正在審議的網(wǎng)絡(luò)安全等級保護(hù)標(biāo)準(zhǔn)(以下簡稱：等保2.0)從技術(shù)和管理兩大方面對網(wǎng)絡(luò)與信息系統(tǒng)安全保障進(jìn)行了全面描述與規(guī)范，是一部完整的以技術(shù)保障為基礎(chǔ)、以管理運(yùn)營為抓手、以監(jiān)測預(yù)警為核心、以協(xié)同響應(yīng)為目標(biāo)的網(wǎng)絡(luò)安全防御體系框架性指導(dǎo)標(biāo)準(zhǔn)與規(guī)劃建設(shè)指南。

　　以基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用為核心的技術(shù)保障

　　等保2.0的技術(shù)保障體系延續(xù)了等保1.0中的以資產(chǎn)(網(wǎng)絡(luò)與信息系統(tǒng))防護(hù)為目標(biāo)的安全保障思路，其核心是圍繞基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用。等保2.0的設(shè)計(jì)按照分級防護(hù)的思想，從第一級安全要求到第四級安全要求，始終貫穿著通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境的安全防護(hù)目標(biāo)，具體到等保2.0的標(biāo)準(zhǔn)中就是對物理安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全進(jìn)行了一致性要求。

　　等保2.0在繼承等保1.0以資產(chǎn)防護(hù)為目標(biāo)的成功實(shí)踐基礎(chǔ)上，結(jié)合近些年網(wǎng)絡(luò)與信息技術(shù)的新變化，補(bǔ)充提出了對云計(jì)算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)的安全防護(hù)要求，如圖1所示。這深刻反映了網(wǎng)絡(luò)與信息安全體系發(fā)展與創(chuàng)新的本質(zhì)：基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用的發(fā)展永遠(yuǎn)是網(wǎng)絡(luò)與信息安全體系發(fā)展與創(chuàng)新的第一驅(qū)動力。

　　圖1 等保2.0擴(kuò)大了安全防護(hù)范圍

　　以數(shù)據(jù)驅(qū)動和人才培養(yǎng)為核心的運(yùn)營管理

　　在過去十年的網(wǎng)絡(luò)安全防護(hù)過程中，我們經(jīng)歷了無數(shù)次的攻防較量、重點(diǎn)保障、應(yīng)急處置和分析溯源的實(shí)踐，并在這些實(shí)踐過程中積累了大量寶貴的成功經(jīng)驗(yàn)與失敗教訓(xùn)，也漸漸清晰地認(rèn)識到：

　　1.數(shù)據(jù)是安全的基礎(chǔ)與驅(qū)動力;

　　2.人是安全防護(hù)的核心與尺度;

　　3.安全運(yùn)營與管理是安全最重要的手段;

　　4.圍繞數(shù)據(jù)、人、工具、運(yùn)營管理的積極防御體系是未來安全體系發(fā)展的方向，也是安全的不二選擇，其核心是人通過工具對數(shù)據(jù)的運(yùn)營和使用。

　　以數(shù)據(jù)為基礎(chǔ)、以人為核心，從數(shù)據(jù)中來(監(jiān)測預(yù)警)，到數(shù)據(jù)中去(響應(yīng)處置)，是當(dāng)前情況下應(yīng)對多點(diǎn)復(fù)雜攻擊的最佳實(shí)踐，這個過程就是我們所說的安全運(yùn)營管理。因此，安全運(yùn)營管理的兩個核心與前提是：第一，擁有可以使用安全工具完成安全運(yùn)營管理工作的安全專業(yè)人員及團(tuán)隊(duì);第二，具有可支撐監(jiān)測預(yù)警和安全運(yùn)營管理的數(shù)據(jù)，兩者缺一不可。從實(shí)質(zhì)上分析可知：人是安全的尺度、數(shù)據(jù)是安全的第一生產(chǎn)力。

　　正因如此，安全人才培養(yǎng)和安全運(yùn)營管理體系建設(shè)成為當(dāng)前世界各國安全體系建設(shè)的重點(diǎn)，安全工作是實(shí)踐性特別強(qiáng)的工程類技術(shù)工作，與之對應(yīng)的安全人才也是熟練掌握安全技能的工程類人才，因此安全專業(yè)人才的培養(yǎng)是一個學(xué)、考、練、用的持續(xù)迭代過程，這里特別強(qiáng)調(diào)練和用，從實(shí)踐中來、到實(shí)踐中去。可以預(yù)見，未來集學(xué)、考、練、用為一體的網(wǎng)絡(luò)與信息安全集成實(shí)訓(xùn)系統(tǒng)將成為普遍需求，這體現(xiàn)未來了網(wǎng)絡(luò)與信息安全防護(hù)更加強(qiáng)調(diào)實(shí)戰(zhàn)與實(shí)際效果的體系性需求。

　　回顧過去十年安全體系建設(shè)過程，更多地依靠安全產(chǎn)品(即安全工具)孤軍作戰(zhàn)，而沒有將人和數(shù)據(jù)放在核心的位置加以重視，這導(dǎo)致了以往的安全體系存在著防御能力的滯后性和二次反應(yīng)能力不足的問題，因?yàn)槿鄙賹?shù)據(jù)足夠的采集與分析，被動安全體系成了免疫能力有限的貧血兒，因?yàn)槿鄙侔踩藛T對安全數(shù)據(jù)的安全運(yùn)營管理，被動安全體系嚴(yán)重缺乏活力與對抗“韌性”。

　　全要素采集安全數(shù)據(jù)、全過程安全運(yùn)營成了下一代積極防御體系的體系核心。這反映了安全是人與人之間對抗的本質(zhì)。2011年，美國所采用的號稱世界上最先進(jìn)的入侵檢測系統(tǒng)“Seminole”其真正先進(jìn)之處就在于引入了7×24小時的安全專家運(yùn)營管理過程，這使得Seminole具備了持續(xù)發(fā)現(xiàn)、二次檢測與快速響應(yīng)這3個最重要的安全能力。

　　等保2.0的技術(shù)體系充分體現(xiàn)了對于全要素?cái)?shù)據(jù)獲取、全過程安全運(yùn)營以及對專業(yè)人員的崗位性要求。從這個層面上看，等保2.0準(zhǔn)確把握了未來安全體系建設(shè)的核心與關(guān)鍵，代表著未來安全體系的潮流與方向。

　　以威脅情報(bào)和態(tài)勢感知為核心的監(jiān)測預(yù)警

　　無論是等保1.0還是在等保2.0，監(jiān)測預(yù)警都是安全技術(shù)體系的重中之重，經(jīng)過近幾年的摸索與實(shí)踐，安全態(tài)勢感知已經(jīng)被證明是安全監(jiān)測預(yù)警的最佳實(shí)踐與必由之路。習(xí)近平總書記于2016年4月19日在網(wǎng)絡(luò)安全和信息化工作座談會上敏銳指出的“全天候、全方位的態(tài)勢感知”為我們的監(jiān)測預(yù)警工作指明了方向。事實(shí)上，公安部從2015年就開始在監(jiān)測預(yù)警工作實(shí)踐基礎(chǔ)上提出了在公安系統(tǒng)內(nèi)建設(shè)態(tài)勢感知平臺的要求并出臺了相關(guān)標(biāo)準(zhǔn)，并率先在青島等地開展了將態(tài)勢感知平臺應(yīng)用于實(shí)戰(zhàn)的探索與嘗試。截止目前，該項(xiàng)工作已取得了豐碩成果，以安全態(tài)勢感知為核心的指揮作戰(zhàn)平臺已經(jīng)成功應(yīng)用于包括十九大在內(nèi)的諸多大型活動重要時期安全保障工作并取得顯著成效。

　　為了達(dá)到支撐實(shí)戰(zhàn)的目的與效果，態(tài)勢感知平臺需要具備5方面的基礎(chǔ)能力：

　　1.全天候、全方位獲取數(shù)據(jù)的全要素?cái)?shù)據(jù)采集與數(shù)據(jù)處理能力;

　　2.高質(zhì)量、及時的威脅情報(bào)獲取與應(yīng)用能力;

　　3.外部互聯(lián)網(wǎng)數(shù)據(jù)與內(nèi)部本地?cái)?shù)據(jù)獲取與大數(shù)據(jù)綜合分析能力;

　　4.全過程閉環(huán)安全運(yùn)營過程(如：指揮通告、響應(yīng)處置)支撐能力;

　　5.安全事件取證、分析研判與追蹤溯源能力。

　　這5項(xiàng)基礎(chǔ)能力本質(zhì)是構(gòu)建監(jiān)測預(yù)警與安全運(yùn)營的雙輪驅(qū)動機(jī)制：外部數(shù)據(jù)驅(qū)動機(jī)制和內(nèi)部數(shù)據(jù)驅(qū)動機(jī)制，來自互聯(lián)網(wǎng)的數(shù)據(jù)與威脅情報(bào)是利用外部數(shù)據(jù)實(shí)現(xiàn)監(jiān)測預(yù)警與安全運(yùn)營，實(shí)現(xiàn)了從外部向內(nèi)部看威脅和運(yùn)營支撐的能力;內(nèi)部數(shù)據(jù)的采集與大數(shù)據(jù)分析是從內(nèi)部看威脅和運(yùn)營支撐能力，兩者相輔相成、互相補(bǔ)充，構(gòu)成了完整的態(tài)勢感知能力。

　　以攻防演練和積極防御為核心的協(xié)同響應(yīng)

　　安全體系緣于攻防、安全體系服務(wù)于攻防。隨著安全體系的發(fā)展與持續(xù)建設(shè)，安全體系服務(wù)于實(shí)戰(zhàn)、在實(shí)踐中檢驗(yàn)安全體系的建設(shè)成果、安全體系在實(shí)戰(zhàn)中不斷完善建設(shè)成為安全體系建設(shè)螺旋式發(fā)展、迭代式演進(jìn)的主要形式。

　　2016年底，公安部組織力量針對部分關(guān)鍵信息基礎(chǔ)設(shè)施成功實(shí)施了“護(hù)網(wǎng)2016”行動，這次行動用事實(shí)證明：針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻防演練與紅藍(lán)對抗是在短時間內(nèi)發(fā)現(xiàn)安全問題、彌補(bǔ)安全短板、提升安全能力最行之有效的手段。通過攻防演練和紅藍(lán)對抗，可以將應(yīng)急響應(yīng)的時間大大提前，做到早期發(fā)現(xiàn)、提前響應(yīng)，真正實(shí)現(xiàn)變被動為主動，積累經(jīng)驗(yàn)、鍛煉隊(duì)伍、檢驗(yàn)系統(tǒng)的同時變被動為主動，變事發(fā)應(yīng)急為提前響應(yīng)，變壞事為好事。今天，通過攻防演練與紅藍(lán)對抗低成本快速提升網(wǎng)絡(luò)與信息安全防護(hù)能力已經(jīng)成為大家廣泛接受與認(rèn)可的安全體系建設(shè)的重要形式，被眾多有條件的大型行業(yè)機(jī)構(gòu)所采用。

　　2015年，美國安全研究機(jī)構(gòu)SANS研究院提出了著名的安全標(biāo)尺模型，系統(tǒng)總結(jié)了安全體系建設(shè)所經(jīng)歷的5個發(fā)展階段，并指出未來安全體系建設(shè)將從架構(gòu)安全和被動防御走向積極防御。目前這個模型已經(jīng)成為世界范圍內(nèi)安全界所廣泛接受的安全體系模型，并被大多數(shù)行業(yè)機(jī)構(gòu)所采用。

　　同期，國際著名咨詢機(jī)構(gòu)Gartner提出了適用于積極防御體系構(gòu)建的自適應(yīng)安全框架(ASA)，至此，SANS與ASA分別從不同視角各自獨(dú)立提出的安全模型與安全架構(gòu)相互呼應(yīng)，共同完成了積極防御體系的理論奠基，成為下一代安全的基本理論。

　　我國從2016年開始逐漸引入安全標(biāo)尺模型與自適應(yīng)安全框架，結(jié)合我國網(wǎng)絡(luò)與信息安全的實(shí)際情況逐步形成了以數(shù)據(jù)驅(qū)動為基礎(chǔ)、以安全運(yùn)營為手段、以態(tài)勢感知為支撐、以安全人員為核心、以協(xié)同防御為特征的具有中國特色的積極防御安全體系，即我國網(wǎng)絡(luò)與信息安全的下一代安全防護(hù)體系。

　　構(gòu)建新一代安全防護(hù)體系

　　基于這個理論基礎(chǔ)，360企業(yè)安全集團(tuán)在“數(shù)據(jù)驅(qū)動安全”兩年多的實(shí)踐基礎(chǔ)上，結(jié)合新的安全形勢和體系建設(shè)需要，提出了對數(shù)據(jù)驅(qū)動安全技術(shù)思想的創(chuàng)新演進(jìn)的“數(shù)據(jù)驅(qū)動安全2.0”的核心思想，本質(zhì)是建立以人為核心的新一代安全防護(hù)體系。

　　圖2 360企業(yè)安全集團(tuán)新一代安全防護(hù)體系

　　在這個防御體系中，強(qiáng)調(diào)數(shù)據(jù)(內(nèi)部與外部數(shù)據(jù))的基礎(chǔ)性支撐作用，強(qiáng)調(diào)人員在這個安全體系中的核心作用與價(jià)值，強(qiáng)調(diào)安全運(yùn)營作為日常安全工作的重要地位，強(qiáng)調(diào)態(tài)勢感知作為監(jiān)測預(yù)警與安全運(yùn)營平臺的核心作用，強(qiáng)調(diào)設(shè)備與設(shè)備、人、數(shù)據(jù)三者之間協(xié)同聯(lián)動的重要性，強(qiáng)調(diào)威脅情報(bào)與攻防演練對于安全體系的增強(qiáng)與完善。