代码改变世界

我国态势感知发展(4):等保2.0与网络安全态势感知

2020-04-14 13:17  微言晓意  阅读(1211)  评论(0编辑  收藏  举报

2019年5月13日,国家市场监督管理总局、国家标准化管理委员会正式发布了网络安全等级保护2.0标准和规范,并将于2019年12月1日开始实施。等级保护一直是我国在网络安全领域的基本制度、基本国策,是国家网络安全意志的体现,《网络安全法》出台后,等级保护制度更是提升到了法律层面。等保2.0标准的发布,对加强中国网络安全保障工作,提升网络安全保护能力具有重要意义。

网络安全等级保护2.0标准扩展了等级保护对象,将网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统纳入保护范围,按照不同对象的安全保护等级完成相应的安全建设或整改工作,针对等级保护对象特点建立网络安全综合防御体系,并开展组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、安全可控、队伍建设、教育培训和经费保障等工作。

在较高级别等级保护对象的安全建设中,无论是从等保2.0标准要求还是自身安全需求来看,安全监测、通报预警、应急处置、态势感知都是安全工作的重中之重。等保2.0标准中也给出了相应的关键技术建议,即:

立足于现有的大量事件采集、数据挖掘、智能事件关联和基于业务的运维监控技术,解决海量数据处理瓶颈,通过对审计数据快速提取,满足信息处理中对于检索速度和准确性的需求;同时,还应建立事件分析模型,发现高级安全威胁,并追查威胁路径和定位威胁源头,实现对攻击行为的有效防范和追查。

无论是等保1.0还是在等保2.0,监测预警都是安全技术体系的重中之重,本次等保2.0标准对新型安全攻击检测能力、网络安全分析能力、用户行为分析能力等提出了更高的要求。这也充分体现了等保2.0主动防御、动态防御的核心思想。

高级威胁可以简单地理解成传统安全技术/设备无法检测的威胁,包括未知威胁和潜在威胁两种。对未知威胁的检测,可以通过关联分析、异常检测、威胁情报、沙箱等技术解决,对于潜在威胁可以通过机器学习、长周期分析等技术解决。

高级威胁的检测与分析一直以来都被认为是态势感知的一个重要能力表现,通过态势感知平台建设,配合相关的安全检测与分析技术,使部署安全设备但不知道是否真的安全、不知道发生什么安全问题、不知道如何处置安全的“安全三不知”将成为历史。

此外,等保2.0中强调了安全管理中心的作用与要求,体现了对较高级别的等级保护对象进行集中安全管理的思想,保证分散于各个层面的安全能力在统一策略的指导下实现,各个安全控制在可控情况下发挥各自的作用,保证等级保护对象的整体能力。

态势感知在精准定位已知威胁、检测高级威胁的基础上,不断地丰富安全事件场景、提高安全运营决策辅助能力,才能为安全监测、通报预警、应急处置提供一个坚实的基础,也只有这样才能将安全监控、安全运维、安全审计打通成为一个整体的安全运营中心。

总体来看,态势感知本质上是安全能力大集中,涵盖了数据采集、情报获取、安全分析、监测预警、分析研判、指挥通告、处置响应和追踪溯源的完成安全流程。我国网络安全正在逐步形成以主动防御为目标、以数据驱动为手段、以态势感知为支撑、以安全运营为核心、以动态协同为特征的下一代安全防御体系。