等保2.0-新形势下如何建设等级保护

近年来，伴随着信息革命的飞速发展，网络空间正逐步成为信息传播的新渠道、生产生活的新空间、经济发展的新引擎、社会治理的新平台。《信息安全等级保护管理办法》作为我国网络安全建设的重要指导依据，从首次被提出至今，逐步筑起了国家网络和信息安全的重要防线。然而随着云计算、物联网、移动互联、工业控制、大数据等领域的发展，原有的标准已不能满足等级保护的工作需要。

从2014年3月开始，由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作。并从2015年开始陆续对外发布草稿、征集意见稿，之后网络上开始有了“等保2.0”的叫法，“等保2.0的主要区别是新技术要求”，这种理解借助互联网在网络迅速蔓延，一夜之间成为当前社会主流认知。

从这两个对比图中可以看出，等保1.0的保护重点更多的关注系统、人员、物理环境的安全，而等保2.0的保护重点已经变更为围绕数据、网络、系统、人员的网络空间体系的安全。对应到安全滑动标尺的模型上，等保1.0更多的关注在架构安全和部分被动防御能力的建设，等保2.0的建设重点已经向主动防御能力和部分威胁情报能力进行了推进。

在保护思路方面，等保2.0有三个重点变化：

1、在等保2.0的要求中，已经没有明文的”技术要求”、”管理要求”的提法，可以预见，在未来的网络安全建设中技术、管理将深度融合，也越来越难以区分；

2、等保1.0站在安全控制项的角度进行安全要求，等保2.0站在安全能力的维度进行安全要求。从测评维度来说，等保1.0的测评更注重关键要素的满足，等保2.0的测评则从评测流程和评测标准上做了规范性说明。这意味着以等保2.0为基础的安全建设会更加关注实际的安全效果，而非老标准下产品的简单堆叠；

即，在等保1.0的安全体系基础之上，如果想要做好等保2.0的安全防护，更需关注三方面的内容的填平补齐：

1、安全管理中心建设；

2、计算环境、通信网络、接入边界的“可信”特性建设；

3、安全运维体系的建设。

接下来我们将简单探讨一下这三个方面的建设思路。

综合上文所说，等保2.0时代的安全建设应在传统的安全防御体系之上，着重从安全体系的角度合理规划、合理建设、甚至适度精简，将资源和建设能力投放在如何抵御新时代的网络安全风险上。安全专家建议在信息化建设的同时统筹考虑网络安全的建设，做到同步规划、同步建设、同步运行，做到全生命周期网络安全，而在上述三个需要特别关注的方面，更应该以新理念、新思路、新技术统筹考虑。

对比等保1.0，等保2.0更为强调了安全运维的概念：在传统的资产管理、设备运维的基础上，将安全运维的范畴扩充到了安全事件的响应和高级安全威胁的发现，如果考虑到定期的审计和有效性验证，安全运维的范畴将进一步扩充。所以我们可以看到，等保2.0中所提到的安全运维的概念正在逐步向安全运营的概念转变。而不管是设备的维护还是威胁的分析处理，一定是人借助工具和数据完成安全流程的要求，所以到最后拼的还是人的能力。按照能力级别的划分，可以将安全运维进行高、中、低三位能力的解构，建立分层级的安全运维体系，如下图所示：

基础运维人员：基础运维人员是分层级的安全运维体系的第一层，主要负责日常设备的维护、安全策略优化等工作，相当于“随身保健医生”。定期对客户的健康状况进行检查，如果发生保健医生处理不了的状况则及时联系主治医生进行处理和诊断。

安全分析人员：安全分析人员是分层级的安全运维体系的第二层，主要负责深度威胁分析、失陷检测等工作，相当于“主治医生”。当客户发生比较危急的安全状况时，先通过专业的手段缓解病痛，再寻找病因进行根治。

安全研究人员：安全研究人员是分层级的安全运维体系的第三层，主要由各领域的安全专家组成，相当于“主任医生”。当主治医生遇到不能处理的健康状况时，需要通过主任医生协同会诊寻找病根和治疗手段。同时，主任医生还需负责向主治医生和保健医生进行能力输出，构建起长效的造血机制。

通过三种能力层级的人员配合，构建起安全运维体系的安全尺度。但是若要提高安全人员的工作效率，还需要有数据和工具进行有效支撑，这就涉及到了安全管理中心的概念。

按照等保2.0中对安全管理中心的定义，安全管理中心作为对网络安全等级保护对象的安全策略及安全计算环境、安全区域边界和安全通信网络的安全机制实施统一管理的系统平台，应实现统一管理、统一监控、统一审计、综合分析和协同防护的安全能力。按照这种定义进行安全能力的解构，如下图所示：

如上文所说，安全管理中心将成为等保2.0安全体系运维工作的平台和有效抓手，其建设成效将直接影响安全保障和安全运维工作是否可以有效开展。而要想使安全管理中心能用、好用，就必须强调数据驱动安全的思路，其核心有三个关键点：

数据收集的广度：衡量安全管理中心建设成效的第一个维度是数据汇集的全不全，这些数据不仅包含网络流量、设备日志、终端日志、中间件日志、还原的文件等客户网络中产生的数据，还应包含互联网中产生的威胁情报信息。当然，每种维度的数据在收集时都会涉及到收集的字段、收集的频率、收集的方式，此时就需要综合业务环境的承载能力进行平衡。通过这种内外部数据的汇聚，为数据分析构建基础。

数据利用的深度：衡量安全管理中心建设成效的第二个维度是数据利用的深不深，如果收集了大量的数据和字段，却仅仅通过简单的规则产生告警，就会大大浪费这些数据的价值。因此，安全管理中心首先要对原始数据进行预处理，做到不同维度日志的关联分析，构建起不同维度数据之间的联系。其次从收集数据的维度上可以想象到这些数据一定是海量的，通过人工的方式进行威胁的分析会变得非常困难，这就要求安全管理中心必须要通过威胁建模、机器学习等方式进行自动化分析。必须要额外说明的一点是，威胁建模和机器学习等自动化模型有一部分是可以通用的，但是大部分模型与业务有着非常强的相关性，需要紧贴业务进行模型的设计和优化，如果希望通过通用的模型满足个性化的威胁场景分析，其道路将会十分坎坷。

数据展现的能见度：衡量安全管理中心建设成效的第三个维度是数据展现的透不透，有了数据量、数据分析能力，还需要让数据变得可见。这是一种数据展现能力，展示效果不仅要直观、美观，也要实时。通过可视化技术的利用，将原本碎片化的威胁告警、异常行为告警等数据结构化，形成从宏观的威胁态势到微观的攻击详情的高维度可视化方案，为威胁分析和处理提供支撑。

有了安全运维的保障和安全管理中心的支撑，在等保2.0的技术体系中还强调了新的安全特性要求：“可信”，涉及到了可信计算环境、可信通信和可信边界三个概念。

等保2.0在传统的安全防护体系的基础上，对计算环境、通信网络、区域边界作了“可信”特性的要求，那么什么是“可信”呢？通过对“可信”特性的总结，首先要做到基于可信根的验证，其次要做到“可控”，即对于主客体之间访问的每一个步骤，都要有控制的能力。因此可以将“可信”特性分解为设备可信验证、持续验证、动态授权、统一审计等安全能力，如下图所示：

可信验证：可信验证包含了两个方面：可信身份验证和可信环境验证。可信身份验证需要结合人员身份、设备身份、系统程序等多个方面的信息进行身份的画像；可信环境验证则需要感知人员所属环境、程序运行环境是否有不安全的因素（如感染了病毒木马）。结合这两个方面的数据，按照统一的策略进行可信验证。

持续验证：持续验证要求在设备入网、访问设备、访问应用、访问接口等关键环节进行持续的可信验证，并基于风险建模和关联分析，度量潜在的安全风险。避免一次认证通过后环境变化引入的风险。

动态授权：在每一个关键环节进行可信验证后，将验证的信息发送到授权策略管理平台，授权策略管理平台返回应该赋予访问者的权限结果。这个权限的计算充分考虑多维因素，包括组织级安全策略和规则、访问者的多维属性、访问目标的多维属性、环境属性，包括：终端安全属性、地址位置、历史行为、多因子认证器安全属性、行为异常性评估等。

统一审计：将每一个关键环节的判断依据和判断结果形成审计记录进行统一审计。可以预见的是，随着技术的快速发展，未来将会通过数据的审计，以更智能和自动化的方式对动态授权策略进行优化和调整。