4.4 等级保护制度
4.4.1 等级保护1.0标准到等级保护2.0标准的变化
2019年5月13日下午,国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开,网络安全等级保护制度2.0标准正式发布,实施时间为2019年12月1日。《中华人民共和国网络安全法》颁布后,等级保护进入2.0时代,这意味着四部门2007年建立的信息安全等级保护体系已全面升级为网络安全等级保护2.0标准的体系。网络安全战略规划目标如图4-2所示。网络安全等级保护是国家网络安全保障的基本制度、基本策略和基本方法。实施网络安全等级保护是保护信息技术发展和维护网络安全的根本保证,是国家网络安全保护意志的体现。
图4-2 网络安全战略规划目标
1. 标准要求的变化
等级保护1.0标准主要强调物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等一般要求,而等级保护2.0标准在优化了等级保护1.0标准的基本要求的同时,针对云计算和物联网、移动互联网、工业控制、大数据等新技术对安全扩展提出了新的要求。等级保护标准要求变化详情如图4-3所示。
图4-3 等级保护标准要求变化详情
安全通用要求是指无论保护对象的级别如何都必须满足的要求;安全扩展要求是针对特殊技术场景的特殊保护要求。使用新技术的信息系统需要同时满足一般安全要求和新技术的安全扩展要求。
示例:云计算扩展需求
云计算技术的普及解决了传统数据中心存储困难、资源占用大、成本高等问题。随之而来的安全风险也非常严重,主要风险来自系统和数据所有权的转移、新技术及虚拟环境等新模型这两个方面。等级保护2.0标准从原则、自我防护、供应能力三个方面提出以下要求。
(1)原则要求。云计算平台不应承担高于其安全防护水平的业务应用系统;云计算基础设施应设在中国;云服务客户数据、用户个人信息等如需出境,应遵守国家有关规定。
(2)自我防护要求。能够检测云服务客户发起的网络攻击,并能记录攻击类型、攻击时间、攻击流量等;能够检测虚拟机之间的资源隔离故障并发出告警。
(3)供应能力要求。实现不同云服务客户虚拟网络之间的隔离,能够根据云服务客户的业务需求提供通信传输、边界保护、入侵防御等安全机制。
2. 等级保护定级的变化
首先,等级保护1.0标准评级的对象是信息系统。等级保护2.0标准的对象扩展到基础信息网络、云计算平台、物联网、工业控制系统、使用移动互联网技术的网络和大数据平台,覆盖范围更广。
其次,该系统被破坏后,对公民、法人和其他组织的合法权益造成特别严重的损害的事件由原来的最大级别为第二级被更改为最大级别为第三级。
最后,等级保护2.0标准不再强调独立评分,而是强调合理评分。系统分级必须经专家和主管部门审查后才能向公安机关备案。
3. 安全体系的变化
等级保护2.0标准仍然遵循等级保护1.0标准中“一个中心,三重保障”的理念,但从等级保护1.0标准的被动防御保障体系转变为事前预防、事中响应、事后审计的动态保障体系,并具有多级系统安全保护环境,如图4-4所示。通过建立安全技术体系和安全管理体系,建立具有相应安全防护能力水平的综合性网络安全防御体系,包括组织管理、机制建设、安全规划、通知预警、应急响应、态势感知、能力建设、监督检查、技术检查、队伍建设、教育培训、资金支持等内容。
图4-4 安全保障体系
4.4.2 威胁情报检测系统
等级保护2.0标准提出了创建“威胁情报检测系统”和“威胁情报数据库”的要求。威胁情报检测系统是一种实时监测和分析网络流量和终端的网络安全基础设施,应用威胁智能、机器学习等技术及沙盒检测方法,发现隐藏在海量流量和终端日志中的可疑活动和安全威胁,帮助企业安全团队准确检测丢失的主机,跟踪攻击链,定位当前攻击阶段,防止攻击者进一步破坏系统或窃取数据。威胁情报检测系统已被证明在日常安全行动和保险活动中发挥着关键作用。
从系统结构上来看,与传统的基于规则的检测系统相比,威胁情报检测系统发生了很大的变化,它至少包含以下七个模块。
(1)全流量日志、文件提取和告警pcap存储模块:具备全流量协议还原、网络流量日志和文件提取、所有告警和可疑网络行为的pcap存储、后续分析,以及对机器网络行为进行深入分析的可视化能力。
(2)威胁情报检测模块:对最新的专业威胁情报数据进行分钟级同步,用于实时进行流量检测,该情报包不仅包含基本的崩溃指标IOC,还包含黑客集团的情报信息。
(3)机器学习模型检测模块:应用各种机器学习算法检测传统的统计规则和威胁情报无法发现的网络威胁,如数据盗窃、隧道通信、DGA域名等。
(4)恶意文件检测引擎模块:对从流量中提取的文件应用本地文件检测引擎进行高效的恶意文件识别。
(5)沙盒检测模块:利用本地或云沙盒技术确定本地可疑文件。
(6)内网横向移动检测模块:支持访问内网流量,发现内部横向移动行为。
(7)攻击链回顾分析模块:发现的各类威胁告警,可根据攻击链进行关联,并能完整追溯攻击过程。
从功能上来看,威胁情报检测系统需要具备以下特点。
1)快速发现威胁,准确定位受控主机
传统的边境保护装置在抵御共同威胁方面发挥了重要作用,但它们不能防止所有攻击。威胁情报检测系统的主要作用是以威胁情报为基础,补充传统边防装备在防御中缺失的环节,发挥关键的“指挥控制”“横向移动”和“行动数据盗窃”作用,快速检测到持续存在的威胁,并结合流量和终端监控,快速、准确地定位被控制主机。
2)跟踪攻击链的全过程,及时发现数据被盗和破坏系统的行为
威胁情报检测系统的核心能力是应用多种检测机制发现和访问出站网络流量中的远程控制服务器。检测机制包括使用远程控制型智能指标、木马协议分析特征分析、恶意样本检测引擎、沙盒动态行为识别、基于深度学习算法的DGA检测、DNS隧道检测方法。利用上述检测方法,不仅可以定位充电的内部机器,还可以跟踪各个阶段的网络威胁,及时发现暴力猜测、水平移动、外联C&C等恶意行为,检测数据被盗及对系统和服务的破坏等恶意行为。