《中華人民共和國網(wǎng)絡(luò )安全法》于2017年6月1日頒布，明確了國家實(shí)行網(wǎng)絡(luò )安全等級保護制度，標志了等級保護制度的法律地位，等級保護制度是國家的基本制度、基本國策、地位特殊，對于維護中國網(wǎng)絡(luò )安全、維護國家安全、社會(huì )秩序和公共利益意義重大。

為了配合網(wǎng)絡(luò )安全法的實(shí)施，同時(shí)適應云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數據等新技術(shù)、新應用情況下網(wǎng)絡(luò )安全等級保護工作的開(kāi)展，彌補等保1.0標準在適用性、時(shí)效性、可操作性等方面的缺陷，公安部組織相關(guān)單位制定并發(fā)布了等保2.0系列標準，為推動(dòng)標準落地，聯(lián)軟科技積極參與標準宣貫，未來(lái)將發(fā)布一系列等保2.0標準解讀。

讀者通過(guò)本文可了解等保2.0標準的內涵和核心變化，并可了解數字化時(shí)代背景下如何構建基于等保2.0和可信數字網(wǎng)絡(luò )架構的安全保障體系。

等保2.0內涵和核心變化

為落實(shí)“分等級保護、突出重點(diǎn)、積極防御、綜合防護”的總體要求，建立“打防管控”一體化的網(wǎng)絡(luò )安全綜合防御體系，提升國家網(wǎng)絡(luò )安全整體防御能力，公安部于2019年5月13日正式發(fā)布了《網(wǎng)絡(luò )安全等級保護基本要求》、《網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求》、《網(wǎng)絡(luò )安全等級保護測評要求》三個(gè)核心標準，初步形成了比較完備的等級保護體系，標準主要內涵和變化情況如下：

同時(shí)針對云計算、移動(dòng)互聯(lián)、工控系統、物聯(lián)網(wǎng)提出安全擴展要求，如果是金融、電力等關(guān)鍵基礎設施，必須在基本要求的基礎上，根據自身系統情況，滿(mǎn)足擴展相關(guān)要求。

安全建設需求和建設新思路

等級保護制度是在國家大力推進(jìn)數字化經(jīng)濟的背景下推出的，現在企業(yè)紛紛利用新技術(shù)進(jìn)行數字化轉型，建立了以數據業(yè)務(wù)為核心，以云計算、物聯(lián)網(wǎng)、大數據、人工智能、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)為支撐的新一代業(yè)務(wù)系統，推動(dòng)了企業(yè)業(yè)務(wù)發(fā)展，但隨著(zhù)傳統IT向新一代IT轉變，用戶(hù)、設備、應用和數據正在向傳統企業(yè)邊界控制區域之外遷移，用戶(hù)訪(fǎng)問(wèn)未知不固定，傳統安全防護手段無(wú)法適應移動(dòng)互聯(lián)、物聯(lián)網(wǎng)等新技術(shù)場(chǎng)景的安全防護，用戶(hù)急需針對新一代IT設施，從全新的安全視角構建整體、動(dòng)態(tài)、主動(dòng)、精準的安全保障體系，并充分發(fā)揮可信通信、可信邊界、可信計算在企業(yè)安全建設的關(guān)鍵作用。

Ⅰ.

一：滿(mǎn)足等級保護2.0合規要求

在等級保護提升到國家基本制度、基本國策的背景下，目前等級保護制度通過(guò)網(wǎng)絡(luò )安全法已上升到法律層面，具備法律約束力，如果不按等保合規要求履行安全建設義務(wù)，可能遭受執法部門(mén)處罰，主要責任人可能會(huì )被追究法律責任。

二：解決新技術(shù)帶來(lái)的新風(fēng)險

隨著(zhù)各行各業(yè)推動(dòng)云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)等新技術(shù)應用，需要針對新技術(shù)的特點(diǎn)，避開(kāi)傳統安全防護無(wú)法有效應對的問(wèn)題，采用全新的安全視角構建整體、動(dòng)態(tài)、主動(dòng)、精細的安全保障體系，特別是針對金融、電力等關(guān)鍵基礎設施，需要在滿(mǎn)足基本要求的情況下，實(shí)現重點(diǎn)防護，提升動(dòng)態(tài)、主動(dòng)防御能力。

三：發(fā)揮可信技術(shù)的關(guān)鍵作用

在安全法明確支持推廣國產(chǎn)自主可信的環(huán)境下，必須在找漏洞、打補丁等傳統安全防護方式的基礎上，采取安全可信、主動(dòng)免疫等新的防護手段，做到攻不進(jìn)去，非授權信息拿不到，竊取信息看不懂，系統和信息改不了，系統攻擊行為賴(lài)不掉，實(shí)現安全通信、安全區域邊界、安全計算環(huán)境。

四：安全融于業(yè)務(wù)

在滿(mǎn)足等級保護合規的基礎上，安全與業(yè)務(wù)深度融合，且安全不降低業(yè)務(wù)效率，協(xié)助客戶(hù)快速完成業(yè)務(wù)開(kāi)發(fā)、業(yè)務(wù)上線(xiàn)、業(yè)務(wù)推廣等，同時(shí)提升用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)的體驗。

五：加強安全風(fēng)險管控

通過(guò)安全重構大幅減小攻擊面和降低問(wèn)題發(fā)生的概率；通過(guò)動(dòng)態(tài)授權和訪(fǎng)問(wèn)控制實(shí)現身份統一管理，大幅減低入侵可能或延緩攻擊；通過(guò)大數據、人工智能、欺騙等技術(shù)，快速發(fā)現入侵，追蹤溯源，消除入侵。

六：加強安全管理建設

技術(shù)和管理并重，加強安全管理機構、制度、人員、建設、運維管理建設，構建統一集中管控平臺，實(shí)現統一監控、統一安全基線(xiàn)管理、統一策略下發(fā)、統一安全事件和行為管理等，防止風(fēng)險擴散，持續提升安全運營(yíng)服務(wù)能力，實(shí)現人機共治。

Ⅱ.

基于以上需求分析，尊重歷史，著(zhù)眼未來(lái)，建議用戶(hù)基于可信數字網(wǎng)絡(luò )架構理念構建新一代安全保障體系。

由上圖可見(jiàn)，可信數字網(wǎng)絡(luò )架構相對傳統安全防護理念具有以下特點(diǎn)：

一是可避免被動(dòng)防御、疲于奔命、很難成功等傳統安全防護思路存在的問(wèn)題，通過(guò)安全重構，大幅減小攻擊面和降低問(wèn)題發(fā)生的概率；

二是在靜態(tài)防護、漏洞修補等傳統安全防護基礎上，通過(guò)安全重構，減少攻擊面，并實(shí)現動(dòng)態(tài)授權和訪(fǎng)問(wèn)控制，大幅減低入侵可能，延緩攻擊，避免系統癱瘓或數據泄露；

三是利用人工智能、主動(dòng)欺騙等技術(shù)對行為進(jìn)行分析，快速發(fā)現入侵，追蹤溯源，消除入侵，使得安全體系具備安全對抗的能力。

基于此，我們設計了基于可信數字網(wǎng)絡(luò )架構的平臺化安全防護解決方案。

Ⅲ. 平臺化安全防護解決方案總體框架

一：可信接入（前提）

通過(guò)建立統一身份認證體系，實(shí)現用戶(hù)、設備、業(yè)務(wù)等所有用戶(hù)或設備的統一身份管理和入網(wǎng)管控，通過(guò)安全綁定、安全檢查等技術(shù)，確保入網(wǎng)設備合規、身份真實(shí)唯一，并可對入網(wǎng)用戶(hù)實(shí)現動(dòng)態(tài)細粒度訪(fǎng)問(wèn)控制。針對云平臺等環(huán)境，用戶(hù)可采用基于零信任的SDP架構，實(shí)現用戶(hù)和設備安全接入、動(dòng)態(tài)細粒度最小權限控制、設備安全合規管理、單點(diǎn)登錄、加密傳輸、數據安全保護等功能，減少業(yè)務(wù)攻擊面，確保終端數據不丟失、不擴散、不泄露。

二：設備及資產(chǎn)管理（基礎）

通過(guò)主動(dòng)、被動(dòng)等方式，利用探針、客戶(hù)端等方式協(xié)助客戶(hù)摸清資產(chǎn)，實(shí)現資產(chǎn)分類(lèi)管理，及時(shí)發(fā)現非合規、存在風(fēng)險的資產(chǎn)，及時(shí)對風(fēng)險資產(chǎn)進(jìn)行預警、審計和處置，提升資產(chǎn)合規率。

三：行為可管可控（關(guān)鍵）

不依賴(lài)黑白名單，實(shí)現網(wǎng)絡(luò )行為、終端行為、服務(wù)器行為、數據使用行為可管可控，不放過(guò)任何可疑行為，如在網(wǎng)絡(luò )行為管理方面，可基于設備畫(huà)像、大數據、威脅情報等技術(shù)實(shí)現異?；驉阂庑袨榘l(fā)現管控；同時(shí)可基于主動(dòng)欺騙技術(shù)實(shí)現入侵行為主動(dòng)捕捉，并可聯(lián)動(dòng)準入、終端管理等設施避免風(fēng)險擴散，實(shí)現風(fēng)險溯源；在終端行為管理方面，可實(shí)現軟件使用行為、終端安全行為、終端非法外聯(lián)、終端打印行為、文件拷貝行為等行為的管理；在服務(wù)器行為管理方面可及時(shí)發(fā)現流量異常行為、管理員配置缺陷等行為的發(fā)現和管控；在數據行為管控方面，可實(shí)現數據外發(fā)、打印截屏等行為的管控。

四：數據安全可控（核心）

等級保護2.0明確要求保護個(gè)人信息，同時(shí)企業(yè)自身也存在敏感數據保護問(wèn)題，如果要實(shí)現數據安全管控，首先要掌握需要保護的數據有哪些，分布在什么地方。聯(lián)軟科技具有豐富的，以場(chǎng)景為驅動(dòng)的解決方案實(shí)施經(jīng)驗，可協(xié)助客戶(hù)完成數據梳理，同時(shí)提供DLP工具，用戶(hù)利用關(guān)鍵字、數據標識符、自動(dòng)聚類(lèi)、文檔DNA等技術(shù)通過(guò)主動(dòng)、增量掃描等方式可快速完成敏感數據發(fā)現。

針對數據使用環(huán)節，聯(lián)軟科技提供了郵件/移動(dòng)存儲介質(zhì)等外發(fā)通道監控、外發(fā)審計或阻斷、數據跨網(wǎng)安全交換、數據使用行為分析審計、文檔流轉追蹤、拍照截屏追蹤溯源等數據保護技術(shù)，可與用戶(hù)現有審批流程無(wú)縫集成。

五：智慧洞察安全（價(jià)值呈現）

通過(guò)集中管控平臺采集各類(lèi)網(wǎng)絡(luò )行為、終端操作行為、數據使用行為等數據，利用聯(lián)軟自主研發(fā)的大數據、機器學(xué)習、設備畫(huà)像、幻影技術(shù)等核心技術(shù)，及時(shí)發(fā)現內網(wǎng)異常行為或外部入侵行為，并及時(shí)聯(lián)動(dòng)準入等設施控制風(fēng)險，真正做到用戶(hù)可見(jiàn)、行為可控、風(fēng)險可視、響應及時(shí)。

總結

等級保護的實(shí)施必須根據用戶(hù)網(wǎng)絡(luò )和業(yè)務(wù)實(shí)際情況，需要在滿(mǎn)足等保2.0合規要求的前提下，注重安全與業(yè)務(wù)的融合，任何的安全手段不能降低業(yè)務(wù)效率，同時(shí)要區別對象，重新審視對象，對于云平臺等采用新技術(shù)構建的設施，需要重新定級并慎重選擇技術(shù)路線(xiàn)，采用實(shí)事求是的科學(xué)安全觀(guān)，統一規劃，穩步推進(jìn)，真正做到不但可以滿(mǎn)足等保要求，同時(shí)可以滿(mǎn)足業(yè)務(wù)實(shí)際需要，不降低業(yè)務(wù)效率，實(shí)現安全與業(yè)務(wù)的融合共生共存。