正在審議的網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)(以下簡(jiǎn)稱(chēng)：等保2.0)從技術(shù)和管理兩大方面對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全保障進(jìn)行了全面描述與規(guī)范，是一部完整的以技術(shù)保障為基礎(chǔ)、以管理運(yùn)營(yíng)為抓手、以監(jiān)測(cè)預(yù)警為核心、以協(xié)同響應(yīng)為目標(biāo)的網(wǎng)絡(luò)安全防御體系框架性指導(dǎo)標(biāo)準(zhǔn)與規(guī)劃建設(shè)指南。

　　以基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用為核心的技術(shù)保障

　　等保2.0的技術(shù)保障體系延續(xù)了等保1.0中的以資產(chǎn)(網(wǎng)絡(luò)與信息系統(tǒng))防護(hù)為目標(biāo)的安全保障思路，其核心是圍繞基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用。等保2.0的設(shè)計(jì)按照分級(jí)防護(hù)的思想，從第一級(jí)安全要求到第四級(jí)安全要求，始終貫穿著通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境的安全防護(hù)目標(biāo)，具體到等保2.0的標(biāo)準(zhǔn)中就是對(duì)物理安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全進(jìn)行了一致性要求。

　　等保2.0在繼承等保1.0以資產(chǎn)防護(hù)為目標(biāo)的成功實(shí)踐基礎(chǔ)上，結(jié)合近些年網(wǎng)絡(luò)與信息技術(shù)的新變化，補(bǔ)充提出了對(duì)云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)的安全防護(hù)要求，如圖1所示。這深刻反映了網(wǎng)絡(luò)與信息安全體系發(fā)展與創(chuàng)新的本質(zhì)：基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用的發(fā)展永遠(yuǎn)是網(wǎng)絡(luò)與信息安全體系發(fā)展與創(chuàng)新的第一驅(qū)動(dòng)力。

　　圖1 等保2.0擴(kuò)大了安全防護(hù)范圍

　　以數(shù)據(jù)驅(qū)動(dòng)和人才培養(yǎng)為核心的運(yùn)營(yíng)管理

　　在過(guò)去十年的網(wǎng)絡(luò)安全防護(hù)過(guò)程中，我們經(jīng)歷了無(wú)數(shù)次的攻防較量、重點(diǎn)保障、應(yīng)急處置和分析溯源的實(shí)踐，并在這些實(shí)踐過(guò)程中積累了大量寶貴的成功經(jīng)驗(yàn)與失敗教訓(xùn)，也漸漸清晰地認(rèn)識(shí)到：

　　1.數(shù)據(jù)是安全的基礎(chǔ)與驅(qū)動(dòng)力;

　　2.人是安全防護(hù)的核心與尺度;

　　3.安全運(yùn)營(yíng)與管理是安全最重要的手段;

　　4.圍繞數(shù)據(jù)、人、工具、運(yùn)營(yíng)管理的積極防御體系是未來(lái)安全體系發(fā)展的方向，也是安全的不二選擇，其核心是人通過(guò)工具對(duì)數(shù)據(jù)的運(yùn)營(yíng)和使用。

　　以數(shù)據(jù)為基礎(chǔ)、以人為核心，從數(shù)據(jù)中來(lái)(監(jiān)測(cè)預(yù)警)，到數(shù)據(jù)中去(響應(yīng)處置)，是當(dāng)前情況下應(yīng)對(duì)多點(diǎn)復(fù)雜攻擊的最佳實(shí)踐，這個(gè)過(guò)程就是我們所說(shuō)的安全運(yùn)營(yíng)管理。因此，安全運(yùn)營(yíng)管理的兩個(gè)核心與前提是：第一，擁有可以使用安全工具完成安全運(yùn)營(yíng)管理工作的安全專(zhuān)業(yè)人員及團(tuán)隊(duì);第二，具有可支撐監(jiān)測(cè)預(yù)警和安全運(yùn)營(yíng)管理的數(shù)據(jù)，兩者缺一不可。從實(shí)質(zhì)上分析可知：人是安全的尺度、數(shù)據(jù)是安全的第一生產(chǎn)力。

　　正因如此，安全人才培養(yǎng)和安全運(yùn)營(yíng)管理體系建設(shè)成為當(dāng)前世界各國(guó)安全體系建設(shè)的重點(diǎn)，安全工作是實(shí)踐性特別強(qiáng)的工程類(lèi)技術(shù)工作，與之對(duì)應(yīng)的安全人才也是熟練掌握安全技能的工程類(lèi)人才，因此安全專(zhuān)業(yè)人才的培養(yǎng)是一個(gè)學(xué)、考、練、用的持續(xù)迭代過(guò)程，這里特別強(qiáng)調(diào)練和用，從實(shí)踐中來(lái)、到實(shí)踐中去?？梢灶A(yù)見(jiàn)，未來(lái)集學(xué)、考、練、用為一體的網(wǎng)絡(luò)與信息安全集成實(shí)訓(xùn)系統(tǒng)將成為普遍需求，這體現(xiàn)未來(lái)了網(wǎng)絡(luò)與信息安全防護(hù)更加強(qiáng)調(diào)實(shí)戰(zhàn)與實(shí)際效果的體系性需求。

　　回顧過(guò)去十年安全體系建設(shè)過(guò)程，更多地依靠安全產(chǎn)品(即安全工具)孤軍作戰(zhàn)，而沒(méi)有將人和數(shù)據(jù)放在核心的位置加以重視，這導(dǎo)致了以往的安全體系存在著防御能力的滯后性和二次反應(yīng)能力不足的問(wèn)題，因?yàn)槿鄙賹?duì)數(shù)據(jù)足夠的采集與分析，被動(dòng)安全體系成了免疫能力有限的貧血兒，因?yàn)槿鄙侔踩藛T對(duì)安全數(shù)據(jù)的安全運(yùn)營(yíng)管理，被動(dòng)安全體系嚴(yán)重缺乏活力與對(duì)抗“韌性”。

　　全要素采集安全數(shù)據(jù)、全過(guò)程安全運(yùn)營(yíng)成了下一代積極防御體系的體系核心。這反映了安全是人與人之間對(duì)抗的本質(zhì)。2011年，美國(guó)所采用的號(hào)稱(chēng)世界上最先進(jìn)的入侵檢測(cè)系統(tǒng)“Seminole”其真正先進(jìn)之處就在于引入了7×24小時(shí)的安全專(zhuān)家運(yùn)營(yíng)管理過(guò)程，這使得Seminole具備了持續(xù)發(fā)現(xiàn)、二次檢測(cè)與快速響應(yīng)這3個(gè)最重要的安全能力。

　　等保2.0的技術(shù)體系充分體現(xiàn)了對(duì)于全要素?cái)?shù)據(jù)獲取、全過(guò)程安全運(yùn)營(yíng)以及對(duì)專(zhuān)業(yè)人員的崗位性要求。從這個(gè)層面上看，等保2.0準(zhǔn)確把握了未來(lái)安全體系建設(shè)的核心與關(guān)鍵，代表著未來(lái)安全體系的潮流與方向。

　　以威脅情報(bào)和態(tài)勢(shì)感知為核心的監(jiān)測(cè)預(yù)警

　　無(wú)論是等保1.0還是在等保2.0，監(jiān)測(cè)預(yù)警都是安全技術(shù)體系的重中之重，經(jīng)過(guò)近幾年的摸索與實(shí)踐，安全態(tài)勢(shì)感知已經(jīng)被證明是安全監(jiān)測(cè)預(yù)警的最佳實(shí)踐與必由之路。習(xí)近平總書(shū)記于2016年4月19日在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上敏銳指出的“全天候、全方位的態(tài)勢(shì)感知”為我們的監(jiān)測(cè)預(yù)警工作指明了方向。事實(shí)上，公安部從2015年就開(kāi)始在監(jiān)測(cè)預(yù)警工作實(shí)踐基礎(chǔ)上提出了在公安系統(tǒng)內(nèi)建設(shè)態(tài)勢(shì)感知平臺(tái)的要求并出臺(tái)了相關(guān)標(biāo)準(zhǔn)，并率先在青島等地開(kāi)展了將態(tài)勢(shì)感知平臺(tái)應(yīng)用于實(shí)戰(zhàn)的探索與嘗試。截止目前，該項(xiàng)工作已取得了豐碩成果，以安全態(tài)勢(shì)感知為核心的指揮作戰(zhàn)平臺(tái)已經(jīng)成功應(yīng)用于包括十九大在內(nèi)的諸多大型活動(dòng)重要時(shí)期安全保障工作并取得顯著成效。

　　為了達(dá)到支撐實(shí)戰(zhàn)的目的與效果，態(tài)勢(shì)感知平臺(tái)需要具備5方面的基礎(chǔ)能力：

　　1.全天候、全方位獲取數(shù)據(jù)的全要素?cái)?shù)據(jù)采集與數(shù)據(jù)處理能力;

　　2.高質(zhì)量、及時(shí)的威脅情報(bào)獲取與應(yīng)用能力;

　　3.外部互聯(lián)網(wǎng)數(shù)據(jù)與內(nèi)部本地?cái)?shù)據(jù)獲取與大數(shù)據(jù)綜合分析能力;

　　4.全過(guò)程閉環(huán)安全運(yùn)營(yíng)過(guò)程(如：指揮通告、響應(yīng)處置)支撐能力;

　　5.安全事件取證、分析研判與追蹤溯源能力。

　　這5項(xiàng)基礎(chǔ)能力本質(zhì)是構(gòu)建監(jiān)測(cè)預(yù)警與安全運(yùn)營(yíng)的雙輪驅(qū)動(dòng)機(jī)制：外部數(shù)據(jù)驅(qū)動(dòng)機(jī)制和內(nèi)部數(shù)據(jù)驅(qū)動(dòng)機(jī)制，來(lái)自互聯(lián)網(wǎng)的數(shù)據(jù)與威脅情報(bào)是利用外部數(shù)據(jù)實(shí)現(xiàn)監(jiān)測(cè)預(yù)警與安全運(yùn)營(yíng)，實(shí)現(xiàn)了從外部向內(nèi)部看威脅和運(yùn)營(yíng)支撐的能力;內(nèi)部數(shù)據(jù)的采集與大數(shù)據(jù)分析是從內(nèi)部看威脅和運(yùn)營(yíng)支撐能力，兩者相輔相成、互相補(bǔ)充，構(gòu)成了完整的態(tài)勢(shì)感知能力。

　　以攻防演練和積極防御為核心的協(xié)同響應(yīng)

　　安全體系緣于攻防、安全體系服務(wù)于攻防。隨著安全體系的發(fā)展與持續(xù)建設(shè)，安全體系服務(wù)于實(shí)戰(zhàn)、在實(shí)踐中檢驗(yàn)安全體系的建設(shè)成果、安全體系在實(shí)戰(zhàn)中不斷完善建設(shè)成為安全體系建設(shè)螺旋式發(fā)展、迭代式演進(jìn)的主要形式。

　　2016年底，公安部組織力量針對(duì)部分關(guān)鍵信息基礎(chǔ)設(shè)施成功實(shí)施了“護(hù)網(wǎng)2016”行動(dòng)，這次行動(dòng)用事實(shí)證明：針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的攻防演練與紅藍(lán)對(duì)抗是在短時(shí)間內(nèi)發(fā)現(xiàn)安全問(wèn)題、彌補(bǔ)安全短板、提升安全能力最行之有效的手段。通過(guò)攻防演練和紅藍(lán)對(duì)抗，可以將應(yīng)急響應(yīng)的時(shí)間大大提前，做到早期發(fā)現(xiàn)、提前響應(yīng)，真正實(shí)現(xiàn)變被動(dòng)為主動(dòng)，積累經(jīng)驗(yàn)、鍛煉隊(duì)伍、檢驗(yàn)系統(tǒng)的同時(shí)變被動(dòng)為主動(dòng)，變事發(fā)應(yīng)急為提前響應(yīng)，變壞事為好事。今天，通過(guò)攻防演練與紅藍(lán)對(duì)抗低成本快速提升網(wǎng)絡(luò)與信息安全防護(hù)能力已經(jīng)成為大家廣泛接受與認(rèn)可的安全體系建設(shè)的重要形式，被眾多有條件的大型行業(yè)機(jī)構(gòu)所采用。

　　2015年，美國(guó)安全研究機(jī)構(gòu)SANS研究院提出了著名的安全標(biāo)尺模型，系統(tǒng)總結(jié)了安全體系建設(shè)所經(jīng)歷的5個(gè)發(fā)展階段，并指出未來(lái)安全體系建設(shè)將從架構(gòu)安全和被動(dòng)防御走向積極防御。目前這個(gè)模型已經(jīng)成為世界范圍內(nèi)安全界所廣泛接受的安全體系模型，并被大多數(shù)行業(yè)機(jī)構(gòu)所采用。

　　同期，國(guó)際著名咨詢(xún)機(jī)構(gòu)Gartner提出了適用于積極防御體系構(gòu)建的自適應(yīng)安全框架(ASA)，至此，SANS與ASA分別從不同視角各自獨(dú)立提出的安全模型與安全架構(gòu)相互呼應(yīng)，共同完成了積極防御體系的理論奠基，成為下一代安全的基本理論。

　　我國(guó)從2016年開(kāi)始逐漸引入安全標(biāo)尺模型與自適應(yīng)安全框架，結(jié)合我國(guó)網(wǎng)絡(luò)與信息安全的實(shí)際情況逐步形成了以數(shù)據(jù)驅(qū)動(dòng)為基礎(chǔ)、以安全運(yùn)營(yíng)為手段、以態(tài)勢(shì)感知為支撐、以安全人員為核心、以協(xié)同防御為特征的具有中國(guó)特色的積極防御安全體系，即我國(guó)網(wǎng)絡(luò)與信息安全的下一代安全防護(hù)體系。

　　構(gòu)建新一代安全防護(hù)體系

　　基于這個(gè)理論基礎(chǔ)，360企業(yè)安全集團(tuán)在“數(shù)據(jù)驅(qū)動(dòng)安全”兩年多的實(shí)踐基礎(chǔ)上，結(jié)合新的安全形勢(shì)和體系建設(shè)需要，提出了對(duì)數(shù)據(jù)驅(qū)動(dòng)安全技術(shù)思想的創(chuàng)新演進(jìn)的“數(shù)據(jù)驅(qū)動(dòng)安全2.0”的核心思想，本質(zhì)是建立以人為核心的新一代安全防護(hù)體系。

　　圖2 360企業(yè)安全集團(tuán)新一代安全防護(hù)體系

　　在這個(gè)防御體系中，強(qiáng)調(diào)數(shù)據(jù)(內(nèi)部與外部數(shù)據(jù))的基礎(chǔ)性支撐作用，強(qiáng)調(diào)人員在這個(gè)安全體系中的核心作用與價(jià)值，強(qiáng)調(diào)安全運(yùn)營(yíng)作為日常安全工作的重要地位，強(qiáng)調(diào)態(tài)勢(shì)感知作為監(jiān)測(cè)預(yù)警與安全運(yùn)營(yíng)平臺(tái)的核心作用，強(qiáng)調(diào)設(shè)備與設(shè)備、人、數(shù)據(jù)三者之間協(xié)同聯(lián)動(dòng)的重要性，強(qiáng)調(diào)威脅情報(bào)與攻防演練對(duì)于安全體系的增強(qiáng)與完善。