您所在的位置: 首頁 >
新聞資訊 >
技術(shù)前沿 >
等保2.0-新形勢(shì)下如何建設(shè)等級(jí)保護(hù)
網(wǎng)絡(luò)空間新形式
近年來,伴隨著信息革命的飛速發(fā)展,網(wǎng)絡(luò)空間正逐步成為信息傳播的新渠道、生產(chǎn)生活的新空間、經(jīng)濟(jì)發(fā)展的新引擎、社會(huì)治理的新平臺(tái)。《信息安全等級(jí)保護(hù)管理辦法》作為我國(guó)網(wǎng)絡(luò)安全建設(shè)的重要指導(dǎo)依據(jù),從首次被提出至今,逐步筑起了國(guó)家網(wǎng)絡(luò)和信息安全的重要防線。然而隨著云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)、工業(yè)控制、大數(shù)據(jù)等領(lǐng)域的發(fā)展,原有的標(biāo)準(zhǔn)已不能滿足等級(jí)保護(hù)的工作需要。
從2014年3月開始,由公安部牽頭組織開展了信息技術(shù)新領(lǐng)域等級(jí)保護(hù)重點(diǎn)標(biāo)準(zhǔn)申報(bào)國(guó)家標(biāo)準(zhǔn)的工作。并從2015年開始陸續(xù)對(duì)外發(fā)布草稿、征集意見稿,之后網(wǎng)絡(luò)上開始有了“等保2.0”的叫法,“等保2.0的主要區(qū)別是新技術(shù)要求”,這種理解借助互聯(lián)網(wǎng)在網(wǎng)絡(luò)迅速蔓延,一夜之間成為當(dāng)前社會(huì)主流認(rèn)知。
必須要說明的是,僅僅基于新技術(shù)變化,尤其是標(biāo)準(zhǔn)版本變化來進(jìn)行等保1.0和2.0的區(qū)分,是不太合理的,會(huì)忽略等保2.0的核心提升,接下來我們依照最新的要求來分析下等保2.0的本質(zhì)變化。
壹 等保的本質(zhì)變化
關(guān)于等保2.0和等保1.0在安全控制點(diǎn)和安全要求項(xiàng)方面的比對(duì),已經(jīng)有很多資料,這里不再詳細(xì)闡述,接下來會(huì)圍繞等保2.0的保護(hù)范圍、法律效力、參考標(biāo)準(zhǔn)、定級(jí)流程、備案流程、保護(hù)重點(diǎn)、保護(hù)思路等多個(gè)方面的變化展開分析:
而保護(hù)重點(diǎn)和保護(hù)思路的變化將直接影響等保2.0的安全設(shè)計(jì)和建設(shè),或許我們可以通過接下來的分析梳理清一些重點(diǎn)。
重點(diǎn)保護(hù)的變化
用詞頻統(tǒng)計(jì)的方法可以很容易看出等保2.0與1.0之間的差別。如下圖所示(左邊為等保1.0的詞頻統(tǒng)計(jì),右邊為等保2.0的詞頻統(tǒng)計(jì)):
從這兩個(gè)對(duì)比圖中可以看出,等保1.0的保護(hù)重點(diǎn)更多的關(guān)注系統(tǒng)、人員、物理環(huán)境的安全,而等保2.0的保護(hù)重點(diǎn)已經(jīng)變更為圍繞數(shù)據(jù)、網(wǎng)絡(luò)、系統(tǒng)、人員的網(wǎng)絡(luò)空間體系的安全。對(duì)應(yīng)到安全滑動(dòng)標(biāo)尺的模型上,等保1.0更多的關(guān)注在架構(gòu)安全和部分被動(dòng)防御能力的建設(shè),等保2.0的建設(shè)重點(diǎn)已經(jīng)向主動(dòng)防御能力和部分威脅情報(bào)能力進(jìn)行了推進(jìn)。
思路的變化
在保護(hù)思路方面,等保2.0有三個(gè)重點(diǎn)變化:
1、在等保2.0的要求中,已經(jīng)沒有明文的”技術(shù)要求”、”管理要求”的提法,可以預(yù)見,在未來的網(wǎng)絡(luò)安全建設(shè)中技術(shù)、管理將深度融合,也越來越難以區(qū)分;
2、等保1.0站在安全控制項(xiàng)的角度進(jìn)行安全要求,等保2.0站在安全能力的維度進(jìn)行安全要求。從測(cè)評(píng)維度來說,等保1.0的測(cè)評(píng)更注重關(guān)鍵要素的滿足,等保2.0的測(cè)評(píng)則從評(píng)測(cè)流程和評(píng)測(cè)標(biāo)準(zhǔn)上做了規(guī)范性說明。這意味著以等保2.0為基礎(chǔ)的安全建設(shè)會(huì)更加關(guān)注實(shí)際的安全效果,而非老標(biāo)準(zhǔn)下產(chǎn)品的簡(jiǎn)單堆疊;
3、在等保2.0的最新文件中,引入了“可信”、“安全運(yùn)維”和“安全管理中心”三個(gè)新概念,其中“可信”出現(xiàn)約74次,“安全運(yùn)維”出現(xiàn)約34次,“安全管理中心”出現(xiàn)約25次。綜合等保2.0的要求來看,這意味著等保2.0的推薦規(guī)劃方式變更為“自頂向下、自面而點(diǎn)”的體系規(guī)劃,保護(hù)思路變更為“以安全管理中心為支撐、安全運(yùn)維為保障的可信計(jì)算環(huán)境、可信邊界、可信通信三重安全防護(hù)架構(gòu)”,從等保2.0給出的安全框架圖和安全技術(shù)設(shè)計(jì)框架圖中也可以看出這一點(diǎn):
網(wǎng)絡(luò)安全等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)框架
我們可以將等保2.0的新思路抽象為下圖:
即,在等保1.0的安全體系基礎(chǔ)之上,如果想要做好等保2.0的安全防護(hù),更需關(guān)注三方面的內(nèi)容的填平補(bǔ)齊:
1、安全管理中心建設(shè);
2、計(jì)算環(huán)境、通信網(wǎng)絡(luò)、接入邊界的“可信”特性建設(shè);
3、安全運(yùn)維體系的建設(shè)。接下來我們將簡(jiǎn)單探討一下這三個(gè)方面的建設(shè)思路。
貳 等保2.0建設(shè)思路
綜合上文所說,等保2.0時(shí)代的安全建設(shè)應(yīng)在傳統(tǒng)的安全防御體系之上,著重從安全體系的角度合理規(guī)劃、合理建設(shè)、甚至適度精簡(jiǎn),將資源和建設(shè)能力投放在如何抵御新時(shí)代的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)上。安全專家建議在信息化建設(shè)的同時(shí)統(tǒng)籌考慮網(wǎng)絡(luò)安全的建設(shè),做到同步規(guī)劃、同步建設(shè)、同步運(yùn)行,做到全生命周期網(wǎng)絡(luò)安全,而在上述三個(gè)需要特別關(guān)注的方面,更應(yīng)該以新理念、新思路、新技術(shù)統(tǒng)籌考慮。
安全運(yùn)維新理念——人是安全的尺度
對(duì)比等保1.0,等保2.0更為強(qiáng)調(diào)了安全運(yùn)維的概念:在傳統(tǒng)的資產(chǎn)管理、設(shè)備運(yùn)維的基礎(chǔ)上,將安全運(yùn)維的范疇擴(kuò)充到了安全事件的響應(yīng)和高級(jí)安全威脅的發(fā)現(xiàn),如果考慮到定期的審計(jì)和有效性驗(yàn)證,安全運(yùn)維的范疇將進(jìn)一步擴(kuò)充。所以我們可以看到,等保2.0中所提到的安全運(yùn)維的概念正在逐步向安全運(yùn)營(yíng)的概念轉(zhuǎn)變。而不管是設(shè)備的維護(hù)還是威脅的分析處理,一定是人借助工具和數(shù)據(jù)完成安全流程的要求,所以到最后拼的還是人的能力。按照能力級(jí)別的劃分,可以將安全運(yùn)維進(jìn)行高、中、低三位能力的解構(gòu),建立分層級(jí)的安全運(yùn)維體系,如下圖所示:
基礎(chǔ)運(yùn)維人員:基礎(chǔ)運(yùn)維人員是分層級(jí)的安全運(yùn)維體系的第一層,主要負(fù)責(zé)日常設(shè)備的維護(hù)、安全策略優(yōu)化等工作,相當(dāng)于“隨身保健醫(yī)生”。定期對(duì)客戶的健康狀況進(jìn)行檢查,如果發(fā)生保健醫(yī)生處理不了的狀況則及時(shí)聯(lián)系主治醫(yī)生進(jìn)行處理和診斷。
安全分析人員:安全分析人員是分層級(jí)的安全運(yùn)維體系的第二層,主要負(fù)責(zé)深度威脅分析、失陷檢測(cè)等工作,相當(dāng)于“主治醫(yī)生”。當(dāng)客戶發(fā)生比較危急的安全狀況時(shí),先通過專業(yè)的手段緩解病痛,再尋找病因進(jìn)行根治。
安全研究人員:安全研究人員是分層級(jí)的安全運(yùn)維體系的第三層,主要由各領(lǐng)域的安全專家組成,相當(dāng)于“主任醫(yī)生”。當(dāng)主治醫(yī)生遇到不能處理的健康狀況時(shí),需要通過主任醫(yī)生協(xié)同會(huì)診尋找病根和治療手段。同時(shí),主任醫(yī)生還需負(fù)責(zé)向主治醫(yī)生和保健醫(yī)生進(jìn)行能力輸出,構(gòu)建起長(zhǎng)效的造血機(jī)制。
通過三種能力層級(jí)的人員配合,構(gòu)建起安全運(yùn)維體系的安全尺度。但是若要提高安全人員的工作效率,還需要有數(shù)據(jù)和工具進(jìn)行有效支撐,這就涉及到了安全管理中心的概念。
安全管理中心新思路——數(shù)據(jù)驅(qū)動(dòng)安全
按照等保2.0中對(duì)安全管理中心的定義,安全管理中心作為對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)象的安全策略及安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)的安全機(jī)制實(shí)施統(tǒng)一管理的系統(tǒng)平臺(tái),應(yīng)實(shí)現(xiàn)統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一審計(jì)、綜合分析和協(xié)同防護(hù)的安全能力。按照這種定義進(jìn)行安全能力的解構(gòu),如下圖所示:
如上文所說,安全管理中心將成為等保2.0安全體系運(yùn)維工作的平臺(tái)和有效抓手,其建設(shè)成效將直接影響安全保障和安全運(yùn)維工作是否可以有效開展。而要想使安全管理中心能用、好用,就必須強(qiáng)調(diào)數(shù)據(jù)驅(qū)動(dòng)安全的思路,其核心有三個(gè)關(guān)鍵點(diǎn):
數(shù)據(jù)收集的廣度:衡量安全管理中心建設(shè)成效的第一個(gè)維度是數(shù)據(jù)匯集的全不全,這些數(shù)據(jù)不僅包含網(wǎng)絡(luò)流量、設(shè)備日志、終端日志、中間件日志、還原的文件等客戶網(wǎng)絡(luò)中產(chǎn)生的數(shù)據(jù),還應(yīng)包含互聯(lián)網(wǎng)中產(chǎn)生的威脅情報(bào)信息。當(dāng)然,每種維度的數(shù)據(jù)在收集時(shí)都會(huì)涉及到收集的字段、收集的頻率、收集的方式,此時(shí)就需要綜合業(yè)務(wù)環(huán)境的承載能力進(jìn)行平衡。通過這種內(nèi)外部數(shù)據(jù)的匯聚,為數(shù)據(jù)分析構(gòu)建基礎(chǔ)。
數(shù)據(jù)利用的深度:衡量安全管理中心建設(shè)成效的第二個(gè)維度是數(shù)據(jù)利用的深不深,如果收集了大量的數(shù)據(jù)和字段,卻僅僅通過簡(jiǎn)單的規(guī)則產(chǎn)生告警,就會(huì)大大浪費(fèi)這些數(shù)據(jù)的價(jià)值。因此,安全管理中心首先要對(duì)原始數(shù)據(jù)進(jìn)行預(yù)處理,做到不同維度日志的關(guān)聯(lián)分析,構(gòu)建起不同維度數(shù)據(jù)之間的聯(lián)系。其次從收集數(shù)據(jù)的維度上可以想象到這些數(shù)據(jù)一定是海量的,通過人工的方式進(jìn)行威脅的分析會(huì)變得非常困難,這就要求安全管理中心必須要通過威脅建模、機(jī)器學(xué)習(xí)等方式進(jìn)行自動(dòng)化分析。必須要額外說明的一點(diǎn)是,威脅建模和機(jī)器學(xué)習(xí)等自動(dòng)化模型有一部分是可以通用的,但是大部分模型與業(yè)務(wù)有著非常強(qiáng)的相關(guān)性,需要緊貼業(yè)務(wù)進(jìn)行模型的設(shè)計(jì)和優(yōu)化,如果希望通過通用的模型滿足個(gè)性化的威脅場(chǎng)景分析,其道路將會(huì)十分坎坷。
數(shù)據(jù)展現(xiàn)的能見度:衡量安全管理中心建設(shè)成效的第三個(gè)維度是數(shù)據(jù)展現(xiàn)的透不透,有了數(shù)據(jù)量、數(shù)據(jù)分析能力,還需要讓數(shù)據(jù)變得可見。這是一種數(shù)據(jù)展現(xiàn)能力,展示效果不僅要直觀、美觀,也要實(shí)時(shí)。通過可視化技術(shù)的利用,將原本碎片化的威脅告警、異常行為告警等數(shù)據(jù)結(jié)構(gòu)化,形成從宏觀的威脅態(tài)勢(shì)到微觀的攻擊詳情的高維度可視化方案,為威脅分析和處理提供支撐。
有了安全運(yùn)維的保障和安全管理中心的支撐,在等保2.0的技術(shù)體系中還強(qiáng)調(diào)了新的安全特性要求:“可信”,涉及到了可信計(jì)算環(huán)境、可信通信和可信邊界三個(gè)概念。
“可信”特性建設(shè)新技術(shù)——零信任架構(gòu)
等保2.0在傳統(tǒng)的安全防護(hù)體系的基礎(chǔ)上,對(duì)計(jì)算環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界作了“可信”特性的要求,那么什么是“可信”呢?通過對(duì)“可信”特性的總結(jié),首先要做到基于可信根的驗(yàn)證,其次要做到“可控”,即對(duì)于主客體之間訪問的每一個(gè)步驟,都要有控制的能力。因此可以將“可信”特性分解為設(shè)備可信驗(yàn)證、持續(xù)驗(yàn)證、動(dòng)態(tài)授權(quán)、統(tǒng)一審計(jì)等安全能力,如下圖所示:
可信驗(yàn)證:可信驗(yàn)證包含了兩個(gè)方面:可信身份驗(yàn)證和可信環(huán)境驗(yàn)證??尚派矸蒡?yàn)證需要結(jié)合人員身份、設(shè)備身份、系統(tǒng)程序等多個(gè)方面的信息進(jìn)行身份的畫像;可信環(huán)境驗(yàn)證則需要感知人員所屬環(huán)境、程序運(yùn)行環(huán)境是否有不安全的因素(如感染了病毒木馬)。結(jié)合這兩個(gè)方面的數(shù)據(jù),按照統(tǒng)一的策略進(jìn)行可信驗(yàn)證。
持續(xù)驗(yàn)證:持續(xù)驗(yàn)證要求在設(shè)備入網(wǎng)、訪問設(shè)備、訪問應(yīng)用、訪問接口等關(guān)鍵環(huán)節(jié)進(jìn)行持續(xù)的可信驗(yàn)證,并基于風(fēng)險(xiǎn)建模和關(guān)聯(lián)分析,度量潛在的安全風(fēng)險(xiǎn)。避免一次認(rèn)證通過后環(huán)境變化引入的風(fēng)險(xiǎn)。
動(dòng)態(tài)授權(quán):在每一個(gè)關(guān)鍵環(huán)節(jié)進(jìn)行可信驗(yàn)證后,將驗(yàn)證的信息發(fā)送到授權(quán)策略管理平臺(tái),授權(quán)策略管理平臺(tái)返回應(yīng)該賦予訪問者的權(quán)限結(jié)果。這個(gè)權(quán)限的計(jì)算充分考慮多維因素,包括組織級(jí)安全策略和規(guī)則、訪問者的多維屬性、訪問目標(biāo)的多維屬性、環(huán)境屬性,包括:終端安全屬性、地址位置、歷史行為、多因子認(rèn)證器安全屬性、行為異常性評(píng)估等。
統(tǒng)一審計(jì):將每一個(gè)關(guān)鍵環(huán)節(jié)的判斷依據(jù)和判斷結(jié)果形成審計(jì)記錄進(jìn)行統(tǒng)一審計(jì)??梢灶A(yù)見的是,隨著技術(shù)的快速發(fā)展,未來將會(huì)通過數(shù)據(jù)的審計(jì),以更智能和自動(dòng)化的方式對(duì)動(dòng)態(tài)授權(quán)策略進(jìn)行優(yōu)化和調(diào)整。