【信息安全等级保护资讯网】专注网络安全等级保护,欢迎您的光临!
等级保护咨询电话:13865983726
信息安全等级保护资讯网
了解最新等级保护动态及等保资讯
等保测评
等保测评 您的位置:首页>等保测评 >
等级保护2.0建设思路探讨
时间:2021-02-21阅读量:999来源:转载关键词:等保建设 返回列表

等保2.0时代的安全建设应在传统的安全防御体系之上,着重从安全体系的角度合理规划、合理建设、甚至适度精简,将资源和建设能力投放在如何抵御新时代的网络安全风险上。安全专家建议在信息化建设的同时统筹考虑网络安全的建设,做到同步规划、同步建设、同步运行,做到全生命周期网络安全,而在上述三个需要特别关注的方面,更应该以新理念、新思路、新技术统筹考虑。

 安全运维新理念——人是安全的尺度

对比等保1.0,等保2.0更为强调了安全运维的概念:在传统的资产管理、设备运维的基础上,将安全运维的范畴扩充到了安全事件的响应和高级安全威胁的发现,如果考虑到定期的审计和有效性验证,安全运维的范畴将进一步扩充。所以我们可以看到,等保2.0中所提到的安全运维的概念正在逐步向安全运营的概念转变。而不管是设备的维护还是威胁的分析处理,一定是人借助工具和数据完成安全流程的要求,所以到最后拼的还是人的能力。按照能力级别的划分,可以将安全运维进行高、中、低三位能力的解构,建立分层级的安全运维体系。

基础运维人员

基础运维人员是分层级的安全运维体系的第一层,主要负责日常设备的维护、安全策略优化等工作,相当于“随身保健医生”。定期对客户的健康状况进行检查,如果发生保健医生处理不了的状况则及时联系主治医生进行处理和诊断。

 安全分析人员

安全分析人员是分层级的安全运维体系的第二层,主要负责深度威胁分析、失陷检测等工作,相当于“主治医生”。当客户发生比较危急的安全状况时,先通过专业的手段缓解病痛,再寻找病因进行根治。

安全研究人员

安全研究人员是分层级的安全运维体系的第三层,主要由各领域的安全专家组成,相当于“主任医生”。当主治医生遇到不能处理的健康状况时,需要通过主任医生协同会诊寻找病根和治疗手段。同时,主任医生还需负责向主治医生和保健医生进行能力输出,构建起长效的造血机制。

通过三种能力层级的人员配合,构建起安全运维体系的安全尺度。但是若要提高安全人员的工作效率,还需要有数据和工具进行有效支撑,这就涉及到了安全管理中心的概念。

安全管理中心新思路——数据驱动安全

按照等保2.0中对安全管理中心的定义,安全管理中心作为对网络安全等级保护对象的安全策略及安全计算环境、安全区域边界和安全通信网络的安全机制实施统一管理的系统平台,应实现统一管理、统一监控、统一审计、综合分析和协同防护的安全能力。

如上文所说,安全管理中心将成为等保2.0安全体系运维工作的平台和有效抓手,其建设成效将直接影响安全保障和安全运维工作是否可以有效开展。而要想使安全管理中心能用、好用,就必须强调数据驱动安全的思路,其核心有三个关键点:

数据收集的广度:衡量安全管理中心建设成效的第一个维度是数据汇集的全不全,这些数据不仅包含网络流量、设备日志、终端日志、中间件日志、还原的文件等客户网络中产生的数据,还应包含互联网中产生的威胁情报信息。

当然,每种维度的数据在收集时都会涉及到收集的字段、收集的频率、收集的方式,此时就需要综合业务环境的承载能力进行平衡。通过这种内外部数据的汇聚,为数据分析构建基础。

数据利用的深度:衡量安全管理中心建设成效的第二个维度是数据利用的深不深,如果收集了大量的数据和字段,却仅仅通过简单的规则产生告警,就会大大浪费这些数据的价值。

因此,安全管理中心首先要对原始数据进行预处理,做到不同维度日志的关联分析,构建起不同维度数据之间的联系。

其次从收集数据的维度上可以想象到这些数据一定是海量的,通过人工的方式进行威胁的分析会变得非常困难,这就要求安全管理中心必须要通过威胁建模、机器学习等方式进行自动化分析。

必须要额外说明的一点是,威胁建模和机器学习等自动化模型有一部分是可以通用的,但是大部分模型与业务有着非常强的相关性,需要紧贴业务进行模型的设计和优化,如果希望通过通用的模型满足个性化的威胁场景分析,其道路将会十分坎坷。

数据展现的能见度:衡量安全管理中心建设成效的第三个维度是数据展现的透不透,有了数据量、数据分析能力,还需要让数据变得可见。这是一种数据展现能力,展示效果不仅要直观、美观,也要实时。通过可视化技术的利用,将原本碎片化的威胁告警、异常行为告警等数据结构化,形成从宏观的威胁态势到微观的攻击详情的高维度可视化方案,为威胁分析和处理提供支撑。

有了安全运维的保障和安全管理中心的支撑,在等保2.0的技术体系中还强调了新的安全特性要求:“可信”,涉及到了可信计算环境、可信通信和可信边界三个概念。

“可信”特性建设新技术——零信任架构

等保2.0在传统的安全防护体系的基础上,对计算环境、通信网络、区域边界作了“可信”特性的要求,那么什么是“可信”呢?通过对“可信”特性的总结,首先要做到基于可信根的验证,其次要做到“可控”,即对于主客体之间访问的每一个步骤,都要有控制的能力。因此可以将“可信”特性分解为设备可信验证、持续验证、动态授权、统一审计等安全能力。

可信验证:可信验证包含了两个方面:可信身份验证和可信环境验证。可信身份验证需要结合人员身份、设备身份、系统程序等多个方面的信息进行身份的画像;可信环境验证则需要感知人员所属环境、程序运行环境是否有不安全的因素(如感染了病毒木马)。结合这两个方面的数据,按照统一的策略进行可信验证。

持续验证:持续验证要求在设备入网、访问设备、访问应用、访问接口等关键环节进行持续的可信验证,并基于风险建模和关联分析,度量潜在的安全风险。避免一次认证通过后环境变化引入的风险。

动态授权:在每一个关键环节进行可信验证后,将验证的信息发送到授权策略管理平台,授权策略管理平台返回应该赋予访问者的权限结果。这个权限的计算充分考虑多维因素,包括组织级安全策略和规则、访问者的多维属性、访问目标的多维属性、环境属性,包括:终端安全属性、地址位置、历史行为、多因子认证器安全属性、行为异常性评估等。

统一审计:将每一个关键环节的判断依据和判断结果形成审计记录进行统一审计。可以预见的是,随着技术的快速发展,未来将会通过数据的审计,以更智能和自动化的方式对动态授权策略进行优化和调整。

Copyright © 2020-2021 信息安全等级保护资讯网 All Rights Reserved. 备案号码:皖ICP备19012162号-3
本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。