網(wǎng)絡空間新形式

　　近年來，伴隨著信息革命的飛速發(fā)展，網(wǎng)絡空間正逐步成為信息傳播的新渠道、生產(chǎn)生活的新空間、經(jīng)濟發(fā)展的新引擎、社會治理的新平臺?！缎畔踩燃壉Ｗo管理辦法》作為我國網(wǎng)絡安全建設的重要指導依據(jù)，從首次被提出至今，逐步筑起了國家網(wǎng)絡和信息安全的重要防線。然而隨著云計算、物聯(lián)網(wǎng)、移動互聯(lián)、工業(yè)控制、大數(shù)據(jù)等領域的發(fā)展，原有的標準已不能滿足等級保護的工作需要。

　　從2014年3月開始，由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作。并從2015年開始陸續(xù)對外發(fā)布草稿、征集意見稿，之后網(wǎng)絡上開始有了“等保2.0”的叫法，“等保2.0的主要區(qū)別是新技術要求”，這種理解借助互聯(lián)網(wǎng)在網(wǎng)絡迅速蔓延，一夜之間成為當前社會主流認知。

　　必須要說明的是，僅僅基于新技術變化，尤其是標準版本變化來進行等保1.0和2.0的區(qū)分，是不太合理的，會忽略等保2.0的核心提升，接下來我們依照最新的要求來分析下等保2.0的本質(zhì)變化。

壹 等保的本質(zhì)變化

　　關于等保2.0和等保1.0在安全控制點和安全要求項方面的比對，已經(jīng)有很多資料，這里不再詳細闡述，接下來會圍繞等保2.0的保護范圍、法律效力、參考標準、定級流程、備案流程、保護重點、保護思路等多個方面的變化展開分析：

　　而保護重點和保護思路的變化將直接影響等保2.0的安全設計和建設，或許我們可以通過接下來的分析梳理清一些重點。

　　重點保護的變化

　　用詞頻統(tǒng)計的方法可以很容易看出等保2.0與1.0之間的差別。如下圖所示(左邊為等保1.0的詞頻統(tǒng)計，右邊為等保2.0的詞頻統(tǒng)計)：

　　從這兩個對比圖中可以看出，等保1.0的保護重點更多的關注系統(tǒng)、人員、物理環(huán)境的安全，而等保2.0的保護重點已經(jīng)變更為圍繞數(shù)據(jù)、網(wǎng)絡、系統(tǒng)、人員的網(wǎng)絡空間體系的安全。對應到安全滑動標尺的模型上，等保1.0更多的關注在架構安全和部分被動防御能力的建設，等保2.0的建設重點已經(jīng)向主動防御能力和部分威脅情報能力進行了推進。

　　思路的變化

　　在保護思路方面，等保2.0有三個重點變化：

　　1、在等保2.0的要求中，已經(jīng)沒有明文的”技術要求”、”管理要求”的提法，可以預見，在未來的網(wǎng)絡安全建設中技術、管理將深度融合，也越來越難以區(qū)分；

　　2、等保1.0站在安全控制項的角度進行安全要求，等保2.0站在安全能力的維度進行安全要求。從測評維度來說，等保1.0的測評更注重關鍵要素的滿足，等保2.0的測評則從評測流程和評測標準上做了規(guī)范性說明。這意味著以等保2.0為基礎的安全建設會更加關注實際的安全效果，而非老標準下產(chǎn)品的簡單堆疊；

　　3、在等保2.0的最新文件中，引入了“可信”、“安全運維”和“安全管理中心”三個新概念，其中“可信”出現(xiàn)約74次，“安全運維”出現(xiàn)約34次，“安全管理中心”出現(xiàn)約25次。綜合等保2.0的要求來看，這意味著等保2.0的推薦規(guī)劃方式變更為“自頂向下、自面而點”的體系規(guī)劃，保護思路變更為“以安全管理中心為支撐、安全運維為保障的可信計算環(huán)境、可信邊界、可信通信三重安全防護架構”，從等保2.0給出的安全框架圖和安全技術設計框架圖中也可以看出這一點：

網(wǎng)絡安全等級保護安全技術設計框架

　　我們可以將等保2.0的新思路抽象為下圖：

即，在等保1.0的安全體系基礎之上，如果想要做好等保2.0的安全防護，更需關注三方面的內(nèi)容的填平補齊：

1、安全管理中心建設；

2、計算環(huán)境、通信網(wǎng)絡、接入邊界的“可信”特性建設；

3、安全運維體系的建設。接下來我們將簡單探討一下這三個方面的建設思路。

貳 等保2.0建設思路

　　綜合上文所說，等保2.0時代的安全建設應在傳統(tǒng)的安全防御體系之上，著重從安全體系的角度合理規(guī)劃、合理建設、甚至適度精簡，將資源和建設能力投放在如何抵御新時代的網(wǎng)絡安全風險上。安全專家建議在信息化建設的同時統(tǒng)籌考慮網(wǎng)絡安全的建設，做到同步規(guī)劃、同步建設、同步運行，做到全生命周期網(wǎng)絡安全，而在上述三個需要特別關注的方面，更應該以新理念、新思路、新技術統(tǒng)籌考慮。

　　安全運維新理念——人是安全的尺度

　　對比等保1.0，等保2.0更為強調(diào)了安全運維的概念：在傳統(tǒng)的資產(chǎn)管理、設備運維的基礎上，將安全運維的范疇擴充到了安全事件的響應和高級安全威脅的發(fā)現(xiàn)，如果考慮到定期的審計和有效性驗證，安全運維的范疇將進一步擴充。所以我們可以看到，等保2.0中所提到的安全運維的概念正在逐步向安全運營的概念轉(zhuǎn)變。而不管是設備的維護還是威脅的分析處理，一定是人借助工具和數(shù)據(jù)完成安全流程的要求，所以到最后拼的還是人的能力。按照能力級別的劃分，可以將安全運維進行高、中、低三位能力的解構，建立分層級的安全運維體系，如下圖所示：

　　基礎運維人員：基礎運維人員是分層級的安全運維體系的第一層，主要負責日常設備的維護、安全策略優(yōu)化等工作，相當于“隨身保健醫(yī)生”。定期對客戶的健康狀況進行檢查，如果發(fā)生保健醫(yī)生處理不了的狀況則及時聯(lián)系主治醫(yī)生進行處理和診斷。

　　安全分析人員：安全分析人員是分層級的安全運維體系的第二層，主要負責深度威脅分析、失陷檢測等工作，相當于“主治醫(yī)生”。當客戶發(fā)生比較危急的安全狀況時，先通過專業(yè)的手段緩解病痛，再尋找病因進行根治。

　　安全研究人員：安全研究人員是分層級的安全運維體系的第三層，主要由各領域的安全專家組成，相當于“主任醫(yī)生”。當主治醫(yī)生遇到不能處理的健康狀況時，需要通過主任醫(yī)生協(xié)同會診尋找病根和治療手段。同時，主任醫(yī)生還需負責向主治醫(yī)生和保健醫(yī)生進行能力輸出，構建起長效的造血機制。

　　通過三種能力層級的人員配合，構建起安全運維體系的安全尺度。但是若要提高安全人員的工作效率，還需要有數(shù)據(jù)和工具進行有效支撐，這就涉及到了安全管理中心的概念。

　　安全管理中心新思路——數(shù)據(jù)驅(qū)動安全

　　按照等保2.0中對安全管理中心的定義，安全管理中心作為對網(wǎng)絡安全等級保護對象的安全策略及安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡的安全機制實施統(tǒng)一管理的系統(tǒng)平臺，應實現(xiàn)統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一審計、綜合分析和協(xié)同防護的安全能力。按照這種定義進行安全能力的解構，如下圖所示：

　　如上文所說，安全管理中心將成為等保2.0安全體系運維工作的平臺和有效抓手，其建設成效將直接影響安全保障和安全運維工作是否可以有效開展。而要想使安全管理中心能用、好用，就必須強調(diào)數(shù)據(jù)驅(qū)動安全的思路，其核心有三個關鍵點：

　　數(shù)據(jù)收集的廣度：衡量安全管理中心建設成效的第一個維度是數(shù)據(jù)匯集的全不全，這些數(shù)據(jù)不僅包含網(wǎng)絡流量、設備日志、終端日志、中間件日志、還原的文件等客戶網(wǎng)絡中產(chǎn)生的數(shù)據(jù)，還應包含互聯(lián)網(wǎng)中產(chǎn)生的威脅情報信息。當然，每種維度的數(shù)據(jù)在收集時都會涉及到收集的字段、收集的頻率、收集的方式，此時就需要綜合業(yè)務環(huán)境的承載能力進行平衡。通過這種內(nèi)外部數(shù)據(jù)的匯聚，為數(shù)據(jù)分析構建基礎。

　　數(shù)據(jù)利用的深度：衡量安全管理中心建設成效的第二個維度是數(shù)據(jù)利用的深不深，如果收集了大量的數(shù)據(jù)和字段，卻僅僅通過簡單的規(guī)則產(chǎn)生告警，就會大大浪費這些數(shù)據(jù)的價值。因此，安全管理中心首先要對原始數(shù)據(jù)進行預處理，做到不同維度日志的關聯(lián)分析，構建起不同維度數(shù)據(jù)之間的聯(lián)系。其次從收集數(shù)據(jù)的維度上可以想象到這些數(shù)據(jù)一定是海量的，通過人工的方式進行威脅的分析會變得非常困難，這就要求安全管理中心必須要通過威脅建模、機器學習等方式進行自動化分析。必須要額外說明的一點是，威脅建模和機器學習等自動化模型有一部分是可以通用的，但是大部分模型與業(yè)務有著非常強的相關性，需要緊貼業(yè)務進行模型的設計和優(yōu)化，如果希望通過通用的模型滿足個性化的威脅場景分析，其道路將會十分坎坷。

　　數(shù)據(jù)展現(xiàn)的能見度：衡量安全管理中心建設成效的第三個維度是數(shù)據(jù)展現(xiàn)的透不透，有了數(shù)據(jù)量、數(shù)據(jù)分析能力，還需要讓數(shù)據(jù)變得可見。這是一種數(shù)據(jù)展現(xiàn)能力，展示效果不僅要直觀、美觀，也要實時。通過可視化技術的利用，將原本碎片化的威脅告警、異常行為告警等數(shù)據(jù)結(jié)構化，形成從宏觀的威脅態(tài)勢到微觀的攻擊詳情的高維度可視化方案，為威脅分析和處理提供支撐。

　　有了安全運維的保障和安全管理中心的支撐，在等保2.0的技術體系中還強調(diào)了新的安全特性要求：“可信”，涉及到了可信計算環(huán)境、可信通信和可信邊界三個概念。

　　“可信”特性建設新技術——零信任架構

　　等保2.0在傳統(tǒng)的安全防護體系的基礎上，對計算環(huán)境、通信網(wǎng)絡、區(qū)域邊界作了“可信”特性的要求，那么什么是“可信”呢?通過對“可信”特性的總結(jié)，首先要做到基于可信根的驗證，其次要做到“可控”，即對于主客體之間訪問的每一個步驟，都要有控制的能力。因此可以將“可信”特性分解為設備可信驗證、持續(xù)驗證、動態(tài)授權、統(tǒng)一審計等安全能力，如下圖所示：

　　可信驗證：可信驗證包含了兩個方面：可信身份驗證和可信環(huán)境驗證。可信身份驗證需要結(jié)合人員身份、設備身份、系統(tǒng)程序等多個方面的信息進行身份的畫像;可信環(huán)境驗證則需要感知人員所屬環(huán)境、程序運行環(huán)境是否有不安全的因素(如感染了病毒木馬)。結(jié)合這兩個方面的數(shù)據(jù)，按照統(tǒng)一的策略進行可信驗證。

　　持續(xù)驗證：持續(xù)驗證要求在設備入網(wǎng)、訪問設備、訪問應用、訪問接口等關鍵環(huán)節(jié)進行持續(xù)的可信驗證，并基于風險建模和關聯(lián)分析，度量潛在的安全風險。避免一次認證通過后環(huán)境變化引入的風險。

　　動態(tài)授權：在每一個關鍵環(huán)節(jié)進行可信驗證后，將驗證的信息發(fā)送到授權策略管理平臺，授權策略管理平臺返回應該賦予訪問者的權限結(jié)果。這個權限的計算充分考慮多維因素，包括組織級安全策略和規(guī)則、訪問者的多維屬性、訪問目標的多維屬性、環(huán)境屬性，包括：終端安全屬性、地址位置、歷史行為、多因子認證器安全屬性、行為異常性評估等。

　　統(tǒng)一審計：將每一個關鍵環(huán)節(jié)的判斷依據(jù)和判斷結(jié)果形成審計記錄進行統(tǒng)一審計?？梢灶A見的是，隨著技術的快速發(fā)展，未來將會通過數(shù)據(jù)的審計，以更智能和自動化的方式對動態(tài)授權策略進行優(yōu)化和調(diào)整。