段磊：谈基于等级保护2.0下的一体化安全保障体系建设思路

　　编者按：随着信息化快速发展，网络和信息化应用涉及的领域越来越多，在网络安全法实施的新形势下，对行业部门、企事业单位、安全厂商开展新技术、新应用的等级保护工作提出了更高的要求，标志着等级保护进入2.0时代。国家邮政局发展研究中心网络安全处高级工程师、网络安全运营中心副主任段磊基于等级保护2.0下的一体化安全保障体系建设思路，分析了一体化安全保障体系的优势。全文精彩，敬请关注。

　　访谈实录

　　记 者

　　《中华人民共和国网络安全法》正式实施，标志着等级保护进入2.0时代，那么相比于等级保护1.0版本，等级保护2.0进行的较大的调整，主要体现在哪些方面?

　　段磊

　　等级保护2.0相比于1.0版本的调整，主要体现在以下七个方面：

　　一是标准名称的变化。为了与网络安全法提出的“网络安全等级保护制度”保持一致，等级保护标准由原来的“信息系统安全等级”修改为“网络安全等级”。

　　二是标准结构的变化。等级保护基本要求标准、测评要求的结构均由原来的一个部分变为六个部分，分别为安全通用要求、云计算扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求与大数据安全扩展要求(以附录形式出现)。

　　三是标准内容的变化。各级技术要求分类和管理要求的分类都发生了变化。其中技术要求“从面到点”提出安全要求，对机房设施、通信网络、业务应用等提出了要求;管理要求“从元素到活动”提出了管理必不可少的制度、机构和人员三要素，同时也提出了建设过程中和运维过程中的安全活动要求。

　　四是体系框架全面升级。在定级、备案、建设整改、测评、监督检查五个标准动作的基础上，融入了风险评估、安全检测、通报预警，案事件调查等方面的工作，使等保2.0的工作内容更加完善。

　　五是提出对新型攻击的防护要求。等保2.0标准中增加了针对新型网络攻击的分析能力，并要求对网络中发生的各类安全事件进行识别、报警和分析。

　　六是加入可信计算。通过建立可信计算体系实现主动免疫防御的新计算模式，以密码为基因，实施身份识别、状态度量、保密存储等功能，及时识别“自己”、“非己”成分，从而破坏与排斥进入机体的有害物质，相当于为计算机信息系统培育了免疫能力。

　　七是突出“一个中心，三重防护”的建设思想。就是针对安全管理中心和计算环境安全、区域边界安全、通信网络安全的安全合规进行方案设计，建立以计算环境安全为基础，以区域边界安全、通信网络安全为保障，以安全管理中心为核心的信息安全整体保障体系。

　　记 者

　　您认为，在等级保护2.0下如何构建安全保障体系?应当遵从什么样的思路?

　　段磊

　　个人认为，信息安全保障体系构建要充分结合实际业务场景，以保护业务运行安全和数据安全为核心目标，从安全技术、安全管理两个层面出发，同时贯彻“事前、事中、事后风险闭环管理”的融合安全理念，结合具体情况和现实需求进行设计，形成风险评估、安全防御、应急处置、持续检测及响应处置的闭环安全运维体系，构建符合国家法律法规要求及行业监管要求的一体化安全保障体系。主要建设思路有8个方面：

　　(1)构建纵深防御的网络安全架构体系。形成安全、合规、全面、稳定、高效网络安全纵深防御体系，充分发挥和全面提升存量系统的作用，夯实网络安全的基本防线。

　　(2)建立适度保密的信息安全防控体系。建立可以灵活地根据特定时间、敏感数据、特殊群体、重点终端进行管理的信息安全态势感知和安全事件追踪溯源系统，形成“进不来、出不去、改不了、赖不掉、查得到”的信息安全体系。有效防控信息化建设和发展过程中大量使用B/S架构体系带来的新的安全风险。

　　(3)建立统一开放的身份管理支撑体系。引进国际领先的4A统一身份管理和认证体系，形成全面完整的分级管理、按级负责的安全管理体系，一揽子解决现有系统人员管理标准不统一、技术不统一，管理和技术脱节，从而导致管理制度流于形式等一系列问题;统一解决应用管理、运维管理，以及可信身份、可信终端、可信访问、可信运维等信息安全系统的身份管理、身份认证、单点登录、安全审计，以及二次认证等安全需求;有效应对用户身份不唯一，管理权限混乱，系统和设备管理不到位，新旧密码交叉使用，简单密码重复使用，一个密码多头使用，经常忘记密码，离职人员密码失控等安全风险。

　　(4)建立全面完整的运行维护防控体系。构建以关键资产为中心的全面、完整和可视化的综合运维管控系统，全面、完整、及时地掌控网络和安全设备，以及账号、业务应用等安全运行态势;有效防范管理人员、运维人员利用账号口令管理漏洞造成安全风险，形成IT基础设施账号安全管理、设备稳定运行、系统安全运维全面完整的运维防控体系。

　　(5)建设全面覆盖的数据安全架构体系。建立以安全标准为基线，以数据库防火墙、数据库安全审计技术为基础，以办公网、生产网、数据中心网和互联网区域为重点，建立覆盖有效的数据库安全防控体系，有效防范针对数据库的安全风险。

　　(6)建立高效稳定的安全运行架构体系。建立以统一的安全运维管理中心，机房系统冗余部署、加强异地热备，建立核心安全系统高效、稳定运行的架构体系，确保统一身份管理认证、终端管控、集中运维、数据安全、态势感知等核心系统既能形成有机的整体，又能稳定可靠，独立运行，防止机房出现意外，核心系统仍能正常运行。

　　(7)构建立体化新型威胁的防控体系。建立以可信身份、可信终端、可信进程、可信运维为基础，以蠕虫病毒攻击溯源技术为手段，能防能治的立体化、大纵深，应对新型威胁如勒索病毒攻击的防控体系。

　　(8)构建前瞻性技术理念闭环防护体系。在保留传统安全理念精华的基础上，将基于人工智能、云计算、大数据等技术，按照“业务驱动安全”的理念，采用全网安全可视、动态感知、闭环联动、软件定义安全等安全新技术，建立涵盖数据安全、应用安全、云平台安全、终端安全等的 “全业务链安全”。

　　记 者

　　那么可以请您再介绍一下在进行一体化安全保障体系建设时，其总体架构该如何进行分层呢?

　　段磊

　　在进行一体化安全保障体系建设时，其总体架构应该分三层，具体来说：

第一层，构建以云、边界和端点安全为核心的立体防护能力。基础安全防御体系通过与等保1.0、等保2.0的安全防护要求结合，对核心的安全要素进行防护，达到基础安全防护体系建设。核心安全要素包括安全通信网络、安全区域边界、安全计算环境，在这几大要素的基础防护之上，建立安全管理中心，实现安全防护的事前防护与事中监控及响应。

第二层，构建以安全感知为核心的防御、检测、响应能力。在深入结合Gartner的PPDR 自适应安全防护模型基础上，结合业界人工智能(AI)、威胁情报、安全云服务、终端检测响应EDR等技术发展趋势，构建从“云端、边界、端点”+“安全感知”的立体联动防御机制。

第三层，构建以全局安全可视为核心的安全治理能力。在全局安全可视的基础上，基于人工智能、大数据技术能够显著提升安全运维能力，通过失陷主机检测和访问关系可视等技术帮助运维人员快速发现安全风险，并提供处理建议，简化运维。进一步可以在客户侧建立起深度分析、威胁检测、防御联动和服务响应的安全运营中心。

　　记 者

　　最后，想请您谈谈一体化的安全保障体系的优势是什么?

　　段磊

　　一体化安全保障体系避免了传统安全设计“头痛医头、脚痛医脚”的打补丁方式，通过不同的体系架构之间强有力的逻辑关联性，构建出完整的安全设计框架，利用该框架能够满足未来3-5年内各项安全工作的开展，并且能在日常的安全运营过程中发现问题，重新作用于体系架构，使之迭代更新，能够更好的持续输出安全能力。

　　一是通过建立的“预知、防护、检测、响应”闭环安全体系，能够实现事前风险预知，事中积极安全防护，事后持续检测，事后协同响应，安全可视化。

　　二是采用大数据安全分析技术，强化数据中心安全运营的闭环管理和安全态势的可视化。通过关联分析，可有效发现本地威胁和异常，并对攻击进行追踪溯源。通过联动机制，实现安全设备的智能协同防御。

　　三是通过打造全网安全监测预警与处置体系，解决安全黑洞与安全洼地的问题。全面提升安全风险预警能力、安全事件处理能力与快速响应能力。