《中華人民共和國網絡安全法》于2017年6月1日頒布，明確了國家實行網絡安全等級保護制度，標志了等級保護制度的法律地位，等級保護制度是國家的基本制度、基本國策、地位特殊，對于維護中國網絡安全、維護國家安全、社會秩序和公共利益意義重大。

為了配合網絡安全法的實施，同時適應云計算、移動互聯、物聯網、工業(yè)控制和大數據等新技術、新應用情況下網絡安全等級保護工作的開展，彌補等保1.0標準在適用性、時效性、可操作性等方面的缺陷，公安部組織相關單位制定并發(fā)布了等保2.0系列標準，為推動標準落地，聯軟科技積極參與標準宣貫，未來將發(fā)布一系列等保2.0標準解讀。

讀者通過本文可了解等保2.0標準的內涵和核心變化，并可了解數字化時代背景下如何構建基于等保2.0和可信數字網絡架構的安全保障體系。

等保2.0內涵和核心變化

為落實“分等級保護、突出重點、積極防御、綜合防護”的總體要求，建立“打防管控”一體化的網絡安全綜合防御體系，提升國家網絡安全整體防御能力，公安部于2019年5月13日正式發(fā)布了《網絡安全等級保護基本要求》、《網絡安全等級保護安全設計技術要求》、《網絡安全等級保護測評要求》三個核心標準，初步形成了比較完備的等級保護體系，標準主要內涵和變化情況如下：

同時針對云計算、移動互聯、工控系統(tǒng)、物聯網提出安全擴展要求，如果是金融、電力等關鍵基礎設施，必須在基本要求的基礎上，根據自身系統(tǒng)情況，滿足擴展相關要求。

安全建設需求和建設新思路

等級保護制度是在國家大力推進數字化經濟的背景下推出的，現在企業(yè)紛紛利用新技術進行數字化轉型，建立了以數據業(yè)務為核心，以云計算、物聯網、大數據、人工智能、移動互聯網等新技術為支撐的新一代業(yè)務系統(tǒng)，推動了企業(yè)業(yè)務發(fā)展，但隨著傳統(tǒng)IT向新一代IT轉變，用戶、設備、應用和數據正在向傳統(tǒng)企業(yè)邊界控制區(qū)域之外遷移，用戶訪問未知不固定，傳統(tǒng)安全防護手段無法適應移動互聯、物聯網等新技術場景的安全防護，用戶急需針對新一代IT設施，從全新的安全視角構建整體、動態(tài)、主動、精準的安全保障體系，并充分發(fā)揮可信通信、可信邊界、可信計算在企業(yè)安全建設的關鍵作用。

Ⅰ.

一：滿足等級保護2.0合規(guī)要求

在等級保護提升到國家基本制度、基本國策的背景下，目前等級保護制度通過網絡安全法已上升到法律層面，具備法律約束力，如果不按等保合規(guī)要求履行安全建設義務，可能遭受執(zhí)法部門處罰，主要責任人可能會被追究法律責任。

二：解決新技術帶來的新風險

隨著各行各業(yè)推動云計算、移動互聯、物聯網等新技術應用，需要針對新技術的特點，避開傳統(tǒng)安全防護無法有效應對的問題，采用全新的安全視角構建整體、動態(tài)、主動、精細的安全保障體系，特別是針對金融、電力等關鍵基礎設施，需要在滿足基本要求的情況下，實現重點防護，提升動態(tài)、主動防御能力。

三：發(fā)揮可信技術的關鍵作用

在安全法明確支持推廣國產自主可信的環(huán)境下，必須在找漏洞、打補丁等傳統(tǒng)安全防護方式的基礎上，采取安全可信、主動免疫等新的防護手段，做到攻不進去，非授權信息拿不到，竊取信息看不懂，系統(tǒng)和信息改不了，系統(tǒng)攻擊行為賴不掉，實現安全通信、安全區(qū)域邊界、安全計算環(huán)境。

四：安全融于業(yè)務

在滿足等級保護合規(guī)的基礎上，安全與業(yè)務深度融合，且安全不降低業(yè)務效率，協(xié)助客戶快速完成業(yè)務開發(fā)、業(yè)務上線、業(yè)務推廣等，同時提升用戶訪問業(yè)務的體驗。

五：加強安全風險管控

通過安全重構大幅減小攻擊面和降低問題發(fā)生的概率；通過動態(tài)授權和訪問控制實現身份統(tǒng)一管理，大幅減低入侵可能或延緩攻擊；通過大數據、人工智能、欺騙等技術，快速發(fā)現入侵，追蹤溯源，消除入侵。

六：加強安全管理建設

技術和管理并重，加強安全管理機構、制度、人員、建設、運維管理建設，構建統(tǒng)一集中管控平臺，實現統(tǒng)一監(jiān)控、統(tǒng)一安全基線管理、統(tǒng)一策略下發(fā)、統(tǒng)一安全事件和行為管理等，防止風險擴散，持續(xù)提升安全運營服務能力，實現人機共治。

Ⅱ.

基于以上需求分析，尊重歷史，著眼未來，建議用戶基于可信數字網絡架構理念構建新一代安全保障體系。

由上圖可見，可信數字網絡架構相對傳統(tǒng)安全防護理念具有以下特點：

一是可避免被動防御、疲于奔命、很難成功等傳統(tǒng)安全防護思路存在的問題，通過安全重構，大幅減小攻擊面和降低問題發(fā)生的概率；

二是在靜態(tài)防護、漏洞修補等傳統(tǒng)安全防護基礎上，通過安全重構，減少攻擊面，并實現動態(tài)授權和訪問控制，大幅減低入侵可能，延緩攻擊，避免系統(tǒng)癱瘓或數據泄露；

三是利用人工智能、主動欺騙等技術對行為進行分析，快速發(fā)現入侵，追蹤溯源，消除入侵，使得安全體系具備安全對抗的能力。

基于此，我們設計了基于可信數字網絡架構的平臺化安全防護解決方案。

Ⅲ. 平臺化安全防護解決方案總體框架

一：可信接入（前提）

通過建立統(tǒng)一身份認證體系，實現用戶、設備、業(yè)務等所有用戶或設備的統(tǒng)一身份管理和入網管控，通過安全綁定、安全檢查等技術，確保入網設備合規(guī)、身份真實唯一，并可對入網用戶實現動態(tài)細粒度訪問控制。針對云平臺等環(huán)境，用戶可采用基于零信任的SDP架構，實現用戶和設備安全接入、動態(tài)細粒度最小權限控制、設備安全合規(guī)管理、單點登錄、加密傳輸、數據安全保護等功能，減少業(yè)務攻擊面，確保終端數據不丟失、不擴散、不泄露。

二：設備及資產管理（基礎）

通過主動、被動等方式，利用探針、客戶端等方式協(xié)助客戶摸清資產，實現資產分類管理，及時發(fā)現非合規(guī)、存在風險的資產，及時對風險資產進行預警、審計和處置，提升資產合規(guī)率。

三：行為可管可控（關鍵）

不依賴黑白名單，實現網絡行為、終端行為、服務器行為、數據使用行為可管可控，不放過任何可疑行為，如在網絡行為管理方面，可基于設備畫像、大數據、威脅情報等技術實現異?；驉阂庑袨榘l(fā)現管控；同時可基于主動欺騙技術實現入侵行為主動捕捉，并可聯動準入、終端管理等設施避免風險擴散，實現風險溯源；在終端行為管理方面，可實現軟件使用行為、終端安全行為、終端非法外聯、終端打印行為、文件拷貝行為等行為的管理；在服務器行為管理方面可及時發(fā)現流量異常行為、管理員配置缺陷等行為的發(fā)現和管控；在數據行為管控方面，可實現數據外發(fā)、打印截屏等行為的管控。

四：數據安全可控（核心）

等級保護2.0明確要求保護個人信息，同時企業(yè)自身也存在敏感數據保護問題，如果要實現數據安全管控，首先要掌握需要保護的數據有哪些，分布在什么地方。聯軟科技具有豐富的，以場景為驅動的解決方案實施經驗，可協(xié)助客戶完成數據梳理，同時提供DLP工具，用戶利用關鍵字、數據標識符、自動聚類、文檔DNA等技術通過主動、增量掃描等方式可快速完成敏感數據發(fā)現。

針對數據使用環(huán)節(jié)，聯軟科技提供了郵件/移動存儲介質等外發(fā)通道監(jiān)控、外發(fā)審計或阻斷、數據跨網安全交換、數據使用行為分析審計、文檔流轉追蹤、拍照截屏追蹤溯源等數據保護技術，可與用戶現有審批流程無縫集成。

五：智慧洞察安全（價值呈現）

通過集中管控平臺采集各類網絡行為、終端操作行為、數據使用行為等數據，利用聯軟自主研發(fā)的大數據、機器學習、設備畫像、幻影技術等核心技術，及時發(fā)現內網異常行為或外部入侵行為，并及時聯動準入等設施控制風險，真正做到用戶可見、行為可控、風險可視、響應及時。

總結

等級保護的實施必須根據用戶網絡和業(yè)務實際情況，需要在滿足等保2.0合規(guī)要求的前提下，注重安全與業(yè)務的融合，任何的安全手段不能降低業(yè)務效率，同時要區(qū)別對象，重新審視對象，對于云平臺等采用新技術構建的設施，需要重新定級并慎重選擇技術路線，采用實事求是的科學安全觀，統(tǒng)一規(guī)劃，穩(wěn)步推進，真正做到不但可以滿足等保要求，同時可以滿足業(yè)務實際需要，不降低業(yè)務效率，實現安全與業(yè)務的融合共生共存。