张居库，张文坡，张守昌，马 巍

（中油辽河油田公司，辽宁 盘锦 124010）

0 前言

2017 年6 月1 日，《中华人民共和国网络安全法》正式实施，其中明确规定：“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。”国家网信办、工业和信息化部、公安部、国家认监委联合发布了《关于发布〈网络关键设备和网络安全专用产品目录（第一批）〉的公告》，将路由器、交换机等4 类网络关键设备，以及数据备份一体机、防火墙（硬件）等11 类网络安全专用产品列入目录，对其实施安全认证和安全检测。2018 年3 月，发布安全认证及安全检测实施机构名录。同年5 月，国家认监委会同国家网信办发布《关于网络关键设备和网络安全专用产品安全认证实施要求的公告》，并于同年6 月发布认证实施规则。网安中心依据 《网络安全法》及相关制度文件，对列入目录的产品，自2018 年7月起受理安全认证申请。2018 年8 月2 日，网安中心颁发了第一张“网络关键设备和网络安全专用产品安全认证证书”，覆盖了防火墙、入侵检测系统、安全审计、网闸等产品类别。网络和安全设备认证是我国网络安全保障体系建设的一项基础性工作，也是落实《中华人民共和国网络安全法》相关要求的一项重要工作。企业实施网络和安全设备认证平台建设，将为建设企业网络安全保障体系，有效提升企业网络安全保障能力起到重要作用。

1 现状分析

2017 年6 月1 日，《中华人民共和国网络安全法》正式施行，顺应了网络安全发展法制化大趋势，对我国网络安全产业发展具有重要的意义。其中第五十二条规定：负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。

随着“互联网＋”的全面推进，信息技术在企业生产建设中的应用也越来越广泛，同时对网络安全的要求也越来越高，网络安全设备也越来越多，在设备管理与维护方面也面临着越来越多的困难。

（1）在设备维护方面，企业采购了大量的安全设备，并且部署在不同位置，分布零散。（如何管理）

（2）安全设备产生的海量的日志，为日志采集、存储和分析带来了困难。（如何收集、分析和展示）

（3）部署了网络和安全设备，依旧是被动响应事件和处理，采购了安全设备还会遇到安全问题。（如何变被动为主动）

（4）部署了网络和安全设备，缺乏专业安全分析人员，发挥不了作用，用不起来。（系统平台如何真正起作用）

（5）重大安全事件保障工作越来越多，每次重保都会手忙脚乱地应对。（如何有效利用工具使各系统和平台协同管理）

（6）紧急事件、专项工作等无法快速处理，给企业安全带来隐患。（如何通过平台快速处理此类问题）

2 建设网络和安全设备认证平台

为应对当前企业安全管理工作中的大量多样性设备、海量日志、各类新型网络威胁、分析手段匮乏等挑战，安全防护体系建设开始更看重网络安全监测和响应能力。随着国家网络安全政策法规的完善，尤其是等保2.0 国家标准的正式发布，安全管理平台、安全运营需求将成为安全体系的“标配”，用于提升安全管理工作的监测和应急响应能力。在网络关键设备和网络安全专用产品安全认证体系基础上，建立适合企业网络安全保障体系的一个自动验证过程的平台，涵盖企业网内所有的网络和安全设备的认证，确保各类设备接入安全势在必行。

2.1 建设原则

企业信息系统的建设与网络安全建设应同步设计、同步实施，必须结合企业的实际状况，统筹规划，以适度风险为核心，以重点保护为原则，从业务的角度出发，重点保护重要的业务数据；信息安全建设必须技术与管理并重，二者有机结合；信息安全建设是个复杂的过程，必须遵循相应的安全标准规范；信息安全问题是动态的，必须结合信息系统的应用变化情况，动态调整安全防护措施；必须从网络、主机、应用、数据等层面加强防护措施，保障信息管理系统的机密性、完整性和可用性。

网络和安全设备认证平台，注重安全漏洞和渗透或反渗透，穿透与反穿透的监管，包括网络和安全设备的物理安全、网络安全、主机安全、应用安全等，从系统需求分析到产品平台的专业化整体解决方案。合理分域，准确定级，对于不同等级的安全域间通信，实施有效的访问控制策略和机制信息系统安全之间的所有设备实施认证可控。各个应用独立主机运行，服务器系统分区物理独立，防止数据溢出提高权限。自定义私有网络协议，提高网络内数据安全性。

2.2 建设目标

通过建立网络和安全设备认证平台，实时掌握企业设备的健康情况和运行状态，结合网络安全态势感知平台，实现全局安全态势可视化，帮助管理者掌握企业全网安全状况，随时了解最新的安全趋势和风险状态，辅助决策安全建设方向和投资。把威胁、漏洞、资产集中闭环管理，帮助网络安全管理者落实安全管理和技术体系，威胁事件预警和追溯，漏洞监控并闭环处置，动态发现资产变化，做到心中有数。帮助运维人员精准发现攻击，及时事件预警，日志审计回溯，协同应急处置，减轻运维工作量，提高工作效率。

2.3 建设步骤

网络和设备安全认证平台项目建设计划分为三个阶段开展，按照三个阶段的服务内容执行（如表1 所示）。

表1 网络和设备安全认证平台范围

2.4 技术路线

确保企业网络安全，重点发展工业互联网网络安全领域，从防护对象、防护措施及防护管理三个视角，从设备、控制、网络、应用和数据五大安全维度，重点解决安全设备各自为政、缺乏整体安全状态监测、威胁情报来源单一和安全预警效果不佳的问题，通过网络安全探针技术实现对企业内网络和工业互联网安全的监测与预警和控制，构建一体化网络信息安全监控平台（如图1 所示），实现从被动网络安全到主动网络安全（如图2 所示）的根本性改变。

图1 网络信息安全框架图

图2 主动安全防御体系

网络与安全设备认证平台以国家发布的产品技术要求与测试评价方法、企业网络与安全设备安全基线为检测依据（如表2 所示）。

表2 网络与安全设备技术要求及测试评价方法列表

3 预期效果

网络与安全设备认证平台建设，实现统一综合管理，将所属企事业单位的重要服务器、网络设备、安全防护设备、办公设备、业务系统、工业设备全部纳入管理范畴，建立网络资源设备信息库。在对设备进行自动探测、常规管理的基础上，实现对设备分级、分类的重点管理。

成立认证组织机构，在企业管理层面建设一个认证中心，对所属企事业单位重要设备、信息系统进行统筹管理、安全检测、数据分析、安全策略定制等，建设统一标准，对接入企业的各生产商、开发商信息收集设备、系统的通信接口、协议及数据格式等进行规范，组织开展网络和安全设备防护管理工作，实现对服务器、网络设备、安全防护设备、办公设备、业务系统、工业设备等的安全检测、认证，并与认证平台相结合，实现平台、设备间的信息共享与联动。

4 结语

通过建立网络和安全设备平台，实现企业全局安全态势可视化，帮助管理者掌握企业全网安全状况，随时了解最新的安全趋势和风险状态，辅助决策安全建设方向和投资。平台以保障安全生产，提高网络服务质量管理为目标，定位于建立有效的网络管理体系，从快速故障定位与排除、设备性能检测、网络流量与容量分析以及运维流程等方面切入，全面监控网络运行，快速发现故障并修复，规范网络运维，保障不间断地提供服务。