雷楓

摘要：簡(jiǎn)要剖析等保2.0規(guī)范體系，提出了機(jī)構(gòu)適用的網(wǎng)絡(luò)安全技術(shù)模型方案。方案以“一個(gè)中心，三重防護(hù)”框架為遵循，結(jié)合機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)各業(yè)務(wù)域的安全需求，設(shè)計(jì)了安全網(wǎng)絡(luò)架構(gòu)和可信通信機(jī)制、終端主動(dòng)防御、關(guān)鍵業(yè)務(wù)計(jì)算環(huán)境安全可信架構(gòu)和入侵防范、安全管理中心等層面技術(shù)模型，模型注重融合威脅情報(bào)、統(tǒng)籌安全與管理信息有效集成，構(gòu)建對(duì)未知威脅的主動(dòng)發(fā)現(xiàn)和動(dòng)態(tài)防御的安全運(yùn)營(yíng)能力構(gòu)建，形成具有縱深安全防御機(jī)制的基于實(shí)戰(zhàn)的網(wǎng)絡(luò)安全防護(hù)體系。

關(guān)鍵詞：網(wǎng)絡(luò)安全；等保2.0；“一個(gè)中心，三重防護(hù)”；主動(dòng)防御

一、前言

在“互聯(lián)網(wǎng)+”、云計(jì)算、大數(shù)據(jù)等戰(zhàn)略性新技術(shù)的發(fā)展驅(qū)動(dòng)下，機(jī)構(gòu)實(shí)現(xiàn)了基于網(wǎng)絡(luò)的科研和管理的整體協(xié)同，學(xué)術(shù)研究、理論傳播、人才培養(yǎng)和科研管理服務(wù)向“智慧”轉(zhuǎn)變。與此同時(shí)也伴隨著網(wǎng)絡(luò)安全領(lǐng)域的攻守科技向著動(dòng)態(tài)縱深方向深入發(fā)展轉(zhuǎn)化，帶來了嚴(yán)重的危害升級(jí)。在雙層社會(huì)的背景下，《網(wǎng)絡(luò)安全法》及其配套的網(wǎng)絡(luò)安全等保制度2.0系列標(biāo)準(zhǔn)出臺(tái)，對(duì)網(wǎng)絡(luò)安全攻防手段和管理技術(shù)提出新的更高要求，代表著國(guó)家對(duì)網(wǎng)絡(luò)社會(huì)的治理形態(tài)和治理模式的同步升級(jí)，以國(guó)家標(biāo)準(zhǔn)為指引進(jìn)行網(wǎng)絡(luò)安全保障體系構(gòu)建，這不僅是安全合規(guī)內(nèi)在要求，也是法律層面的“必過標(biāo)桿”。本文圍繞貫徹等保2.0標(biāo)準(zhǔn)，對(duì)機(jī)構(gòu)適用的網(wǎng)絡(luò)安全技術(shù)模型進(jìn)行探討。

二、網(wǎng)絡(luò)安全技術(shù)模型設(shè)計(jì)依據(jù)與思路

等保2.0提出“分等級(jí)保護(hù)、突出重點(diǎn)、積極防御、綜合防護(hù)”的總體要求，指出安全是覆蓋網(wǎng)絡(luò)安全、業(yè)務(wù)安全、數(shù)據(jù)安全特別是關(guān)鍵信息基礎(chǔ)設(shè)施安全等多個(gè)維度的綜合安全，明確以“主動(dòng)防護(hù)、動(dòng)態(tài)防護(hù)、整體防護(hù)、精準(zhǔn)防護(hù)”總體原則作為網(wǎng)絡(luò)安全體系設(shè)計(jì)的遵循。按照標(biāo)準(zhǔn)提出的框架，機(jī)構(gòu)網(wǎng)絡(luò)安全保障體系應(yīng)以計(jì)算環(huán)境安全為基礎(chǔ)，以區(qū)域邊界安全、通信網(wǎng)絡(luò)安全為保障，以安全管理中心為核心，構(gòu)造“一個(gè)中心，三重防護(hù)”架構(gòu)。2.0管理體系明確了各部分目標(biāo)安全保護(hù)策略和技術(shù)路徑，特別要求“構(gòu)建網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)能力、建立可信安全機(jī)制、統(tǒng)籌安全日志與管理信息有效集成、搭建安全管理制度體系”，對(duì)機(jī)構(gòu)安全設(shè)計(jì)與實(shí)施具有綱領(lǐng)性作用。結(jié)合“學(xué)術(shù)研究和管理職能的機(jī)密性、完整性、可用性、可靠性、可控性和不可否認(rèn)性”的網(wǎng)絡(luò)安全戰(zhàn)略目標(biāo)，機(jī)構(gòu)安全技術(shù)體系各部分具體技術(shù)模型的構(gòu)建，應(yīng)在分析具體業(yè)務(wù)和區(qū)域面臨的實(shí)際風(fēng)險(xiǎn)和安全需求，結(jié)合標(biāo)準(zhǔn)規(guī)定的技術(shù)控制點(diǎn)因地制宜地構(gòu)建[1-3]。

三、安全的網(wǎng)絡(luò)架構(gòu)和跨域通信機(jī)制設(shè)計(jì)

機(jī)構(gòu)內(nèi)網(wǎng)在城市范圍搭建，還開展基于移動(dòng)互聯(lián)網(wǎng)和云平臺(tái)的科研和服務(wù)活動(dòng)，網(wǎng)絡(luò)安全邊界擴(kuò)大帶來復(fù)雜多變的安全環(huán)境?；诘缺?.0提出的“網(wǎng)絡(luò)安全分層”“業(yè)務(wù)安全分域”的思路，機(jī)構(gòu)應(yīng)按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”原則謀劃安全域和網(wǎng)絡(luò)分區(qū)，構(gòu)建隔離邊界，嚴(yán)格訪問控制，確保信息獨(dú)立傳輸。

（一）安全分區(qū)和信息獨(dú)立傳輸

根據(jù)業(yè)務(wù)系統(tǒng)功能和數(shù)據(jù)生產(chǎn)主體劃分業(yè)務(wù)安全域，形成理論學(xué)科網(wǎng)、文獻(xiàn)數(shù)據(jù)中心、管理服務(wù)系統(tǒng)、教育信息系統(tǒng)、互聯(lián)網(wǎng)服務(wù)等安全域；在每個(gè)安全域邊界部署防火墻或網(wǎng)閘，從物理或邏輯上保證與信息應(yīng)用區(qū)隔離，并根據(jù)需求建立跨邊界訪問的權(quán)限和端口管控。

信息應(yīng)用區(qū)則根據(jù)職能、學(xué)部和地理園區(qū)、網(wǎng)絡(luò)功能等維度梳理，采用VLAN進(jìn)行橫向邏輯隔離，利用設(shè)備ACL管理跨網(wǎng)段訪問，隔離廣播風(fēng)暴、蠕蟲病毒攻擊，同時(shí)采用域控等方式控制節(jié)點(diǎn)準(zhǔn)入。

對(duì)于科研協(xié)作、遠(yuǎn)程辦公等與互聯(lián)網(wǎng)交互的移動(dòng)業(yè)務(wù)，對(duì)標(biāo)移動(dòng)互聯(lián)、云計(jì)算安全擴(kuò)展要求，采用加密虛擬專網(wǎng)（SSLVPN）技術(shù)劃分實(shí)時(shí)非實(shí)時(shí)子網(wǎng)形成擴(kuò)展應(yīng)用網(wǎng)絡(luò)，保證數(shù)據(jù)交互的保密性和完整性，同時(shí)采用綁定移動(dòng)設(shè)備MAC、身份認(rèn)證等控制準(zhǔn)入。

對(duì)于跨子網(wǎng)甚至分區(qū)縱向通信的內(nèi)網(wǎng)應(yīng)用，如統(tǒng)籌院所兩級(jí)治理的管理服務(wù)系統(tǒng)、聯(lián)合所級(jí)學(xué)科教務(wù)管理和遠(yuǎn)程教學(xué)的教育管理系統(tǒng)等，業(yè)務(wù)流程交叉，應(yīng)采用設(shè)置IP白名單或身份認(rèn)證加密等訪問控制措施，或利用軟件隔離技術(shù)建立網(wǎng)絡(luò)資源訪問權(quán)限管控，通過移動(dòng)互聯(lián)進(jìn)入安全域的還可采用網(wǎng)閘連通并控制交互地址端口來管理跨域訪問。

（二）基于互聯(lián)網(wǎng)態(tài)勢(shì)感知的邊界防護(hù)

網(wǎng)絡(luò)邊界合規(guī)防御要求實(shí)施融入安全態(tài)勢(shì)感知的主動(dòng)威脅監(jiān)測(cè)預(yù)警，服務(wù)于安全運(yùn)營(yíng)。在全網(wǎng)出口處數(shù)據(jù)檢測(cè)設(shè)備中嵌入在線IP/域名解析系統(tǒng)，將互聯(lián)網(wǎng)公開的有關(guān)惡意域名、僵尸網(wǎng)絡(luò)等威脅情報(bào)與網(wǎng)絡(luò)流量匹配，全天候感知安全態(tài)勢(shì)和威脅捕捉，據(jù)此聯(lián)動(dòng)調(diào)整邊界防火墻的規(guī)則策略，實(shí)施封堵僵尸網(wǎng)絡(luò)和暗網(wǎng)代理、下線釣魚網(wǎng)站等嚴(yán)格的內(nèi)外訪問控制策略。這種融入態(tài)勢(shì)感知的邊界防護(hù)，比基于特征值黑名單比對(duì)的傳統(tǒng)防火墻具有更主動(dòng)積極防御能力，能有效應(yīng)對(duì)APT等新型安全威脅，符合等保2.0“安全防護(hù)與安全監(jiān)測(cè)有機(jī)結(jié)合”思想。對(duì)于業(yè)務(wù)安全域特別是面向互聯(lián)網(wǎng)的“門戶”系統(tǒng)，其邊界防護(hù)則另有一套技術(shù)框架[4-5]。

四、終端主動(dòng)安全防御

終端是高級(jí)威脅進(jìn)入內(nèi)網(wǎng)的重要途徑，為避免保全網(wǎng)終端（包括業(yè)務(wù)服務(wù)器和用戶終端）被黑客侵入或作為橋頭堡實(shí)施高級(jí)威脅入侵，機(jī)構(gòu)安全防御體系必然向終端縱深延伸。入侵行為檢測(cè)與阻斷、安全漏洞發(fā)現(xiàn)與升級(jí)、網(wǎng)絡(luò)級(jí)病毒木馬協(xié)同防御等，可作為主機(jī)安全基線建設(shè)目標(biāo)，具體如下。

（一）終端靜態(tài)防護(hù)

靜態(tài)防御采用特征值比對(duì)的預(yù)設(shè)安全策略手段，用于抵御已知終端風(fēng)險(xiǎn)。包括：終端基準(zhǔn)化合規(guī)配置管理；最小服務(wù)和組件加固原則構(gòu)造數(shù)據(jù)孤島；網(wǎng)絡(luò)微隔離策略阻斷已知勒索病毒、蠕蟲病毒傳播；可信IP白名單+MAC或網(wǎng)關(guān)綁定防ARP攻擊；采用HIDS系統(tǒng)進(jìn)行入侵行為感知分析和阻斷；實(shí)施郵件網(wǎng)關(guān)防護(hù)垃圾郵件和病毒郵件，并進(jìn)行內(nèi)容過濾、惡鏈識(shí)別等深度檢測(cè)。

（二）終端動(dòng)態(tài)防護(hù)

基于攻防視角的端點(diǎn)防護(hù)采用EDR機(jī)制，整合防病毒、漏補(bǔ)、主機(jī)防火等多層防御管理功能，分別在云端、管理端、客戶端進(jìn)行總體部署，其管理端安全模型如圖1所示：（1）通過學(xué)習(xí)生成用戶行為知識(shí)庫，并引入云端威脅情報(bào)比對(duì)生成惡意行為特征庫；（2）將實(shí)時(shí)獲得的終端運(yùn)行數(shù)據(jù)與以上特征庫關(guān)聯(lián)分析，確定異常行為攻擊對(duì)象、攻擊步驟和范圍，并根據(jù)內(nèi)賦策略腳本對(duì)終端進(jìn)行威脅應(yīng)急處理，如補(bǔ)丁批量修復(fù)、病毒查殺、端點(diǎn)隔離等。EDR機(jī)制通過自我學(xué)習(xí)提供終端全生命周期安全防護(hù)，能于威脅事件發(fā)生前、發(fā)生中、發(fā)生后依次進(jìn)行感知預(yù)警、安全加固、聯(lián)動(dòng)處置，使內(nèi)網(wǎng)免遭Oday漏洞、隱蔽性高的病毒木馬等的威脅。

（三）終端軟硬件可信部署

等保2.0要求把各環(huán)節(jié)可信驗(yàn)證運(yùn)用于整體防護(hù)，其最根本的驗(yàn)證控制點(diǎn)在終端環(huán)節(jié)，不論服務(wù)器還是PC，加載的系統(tǒng)和運(yùn)行的軟件都是相對(duì)有限或固定的，甚至服務(wù)器的對(duì)外交互數(shù)據(jù)格式也是固定的，因此，每個(gè)終端軟硬件體系自下而上采用可信芯片、可信OS及其可信軟件基，可信安全管理平臺(tái)統(tǒng)一管理所有接入終端的應(yīng)用和系統(tǒng)環(huán)境，可信軟件庫為終端提供可信軟件，連同受信任的芯片為整個(gè)信息系統(tǒng)提供信任的根源[6]。

五、安全計(jì)算環(huán)境構(gòu)建

業(yè)務(wù)系統(tǒng)對(duì)可用性、可靠性和不可篡改性要求較高，考慮到理論學(xué)術(shù)網(wǎng)被攻擊的社會(huì)放大效應(yīng)、高品質(zhì)科研數(shù)據(jù)已成為機(jī)構(gòu)重要生產(chǎn)資源，而管理服務(wù)系統(tǒng)一旦遭到破壞將影響機(jī)構(gòu)平穩(wěn)運(yùn)轉(zhuǎn)等等，應(yīng)對(duì)每個(gè)系統(tǒng)實(shí)際運(yùn)行風(fēng)險(xiǎn)進(jìn)行綜合分析，結(jié)合系統(tǒng)等保定級(jí)，嚴(yán)格按照《等保安全設(shè)計(jì)技術(shù)要求》（GB/T25070-2019）因地制宜地合規(guī)防護(hù)。

（一）計(jì)算環(huán)境安全可信架構(gòu)

由于采用通用芯片和系統(tǒng)軟件、應(yīng)用軟件等可能導(dǎo)致計(jì)算環(huán)境產(chǎn)生包括異常登錄、遠(yuǎn)控木馬、跨站腳本攻擊、緩沖區(qū)溢出等漏洞隱患，在可信芯片—可信指令—操作系統(tǒng)層可信軟件基基礎(chǔ)上，結(jié)合對(duì)操作系統(tǒng)的漏洞發(fā)現(xiàn)、惡意代碼檢測(cè)、系統(tǒng)補(bǔ)丁升級(jí)等相關(guān)集中安全管理，再融合身份鑒別、安全審計(jì)和訪問控制、入侵防范等安全策略配置，形成可信安全計(jì)算環(huán)境；應(yīng)用層則通過在可信安全管理平臺(tái)設(shè)置關(guān)聯(lián)業(yè)務(wù)軟件為白名單，根據(jù)軟件安全規(guī)則攔截攻擊，彌補(bǔ)安全漏洞未及時(shí)修補(bǔ)造成的安全威脅。計(jì)算環(huán)境安全可信架構(gòu)如圖2，自下而上覆蓋主機(jī)系統(tǒng)、安全通信機(jī)制、可信應(yīng)用基礎(chǔ)、業(yè)務(wù)軟件安全、數(shù)據(jù)完整和保密以及安全域入侵防范等層面。

（二）業(yè)務(wù)軟件安全

從業(yè)務(wù)軟件架構(gòu)和研發(fā)管理等方面進(jìn)行控制：（1）強(qiáng)化可信計(jì)算技術(shù)，選擇可靠算法和最優(yōu)設(shè)備配置，強(qiáng)制使用遵循國(guó)家或行業(yè)標(biāo)準(zhǔn)的密碼算法，建立從系統(tǒng)到應(yīng)用的信任鏈，避免計(jì)算數(shù)據(jù)改變、基礎(chǔ)數(shù)據(jù)蒸發(fā)等巨大安全隱患；（2）在軟件開發(fā)管理框架的關(guān)鍵路徑加入安全檢查，出現(xiàn)漏洞只需更改框架，避免到處漏水；（3）將安全審核、可信驗(yàn)證（程序可信執(zhí)行保護(hù)）作為關(guān)鍵環(huán)節(jié)布控到上線前的業(yè)務(wù)發(fā)布流程以嚴(yán)防出口，并實(shí)行高危漏洞一票否決；（4）遵循“專用原則”進(jìn)行主機(jī)系統(tǒng)角色劃分，避免一臺(tái)主機(jī)多種角色，結(jié)合微隔離策略再次進(jìn)行業(yè)務(wù)邏輯劃域隔離，如將應(yīng)用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)分區(qū)隔離以應(yīng)對(duì)不同角色訪問流量識(shí)別和控制；（5）健全系統(tǒng)生命周期安全管理，上線前、上線后定期開展?jié)B透測(cè)試和漏掃漏補(bǔ)。

（三）網(wǎng)絡(luò)空間信任體系

業(yè)務(wù)系統(tǒng)可信驗(yàn)證控制點(diǎn)還包括系統(tǒng)的身份信任鑒別和安全審計(jì)，統(tǒng)籌機(jī)構(gòu)所有統(tǒng)建系統(tǒng)可信身份服務(wù)基礎(chǔ)體系建設(shè)，以安全身份標(biāo)識(shí)貫穿所有業(yè)務(wù)，降低身份鑒別核查成本，并強(qiáng)制采用生物、電信、密鑰等組合身份鑒別技術(shù)。特別強(qiáng)調(diào)：（1）強(qiáng)制對(duì)應(yīng)內(nèi)外用戶的不同權(quán)責(zé)進(jìn)行主機(jī)和系統(tǒng)資源權(quán)限邊界和訪問策略設(shè)計(jì)，甚至采用個(gè)人門戶組件實(shí)現(xiàn)資源訪問控制；（2）注重對(duì)賬號(hào)的狀態(tài)度量，部署與等保等級(jí)相適應(yīng)的安全審計(jì)系統(tǒng)，除了失敗訪問審計(jì)，必要時(shí)還應(yīng)增加對(duì)關(guān)鍵資源成功訪問的審計(jì)。

（四）數(shù)據(jù)生命周期安全

機(jī)構(gòu)對(duì)外業(yè)務(wù)的數(shù)據(jù)生產(chǎn)組織及系統(tǒng)運(yùn)轉(zhuǎn)雖流程相對(duì)單一，但數(shù)據(jù)被篡改帶來的社會(huì)反響較大，對(duì)內(nèi)業(yè)務(wù)如學(xué)術(shù)創(chuàng)新研究的集中規(guī)劃和分散執(zhí)行管理涉及多層級(jí)協(xié)同，流程交叉繁復(fù)，數(shù)據(jù)全流程安全防護(hù)至關(guān)重要。計(jì)算可信架構(gòu)中，數(shù)據(jù)計(jì)算環(huán)境、通信網(wǎng)絡(luò)、使用存儲(chǔ)和管理都應(yīng)有完整的信任鏈，其技術(shù)控制點(diǎn)如下：（1）在數(shù)據(jù)采集、生產(chǎn)和服務(wù)階段采取防爬技術(shù)，細(xì)化數(shù)據(jù)訪問權(quán)限和訪問關(guān)系控制；（2）數(shù)據(jù)存儲(chǔ)時(shí)應(yīng)設(shè)置數(shù)據(jù)安全域并開啟防擦除功能，配備數(shù)據(jù)庫審計(jì)，并實(shí)施數(shù)據(jù)的備份和恢復(fù)技術(shù)架構(gòu)；（3）數(shù)據(jù)傳輸通道采用網(wǎng)絡(luò)層加密保護(hù)，對(duì)管理數(shù)據(jù)增加加密校驗(yàn)機(jī)制，對(duì)于文獻(xiàn)服務(wù)和教學(xué)數(shù)據(jù)采用數(shù)據(jù)脫敏加密確保數(shù)據(jù)結(jié)構(gòu)完整，以及采用水印技術(shù)利于泄密后溯源等等；（4）對(duì)于需高低安全域間跨網(wǎng)交換數(shù)據(jù)的業(yè)務(wù)，可設(shè)置代理服務(wù)器實(shí)施可信接入或設(shè)置防火網(wǎng)關(guān)完成內(nèi)外數(shù)據(jù)擺渡，如理論學(xué)術(shù)網(wǎng)流媒體審聽代理。

（五）災(zāi)難恢復(fù)技術(shù)保障

服務(wù)于安全運(yùn)營(yíng)的業(yè)務(wù)域安全架構(gòu)，還可以通過結(jié)構(gòu)性冗余設(shè)計(jì)來落實(shí)：（1）對(duì)于理論網(wǎng)等關(guān)鍵業(yè)務(wù)采用雙鏈路、雙機(jī)熱備或集群、負(fù)載均衡、軟件容錯(cuò)等自適應(yīng)安全架構(gòu)設(shè)計(jì)，在實(shí)現(xiàn)硬件災(zāi)備同時(shí)，強(qiáng)化數(shù)據(jù)和應(yīng)用的容災(zāi)和恢復(fù)能力，確保災(zāi)難發(fā)生時(shí)業(yè)務(wù)系統(tǒng)按照預(yù)先定義的流程平滑切換、連續(xù)運(yùn)行；（2）云計(jì)算虛擬化業(yè)務(wù)一般通過保證虛擬機(jī)漂移環(huán)境和數(shù)據(jù)與系統(tǒng)的云端CDP備份的方式實(shí)現(xiàn)冗余；（3）數(shù)據(jù)存儲(chǔ)一般通過磁盤熱備甚至基于 LUN 域冗余熱備的技術(shù)疊加方式保障數(shù)據(jù)安全。

（六）安全域邊界防護(hù)和入侵防范

不同的業(yè)務(wù)系統(tǒng)采用不同的安全域邊界入侵防范架構(gòu)。（1）針對(duì)理論學(xué)術(shù)網(wǎng)、學(xué)術(shù)期刊網(wǎng)等對(duì)外提供 Web 服務(wù)的“門戶”，采用WAF對(duì)Web特有攻擊方式進(jìn)行防護(hù)，其特征庫支持HTTP協(xié)議效驗(yàn)、爬蟲規(guī)則、防盜鏈規(guī)則等多種細(xì)粒度匹配規(guī)則，相比基于包過濾和端口限制的邊界防護(hù)，WAF能對(duì)Web請(qǐng)求進(jìn)行協(xié)議級(jí)解析，發(fā)現(xiàn)在數(shù)據(jù)層面構(gòu)造的攻擊負(fù)載；若配合DNS牽引篩選非正常請(qǐng)求，由云端帶寬和服務(wù)器作為資源支撐，可瓦解DDos等拒絕服務(wù)攻擊；特別對(duì)等保3級(jí)系統(tǒng)，再引入云端威脅感知和IPS協(xié)同防御、內(nèi)置網(wǎng)頁監(jiān)控防篡改，構(gòu)建“安全防護(hù)、安全監(jiān)測(cè)與安全阻斷”三維一體結(jié)構(gòu)，達(dá)成重塑網(wǎng)站邊界和智能縱深防御。（2）對(duì)內(nèi)服務(wù)的業(yè)務(wù)域系統(tǒng)同樣應(yīng)部署“邊界防護(hù)+IPS”來協(xié)同入侵防范與阻斷，防止系統(tǒng)因?yàn)椴灰?guī)范的數(shù)據(jù)傳輸被從服務(wù)端口植入木馬，即便單個(gè)設(shè)備失陷，風(fēng)險(xiǎn)在域內(nèi)傳播也會(huì)很快被發(fā)現(xiàn)并阻斷。（3）Web門戶系統(tǒng)還可采用Web反向代理作為公網(wǎng)訪問地址，代為接收Web請(qǐng)求并提供應(yīng)答，將真正Web服務(wù)器隱藏在內(nèi)網(wǎng)。（4）所有業(yè)務(wù)域設(shè)置堡壘機(jī)作為綜合運(yùn)維入口，根據(jù)運(yùn)維者的角色和權(quán)責(zé)開具訪問權(quán)限，進(jìn)行細(xì)粒度資源訪問控制，保證開放權(quán)限最小化[7]。

六、安全運(yùn)營(yíng)能力建設(shè)——安全運(yùn)行管理中心

根據(jù)上述，業(yè)務(wù)域以“主機(jī)可信架構(gòu)”結(jié)合“防火墻或WAF+IPS/安全通信”構(gòu)造安全防護(hù)，人員區(qū)域（含互聯(lián)網(wǎng)服務(wù)）以“防火墻+態(tài)勢(shì)感知+郵件網(wǎng)關(guān)”和終端本身為防御邊界，輔以EDR防毒等內(nèi)部防御，但這些基礎(chǔ)防御都是基于點(diǎn)位和單維策略的安全孤島，針對(duì)機(jī)構(gòu)安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)三個(gè)部分的安全機(jī)制，還應(yīng)通過統(tǒng)一的“安全管理中心”來統(tǒng)籌多維網(wǎng)絡(luò)監(jiān)測(cè)、統(tǒng)一審計(jì)，綜合分析把控整體安全態(tài)勢(shì)，并進(jìn)行協(xié)同防護(hù)，才能預(yù)期對(duì)抗多維未知高級(jí)威脅攻擊。

管理中心需要集成四個(gè)維度的管理流程：對(duì)所有區(qū)域設(shè)置的安全監(jiān)測(cè)、系統(tǒng)管理設(shè)備實(shí)施統(tǒng)一日志采集；對(duì)匯總的審計(jì)數(shù)據(jù)進(jìn)行集中分析；對(duì)安全策略、漏洞補(bǔ)丁升級(jí)等事項(xiàng)進(jìn)行集中管理；對(duì)安全風(fēng)險(xiǎn)事件進(jìn)行預(yù)警和響應(yīng)運(yùn)維。管理中心實(shí)現(xiàn)的是傳統(tǒng)的安全監(jiān)控分析和響應(yīng)修復(fù)、安全人員、制度和流程有機(jī)結(jié)合的一套綜合監(jiān)測(cè)攻防工作機(jī)制，在制度、流程和技術(shù)三要素中，制度是基于機(jī)構(gòu)系統(tǒng)的安全要點(diǎn)和難點(diǎn)制定的策略、預(yù)案、操作規(guī)程，需融入整體安全管理工作任務(wù)處置的流程建設(shè)，而流程是制度和技術(shù)平臺(tái)的銜接。作為一個(gè)龐大的可度量的安全運(yùn)維技術(shù)體系，其功能模塊、平臺(tái)架構(gòu)等具體技術(shù)控制點(diǎn)需另文敘述[8]。

七、結(jié)語

以“三重防護(hù)”為基本，以“一個(gè)中心”為核心構(gòu)建的機(jī)構(gòu)網(wǎng)絡(luò)安全綜合技術(shù)模型，基于物理組網(wǎng)架構(gòu)和客觀業(yè)務(wù)需求，構(gòu)筑了橫向縱向網(wǎng)絡(luò)區(qū)域及邊界隔離，搭建可信通信機(jī)制、關(guān)鍵業(yè)務(wù)安全計(jì)算環(huán)境可信架構(gòu)和入侵防范體系組成的可信安全機(jī)制，防御體系甚至延伸到端點(diǎn)層面，組成了一個(gè)安全結(jié)構(gòu)矩陣。此中注重融合威脅情報(bào)，統(tǒng)籌安全、日志、管理信息有效集成，構(gòu)建對(duì)未知威脅的主動(dòng)發(fā)現(xiàn)能力，為安全運(yùn)營(yíng)注入了以主動(dòng)加固、溯源聯(lián)動(dòng)為策略的集中管控，形成具有縱深安全防御機(jī)制的基于實(shí)戰(zhàn)的網(wǎng)絡(luò)安全防護(hù)體系。

此外，依照等保 2.0 體系要求，在業(yè)務(wù)信息系統(tǒng)設(shè)計(jì)實(shí)施階段，就要按照“三同步”原則落實(shí)相應(yīng)安全體系建設(shè)，落實(shí)項(xiàng)目管理安全責(zé)任，完善與管理中心融合的安全管理制度體系建設(shè)；同時(shí)，還要將安全技術(shù)能力與人的安全能力和修養(yǎng)建設(shè)有機(jī)整合，強(qiáng)化各級(jí)人員對(duì)網(wǎng)絡(luò)安全嚴(yán)峻形勢(shì)認(rèn)識(shí)和安全操作技能，深耕日常運(yùn)維工作，建設(shè)安全文化、安全生態(tài)。

參考文獻(xiàn)

[1]GB/T 22239-2019，《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》[S].2019.

[2]GB/T 25070-2019，《網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2020．

[3]何占博，王穎，劉軍.我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)現(xiàn)狀與2.0標(biāo)準(zhǔn)體系研究[J].信息技術(shù)與網(wǎng)絡(luò)安全，2019，38（3）：9-14+19.

[4]王斯梁，馮暄，蔡友保，等.等保2.0下的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方案研究[J].信息安全研究，2019，5（9）：828-833.

[5]道法自然.對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的理解和認(rèn)識(shí)［J/OL］.https：//blog.csdn.net/wyqwilliam/article/details/82596594？spm，2018-09-10.

[6]Hunter.信息安全-如何使用新技術(shù)EDR保障終端安全［J/OL］.https：//blog.csdn.net/u010914634/article/details/105994727？spm，2020-05-08.

[7]張宇翔，陶源.基于等級(jí)保護(hù)與可信計(jì)算構(gòu)建我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保障體系[J].信息安全研究，2017，3（4）：375-381.

[8]GB/T 36958-2018，《網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理中心技術(shù)要求》[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2020.

作者單位：中國(guó)社會(huì)科學(xué)院當(dāng)代中國(guó)研究所