網(wǎng)絡(luò)安全等級保護2.0下電信運營商助力中小企業(yè)安全建設(shè)

◆黃少琪

網(wǎng)絡(luò)安全等級保護2.0下電信運營商助力中小企業(yè)安全建設(shè)

◆黃少琪

（中國電信股份有限公司上海分公司 上海 200433）

云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新技術(shù)不斷發(fā)展。一方面使得我國人民的生活、工作方式日益變化。另一方面，網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)世界里的大國博弈也在不斷上演。在飛速的網(wǎng)絡(luò)技術(shù)變革下，網(wǎng)絡(luò)安全等級保護2.0應(yīng)運而生，對企業(yè)的安全體系建設(shè)提出了新要求。本文結(jié)合等保2.0下的挑戰(zhàn)和電信運營商自身資源能力的優(yōu)勢，闡述了基于態(tài)勢感知技術(shù)構(gòu)建主動防御體系的思路。

網(wǎng)絡(luò)安全等級保護；企業(yè)安全建設(shè)；態(tài)勢感知

1 引言

當(dāng)前，新技術(shù)層出不窮，我國各行各業(yè)的網(wǎng)絡(luò)信息化程度也不斷提高。但同時，網(wǎng)絡(luò)攻擊手段日益變化，個人和政企面臨的網(wǎng)絡(luò)詐騙、攻擊勒索、盜取數(shù)據(jù)等各類安全威脅也日趨嚴(yán)重，國家網(wǎng)絡(luò)空間安全面臨了新的挑戰(zhàn)。

針對網(wǎng)絡(luò)信息化發(fā)展的新局面，國家網(wǎng)絡(luò)安全等級保護工作也步入了新時代。作為中國網(wǎng)絡(luò)安全的基石，等級保護制度由信息安全保護制度升級為網(wǎng)絡(luò)安全等級保護制度，簡稱“等保2.0標(biāo)準(zhǔn)”。本文將基于“等保2.0”的內(nèi)容，重點闡述傳統(tǒng)安全建設(shè)存在的問題；并以建設(shè)感知層為例，闡述中小型企業(yè)如何依托電信運營商的安全產(chǎn)品、專業(yè)服務(wù)和行業(yè)解決方案提升安全建設(shè)能力，提升安全管理水平，階梯式發(fā)展以達(dá)到“等保工作”的新要求。

2 網(wǎng)絡(luò)安全等級保護2.0

等級保護是國家信息安全保障的一項基本制度，旨在對國家秘密信息、法人或其他組織及公民專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級進行響應(yīng)、處置。從1.0到2.0，我國等級保護制度走過了十余載。隨著新技術(shù)的迸發(fā)，信息系統(tǒng)基礎(chǔ)架構(gòu)和設(shè)施發(fā)生了巨大變化，網(wǎng)絡(luò)安全威脅也在不斷升級，“等保1.0”已經(jīng)逐漸不能適應(yīng)。2018年6月27日，公安部發(fā)布《網(wǎng)絡(luò)安全等級保護條例（征求意見稿）》，提出了全網(wǎng)等級保護的內(nèi)容。2019年5月13日，國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會召開新聞發(fā)布會，正式發(fā)布網(wǎng)絡(luò)安全等級保護制度2.0標(biāo)準(zhǔn)，并于2019年12月1日開始實施。

“等保2.0”是網(wǎng)絡(luò)安全的一次重大升級，對企業(yè)的安全建設(shè)提出了更全面、具體的要求，主要體現(xiàn)在：

（1）從條例法規(guī)提升到了法律層面，“等保2.0”標(biāo)準(zhǔn)在《網(wǎng)絡(luò)安全法》的第二十一、二十五、三十一、五十九條都有所規(guī)定。由此，企業(yè)需基于法律義務(wù)開展等級保護。

（2）等級保護的基本流程包括系統(tǒng)定級、系統(tǒng)備案、整改實施、系統(tǒng)測評和“運維”檢查五大步驟。“等保2.0”標(biāo)準(zhǔn)優(yōu)化和調(diào)整了流程中的部分細(xì)則如下。

a.要求等級保護對象的覆蓋更為全面。在傳統(tǒng)的計算機信息系統(tǒng)的基礎(chǔ)上，擴大了包含云計算、移動互聯(lián)網(wǎng)、大數(shù)據(jù)、工業(yè)控制系統(tǒng)等新技術(shù)應(yīng)用對象。

b.系統(tǒng)定級更為嚴(yán)格，由自主定級變?yōu)椤俺醪酱_定等級 - 專家評審 - 主管部門審核 - 公安機關(guān)備案審查 - 最終確定等級”的線性定級流程。

c.系統(tǒng)測評層面，測評周期拉長，測評通過的門檻提高?！暗缺?.0”對第三級以上系統(tǒng)只需每年測評一次，要求75分以上才能通過測評。

（3）“等保2.0”最重要的是安全框架和理念的轉(zhuǎn)變，從“等保1.0”標(biāo)準(zhǔn)被動防御的安全體系向“等保2.0”提出的事前預(yù)防、事中響應(yīng)、事后審計的動態(tài)保障體系轉(zhuǎn)變。在新的安全框架下，要求企業(yè)具有態(tài)勢感知能力、網(wǎng)絡(luò)安全分析能力、未知威脅的檢測能力，構(gòu)建“感知、防護、檢測、響應(yīng)”的主動防御體系。

3 企業(yè)安全建設(shè)存在的問題

正如習(xí)近平總書記在2016年4月19日網(wǎng)絡(luò)安全和信息化工作座談會上的講話：安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進。保障網(wǎng)絡(luò)安全，提高網(wǎng)絡(luò)環(huán)境的安全性和穩(wěn)定性，不僅關(guān)系到廣大網(wǎng)民的信息安全，也是保障企業(yè)信息資產(chǎn)安全的基石。部分中小型企業(yè)在進行信息化建設(shè)初期，往往缺乏網(wǎng)絡(luò)安全意識，重發(fā)展輕安全，也為未來的業(yè)務(wù)發(fā)展埋下隱患?！暗缺?.0”標(biāo)準(zhǔn)從法律層面，廣泛要求使用互聯(lián)網(wǎng)技術(shù)的各企業(yè)關(guān)注網(wǎng)絡(luò)安全風(fēng)險，肩負(fù)起安全建設(shè)的義務(wù)。

在等保1.0的基礎(chǔ)下，網(wǎng)絡(luò)安全產(chǎn)業(yè)蓬勃發(fā)展，企業(yè)部署了防火墻、殺毒軟件、安全堡壘等眾多傳統(tǒng)安全產(chǎn)品和設(shè)備。但傳統(tǒng)安全防護具有滯后性的缺陷，企業(yè)的安全事件處理流程是在經(jīng)歷了威脅事件后，再進行防御加固。后防的處理流程使得企業(yè)不可避免造成損失。此外，以防火墻、安全堡壘為例的傳統(tǒng)防護，注重邊界安全和單點防護，防護分散、互無交流，使得企業(yè)遭受網(wǎng)絡(luò)攻擊時，難以評估全網(wǎng)環(huán)境下的安全狀態(tài)，也難以符合“等保2.0”要求的“IATF+P2DR”（分布式主動防御模型）技術(shù)體系。由此，企業(yè)在安全建設(shè)方面需要構(gòu)建包括安全感知、安全處置、安全能力優(yōu)化的全方位主動防御體系，對未知威脅也能夠起到檢測和防御作用。

然而對廣大中小型企業(yè)而言，為滿足等保要求，針對自身業(yè)務(wù)自研網(wǎng)絡(luò)安全系統(tǒng)會產(chǎn)生大量經(jīng)營成本，一定程度上是企業(yè)數(shù)字化轉(zhuǎn)型道路中的障礙。由此，國內(nèi)的云服務(wù)商、電信運營商和網(wǎng)絡(luò)安全公司三方都開始發(fā)展網(wǎng)絡(luò)安全服務(wù)（Security as a Service）形式的商業(yè)模式，為中小型企業(yè)在等保2.0的挑戰(zhàn)下的安全建設(shè)提供良方。其中，電信運營商在國家的網(wǎng)絡(luò)安全防線中肩負(fù)著無可替代的責(zé)任，長期以來堅持發(fā)展自身的網(wǎng)絡(luò)安全能力建設(shè)，已具備了相對成熟的網(wǎng)絡(luò)安全主動防御系統(tǒng)和自動檢測方案。并且依靠在網(wǎng)絡(luò)鏈路、威脅情報、觸達(dá)客戶等自身資源能力優(yōu)勢，電信運營商能夠以更低成本提供適應(yīng)于更廣泛行業(yè)的網(wǎng)絡(luò)安全建設(shè)方案和評估服務(wù)。

4 網(wǎng)絡(luò)安全態(tài)勢感知與防護

態(tài)勢評估是整個全過程的重點和關(guān)鍵環(huán)節(jié)，在安全建設(shè)中占有重要的地位和作用。態(tài)勢感知產(chǎn)品作為安全分析的整合平臺，解決了數(shù)據(jù)和安全產(chǎn)品孤立的痛點，得以整合網(wǎng)絡(luò)鏈路、業(yè)務(wù)應(yīng)用、網(wǎng)絡(luò)設(shè)備、終端、安全設(shè)備等所有監(jiān)測對象的數(shù)據(jù)。此外，等保2.0標(biāo)準(zhǔn)明確指出了要具備對新型攻擊的分析能力，對各類安全事件進行識別和主動預(yù)警。態(tài)勢產(chǎn)品不僅需具備安全風(fēng)險可視化的功能，還要解決安全聯(lián)動和安全能力優(yōu)化等問題，使得企業(yè)具備主動防御的能力。最終做到集數(shù)據(jù)采集、分析、預(yù)警、處置、管理為一體，整合各種專業(yè)的安全防護軟件、設(shè)備、系統(tǒng)，對網(wǎng)絡(luò)空間中的安全要素進行獲取、理解、展示以及風(fēng)險預(yù)測，可視化網(wǎng)內(nèi)的風(fēng)險全貌，對安全事件進行自動化處置，從整體上提升企業(yè)對網(wǎng)絡(luò)威脅的感知處理能力。

總體而言，網(wǎng)絡(luò)安全態(tài)勢感知與防護系統(tǒng)涉及了三大功能模塊：體系化的大數(shù)據(jù)采集，網(wǎng)絡(luò)安全威脅行為分析，基于分析結(jié)果的威脅預(yù)警和處置。

4.1 大數(shù)據(jù)采集處理技術(shù)

基于云的大數(shù)據(jù)平臺可支持多種數(shù)據(jù)源的數(shù)據(jù)采集和處理，可處理PB級數(shù)據(jù)。其中的兩大核心技術(shù)是：Hadoop分布式文件系統(tǒng)，簡稱HDFS；MapReduce分布式計算平臺。

Hadoop分布式文件系統(tǒng)（HDFS）是被設(shè)計成適合運行在通用硬件（commodity hardware）上的分布式文件系統(tǒng)。它和其他的分布式文件系統(tǒng)的主要區(qū)別在于高度容錯性，因此適合部署在廉價的機器上。此外，HDFS能提供高吞吐量的數(shù)據(jù)訪問，適合大規(guī)模數(shù)據(jù)集上的應(yīng)用，MapReduce計算模型，可用于大規(guī)模數(shù)據(jù)集的并行運算。

4.2 網(wǎng)絡(luò)安全威脅行為分析

引入基于機器學(xué)習(xí)的大數(shù)據(jù)挖掘技術(shù)，對各類型的威脅行為實現(xiàn)智能化精準(zhǔn)識別。此外，與外部威脅情報結(jié)合進行關(guān)聯(lián)分析，實現(xiàn)不同安全組件之間數(shù)據(jù)的綜合聯(lián)動，可提高安全態(tài)勢的感知和預(yù)測效果。長期來看，網(wǎng)絡(luò)安全威脅行為還可實現(xiàn)對關(guān)鍵系統(tǒng)或重點關(guān)注的安全問題進行周期性長效監(jiān)測。下文將詳述四類威脅行為和場景采用的監(jiān)測技術(shù)：僵木蠕監(jiān)測、異常流量監(jiān)測、資產(chǎn)風(fēng)險感知和網(wǎng)絡(luò)攻擊事件監(jiān)測。

（1）實現(xiàn)僵木蠕的態(tài)勢感知

態(tài)勢呈現(xiàn)所展示的效果以企業(yè)網(wǎng)絡(luò)環(huán)境為依托，對當(dāng)天感染僵木蠕情況的數(shù)據(jù)實時動態(tài)更新，反映感染終端TOP排名、僵木蠕毒TOP排名、重要節(jié)點TOP排名，并為監(jiān)測人員提供僵木蠕毒感染總量的變化趨勢，為網(wǎng)絡(luò)安全事件預(yù)警提供重要的數(shù)據(jù)支撐。

（2）實現(xiàn)異常流量的實時監(jiān)控感知

獲取能夠表現(xiàn)流量特征的數(shù)值序列，例如：流量的大小、流量的協(xié)議分布、流量的業(yè)務(wù)等指標(biāo)，建立流量基線。通過與流量指標(biāo)基線的對比，直觀地評估網(wǎng)絡(luò)流量的健康程度，實時監(jiān)控異常流量特別是DDOS洪泛攻擊、惡意掃描等網(wǎng)絡(luò)安全事件態(tài)勢。

（3）實現(xiàn)資產(chǎn)風(fēng)險態(tài)勢的主動感知

監(jiān)測一定時間周期內(nèi)平臺存在漏洞和弱配置的總體情況，包括漏洞、弱配置數(shù)量、嚴(yán)重級別以及非達(dá)標(biāo)配置項數(shù)量和合規(guī)率等指標(biāo)信息。通過漏洞數(shù)量、漏洞等級、危害程度、總體數(shù)量等指標(biāo)反映漏洞情況；對不同資產(chǎn)類型包括主機、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備、安全防護設(shè)備等，監(jiān)控其配置的合規(guī)情況。

（4）實現(xiàn)網(wǎng)絡(luò)攻擊事件的實時監(jiān)測感知

結(jié)合機器學(xué)習(xí)模型，對本地的安全設(shè)備日志、網(wǎng)絡(luò)流量日志進行分析，實時監(jiān)控SQL注入、XSS、路徑穿越等網(wǎng)絡(luò)攻擊行為的態(tài)勢。機器學(xué)習(xí)模型的構(gòu)建是基于自研的人工智能引擎，根據(jù)已知的正常事件和威脅事件的大量樣本，通過數(shù)據(jù)挖掘找出有區(qū)分度的特征，建立對威脅事件的識別模型，預(yù)測“新事件”的威脅概率，進行威脅評估。

4.3 主動預(yù)警與威脅處置

以態(tài)勢感知為核心進行風(fēng)險的集中管控，規(guī)范風(fēng)險通報和威脅預(yù)警機制，實現(xiàn)主動預(yù)警和針對性的威脅處置。預(yù)警方面，對潛在的網(wǎng)絡(luò)安全威脅進行監(jiān)測及防范。處置方面，根據(jù)網(wǎng)絡(luò)安全的日常管理需求和應(yīng)急處置流程實施威脅處置。

使用WebGL/Canvas+SVG技術(shù)，實現(xiàn)上述多個維度感知能力的動態(tài)可視化展現(xiàn)。在威脅處置層面，采用分級處置的策略。執(zhí)行者通過統(tǒng)一管理平臺進行安全事件的處置，減少操作風(fēng)險帶來的損失。同時，可對常規(guī)告警和低級別的安全事件實現(xiàn)自動化快速處置。

5 總結(jié)

“等保2.0”的提出，要求企業(yè)在安全建設(shè)中周期性的評估縱向和橫向的安全防護能力，向主動防御轉(zhuǎn)變。從搭建態(tài)勢感知平臺開始，通過態(tài)勢感知平臺聯(lián)動企業(yè)內(nèi)原本孤立的安全設(shè)備。服務(wù)期間，平臺定期輸出網(wǎng)絡(luò)安全態(tài)勢感知報告，對安全防御能力進行周期性巡檢和評估，針對報告中包含的網(wǎng)絡(luò)安全風(fēng)險，定位存在安全隱患的節(jié)點，提供相應(yīng)的安全服務(wù)進行加固。最后形成常態(tài)化的安全建設(shè)工作，根據(jù)企業(yè)的網(wǎng)絡(luò)環(huán)境持續(xù)性優(yōu)化安全設(shè)備的部署和配置，構(gòu)建“感知、監(jiān)測、預(yù)警、響應(yīng)”的閉環(huán)式安全防御機制。由此，中小型企業(yè)在依托電信運營商的網(wǎng)絡(luò)安全服務(wù)支持下，也可以逐步符合等保2.0標(biāo)準(zhǔn)，形成具備安全感知、安全處置、安全能力優(yōu)化一體化的新型網(wǎng)絡(luò)安全態(tài)勢感知方案，做到數(shù)字化轉(zhuǎn)型和安全建設(shè)齊頭并起。

[1]付麗麗.等保2.0來了，網(wǎng)絡(luò)安全將發(fā)生哪些變化[EB/OL]. http://www.cac.gov.cn/2019-05/29/c_1124555821.htm，2019-5-29.

[2]任婷，于城.從新技術(shù)角度談等級保護2.0[J].信息通信技術(shù)，2018（6）：14-19.

[3]袁慧.網(wǎng)絡(luò)安全等級保護2.0制度的研究和探討[J].信息與電腦，2020（1）：223-224.

[4]吳承承，賀奕丹，朱利，等.電信運營商探索融通發(fā)展道路助力中小企業(yè)高質(zhì)量發(fā)展[J].通信世界，2019，799（07）：25-27.