主動安全網絡架構與等保要求

劉建兵 王振欣 楊 華 馬旭艷

1(北京北信源軟件股份有限公司 北京 100195)2(中國石油東方地球物理勘探有限責任公司 河北保定 072750)

(fqy-vrv@wo.cn)

網絡安全等級保護2.0(等保2.0)[1]是等保1.0的發展和提高，適應新的網絡安全形勢、積極落實網絡安全法實施的升級措施.基于網絡安全認識的深化提出了全新的網絡安全維度，脈絡更清晰，重點更突出，最新提出的“安全網絡邊界”和“安全管理中心”，進一步突出了邊界管理和集中管控的重要性，理清了網絡安全的模糊認識，是網絡安全頂層設計的一次飛躍.主動安全網絡架構在支持等保2.0傳統安全要求的基礎上，更契合等保2.0新維度的安全防護要求，可為等保2.0新維度安全要求的落地提供創新的技術和產品支撐.

1 等保2.0的新維度及要求

1.1 等保2.0的新維度

等保2.0相對等保1.0[2]，覆蓋廣度和深度都有所擴展.等保2.0覆蓋全社會，包括各地區、各單位、各部門、各企業、各機構；覆蓋所有保護對象，包括網絡、信息系統、云平臺、物聯網、工控系統、大數據、移動互聯等各類技術應用.

等保2.0從技術的角度看，是構建一個“一個中心(安全管理中心)、三重防護(安全通信網絡、安全區域邊界、安全計算環境)”的縱深安全防護體系，如圖1所示；從管理的角度看，在傳統的安全管理制度、機構和人員基礎上，強調了建設和運維的安全管理.

圖1 等保2.0縱深安全防護體系

等保2.0相對于等保1.0，從較高的層次重新梳理了安全防護的維度，將主機安全、應用安全和數據安全歸集成計算環境安全；將等保1.0中的網絡安全分成安全通信網絡和安全區域邊界2個維度，新增加了安全管理中心的維度，圖2詳細描述了新維度的安全防護要求：

圖2 等保2.0的新維度

等保2.0明確提出了安全管理中心[3]的新維度，更加強調了安全管理中心的作用，更明確了集中管控，對網絡中的安全設備或安全組件、安全策略等安全相關事項進行集中檢測和管控.

等保2.0明確提出了安全區域邊界[4]的新維度，強調安全防護需要明確安全區域邊界，并在安全邊界進行多種安全防護工作，包括行為檢查或限制、無線設備受控接入、訪問行為控制等，以提高安全防護效率和效果.

1.2 等保2.0要求

等保2.0對等保1.0版本的安全基本要求進行了重新歸類與整理，同時增加了新技術的擴展要求.因此，等保2.0由一個單獨的基本要求演變為通用安全要求+新技術安全擴展要求，其中安全通用要求是不管等級保護對象形態如何都必須滿足的要求，針對云計算、移動互聯、物聯網和工業控制系統提出了特殊要求，稱為安全擴展要求.

等保2.0安全通用要求和擴展要求都以控制類、控制點、要求項的方式進行組織，通用要求分管理和技術2類要求，2類要求各包括5個控制點，每個控制點下包括若干具體要求.在落實等級保護要求時，需要對照具體安全要求進行安全防護，如圖3所示.

圖3 等保2.0安全要求

除了通用要求和擴展要求外，等保2.0與等保1.0總體性要求也基本一致，強調了安全措施的組合、互補、一致、統一支撐、統一管理等關鍵要點.具體如下:

1) 確保各種安全措施的組合能夠保證等級保護對象整體的安全防護能力；

2) 各個安全控制之間的互補性，通過安全控制的相互關聯實現等級保護對象的整體安全：保證各個控制強度的一致性，避免某個安全控制減弱導致整體安全防護能力削弱；建立統一的支撐平臺，如建立基于密碼技術的統一支撐平臺，支持身份鑒別、訪問控制、數據保密等安全功能；進行集中的安全管理，為了保證分散于各個層面的安全功能在統一的策略指導下實現，應建立集中的管理中心進行統一安全管理.

除了增加安全擴展要求外，等保2.0與等保1.0最大不同在于強調要構建一個“一個中心(安全管理中心)、三重防護(安全通信網絡、安全區域邊界、安全計算環境)”的縱深安全防護體系，其關鍵立意著眼于一個中心、安全區域邊界和縱深安全防護體系.

等保2.0安全保護范圍擴大，技術基本要求單獨增加安全管理中心；總體性要求里強調通過集中安全管理中心，在統一策略指導下開展各個層面的安全防護工作；安全區域邊界從網絡安全中獨立出來，加強網絡邊界防護；總體性要求強調縱深安全防護等方面綜合分析，此版本的安全要求廣泛而深入地運用社會控制原理的優秀理念，與本系列論文的第1篇《主動安全網絡架構——基于社會學原理的網絡安全技術》[5]中明確的社會控制3要素有著直接而清晰的映射關系.具體如下：

1) 等保范圍的增加與社會控制原理對社會行為的普遍控制在廣泛性上一致，都要對普遍的很大范圍的事物及行為進行控制，實現整體有序安全的總體目標；

2) 等保強調的管理中心與社會控制學原理的中心化的統一組織和策略支撐，二者都強調統一管理，核心思想完全一致；

3) 等保強調安全區域邊界防護與社會控制原理有效的基層執行能力都重視基層/邊界，強調邊界安全能力，邊界作為縱深防御的一道堅固防線充分發揮安全作用.

等保2.0在整體和關鍵點上都深入融入了社會控制原理的思想和理念，同時也將兵法的精髓吸收到安全保護要求中.一個管理中心，相當于網絡安全作戰指揮部，安全區域邊界相當于一道道的防線，多道防線構成縱深防御體系，在管理中心/統一指揮部的統一策略指導下，逐道防線狙擊弱化安全威脅和攻擊力量，最終達到有效控制和抵御安全威脅和攻擊的效果和目的.等保2.0對基本要求的梳理和改進，使得安全防護的理念更為先進、落地有效性更好、持續生命力更強.

2 主動安全網絡架構與等保2.0維度的關系

2.1 主動安全網絡架構功能

主動安全網絡架構(active security network, ASN)由包括IPK(identity public key)密鑰平臺[6]、認證客戶端、邊界認證機、管理控制服務器等主要構件組成，所有構件相互配合，實現了終端安全認證與準入，全網終端、邊界認證機資產的統一管理，全網安全策略的集成、統一管理和執行等安全防護功能，主動安全網絡架構功能具體參見系列文章第2篇《主動安全網絡架構設計》[7].

2.2 ASN對等保2.0要求實現

ASN在對等保2.0傳統的安全要求進行實現的同時，更突出了對等保2.0的安全區域邊界、安全管理中心等新維度要求的實現，如圖4所示.

圖4 ASN對等保2.0新維度要求實現

ASN與等保2.0安全防護維度的關系主要如下：

1) ASN實現了安全通信網絡、安全計算環境、安全管理制度、安全建設管理和運維管理中心的相關安全防護要求；并對移動互聯安全擴展要求、工業控制系統安全擴展要求等進行了相關安全功能實現.

2) ASN突出了等保2.0的安全區域邊界，打造了企業終端入網的接入邊界，通過邊界認證機圍合起了企業內網終端接入的安全邊界，利用邊界認證機的安全認證、網絡準入、策略管控和執行等一體化的安全防護能力，構建了內網接入新的安全防線.通過邊界認證機與安全管理中心(管理控制服務器)的配合，實現企業終端(包括通用終端、啞終端和移動終端)的認證準入、資產管理、策略管控等核心安全服務.

3) ASN同樣也重視安全管理中心的核心作用，并通過管理控制服務器實現了安全管理中心的功能.通過管理控制服務器實現接入終端、邊界認證機的資產統一管理；實現企業安全策略的統一管理；通過管理控制服務器與邊界認證機的配合，實現企業統一安全策略快速隨行部署與執行.

3 主動安全網絡架構對等保2.0的支撐作用

3.1 ASN對等保2.0的技術支撐

ASN對安全通信網絡、安全區域邊界和安全管理中心的要求落地起到了強力的支撐作用.其中對安全區域邊界的邊界防護和訪問控制、安全管理中心中集中管控的設備集中管控、策略集中管理等方面的支撐更加突出，具體情況如表1所示.

表1 ASN對等保2.0的技術支撐

3.2 ASN對等保2.0的管理支撐

ASN對安全管理制度、安全建設管理和安全運維管理的要求落地，起到了強力的支撐作用.其中對安全管理制度的安全策略、安全運維管理的資產管理和密碼管理等的支撐更加突出，具體情況如表2所示.

表2 ASN對等保2.0的管理支撐

3.3 ASN對等保2.0安全擴展要求支撐

ASN對等保2.0中的移動互聯安全擴展要求的安全區域邊界的訪問控制和配置管理、工業控制系統安全擴展要求的安全通信網絡的通信傳輸、無線使用控制、安全計算環境的控制設備安全等方面也進行了有力支撐，具體情況如表3所示：

表3 ASN對等保2.0安全擴展要求的支撐

4 以主動安全網絡架構提升安全核心能力

4.1 網絡安全合規要求的實現

等保2.0安全要求的目的是提高網絡安全防護能力，構建一個中心、三重防護的網絡安全縱深防護體系，改變網絡安全防護被動防御的局面，爭取網絡安全防護的主動權，實現網絡安全縱深防御和協同防護.

主動安全網絡架構非常契合等保2.0的安全要求，尤其對等保2.0新維度安全要求的支撐更加強勁.主動安全網絡架構通過創新的理念和技術研發的產品，實現了網絡的內生安全和主動動態防御，為等級保護通用安全要求和安全擴展要求的落地實施推廣提供了堅實的技術和產品支撐與保障.

4.2 網絡內生安全防護能力

主動安全網絡架構將安全能力融入到網絡中，實現了網絡和安全一體化，使得網絡內生安全能力[8]可在網絡主路徑上實現強有力的安全防護措施，改變了傳統安全措施旁路的無奈方式，開創了網絡安全防護新思路.

主動安全網絡架構運行全面通過密碼技術支撐，實現了國密算法的全面使用[9-10]，從底層的密碼層面做到安全自主可控.內生安全防護能力有了國密技術加持，差異化優勢明顯，安全防護強度更高.

通過網絡內生安全防護能力，構建了終端入網的統一邊界.打造了邊界認證機之間的網絡互聯信任邊界，從而實現了網絡接入和互聯的全方位安全防護，消除了網絡安全死角，構建了網絡統一的堅固防線.

4.3 網絡安全主動動態防御

主動安全網絡架構對計算機類通用終端、打印機等啞終端、手機等移動終端通過CID唯一標識身份，利用邊界認證機對設備入網進行認證準入.架構的管理控制服務器作為安全管理中心進行終端、邊界認證機資產的統一管理和安全策略的統一管理和發布，安全策略隨著終端上線而下發，離線而撤銷，并隨著終端的移動，準確下達安全策略至終端接入的邊界認證機，實現了網絡安全的動態防護[11].

主動安全網絡架構充分集成了其他安全應用/系統/設備的安全策略，通過開放集成協議接收其他安全應用/系統/設備發送的安全策略，集全網安全智慧之大成，在發現安全威脅或進攻時可快速與全網安全應用/系統/設備協同聯動，快速主動下發安全策略進行安全防護，實現了網絡安全的主動防御.

主動安全網絡架構改變了安全管理和運行人員的網絡安全防護工作方式，將原來四處救火的安全防護方式變成集中精力研究體系化的安全策略上來，將安全管理和運行人員從瑣碎的安全防護工作中解放出來，專心于企業安全防護的核心——安全策略的制定和執行，達到安全防護事半功倍的效果.

5 總 結

主動網絡安全架構對等保2.0進行了有力支撐，尤其是對于等保2.0的新維度進行了創新性的技術實現，使得等保2.0的落地有了技術保障.主動網絡安全架構對于移動互聯、工業控制等擴展要求也進行了相關技術實現，為等保擴展領域提供了技術基礎.新的架構和技術使得網絡內生安全能力，可主動動態防御，改變了網絡安全防護思路和模式，聚焦了網絡安全核心工作和能力，將顯著提高網絡安全防護的效率和效果.