2019年5月13日,國家市場監督管理總局、國家標准化管理委員會正式發布了網絡安全等級保護2.0標准和規范,並將於2019年12月1日開始實施。等級保護一直是我國在網絡安全領域的基本制度、基本國策,是國家網絡安全意志的體現,《網絡安全法》出台后,等級保護制度更是提升到了法律層面。等保2.0標准的發布,對加強中國網絡安全保障工作,提升網絡安全保護能力具有重要意義。
網絡安全等級保護2.0標准擴展了等級保護對象,將網絡基礎設施、雲計算平台/系統、大數據平台/系統、物聯網、工業控制系統納入保護范圍,按照不同對象的安全保護等級完成相應的安全建設或整改工作,針對等級保護對象特點建立網絡安全綜合防御體系,並開展組織管理、機制建設、安全規划、安全監測、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、安全可控、隊伍建設、教育培訓和經費保障等工作。
在較高級別等級保護對象的安全建設中,無論是從等保2.0標准要求還是自身安全需求來看,安全監測、通報預警、應急處置、態勢感知都是安全工作的重中之重。等保2.0標准中也給出了相應的關鍵技術建議,即:
立足於現有的大量事件采集、數據挖掘、智能事件關聯和基於業務的運維監控技術,解決海量數據處理瓶頸,通過對審計數據快速提取,滿足信息處理中對於檢索速度和准確性的需求;同時,還應建立事件分析模型,發現高級安全威脅,並追查威脅路徑和定位威脅源頭,實現對攻擊行為的有效防范和追查。
無論是等保1.0還是在等保2.0,監測預警都是安全技術體系的重中之重,本次等保2.0標准對新型安全攻擊檢測能力、網絡安全分析能力、用戶行為分析能力等提出了更高的要求。這也充分體現了等保2.0主動防御、動態防御的核心思想。
高級威脅可以簡單地理解成傳統安全技術/設備無法檢測的威脅,包括未知威脅和潛在威脅兩種。對未知威脅的檢測,可以通過關聯分析、異常檢測、威脅情報、沙箱等技術解決,對於潛在威脅可以通過機器學習、長周期分析等技術解決。
高級威脅的檢測與分析一直以來都被認為是態勢感知的一個重要能力表現,通過態勢感知平台建設,配合相關的安全檢測與分析技術,使部署安全設備但不知道是否真的安全、不知道發生什么安全問題、不知道如何處置安全的“安全三不知”將成為歷史。
此外,等保2.0中強調了安全管理中心的作用與要求,體現了對較高級別的等級保護對象進行集中安全管理的思想,保證分散於各個層面的安全能力在統一策略的指導下實現,各個安全控制在可控情況下發揮各自的作用,保證等級保護對象的整體能力。
態勢感知在精准定位已知威脅、檢測高級威脅的基礎上,不斷地豐富安全事件場景、提高安全運營決策輔助能力,才能為安全監測、通報預警、應急處置提供一個堅實的基礎,也只有這樣才能將安全監控、安全運維、安全審計打通成為一個整體的安全運營中心。
總體來看,態勢感知本質上是安全能力大集中,涵蓋了數據采集、情報獲取、安全分析、監測預警、分析研判、指揮通告、處置響應和追蹤溯源的完成安全流程。我國網絡安全正在逐步形成以主動防御為目標、以數據驅動為手段、以態勢感知為支撐、以安全運營為核心、以動態協同為特征的下一代安全防御體系。