◆黃少琪

網絡安全等級保護2.0下電信運營商助力中小企業(yè)安全建設

◆黃少琪

（中國電信股份有限公司上海分公司 上海 200433）

云計算、大數據、物聯網、移動互聯網等新技術不斷發(fā)展。一方面使得我國人民的生活、工作方式日益變化。另一方面，網絡犯罪、網絡攻擊、網絡世界里的大國博弈也在不斷上演。在飛速的網絡技術變革下，網絡安全等級保護2.0應運而生，對企業(yè)的安全體系建設提出了新要求。本文結合等保2.0下的挑戰(zhàn)和電信運營商自身資源能力的優(yōu)勢，闡述了基于態(tài)勢感知技術構建主動防御體系的思路。

網絡安全等級保護；企業(yè)安全建設；態(tài)勢感知

1 引言

當前，新技術層出不窮，我國各行各業(yè)的網絡信息化程度也不斷提高。但同時，網絡攻擊手段日益變化，個人和政企面臨的網絡詐騙、攻擊勒索、盜取數據等各類安全威脅也日趨嚴重，國家網絡空間安全面臨了新的挑戰(zhàn)。

針對網絡信息化發(fā)展的新局面，國家網絡安全等級保護工作也步入了新時代。作為中國網絡安全的基石，等級保護制度由信息安全保護制度升級為網絡安全等級保護制度，簡稱“等保2.0標準”。本文將基于“等保2.0”的內容，重點闡述傳統安全建設存在的問題；并以建設感知層為例，闡述中小型企業(yè)如何依托電信運營商的安全產品、專業(yè)服務和行業(yè)解決方案提升安全建設能力，提升安全管理水平，階梯式發(fā)展以達到“等保工作”的新要求。

2 網絡安全等級保護2.0

等級保護是國家信息安全保障的一項基本制度，旨在對國家秘密信息、法人或其他組織及公民專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的安全產品實行按等級管理，對信息系統中發(fā)生的信息安全事件分等級進行響應、處置。從1.0到2.0，我國等級保護制度走過了十余載。隨著新技術的迸發(fā)，信息系統基礎架構和設施發(fā)生了巨大變化，網絡安全威脅也在不斷升級，“等保1.0”已經逐漸不能適應。2018年6月27日，公安部發(fā)布《網絡安全等級保護條例（征求意見稿）》，提出了全網等級保護的內容。2019年5月13日，國家市場監(jiān)督管理總局、國家標準化管理委員會召開新聞發(fā)布會，正式發(fā)布網絡安全等級保護制度2.0標準，并于2019年12月1日開始實施。

“等保2.0”是網絡安全的一次重大升級，對企業(yè)的安全建設提出了更全面、具體的要求，主要體現在：

（1）從條例法規(guī)提升到了法律層面，“等保2.0”標準在《網絡安全法》的第二十一、二十五、三十一、五十九條都有所規(guī)定。由此，企業(yè)需基于法律義務開展等級保護。

（2）等級保護的基本流程包括系統定級、系統備案、整改實施、系統測評和“運維”檢查五大步驟。“等保2.0”標準優(yōu)化和調整了流程中的部分細則如下。

a.要求等級保護對象的覆蓋更為全面。在傳統的計算機信息系統的基礎上，擴大了包含云計算、移動互聯網、大數據、工業(yè)控制系統等新技術應用對象。

b.系統定級更為嚴格，由自主定級變?yōu)椤俺醪酱_定等級 - 專家評審 - 主管部門審核 - 公安機關備案審查 - 最終確定等級”的線性定級流程。

c.系統測評層面，測評周期拉長，測評通過的門檻提高?！暗缺?.0”對第三級以上系統只需每年測評一次，要求75分以上才能通過測評。

（3）“等保2.0”最重要的是安全框架和理念的轉變，從“等保1.0”標準被動防御的安全體系向“等保2.0”提出的事前預防、事中響應、事后審計的動態(tài)保障體系轉變。在新的安全框架下，要求企業(yè)具有態(tài)勢感知能力、網絡安全分析能力、未知威脅的檢測能力，構建“感知、防護、檢測、響應”的主動防御體系。

3 企業(yè)安全建設存在的問題

正如習近平總書記在2016年4月19日網絡安全和信息化工作座談會上的講話：安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進。保障網絡安全，提高網絡環(huán)境的安全性和穩(wěn)定性，不僅關系到廣大網民的信息安全，也是保障企業(yè)信息資產安全的基石。部分中小型企業(yè)在進行信息化建設初期，往往缺乏網絡安全意識，重發(fā)展輕安全，也為未來的業(yè)務發(fā)展埋下隱患。“等保2.0”標準從法律層面，廣泛要求使用互聯網技術的各企業(yè)關注網絡安全風險，肩負起安全建設的義務。

在等保1.0的基礎下，網絡安全產業(yè)蓬勃發(fā)展，企業(yè)部署了防火墻、殺毒軟件、安全堡壘等眾多傳統安全產品和設備。但傳統安全防護具有滯后性的缺陷，企業(yè)的安全事件處理流程是在經歷了威脅事件后，再進行防御加固。后防的處理流程使得企業(yè)不可避免造成損失。此外，以防火墻、安全堡壘為例的傳統防護，注重邊界安全和單點防護，防護分散、互無交流，使得企業(yè)遭受網絡攻擊時，難以評估全網環(huán)境下的安全狀態(tài)，也難以符合“等保2.0”要求的“IATF+P2DR”（分布式主動防御模型）技術體系。由此，企業(yè)在安全建設方面需要構建包括安全感知、安全處置、安全能力優(yōu)化的全方位主動防御體系，對未知威脅也能夠起到檢測和防御作用。

然而對廣大中小型企業(yè)而言，為滿足等保要求，針對自身業(yè)務自研網絡安全系統會產生大量經營成本，一定程度上是企業(yè)數字化轉型道路中的障礙。由此，國內的云服務商、電信運營商和網絡安全公司三方都開始發(fā)展網絡安全服務（Security as a Service）形式的商業(yè)模式，為中小型企業(yè)在等保2.0的挑戰(zhàn)下的安全建設提供良方。其中，電信運營商在國家的網絡安全防線中肩負著無可替代的責任，長期以來堅持發(fā)展自身的網絡安全能力建設，已具備了相對成熟的網絡安全主動防御系統和自動檢測方案。并且依靠在網絡鏈路、威脅情報、觸達客戶等自身資源能力優(yōu)勢，電信運營商能夠以更低成本提供適應于更廣泛行業(yè)的網絡安全建設方案和評估服務。

4 網絡安全態(tài)勢感知與防護

態(tài)勢評估是整個全過程的重點和關鍵環(huán)節(jié)，在安全建設中占有重要的地位和作用。態(tài)勢感知產品作為安全分析的整合平臺，解決了數據和安全產品孤立的痛點，得以整合網絡鏈路、業(yè)務應用、網絡設備、終端、安全設備等所有監(jiān)測對象的數據。此外，等保2.0標準明確指出了要具備對新型攻擊的分析能力，對各類安全事件進行識別和主動預警。態(tài)勢產品不僅需具備安全風險可視化的功能，還要解決安全聯動和安全能力優(yōu)化等問題，使得企業(yè)具備主動防御的能力。最終做到集數據采集、分析、預警、處置、管理為一體，整合各種專業(yè)的安全防護軟件、設備、系統，對網絡空間中的安全要素進行獲取、理解、展示以及風險預測，可視化網內的風險全貌，對安全事件進行自動化處置，從整體上提升企業(yè)對網絡威脅的感知處理能力。

總體而言，網絡安全態(tài)勢感知與防護系統涉及了三大功能模塊：體系化的大數據采集，網絡安全威脅行為分析，基于分析結果的威脅預警和處置。

4.1 大數據采集處理技術

基于云的大數據平臺可支持多種數據源的數據采集和處理，可處理PB級數據。其中的兩大核心技術是：Hadoop分布式文件系統，簡稱HDFS；MapReduce分布式計算平臺。

Hadoop分布式文件系統（HDFS）是被設計成適合運行在通用硬件（commodity hardware）上的分布式文件系統。它和其他的分布式文件系統的主要區(qū)別在于高度容錯性，因此適合部署在廉價的機器上。此外，HDFS能提供高吞吐量的數據訪問，適合大規(guī)模數據集上的應用，MapReduce計算模型，可用于大規(guī)模數據集的并行運算。

4.2 網絡安全威脅行為分析

引入基于機器學習的大數據挖掘技術，對各類型的威脅行為實現智能化精準識別。此外，與外部威脅情報結合進行關聯分析，實現不同安全組件之間數據的綜合聯動，可提高安全態(tài)勢的感知和預測效果。長期來看，網絡安全威脅行為還可實現對關鍵系統或重點關注的安全問題進行周期性長效監(jiān)測。下文將詳述四類威脅行為和場景采用的監(jiān)測技術：僵木蠕監(jiān)測、異常流量監(jiān)測、資產風險感知和網絡攻擊事件監(jiān)測。

（1）實現僵木蠕的態(tài)勢感知

態(tài)勢呈現所展示的效果以企業(yè)網絡環(huán)境為依托，對當天感染僵木蠕情況的數據實時動態(tài)更新，反映感染終端TOP排名、僵木蠕毒TOP排名、重要節(jié)點TOP排名，并為監(jiān)測人員提供僵木蠕毒感染總量的變化趨勢，為網絡安全事件預警提供重要的數據支撐。

（2）實現異常流量的實時監(jiān)控感知

獲取能夠表現流量特征的數值序列，例如：流量的大小、流量的協議分布、流量的業(yè)務等指標，建立流量基線。通過與流量指標基線的對比，直觀地評估網絡流量的健康程度，實時監(jiān)控異常流量特別是DDOS洪泛攻擊、惡意掃描等網絡安全事件態(tài)勢。

（3）實現資產風險態(tài)勢的主動感知

監(jiān)測一定時間周期內平臺存在漏洞和弱配置的總體情況，包括漏洞、弱配置數量、嚴重級別以及非達標配置項數量和合規(guī)率等指標信息。通過漏洞數量、漏洞等級、危害程度、總體數量等指標反映漏洞情況；對不同資產類型包括主機、數據庫、中間件、網絡設備、安全防護設備等，監(jiān)控其配置的合規(guī)情況。

（4）實現網絡攻擊事件的實時監(jiān)測感知

結合機器學習模型，對本地的安全設備日志、網絡流量日志進行分析，實時監(jiān)控SQL注入、XSS、路徑穿越等網絡攻擊行為的態(tài)勢。機器學習模型的構建是基于自研的人工智能引擎，根據已知的正常事件和威脅事件的大量樣本，通過數據挖掘找出有區(qū)分度的特征，建立對威脅事件的識別模型，預測“新事件”的威脅概率，進行威脅評估。

4.3 主動預警與威脅處置

以態(tài)勢感知為核心進行風險的集中管控，規(guī)范風險通報和威脅預警機制，實現主動預警和針對性的威脅處置。預警方面，對潛在的網絡安全威脅進行監(jiān)測及防范。處置方面，根據網絡安全的日常管理需求和應急處置流程實施威脅處置。

使用WebGL/Canvas+SVG技術，實現上述多個維度感知能力的動態(tài)可視化展現。在威脅處置層面，采用分級處置的策略。執(zhí)行者通過統一管理平臺進行安全事件的處置，減少操作風險帶來的損失。同時，可對常規(guī)告警和低級別的安全事件實現自動化快速處置。

5 總結

“等保2.0”的提出，要求企業(yè)在安全建設中周期性的評估縱向和橫向的安全防護能力，向主動防御轉變。從搭建態(tài)勢感知平臺開始，通過態(tài)勢感知平臺聯動企業(yè)內原本孤立的安全設備。服務期間，平臺定期輸出網絡安全態(tài)勢感知報告，對安全防御能力進行周期性巡檢和評估，針對報告中包含的網絡安全風險，定位存在安全隱患的節(jié)點，提供相應的安全服務進行加固。最后形成常態(tài)化的安全建設工作，根據企業(yè)的網絡環(huán)境持續(xù)性優(yōu)化安全設備的部署和配置，構建“感知、監(jiān)測、預警、響應”的閉環(huán)式安全防御機制。由此，中小型企業(yè)在依托電信運營商的網絡安全服務支持下，也可以逐步符合等保2.0標準，形成具備安全感知、安全處置、安全能力優(yōu)化一體化的新型網絡安全態(tài)勢感知方案，做到數字化轉型和安全建設齊頭并起。

[1]付麗麗.等保2.0來了，網絡安全將發(fā)生哪些變化[EB/OL]. http://www.cac.gov.cn/2019-05/29/c_1124555821.htm，2019-5-29.

[2]任婷，于城.從新技術角度談等級保護2.0[J].信息通信技術，2018（6）：14-19.

[3]袁慧.網絡安全等級保護2.0制度的研究和探討[J].信息與電腦，2020（1）：223-224.

[4]吳承承，賀奕丹，朱利，等.電信運營商探索融通發(fā)展道路助力中小企業(yè)高質量發(fā)展[J].通信世界，2019，799（07）：25-27.