劉建兵 王振欣 楊 華 馬旭艷

1(北京北信源軟件股份有限公司 北京 100195)2(中國石油東方地球物理勘探有限責任公司 河北保定 072750)

(fqy-vrv@wo.cn)

網(wǎng)絡安全等級保護2.0(等保2.0)[1]是等保1.0的發(fā)展和提高，適應新的網(wǎng)絡安全形勢、積極落實網(wǎng)絡安全法實施的升級措施.基于網(wǎng)絡安全認識的深化提出了全新的網(wǎng)絡安全維度，脈絡更清晰，重點更突出，最新提出的“安全網(wǎng)絡邊界”和“安全管理中心”，進一步突出了邊界管理和集中管控的重要性，理清了網(wǎng)絡安全的模糊認識，是網(wǎng)絡安全頂層設計的一次飛躍.主動安全網(wǎng)絡架構在支持等保2.0傳統(tǒng)安全要求的基礎上，更契合等保2.0新維度的安全防護要求，可為等保2.0新維度安全要求的落地提供創(chuàng)新的技術和產(chǎn)品支撐.

1 等保2.0的新維度及要求

1.1 等保2.0的新維度

等保2.0相對等保1.0[2]，覆蓋廣度和深度都有所擴展.等保2.0覆蓋全社會，包括各地區(qū)、各單位、各部門、各企業(yè)、各機構；覆蓋所有保護對象，包括網(wǎng)絡、信息系統(tǒng)、云平臺、物聯(lián)網(wǎng)、工控系統(tǒng)、大數(shù)據(jù)、移動互聯(lián)等各類技術應用.

等保2.0從技術的角度看，是構建一個“一個中心(安全管理中心)、三重防護(安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境)”的縱深安全防護體系，如圖1所示；從管理的角度看，在傳統(tǒng)的安全管理制度、機構和人員基礎上，強調(diào)了建設和運維的安全管理.

圖1 等保2.0縱深安全防護體系

等保2.0相對于等保1.0，從較高的層次重新梳理了安全防護的維度，將主機安全、應用安全和數(shù)據(jù)安全歸集成計算環(huán)境安全；將等保1.0中的網(wǎng)絡安全分成安全通信網(wǎng)絡和安全區(qū)域邊界2個維度，新增加了安全管理中心的維度，圖2詳細描述了新維度的安全防護要求：

圖2 等保2.0的新維度

等保2.0明確提出了安全管理中心[3]的新維度，更加強調(diào)了安全管理中心的作用，更明確了集中管控，對網(wǎng)絡中的安全設備或安全組件、安全策略等安全相關事項進行集中檢測和管控.

等保2.0明確提出了安全區(qū)域邊界[4]的新維度，強調(diào)安全防護需要明確安全區(qū)域邊界，并在安全邊界進行多種安全防護工作，包括行為檢查或限制、無線設備受控接入、訪問行為控制等，以提高安全防護效率和效果.

1.2 等保2.0要求

等保2.0對等保1.0版本的安全基本要求進行了重新歸類與整理，同時增加了新技術的擴展要求.因此，等保2.0由一個單獨的基本要求演變?yōu)橥ㄓ冒踩?新技術安全擴展要求，其中安全通用要求是不管等級保護對象形態(tài)如何都必須滿足的要求，針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)提出了特殊要求，稱為安全擴展要求.

等保2.0安全通用要求和擴展要求都以控制類、控制點、要求項的方式進行組織，通用要求分管理和技術2類要求，2類要求各包括5個控制點，每個控制點下包括若干具體要求.在落實等級保護要求時，需要對照具體安全要求進行安全防護，如圖3所示.

圖3 等保2.0安全要求

除了通用要求和擴展要求外，等保2.0與等保1.0總體性要求也基本一致，強調(diào)了安全措施的組合、互補、一致、統(tǒng)一支撐、統(tǒng)一管理等關鍵要點.具體如下:

1) 確保各種安全措施的組合能夠保證等級保護對象整體的安全防護能力；

2) 各個安全控制之間的互補性，通過安全控制的相互關聯(lián)實現(xiàn)等級保護對象的整體安全：保證各個控制強度的一致性，避免某個安全控制減弱導致整體安全防護能力削弱；建立統(tǒng)一的支撐平臺，如建立基于密碼技術的統(tǒng)一支撐平臺，支持身份鑒別、訪問控制、數(shù)據(jù)保密等安全功能；進行集中的安全管理，為了保證分散于各個層面的安全功能在統(tǒng)一的策略指導下實現(xiàn)，應建立集中的管理中心進行統(tǒng)一安全管理.

除了增加安全擴展要求外，等保2.0與等保1.0最大不同在于強調(diào)要構建一個“一個中心(安全管理中心)、三重防護(安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境)”的縱深安全防護體系，其關鍵立意著眼于一個中心、安全區(qū)域邊界和縱深安全防護體系.

等保2.0安全保護范圍擴大，技術基本要求單獨增加安全管理中心；總體性要求里強調(diào)通過集中安全管理中心，在統(tǒng)一策略指導下開展各個層面的安全防護工作；安全區(qū)域邊界從網(wǎng)絡安全中獨立出來，加強網(wǎng)絡邊界防護；總體性要求強調(diào)縱深安全防護等方面綜合分析，此版本的安全要求廣泛而深入地運用社會控制原理的優(yōu)秀理念，與本系列論文的第1篇《主動安全網(wǎng)絡架構——基于社會學原理的網(wǎng)絡安全技術》[5]中明確的社會控制3要素有著直接而清晰的映射關系.具體如下：

1) 等保范圍的增加與社會控制原理對社會行為的普遍控制在廣泛性上一致，都要對普遍的很大范圍的事物及行為進行控制，實現(xiàn)整體有序安全的總體目標；

2) 等保強調(diào)的管理中心與社會控制學原理的中心化的統(tǒng)一組織和策略支撐，二者都強調(diào)統(tǒng)一管理，核心思想完全一致；

3) 等保強調(diào)安全區(qū)域邊界防護與社會控制原理有效的基層執(zhí)行能力都重視基層/邊界，強調(diào)邊界安全能力，邊界作為縱深防御的一道堅固防線充分發(fā)揮安全作用.

等保2.0在整體和關鍵點上都深入融入了社會控制原理的思想和理念，同時也將兵法的精髓吸收到安全保護要求中.一個管理中心，相當于網(wǎng)絡安全作戰(zhàn)指揮部，安全區(qū)域邊界相當于一道道的防線，多道防線構成縱深防御體系，在管理中心/統(tǒng)一指揮部的統(tǒng)一策略指導下，逐道防線狙擊弱化安全威脅和攻擊力量，最終達到有效控制和抵御安全威脅和攻擊的效果和目的.等保2.0對基本要求的梳理和改進，使得安全防護的理念更為先進、落地有效性更好、持續(xù)生命力更強.

2 主動安全網(wǎng)絡架構與等保2.0維度的關系

2.1 主動安全網(wǎng)絡架構功能

主動安全網(wǎng)絡架構(active security network, ASN)由包括IPK(identity public key)密鑰平臺[6]、認證客戶端、邊界認證機、管理控制服務器等主要構件組成，所有構件相互配合，實現(xiàn)了終端安全認證與準入，全網(wǎng)終端、邊界認證機資產(chǎn)的統(tǒng)一管理，全網(wǎng)安全策略的集成、統(tǒng)一管理和執(zhí)行等安全防護功能，主動安全網(wǎng)絡架構功能具體參見系列文章第2篇《主動安全網(wǎng)絡架構設計》[7].

2.2 ASN對等保2.0要求實現(xiàn)

ASN在對等保2.0傳統(tǒng)的安全要求進行實現(xiàn)的同時，更突出了對等保2.0的安全區(qū)域邊界、安全管理中心等新維度要求的實現(xiàn)，如圖4所示.

圖4 ASN對等保2.0新維度要求實現(xiàn)

ASN與等保2.0安全防護維度的關系主要如下：

1) ASN實現(xiàn)了安全通信網(wǎng)絡、安全計算環(huán)境、安全管理制度、安全建設管理和運維管理中心的相關安全防護要求；并對移動互聯(lián)安全擴展要求、工業(yè)控制系統(tǒng)安全擴展要求等進行了相關安全功能實現(xiàn).

2) ASN突出了等保2.0的安全區(qū)域邊界，打造了企業(yè)終端入網(wǎng)的接入邊界，通過邊界認證機圍合起了企業(yè)內(nèi)網(wǎng)終端接入的安全邊界，利用邊界認證機的安全認證、網(wǎng)絡準入、策略管控和執(zhí)行等一體化的安全防護能力，構建了內(nèi)網(wǎng)接入新的安全防線.通過邊界認證機與安全管理中心(管理控制服務器)的配合，實現(xiàn)企業(yè)終端(包括通用終端、啞終端和移動終端)的認證準入、資產(chǎn)管理、策略管控等核心安全服務.

3) ASN同樣也重視安全管理中心的核心作用，并通過管理控制服務器實現(xiàn)了安全管理中心的功能.通過管理控制服務器實現(xiàn)接入終端、邊界認證機的資產(chǎn)統(tǒng)一管理；實現(xiàn)企業(yè)安全策略的統(tǒng)一管理；通過管理控制服務器與邊界認證機的配合，實現(xiàn)企業(yè)統(tǒng)一安全策略快速隨行部署與執(zhí)行.

3 主動安全網(wǎng)絡架構對等保2.0的支撐作用

3.1 ASN對等保2.0的技術支撐

ASN對安全通信網(wǎng)絡、安全區(qū)域邊界和安全管理中心的要求落地起到了強力的支撐作用.其中對安全區(qū)域邊界的邊界防護和訪問控制、安全管理中心中集中管控的設備集中管控、策略集中管理等方面的支撐更加突出，具體情況如表1所示.

表1 ASN對等保2.0的技術支撐

3.2 ASN對等保2.0的管理支撐

ASN對安全管理制度、安全建設管理和安全運維管理的要求落地，起到了強力的支撐作用.其中對安全管理制度的安全策略、安全運維管理的資產(chǎn)管理和密碼管理等的支撐更加突出，具體情況如表2所示.

表2 ASN對等保2.0的管理支撐

3.3 ASN對等保2.0安全擴展要求支撐

ASN對等保2.0中的移動互聯(lián)安全擴展要求的安全區(qū)域邊界的訪問控制和配置管理、工業(yè)控制系統(tǒng)安全擴展要求的安全通信網(wǎng)絡的通信傳輸、無線使用控制、安全計算環(huán)境的控制設備安全等方面也進行了有力支撐，具體情況如表3所示：

表3 ASN對等保2.0安全擴展要求的支撐

4 以主動安全網(wǎng)絡架構提升安全核心能力

4.1 網(wǎng)絡安全合規(guī)要求的實現(xiàn)

等保2.0安全要求的目的是提高網(wǎng)絡安全防護能力，構建一個中心、三重防護的網(wǎng)絡安全縱深防護體系，改變網(wǎng)絡安全防護被動防御的局面，爭取網(wǎng)絡安全防護的主動權，實現(xiàn)網(wǎng)絡安全縱深防御和協(xié)同防護.

主動安全網(wǎng)絡架構非常契合等保2.0的安全要求，尤其對等保2.0新維度安全要求的支撐更加強勁.主動安全網(wǎng)絡架構通過創(chuàng)新的理念和技術研發(fā)的產(chǎn)品，實現(xiàn)了網(wǎng)絡的內(nèi)生安全和主動動態(tài)防御，為等級保護通用安全要求和安全擴展要求的落地實施推廣提供了堅實的技術和產(chǎn)品支撐與保障.

4.2 網(wǎng)絡內(nèi)生安全防護能力

主動安全網(wǎng)絡架構將安全能力融入到網(wǎng)絡中，實現(xiàn)了網(wǎng)絡和安全一體化，使得網(wǎng)絡內(nèi)生安全能力[8]可在網(wǎng)絡主路徑上實現(xiàn)強有力的安全防護措施，改變了傳統(tǒng)安全措施旁路的無奈方式，開創(chuàng)了網(wǎng)絡安全防護新思路.

主動安全網(wǎng)絡架構運行全面通過密碼技術支撐，實現(xiàn)了國密算法的全面使用[9-10]，從底層的密碼層面做到安全自主可控.內(nèi)生安全防護能力有了國密技術加持，差異化優(yōu)勢明顯，安全防護強度更高.

通過網(wǎng)絡內(nèi)生安全防護能力，構建了終端入網(wǎng)的統(tǒng)一邊界.打造了邊界認證機之間的網(wǎng)絡互聯(lián)信任邊界，從而實現(xiàn)了網(wǎng)絡接入和互聯(lián)的全方位安全防護，消除了網(wǎng)絡安全死角，構建了網(wǎng)絡統(tǒng)一的堅固防線.

4.3 網(wǎng)絡安全主動動態(tài)防御

主動安全網(wǎng)絡架構對計算機類通用終端、打印機等啞終端、手機等移動終端通過CID唯一標識身份，利用邊界認證機對設備入網(wǎng)進行認證準入.架構的管理控制服務器作為安全管理中心進行終端、邊界認證機資產(chǎn)的統(tǒng)一管理和安全策略的統(tǒng)一管理和發(fā)布，安全策略隨著終端上線而下發(fā)，離線而撤銷，并隨著終端的移動，準確下達安全策略至終端接入的邊界認證機，實現(xiàn)了網(wǎng)絡安全的動態(tài)防護[11].

主動安全網(wǎng)絡架構充分集成了其他安全應用/系統(tǒng)/設備的安全策略，通過開放集成協(xié)議接收其他安全應用/系統(tǒng)/設備發(fā)送的安全策略，集全網(wǎng)安全智慧之大成，在發(fā)現(xiàn)安全威脅或進攻時可快速與全網(wǎng)安全應用/系統(tǒng)/設備協(xié)同聯(lián)動，快速主動下發(fā)安全策略進行安全防護，實現(xiàn)了網(wǎng)絡安全的主動防御.

主動安全網(wǎng)絡架構改變了安全管理和運行人員的網(wǎng)絡安全防護工作方式，將原來四處救火的安全防護方式變成集中精力研究體系化的安全策略上來，將安全管理和運行人員從瑣碎的安全防護工作中解放出來，專心于企業(yè)安全防護的核心——安全策略的制定和執(zhí)行，達到安全防護事半功倍的效果.

5 總 結

主動網(wǎng)絡安全架構對等保2.0進行了有力支撐，尤其是對于等保2.0的新維度進行了創(chuàng)新性的技術實現(xiàn)，使得等保2.0的落地有了技術保障.主動網(wǎng)絡安全架構對于移動互聯(lián)、工業(yè)控制等擴展要求也進行了相關技術實現(xiàn)，為等保擴展領域提供了技術基礎.新的架構和技術使得網(wǎng)絡內(nèi)生安全能力，可主動動態(tài)防御，改變了網(wǎng)絡安全防護思路和模式，聚焦了網(wǎng)絡安全核心工作和能力，將顯著提高網(wǎng)絡安全防護的效率和效果.