正在审议的网络安全等级保护标准(以下简称:等保2.0)从技术和管理两大方面对网络与信息系统安全保障进行了全面描述与规范,是一部完整的以技术保障为基础、以管理运营为抓手、以监测预警为核心、以协同响应为目标的网络安全防御体系框架性指导标准与规划建设指南。
以基础设施和业务应用为核心的技术保障
等保2.0的技术保障体系延续了等保1.0中的以资产(网络与信息系统)防护为目标的安全保障思路,其核心是围绕基础设施和业务应用。等保2.0的设计按照分级防护的思想,从第一级安全要求到第四级安全要求,始终贯穿着通信网络、区域边界、计算环境的安全防护目标,具体到等保2.0的标准中就是对物理安全、网络和通信安全、设备和计算安全、应用和数据安全进行了一致性要求。
等保2.0在继承等保1.0以资产防护为目标的成功实践基础上,结合近些年网络与信息技术的新变化,补充提出了对云计算、物联网、移动互联网和工业控制系统的安全防护要求,如图1所示。这深刻反映了网络与信息安全体系发展与创新的本质:基础设施和业务应用的发展永远是网络与信息安全体系发展与创新的第一驱动力。
图1 等保2.0扩大了安全防护范围
以数据驱动和人才培养为核心的运营管理
在过去十年的网络安全防护过程中,我们经历了无数次的攻防较量、重点保障、应急处置和分析溯源的实践,并在这些实践过程中积累了大量宝贵的成功经验与失败教训,也渐渐清晰地认识到:
1.数据是安全的基础与驱动力;
2.人是安全防护的核心与尺度;
3.安全运营与管理是安全最重要的手段;
4.围绕数据、人、工具、运营管理的积极防御体系是未来安全体系发展的方向,也是安全的不二选择,其核心是人通过工具对数据的运营和使用。
以数据为基础、以人为核心,从数据中来(监测预警),到数据中去(响应处置),是当前情况下应对多点复杂攻击的最佳实践,这个过程就是我们所说的安全运营管理。因此,安全运营管理的两个核心与前提是:第一,拥有可以使用安全工具完成安全运营管理工作的安全专业人员及团队;第二,具有可支撑监测预警和安全运营管理的数据,两者缺一不可。从实质上分析可知:人是安全的尺度、数据是安全的第一生产力。
正因如此,安全人才培养和安全运营管理体系建设成为当前世界各国安全体系建设的重点,安全工作是实践性特别强的工程类技术工作,与之对应的安全人才也是熟练掌握安全技能的工程类人才,因此安全专业人才的培养是一个学、考、练、用的持续迭代过程,这里特别强调练和用,从实践中来、到实践中去。可以预见,未来集学、考、练、用为一体的网络与信息安全集成实训系统将成为普遍需求,这体现未来了网络与信息安全防护更加强调实战与实际效果的体系性需求。
回顾过去十年安全体系建设过程,更多地依靠安全产品(即安全工具)孤军作战,而没有将人和数据放在核心的位置加以重视,这导致了以往的安全体系存在着防御能力的滞后性和二次反应能力不足的问题,因为缺少对数据足够的采集与分析,被动安全体系成了免疫能力有限的贫血儿,因为缺少安全人员对安全数据的安全运营管理,被动安全体系严重缺乏活力与对抗“韧性”。
全要素采集安全数据、全过程安全运营成了下一代积极防御体系的体系核心。这反映了安全是人与人之间对抗的本质。2011年,美国所采用的号称世界上最先进的入侵检测系统“Seminole”其真正先进之处就在于引入了7×24小时的安全专家运营管理过程,这使得Seminole具备了持续发现、二次检测与快速响应这3个最重要的安全能力。
等保2.0的技术体系充分体现了对于全要素数据获取、全过程安全运营以及对专业人员的岗位性要求。从这个层面上看,等保2.0准确把握了未来安全体系建设的核心与关键,代表着未来安全体系的潮流与方向。
以威胁情报和态势感知为核心的监测预警
无论是等保1.0还是在等保2.0,监测预警都是安全技术体系的重中之重,经过近几年的摸索与实践,安全态势感知已经被证明是安全监测预警的最佳实践与必由之路。习近平总书记于2016年4月19日在网络安全和信息化工作座谈会上敏锐指出的“全天候、全方位的态势感知”为我们的监测预警工作指明了方向。事实上,公安部从2015年就开始在监测预警工作实践基础上提出了在公安系统内建设态势感知平台的要求并出台了相关标准,并率先在青岛等地开展了将态势感知平台应用于实战的探索与尝试。截止目前,该项工作已取得了丰硕成果,以安全态势感知为核心的指挥作战平台已经成功应用于包括十九大在内的诸多大型活动重要时期安全保障工作并取得显著成效。
为了达到支撑实战的目的与效果,态势感知平台需要具备5方面的基础能力:
1.全天候、全方位获取数据的全要素数据采集与数据处理能力;
2.高质量、及时的威胁情报获取与应用能力;
3.外部互联网数据与内部本地数据获取与大数据综合分析能力;
4.全过程闭环安全运营过程(如:指挥通告、响应处置)支撑能力;
5.安全事件取证、分析研判与追踪溯源能力。
这5项基础能力本质是构建监测预警与安全运营的双轮驱动机制:外部数据驱动机制和内部数据驱动机制,来自互联网的数据与威胁情报是利用外部数据实现监测预警与安全运营,实现了从外部向内部看威胁和运营支撑的能力;内部数据的采集与大数据分析是从内部看威胁和运营支撑能力,两者相辅相成、互相补充,构成了完整的态势感知能力。
以攻防演练和积极防御为核心的协同响应
安全体系缘于攻防、安全体系服务于攻防。随着安全体系的发展与持续建设,安全体系服务于实战、在实践中检验安全体系的建设成果、安全体系在实战中不断完善建设成为安全体系建设螺旋式发展、迭代式演进的主要形式。
2016年底,公安部组织力量针对部分关键信息基础设施成功实施了“护网2016”行动,这次行动用事实证明:针对关键信息基础设施的攻防演练与红蓝对抗是在短时间内发现安全问题、弥补安全短板、提升安全能力最行之有效的手段。通过攻防演练和红蓝对抗,可以将应急响应的时间大大提前,做到早期发现、提前响应,真正实现变被动为主动,积累经验、锻炼队伍、检验系统的同时变被动为主动,变事发应急为提前响应,变坏事为好事。今天,通过攻防演练与红蓝对抗低成本快速提升网络与信息安全防护能力已经成为大家广泛接受与认可的安全体系建设的重要形式,被众多有条件的大型行业机构所采用。
2015年,美国安全研究机构SANS研究院提出了著名的安全标尺模型,系统总结了安全体系建设所经历的5个发展阶段,并指出未来安全体系建设将从架构安全和被动防御走向积极防御。目前这个模型已经成为世界范围内安全界所广泛接受的安全体系模型,并被大多数行业机构所采用。
同期,国际著名咨询机构Gartner提出了适用于积极防御体系构建的自适应安全框架(ASA),至此,SANS与ASA分别从不同视角各自独立提出的安全模型与安全架构相互呼应,共同完成了积极防御体系的理论奠基,成为下一代安全的基本理论。
我国从2016年开始逐渐引入安全标尺模型与自适应安全框架,结合我国网络与信息安全的实际情况逐步形成了以数据驱动为基础、以安全运营为手段、以态势感知为支撑、以安全人员为核心、以协同防御为特征的具有中国特色的积极防御安全体系,即我国网络与信息安全的下一代安全防护体系。
构建新一代安全防护体系
基于这个理论基础,360企业安全集团在“数据驱动安全”两年多的实践基础上,结合新的安全形势和体系建设需要,提出了对数据驱动安全技术思想的创新演进的“数据驱动安全2.0”的核心思想,本质是建立以人为核心的新一代安全防护体系。
图2 360企业安全集团新一代安全防护体系
在这个防御体系中,强调数据(内部与外部数据)的基础性支撑作用,强调人员在这个安全体系中的核心作用与价值,强调安全运营作为日常安全工作的重要地位,强调态势感知作为监测预警与安全运营平台的核心作用,强调设备与设备、人、数据三者之间协同联动的重要性,强调威胁情报与攻防演练对于安全体系的增强与完善。