主动安全网络架构与等保要求
2022-01-12刘建兵王振欣马旭艳
刘建兵 王振欣 杨 华 马旭艳
1(北京北信源软件股份有限公司 北京 100195)2(中国石油东方地球物理勘探有限责任公司 河北保定 072750)
(fqy-vrv@wo.cn)
网络安全等级保护2.0(等保2.0)[1]是等保1.0的发展和提高,适应新的网络安全形势、积极落实网络安全法实施的升级措施.基于网络安全认识的深化提出了全新的网络安全维度,脉络更清晰,重点更突出,最新提出的“安全网络边界”和“安全管理中心”,进一步突出了边界管理和集中管控的重要性,理清了网络安全的模糊认识,是网络安全顶层设计的一次飞跃.主动安全网络架构在支持等保2.0传统安全要求的基础上,更契合等保2.0新维度的安全防护要求,可为等保2.0新维度安全要求的落地提供创新的技术和产品支撑.
1 等保2.0的新维度及要求
1.1 等保2.0的新维度
等保2.0相对等保1.0[2],覆盖广度和深度都有所扩展.等保2.0覆盖全社会,包括各地区、各单位、各部门、各企业、各机构;覆盖所有保护对象,包括网络、信息系统、云平台、物联网、工控系统、大数据、移动互联等各类技术应用.
等保2.0从技术的角度看,是构建一个“一个中心(安全管理中心)、三重防护(安全通信网络、安全区域边界、安全计算环境)”的纵深安全防护体系,如图1所示;从管理的角度看,在传统的安全管理制度、机构和人员基础上,强调了建设和运维的安全管理.
图1 等保2.0纵深安全防护体系
等保2.0相对于等保1.0,从较高的层次重新梳理了安全防护的维度,将主机安全、应用安全和数据安全归集成计算环境安全;将等保1.0中的网络安全分成安全通信网络和安全区域边界2个维度,新增加了安全管理中心的维度,图2详细描述了新维度的安全防护要求:
图2 等保2.0的新维度
等保2.0明确提出了安全管理中心[3]的新维度,更加强调了安全管理中心的作用,更明确了集中管控,对网络中的安全设备或安全组件、安全策略等安全相关事项进行集中检测和管控.
等保2.0明确提出了安全区域边界[4]的新维度,强调安全防护需要明确安全区域边界,并在安全边界进行多种安全防护工作,包括行为检查或限制、无线设备受控接入、访问行为控制等,以提高安全防护效率和效果.
1.2 等保2.0要求
等保2.0对等保1.0版本的安全基本要求进行了重新归类与整理,同时增加了新技术的扩展要求.因此,等保2.0由一个单独的基本要求演变为通用安全要求+新技术安全扩展要求,其中安全通用要求是不管等级保护对象形态如何都必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求.
等保2.0安全通用要求和扩展要求都以控制类、控制点、要求项的方式进行组织,通用要求分管理和技术2类要求,2类要求各包括5个控制点,每个控制点下包括若干具体要求.在落实等级保护要求时,需要对照具体安全要求进行安全防护,如图3所示.
图3 等保2.0安全要求
除了通用要求和扩展要求外,等保2.0与等保1.0总体性要求也基本一致,强调了安全措施的组合、互补、一致、统一支撑、统一管理等关键要点.具体如下:
1) 确保各种安全措施的组合能够保证等级保护对象整体的安全防护能力;
2) 各个安全控制之间的互补性,通过安全控制的相互关联实现等级保护对象的整体安全:保证各个控制强度的一致性,避免某个安全控制减弱导致整体安全防护能力削弱;建立统一的支撑平台,如建立基于密码技术的统一支撑平台,支持身份鉴别、访问控制、数据保密等安全功能;进行集中的安全管理,为了保证分散于各个层面的安全功能在统一的策略指导下实现,应建立集中的管理中心进行统一安全管理.
除了增加安全扩展要求外,等保2.0与等保1.0最大不同在于强调要构建一个“一个中心(安全管理中心)、三重防护(安全通信网络、安全区域边界、安全计算环境)”的纵深安全防护体系,其关键立意着眼于一个中心、安全区域边界和纵深安全防护体系.
等保2.0安全保护范围扩大,技术基本要求单独增加安全管理中心;总体性要求里强调通过集中安全管理中心,在统一策略指导下开展各个层面的安全防护工作;安全区域边界从网络安全中独立出来,加强网络边界防护;总体性要求强调纵深安全防护等方面综合分析,此版本的安全要求广泛而深入地运用社会控制原理的优秀理念,与本系列论文的第1篇《主动安全网络架构——基于社会学原理的网络安全技术》[5]中明确的社会控制3要素有着直接而清晰的映射关系.具体如下:
1) 等保范围的增加与社会控制原理对社会行为的普遍控制在广泛性上一致,都要对普遍的很大范围的事物及行为进行控制,实现整体有序安全的总体目标;
2) 等保强调的管理中心与社会控制学原理的中心化的统一组织和策略支撑,二者都强调统一管理,核心思想完全一致;
3) 等保强调安全区域边界防护与社会控制原理有效的基层执行能力都重视基层/边界,强调边界安全能力,边界作为纵深防御的一道坚固防线充分发挥安全作用.
等保2.0在整体和关键点上都深入融入了社会控制原理的思想和理念,同时也将兵法的精髓吸收到安全保护要求中.一个管理中心,相当于网络安全作战指挥部,安全区域边界相当于一道道的防线,多道防线构成纵深防御体系,在管理中心/统一指挥部的统一策略指导下,逐道防线狙击弱化安全威胁和攻击力量,最终达到有效控制和抵御安全威胁和攻击的效果和目的.等保2.0对基本要求的梳理和改进,使得安全防护的理念更为先进、落地有效性更好、持续生命力更强.
2 主动安全网络架构与等保2.0维度的关系
2.1 主动安全网络架构功能
主动安全网络架构(active security network, ASN)由包括IPK(identity public key)密钥平台[6]、认证客户端、边界认证机、管理控制服务器等主要构件组成,所有构件相互配合,实现了终端安全认证与准入,全网终端、边界认证机资产的统一管理,全网安全策略的集成、统一管理和执行等安全防护功能,主动安全网络架构功能具体参见系列文章第2篇《主动安全网络架构设计》[7].
2.2 ASN对等保2.0要求实现
ASN在对等保2.0传统的安全要求进行实现的同时,更突出了对等保2.0的安全区域边界、安全管理中心等新维度要求的实现,如图4所示.
图4 ASN对等保2.0新维度要求实现
ASN与等保2.0安全防护维度的关系主要如下:
1) ASN实现了安全通信网络、安全计算环境、安全管理制度、安全建设管理和运维管理中心的相关安全防护要求;并对移动互联安全扩展要求、工业控制系统安全扩展要求等进行了相关安全功能实现.
2) ASN突出了等保2.0的安全区域边界,打造了企业终端入网的接入边界,通过边界认证机围合起了企业内网终端接入的安全边界,利用边界认证机的安全认证、网络准入、策略管控和执行等一体化的安全防护能力,构建了内网接入新的安全防线.通过边界认证机与安全管理中心(管理控制服务器)的配合,实现企业终端(包括通用终端、哑终端和移动终端)的认证准入、资产管理、策略管控等核心安全服务.
3) ASN同样也重视安全管理中心的核心作用,并通过管理控制服务器实现了安全管理中心的功能.通过管理控制服务器实现接入终端、边界认证机的资产统一管理;实现企业安全策略的统一管理;通过管理控制服务器与边界认证机的配合,实现企业统一安全策略快速随行部署与执行.
3 主动安全网络架构对等保2.0的支撑作用
3.1 ASN对等保2.0的技术支撑
ASN对安全通信网络、安全区域边界和安全管理中心的要求落地起到了强力的支撑作用.其中对安全区域边界的边界防护和访问控制、安全管理中心中集中管控的设备集中管控、策略集中管理等方面的支撑更加突出,具体情况如表1所示.
表1 ASN对等保2.0的技术支撑
3.2 ASN对等保2.0的管理支撑
ASN对安全管理制度、安全建设管理和安全运维管理的要求落地,起到了强力的支撑作用.其中对安全管理制度的安全策略、安全运维管理的资产管理和密码管理等的支撑更加突出,具体情况如表2所示.
表2 ASN对等保2.0的管理支撑
3.3 ASN对等保2.0安全扩展要求支撑
ASN对等保2.0中的移动互联安全扩展要求的安全区域边界的访问控制和配置管理、工业控制系统安全扩展要求的安全通信网络的通信传输、无线使用控制、安全计算环境的控制设备安全等方面也进行了有力支撑,具体情况如表3所示:
表3 ASN对等保2.0安全扩展要求的支撑
4 以主动安全网络架构提升安全核心能力
4.1 网络安全合规要求的实现
等保2.0安全要求的目的是提高网络安全防护能力,构建一个中心、三重防护的网络安全纵深防护体系,改变网络安全防护被动防御的局面,争取网络安全防护的主动权,实现网络安全纵深防御和协同防护.
主动安全网络架构非常契合等保2.0的安全要求,尤其对等保2.0新维度安全要求的支撑更加强劲.主动安全网络架构通过创新的理念和技术研发的产品,实现了网络的内生安全和主动动态防御,为等级保护通用安全要求和安全扩展要求的落地实施推广提供了坚实的技术和产品支撑与保障.
4.2 网络内生安全防护能力
主动安全网络架构将安全能力融入到网络中,实现了网络和安全一体化,使得网络内生安全能力[8]可在网络主路径上实现强有力的安全防护措施,改变了传统安全措施旁路的无奈方式,开创了网络安全防护新思路.
主动安全网络架构运行全面通过密码技术支撑,实现了国密算法的全面使用[9-10],从底层的密码层面做到安全自主可控.内生安全防护能力有了国密技术加持,差异化优势明显,安全防护强度更高.
通过网络内生安全防护能力,构建了终端入网的统一边界.打造了边界认证机之间的网络互联信任边界,从而实现了网络接入和互联的全方位安全防护,消除了网络安全死角,构建了网络统一的坚固防线.
4.3 网络安全主动动态防御
主动安全网络架构对计算机类通用终端、打印机等哑终端、手机等移动终端通过CID唯一标识身份,利用边界认证机对设备入网进行认证准入.架构的管理控制服务器作为安全管理中心进行终端、边界认证机资产的统一管理和安全策略的统一管理和发布,安全策略随着终端上线而下发,离线而撤销,并随着终端的移动,准确下达安全策略至终端接入的边界认证机,实现了网络安全的动态防护[11].
主动安全网络架构充分集成了其他安全应用/系统/设备的安全策略,通过开放集成协议接收其他安全应用/系统/设备发送的安全策略,集全网安全智慧之大成,在发现安全威胁或进攻时可快速与全网安全应用/系统/设备协同联动,快速主动下发安全策略进行安全防护,实现了网络安全的主动防御.
主动安全网络架构改变了安全管理和运行人员的网络安全防护工作方式,将原来四处救火的安全防护方式变成集中精力研究体系化的安全策略上来,将安全管理和运行人员从琐碎的安全防护工作中解放出来,专心于企业安全防护的核心——安全策略的制定和执行,达到安全防护事半功倍的效果.
5 总 结
主动网络安全架构对等保2.0进行了有力支撑,尤其是对于等保2.0的新维度进行了创新性的技术实现,使得等保2.0的落地有了技术保障.主动网络安全架构对于移动互联、工业控制等扩展要求也进行了相关技术实现,为等保扩展领域提供了技术基础.新的架构和技术使得网络内生安全能力,可主动动态防御,改变了网络安全防护思路和模式,聚焦了网络安全核心工作和能力,将显著提高网络安全防护的效率和效果.