等保2.0下網(wǎng)絡(luò)安全主動防御體系建設(shè)方向探析

楊超

摘 要：本文介紹了網(wǎng)絡(luò)等級保護(hù)的發(fā)展歷程，剖析了等保2.0的新變化，并基于等保2.0的新要求探討了網(wǎng)絡(luò)安全主動防御體系的建設(shè)方向。

關(guān)鍵詞：網(wǎng)絡(luò)等級保護(hù);網(wǎng)絡(luò)安全;主動防御;建設(shè)方向

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-2064（2019）04-0041-02

0 引言

近年來，隨著人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算等技術(shù)的疾速發(fā)展，網(wǎng)絡(luò)安全形勢越發(fā)嚴(yán)峻，網(wǎng)絡(luò)環(huán)境越發(fā)復(fù)雜多變，舊標(biāo)準(zhǔn)也已經(jīng)無法再適用于當(dāng)前環(huán)境下的網(wǎng)絡(luò)安全要求。為了適應(yīng)移動互聯(lián)、云計算、物聯(lián)網(wǎng)等新業(yè)務(wù)、新應(yīng)用的網(wǎng)絡(luò)安全防護(hù)需要，從2015年開始，我國逐步開始制定網(wǎng)絡(luò)等級保護(hù)的安全要求2.0標(biāo)準(zhǔn)。系統(tǒng)防護(hù)由被動防御變成主動防御是1.0和2.0標(biāo)準(zhǔn)最大的區(qū)別，以前1.0標(biāo)準(zhǔn)要求被動防御，要求防火墻、殺病毒、IDS，現(xiàn)在2.0標(biāo)準(zhǔn)要求由被動防護(hù)上升到主動防御。

1 網(wǎng)絡(luò)安全等級保護(hù)2.0

1.1 網(wǎng)絡(luò)安全等級保護(hù)的發(fā)展歷程

隨著全球網(wǎng)絡(luò)技術(shù)的疾速發(fā)展，由此帶來的網(wǎng)絡(luò)安全問題必須予以高度重視和防范，西方發(fā)達(dá)國家率先采取措施，為了便于對各行業(yè)的信息安全工作進(jìn)行管理和指導(dǎo)，針對網(wǎng)絡(luò)信息安全建設(shè)制定了一系列政策和標(biāo)準(zhǔn)，根據(jù)重要程度將各行業(yè)的信息系統(tǒng)劃分為不同的安全等級。隨后，我國結(jié)合自身網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)安全形勢，在1994年由國務(wù)院下發(fā)的《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》為我國信息安全保護(hù)工作提供了綱領(lǐng)性指導(dǎo)。之后又經(jīng)過了十幾年的研究和探索，國家又相繼出臺一系列從中央到地方的政策法規(guī)，從計算機(jī)系統(tǒng)的定級到網(wǎng)絡(luò)安全等級保護(hù)測評，網(wǎng)絡(luò)安全工作正穩(wěn)步向前推進(jìn)。

隨著《中華人民共和國網(wǎng)絡(luò)安全法》的實施以及各類網(wǎng)絡(luò)安全等級保護(hù)標(biāo)準(zhǔn)的出臺，全國各行各業(yè)及監(jiān)管部門迅速響應(yīng)，所屬安全系統(tǒng)按照要求先定級后測評，建立、健全信息安全管理制度，根據(jù)要求積極落實各項安全保護(hù)技術(shù)措施，努力做好行業(yè)內(nèi)信息系統(tǒng)安全等級保護(hù)工作。

1.2 等保2.0和1.0的區(qū)別

（1）標(biāo)準(zhǔn)名稱的變化：舊標(biāo)準(zhǔn)名稱為《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》，等保2.0改為《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》，與《中華人民共和國網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致。

（2）標(biāo)準(zhǔn)內(nèi)容的變化：為適應(yīng)移動互聯(lián)、云計算、物聯(lián)網(wǎng)等新的網(wǎng)絡(luò)環(huán)境中安全保護(hù)工作的開展，新標(biāo)準(zhǔn)提出安全通用和安全擴(kuò)展兩類要求。其中，安全通用要求針對的是共性安全保護(hù)需求，安全擴(kuò)展要求針對的是云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制等新環(huán)境新領(lǐng)域的安全保護(hù)個性需求，安全擴(kuò)展要求又分為云計算安全擴(kuò)展要求、移動互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求。

（3）控制措施分類結(jié)構(gòu)的變化：舊標(biāo)準(zhǔn)的控制措施共有10個分類，等保2.0縮減調(diào)整為8個，新舊標(biāo)準(zhǔn)變化對比。

（4）標(biāo)準(zhǔn)控制點(diǎn)和要求項的變化：在控制點(diǎn)要求上等保2.0相對舊標(biāo)準(zhǔn)并沒有大的變化，通過對舊標(biāo)準(zhǔn)中一些相關(guān)要求整合后在數(shù)量上反而略有減少。

（5）等保2.0技術(shù)部分變化簡析：與舊標(biāo)準(zhǔn)注重安全防護(hù)不同，新標(biāo)準(zhǔn)更加切合當(dāng)前移動互聯(lián)、云計算、物聯(lián)網(wǎng)等新業(yè)務(wù)、新應(yīng)用的網(wǎng)絡(luò)安全主動防御需求，等保2.0標(biāo)準(zhǔn)緊密結(jié)合《中華人民共和國網(wǎng)絡(luò)安全法》，對其中關(guān)于持續(xù)監(jiān)測、威脅情報、快速響應(yīng)類的要求均給出了指導(dǎo)思路和具體的執(zhí)行措施。對等保2.0標(biāo)準(zhǔn)的部分技術(shù)措施進(jìn)行了簡要分析。

綜上所述，相較于舊標(biāo)準(zhǔn)而言，等保2.0在當(dāng)前發(fā)展較為迅猛的一些新的網(wǎng)絡(luò)環(huán)境和應(yīng)用中均提供了較為全面、實用的網(wǎng)絡(luò)安全建設(shè)標(biāo)準(zhǔn)和指導(dǎo)思路，可以說新標(biāo)準(zhǔn)進(jìn)步顯著。積極落實網(wǎng)絡(luò)安全等級保護(hù)制度，以網(wǎng)絡(luò)安全等級保護(hù)標(biāo)準(zhǔn)為重要建設(shè)依據(jù)和指導(dǎo)思路，在滿足相關(guān)法規(guī)要求的前提下，構(gòu)建一套完備的網(wǎng)絡(luò)安全防御體系，切實提高信息系統(tǒng)的網(wǎng)絡(luò)安全綜合防御能力。

2 網(wǎng)絡(luò)安全主動防御體系建設(shè)

2.1 以傳統(tǒng)安全設(shè)備為基礎(chǔ)

首先，防火墻和網(wǎng)絡(luò)版殺毒軟件必不可少，作為最傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，提供著最基本的網(wǎng)絡(luò)安全防護(hù)。防火墻部署在局域網(wǎng)和廣域網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的邊界上，保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入;網(wǎng)絡(luò)版殺毒軟件用來保護(hù)計算機(jī)不受病毒、木馬、蠕蟲的侵?jǐn)_，同時對網(wǎng)絡(luò)病毒入侵也有一定的防御能力。作為主動防御安全體系的基礎(chǔ)存在，傳統(tǒng)安全設(shè)備一定不能舍棄。另外，防毒墻可以掃描通過網(wǎng)關(guān)的數(shù)據(jù)包，對病毒進(jìn)行過濾，阻止網(wǎng)絡(luò)傳輸中的病毒從網(wǎng)關(guān)處侵入內(nèi)部網(wǎng)絡(luò)，因此，防毒墻也是很有必要的。

2.2 主動阻斷攻擊

在很多行業(yè)，尤其是很多關(guān)鍵的信息系統(tǒng)不能忍受遭到攻擊損失后再來事后補(bǔ)救，而是希望在檢測到攻擊時就能及時阻斷以避免造成損失。鑒于此，在網(wǎng)絡(luò)入侵防護(hù)方面，要求在發(fā)現(xiàn)攻擊時要能夠立即主動響應(yīng)并實時阻隔入侵。入侵防御系統(tǒng)完全是前瞻性的防御機(jī)制，它可以對常規(guī)網(wǎng)絡(luò)流量中的惡意數(shù)據(jù)包進(jìn)行檢測、阻止入侵活動、預(yù)先對攻擊性的流量進(jìn)行主動攔截，而不是在傳送惡意流量的同時或之后，簡單發(fā)出報警。在等保標(biāo)準(zhǔn)2.0的背景下，入侵防御適時順應(yīng)了網(wǎng)絡(luò)安全保障體系中安全功能融合的主流趨勢，入侵防御系統(tǒng)作為主動防御的關(guān)鍵技術(shù)，是主動防御安全體系的重要組成部分。但入侵防御系統(tǒng)目前仍有一些不足，其中誤報率高會對正常業(yè)務(wù)造成影響，大量的誤報會對后續(xù)的數(shù)據(jù)包造成阻隔，無論數(shù)據(jù)量正常與否，都會拒絕服務(wù)。這就要求安全廠家要結(jié)合用戶自身的業(yè)務(wù)網(wǎng)絡(luò)實際情況合理地配置、優(yōu)化防護(hù)策略，盡量降低IPS誤報率。

2.3 明確接入系統(tǒng)的人員身份

在等保2.0時代，網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)也尤其重要，必須以此來加強(qiáng)明確接入系統(tǒng)的人員身份，防止內(nèi)網(wǎng)有違規(guī)外聯(lián)的事件發(fā)生，只有這樣才能保證后續(xù)的安全措施及安全運(yùn)維能夠有效地進(jìn)行。在實際建設(shè)工作中，可以通過部署堡壘機(jī)及雙因素認(rèn)證等安全設(shè)備，以高安全性和高可靠性的認(rèn)證模式對用戶進(jìn)行認(rèn)證，確保接入網(wǎng)絡(luò)的人員身份是可靠的，并且網(wǎng)絡(luò)出口是唯一的，嚴(yán)防非法、越權(quán)訪問事件的發(fā)生。

2.4 及時發(fā)現(xiàn)并修補(bǔ)漏洞

網(wǎng)絡(luò)之所以遭到攻擊，是因為我們的系統(tǒng)本身存在漏洞，有缺陷可以被利用，而且絕大多數(shù)的漏洞和缺陷都是事先已知的。鑒于此，我們需要提前主動采取防御措施，通過漏洞掃描器定期掃描網(wǎng)絡(luò)及網(wǎng)絡(luò)中的終端和網(wǎng)絡(luò)設(shè)備，并及時更新漏洞庫，確保能夠識別最新的漏洞并及時修復(fù)。

2.5 數(shù)據(jù)庫主動防護(hù)

最后一個推薦的主動防御的基礎(chǔ)設(shè)施是數(shù)據(jù)庫防火墻，作為高效而直接的數(shù)據(jù)庫防御工事，數(shù)據(jù)庫防火墻已被越來越多的用戶所關(guān)注。以前的方案是配備數(shù)據(jù)庫審計、日志審計類設(shè)備，這些是操作審計、被動類型的設(shè)備，在等保2.0時代，顯然已經(jīng)不符合主動防御的要求。數(shù)據(jù)庫防火墻部署在數(shù)據(jù)庫服務(wù)器前，采用主動防御機(jī)制，基于數(shù)據(jù)庫協(xié)議分析與控制技術(shù)，可以通過中斷會話和語句攔截兩種方式實現(xiàn)威脅防御。

2.6 定期的安全服務(wù)

主動防御體系的建設(shè)除了部署主動防御的安全設(shè)備外，一些定期的安全服務(wù)也必不可少，主要是以下三項：（1）滲透測試服務(wù)。由安全從業(yè)人員完全模擬黑客，利用黑客攻擊網(wǎng)絡(luò)可能使用到的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，深入探測目標(biāo)系統(tǒng)各方面的安全防護(hù)能力，以便找出目標(biāo)系統(tǒng)防護(hù)最為脆弱的環(huán)節(jié)，發(fā)現(xiàn)網(wǎng)絡(luò)安全防御體系中存在的漏洞;（2）安全測試服務(wù)。對新的信息系統(tǒng)進(jìn)行多角度全方位深層次的安全測試能夠在系統(tǒng)正式開展業(yè)務(wù)前及時發(fā)現(xiàn)系統(tǒng)開發(fā)和程序設(shè)計中沒有考慮到的安全隱患和問題，有效降低系統(tǒng)帶病上線帶來的安全風(fēng)險;（3）安全運(yùn)維服務(wù)。信息系統(tǒng)在運(yùn)行的過程中會不斷碰到新的安全威脅，自身的脆弱性也隨著系統(tǒng)運(yùn)行不斷發(fā)生改變。在系統(tǒng)運(yùn)行期間，安全運(yùn)維服務(wù)通過對目標(biāo)網(wǎng)絡(luò)及信息系統(tǒng)定期進(jìn)行漏洞掃描、脆弱性檢查、代碼安全審計、策略檢查、安全巡檢、安全加固等巡檢措施，查缺補(bǔ)漏，及時找出潛在的安全隱患并采取相應(yīng)的技術(shù)防護(hù)措施，不斷優(yōu)化安全策略，切實提高信息系統(tǒng)安全防御能力，建立一套由防護(hù)、檢測和恢復(fù)三部分組合而成的良性閉環(huán)安全防護(hù)機(jī)制，為信息系統(tǒng)的網(wǎng)絡(luò)、數(shù)據(jù)和業(yè)務(wù)持續(xù)提供安全保障。

此外，在系統(tǒng)管理方面，建議采用三權(quán)分立等較為安全穩(wěn)妥的管理策略，避免設(shè)立超級管理員，對重要的操作一定要事先進(jìn)行不同用戶的多重授權(quán)。

2.7 部署SOC平臺、安全態(tài)勢感知平臺

除了以上七個方面外，為了使網(wǎng)絡(luò)主動防御體系具備安全風(fēng)險預(yù)測能力，防患于未然，可以部署SOC平臺、安全態(tài)勢感知平臺，通過態(tài)勢要素獲取，獲得必要的數(shù)據(jù)，然后通過態(tài)勢分析進(jìn)行態(tài)勢理解，從而進(jìn)一步實現(xiàn)態(tài)勢預(yù)測分析發(fā)現(xiàn)全局性角度的網(wǎng)絡(luò)安全趨勢及未來短期內(nèi)可能出現(xiàn)安全問題的環(huán)節(jié)，是一個動態(tài)的準(zhǔn)實時系統(tǒng)。

經(jīng)過以上幾方面的安全防御體系的建設(shè)，一個較為完善的主動防御安全體系已經(jīng)建成，基本能夠達(dá)到主動發(fā)現(xiàn)安全風(fēng)險、主動減少自身漏洞、主動及時阻斷攻擊的防御效果。

3 結(jié)語

網(wǎng)絡(luò)安全等級保護(hù)制度經(jīng)過千錘百煉，已被打造為等保2.0時代國家網(wǎng)絡(luò)安全的基本國策和基本制度，我們的任務(wù)就是要深入學(xué)習(xí)貫徹網(wǎng)絡(luò)安全法的要求和相關(guān)國家標(biāo)準(zhǔn)，再結(jié)合自身業(yè)務(wù)和實際情況去做好各項網(wǎng)絡(luò)安全防御工作。通過建設(shè)這樣一套網(wǎng)絡(luò)安全主動防御體系，最終實現(xiàn)良好的防御效果，努力做到整體防御、分區(qū)隔離;積極防護(hù)、內(nèi)外兼防;自身防御、主動免疫;縱深防御、技管并重。

參考文獻(xiàn)

[1] 田繼紅，蔣岱.淺談信息安全等級保護(hù)的發(fā)展歷程及現(xiàn)狀[J].中國管理信息化，2017，20（02）：186-187.