网络安全等级保护2.0下电信运营商助力中小企业安全建设

◆黄少琪

网络安全等级保护2.0下电信运营商助力中小企业安全建设

◆黄少琪

（中国电信股份有限公司上海分公司 上海 200433）

云计算、大数据、物联网、移动互联网等新技术不断发展。一方面使得我国人民的生活、工作方式日益变化。另一方面，网络犯罪、网络攻击、网络世界里的大国博弈也在不断上演。在飞速的网络技术变革下，网络安全等级保护2.0应运而生，对企业的安全体系建设提出了新要求。本文结合等保2.0下的挑战和电信运营商自身资源能力的优势，阐述了基于态势感知技术构建主动防御体系的思路。

网络安全等级保护；企业安全建设；态势感知

1 引言

当前，新技术层出不穷，我国各行各业的网络信息化程度也不断提高。但同时，网络攻击手段日益变化，个人和政企面临的网络诈骗、攻击勒索、盗取数据等各类安全威胁也日趋严重，国家网络空间安全面临了新的挑战。

针对网络信息化发展的新局面，国家网络安全等级保护工作也步入了新时代。作为中国网络安全的基石，等级保护制度由信息安全保护制度升级为网络安全等级保护制度，简称“等保2.0标准”。本文将基于“等保2.0”的内容，重点阐述传统安全建设存在的问题；并以建设感知层为例，阐述中小型企业如何依托电信运营商的安全产品、专业服务和行业解决方案提升安全建设能力，提升安全管理水平，阶梯式发展以达到“等保工作”的新要求。

2 网络安全等级保护2.0

等级保护是国家信息安全保障的一项基本制度，旨在对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。从1.0到2.0，我国等级保护制度走过了十余载。随着新技术的迸发，信息系统基础架构和设施发生了巨大变化，网络安全威胁也在不断升级，“等保1.0”已经逐渐不能适应。2018年6月27日，公安部发布《网络安全等级保护条例（征求意见稿）》，提出了全网等级保护的内容。2019年5月13日，国家市场监督管理总局、国家标准化管理委员会召开新闻发布会，正式发布网络安全等级保护制度2.0标准，并于2019年12月1日开始实施。

“等保2.0”是网络安全的一次重大升级，对企业的安全建设提出了更全面、具体的要求，主要体现在：

（1）从条例法规提升到了法律层面，“等保2.0”标准在《网络安全法》的第二十一、二十五、三十一、五十九条都有所规定。由此，企业需基于法律义务开展等级保护。

（2）等级保护的基本流程包括系统定级、系统备案、整改实施、系统测评和“运维”检查五大步骤。“等保2.0”标准优化和调整了流程中的部分细则如下。

a.要求等级保护对象的覆盖更为全面。在传统的计算机信息系统的基础上，扩大了包含云计算、移动互联网、大数据、工业控制系统等新技术应用对象。

b.系统定级更为严格，由自主定级变为“初步确定等级 - 专家评审 - 主管部门审核 - 公安机关备案审查 - 最终确定等级”的线性定级流程。

c.系统测评层面，测评周期拉长，测评通过的门槛提高。“等保2.0”对第三级以上系统只需每年测评一次，要求75分以上才能通过测评。

（3）“等保2.0”最重要的是安全框架和理念的转变，从“等保1.0”标准被动防御的安全体系向“等保2.0”提出的事前预防、事中响应、事后审计的动态保障体系转变。在新的安全框架下，要求企业具有态势感知能力、网络安全分析能力、未知威胁的检测能力，构建“感知、防护、检测、响应”的主动防御体系。

3 企业安全建设存在的问题

正如习近平总书记在2016年4月19日网络安全和信息化工作座谈会上的讲话：安全是发展的前提，发展是安全的保障，安全和发展要同步推进。保障网络安全，提高网络环境的安全性和稳定性，不仅关系到广大网民的信息安全，也是保障企业信息资产安全的基石。部分中小型企业在进行信息化建设初期，往往缺乏网络安全意识，重发展轻安全，也为未来的业务发展埋下隐患。“等保2.0”标准从法律层面，广泛要求使用互联网技术的各企业关注网络安全风险，肩负起安全建设的义务。

在等保1.0的基础下，网络安全产业蓬勃发展，企业部署了防火墙、杀毒软件、安全堡垒等众多传统安全产品和设备。但传统安全防护具有滞后性的缺陷，企业的安全事件处理流程是在经历了威胁事件后，再进行防御加固。后防的处理流程使得企业不可避免造成损失。此外，以防火墙、安全堡垒为例的传统防护，注重边界安全和单点防护，防护分散、互无交流，使得企业遭受网络攻击时，难以评估全网环境下的安全状态，也难以符合“等保2.0”要求的“IATF+P2DR”（分布式主动防御模型）技术体系。由此，企业在安全建设方面需要构建包括安全感知、安全处置、安全能力优化的全方位主动防御体系，对未知威胁也能够起到检测和防御作用。

然而对广大中小型企业而言，为满足等保要求，针对自身业务自研网络安全系统会产生大量经营成本，一定程度上是企业数字化转型道路中的障碍。由此，国内的云服务商、电信运营商和网络安全公司三方都开始发展网络安全服务（Security as a Service）形式的商业模式，为中小型企业在等保2.0的挑战下的安全建设提供良方。其中，电信运营商在国家的网络安全防线中肩负着无可替代的责任，长期以来坚持发展自身的网络安全能力建设，已具备了相对成熟的网络安全主动防御系统和自动检测方案。并且依靠在网络链路、威胁情报、触达客户等自身资源能力优势，电信运营商能够以更低成本提供适应于更广泛行业的网络安全建设方案和评估服务。

4 网络安全态势感知与防护

态势评估是整个全过程的重点和关键环节，在安全建设中占有重要的地位和作用。态势感知产品作为安全分析的整合平台，解决了数据和安全产品孤立的痛点，得以整合网络链路、业务应用、网络设备、终端、安全设备等所有监测对象的数据。此外，等保2.0标准明确指出了要具备对新型攻击的分析能力，对各类安全事件进行识别和主动预警。态势产品不仅需具备安全风险可视化的功能，还要解决安全联动和安全能力优化等问题，使得企业具备主动防御的能力。最终做到集数据采集、分析、预警、处置、管理为一体，整合各种专业的安全防护软件、设备、系统，对网络空间中的安全要素进行获取、理解、展示以及风险预测，可视化网内的风险全貌，对安全事件进行自动化处置，从整体上提升企业对网络威胁的感知处理能力。

总体而言，网络安全态势感知与防护系统涉及了三大功能模块：体系化的大数据采集，网络安全威胁行为分析，基于分析结果的威胁预警和处置。

4.1 大数据采集处理技术

基于云的大数据平台可支持多种数据源的数据采集和处理，可处理PB级数据。其中的两大核心技术是：Hadoop分布式文件系统，简称HDFS；MapReduce分布式计算平台。

Hadoop分布式文件系统（HDFS）是被设计成适合运行在通用硬件（commodity hardware）上的分布式文件系统。它和其他的分布式文件系统的主要区别在于高度容错性，因此适合部署在廉价的机器上。此外，HDFS能提供高吞吐量的数据访问，适合大规模数据集上的应用，MapReduce计算模型，可用于大规模数据集的并行运算。

4.2 网络安全威胁行为分析

引入基于机器学习的大数据挖掘技术，对各类型的威胁行为实现智能化精准识别。此外，与外部威胁情报结合进行关联分析，实现不同安全组件之间数据的综合联动，可提高安全态势的感知和预测效果。长期来看，网络安全威胁行为还可实现对关键系统或重点关注的安全问题进行周期性长效监测。下文将详述四类威胁行为和场景采用的监测技术：僵木蠕监测、异常流量监测、资产风险感知和网络攻击事件监测。

（1）实现僵木蠕的态势感知

态势呈现所展示的效果以企业网络环境为依托，对当天感染僵木蠕情况的数据实时动态更新，反映感染终端TOP排名、僵木蠕毒TOP排名、重要节点TOP排名，并为监测人员提供僵木蠕毒感染总量的变化趋势，为网络安全事件预警提供重要的数据支撑。

（2）实现异常流量的实时监控感知

获取能够表现流量特征的数值序列，例如：流量的大小、流量的协议分布、流量的业务等指标，建立流量基线。通过与流量指标基线的对比，直观地评估网络流量的健康程度，实时监控异常流量特别是DDOS洪泛攻击、恶意扫描等网络安全事件态势。

（3）实现资产风险态势的主动感知

监测一定时间周期内平台存在漏洞和弱配置的总体情况，包括漏洞、弱配置数量、严重级别以及非达标配置项数量和合规率等指标信息。通过漏洞数量、漏洞等级、危害程度、总体数量等指标反映漏洞情况；对不同资产类型包括主机、数据库、中间件、网络设备、安全防护设备等，监控其配置的合规情况。

（4）实现网络攻击事件的实时监测感知

结合机器学习模型，对本地的安全设备日志、网络流量日志进行分析，实时监控SQL注入、XSS、路径穿越等网络攻击行为的态势。机器学习模型的构建是基于自研的人工智能引擎，根据已知的正常事件和威胁事件的大量样本，通过数据挖掘找出有区分度的特征，建立对威胁事件的识别模型，预测“新事件”的威胁概率，进行威胁评估。

4.3 主动预警与威胁处置

以态势感知为核心进行风险的集中管控，规范风险通报和威胁预警机制，实现主动预警和针对性的威胁处置。预警方面，对潜在的网络安全威胁进行监测及防范。处置方面，根据网络安全的日常管理需求和应急处置流程实施威胁处置。

使用WebGL/Canvas+SVG技术，实现上述多个维度感知能力的动态可视化展现。在威胁处置层面，采用分级处置的策略。执行者通过统一管理平台进行安全事件的处置，减少操作风险带来的损失。同时，可对常规告警和低级别的安全事件实现自动化快速处置。

5 总结

“等保2.0”的提出，要求企业在安全建设中周期性的评估纵向和横向的安全防护能力，向主动防御转变。从搭建态势感知平台开始，通过态势感知平台联动企业内原本孤立的安全设备。服务期间，平台定期输出网络安全态势感知报告，对安全防御能力进行周期性巡检和评估，针对报告中包含的网络安全风险，定位存在安全隐患的节点，提供相应的安全服务进行加固。最后形成常态化的安全建设工作，根据企业的网络环境持续性优化安全设备的部署和配置，构建“感知、监测、预警、响应”的闭环式安全防御机制。由此，中小型企业在依托电信运营商的网络安全服务支持下，也可以逐步符合等保2.0标准，形成具备安全感知、安全处置、安全能力优化一体化的新型网络安全态势感知方案，做到数字化转型和安全建设齐头并起。

[1]付丽丽.等保2.0来了，网络安全将发生哪些变化[EB/OL]. http://www.cac.gov.cn/2019-05/29/c_1124555821.htm，2019-5-29.

[2]任婷，于城.从新技术角度谈等级保护2.0[J].信息通信技术，2018（6）：14-19.

[3]袁慧.网络安全等级保护2.0制度的研究和探讨[J].信息与电脑，2020（1）：223-224.

[4]吴承承，贺奕丹，朱利，等.电信运营商探索融通发展道路助力中小企业高质量发展[J].通信世界，2019，799（07）：25-27.