楊超

摘 要：本文介紹了網(wǎng)絡(luò)等級(jí)保護(hù)的發(fā)展歷程，剖析了等保2.0的新變化，并基于等保2.0的新要求探討了網(wǎng)絡(luò)安全主動(dòng)防御體系的建設(shè)方向。

關(guān)鍵詞：網(wǎng)絡(luò)等級(jí)保護(hù);網(wǎng)絡(luò)安全;主動(dòng)防御;建設(shè)方向

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-2064（2019）04-0041-02

0 引言

近年來(lái)，隨著人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)、云計(jì)算等技術(shù)的疾速發(fā)展，網(wǎng)絡(luò)安全形勢(shì)越發(fā)嚴(yán)峻，網(wǎng)絡(luò)環(huán)境越發(fā)復(fù)雜多變，舊標(biāo)準(zhǔn)也已經(jīng)無(wú)法再適用于當(dāng)前環(huán)境下的網(wǎng)絡(luò)安全要求。為了適應(yīng)移動(dòng)互聯(lián)、云計(jì)算、物聯(lián)網(wǎng)等新業(yè)務(wù)、新應(yīng)用的網(wǎng)絡(luò)安全防護(hù)需要，從2015年開(kāi)始，我國(guó)逐步開(kāi)始制定網(wǎng)絡(luò)等級(jí)保護(hù)的安全要求2.0標(biāo)準(zhǔn)。系統(tǒng)防護(hù)由被動(dòng)防御變成主動(dòng)防御是1.0和2.0標(biāo)準(zhǔn)最大的區(qū)別，以前1.0標(biāo)準(zhǔn)要求被動(dòng)防御，要求防火墻、殺病毒、IDS，現(xiàn)在2.0標(biāo)準(zhǔn)要求由被動(dòng)防護(hù)上升到主動(dòng)防御。

1 網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0

1.1 網(wǎng)絡(luò)安全等級(jí)保護(hù)的發(fā)展歷程

隨著全球網(wǎng)絡(luò)技術(shù)的疾速發(fā)展，由此帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題必須予以高度重視和防范，西方發(fā)達(dá)國(guó)家率先采取措施，為了便于對(duì)各行業(yè)的信息安全工作進(jìn)行管理和指導(dǎo)，針對(duì)網(wǎng)絡(luò)信息安全建設(shè)制定了一系列政策和標(biāo)準(zhǔn)，根據(jù)重要程度將各行業(yè)的信息系統(tǒng)劃分為不同的安全等級(jí)。隨后，我國(guó)結(jié)合自身網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)安全形勢(shì)，在1994年由國(guó)務(wù)院下發(fā)的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》為我國(guó)信息安全保護(hù)工作提供了綱領(lǐng)性指導(dǎo)。之后又經(jīng)過(guò)了十幾年的研究和探索，國(guó)家又相繼出臺(tái)一系列從中央到地方的政策法規(guī)，從計(jì)算機(jī)系統(tǒng)的定級(jí)到網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)，網(wǎng)絡(luò)安全工作正穩(wěn)步向前推進(jìn)。

隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的實(shí)施以及各類網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)的出臺(tái)，全國(guó)各行各業(yè)及監(jiān)管部門迅速響應(yīng)，所屬安全系統(tǒng)按照要求先定級(jí)后測(cè)評(píng)，建立、健全信息安全管理制度，根據(jù)要求積極落實(shí)各項(xiàng)安全保護(hù)技術(shù)措施，努力做好行業(yè)內(nèi)信息系統(tǒng)安全等級(jí)保護(hù)工作。

1.2 等保2.0和1.0的區(qū)別

（1）標(biāo)準(zhǔn)名稱的變化：舊標(biāo)準(zhǔn)名稱為《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，等保2.0改為《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致。

（2）標(biāo)準(zhǔn)內(nèi)容的變化：為適應(yīng)移動(dòng)互聯(lián)、云計(jì)算、物聯(lián)網(wǎng)等新的網(wǎng)絡(luò)環(huán)境中安全保護(hù)工作的開(kāi)展，新標(biāo)準(zhǔn)提出安全通用和安全擴(kuò)展兩類要求。其中，安全通用要求針對(duì)的是共性安全保護(hù)需求，安全擴(kuò)展要求針對(duì)的是云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制等新環(huán)境新領(lǐng)域的安全保護(hù)個(gè)性需求，安全擴(kuò)展要求又分為云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求。

（3）控制措施分類結(jié)構(gòu)的變化：舊標(biāo)準(zhǔn)的控制措施共有10個(gè)分類，等保2.0縮減調(diào)整為8個(gè)，新舊標(biāo)準(zhǔn)變化對(duì)比。

（4）標(biāo)準(zhǔn)控制點(diǎn)和要求項(xiàng)的變化：在控制點(diǎn)要求上等保2.0相對(duì)舊標(biāo)準(zhǔn)并沒(méi)有大的變化，通過(guò)對(duì)舊標(biāo)準(zhǔn)中一些相關(guān)要求整合后在數(shù)量上反而略有減少。

（5）等保2.0技術(shù)部分變化簡(jiǎn)析：與舊標(biāo)準(zhǔn)注重安全防護(hù)不同，新標(biāo)準(zhǔn)更加切合當(dāng)前移動(dòng)互聯(lián)、云計(jì)算、物聯(lián)網(wǎng)等新業(yè)務(wù)、新應(yīng)用的網(wǎng)絡(luò)安全主動(dòng)防御需求，等保2.0標(biāo)準(zhǔn)緊密結(jié)合《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，對(duì)其中關(guān)于持續(xù)監(jiān)測(cè)、威脅情報(bào)、快速響應(yīng)類的要求均給出了指導(dǎo)思路和具體的執(zhí)行措施。對(duì)等保2.0標(biāo)準(zhǔn)的部分技術(shù)措施進(jìn)行了簡(jiǎn)要分析。

綜上所述，相較于舊標(biāo)準(zhǔn)而言，等保2.0在當(dāng)前發(fā)展較為迅猛的一些新的網(wǎng)絡(luò)環(huán)境和應(yīng)用中均提供了較為全面、實(shí)用的網(wǎng)絡(luò)安全建設(shè)標(biāo)準(zhǔn)和指導(dǎo)思路，可以說(shuō)新標(biāo)準(zhǔn)進(jìn)步顯著。積極落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，以網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)為重要建設(shè)依據(jù)和指導(dǎo)思路，在滿足相關(guān)法規(guī)要求的前提下，構(gòu)建一套完備的網(wǎng)絡(luò)安全防御體系，切實(shí)提高信息系統(tǒng)的網(wǎng)絡(luò)安全綜合防御能力。

2 網(wǎng)絡(luò)安全主動(dòng)防御體系建設(shè)

2.1 以傳統(tǒng)安全設(shè)備為基礎(chǔ)

首先，防火墻和網(wǎng)絡(luò)版殺毒軟件必不可少，作為最傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，提供著最基本的網(wǎng)絡(luò)安全防護(hù)。防火墻部署在局域網(wǎng)和廣域網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的邊界上，保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入;網(wǎng)絡(luò)版殺毒軟件用來(lái)保護(hù)計(jì)算機(jī)不受病毒、木馬、蠕蟲(chóng)的侵?jǐn)_，同時(shí)對(duì)網(wǎng)絡(luò)病毒入侵也有一定的防御能力。作為主動(dòng)防御安全體系的基礎(chǔ)存在，傳統(tǒng)安全設(shè)備一定不能舍棄。另外，防毒墻可以掃描通過(guò)網(wǎng)關(guān)的數(shù)據(jù)包，對(duì)病毒進(jìn)行過(guò)濾，阻止網(wǎng)絡(luò)傳輸中的病毒從網(wǎng)關(guān)處侵入內(nèi)部網(wǎng)絡(luò)，因此，防毒墻也是很有必要的。

2.2 主動(dòng)阻斷攻擊

在很多行業(yè)，尤其是很多關(guān)鍵的信息系統(tǒng)不能忍受遭到攻擊損失后再來(lái)事后補(bǔ)救，而是希望在檢測(cè)到攻擊時(shí)就能及時(shí)阻斷以避免造成損失。鑒于此，在網(wǎng)絡(luò)入侵防護(hù)方面，要求在發(fā)現(xiàn)攻擊時(shí)要能夠立即主動(dòng)響應(yīng)并實(shí)時(shí)阻隔入侵。入侵防御系統(tǒng)完全是前瞻性的防御機(jī)制，它可以對(duì)常規(guī)網(wǎng)絡(luò)流量中的惡意數(shù)據(jù)包進(jìn)行檢測(cè)、阻止入侵活動(dòng)、預(yù)先對(duì)攻擊性的流量進(jìn)行主動(dòng)攔截，而不是在傳送惡意流量的同時(shí)或之后，簡(jiǎn)單發(fā)出報(bào)警。在等保標(biāo)準(zhǔn)2.0的背景下，入侵防御適時(shí)順應(yīng)了網(wǎng)絡(luò)安全保障體系中安全功能融合的主流趨勢(shì)，入侵防御系統(tǒng)作為主動(dòng)防御的關(guān)鍵技術(shù)，是主動(dòng)防御安全體系的重要組成部分。但入侵防御系統(tǒng)目前仍有一些不足，其中誤報(bào)率高會(huì)對(duì)正常業(yè)務(wù)造成影響，大量的誤報(bào)會(huì)對(duì)后續(xù)的數(shù)據(jù)包造成阻隔，無(wú)論數(shù)據(jù)量正常與否，都會(huì)拒絕服務(wù)。這就要求安全廠家要結(jié)合用戶自身的業(yè)務(wù)網(wǎng)絡(luò)實(shí)際情況合理地配置、優(yōu)化防護(hù)策略，盡量降低IPS誤報(bào)率。

2.3 明確接入系統(tǒng)的人員身份

在等保2.0時(shí)代，網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)也尤其重要，必須以此來(lái)加強(qiáng)明確接入系統(tǒng)的人員身份，防止內(nèi)網(wǎng)有違規(guī)外聯(lián)的事件發(fā)生，只有這樣才能保證后續(xù)的安全措施及安全運(yùn)維能夠有效地進(jìn)行。在實(shí)際建設(shè)工作中，可以通過(guò)部署堡壘機(jī)及雙因素認(rèn)證等安全設(shè)備，以高安全性和高可靠性的認(rèn)證模式對(duì)用戶進(jìn)行認(rèn)證，確保接入網(wǎng)絡(luò)的人員身份是可靠的，并且網(wǎng)絡(luò)出口是唯一的，嚴(yán)防非法、越權(quán)訪問(wèn)事件的發(fā)生。

2.4 及時(shí)發(fā)現(xiàn)并修補(bǔ)漏洞

網(wǎng)絡(luò)之所以遭到攻擊，是因?yàn)槲覀兊南到y(tǒng)本身存在漏洞，有缺陷可以被利用，而且絕大多數(shù)的漏洞和缺陷都是事先已知的。鑒于此，我們需要提前主動(dòng)采取防御措施，通過(guò)漏洞掃描器定期掃描網(wǎng)絡(luò)及網(wǎng)絡(luò)中的終端和網(wǎng)絡(luò)設(shè)備，并及時(shí)更新漏洞庫(kù)，確保能夠識(shí)別最新的漏洞并及時(shí)修復(fù)。

2.5 數(shù)據(jù)庫(kù)主動(dòng)防護(hù)

最后一個(gè)推薦的主動(dòng)防御的基礎(chǔ)設(shè)施是數(shù)據(jù)庫(kù)防火墻，作為高效而直接的數(shù)據(jù)庫(kù)防御工事，數(shù)據(jù)庫(kù)防火墻已被越來(lái)越多的用戶所關(guān)注。以前的方案是配備數(shù)據(jù)庫(kù)審計(jì)、日志審計(jì)類設(shè)備，這些是操作審計(jì)、被動(dòng)類型的設(shè)備，在等保2.0時(shí)代，顯然已經(jīng)不符合主動(dòng)防御的要求。數(shù)據(jù)庫(kù)防火墻部署在數(shù)據(jù)庫(kù)服務(wù)器前，采用主動(dòng)防御機(jī)制，基于數(shù)據(jù)庫(kù)協(xié)議分析與控制技術(shù)，可以通過(guò)中斷會(huì)話和語(yǔ)句攔截兩種方式實(shí)現(xiàn)威脅防御。

2.6 定期的安全服務(wù)

主動(dòng)防御體系的建設(shè)除了部署主動(dòng)防御的安全設(shè)備外，一些定期的安全服務(wù)也必不可少，主要是以下三項(xiàng)：（1）滲透測(cè)試服務(wù)。由安全從業(yè)人員完全模擬黑客，利用黑客攻擊網(wǎng)絡(luò)可能使用到的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，深入探測(cè)目標(biāo)系統(tǒng)各方面的安全防護(hù)能力，以便找出目標(biāo)系統(tǒng)防護(hù)最為脆弱的環(huán)節(jié)，發(fā)現(xiàn)網(wǎng)絡(luò)安全防御體系中存在的漏洞;（2）安全測(cè)試服務(wù)。對(duì)新的信息系統(tǒng)進(jìn)行多角度全方位深層次的安全測(cè)試能夠在系統(tǒng)正式開(kāi)展業(yè)務(wù)前及時(shí)發(fā)現(xiàn)系統(tǒng)開(kāi)發(fā)和程序設(shè)計(jì)中沒(méi)有考慮到的安全隱患和問(wèn)題，有效降低系統(tǒng)帶病上線帶來(lái)的安全風(fēng)險(xiǎn);（3）安全運(yùn)維服務(wù)。信息系統(tǒng)在運(yùn)行的過(guò)程中會(huì)不斷碰到新的安全威脅，自身的脆弱性也隨著系統(tǒng)運(yùn)行不斷發(fā)生改變。在系統(tǒng)運(yùn)行期間，安全運(yùn)維服務(wù)通過(guò)對(duì)目標(biāo)網(wǎng)絡(luò)及信息系統(tǒng)定期進(jìn)行漏洞掃描、脆弱性檢查、代碼安全審計(jì)、策略檢查、安全巡檢、安全加固等巡檢措施，查缺補(bǔ)漏，及時(shí)找出潛在的安全隱患并采取相應(yīng)的技術(shù)防護(hù)措施，不斷優(yōu)化安全策略，切實(shí)提高信息系統(tǒng)安全防御能力，建立一套由防護(hù)、檢測(cè)和恢復(fù)三部分組合而成的良性閉環(huán)安全防護(hù)機(jī)制，為信息系統(tǒng)的網(wǎng)絡(luò)、數(shù)據(jù)和業(yè)務(wù)持續(xù)提供安全保障。

此外，在系統(tǒng)管理方面，建議采用三權(quán)分立等較為安全穩(wěn)妥的管理策略，避免設(shè)立超級(jí)管理員，對(duì)重要的操作一定要事先進(jìn)行不同用戶的多重授權(quán)。

2.7 部署SOC平臺(tái)、安全態(tài)勢(shì)感知平臺(tái)

除了以上七個(gè)方面外，為了使網(wǎng)絡(luò)主動(dòng)防御體系具備安全風(fēng)險(xiǎn)預(yù)測(cè)能力，防患于未然，可以部署SOC平臺(tái)、安全態(tài)勢(shì)感知平臺(tái)，通過(guò)態(tài)勢(shì)要素獲取，獲得必要的數(shù)據(jù)，然后通過(guò)態(tài)勢(shì)分析進(jìn)行態(tài)勢(shì)理解，從而進(jìn)一步實(shí)現(xiàn)態(tài)勢(shì)預(yù)測(cè)分析發(fā)現(xiàn)全局性角度的網(wǎng)絡(luò)安全趨勢(shì)及未來(lái)短期內(nèi)可能出現(xiàn)安全問(wèn)題的環(huán)節(jié)，是一個(gè)動(dòng)態(tài)的準(zhǔn)實(shí)時(shí)系統(tǒng)。

經(jīng)過(guò)以上幾方面的安全防御體系的建設(shè)，一個(gè)較為完善的主動(dòng)防御安全體系已經(jīng)建成，基本能夠達(dá)到主動(dòng)發(fā)現(xiàn)安全風(fēng)險(xiǎn)、主動(dòng)減少自身漏洞、主動(dòng)及時(shí)阻斷攻擊的防御效果。

3 結(jié)語(yǔ)

網(wǎng)絡(luò)安全等級(jí)保護(hù)制度經(jīng)過(guò)千錘百煉，已被打造為等保2.0時(shí)代國(guó)家網(wǎng)絡(luò)安全的基本國(guó)策和基本制度，我們的任務(wù)就是要深入學(xué)習(xí)貫徹網(wǎng)絡(luò)安全法的要求和相關(guān)國(guó)家標(biāo)準(zhǔn)，再結(jié)合自身業(yè)務(wù)和實(shí)際情況去做好各項(xiàng)網(wǎng)絡(luò)安全防御工作。通過(guò)建設(shè)這樣一套網(wǎng)絡(luò)安全主動(dòng)防御體系，最終實(shí)現(xiàn)良好的防御效果，努力做到整體防御、分區(qū)隔離;積極防護(hù)、內(nèi)外兼防;自身防御、主動(dòng)免疫;縱深防御、技管并重。

參考文獻(xiàn)

[1] 田繼紅，蔣岱.淺談信息安全等級(jí)保護(hù)的發(fā)展歷程及現(xiàn)狀[J].中國(guó)管理信息化，2017，20（02）：186-187.