登錄
注冊
等保2.0下,政企安全防護體系的新思路
正在審議的網絡安全等級保護標準(以下簡稱:等保2.0)從技術和管理兩大方面對網絡與信息系統(tǒng)安全保障進行了全面描述與規(guī)范,是一部完整的以技術保障為基礎、以管理運營為抓手、以監(jiān)測預警為核心、以協(xié)同響應為目標的網絡安全防御體系框架性指導標準與規(guī)劃建設指南。
以基礎設施和業(yè)務應用為核心的技術保障
等保2.0的技術保障體系延續(xù)了等保1.0中的以資產(網絡與信息系統(tǒng))防護為目標的安全保障思路,其核心是圍繞基礎設施和業(yè)務應用。等保2.0的設計按照分級防護的思想,從第一級安全要求到第四級安全要求,始終貫穿著通信網絡、區(qū)域邊界、計算環(huán)境的安全防護目標,具體到等保2.0的標準中就是對物理安全、網絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全進行了一致性要求。
等保2.0在繼承等保1.0以資產防護為目標的成功實踐基礎上,結合近些年網絡與信息技術的新變化,補充提出了對云計算、物聯(lián)網、移動互聯(lián)網和工業(yè)控制系統(tǒng)的安全防護要求,如圖1所示。這深刻反映了網絡與信息安全體系發(fā)展與創(chuàng)新的本質:基礎設施和業(yè)務應用的發(fā)展永遠是網絡與信息安全體系發(fā)展與創(chuàng)新的第一驅動力。
圖1 等保2.0擴大了安全防護范圍
以數(shù)據(jù)驅動和人才培養(yǎng)為核心的運營管理
在過去十年的網絡安全防護過程中,我們經歷了無數(shù)次的攻防較量、重點保障、應急處置和分析溯源的實踐,并在這些實踐過程中積累了大量寶貴的成功經驗與失敗教訓,也漸漸清晰地認識到:
1.數(shù)據(jù)是安全的基礎與驅動力;
2.人是安全防護的核心與尺度;
3.安全運營與管理是安全最重要的手段;
4.圍繞數(shù)據(jù)、人、工具、運營管理的積極防御體系是未來安全體系發(fā)展的方向,也是安全的不二選擇,其核心是人通過工具對數(shù)據(jù)的運營和使用。
以數(shù)據(jù)為基礎、以人為核心,從數(shù)據(jù)中來(監(jiān)測預警),到數(shù)據(jù)中去(響應處置),是當前情況下應對多點復雜攻擊的最佳實踐,這個過程就是我們所說的安全運營管理。因此,安全運營管理的兩個核心與前提是:第一,擁有可以使用安全工具完成安全運營管理工作的安全專業(yè)人員及團隊;第二,具有可支撐監(jiān)測預警和安全運營管理的數(shù)據(jù),兩者缺一不可。從實質上分析可知:人是安全的尺度、數(shù)據(jù)是安全的第一生產力。
正因如此,安全人才培養(yǎng)和安全運營管理體系建設成為當前世界各國安全體系建設的重點,安全工作是實踐性特別強的工程類技術工作,與之對應的安全人才也是熟練掌握安全技能的工程類人才,因此安全專業(yè)人才的培養(yǎng)是一個學、考、練、用的持續(xù)迭代過程,這里特別強調練和用,從實踐中來、到實踐中去。可以預見,未來集學、考、練、用為一體的網絡與信息安全集成實訓系統(tǒng)將成為普遍需求,這體現(xiàn)未來了網絡與信息安全防護更加強調實戰(zhàn)與實際效果的體系性需求。
回顧過去十年安全體系建設過程,更多地依靠安全產品(即安全工具)孤軍作戰(zhàn),而沒有將人和數(shù)據(jù)放在核心的位置加以重視,這導致了以往的安全體系存在著防御能力的滯后性和二次反應能力不足的問題,因為缺少對數(shù)據(jù)足夠的采集與分析,被動安全體系成了免疫能力有限的貧血兒,因為缺少安全人員對安全數(shù)據(jù)的安全運營管理,被動安全體系嚴重缺乏活力與對抗“韌性”。
全要素采集安全數(shù)據(jù)、全過程安全運營成了下一代積極防御體系的體系核心。這反映了安全是人與人之間對抗的本質。2011年,美國所采用的號稱世界上最先進的入侵檢測系統(tǒng)“Seminole”其真正先進之處就在于引入了7×24小時的安全專家運營管理過程,這使得Seminole具備了持續(xù)發(fā)現(xiàn)、二次檢測與快速響應這3個最重要的安全能力。
等保2.0的技術體系充分體現(xiàn)了對于全要素數(shù)據(jù)獲取、全過程安全運營以及對專業(yè)人員的崗位性要求。從這個層面上看,等保2.0準確把握了未來安全體系建設的核心與關鍵,代表著未來安全體系的潮流與方向。
以威脅情報和態(tài)勢感知為核心的監(jiān)測預警
無論是等保1.0還是在等保2.0,監(jiān)測預警都是安全技術體系的重中之重,經過近幾年的摸索與實踐,安全態(tài)勢感知已經被證明是安全監(jiān)測預警的最佳實踐與必由之路。習近平總書記于2016年4月19日在網絡安全和信息化工作座談會上敏銳指出的“全天候、全方位的態(tài)勢感知”為我們的監(jiān)測預警工作指明了方向。事實上,公安部從2015年就開始在監(jiān)測預警工作實踐基礎上提出了在公安系統(tǒng)內建設態(tài)勢感知平臺的要求并出臺了相關標準,并率先在青島等地開展了將態(tài)勢感知平臺應用于實戰(zhàn)的探索與嘗試。截止目前,該項工作已取得了豐碩成果,以安全態(tài)勢感知為核心的指揮作戰(zhàn)平臺已經成功應用于包括十九大在內的諸多大型活動重要時期安全保障工作并取得顯著成效。
為了達到支撐實戰(zhàn)的目的與效果,態(tài)勢感知平臺需要具備5方面的基礎能力:
1.全天候、全方位獲取數(shù)據(jù)的全要素數(shù)據(jù)采集與數(shù)據(jù)處理能力;
2.高質量、及時的威脅情報獲取與應用能力;
3.外部互聯(lián)網數(shù)據(jù)與內部本地數(shù)據(jù)獲取與大數(shù)據(jù)綜合分析能力;
4.全過程閉環(huán)安全運營過程(如:指揮通告、響應處置)支撐能力;
5.安全事件取證、分析研判與追蹤溯源能力。
這5項基礎能力本質是構建監(jiān)測預警與安全運營的雙輪驅動機制:外部數(shù)據(jù)驅動機制和內部數(shù)據(jù)驅動機制,來自互聯(lián)網的數(shù)據(jù)與威脅情報是利用外部數(shù)據(jù)實現(xiàn)監(jiān)測預警與安全運營,實現(xiàn)了從外部向內部看威脅和運營支撐的能力;內部數(shù)據(jù)的采集與大數(shù)據(jù)分析是從內部看威脅和運營支撐能力,兩者相輔相成、互相補充,構成了完整的態(tài)勢感知能力。
以攻防演練和積極防御為核心的協(xié)同響應
安全體系緣于攻防、安全體系服務于攻防。隨著安全體系的發(fā)展與持續(xù)建設,安全體系服務于實戰(zhàn)、在實踐中檢驗安全體系的建設成果、安全體系在實戰(zhàn)中不斷完善建設成為安全體系建設螺旋式發(fā)展、迭代式演進的主要形式。
2016年底,公安部組織力量針對部分關鍵信息基礎設施成功實施了“護網2016”行動,這次行動用事實證明:針對關鍵信息基礎設施的攻防演練與紅藍對抗是在短時間內發(fā)現(xiàn)安全問題、彌補安全短板、提升安全能力最行之有效的手段。通過攻防演練和紅藍對抗,可以將應急響應的時間大大提前,做到早期發(fā)現(xiàn)、提前響應,真正實現(xiàn)變被動為主動,積累經驗、鍛煉隊伍、檢驗系統(tǒng)的同時變被動為主動,變事發(fā)應急為提前響應,變壞事為好事。今天,通過攻防演練與紅藍對抗低成本快速提升網絡與信息安全防護能力已經成為大家廣泛接受與認可的安全體系建設的重要形式,被眾多有條件的大型行業(yè)機構所采用。
2015年,美國安全研究機構SANS研究院提出了著名的安全標尺模型,系統(tǒng)總結了安全體系建設所經歷的5個發(fā)展階段,并指出未來安全體系建設將從架構安全和被動防御走向積極防御。目前這個模型已經成為世界范圍內安全界所廣泛接受的安全體系模型,并被大多數(shù)行業(yè)機構所采用。
同期,國際著名咨詢機構Gartner提出了適用于積極防御體系構建的自適應安全框架(ASA),至此,SANS與ASA分別從不同視角各自獨立提出的安全模型與安全架構相互呼應,共同完成了積極防御體系的理論奠基,成為下一代安全的基本理論。
我國從2016年開始逐漸引入安全標尺模型與自適應安全框架,結合我國網絡與信息安全的實際情況逐步形成了以數(shù)據(jù)驅動為基礎、以安全運營為手段、以態(tài)勢感知為支撐、以安全人員為核心、以協(xié)同防御為特征的具有中國特色的積極防御安全體系,即我國網絡與信息安全的下一代安全防護體系。
構建新一代安全防護體系
基于這個理論基礎,360企業(yè)安全集團在“數(shù)據(jù)驅動安全”兩年多的實踐基礎上,結合新的安全形勢和體系建設需要,提出了對數(shù)據(jù)驅動安全技術思想的創(chuàng)新演進的“數(shù)據(jù)驅動安全2.0”的核心思想,本質是建立以人為核心的新一代安全防護體系。
圖2 360企業(yè)安全集團新一代安全防護體系
在這個防御體系中,強調數(shù)據(jù)(內部與外部數(shù)據(jù))的基礎性支撐作用,強調人員在這個安全體系中的核心作用與價值,強調安全運營作為日常安全工作的重要地位,強調態(tài)勢感知作為監(jiān)測預警與安全運營平臺的核心作用,強調設備與設備、人、數(shù)據(jù)三者之間協(xié)同聯(lián)動的重要性,強調威脅情報與攻防演練對于安全體系的增強與完善。
