安述照 万晓燕

摘要：等保2.0制度体现了国家对网络信息安全环境的重视，做好等保测评对企业网络信息安全、社会网络信息安全和国家网络空间安全都有着重要意义。本文阐述了等保2.0制度的基本理论、必要性，然后从技术层面、管理层面和安全技术人才培养层面等三个维度来阐明构建网络信息安全防护体系的策略和建议。

关键词：等保2.0;网络信息安全;防护体系

中图分类号：TP393      文献标识码：A

文章编号：1009-3044（2022）19-0028-03

随着新一代信息技术和网络的迅速发展，国家安全的概念已经超越地理空间的范畴，扩展到网络空间，网络空间安全成为国家安全的重要组成部分[1]。世界各国进入网络空间安全战略部署期，同时网络安全威胁的范围和种类不断扩大，网络安全形势日益严峻多变。“滴滴数据泄密事件”引发我国对信息安全的重视，也表明我国面临国内外更加复杂的网络安全形势。

“没有网络安全就没有国家安全”这是习近平总书记于2014年2月27日在中央网络安全和信息化领导小组第一次会议上的讲话。这标志着我国把网络安全提升到国家层面，对网络安全的认知提升到新的高度和境界。

1 等保2.0介绍

2019年5月13日，《网络安全等级保护制度2.0》（以下简称“等保2.0”）标准正式发布，并已于2019年12月1日开始实施，推动中国网络安全技术大飞跃。

1.1 等保2.0的含义

等保2.0是在等保1.0标准的基础上修改完善的，更加注重主动防御，加强从被动防御至事前、事中、事后的全流程动态感知、审计和防御，从而实现对传统的基础信息网络、新一代信息技术及工业自动化控制等对象的全面保护。

1.2 等保2.0与1.0的异同点

（1）相同点

?五个级别不变

从一级到五级依次为：用户自主级保护、系统审计级保护、安全标记级保护、结构化级保护、访问验证级保护。

?规定动作不变

规定的动作分别是：定级、备案、建设整改、等级测评、监督检查。

?主体职责不变

网络安全对所定级对象的备案受理和监督检查职责不变，第三方测评机构对所定级对象的安全评估职责不变，上级主管部门对下属单位的安全管理职责不变，运营单位对所定级对象的保护职责不变。

（2）不同点

等保1.0已无法应对当前的安全风险和新威胁，被动防御为主的方式无法满足当前发展需求。等保2.0适时而出，从标准内容、法律法规、安全体系、安全实施等方面都做了完善。

?标准依据的变化

从条例法规提升到国家法律层面。等保1.0是国务院发布的147号令，而等保2.0标准是遵循《中华人民共和国网络安全法》，要求全面实施安全等级保护制度，如果单位不开展等级保护等同于违法。

?标准要求变化

等级2.0对大数据、云计算、物联网、工业控制、移动互联网、人工智能等新技术提出新的安全扩展标准[2]，同时满足“通用+扩展”要求。删除过时的测评项目，完善不合理测评项，新增了对个人信息保护和新型网络攻击行为的防护等新测评要求，调整了网络安全标准结构，将安全管理的中心由管理层面提升到技术层面。等级2.0标准覆盖面更广，安全防护能力大大提升。

?安全体系变化

等保2.0的标准依然是“一个中心、三重防护”的架构，从等保1.0的被动防御体系转向事前预防、事中回应、事后审计的动态安全管理保障体系和具有相应等级安全保护的综合防御体系。保障安全开展组织管理、队伍建设、教育培训、安全规划、技术检测、机制建设、经费保障、态势感知、监督检查、能力建设、应急处置和通报预警等工作。

?等级规定动作

等保2.0在定级对象、定级级别、定级流程、测评合格要求、监督检查的实施过程进行了优化和调整。

1.3 等保2.0采用的框架结构

安全物理环境：主要针对网络机房制定的安全技术指标。是面向机房环境、物理设备和设施等，主要内容包括设备安装位置、设备控制、防盗装置、防水、防雷击设备、防静电设施、温湿度监测、电力供应系统和电磁防护等。

安全通信网络：是针对通信网络制定的安全控制指标。主要对象是局域网、城域网和广域网等，主要内容包括通信传输安全、网络架构和身份验证等。

安全区域边界：针对网络边界制定的安全控制指标[3]。主要包括区域边界及系统边界。主要内容涵盖边界防护策略、访问控制策略、入侵检测规则、恶意代码审计、安全审计和身份验证等。

安全计算环境：针对安全边界的内部而设定的安全指标。对象是边界内部的所有软硬件设备，包括网络互联设备、安全设备、服务器、终端、操作系统、应用软件、数据和其他设备等;主要内容包括身份验证、安全审计、访问控制、入侵检测、防范恶意代码、数据完整性和保密性、数据备份与恢复和个人信息保护等。

安全管理中心：是针对整个系统制定的安全管理方面的技术指标，主要安全控制中心包括审计管理模块、系统管理模块、集中管控系统和安全管理制度等。

安全管理制度：是针对管理制度体系制定的安全控制指标，主要内容包括管理制度、安全策略的制定和发布、管理制度的評审和修订等。

安全管理机构：是针对管理组织架构制定的安全控制指标，主要内容包括岗位设置、技术人员配备、授权及审批、团队沟通和合作等。

安全管理人员：是针对人员管理制定的安全规章制度，涉及的内容包括技术人员录用、职员离岗（离职）、安全意识教育与培训以及外来人员访问管理等。

安全建设管理：是针对安全建设过程制定的规则和要求，主要内容包括安全定级和备案、系统安全方案设计、安全设备采购和使用、软件开发、工程实施、系统测试与验收、系统交付、系统等级测评及服务供应商管理等。

安全运维管理：是针对安全运维过程制定的规章和规则，主要内容包括资产管理、设备管理、介质管理、备份与恢复管理、漏洞与风险管理、变更管理、设备配置管理、系统安全管理、安全事件处置、恶意代码防范管理、密码管理、应急预案管理等。

2 做好等保2.0的必要性

网络安全已经上升到国家层面，实施等保2.0制度，是保护信息化的健康发展，维护国家利益的根本保障，是国家意志在信息安全保障工作中的体现[4]。

2.1 系统安全

系统安全是保障所有企事业单位正常运转的基础，也是数据信息安全的基石。通过对单位的等级保护测评，可以发现其系统内、外存在的安全漏洞和风险，以便通过整改措施，提高系统的信息安全防护能力。然后再根据等级保护标准进行检测和信息系统分析，以划分安全等级，实施分等级保护，保障系统安全。

2.2 法律规定

等保 2.0 标准的依据是《中华人民共和国网络安全法》，所有在中国的企事业单位都要遵守国家法律法规，按要求去开展网络安全等级保护工作，否则就是违法行为。

2.3 行业需求

很多部门或行业依赖网络进行信息化办公或通信，特别注重网络安全和信息安全。主要有：政府机关、金融、能源、电力、电信、医疗、新一代信息产业和教育等。

2.4 规避风险

等保2.0制度可以通过等保测评，找出单位网络系统存在的高风险安全因素，并按照标准和建议整改，能够提高信息系统的信息安全防护能力，满足自身业务发展需求[5]。

3 等保2.0制度框架下网络信息安全防护体系构建建议

要落实等保2.0制度，构建安全可靠的防护体系，要从技术层面、管理层面和安全技术人才培养层面等进行把控，提高网络信息安全管理与技术水平。

3.1 技术层面

防火墙技术（包括WAF）、防病毒（木马）技术、入侵检测技术（IDS）、入侵防御技术（IPS）、态势感知、行为日志等是重点加强防护的技术手段。在一个局域网中至少采用3～4种的技术方能达到基本的网络安全水平。

（1）防火墙技术：是抵御外来攻击的第一道屏障，加强扫描过滤进出网络的数据，对数据流量进行监测和登记，隔离外来的攻击和恶意代码的入侵，保障内部主机、网站和数据安全。

（2）防病毒（木马）技术：防病毒（木马）技术是通过利用软、硬件技术阻止其网络传播。要实时更新病毒库，对网络中的主机进行检测、杀毒与修复。

（3）入侵检测技术：Intrusion Detection System（IDS），能够对内部、外部的攻击和误操作实时监控，识别恶意使用网络资源的行为，并做出相应报警和处理[6]。

（4）入侵防御技术。Intrusion Prevention System（IPS），这是对防病毒（木马）系统和防火墙技术的补充。IPS加强检查网络中传输的数据包，识别数据包的真正用途，决定数据包的去留，保障网络数据传输的安全性。

（5）漏洞扫描技术。网络攻击、病毒木马入侵大都是利用漏洞，因此要定时对系统进行漏洞掃描，分析检测报告，评估网络风险等级，然后进行系统升级或修补漏洞。

（6）行为日志分析技术。黑客的入侵行为会被行为日志设备记录下痕迹，通过分析日志记录，能够发现系统中存在的威胁与攻击，对存在的后门、漏洞、木马等进行检测、清理和修复。

（7）态势感知。充分利用态势感知的基于环境、动态、整体地预知安全风险能力，进行安全大数据分析，从全局视角发现识别安全威胁，并做出相应处置，为管理员提供决策与行动依据。

3.2 管理层面

（1）完善管理制度

要依据单位实情和网络安全的等级防护规定，制定网络安全防护工作机制，建立网络信息安全领导小组和安全管理小组，明确网络安全责任人。要制定网络安全事件应急处置方案及上报制度，落实专人负责，明确责任，提高突发事件应急处置能力[7]。

（2）强化民众安全意识

要充分认识到网络信息安全意识的重要性，这是信息安全工作中的重要一环，让社会民众充分认识到网络信息安全在工作和学习中的重要性和紧迫性。大力开展《中华人民共和国网络安全法》的普法宣传和教育工作，增强工作人员的网络安全责任意识，减少因失误带来的风险和损失。

（3）增强工作人员安全防御能力

网络技术的发展使企事业单位的信息化办公普及化，对网络信息安全的水平逐步提升，要提高全员的信息安全专业能力：一是引进高水平人才或培训现有技术人员，打造高水平专业技术团队;二是开展网络信息安全科普培训，普及信息泄露的途径和危害性，提升全员的网络信息安全综合能力和技术水平。

（4）重视安全技术

要增强信息化管理人员的安全意识，不断关注网络安全最新动态，对系统进行升级和修补漏洞，学习网络安全的新技术新举措，如：数据加密、数据分析、防火墙（WAF）技术、入侵检测技术（IDS）、漏洞扫描、反病毒木马技术等，提升网络安全应急响应能力，对相关日志、数据进行全面审计，及时采取封堵、阻止、限流等安全技术进行应急防护响应。

（5）建立督查、保障机制

网络安全问题要万分重视，不能麻痹大意，要加强信息安全技术监控与检查力度，对防护措施不力的人员加强教育和整改，落实和追究安全责任。在技术支持上加强保障，鼓励技术创新和变革，提高技术人员的积极性。

3.3 人才培养层面

网络安全问题日益突出，对网络信息安全人才不断提出新的要求。当前，我国网络信息安全人才紧缺，同时也存在大部分从业人员能力素质不高、结构不合理等问题，与保护国家网络空间安全、建设网络强国的目标不适应。我国网络安全技术学科建设刚刚起步，需要多途径培养安全技术人才。

（1）坚持正确思想

网络安全技术有着突出的两面性特点，从业者的技术水平越高，对思想觉悟、价值观的考验越高，稍有疏忽，就会误入歧途。因此，在培养网络信息安全技术人才时要首先树立正确的价值观和人生观，加强爱国主义教育，学习相关的法律法规，培养正确的职业观，用合法的工作推动网络安全行业快速发展。

（2）加强师资培训

我国的网络安全学科建设起步较晚，大部分高校的网络安全专业教师不是科班出身，没有网络安全专业系统的理论知识和实践经验，师资队伍水平不高，人才培养质量低。因此，国家层面要重视高校的师资培养，给予资金和政策支持，一方面，对现有教师进行系统培训，特别不能忽视高职层次的师资培养，另一方面，高薪引进高水平人才，特别是从企业引进有经验的工程师。加强学校之间的教师交流、访学，促进专业建设水平提高。

（3）完善课程体系

对本科及以上层次的网络安全专业人才培养方案，要对课程体系进行优化，实现信息安全与软件工程、密码学、计算机和通信等课程的结合，还要覆盖网络空间安全理论知识和实践课程，提升学生实战能力。对高职层次人才培养，要加强实践动手能力，以安全运维人员培养为主要方向，以技能实操和体验式培训为手段，以安全认证为支撑，以攻防渗透能力培养为核心，培养面向中小安全公司就业的高素质技能型人才。还需要将新技术、新理论以及新需求融入教学中，让学生能够从工作岗位需求出发，提升自身的能力素养。

（4）加强校企融合

在信息产业大类，先进的技术基本由知名大企业的研发人员掌握，因此，要把企业的专家请进课堂任教，同时让高校教师到企业挂职工作，实现产学研模式的构建。企业真实项目注入，利用企业技术优势和产业资源，发挥学校的师生人力资源优势，突出行业技术标准向教学课程标准的转化，提升教师和学生的知识、技术和技能水平[8]。

（5）加强实战化人才培养

当前本科及以上层次的高校的人才培养大部分还是停留在基本技能与理论知识学习，毕业后需要一段时间的学习和实践才能满足岗位的需要，影响企业业务开展。因此，在开展网络安全人才培养过程中，需要营造实战化的实训环境，将理论知识与实践技能相结合，更好地提升网络安全实战能力。特别是通过校企合作，让学生参与真实项目案例，实现企业、学校和学生共赢，推动中国网络信息安全发展。

（6）不拘一格降人才

从调研数据分析，网络安全行业的高水平人才，通常有着特殊性，这些人才很多不是科班出身，也没有高学历。网络信息安全的高技术人才是需要有灵感、有天赋、有兴趣，愿意为之奋斗的奇才、怪才。高等院校可以开设网络安全相关专业“特长班”。 建议高等院校、科研机构根据需求和发展，拓展网络安全专业方向，扩大网络信息安全专业人才培养规模。各院校还可以在全校范围内以协会、兴趣小组或工作室等方式，召集对网络安全技术感兴趣的同学，发挥其长处，催化其兴趣，培养高水平信息安全精英式人才。

4 结束语

随着新一代信息技术发展以及基础设施的网络全球互联化，网络空间环境日益复杂，面临的安全威胁不断增多，面對网络空间安全保障的重大需求，我国推出了等级保护2.0制度[9]。等保2.0涵盖了云计算、物联网、大数据、人工智能、工控网络等新场景下的信息安全要求，安全防护技术和要求相比于传统安全体系有了极大提高，成为新时期网络安全架构建设的新基础。要以等保2.0制度为基础框架，构建明确思路、分析需求、发现问题、制定目标，建设满足合规、保障业务安全的网络安全体系。从整体安全的角度，将技术、资源、制度、人才培养和全民安全意识投放在抵御新的网络安全风险和满足个人网络信息安全需求上，构建基于等级保护、面向最佳实践的网络安全体系。

参考文献：

[1] 冯泽冰，司培培.面向5G资产的统一安全评测模型与体系构建[J].信息安全研究，2021，7（5）：436-442.

[2] 杨强，刘捷.等级保护2.0在数字图书馆中的应用探讨[J].网信军民融合，2021（4）：46-51.

[3] 马玉州.等保2.0时代普通高校等级保护工作实践[J].网络安全技术与应用，2021（7）：97-98

[4] 网络信息安全[EB/OL].[2021-05-10].https：//blog.csdn.net/xiaofengdada/article/details/123036800.

[5] 夏冰.网络安全法和网络安全等级保护2.0[M].北京：电子工业出版社，2017

[6] 吴小伟.“等保2.0”背景下政府部门网络信息安全防护技术探析[J].江苏科技信息，2021，38（32）：39-41.

[7] 钟焯荣，张晓鹏.高校网络安全防护体系建设与研究[J].无线互联科技，2021，18（23）：16-17.

[8] 何跃鹰.互联网规制研究——基于国家网络空间安全战略[D].北京：北京邮电大学，2012.

[9] 李攀攀，朱蓉，翟建宏.网络安全等级保护2.0视域下网络空间安全人才的培养探索[J].实验室研究与探索，2021，40（8）：163-167，172.

收稿日期：2022-02-25

基金项目：《网络安全等级保护2.0视域下网络安全人才培养研究》，2021年青岛酒店管理职业技术学院科研课题（课题编号2021ZD18）;《计算机应用专业群个性化成才培养模式改革》，2020年青岛酒店管理职业技术学院教学改革研究项目（课题编号：JGZD2015）

作者简介：安述照（1975—），男，山东青岛人，教授，本科，研究方向为网络安全技术;万晓燕（1980—），女，江西南昌人，副教授，研究生，研究方向为网络安全技术。