編者按:本文以等保2.0為背景,提出了以數據驅動為基礎��、以安全運營為手段�����、以態勢感知為支撐��、以安全人員為核心、以協同防御為特征的具有中國特色的積極防御安全體系�,即我國網絡與信息安全的下一代安全防護體系的思路����,其中安全能力就是人通過工具(平臺)運營使用數據的能力���,這一觀點讓人印象深刻�。
最近十年是網絡與信息技術高速發展的十年�,網絡與信息技術一日千里:移動互聯網、云計算����、大數據���、區塊鏈�、人工智能�、工業互聯網、物聯網�����、智能制造(工業4.0)��、智慧城市等新興基礎設施和應用不斷出現�,網上購物����、無卡支付、自動駕駛��、共享經濟在網絡與信息技術的發展驅動之下成為現實并快速普及�����,人們在享受著網絡與信息技術所創造新經濟奇跡的同時已經悄然進入了萬物互聯的IoT時代��。黨和國家領導人歷來重視網絡與信息安全工作及相關標準制定與執行情況,中共中央總書記����、國家主席、中央軍委主席、中央網絡安全和信息化領導小組組長習近平2014年2月27日下午主持召開中央網絡安全和信息化領導小組第一次會議并發表重要講話��。他強調:沒有網絡安全就沒有國家安全���,沒有信息化就沒有現代化�����。網絡安全和信息化是事關國家安全和國家發展��、事關廣大人民群眾工作生活的重大戰略問題,要從國際國內大勢出發���,總體布局��,統籌各方,創新發展��,努力把我國建設成為網絡強國��。2016年4月19日����,總書記在網絡安全和信息化工作座談會上明確指出:網絡安全和信息化是相輔相成的��,安全是發展的前提����,發展是安全的保障��,安全和發展要同步推進并明確提出加快構建關鍵信息基礎設施安全保障體系的要求��。2016年12月27日,國家互聯網信息辦公室發布《國家網絡空間安全戰略》����,強調做好等級保護��、風險評估�����、漏洞發現等基礎性工作�����,完善網絡安全監測預警和網絡安全重大事件應急處置機制。2017年6月1日,《中華人民共和國網絡安全法》正式頒布施行,該法第二十一條明確規定國家實行網絡安全等級保護制度�。網絡運營者應當按照網絡安全等級保護制度的要求����,履行安全保護義務��。我國網絡安全等級保護制度自2008年正式頒布實施以來�,取得了顯著成效��,成為我國政府���、企業等關鍵信息基礎設施安全保障的重要指導��、參考標準和建設依據,為我國網絡與信息安全水平的快速發展與提高做出了不可替代的重要貢獻。為了更好適應時代發展����,迎接網絡與信息技術快速發展創新帶來的安全新問題��、新挑戰,保障我國政府��、企業等關鍵信息基礎設施在新技術���、新設施���、新應用為代表的新經濟�、新環境下的平穩運行與數據安全����,公安部與時俱進、勇于創新�,提出并制定了網絡安全等級保護2.0���,以安全技術保障�、安全管理運營�、安全監測預警、安全應急響應為核心���,全面指明了我國關鍵信息基礎設施安全保障的原則、方法與手段�����,成為我國未來十年關鍵信息基礎設施安全保障最基礎���、最核心、最重要的一部權威制度��。正在審議的網絡安全等級保護標準(以下簡稱:等保2.0)分為定級指南����、基本要求、設計要求和測評要求�����。在技術和管理兩大方面對網絡與信息系統安全保障進行了全面描述與規范�����,包括通用要求與安全擴展要求兩部分,在通用要求中�,技術要求部分包括物理和環境安全�����、設備和計算安全、應用和數據安全�,管理要求部分包括安全策略和管理制度����、安全管理機構和人員����、安全建設管理和安全運維管理。本次修訂并送審的等保2.0與正在執行的等保1.0(GB/T 22239-2008)相比最大的變化在于補充提出了四項安全擴展要求�����,分別是:云計算安全擴展要求����、移動互聯網安全擴展要求、物聯網安全擴展要求和工業控制系統安全擴展要求���。
除安全通用要求和安全擴展要求之外,等保2.0同時給出了安全體系建設的頂層設計框架��,安全頂設計框架涵蓋了如下九大方面:
-
資產:等級保護對象�、通信網絡、區域邊界�����、計算環境
-
運營:安全管理中心
-
體系:風險管理體系���、安全管理體系���、安全技術體系�����、網絡信任體系、網絡安全綜合防御體系(積極防御體系)
-
支撐:組織管理、機制建設�、安全規劃���、安全監測�、通報預警���、應急處置�����、態勢感知�����、能力建設、技術檢測、安全可控�、隊伍建設���、教育培訓�、經費保障
-
過程:定級備案、安全建設�����、等級測評����、安全整改�、監督檢查
-
策略:總體安全策略
-
戰略:網絡安全戰略規劃目標
-
標準:國家網絡安全等級保護政策標標準體系
-
法令:國家網絡安全法律法規政策體系
總體上看,等保2.0是一部完整的以技術保障為基礎、以管理運營為抓手、以監測預警為核心�����、以協同響應為目標的網絡安全防御體系框架性指導標準與規劃建設指南��,下面��,我們就等保2.0在技術保障、管理運營、監測預警和協同響應這四大核心內容上進行逐一介紹�。
技術保障是等保2.0中篇幅最多�,描述最完整的部分��,全面描述了關鍵信息基礎設施安全體系所應具備的框架與能力����,是關鍵信息基礎設施安全防護體系的基礎���。等保2.0的技術保障體系延續了等保1.0中的以資產(網絡與信息系統)為目標的安全保障思路�,其核心是圍繞基礎設施和業務應用,這符合網絡與信息安全防護體系設計的基本原則�����,目標明確�、重點突出。在等保2.0的設計中,按照分級防護的思想,從第一級安全要求到第四級安全要求���,始終貫穿著通信網絡、區域邊界、計算環境的安全防護目標�����,具體到等保2.0的標準中就是對物理安全�����、網絡和通信安全、設備和計算安全�����、應用和數據安全的一致性要求���。這體現了網絡安全等級保護制度在過去十年成功實踐上的總結與繼承�����,也表明了未來十年網絡安全等級保護會繼續堅持以資產防護為目標的基本思路��。等保2.0在繼承了等保1.0中以資產防護為目標的成功實踐基礎上,結合近些年網絡與信息技術的新變化�����,補充提出了對云計算��、物聯網�����、移動互聯網和工業控制系統的安全防護要求。這深刻反映了網絡與信息安全體系發展與創新的本質:基礎設施和業務應用的發展永遠是網絡與信息安全體系發展與創新的第一驅動力�����。
在過去十年的網絡安全防護過程中���,我們經歷了無數次的攻防較量、重點保障�、應急處置和分析溯源的實踐�,并在這些實踐過程中積累了大量寶貴的成功經驗與失敗教訓�����。通過對這些成功經驗與失敗教訓的總結與反思,我們漸漸清晰地認識到:
-
數據是安全的基礎與驅動力
-
人是安全防護的核心與尺度
-
安全運營與管理是安全最重要的手段
-
圍繞數據�����、人���、工具����、運營管理的積極防御體系是未來安全體系發展的方向
過去十年無數次的實踐告訴我們:圍繞數據、人����、工具��、運營管理的積極防御體系是安全的不二選擇,其核心是人通過工具對數據的運營和使用�����。以數據為基礎���、以人為核心�,從數據中來(監測預警),到數據中去(響應處置)��,是當前情況下應對多點復雜攻擊的最佳實踐����,這個過程就是我們所說的安全運營管理。因此�,安全運營管理的兩個核心與前提是:
-
擁有可以使用安全工具完成安全運營管理工作的安全專業人員及團隊
-
具有可支撐監測預警和安全運營管理的數據
兩者缺一不可�。更本質地看:人是安全的尺度����、數據是安全的第一生產力��。正因如此����,安全人才培養和安全運營管理體系建設成為當前世界各國安全體系建設的重點���,安全工作是實踐性特別強的工程類技術工作���,與之對應的安全人才也是熟練掌握安全技能的工程類人才�,因此安全專業人才的培養是一個學、考、練���、用的持續迭代過程,這里特別強調練和用,從實踐中來�����、到實踐中去����。可以預見,未來集學����、考���、練�����、用為一體的網絡與信息安全集成實訓系統將成為普遍需求���,這體現未來了網絡與信息安全防護更加強調實戰與實際效果的體系性需求。我們在反思過去十年安全體系建設的發展過程可以清晰看到����,我們完成了從架構安全到被動防御的迭代式演進��。回顧這個過程,我們看到過去的安全體系更多地在依靠安全產品(即安全工具)孤軍作戰�,而沒有將人和數據放在核心的位置加以重視����,這導致了以往的安全體系存在著防御能力的滯后性和二次反應能力不足的問題�����,這更像是“冷兵器”時代����,因為缺少對數據足夠的采集與分析�����,被動安全體系成了免疫能力有限的貧血兒����,因為缺少安全人員對安全數據的安全運營管理�,被動安全體系嚴重缺乏活力與對抗“韌性”。全要素采集安全數據�、全過程安全運營成了下一代積極防御體系的體系核心�。這反映了安全是人與人之間對抗的本質���。2011年�,美國所采用的號稱世界上最先進的入侵檢測系統“Seminole”其真正先進之處就在于引入了7x24小時的安全專家運營管理過程�,這使得Seminole具備了持續發現、二次檢測與快速響應這三個最重要的安全能力���。等保2.0的技術體系,充分體現了對于全要素數據獲取���、全過程安全運營以及對專業人員的崗位性要求,從這個層面上講���,等保2.0準確把握了未來安全體系建設的核心與關鍵,代表著未來安全體系的潮流與方向�����。
無論是等保1.0還是在等保2.0�����,監測預警都是安全技術體系的重中之重���,經過近幾年的摸索與實踐�,安全態勢感知已經被證明是安全監測預警的最佳實踐與必由之路��。習近平總書記在2016年4月19日在網絡安全和信息化工作座談會上敏銳指出的“全天候�����、全方位的態勢感知”為我們的監測預警工作指明了方向。事實上��,公安部在2015年開始就在監測預警工作的實踐基礎上提出了在公安系統內建設態勢感知平臺的要求并出臺了相關標準����,并率先在青島等地開展了將態勢感知平臺應用于實戰的探索與嘗試,截止目前����,該項工作已取得了豐碩成果,以安全態勢感知為核心的指揮作戰平臺已經成功應用于包括十九大在內的諸多大型活動重要時期安全保障工作并取得顯著成效�����。安全態勢感知本質是安全能力與安全手段�����,表現形式是平臺系統����,實戰中既是監測預警的工具,又是安全運營的平臺����,涵蓋了從數據采集�、情報獲取���、安全大數據分析�、監測預警、分析研判�����、指揮通告��、處置響應和追蹤溯源的完整安全業務流程����,是面向安全監測與安全運營管理��,有效整合人、工具、數據與運營的一體化平臺�。因此態勢感知在很大程度上有別于傳統的SOC與后來的NGSOC��,更強調安全工作快速閉環的運營支撐能力。為了達到支撐實戰的目的與效果,態勢感知平臺需要具備五方面的基礎能力:
-
全天候、全方位獲取數據的全要素數據采集與數據處理能力
-
高質量��、及時的威脅情報獲取與應用能力
-
外部互聯網數據與內部本地數據獲取與大數據綜合分析能力
-
全過程閉環安全運營過程(如:指揮通告��、響應處置)支撐能力
-
安全事件取證����、分析研判與追蹤溯源能力
具備了上述五方面的基礎能力��,才能實現態勢感知作為監測預警與安全運營的實戰目標��,滿足實戰對“全天候、全方位”態勢感知的要求。態勢感知的五方面基礎能力���,本質是構建監測預警與安全運營的雙輪驅動機制:外部數據驅動機制和內部數據驅動機制,來自互聯網的數據與威脅情報是利用外部數據實現監測預警與安全運營,實現了從外部向內部看威脅和運營支撐的能力;內部數據的采集與大數據分析是從內部看威脅和運營支撐能力,兩者相輔相成��、互相補充�,構成了完整的態勢感知能力。
安全體系緣于攻防、安全體系服務于攻防�。隨著安全體系的發展與持續建設���,安全體系服務于實戰�����、在實踐中檢驗安全體系的建設成果、安全體系在實戰中不斷完善建設成為安全體系建設螺旋式發展���、迭代式演進的主要形式。這符合用實踐檢驗真理�����,在實踐中發展真理的歷史實踐觀點�。2016年底�����,公安部組織力量針對部分關鍵信息基礎設施成功實施了“護網2016”行動�,通過這次行動��,在實戰中驗證了部分關鍵信息系統的安全性與防護能力��,拿到了這些關鍵信息系統防護能力與安全脆弱性的第一手最真實數據。為提前發現安全短板�、及時修補安全漏洞�、完善信息系統的安全能力創造了條件����,有效保障了重大活動期間安全保障任務的圓滿完成?!白o網2016”再次用事實證明:針對關鍵信息基礎設施的攻防演練與紅藍對抗是在短時間內發現安全問題��、彌補安全短板���、提升安全能力最行之有效的手段��,通過攻防演練和紅藍對抗,可以將應急響應的時間大大提前�����,做到早期發現����、提前響應,真正實現變被動為主動,積累經驗�、鍛煉隊伍�����、檢驗系統的同時變被動為主動����、變事發應急為提前響應、變壞事為好事�。今天����,通過攻防演練與紅藍對抗低成本快速提升網絡與信息安全防護能力已經成為大家廣泛接受與認可的安全體系建設的重要形式��,被眾多有條件的大型行業機構所采用����。2015年��,美國安全研究機構SANS研究院提出了著名的安全標尺模型��,系統總結了安全體系建設所經歷的五個發展階段,并指出未來安全體系建設將從架構安全和被動防御走向積極防御����。目前這個模型已經成為世界范圍內安全界所廣泛接受的安全體系模型���,并被大多數行業機構所采用��。同期,國際著名咨詢機構Gartner提出了適用于積極防御體系構建的自適應安全框架(ASA)���,至此,SANS與ASA分別從不同視角各自獨立提出的安全模型與安全架構相互呼應����,共同完成了積極防御體系的理論奠基�����,成為下一代安全的基本理論����。我國從2016年開始逐漸引入安全標尺模型與自適應安全框架,結合我國網絡與信息安全的實際情況逐步形成了以數據驅動為基礎、以安全運營為手段��、以態勢感知為支撐����、以安全人員為核心、以協同防御為特征的具有中國特色的積極防御安全體系,即我國網絡與信息安全的下一代安全防護體系���。在這個防御體系中,強調數據(內部與外部數據)的基礎性支撐作用,強調人員在這個安全體系中的核心作用與價值�����,強調安全運營作為日常安全工作的重要地位�,強調態勢感知作為監測預警與安全運營平臺的核心作用,強調設備與設備、人����、數據三者之間協同聯動的重要性����,強調威脅情報與攻防演練對于安全體系的增強與完善。應該說���,我國對于安全標尺模型和自適應安全框架的借鑒、改造與應用實踐��,是成功地站在國際前沿已有成果上的大膽嘗試與創新�。這種實踐與創新是我國信息安全持續發展并終將成為網絡安全強國的根本保障與核心競爭力。
縱觀等保2.0標準�,始終貫穿著積極防御體系的核心思想���,對積極防御體系中核心的數據���、人、運營管理、態勢感知�����、攻防演練等提出了明確的要求�。等保2.0表面上是一部以技術點和管理點為要求的標準規范,但我們的理解不能淺嘗輒止于此,而是要透過這些點上的要求,深入理解等保2.0背后在安全體系構建上的思想架構精髓����,只有這樣�����,我們才能夠真正靈活利用等保2.0構建符合未來要求的安全保障體系。
