全保障水平，使咱們的網絡更加安全，人民更加幸福。