司馬超群 迪普科技安全產(chǎn)品事業(yè)部副部長

1. 引言

近幾年，世界各地網(wǎng)絡信息安全事件頻發(fā)，舉幾個經(jīng)典的案例。第一個案例關系到美國的政治穩(wěn)定，是2016年美國總統(tǒng)大選中的希拉里和特朗普大戰(zhàn)。2016年，美國總統(tǒng)大選中，支持率遙遙領先的希拉里，因為機密郵件泄露，導致特朗普逆襲。據(jù)美國國家安全局公布，有證據(jù)表明，此次郵件泄露和俄羅斯黑客有關。第二個案例是賬號繞過漏洞，事關經(jīng)濟命脈，在移動支付逐漸成為主角的時候，移動支付的巨頭“支付寶”被披露存在無需密碼可任意登錄支付寶修改密碼，此事件被支付寶的母公司阿里集團確認，并對客戶端進行了緊急升級。第三個案例事關基礎建設，2015年12月23日下午，也就是圣誕節(jié)的前兩天，烏克蘭首都基輔部分地區(qū)和烏克蘭西部的140萬名居民突然發(fā)現(xiàn)家中停電。這次停電不是因為電力短缺，而是遭到了黑客攻擊。第四個案例是山東徐玉玉案，事關社會穩(wěn)定，2016年8月21日，山東徐玉玉因被詐騙電話騙走上大學的費用9900元，傷心欲絕，郁結(jié)于心，最終導致心臟驟停，雖經(jīng)醫(yī)院全力搶救，但仍不幸離世。

2017年，WannaCry勒索病毒全球大爆發(fā)，至少150個國家、30萬名用戶中招，造成損失達80億美元，已經(jīng)影響到金融、能源、醫(yī)療等眾多行業(yè)，造成嚴重的危機管理問題。中國部分Windows操作系統(tǒng)用戶遭受感染，校園網(wǎng)用戶首當其沖，受害嚴重，大量實驗室數(shù)據(jù)和畢業(yè)設計被鎖定加密。部分大型企業(yè)的應用系統(tǒng)和數(shù)據(jù)庫文件被加密后，無法正常工作，影響巨大。

國家層面，近幾年對網(wǎng)絡安全越來越重視，相繼出臺了網(wǎng)絡安全政策及法律法規(guī)。

2014年2月27日，中央網(wǎng)絡安全和信息化領導小組成立并召開第一次會議，強調(diào)努力把我國建設成為網(wǎng)絡強國；2014年11月，舉辦首屆國家網(wǎng)絡安全宣傳周。

2015年，四部委聯(lián)合發(fā)文，印發(fā)《黨政機關、事業(yè)單位和國有企業(yè)互聯(lián)網(wǎng)網(wǎng)站安全專項整治行動方案》的通知(公信安〔2015〕2562號)；2015年6月，舉辦第二屆國家網(wǎng)絡安全宣傳周；2015年6月 ，第十二屆全國人大常委會初次審議了《網(wǎng)絡安全法(草案)》。

2016年，發(fā)布網(wǎng)絡安全法。2016年4月，習近平總書記在網(wǎng)絡安全和信息化工作座談會上，深刻闡明網(wǎng)絡生態(tài)事關人民利益；2016年9月，舉辦第三屆國家網(wǎng)絡安全宣傳周；2016.11.7，發(fā)布《網(wǎng)絡安全法》，并確定于2017年6月1日開始實施。

2. 關鍵信息基礎設施

《網(wǎng)絡安全法》頒布實施之后，其中出現(xiàn)了一個大家很關注的新詞：關鍵信息基礎設施?！毒W(wǎng)絡安全法》規(guī)定，重點行業(yè)在實施等級保護的基礎上，要實施關鍵信息基礎設施的安全防護，國家在這里面總共定義了12個關鍵行業(yè)，這些關鍵行業(yè)要在等保的基礎上實施關鍵信息基礎設施的安全防護。關鍵信息基礎設施行業(yè)基線參照表見表1，廣播電視也被列入關鍵信息基礎設施行業(yè)，涉及的業(yè)務系統(tǒng)包括制播系統(tǒng)、傳輸系統(tǒng)、播出管控系統(tǒng)。這幾個系統(tǒng)被定義為關鍵信息基礎設施，不僅要做等級保護，并且在等級保護的基礎之上，還要進行關鍵信息基礎設施的安全防護。

3. 網(wǎng)絡安全法-關鍵信息基礎設施：運營者關鍵性要求

關鍵信息基礎設施的安全防護分幾個方面，第一個方面就是對網(wǎng)絡運營者的要求。作為廣電行業(yè)的從業(yè)者，每個人都是屬于或者說有某部分的職能屬于網(wǎng)絡的運營者，因為廣電也提供網(wǎng)絡的服務。對于網(wǎng)絡的運營者來說，要防病毒和網(wǎng)絡入侵，要制定好網(wǎng)絡事件的應急預案，還要對服務提供實名制的服務。網(wǎng)絡監(jiān)測日志方面，要提供數(shù)據(jù)分類備份，加密網(wǎng)絡設備與產(chǎn)品，產(chǎn)品和服務需要符合相關的標準。

作為關鍵信息基礎設施的運營者，要在原有的網(wǎng)絡安全防護基礎之上，有專門的機構和專崗，有應急的預案，并且做定期的演練，對重要數(shù)據(jù)和個人信息要求境內(nèi)存儲，有定期的培訓考核，保證人員有較高的網(wǎng)絡安全素養(yǎng)，采購產(chǎn)品與服務的安全審查系統(tǒng)與數(shù)據(jù)的容災備份要保密，至少每年做一次安全評估，這些都是我們要做的。

表1 關鍵信息基礎設施行業(yè)基線參照表

4. 關鍵信息基礎設施的防護

對關鍵信息基礎設施的防護，迪普科技認為主要分為兩個方面。一個方面是我們要應對的一些檢查，這個是我們工作中比較重要的一個部分，我們都受到上級部門的監(jiān)管，關鍵信息基礎設施要做現(xiàn)場的迎檢。在做現(xiàn)場的迎檢之外，日常主要要做好安全建設的工作，這些是幫助我們做到法律法規(guī)要求的方面，同時也是自身安全建設中需要做到的部分。關鍵信息基礎設施防護工作的主要內(nèi)容見圖2。

5. 網(wǎng)絡安全法執(zhí)法案例

結(jié)合《網(wǎng)絡安全法》實施以來，我們來分析一下已經(jīng)遭到法律處罰的企業(yè)的實際案例，這些企業(yè)究竟出現(xiàn)了哪些問題。概括起來，就是“六大不應該”。

（1）該管的不管

圖1 關鍵信息基礎設施對運營者的關鍵性要求

圖2 關鍵信息基礎設施防護工作的主要內(nèi)容

處罰實例：2017年8月，騰訊微信、新浪微博、百度貼吧被立案調(diào)查，初查認為其未加強對用戶發(fā)布的信息的管理，網(wǎng)站中存在法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔ⅲ▊鞑ケ┝植?、虛假謠言、淫穢色情），涉嫌違反《網(wǎng)絡安全法》等法律法規(guī)。處罰實例：2017年8月，同花順金融網(wǎng)、配音秀網(wǎng)被認定存在導向不正、低俗惡搞等有害信息，違反《網(wǎng)絡安全法》第47條、第68條，被暫停有關系統(tǒng)運行，有關人員面臨嚴肅追責。

（2）該干的不干

處罰實例：2017年7月，汕頭某公司被認定未按規(guī)定履行網(wǎng)絡安全等級測評義務，未及時履行網(wǎng)絡安全義務，違反《信息安全等級保護管理辦法》第14條第1款和《網(wǎng)絡安全法》第21條第5項，被警告處罰并責令改正。

處罰實例：2017年7月，四川一網(wǎng)站被認定未進行網(wǎng)絡安全等級保護的定級備案、等級測評等工作，未落實網(wǎng)絡安全等級保護制度，未履行網(wǎng)絡安全保護義務，違反《網(wǎng)絡安全法》第21條、第59條，直接負責的主管人員被罰款5000元，機構被罰款1萬元。

（3）該留的不留

處罰實例：2017年7月，重慶某公司被認定在提供互聯(lián)網(wǎng)數(shù)據(jù)中心服務時，未依法留存用戶登錄相關網(wǎng)絡日志，違反《網(wǎng)絡安全法》第21條、第59條，被警告處罰并責令限期整改。

（4）該禁的不禁

處罰實例：2017年8月，宿遷市某公司提供互聯(lián)網(wǎng)接入服務的服務器被認定存在涉及法律、行政法規(guī)禁止傳輸?shù)男畔ⅲǚ磩有畔ⅲ?，違反《網(wǎng)絡安全法》第47條、第68條，被給予警告處罰并被要求立即整改。

處罰實例：2017年8月，淘寶網(wǎng)部分店鋪被認定存在售賣破壞計算機信息系統(tǒng)工具、售賣違禁管制物品、販賣非法VPN工具、販賣網(wǎng)絡賬號等突出問題，違反《網(wǎng)絡安全法》第47條、第68條，被給予警告并責令改正。下架違法違規(guī)商品，對違法違規(guī)店鋪進行嚴肅處理。

（5）該改的不改

處罰實例：2017年7月，山西忻州市某省直事業(yè)單位網(wǎng)站被認定在2017年6月至7月間存在SQL注入漏洞，嚴重威脅網(wǎng)站信息安全，連續(xù)被國家網(wǎng)絡與信息安全信息通報中心通報，違反《網(wǎng)絡安全法》第21條、第59條，被警告處罰并責令改正。

（6）該審的不審

處罰實例：2017年8月，BOSS直聘被認定在用戶提供信息發(fā)布服務過程中，為未提供真實身份信息的用戶提供信息發(fā)布服務，未采取有效措施對用戶發(fā)布傳輸?shù)男畔⑦M行嚴格管理，導致違法違規(guī)信息擴散，違反《網(wǎng)絡安全法》第24條、61條、47條、68條，約談法人代表，被責令整改。

處罰實例：2017年8月，蘑菇街互動網(wǎng)、蝦米音樂網(wǎng)被認定存在違法違規(guī)賬號注冊等問題，違反《互聯(lián)網(wǎng)用戶賬號名稱管理規(guī)定》第4條至第8條和《網(wǎng)絡安全法》第24條、第61條，被責令暫停新用戶注冊7天。

從以上案例可以看到，《網(wǎng)絡安全法》現(xiàn)在已納入到法律的范圍之內(nèi)，對于網(wǎng)絡安全的處罰已經(jīng)開始，并且以后只會更加嚴格。我們要做的就是按照這個標準去做，而不是去違反它。

6.《網(wǎng)絡安全法》與網(wǎng)絡安全等級保護制度

以上已提及《網(wǎng)絡安全法》與網(wǎng)絡等級保護制度，網(wǎng)絡安全等級現(xiàn)在是等保1.0到2.0的過渡，1.0到2.0還是有很多的不同，《網(wǎng)絡安全法》開始頒布和實施時，對關鍵信息基礎設施防護方面，到底什么是關鍵信息，關鍵信息基礎設施怎么去做防護，最開始是沒有規(guī)定的。從表1關鍵信息基礎設施行業(yè)基線參照表可以看到，現(xiàn)在已經(jīng)明確到關鍵信息基礎設施的行業(yè)、行業(yè)子類、關鍵設施類別、關鍵業(yè)務清單和關鍵設施（關鍵系統(tǒng)）。關鍵信息基礎設施在網(wǎng)絡安全等級保護制度的基礎上，要實施重點防護，要落實等級保護，原則上是不低于第三級，就是最低要過三級等保，否則安全防護是不合理的。等保2.0跟等保1.0最主要的差別，是在云計算、移動互聯(lián)、物聯(lián)網(wǎng)的擴展要求和工業(yè)方面的公共的擴展要求，從定義方面更加擴大了《網(wǎng)絡安全法》的范疇。

等保的合規(guī)要求是：二級等保通過總分要求≥60分，無高危安全漏洞；三級等保通過總分要求≥75分，無高危安全漏洞。

7. 迪普科技慧眼安全檢測平臺

慧眼安全檢測平臺整體架構見圖4。

首先是資產(chǎn)盤點，能做到在網(wǎng)設備的精準識別，例如路由器、交換機、防火墻、業(yè)務系統(tǒng)的服務器，以及PC等等。對于迪普科技來說，我們還能識別物聯(lián)感知的設備。我們做的一個比較突出的方面，是在視頻監(jiān)控這方面能識別出攝像頭，包括攝像頭關聯(lián)的廠家、型號、軟件版本、鏈路延時等。

圖3 網(wǎng)絡安全等級保護制度

圖4 慧眼安全檢測平臺整體架構

第二個是安全檢測，做到檢測模塊協(xié)同作戰(zhàn)。

第三個是漏洞檢測，做到人工經(jīng)驗綜合驗證，除通用漏洞掃描設備都有的系統(tǒng)安全檢測模塊和弱口令檢測模塊外，我們還具有基于迪普科技在安全服務方面經(jīng)驗和手段的高危漏洞檢測模塊和行業(yè)專項檢測模塊。漏洞檢測其實是屬于綁定在一起的一個功能，我們在系統(tǒng)安全和外部安全檢測之后，會檢測出很多漏洞，迪普科技可提供很完善的漏洞庫規(guī)則，例如系統(tǒng)安全檢測有38000多條特征庫，有60多類外部安全檢測模塊，檢測出漏洞之后，送漏洞驗證模塊，并給出解決方案。例如一個微軟的漏洞，我們會給出微軟的官方解決方案，下面還有一個迪普科技的解決方案，因為微軟給出的打補丁解決方案，可能很多人說，我業(yè)務系統(tǒng)打不了補丁，一打這個補丁業(yè)務就要掛。迪普科技可以從廠商的層面推薦用什么樣的設備，添加什么樣的策略能阻止漏洞。

最后一個是專家服務，可以提供定制化的安全體驗。圖5是慧眼安全檢測平臺檢測流程。首先是資產(chǎn)盤點，因為做安全更關注的是我的資產(chǎn)，比如說服務器里面某幾臺服務器是我的關鍵業(yè)務，或者是生產(chǎn)網(wǎng)里面非常重要的業(yè)務，這些業(yè)務是我的資產(chǎn)，這些資產(chǎn)的安全我很重視。然后進行安全檢測，安全檢測后再做漏洞的驗證和漏洞的校驗，發(fā)現(xiàn)潛在的威脅。最后是輸出結(jié)果報表。例如做合規(guī)的自查，除檢測產(chǎn)品之外，我們更關心的是如何過等保。等保要求很多很雜，跟很多產(chǎn)品有一個映射的關系。例如，某一些要求，用防火墻這個產(chǎn)品就可以滿足，你部署防火墻，開啟功能之后，等保測評會認為，你有這個功能的防范手段，分就拿到了。

圖6是等保二級合規(guī)設計與對應產(chǎn)品舉例，等保二級合規(guī)下產(chǎn)品的映射關系包括：下一代防火墻，入侵檢測和防御系統(tǒng)，上網(wǎng)行為管理系統(tǒng)和主機防病毒。

圖7是等保二級合規(guī)下迪普科技產(chǎn)品解決方案。

由圖7可見，等保二級合規(guī)下，技術設備方面，迪普科技FW下一代防火墻，最高能得到20.05；迪普科技IPS入侵檢測與防御系統(tǒng)最高能得14.46分；安全管理方面，迪普科技一站等保建設咨詢服務（含高危安全漏洞檢測）可以得到57.87分。

7. 傳統(tǒng)設備部署方式的局限性

傳統(tǒng)設備部署方式的局限性表現(xiàn)為：

（1）運維復雜，用戶工作量大；

（2）問題故障難定位；

（3）網(wǎng)絡節(jié)點多，可靠性差；

（4）性能瓶頸，可擴展性差；

（5）主備部署，資源浪費。

典型的簡單互聯(lián)網(wǎng)出口拓撲，包括與互聯(lián)網(wǎng)連接的路由器，負載均衡設備，防火墻設備，入侵防御設備及核心交換機，還有公安部82號令要求的上網(wǎng)行為管理設備，運維復雜，用戶工作量大，故障難定位。

針對傳統(tǒng)設備部署方式的局限性，迪普科技的解決方案是采用一臺DXP系列融合安全網(wǎng)關設備，融合安全網(wǎng)關設備中集成了應用交付業(yè)務模塊、防火墻業(yè)務模塊、入侵防御業(yè)務模塊、行為管理及流控業(yè)務模塊，其優(yōu)點是整機對外是一個IP、一個界面管理；多種檢測工具+專業(yè)服務；一個節(jié)點，核心部件冗余設計；功能、性能靈活擴展；雙活部署。

8. 結(jié)束語

圖5 慧眼安全檢測平臺檢測流程

迪普科技的愿景是讓網(wǎng)絡變得更加簡單、智能、安全。迪普科技專注網(wǎng)絡、安全及應用交付領域，持續(xù)創(chuàng)新，為客戶提供領先的產(chǎn)品與解決方案，創(chuàng)造更大的價值。迪普科技已經(jīng)得到了大批用戶的認可，例如迪普科技在三大電信運營商，聯(lián)通、移動、電信中都有很多設備部署。

（本文根據(jù)作者在第七屆廣播電視傳媒產(chǎn)業(yè)論壇暨第五屆中國廣播電視紫金論壇上的發(fā)言整理。）

圖6 等保二級合規(guī)設計與對應產(chǎn)品舉例

圖7 等保二級合規(guī)下迪普產(chǎn)品解決方案