杨超

摘 要：本文介绍了网络等级保护的发展历程，剖析了等保2.0的新变化，并基于等保2.0的新要求探讨了网络安全主动防御体系的建设方向。

关键词：网络等级保护;网络安全;主动防御;建设方向

中图分类号：TP309 文献标识码：A 文章编号：1671-2064（2019）04-0041-02

0 引言

近年来，随着人工智能、大数据、物联网、云计算等技术的疾速发展，网络安全形势越发严峻，网络环境越发复杂多变，旧标准也已经无法再适用于当前环境下的网络安全要求。为了适应移动互联、云计算、物联网等新业务、新应用的网络安全防护需要，从2015年开始，我国逐步开始制定网络等级保护的安全要求2.0标准。系统防护由被动防御变成主动防御是1.0和2.0标准最大的区别，以前1.0标准要求被动防御，要求防火墙、杀病毒、IDS，现在2.0标准要求由被动防护上升到主动防御。

1 网络安全等级保护2.0

1.1 网络安全等级保护的发展历程

随着全球网络技术的疾速发展，由此带来的网络安全问题必须予以高度重视和防范，西方发达国家率先采取措施，为了便于对各行业的信息安全工作进行管理和指导，针对网络信息安全建设制定了一系列政策和标准，根据重要程度将各行业的信息系统划分为不同的安全等级。随后，我国结合自身网络环境和网络安全形势，在1994年由国务院下发的《中华人民共和国计算机信息系统安全保护条例》为我国信息安全保护工作提供了纲领性指导。之后又经过了十几年的研究和探索，国家又相继出台一系列从中央到地方的政策法规，从计算机系统的定级到网络安全等级保护测评，网络安全工作正稳步向前推进。

随着《中华人民共和国网络安全法》的实施以及各类网络安全等级保护标准的出台，全国各行各业及监管部门迅速响应，所属安全系统按照要求先定级后测评，建立、健全信息安全管理制度，根据要求积极落实各项安全保护技术措施，努力做好行业内信息系统安全等级保护工作。

1.2 等保2.0和1.0的区别

（1）标准名称的变化：旧标准名称为《信息安全技术信息系统安全等级保护基本要求》，等保2.0改为《信息安全技术网络安全等级保护基本要求》，与《中华人民共和国网络安全法》中的相关法律条文保持一致。

（2）标准内容的变化：为适应移动互联、云计算、物联网等新的网络环境中安全保护工作的开展，新标准提出安全通用和安全扩展两类要求。其中，安全通用要求针对的是共性安全保护需求，安全扩展要求针对的是云计算、移动互联、物联网和工业控制等新环境新领域的安全保护个性需求，安全扩展要求又分为云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

（3）控制措施分类结构的变化：旧标准的控制措施共有10个分类，等保2.0缩减调整为8个，新旧标准变化对比。

（4）标准控制点和要求项的变化：在控制点要求上等保2.0相对旧标准并没有大的变化，通过对旧标准中一些相关要求整合后在数量上反而略有减少。

（5）等保2.0技术部分变化简析：与旧标准注重安全防护不同，新标准更加切合当前移动互联、云计算、物联网等新业务、新应用的网络安全主动防御需求，等保2.0标准紧密结合《中华人民共和国网络安全法》，对其中关于持续监测、威胁情报、快速响应类的要求均给出了指导思路和具体的执行措施。对等保2.0标准的部分技术措施进行了简要分析。

综上所述，相较于旧标准而言，等保2.0在当前发展较为迅猛的一些新的网络环境和应用中均提供了较为全面、实用的网络安全建设标准和指导思路，可以说新标准进步显著。积极落实网络安全等级保护制度，以网络安全等级保护标准为重要建设依据和指导思路，在满足相关法规要求的前提下，构建一套完备的网络安全防御体系，切实提高信息系统的网络安全综合防御能力。

2 网络安全主动防御体系建设

2.1 以传统安全设备为基础

首先，防火墙和网络版杀毒软件必不可少，作为最传统的网络安全設备，提供着最基本的网络安全防护。防火墙部署在局域网和广域网之间、专用网与公共网之间的边界上，保护内部网免受非法用户的侵入;网络版杀毒软件用来保护计算机不受病毒、木马、蠕虫的侵扰，同时对网络病毒入侵也有一定的防御能力。作为主动防御安全体系的基础存在，传统安全设备一定不能舍弃。另外，防毒墙可以扫描通过网关的数据包，对病毒进行过滤，阻止网络传输中的病毒从网关处侵入内部网络，因此，防毒墙也是很有必要的。

2.2 主动阻断攻击

在很多行业，尤其是很多关键的信息系统不能忍受遭到攻击损失后再来事后补救，而是希望在检测到攻击时就能及时阻断以避免造成损失。鉴于此，在网络入侵防护方面，要求在发现攻击时要能够立即主动响应并实时阻隔入侵。入侵防御系统完全是前瞻性的防御机制，它可以对常规网络流量中的恶意数据包进行检测、阻止入侵活动、预先对攻击性的流量进行主动拦截，而不是在传送恶意流量的同时或之后，简单发出报警。在等保标准2.0的背景下，入侵防御适时顺应了网络安全保障体系中安全功能融合的主流趋势，入侵防御系统作为主动防御的关键技术，是主动防御安全体系的重要组成部分。但入侵防御系统目前仍有一些不足，其中误报率高会对正常业务造成影响，大量的误报会对后续的数据包造成阻隔，无论数据量正常与否，都会拒绝服务。这就要求安全厂家要结合用户自身的业务网络实际情况合理地配置、优化防护策略，尽量降低IPS误报率。

2.3 明确接入系统的人员身份

在等保2.0时代，网络安全准入系统也尤其重要，必须以此来加强明确接入系统的人员身份，防止内网有违规外联的事件发生，只有这样才能保证后续的安全措施及安全运维能够有效地进行。在实际建设工作中，可以通过部署堡垒机及双因素认证等安全设备，以高安全性和高可靠性的认证模式对用户进行认证，确保接入网络的人员身份是可靠的，并且网络出口是唯一的，严防非法、越权访问事件的发生。

2.4 及时发现并修补漏洞

网络之所以遭到攻击，是因为我们的系统本身存在漏洞，有缺陷可以被利用，而且绝大多数的漏洞和缺陷都是事先已知的。鉴于此，我们需要提前主动采取防御措施，通过漏洞扫描器定期扫描网络及网络中的终端和网络设备，并及时更新漏洞库，确保能够识别最新的漏洞并及时修复。

2.5 数据库主动防护

最后一个推荐的主动防御的基础设施是数据库防火墙，作为高效而直接的数据库防御工事，数据库防火墙已被越来越多的用户所关注。以前的方案是配备数据库审计、日志审计类设备，这些是操作审计、被动类型的设备，在等保2.0时代，显然已经不符合主动防御的要求。数据库防火墙部署在数据库服务器前，采用主动防御机制，基于数据库协议分析与控制技术，可以通过中断会话和语句拦截两种方式实现威胁防御。

2.6 定期的安全服务

主动防御体系的建设除了部署主动防御的安全设备外，一些定期的安全服务也必不可少，主要是以下三项：（1）渗透测试服务。由安全从业人员完全模拟黑客，利用黑客攻击网络可能使用到的攻击技术和漏洞发现技术，深入探测目标系统各方面的安全防护能力，以便找出目标系统防护最为脆弱的环节，发现网络安全防御体系中存在的漏洞;（2）安全测试服务。对新的信息系统进行多角度全方位深层次的安全测试能够在系统正式开展业务前及时发现系统开发和程序设计中没有考虑到的安全隐患和问题，有效降低系统带病上线带来的安全风险;（3）安全运维服务。信息系统在运行的过程中会不断碰到新的安全威胁，自身的脆弱性也随着系统运行不断发生改变。在系统运行期间，安全运维服务通过对目标网络及信息系统定期进行漏洞扫描、脆弱性检查、代码安全审计、策略检查、安全巡检、安全加固等巡检措施，查缺补漏，及时找出潜在的安全隐患并采取相应的技术防护措施，不断优化安全策略，切实提高信息系统安全防御能力，建立一套由防护、检测和恢复三部分组合而成的良性闭环安全防护机制，为信息系统的网络、数据和业务持续提供安全保障。

此外，在系统管理方面，建议采用三权分立等较为安全稳妥的管理策略，避免设立超级管理员，对重要的操作一定要事先进行不同用户的多重授权。

2.7 部署SOC平台、安全态势感知平台

除了以上七个方面外，为了使网络主动防御体系具备安全风险预测能力，防患于未然，可以部署SOC平臺、安全态势感知平台，通过态势要素获取，获得必要的数据，然后通过态势分析进行态势理解，从而进一步实现态势预测分析发现全局性角度的网络安全趋势及未来短期内可能出现安全问题的环节，是一个动态的准实时系统。

经过以上几方面的安全防御体系的建设，一个较为完善的主动防御安全体系已经建成，基本能够达到主动发现安全风险、主动减少自身漏洞、主动及时阻断攻击的防御效果。

3 结语

网络安全等级保护制度经过千锤百炼，已被打造为等保2.0时代国家网络安全的基本国策和基本制度，我们的任务就是要深入学习贯彻网络安全法的要求和相关国家标准，再结合自身业务和实际情况去做好各项网络安全防御工作。通过建设这样一套网络安全主动防御体系，最终实现良好的防御效果，努力做到整体防御、分区隔离;积极防护、内外兼防;自身防御、主动免疫;纵深防御、技管并重。

参考文献

[1] 田继红，蒋岱.浅谈信息安全等级保护的发展历程及现状[J].中国管理信息化，2017，20（02）：186-187.