安全企业谈等保2.0(一)提升安全运营与检测能力,保障关键信息基础设施安全

安全企业谈等保2.0(一) 提升安全运营与检测能力，保障关键信息基础设施安全

——编者按——

本文以等保2.0为背景，提出了以数据驱动为基础、以安全运营为手段、以态势感知为支撑、以安全人员为核心、以协同防御为特征的具有中国特色的积极防御安全体系，即我国网络与信息安全的下一代安全防护体系的思路，其中安全能力就是人通过工具（平台）运营使用数据的能力，这一观点让人印象深刻。

——正文——

最近十年是网络与信息技术高速发展的十年，网络与信息技术一日千里：移动互联网、云计算、大数据、区块链、人工智能、工业互联网、物联网、智能制造（工业4.0）、智慧城市等新兴基础设施和应用不断出现，网上购物、无卡支付、自动驾驶、共享经济在网络与信息技术的发展驱动之下成为现实并快速普及，人们在享受着网络与信息技术所创造新经济奇迹的同时已经悄然进入了万物互联的IoT时代。

党和国家领导人历来重视网络与信息安全工作及相关标准制定与执行情况，中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平2014年2月27日下午主持召开中央网络安全和信息化领导小组第一次会议并发表重要讲话。他强调：没有网络安全就没有国家安全，没有信息化就没有现代化。网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，要从国际国内大势出发，总体布局，统筹各方，创新发展，努力把我国建设成为网络强国。2016年4月19日，总书记在网络安全和信息化工作座谈会上明确指出：网络安全和信息化是相辅相成的，安全是发展的前提，发展是安全的保障，安全和发展要同步推进并明确提出加快构建关键信息基础设施安全保障体系的要求。2016年12月27日，国家互联网信息办公室发布《国家网络空间安全战略》，强调做好等级保护、风险评估、漏洞发现等基础性工作，完善网络安全监测预警和网络安全重大事件应急处置机制。2017年6月1日，《中华人民共和国网络安全法》正式颁布施行，该法第二十一条明确规定国家实

行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务。

我国网络安全等级保护制度自2008年正式颁布实施以来，取得了显著成效，成为我国政府、企业等关键信息基础设施安全保障的重要指导、参考标准和建设依据，为我国网络与信息安全水平的快速发展与提高做出了不可替代的重要贡献。

为了更好适应时代发展，迎接网络与信息技术快速发展创新带来的安全新问题、新挑战，保障我国政府、企业等关键信息基础设施在新技术、新设施、新应用为代表的新经济、新环境下的平稳运行与数据安全，公安部与时俱进、勇于创新，提出并制定了网络安全等级保护2.0，以安全技术保障、安全管理运营、安全监测预警、安全应急响应为核心，全面指明了我国关键信息基础设施安全保障的原则、方法与手段，成为我国未来十年关键信息基础设施安全保障最基础、最核心、最重要的一部权威制度。

正在审议的网络安全等级保护标准（以下简称：等保2.0）分为定级指南、基本要求、设计要求和测评要求。在技术和管理两大方面对网络与信息系统安全保障进行了全面描述与规范，包括通用要求与安全扩展要求两部分，在通用要求中，技术要求部分包括物理和环境安全、设备和计算安全、应用和数据安全，管理要求部分包括安全策略和管理制度、安全管理机构和人员、安全建设管理和安全运维管理。

本次修订并送审的等保2.0与正在执行的等保1.0（GB/T 22239-2008）相比最大的变化在于补充提出了四项安全扩展要求，分别是：云计算安全扩展要求、移动互联网安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

除安全通用要求和安全扩展要求之外，等保2.0同时给出了安全体系建设的顶层设计框架，安全顶设计框架涵盖了如下九大方面：

1、资产：等级保护对象、通信网络、区域边界、计算环境

2、运营：安全管理中心

3、体系：风险管理体系、安全管理体系、安全技术体系、网络信任体系、

网络安全综合防御体系（积极防御体系）

4、支撑：组织管理、机制建设、安全规划、安全监测、通报预警、应急处

置、态势感知、能力建设、技术检测、安全可控、队伍建设、教育培训、

经费保障

5、过程：定级备案、安全建设、等级测评、安全整改、监督检查

6、策略：总体安全策略

7、战略：网络安全战略规划目标

8、标准：国家网络安全等级保护政策标标准体系

9、法令：国家网络安全法律法规政策体系

总体上看，等保2.0是一部完整的以技术保障为基础、以管理运营为抓手、以监测预警为核心、以协同响应为目标的网络安全防御体系框架性指导标准与规划建设指南，下面，我们就等保2.0在技术保障、管理运营、监测预警和协同响应这四大核心内容上进行逐一介绍。

(一)以基础设施和业务应用为核心的技术保障

技术保障是等保2.0中篇幅最多，描述最完整的部分，全面描述了关键信息基础设施安全体系所应具备的框架与能力，是关键信息基础设施安全防护体系的基础。等保2.0的技术保障体系延续了等保1.0中的以资产（网络与信息系统）为目标的安全保障思路，其核心是围绕基础设施和业务应用，这符合网络与信息安全防护体系设计的基本原则，目标明确、重点突出。在等保2.0的设计中，按照分级防护的思想，从第一级安全要求到第四级安全要求，始终贯穿着通信网络、区域边界、计算环境的安全防护目标，具体到等保2.0的标准中就是对物理安全、网络和通信安全、设备和计算安全、应用和数据安全的一致性要求。这体现了网络安全等级保护制度在过去十年成功实践上的总结与继承，也表明了未来十年网络安全等级保护会继续坚持以资产防护为目标的基本思路。

等保2.0在继承了等保1.0中以资产防护为目标的成功实践基础上，结合近些年网络与信息技术的新变化，补充提出了对云计算、物联网、移动互联网和工业控制系统的安全防护要求。这深刻反映了网络与信息安全体系发展与创新的本质：基础设施和业务应用的发展永远是网络与信息安全体系发展与创新的第一驱动力。

(二)以数据驱动和人才培养为核心的运营管理

在过去十年的网络安全防护过程中，我们经历了无数次的攻防较量、重点保障、应急处置和分析溯源的实践，并在这些实践过程中积累了大量宝贵的成功经

验与失败教训。通过对这些成功经验与失败教训的总结与反思，我们渐渐清晰地认识到：

1、数据是安全的基础与驱动力

2、人是安全防护的核心与尺度

3、安全运营与管理是安全最重要的手段

4、围绕数据、人、工具、运营管理的积极防御体系是未来安全体系发展的

方向

过去十年无数次的实践告诉我们：围绕数据、人、工具、运营管理的积极防御体系是安全的不二选择，其核心是人通过工具对数据的运营和使用。

以数据为基础、以人为核心，从数据中来（监测预警），到数据中去（响应处置），是当前情况下应对多点复杂攻击的最佳实践，这个过程就是我们所说的安全运营管理。因此，安全运营管理的两个核心与前提是：

1、拥有可以使用安全工具完成安全运营管理工作的安全专业人员及团队

2、具有可支撑监测预警和安全运营管理的数据

两者缺一不可。更本质地看：人是安全的尺度、数据是安全的第一生产力。

正因如此，安全人才培养和安全运营管理体系建设成为当前世界各国安全体系建设的重点，安全工作是实践性特别强的工程类技术工作，与之对应的安全人才也是熟练掌握安全技能的工程类人才，因此安全专业人才的培养是一个学、考、练、用的持续迭代过程，这里特别强调练和用，从实践中来、到实践中去。可以

预见，未来集学、考、练、用为一体的网络与信息安全集成实训系统将成为普遍需求，这体现未来了网络与信息安全防护更加强调实战与实际效果的体系性需求。

我们在反思过去十年安全体系建设的发展过程可以清晰看到，我们完成了从架构安全到被动防御的迭代式演进。回顾这个过程，我们看到过去的安全体系更多地在依靠安全产品（即安全工具）孤军作战，而没有将人和数据放在核心的位置加以重视，这导致了以往的安全体系存在着防御能力的滞后性和二次反应能力不足的问题，这更像是“冷兵器”时代，因为缺少对数据足够的采集与分析，被动安全体系成了免疫能力有限的贫血儿，因为缺少安全人员对安全数据的安全运营管理，被动安全体系严重缺乏活力与对抗“韧性”。全要素采集安全数据、全过程安全运营成了下一代积极防御体系的体系核心。这反映了安全是人与人之间对抗的本质。2011年，美国所采用的号称世界上最先进的入侵检测系统“Seminole”其真正先进之处就在于引入了7x24小时的安全专家运营管理过程，这使得Seminole具备了持续发现、二次检测与快速响应这三个最重要的安全能力。

等保2.0的技术体系，充分体现了对于全要素数据获取、全过程安全运营以及对专业人员的岗位性要求，从这个层面上讲，等保2.0准确把握了未来安全体系建设的核心与关键，代表着未来安全体系的潮流与方向。

(三)以威胁情报和态势感知为核心的监测预警

无论是等保1.0还是在等保2.0，监测预警都是安全技术体系的重中之重，经过近几年的摸索与实践，安全态势感知已经被证明是安全监测预警的最佳实践与必由之路。习近平总书记在2016年4月19日在网络安全和信息化工作座谈会上敏锐指出的“全天候、全方位的态势感知”为我们的监测预警工作指明了方向。事实上，公安部在2015年开始就在监测预警工作的实践基础上提出了在公安系统内建设态势感知平台的要求并出台了相关标准，并率先在青岛等地开展了将态势感知平台应用于实战的探索与尝试，截止目前，该项工作已取得了丰硕成果，以安全态势感知为核心的指挥作战平台已经成功应用于包括十九大在内的诸多大型活动重要时期安全保障工作并取得显著成效。

安全态势感知本质是安全能力与安全手段，表现形式是平台系统，实战中既

是监测预警的工具，又是安全运营的平台，涵盖了从数据采集、情报获取、安全大数据分析、监测预警、分析研判、指挥通告、处置响应和追踪溯源的完整安全业务流程，是面向安全监测与安全运营管理，有效整合人、工具、数据与运营的一体化平台。因此态势感知在很大程度上有别于传统的SOC与后来的NGSOC，更强调安全工作快速闭环的运营支撑能力。

为了达到支撑实战的目的与效果，态势感知平台需要具备五方面的基础能力：

1、全天候、全方位获取数据的全要素数据采集与数据处理能力

2、高质量、及时的威胁情报获取与应用能力

3、外部互联网数据与内部本地数据获取与大数据综合分析能力

4、全过程闭环安全运营过程（如：指挥通告、响应处置）支撑能力

5、安全事件取证、分析研判与追踪溯源能力

具备了上述五方面的基础能力，才能实现态势感知作为监测预警与安全运营的实战目标，满足实战对“全天候、全方位”态势感知的要求。态势感知的五方面基础能力，本质是构建监测预警与安全运营的双轮驱动机制：外部数据驱动机制和内部数据驱动机制，来自互联网的数据与威胁情报是利用外部数据实现监测预警与安全运营，实现了从外部向内部看威胁和运营支撑的能力；内部数据的采集与大数据分析是从内部看威胁和运营支撑能力，两者相辅相成、互相补充，构成了完整的态势感知能力。

(四)以攻防演练和积极防御为核心的协同响应

安全体系缘于攻防、安全体系服务于攻防。随着安全体系的发展与持续建设，安全体系服务于实战、在实践中检验安全体系的建设成果、安全体系在实战中不断完善建设成为安全体系建设螺旋式发展、迭代式演进的主要形式。这符合用实践检验真理，在实践中发展真理的历史实践观点。

2016年底，公安部组织力量针对部分关键信息基础设施成功实施了“护网2016”行动，通过这次行动，在实战中验证了部分关键信息系统的安全性与防护能力，拿到了这些关键信息系统防护能力与安全脆弱性的第一手最真实数据。为提前发现安全短板、及时修补安全漏洞、完善信息系统的安全能力创造了条件，有效保障了重大活动期间安全保障任务的圆满完成。“护网2016”再次用事实证明：针对关键信息基础设施的攻防演练与红蓝对抗是在短时间内发现安全问题、弥补安全短板、提升安全能力最行之有效的手段，通过攻防演练和红蓝对抗，可以将应急响应的时间大大提前，做到早期发现、提前响应，真正实现变被动为主动，积累经验、锻炼队伍、检验系统的同时变被动为主动、变事发应急为提前响应、变坏事为好事。今天，通过攻防演练与红蓝对抗低成本快速提升网络与信息安全防护能力已经成为大家广泛接受与认可的安全体系建设的重要形式，被众多有条件的大型行业机构所采用。

2015年，美国安全研究机构SANS研究院提出了著名的安全标尺模型，系统总结了安全体系建设所经历的五个发展阶段，并指出未来安全体系建设将从架构安全和被动防御走向积极防御。目前这个模型已经成为世界范围内安全界所广泛接受的安全体系模型，并被大多数行业机构所采用。

同期，国际著名咨询机构Gartner提出了适用于积极防御体系构建的自适应安全框架（ASA），至此，SANS与ASA分别从不同视角各自独立提出的安全模型与安全架构相互呼应，共同完成了积极防御体系的理论奠基，成为下一代安全的基本理论。我国从2016年开始逐渐引入安全标尺模型与自适应安全框架，结合我国网络与信息安全的实际情况逐步形成了以数据驱动为基础、以安全运营为手段、以态势感知为支撑、以安全人员为核心、以协同防御为特征的具有中国特色的积极防御安全体系，即我国网络与信息安全的下一代安全防护体系。在这个防御体系中，强调数据（内部与外部数据）的基础性支撑作用，强调人员在这个安全体系中的核心作用与价值，强调安全运营作为日常安全工作的重要地位，强调态势感知作为监测预警与安全运营平台的核心作用，强调设备与设备、人、数据三者之间协同联动的重要性，强调威胁情报与攻防演练对于安全体系的增强与完善。应该说，我国对于安全标尺模型和自适应安全框架的借鉴、改造与应用实践，是成功地站在国际前沿已有成果上的大胆尝试与创新。这种实践与创新是我国信息安全持续发展并终将成为网络安全强国的根本保障与核心竞争力。

结束语

纵观等保2.0标准，始终贯穿着积极防御体系的核心思想，对积极防御体系中核心的数据、人、运营管理、态势感知、攻防演练等提出了明确的要求。等保2.0表面上是一部以技术点和管理点为要求的标准规范，但我们的理解不能浅尝辄止于此，而是要透过这些点上的要求，深入理解等保2.0背后在安全体系构建上的思想架构精髓，只有这样，我们才能够真正灵活利用等保2.0构建符合未来要求的安全保障体系。