随着《网络安全法》的深入贯彻与实施,等级保护制度已成为新时期国家网络安全的基本制度。公安部网络安全保卫局总工程师郭启全日前表示,等级保护2.0标准有望在4月份出台。

 

从等保1.0到等保2.0,将有以下显著变化:

层面提升 

从信息安全等级保护过渡到网络安全等级保护,意味着等级保护上升到了网络空间安全的层面。

防御升级 

从被动防御变成主动防御:传统的防护手段更多的是被动保护,上升到主动防护后需要新的防御技术与管理手段。 

对象升级  

拓展到云计算、大数据、物联网、移动互联网和工控系统。

主动安全防御体系是否成功有效,不仅取决于网络能否免遭威胁,更要求能够第一时间发现攻击,并在受到攻击时做出快速响应进行抵御。“网络安全是动态的而不是静态的”,这要求我们能够持续的主动发现威胁,特别是那些能够绕过传统防御手段的威胁。

任何网络威胁都会产生流量。科来全流量安全平台解决方案基于网络全流量分析技术(NTA),能够发现网络中的各类威胁,特别是新型的网络攻击。该方案提供流量日志、元数据日志以及支持网络原始数据包的存储和查询,结合威胁情报与网络空间测绘数据,能够对网络安全事件进行分析、研判和回溯,为快速有效的响应提供支撑。

事前预防 

“流量数据不会说谎”,基于科来全流量安全平台的网络流量可见性,安全运营人员可以透视核心业务系统的流量构成(开放了哪些服务?有哪些协议和应用?是否合规?等等)和访问关系(系统与系统之间的交互关系是怎样的?哪些用户在访问?是否合规?等等),并以此作为依据提出优化建议。

这有利于发现未在册资产,验证安全策略是否生效,理解攻击面和潜在的安全威胁,从而提前采取手段预防安全事件的发生。

事中检测响应 

科来全流量安全平台解决方案融合了传统的基于规则的检测技术、深度网络行为分析、威胁情报关联与机器学习等技术,与现有安全设备(FW、IPS、WAF等)共同构成纵深检测和防御体系,以发现已知和未知的安全威胁。

另一方面,提供全面可用的数据和分析能力,验证各类安全工具警报的真实性,明确网络攻击的性质,分析其攻击手法和影响范围,帮助安全运营人员做出快速和正确有效的处置。

事后评估 

没有攻不破的系统,最怕的不是被黑,而是被黑了还不知道是如何被黑的。对于已经确认的网络安全事件,可以实现完整的攻击过程回放,清晰界定责任。

此外,应急处置也是等保2.0和《网络安全法》要求的重要工作内容,对于已经处置的安全事件可以通过流量可视分析效果,进行验证评估。比如对于WannaCry勒索病毒的处置,各终端升级完补丁之后,可以通过网络回溯分析内网是否有勒索病毒传播的对应流量特征。

伴随着等保2.0相关标准的发布与正式实施,全流量安全分析和网络回溯将在等保合规的基础上发挥更大的作用。后续,科来将继续解读如何帮助用户构建等保2.0下的网络安全建设,敬请关注。