2019年5月13日,国家市场监督管理总局、国家标准化管理委员会正式发布了网络安全等级保护制度2.0标准和规范,并将于2019年12月1日开始实施。等保2.0全面指明了我国关键信息基础设施安全保障的原则、方法与手段,成为我国未来十年关键信息基础设施安全保障最基础、最核心、最重要的一部权威标准规范。
网络安全等级保护2.0标准扩展了等级保护对象,将网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统纳入保护范围,并在通用要求的基础上,补充提出了云计算安全、移动互联网安全、物联网安全和工业控制系统安全的扩展要求。
总体来看,等保2.0是一部完整的以主动防御为目标、以技术保障为基础、管理运营为核心、以监测预警为支撑的网络安全防御体系框架性指导标准与规划建设指南。下面,我们就透过等保2.0来解读当前网络安全建设的新趋势。
1、安全保障对象已扩展为基础设施和业务应用
等保2.0在继承了等保1.0中以资产防护为目标的成功实践基础上,结合近些年网络与信息技术的新变化,补充提出了对云计算、物联网、移动互联网和工业控制系统的安全防护要求。等保2.0扩展安全防护要求的提出,体现了基础设施和业务应用的发展是安全保障体系创新的第一驱动力,也充分反映了我国以基础设施和业务应用为核心的安全保障思想。
随着等保2.0扩展安全防护要求的提出,拥有云计算、物联网、移动互联网和工业控制系统的单位不仅需要增加额外安全合规投入,而且还需要考虑传统网络与信息系统与云计算、物联网、移动互联网和工业控制系统如何建立协调、统一的安全保障机制。目前来看,比较切实可行的方案是采取分散+统一的方式,即对于资产的安全控制采用分散的方式进行,对于安全监测、通报预警、应急处置、态势感知、安全运营采取集中的方式进行。
2、未知威胁与安全分析成为安全建设能力目标
无论是等保1.0还是在等保2.0,监测预警都是安全技术体系的重中之重,本次等保2.0标准对新型攻击分析、网络内部攻击、用户行为分析等高级威胁提出了条款要求。这些未知威胁与潜在威胁监测预警的能力要求,充分体现了等保2.0主动防御、动态防御的核心思想。
对未知威胁的检测,一方面可以通过威胁情报关联分析进行,另一方面可以通过异常检测进行,包括网络异常、行为异常、状态异常等;潜在威胁利用关联分析、行为建模、异常分析将那些远离合法和正常行为进行多维度长周期分析,从而达到检测业务欺诈、敏感数据泄露、内部恶意用户、有针对性攻击等潜在高级威胁的目的。
3、分析研判与追踪溯源成为主动安全防御趋势
网络安全的本质在于攻防对抗,等保2.0所提倡的主动防御、动态防御的思想,其目的也是在攻防对抗中能够占得先机。只有有效地融合威胁检测、安全预警、分析研判、追踪溯源能力,使之相辅相成、互为补充,才能构成了完整的主动安全防御能力,达到主动安全防御的目的与效果。
针对面临的安全威胁与事件,通过分析研判和追踪溯源弄清楚四个关键要素:“是谁”,“在什么时候”,“在哪里”,“做了什么”。因此,在威胁检测、安全预警能力建设滞后,分析研判与追踪溯源能力必然成为主动安全防御建设的重点。
4、集中统一的安全运营管理成为安全建设核心
等保2.0中强调了安全管理中心的作用与要求,体现了对较高级别的等级保护对象进行集中安全管理的思想,保证分散于各个层面的安全能力在统一策略的指导下实现,各个安全控制在可控情况下发挥各自的作用,保证等级保护对象的整体能力。这是为了满足等保2.0的核心变化—从被动防御转变为主动防御、动态防御。
传统安全体系更多地依靠安全产品孤军奋战,而没有将人、流程、产品更好的融合起来,造成传统安全体系存在防护能力滞后、主动防御能力不足的问题。统一安全运营管理是下一代积极防御体系的核心,可以消除各个安全系统孤立情况,有效的将平台、人员、制度、流程有机的结合起来,实现安全运营工作的集中化、平台化、自动化,极大地提高安全运营的效果和效率。