您所在的位置: 首頁 >
新聞資訊 >
技術(shù)前沿 >
等保2.0-新形勢下如何建設(shè)等級保護(hù)
網(wǎng)絡(luò)空間新形式
近年來,伴隨著信息革命的飛速發(fā)展,網(wǎng)絡(luò)空間正逐步成為信息傳播的新渠道、生產(chǎn)生活的新空間、經(jīng)濟(jì)發(fā)展的新引擎、社會治理的新平臺?!缎畔踩燃壉Wo(hù)管理辦法》作為我國網(wǎng)絡(luò)安全建設(shè)的重要指導(dǎo)依據(jù),從首次被提出至今,逐步筑起了國家網(wǎng)絡(luò)和信息安全的重要防線。然而隨著云計算、物聯(lián)網(wǎng)、移動互聯(lián)、工業(yè)控制、大數(shù)據(jù)等領(lǐng)域的發(fā)展,原有的標(biāo)準(zhǔn)已不能滿足等級保護(hù)的工作需要。
從2014年3月開始,由公安部牽頭組織開展了信息技術(shù)新領(lǐng)域等級保護(hù)重點(diǎn)標(biāo)準(zhǔn)申報國家標(biāo)準(zhǔn)的工作。并從2015年開始陸續(xù)對外發(fā)布草稿、征集意見稿,之后網(wǎng)絡(luò)上開始有了“等保2.0”的叫法,“等保2.0的主要區(qū)別是新技術(shù)要求”,這種理解借助互聯(lián)網(wǎng)在網(wǎng)絡(luò)迅速蔓延,一夜之間成為當(dāng)前社會主流認(rèn)知。
必須要說明的是,僅僅基于新技術(shù)變化,尤其是標(biāo)準(zhǔn)版本變化來進(jìn)行等保1.0和2.0的區(qū)分,是不太合理的,會忽略等保2.0的核心提升,接下來我們依照最新的要求來分析下等保2.0的本質(zhì)變化。
壹 等保的本質(zhì)變化
關(guān)于等保2.0和等保1.0在安全控制點(diǎn)和安全要求項方面的比對,已經(jīng)有很多資料,這里不再詳細(xì)闡述,接下來會圍繞等保2.0的保護(hù)范圍、法律效力、參考標(biāo)準(zhǔn)、定級流程、備案流程、保護(hù)重點(diǎn)、保護(hù)思路等多個方面的變化展開分析:
而保護(hù)重點(diǎn)和保護(hù)思路的變化將直接影響等保2.0的安全設(shè)計和建設(shè),或許我們可以通過接下來的分析梳理清一些重點(diǎn)。
重點(diǎn)保護(hù)的變化
用詞頻統(tǒng)計的方法可以很容易看出等保2.0與1.0之間的差別。如下圖所示(左邊為等保1.0的詞頻統(tǒng)計,右邊為等保2.0的詞頻統(tǒng)計):
從這兩個對比圖中可以看出,等保1.0的保護(hù)重點(diǎn)更多的關(guān)注系統(tǒng)、人員、物理環(huán)境的安全,而等保2.0的保護(hù)重點(diǎn)已經(jīng)變更為圍繞數(shù)據(jù)、網(wǎng)絡(luò)、系統(tǒng)、人員的網(wǎng)絡(luò)空間體系的安全。對應(yīng)到安全滑動標(biāo)尺的模型上,等保1.0更多的關(guān)注在架構(gòu)安全和部分被動防御能力的建設(shè),等保2.0的建設(shè)重點(diǎn)已經(jīng)向主動防御能力和部分威脅情報能力進(jìn)行了推進(jìn)。
思路的變化
在保護(hù)思路方面,等保2.0有三個重點(diǎn)變化:
1、在等保2.0的要求中,已經(jīng)沒有明文的”技術(shù)要求”、”管理要求”的提法,可以預(yù)見,在未來的網(wǎng)絡(luò)安全建設(shè)中技術(shù)、管理將深度融合,也越來越難以區(qū)分;
2、等保1.0站在安全控制項的角度進(jìn)行安全要求,等保2.0站在安全能力的維度進(jìn)行安全要求。從測評維度來說,等保1.0的測評更注重關(guān)鍵要素的滿足,等保2.0的測評則從評測流程和評測標(biāo)準(zhǔn)上做了規(guī)范性說明。這意味著以等保2.0為基礎(chǔ)的安全建設(shè)會更加關(guān)注實際的安全效果,而非老標(biāo)準(zhǔn)下產(chǎn)品的簡單堆疊;
3、在等保2.0的最新文件中,引入了“可信”、“安全運(yùn)維”和“安全管理中心”三個新概念,其中“可信”出現(xiàn)約74次,“安全運(yùn)維”出現(xiàn)約34次,“安全管理中心”出現(xiàn)約25次。綜合等保2.0的要求來看,這意味著等保2.0的推薦規(guī)劃方式變更為“自頂向下、自面而點(diǎn)”的體系規(guī)劃,保護(hù)思路變更為“以安全管理中心為支撐、安全運(yùn)維為保障的可信計算環(huán)境、可信邊界、可信通信三重安全防護(hù)架構(gòu)”,從等保2.0給出的安全框架圖和安全技術(shù)設(shè)計框架圖中也可以看出這一點(diǎn):
網(wǎng)絡(luò)安全等級保護(hù)安全技術(shù)設(shè)計框架
我們可以將等保2.0的新思路抽象為下圖:
即,在等保1.0的安全體系基礎(chǔ)之上,如果想要做好等保2.0的安全防護(hù),更需關(guān)注三方面的內(nèi)容的填平補(bǔ)齊:
1、安全管理中心建設(shè);
2、計算環(huán)境、通信網(wǎng)絡(luò)、接入邊界的“可信”特性建設(shè);
3、安全運(yùn)維體系的建設(shè)。接下來我們將簡單探討一下這三個方面的建設(shè)思路。
貳 等保2.0建設(shè)思路
綜合上文所說,等保2.0時代的安全建設(shè)應(yīng)在傳統(tǒng)的安全防御體系之上,著重從安全體系的角度合理規(guī)劃、合理建設(shè)、甚至適度精簡,將資源和建設(shè)能力投放在如何抵御新時代的網(wǎng)絡(luò)安全風(fēng)險上。安全專家建議在信息化建設(shè)的同時統(tǒng)籌考慮網(wǎng)絡(luò)安全的建設(shè),做到同步規(guī)劃、同步建設(shè)、同步運(yùn)行,做到全生命周期網(wǎng)絡(luò)安全,而在上述三個需要特別關(guān)注的方面,更應(yīng)該以新理念、新思路、新技術(shù)統(tǒng)籌考慮。
安全運(yùn)維新理念——人是安全的尺度
對比等保1.0,等保2.0更為強(qiáng)調(diào)了安全運(yùn)維的概念:在傳統(tǒng)的資產(chǎn)管理、設(shè)備運(yùn)維的基礎(chǔ)上,將安全運(yùn)維的范疇擴(kuò)充到了安全事件的響應(yīng)和高級安全威脅的發(fā)現(xiàn),如果考慮到定期的審計和有效性驗證,安全運(yùn)維的范疇將進(jìn)一步擴(kuò)充。所以我們可以看到,等保2.0中所提到的安全運(yùn)維的概念正在逐步向安全運(yùn)營的概念轉(zhuǎn)變。而不管是設(shè)備的維護(hù)還是威脅的分析處理,一定是人借助工具和數(shù)據(jù)完成安全流程的要求,所以到最后拼的還是人的能力。按照能力級別的劃分,可以將安全運(yùn)維進(jìn)行高、中、低三位能力的解構(gòu),建立分層級的安全運(yùn)維體系,如下圖所示:
基礎(chǔ)運(yùn)維人員:基礎(chǔ)運(yùn)維人員是分層級的安全運(yùn)維體系的第一層,主要負(fù)責(zé)日常設(shè)備的維護(hù)、安全策略優(yōu)化等工作,相當(dāng)于“隨身保健醫(yī)生”。定期對客戶的健康狀況進(jìn)行檢查,如果發(fā)生保健醫(yī)生處理不了的狀況則及時聯(lián)系主治醫(yī)生進(jìn)行處理和診斷。
安全分析人員:安全分析人員是分層級的安全運(yùn)維體系的第二層,主要負(fù)責(zé)深度威脅分析、失陷檢測等工作,相當(dāng)于“主治醫(yī)生”。當(dāng)客戶發(fā)生比較危急的安全狀況時,先通過專業(yè)的手段緩解病痛,再尋找病因進(jìn)行根治。
安全研究人員:安全研究人員是分層級的安全運(yùn)維體系的第三層,主要由各領(lǐng)域的安全專家組成,相當(dāng)于“主任醫(yī)生”。當(dāng)主治醫(yī)生遇到不能處理的健康狀況時,需要通過主任醫(yī)生協(xié)同會診尋找病根和治療手段。同時,主任醫(yī)生還需負(fù)責(zé)向主治醫(yī)生和保健醫(yī)生進(jìn)行能力輸出,構(gòu)建起長效的造血機(jī)制。
通過三種能力層級的人員配合,構(gòu)建起安全運(yùn)維體系的安全尺度。但是若要提高安全人員的工作效率,還需要有數(shù)據(jù)和工具進(jìn)行有效支撐,這就涉及到了安全管理中心的概念。
安全管理中心新思路——數(shù)據(jù)驅(qū)動安全
按照等保2.0中對安全管理中心的定義,安全管理中心作為對網(wǎng)絡(luò)安全等級保護(hù)對象的安全策略及安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)的安全機(jī)制實施統(tǒng)一管理的系統(tǒng)平臺,應(yīng)實現(xiàn)統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一審計、綜合分析和協(xié)同防護(hù)的安全能力。按照這種定義進(jìn)行安全能力的解構(gòu),如下圖所示:
如上文所說,安全管理中心將成為等保2.0安全體系運(yùn)維工作的平臺和有效抓手,其建設(shè)成效將直接影響安全保障和安全運(yùn)維工作是否可以有效開展。而要想使安全管理中心能用、好用,就必須強(qiáng)調(diào)數(shù)據(jù)驅(qū)動安全的思路,其核心有三個關(guān)鍵點(diǎn):
數(shù)據(jù)收集的廣度:衡量安全管理中心建設(shè)成效的第一個維度是數(shù)據(jù)匯集的全不全,這些數(shù)據(jù)不僅包含網(wǎng)絡(luò)流量、設(shè)備日志、終端日志、中間件日志、還原的文件等客戶網(wǎng)絡(luò)中產(chǎn)生的數(shù)據(jù),還應(yīng)包含互聯(lián)網(wǎng)中產(chǎn)生的威脅情報信息。當(dāng)然,每種維度的數(shù)據(jù)在收集時都會涉及到收集的字段、收集的頻率、收集的方式,此時就需要綜合業(yè)務(wù)環(huán)境的承載能力進(jìn)行平衡。通過這種內(nèi)外部數(shù)據(jù)的匯聚,為數(shù)據(jù)分析構(gòu)建基礎(chǔ)。
數(shù)據(jù)利用的深度:衡量安全管理中心建設(shè)成效的第二個維度是數(shù)據(jù)利用的深不深,如果收集了大量的數(shù)據(jù)和字段,卻僅僅通過簡單的規(guī)則產(chǎn)生告警,就會大大浪費(fèi)這些數(shù)據(jù)的價值。因此,安全管理中心首先要對原始數(shù)據(jù)進(jìn)行預(yù)處理,做到不同維度日志的關(guān)聯(lián)分析,構(gòu)建起不同維度數(shù)據(jù)之間的聯(lián)系。其次從收集數(shù)據(jù)的維度上可以想象到這些數(shù)據(jù)一定是海量的,通過人工的方式進(jìn)行威脅的分析會變得非常困難,這就要求安全管理中心必須要通過威脅建模、機(jī)器學(xué)習(xí)等方式進(jìn)行自動化分析。必須要額外說明的一點(diǎn)是,威脅建模和機(jī)器學(xué)習(xí)等自動化模型有一部分是可以通用的,但是大部分模型與業(yè)務(wù)有著非常強(qiáng)的相關(guān)性,需要緊貼業(yè)務(wù)進(jìn)行模型的設(shè)計和優(yōu)化,如果希望通過通用的模型滿足個性化的威脅場景分析,其道路將會十分坎坷。
數(shù)據(jù)展現(xiàn)的能見度:衡量安全管理中心建設(shè)成效的第三個維度是數(shù)據(jù)展現(xiàn)的透不透,有了數(shù)據(jù)量、數(shù)據(jù)分析能力,還需要讓數(shù)據(jù)變得可見。這是一種數(shù)據(jù)展現(xiàn)能力,展示效果不僅要直觀、美觀,也要實時。通過可視化技術(shù)的利用,將原本碎片化的威脅告警、異常行為告警等數(shù)據(jù)結(jié)構(gòu)化,形成從宏觀的威脅態(tài)勢到微觀的攻擊詳情的高維度可視化方案,為威脅分析和處理提供支撐。
有了安全運(yùn)維的保障和安全管理中心的支撐,在等保2.0的技術(shù)體系中還強(qiáng)調(diào)了新的安全特性要求:“可信”,涉及到了可信計算環(huán)境、可信通信和可信邊界三個概念。
“可信”特性建設(shè)新技術(shù)——零信任架構(gòu)
等保2.0在傳統(tǒng)的安全防護(hù)體系的基礎(chǔ)上,對計算環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界作了“可信”特性的要求,那么什么是“可信”呢?通過對“可信”特性的總結(jié),首先要做到基于可信根的驗證,其次要做到“可控”,即對于主客體之間訪問的每一個步驟,都要有控制的能力。因此可以將“可信”特性分解為設(shè)備可信驗證、持續(xù)驗證、動態(tài)授權(quán)、統(tǒng)一審計等安全能力,如下圖所示:
可信驗證:可信驗證包含了兩個方面:可信身份驗證和可信環(huán)境驗證。可信身份驗證需要結(jié)合人員身份、設(shè)備身份、系統(tǒng)程序等多個方面的信息進(jìn)行身份的畫像;可信環(huán)境驗證則需要感知人員所屬環(huán)境、程序運(yùn)行環(huán)境是否有不安全的因素(如感染了病毒木馬)。結(jié)合這兩個方面的數(shù)據(jù),按照統(tǒng)一的策略進(jìn)行可信驗證。
持續(xù)驗證:持續(xù)驗證要求在設(shè)備入網(wǎng)、訪問設(shè)備、訪問應(yīng)用、訪問接口等關(guān)鍵環(huán)節(jié)進(jìn)行持續(xù)的可信驗證,并基于風(fēng)險建模和關(guān)聯(lián)分析,度量潛在的安全風(fēng)險。避免一次認(rèn)證通過后環(huán)境變化引入的風(fēng)險。
動態(tài)授權(quán):在每一個關(guān)鍵環(huán)節(jié)進(jìn)行可信驗證后,將驗證的信息發(fā)送到授權(quán)策略管理平臺,授權(quán)策略管理平臺返回應(yīng)該賦予訪問者的權(quán)限結(jié)果。這個權(quán)限的計算充分考慮多維因素,包括組織級安全策略和規(guī)則、訪問者的多維屬性、訪問目標(biāo)的多維屬性、環(huán)境屬性,包括:終端安全屬性、地址位置、歷史行為、多因子認(rèn)證器安全屬性、行為異常性評估等。
統(tǒng)一審計:將每一個關(guān)鍵環(huán)節(jié)的判斷依據(jù)和判斷結(jié)果形成審計記錄進(jìn)行統(tǒng)一審計。可以預(yù)見的是,隨著技術(shù)的快速發(fā)展,未來將會通過數(shù)據(jù)的審計,以更智能和自動化的方式對動態(tài)授權(quán)策略進(jìn)行優(yōu)化和調(diào)整。