楊超

摘 要：本文介紹了網(wǎng)絡等級保護的發(fā)展歷程，剖析了等保2.0的新變化，并基于等保2.0的新要求探討了網(wǎng)絡安全主動防御體系的建設方向。

關鍵詞：網(wǎng)絡等級保護;網(wǎng)絡安全;主動防御;建設方向

中圖分類號：TP309 文獻標識碼：A 文章編號：1671-2064（2019）04-0041-02

0 引言

近年來，隨著人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算等技術的疾速發(fā)展，網(wǎng)絡安全形勢越發(fā)嚴峻，網(wǎng)絡環(huán)境越發(fā)復雜多變，舊標準也已經(jīng)無法再適用于當前環(huán)境下的網(wǎng)絡安全要求。為了適應移動互聯(lián)、云計算、物聯(lián)網(wǎng)等新業(yè)務、新應用的網(wǎng)絡安全防護需要，從2015年開始，我國逐步開始制定網(wǎng)絡等級保護的安全要求2.0標準。系統(tǒng)防護由被動防御變成主動防御是1.0和2.0標準最大的區(qū)別，以前1.0標準要求被動防御，要求防火墻、殺病毒、IDS，現(xiàn)在2.0標準要求由被動防護上升到主動防御。

1 網(wǎng)絡安全等級保護2.0

1.1 網(wǎng)絡安全等級保護的發(fā)展歷程

隨著全球網(wǎng)絡技術的疾速發(fā)展，由此帶來的網(wǎng)絡安全問題必須予以高度重視和防范，西方發(fā)達國家率先采取措施，為了便于對各行業(yè)的信息安全工作進行管理和指導，針對網(wǎng)絡信息安全建設制定了一系列政策和標準，根據(jù)重要程度將各行業(yè)的信息系統(tǒng)劃分為不同的安全等級。隨后，我國結(jié)合自身網(wǎng)絡環(huán)境和網(wǎng)絡安全形勢，在1994年由國務院下發(fā)的《中華人民共和國計算機信息系統(tǒng)安全保護條例》為我國信息安全保護工作提供了綱領性指導。之后又經(jīng)過了十幾年的研究和探索，國家又相繼出臺一系列從中央到地方的政策法規(guī)，從計算機系統(tǒng)的定級到網(wǎng)絡安全等級保護測評，網(wǎng)絡安全工作正穩(wěn)步向前推進。

隨著《中華人民共和國網(wǎng)絡安全法》的實施以及各類網(wǎng)絡安全等級保護標準的出臺，全國各行各業(yè)及監(jiān)管部門迅速響應，所屬安全系統(tǒng)按照要求先定級后測評，建立、健全信息安全管理制度，根據(jù)要求積極落實各項安全保護技術措施，努力做好行業(yè)內(nèi)信息系統(tǒng)安全等級保護工作。

1.2 等保2.0和1.0的區(qū)別

（1）標準名稱的變化：舊標準名稱為《信息安全技術信息系統(tǒng)安全等級保護基本要求》，等保2.0改為《信息安全技術網(wǎng)絡安全等級保護基本要求》，與《中華人民共和國網(wǎng)絡安全法》中的相關法律條文保持一致。

（2）標準內(nèi)容的變化：為適應移動互聯(lián)、云計算、物聯(lián)網(wǎng)等新的網(wǎng)絡環(huán)境中安全保護工作的開展，新標準提出安全通用和安全擴展兩類要求。其中，安全通用要求針對的是共性安全保護需求，安全擴展要求針對的是云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制等新環(huán)境新領域的安全保護個性需求，安全擴展要求又分為云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求。

（3）控制措施分類結(jié)構(gòu)的變化：舊標準的控制措施共有10個分類，等保2.0縮減調(diào)整為8個，新舊標準變化對比。

（4）標準控制點和要求項的變化：在控制點要求上等保2.0相對舊標準并沒有大的變化，通過對舊標準中一些相關要求整合后在數(shù)量上反而略有減少。

（5）等保2.0技術部分變化簡析：與舊標準注重安全防護不同，新標準更加切合當前移動互聯(lián)、云計算、物聯(lián)網(wǎng)等新業(yè)務、新應用的網(wǎng)絡安全主動防御需求，等保2.0標準緊密結(jié)合《中華人民共和國網(wǎng)絡安全法》，對其中關于持續(xù)監(jiān)測、威脅情報、快速響應類的要求均給出了指導思路和具體的執(zhí)行措施。對等保2.0標準的部分技術措施進行了簡要分析。

綜上所述，相較于舊標準而言，等保2.0在當前發(fā)展較為迅猛的一些新的網(wǎng)絡環(huán)境和應用中均提供了較為全面、實用的網(wǎng)絡安全建設標準和指導思路，可以說新標準進步顯著。積極落實網(wǎng)絡安全等級保護制度，以網(wǎng)絡安全等級保護標準為重要建設依據(jù)和指導思路，在滿足相關法規(guī)要求的前提下，構(gòu)建一套完備的網(wǎng)絡安全防御體系，切實提高信息系統(tǒng)的網(wǎng)絡安全綜合防御能力。

2 網(wǎng)絡安全主動防御體系建設

2.1 以傳統(tǒng)安全設備為基礎

首先，防火墻和網(wǎng)絡版殺毒軟件必不可少，作為最傳統(tǒng)的網(wǎng)絡安全設備，提供著最基本的網(wǎng)絡安全防護。防火墻部署在局域網(wǎng)和廣域網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的邊界上，保護內(nèi)部網(wǎng)免受非法用戶的侵入;網(wǎng)絡版殺毒軟件用來保護計算機不受病毒、木馬、蠕蟲的侵擾，同時對網(wǎng)絡病毒入侵也有一定的防御能力。作為主動防御安全體系的基礎存在，傳統(tǒng)安全設備一定不能舍棄。另外，防毒墻可以掃描通過網(wǎng)關的數(shù)據(jù)包，對病毒進行過濾，阻止網(wǎng)絡傳輸中的病毒從網(wǎng)關處侵入內(nèi)部網(wǎng)絡，因此，防毒墻也是很有必要的。

2.2 主動阻斷攻擊

在很多行業(yè)，尤其是很多關鍵的信息系統(tǒng)不能忍受遭到攻擊損失后再來事后補救，而是希望在檢測到攻擊時就能及時阻斷以避免造成損失。鑒于此，在網(wǎng)絡入侵防護方面，要求在發(fā)現(xiàn)攻擊時要能夠立即主動響應并實時阻隔入侵。入侵防御系統(tǒng)完全是前瞻性的防御機制，它可以對常規(guī)網(wǎng)絡流量中的惡意數(shù)據(jù)包進行檢測、阻止入侵活動、預先對攻擊性的流量進行主動攔截，而不是在傳送惡意流量的同時或之后，簡單發(fā)出報警。在等保標準2.0的背景下，入侵防御適時順應了網(wǎng)絡安全保障體系中安全功能融合的主流趨勢，入侵防御系統(tǒng)作為主動防御的關鍵技術，是主動防御安全體系的重要組成部分。但入侵防御系統(tǒng)目前仍有一些不足，其中誤報率高會對正常業(yè)務造成影響，大量的誤報會對后續(xù)的數(shù)據(jù)包造成阻隔，無論數(shù)據(jù)量正常與否，都會拒絕服務。這就要求安全廠家要結(jié)合用戶自身的業(yè)務網(wǎng)絡實際情況合理地配置、優(yōu)化防護策略，盡量降低IPS誤報率。

2.3 明確接入系統(tǒng)的人員身份

在等保2.0時代，網(wǎng)絡安全準入系統(tǒng)也尤其重要，必須以此來加強明確接入系統(tǒng)的人員身份，防止內(nèi)網(wǎng)有違規(guī)外聯(lián)的事件發(fā)生，只有這樣才能保證后續(xù)的安全措施及安全運維能夠有效地進行。在實際建設工作中，可以通過部署堡壘機及雙因素認證等安全設備，以高安全性和高可靠性的認證模式對用戶進行認證，確保接入網(wǎng)絡的人員身份是可靠的，并且網(wǎng)絡出口是唯一的，嚴防非法、越權訪問事件的發(fā)生。

2.4 及時發(fā)現(xiàn)并修補漏洞

網(wǎng)絡之所以遭到攻擊，是因為我們的系統(tǒng)本身存在漏洞，有缺陷可以被利用，而且絕大多數(shù)的漏洞和缺陷都是事先已知的。鑒于此，我們需要提前主動采取防御措施，通過漏洞掃描器定期掃描網(wǎng)絡及網(wǎng)絡中的終端和網(wǎng)絡設備，并及時更新漏洞庫，確保能夠識別最新的漏洞并及時修復。

2.5 數(shù)據(jù)庫主動防護

最后一個推薦的主動防御的基礎設施是數(shù)據(jù)庫防火墻，作為高效而直接的數(shù)據(jù)庫防御工事，數(shù)據(jù)庫防火墻已被越來越多的用戶所關注。以前的方案是配備數(shù)據(jù)庫審計、日志審計類設備，這些是操作審計、被動類型的設備，在等保2.0時代，顯然已經(jīng)不符合主動防御的要求。數(shù)據(jù)庫防火墻部署在數(shù)據(jù)庫服務器前，采用主動防御機制，基于數(shù)據(jù)庫協(xié)議分析與控制技術，可以通過中斷會話和語句攔截兩種方式實現(xiàn)威脅防御。

2.6 定期的安全服務

主動防御體系的建設除了部署主動防御的安全設備外，一些定期的安全服務也必不可少，主要是以下三項：（1）滲透測試服務。由安全從業(yè)人員完全模擬黑客，利用黑客攻擊網(wǎng)絡可能使用到的攻擊技術和漏洞發(fā)現(xiàn)技術，深入探測目標系統(tǒng)各方面的安全防護能力，以便找出目標系統(tǒng)防護最為脆弱的環(huán)節(jié)，發(fā)現(xiàn)網(wǎng)絡安全防御體系中存在的漏洞;（2）安全測試服務。對新的信息系統(tǒng)進行多角度全方位深層次的安全測試能夠在系統(tǒng)正式開展業(yè)務前及時發(fā)現(xiàn)系統(tǒng)開發(fā)和程序設計中沒有考慮到的安全隱患和問題，有效降低系統(tǒng)帶病上線帶來的安全風險;（3）安全運維服務。信息系統(tǒng)在運行的過程中會不斷碰到新的安全威脅，自身的脆弱性也隨著系統(tǒng)運行不斷發(fā)生改變。在系統(tǒng)運行期間，安全運維服務通過對目標網(wǎng)絡及信息系統(tǒng)定期進行漏洞掃描、脆弱性檢查、代碼安全審計、策略檢查、安全巡檢、安全加固等巡檢措施，查缺補漏，及時找出潛在的安全隱患并采取相應的技術防護措施，不斷優(yōu)化安全策略，切實提高信息系統(tǒng)安全防御能力，建立一套由防護、檢測和恢復三部分組合而成的良性閉環(huán)安全防護機制，為信息系統(tǒng)的網(wǎng)絡、數(shù)據(jù)和業(yè)務持續(xù)提供安全保障。

此外，在系統(tǒng)管理方面，建議采用三權分立等較為安全穩(wěn)妥的管理策略，避免設立超級管理員，對重要的操作一定要事先進行不同用戶的多重授權。

2.7 部署SOC平臺、安全態(tài)勢感知平臺

除了以上七個方面外，為了使網(wǎng)絡主動防御體系具備安全風險預測能力，防患于未然，可以部署SOC平臺、安全態(tài)勢感知平臺，通過態(tài)勢要素獲取，獲得必要的數(shù)據(jù)，然后通過態(tài)勢分析進行態(tài)勢理解，從而進一步實現(xiàn)態(tài)勢預測分析發(fā)現(xiàn)全局性角度的網(wǎng)絡安全趨勢及未來短期內(nèi)可能出現(xiàn)安全問題的環(huán)節(jié)，是一個動態(tài)的準實時系統(tǒng)。

經(jīng)過以上幾方面的安全防御體系的建設，一個較為完善的主動防御安全體系已經(jīng)建成，基本能夠達到主動發(fā)現(xiàn)安全風險、主動減少自身漏洞、主動及時阻斷攻擊的防御效果。

3 結(jié)語

網(wǎng)絡安全等級保護制度經(jīng)過千錘百煉，已被打造為等保2.0時代國家網(wǎng)絡安全的基本國策和基本制度，我們的任務就是要深入學習貫徹網(wǎng)絡安全法的要求和相關國家標準，再結(jié)合自身業(yè)務和實際情況去做好各項網(wǎng)絡安全防御工作。通過建設這樣一套網(wǎng)絡安全主動防御體系，最終實現(xiàn)良好的防御效果，努力做到整體防御、分區(qū)隔離;積極防護、內(nèi)外兼防;自身防御、主動免疫;縱深防御、技管并重。

參考文獻

[1] 田繼紅，蔣岱.淺談信息安全等級保護的發(fā)展歷程及現(xiàn)狀[J].中國管理信息化，2017，20（02）：186-187.