《中華人民共和國(guó)網(wǎng)絡(luò)安全法》于2017年6月1日頒布，明確了國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，標(biāo)志了等級(jí)保護(hù)制度的法律地位，等級(jí)保護(hù)制度是國(guó)家的基本制度、基本國(guó)策、地位特殊，對(duì)于維護(hù)中國(guó)網(wǎng)絡(luò)安全、維護(hù)國(guó)家安全、社會(huì)秩序和公共利益意義重大。

為了配合網(wǎng)絡(luò)安全法的實(shí)施，同時(shí)適應(yīng)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)、新應(yīng)用情況下網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的開展，彌補(bǔ)等保1.0標(biāo)準(zhǔn)在適用性、時(shí)效性、可操作性等方面的缺陷，公安部組織相關(guān)單位制定并發(fā)布了等保2.0系列標(biāo)準(zhǔn)，為推動(dòng)標(biāo)準(zhǔn)落地，聯(lián)軟科技積極參與標(biāo)準(zhǔn)宣貫，未來將發(fā)布一系列等保2.0標(biāo)準(zhǔn)解讀。

讀者通過本文可了解等保2.0標(biāo)準(zhǔn)的內(nèi)涵和核心變化，并可了解數(shù)字化時(shí)代背景下如何構(gòu)建基于等保2.0和可信數(shù)字網(wǎng)絡(luò)架構(gòu)的安全保障體系。

等保2.0內(nèi)涵和核心變化

為落實(shí)“分等級(jí)保護(hù)、突出重點(diǎn)、積極防御、綜合防護(hù)”的總體要求，建立“打防管控”一體化的網(wǎng)絡(luò)安全綜合防御體系，提升國(guó)家網(wǎng)絡(luò)安全整體防御能力，公安部于2019年5月13日正式發(fā)布了《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》三個(gè)核心標(biāo)準(zhǔn)，初步形成了比較完備的等級(jí)保護(hù)體系，標(biāo)準(zhǔn)主要內(nèi)涵和變化情況如下：

同時(shí)針對(duì)云計(jì)算、移動(dòng)互聯(lián)、工控系統(tǒng)、物聯(lián)網(wǎng)提出安全擴(kuò)展要求，如果是金融、電力等關(guān)鍵基礎(chǔ)設(shè)施，必須在基本要求的基礎(chǔ)上，根據(jù)自身系統(tǒng)情況，滿足擴(kuò)展相關(guān)要求。

安全建設(shè)需求和建設(shè)新思路

等級(jí)保護(hù)制度是在國(guó)家大力推進(jìn)數(shù)字化經(jīng)濟(jì)的背景下推出的，現(xiàn)在企業(yè)紛紛利用新技術(shù)進(jìn)行數(shù)字化轉(zhuǎn)型，建立了以數(shù)據(jù)業(yè)務(wù)為核心，以云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)為支撐的新一代業(yè)務(wù)系統(tǒng)，推動(dòng)了企業(yè)業(yè)務(wù)發(fā)展，但隨著傳統(tǒng)IT向新一代IT轉(zhuǎn)變，用戶、設(shè)備、應(yīng)用和數(shù)據(jù)正在向傳統(tǒng)企業(yè)邊界控制區(qū)域之外遷移，用戶訪問未知不固定，傳統(tǒng)安全防護(hù)手段無法適應(yīng)移動(dòng)互聯(lián)、物聯(lián)網(wǎng)等新技術(shù)場(chǎng)景的安全防護(hù)，用戶急需針對(duì)新一代IT設(shè)施，從全新的安全視角構(gòu)建整體、動(dòng)態(tài)、主動(dòng)、精準(zhǔn)的安全保障體系，并充分發(fā)揮可信通信、可信邊界、可信計(jì)算在企業(yè)安全建設(shè)的關(guān)鍵作用。

Ⅰ.

一：滿足等級(jí)保護(hù)2.0合規(guī)要求

在等級(jí)保護(hù)提升到國(guó)家基本制度、基本國(guó)策的背景下，目前等級(jí)保護(hù)制度通過網(wǎng)絡(luò)安全法已上升到法律層面，具備法律約束力，如果不按等保合規(guī)要求履行安全建設(shè)義務(wù)，可能遭受執(zhí)法部門處罰，主要責(zé)任人可能會(huì)被追究法律責(zé)任。

二：解決新技術(shù)帶來的新風(fēng)險(xiǎn)

隨著各行各業(yè)推動(dòng)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)等新技術(shù)應(yīng)用，需要針對(duì)新技術(shù)的特點(diǎn)，避開傳統(tǒng)安全防護(hù)無法有效應(yīng)對(duì)的問題，采用全新的安全視角構(gòu)建整體、動(dòng)態(tài)、主動(dòng)、精細(xì)的安全保障體系，特別是針對(duì)金融、電力等關(guān)鍵基礎(chǔ)設(shè)施，需要在滿足基本要求的情況下，實(shí)現(xiàn)重點(diǎn)防護(hù)，提升動(dòng)態(tài)、主動(dòng)防御能力。

三：發(fā)揮可信技術(shù)的關(guān)鍵作用

在安全法明確支持推廣國(guó)產(chǎn)自主可信的環(huán)境下，必須在找漏洞、打補(bǔ)丁等傳統(tǒng)安全防護(hù)方式的基礎(chǔ)上，采取安全可信、主動(dòng)免疫等新的防護(hù)手段，做到攻不進(jìn)去，非授權(quán)信息拿不到，竊取信息看不懂，系統(tǒng)和信息改不了，系統(tǒng)攻擊行為賴不掉，實(shí)現(xiàn)安全通信、安全區(qū)域邊界、安全計(jì)算環(huán)境。

四：安全融于業(yè)務(wù)

在滿足等級(jí)保護(hù)合規(guī)的基礎(chǔ)上，安全與業(yè)務(wù)深度融合，且安全不降低業(yè)務(wù)效率，協(xié)助客戶快速完成業(yè)務(wù)開發(fā)、業(yè)務(wù)上線、業(yè)務(wù)推廣等，同時(shí)提升用戶訪問業(yè)務(wù)的體驗(yàn)。

五：加強(qiáng)安全風(fēng)險(xiǎn)管控

通過安全重構(gòu)大幅減小攻擊面和降低問題發(fā)生的概率；通過動(dòng)態(tài)授權(quán)和訪問控制實(shí)現(xiàn)身份統(tǒng)一管理，大幅減低入侵可能或延緩攻擊；通過大數(shù)據(jù)、人工智能、欺騙等技術(shù)，快速發(fā)現(xiàn)入侵，追蹤溯源，消除入侵。

六：加強(qiáng)安全管理建設(shè)

技術(shù)和管理并重，加強(qiáng)安全管理機(jī)構(gòu)、制度、人員、建設(shè)、運(yùn)維管理建設(shè)，構(gòu)建統(tǒng)一集中管控平臺(tái)，實(shí)現(xiàn)統(tǒng)一監(jiān)控、統(tǒng)一安全基線管理、統(tǒng)一策略下發(fā)、統(tǒng)一安全事件和行為管理等，防止風(fēng)險(xiǎn)擴(kuò)散，持續(xù)提升安全運(yùn)營(yíng)服務(wù)能力，實(shí)現(xiàn)人機(jī)共治。

Ⅱ.

基于以上需求分析，尊重歷史，著眼未來，建議用戶基于可信數(shù)字網(wǎng)絡(luò)架構(gòu)理念構(gòu)建新一代安全保障體系。

由上圖可見，可信數(shù)字網(wǎng)絡(luò)架構(gòu)相對(duì)傳統(tǒng)安全防護(hù)理念具有以下特點(diǎn)：

一是可避免被動(dòng)防御、疲于奔命、很難成功等傳統(tǒng)安全防護(hù)思路存在的問題，通過安全重構(gòu)，大幅減小攻擊面和降低問題發(fā)生的概率；

二是在靜態(tài)防護(hù)、漏洞修補(bǔ)等傳統(tǒng)安全防護(hù)基礎(chǔ)上，通過安全重構(gòu)，減少攻擊面，并實(shí)現(xiàn)動(dòng)態(tài)授權(quán)和訪問控制，大幅減低入侵可能，延緩攻擊，避免系統(tǒng)癱瘓或數(shù)據(jù)泄露；

三是利用人工智能、主動(dòng)欺騙等技術(shù)對(duì)行為進(jìn)行分析，快速發(fā)現(xiàn)入侵，追蹤溯源，消除入侵，使得安全體系具備安全對(duì)抗的能力。

基于此，我們?cè)O(shè)計(jì)了基于可信數(shù)字網(wǎng)絡(luò)架構(gòu)的平臺(tái)化安全防護(hù)解決方案。

Ⅲ. 平臺(tái)化安全防護(hù)解決方案總體框架

一：可信接入（前提）

通過建立統(tǒng)一身份認(rèn)證體系，實(shí)現(xiàn)用戶、設(shè)備、業(yè)務(wù)等所有用戶或設(shè)備的統(tǒng)一身份管理和入網(wǎng)管控，通過安全綁定、安全檢查等技術(shù)，確保入網(wǎng)設(shè)備合規(guī)、身份真實(shí)唯一，并可對(duì)入網(wǎng)用戶實(shí)現(xiàn)動(dòng)態(tài)細(xì)粒度訪問控制。針對(duì)云平臺(tái)等環(huán)境，用戶可采用基于零信任的SDP架構(gòu)，實(shí)現(xiàn)用戶和設(shè)備安全接入、動(dòng)態(tài)細(xì)粒度最小權(quán)限控制、設(shè)備安全合規(guī)管理、單點(diǎn)登錄、加密傳輸、數(shù)據(jù)安全保護(hù)等功能，減少業(yè)務(wù)攻擊面，確保終端數(shù)據(jù)不丟失、不擴(kuò)散、不泄露。

二：設(shè)備及資產(chǎn)管理（基礎(chǔ)）

通過主動(dòng)、被動(dòng)等方式，利用探針、客戶端等方式協(xié)助客戶摸清資產(chǎn)，實(shí)現(xiàn)資產(chǎn)分類管理，及時(shí)發(fā)現(xiàn)非合規(guī)、存在風(fēng)險(xiǎn)的資產(chǎn)，及時(shí)對(duì)風(fēng)險(xiǎn)資產(chǎn)進(jìn)行預(yù)警、審計(jì)和處置，提升資產(chǎn)合規(guī)率。

三：行為可管可控（關(guān)鍵）

不依賴黑白名單，實(shí)現(xiàn)網(wǎng)絡(luò)行為、終端行為、服務(wù)器行為、數(shù)據(jù)使用行為可管可控，不放過任何可疑行為，如在網(wǎng)絡(luò)行為管理方面，可基于設(shè)備畫像、大數(shù)據(jù)、威脅情報(bào)等技術(shù)實(shí)現(xiàn)異常或惡意行為發(fā)現(xiàn)管控；同時(shí)可基于主動(dòng)欺騙技術(shù)實(shí)現(xiàn)入侵行為主動(dòng)捕捉，并可聯(lián)動(dòng)準(zhǔn)入、終端管理等設(shè)施避免風(fēng)險(xiǎn)擴(kuò)散，實(shí)現(xiàn)風(fēng)險(xiǎn)溯源；在終端行為管理方面，可實(shí)現(xiàn)軟件使用行為、終端安全行為、終端非法外聯(lián)、終端打印行為、文件拷貝行為等行為的管理；在服務(wù)器行為管理方面可及時(shí)發(fā)現(xiàn)流量異常行為、管理員配置缺陷等行為的發(fā)現(xiàn)和管控；在數(shù)據(jù)行為管控方面，可實(shí)現(xiàn)數(shù)據(jù)外發(fā)、打印截屏等行為的管控。

四：數(shù)據(jù)安全可控（核心）

等級(jí)保護(hù)2.0明確要求保護(hù)個(gè)人信息，同時(shí)企業(yè)自身也存在敏感數(shù)據(jù)保護(hù)問題，如果要實(shí)現(xiàn)數(shù)據(jù)安全管控，首先要掌握需要保護(hù)的數(shù)據(jù)有哪些，分布在什么地方。聯(lián)軟科技具有豐富的，以場(chǎng)景為驅(qū)動(dòng)的解決方案實(shí)施經(jīng)驗(yàn)，可協(xié)助客戶完成數(shù)據(jù)梳理，同時(shí)提供DLP工具，用戶利用關(guān)鍵字、數(shù)據(jù)標(biāo)識(shí)符、自動(dòng)聚類、文檔DNA等技術(shù)通過主動(dòng)、增量掃描等方式可快速完成敏感數(shù)據(jù)發(fā)現(xiàn)。

針對(duì)數(shù)據(jù)使用環(huán)節(jié)，聯(lián)軟科技提供了郵件/移動(dòng)存儲(chǔ)介質(zhì)等外發(fā)通道監(jiān)控、外發(fā)審計(jì)或阻斷、數(shù)據(jù)跨網(wǎng)安全交換、數(shù)據(jù)使用行為分析審計(jì)、文檔流轉(zhuǎn)追蹤、拍照截屏追蹤溯源等數(shù)據(jù)保護(hù)技術(shù)，可與用戶現(xiàn)有審批流程無縫集成。

五：智慧洞察安全（價(jià)值呈現(xiàn)）

通過集中管控平臺(tái)采集各類網(wǎng)絡(luò)行為、終端操作行為、數(shù)據(jù)使用行為等數(shù)據(jù)，利用聯(lián)軟自主研發(fā)的大數(shù)據(jù)、機(jī)器學(xué)習(xí)、設(shè)備畫像、幻影技術(shù)等核心技術(shù)，及時(shí)發(fā)現(xiàn)內(nèi)網(wǎng)異常行為或外部入侵行為，并及時(shí)聯(lián)動(dòng)準(zhǔn)入等設(shè)施控制風(fēng)險(xiǎn)，真正做到用戶可見、行為可控、風(fēng)險(xiǎn)可視、響應(yīng)及時(shí)。

總結(jié)

等級(jí)保護(hù)的實(shí)施必須根據(jù)用戶網(wǎng)絡(luò)和業(yè)務(wù)實(shí)際情況，需要在滿足等保2.0合規(guī)要求的前提下，注重安全與業(yè)務(wù)的融合，任何的安全手段不能降低業(yè)務(wù)效率，同時(shí)要區(qū)別對(duì)象，重新審視對(duì)象，對(duì)于云平臺(tái)等采用新技術(shù)構(gòu)建的設(shè)施，需要重新定級(jí)并慎重選擇技術(shù)路線，采用實(shí)事求是的科學(xué)安全觀，統(tǒng)一規(guī)劃，穩(wěn)步推進(jìn)，真正做到不但可以滿足等保要求，同時(shí)可以滿足業(yè)務(wù)實(shí)際需要，不降低業(yè)務(wù)效率，實(shí)現(xiàn)安全與業(yè)務(wù)的融合共生共存。