《中華人民共和國網(wǎng)絡安全法》于2017年6月1日頒布，明確了國家實行網(wǎng)絡安全等級保護制度，標志了等級保護制度的法律地位，等級保護制度是國家的基本制度、基本國策、地位特殊，對于維護中國網(wǎng)絡安全、維護國家安全、社會秩序和公共利益意義重大。

為了配合網(wǎng)絡安全法的實施，同時適應云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)、新應用情況下網(wǎng)絡安全等級保護工作的開展，彌補等保1.0標準在適用性、時效性、可操作性等方面的缺陷，公安部組織相關(guān)單位制定并發(fā)布了等保2.0系列標準，為推動標準落地，聯(lián)軟科技積極參與標準宣貫，未來將發(fā)布一系列等保2.0標準解讀。

讀者通過本文可了解等保2.0標準的內(nèi)涵和核心變化，并可了解數(shù)字化時代背景下如何構(gòu)建基于等保2.0和可信數(shù)字網(wǎng)絡架構(gòu)的安全保障體系。

等保2.0內(nèi)涵和核心變化

為落實“分等級保護、突出重點、積極防御、綜合防護”的總體要求，建立“打防管控”一體化的網(wǎng)絡安全綜合防御體系，提升國家網(wǎng)絡安全整體防御能力，公安部于2019年5月13日正式發(fā)布了《網(wǎng)絡安全等級保護基本要求》、《網(wǎng)絡安全等級保護安全設計技術(shù)要求》、《網(wǎng)絡安全等級保護測評要求》三個核心標準，初步形成了比較完備的等級保護體系，標準主要內(nèi)涵和變化情況如下：

同時針對云計算、移動互聯(lián)、工控系統(tǒng)、物聯(lián)網(wǎng)提出安全擴展要求，如果是金融、電力等關(guān)鍵基礎設施，必須在基本要求的基礎上，根據(jù)自身系統(tǒng)情況，滿足擴展相關(guān)要求。

安全建設需求和建設新思路

等級保護制度是在國家大力推進數(shù)字化經(jīng)濟的背景下推出的，現(xiàn)在企業(yè)紛紛利用新技術(shù)進行數(shù)字化轉(zhuǎn)型，建立了以數(shù)據(jù)業(yè)務為核心，以云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能、移動互聯(lián)網(wǎng)等新技術(shù)為支撐的新一代業(yè)務系統(tǒng)，推動了企業(yè)業(yè)務發(fā)展，但隨著傳統(tǒng)IT向新一代IT轉(zhuǎn)變，用戶、設備、應用和數(shù)據(jù)正在向傳統(tǒng)企業(yè)邊界控制區(qū)域之外遷移，用戶訪問未知不固定，傳統(tǒng)安全防護手段無法適應移動互聯(lián)、物聯(lián)網(wǎng)等新技術(shù)場景的安全防護，用戶急需針對新一代IT設施，從全新的安全視角構(gòu)建整體、動態(tài)、主動、精準的安全保障體系，并充分發(fā)揮可信通信、可信邊界、可信計算在企業(yè)安全建設的關(guān)鍵作用。

Ⅰ.

一：滿足等級保護2.0合規(guī)要求

在等級保護提升到國家基本制度、基本國策的背景下，目前等級保護制度通過網(wǎng)絡安全法已上升到法律層面，具備法律約束力，如果不按等保合規(guī)要求履行安全建設義務，可能遭受執(zhí)法部門處罰，主要責任人可能會被追究法律責任。

二：解決新技術(shù)帶來的新風險

隨著各行各業(yè)推動云計算、移動互聯(lián)、物聯(lián)網(wǎng)等新技術(shù)應用，需要針對新技術(shù)的特點，避開傳統(tǒng)安全防護無法有效應對的問題，采用全新的安全視角構(gòu)建整體、動態(tài)、主動、精細的安全保障體系，特別是針對金融、電力等關(guān)鍵基礎設施，需要在滿足基本要求的情況下，實現(xiàn)重點防護，提升動態(tài)、主動防御能力。

三：發(fā)揮可信技術(shù)的關(guān)鍵作用

在安全法明確支持推廣國產(chǎn)自主可信的環(huán)境下，必須在找漏洞、打補丁等傳統(tǒng)安全防護方式的基礎上，采取安全可信、主動免疫等新的防護手段，做到攻不進去，非授權(quán)信息拿不到，竊取信息看不懂，系統(tǒng)和信息改不了，系統(tǒng)攻擊行為賴不掉，實現(xiàn)安全通信、安全區(qū)域邊界、安全計算環(huán)境。

四：安全融于業(yè)務

在滿足等級保護合規(guī)的基礎上，安全與業(yè)務深度融合，且安全不降低業(yè)務效率，協(xié)助客戶快速完成業(yè)務開發(fā)、業(yè)務上線、業(yè)務推廣等，同時提升用戶訪問業(yè)務的體驗。

五：加強安全風險管控

通過安全重構(gòu)大幅減小攻擊面和降低問題發(fā)生的概率；通過動態(tài)授權(quán)和訪問控制實現(xiàn)身份統(tǒng)一管理，大幅減低入侵可能或延緩攻擊；通過大數(shù)據(jù)、人工智能、欺騙等技術(shù)，快速發(fā)現(xiàn)入侵，追蹤溯源，消除入侵。

六：加強安全管理建設

技術(shù)和管理并重，加強安全管理機構(gòu)、制度、人員、建設、運維管理建設，構(gòu)建統(tǒng)一集中管控平臺，實現(xiàn)統(tǒng)一監(jiān)控、統(tǒng)一安全基線管理、統(tǒng)一策略下發(fā)、統(tǒng)一安全事件和行為管理等，防止風險擴散，持續(xù)提升安全運營服務能力，實現(xiàn)人機共治。

Ⅱ.

基于以上需求分析，尊重歷史，著眼未來，建議用戶基于可信數(shù)字網(wǎng)絡架構(gòu)理念構(gòu)建新一代安全保障體系。

由上圖可見，可信數(shù)字網(wǎng)絡架構(gòu)相對傳統(tǒng)安全防護理念具有以下特點：

一是可避免被動防御、疲于奔命、很難成功等傳統(tǒng)安全防護思路存在的問題，通過安全重構(gòu)，大幅減小攻擊面和降低問題發(fā)生的概率；

二是在靜態(tài)防護、漏洞修補等傳統(tǒng)安全防護基礎上，通過安全重構(gòu)，減少攻擊面，并實現(xiàn)動態(tài)授權(quán)和訪問控制，大幅減低入侵可能，延緩攻擊，避免系統(tǒng)癱瘓或數(shù)據(jù)泄露；

三是利用人工智能、主動欺騙等技術(shù)對行為進行分析，快速發(fā)現(xiàn)入侵，追蹤溯源，消除入侵，使得安全體系具備安全對抗的能力。

基于此，我們設計了基于可信數(shù)字網(wǎng)絡架構(gòu)的平臺化安全防護解決方案。

Ⅲ. 平臺化安全防護解決方案總體框架

一：可信接入（前提）

通過建立統(tǒng)一身份認證體系，實現(xiàn)用戶、設備、業(yè)務等所有用戶或設備的統(tǒng)一身份管理和入網(wǎng)管控，通過安全綁定、安全檢查等技術(shù)，確保入網(wǎng)設備合規(guī)、身份真實唯一，并可對入網(wǎng)用戶實現(xiàn)動態(tài)細粒度訪問控制。針對云平臺等環(huán)境，用戶可采用基于零信任的SDP架構(gòu)，實現(xiàn)用戶和設備安全接入、動態(tài)細粒度最小權(quán)限控制、設備安全合規(guī)管理、單點登錄、加密傳輸、數(shù)據(jù)安全保護等功能，減少業(yè)務攻擊面，確保終端數(shù)據(jù)不丟失、不擴散、不泄露。

二：設備及資產(chǎn)管理（基礎）

通過主動、被動等方式，利用探針、客戶端等方式協(xié)助客戶摸清資產(chǎn)，實現(xiàn)資產(chǎn)分類管理，及時發(fā)現(xiàn)非合規(guī)、存在風險的資產(chǎn)，及時對風險資產(chǎn)進行預警、審計和處置，提升資產(chǎn)合規(guī)率。

三：行為可管可控（關(guān)鍵）

不依賴黑白名單，實現(xiàn)網(wǎng)絡行為、終端行為、服務器行為、數(shù)據(jù)使用行為可管可控，不放過任何可疑行為，如在網(wǎng)絡行為管理方面，可基于設備畫像、大數(shù)據(jù)、威脅情報等技術(shù)實現(xiàn)異?；驉阂庑袨榘l(fā)現(xiàn)管控；同時可基于主動欺騙技術(shù)實現(xiàn)入侵行為主動捕捉，并可聯(lián)動準入、終端管理等設施避免風險擴散，實現(xiàn)風險溯源；在終端行為管理方面，可實現(xiàn)軟件使用行為、終端安全行為、終端非法外聯(lián)、終端打印行為、文件拷貝行為等行為的管理；在服務器行為管理方面可及時發(fā)現(xiàn)流量異常行為、管理員配置缺陷等行為的發(fā)現(xiàn)和管控；在數(shù)據(jù)行為管控方面，可實現(xiàn)數(shù)據(jù)外發(fā)、打印截屏等行為的管控。

四：數(shù)據(jù)安全可控（核心）

等級保護2.0明確要求保護個人信息，同時企業(yè)自身也存在敏感數(shù)據(jù)保護問題，如果要實現(xiàn)數(shù)據(jù)安全管控，首先要掌握需要保護的數(shù)據(jù)有哪些，分布在什么地方。聯(lián)軟科技具有豐富的，以場景為驅(qū)動的解決方案實施經(jīng)驗，可協(xié)助客戶完成數(shù)據(jù)梳理，同時提供DLP工具，用戶利用關(guān)鍵字、數(shù)據(jù)標識符、自動聚類、文檔DNA等技術(shù)通過主動、增量掃描等方式可快速完成敏感數(shù)據(jù)發(fā)現(xiàn)。

針對數(shù)據(jù)使用環(huán)節(jié)，聯(lián)軟科技提供了郵件/移動存儲介質(zhì)等外發(fā)通道監(jiān)控、外發(fā)審計或阻斷、數(shù)據(jù)跨網(wǎng)安全交換、數(shù)據(jù)使用行為分析審計、文檔流轉(zhuǎn)追蹤、拍照截屏追蹤溯源等數(shù)據(jù)保護技術(shù)，可與用戶現(xiàn)有審批流程無縫集成。

五：智慧洞察安全（價值呈現(xiàn)）

通過集中管控平臺采集各類網(wǎng)絡行為、終端操作行為、數(shù)據(jù)使用行為等數(shù)據(jù)，利用聯(lián)軟自主研發(fā)的大數(shù)據(jù)、機器學習、設備畫像、幻影技術(shù)等核心技術(shù)，及時發(fā)現(xiàn)內(nèi)網(wǎng)異常行為或外部入侵行為，并及時聯(lián)動準入等設施控制風險，真正做到用戶可見、行為可控、風險可視、響應及時。

總結(jié)

等級保護的實施必須根據(jù)用戶網(wǎng)絡和業(yè)務實際情況，需要在滿足等保2.0合規(guī)要求的前提下，注重安全與業(yè)務的融合，任何的安全手段不能降低業(yè)務效率，同時要區(qū)別對象，重新審視對象，對于云平臺等采用新技術(shù)構(gòu)建的設施，需要重新定級并慎重選擇技術(shù)路線，采用實事求是的科學安全觀，統(tǒng)一規(guī)劃，穩(wěn)步推進，真正做到不但可以滿足等保要求，同時可以滿足業(yè)務實際需要，不降低業(yè)務效率，實現(xiàn)安全與業(yè)務的融合共生共存。