等保2.0,新一轮的华山论剑
5月16日,由公安部网络安全保卫局指导、公安部信息安全等级保护评估中心主办的“网络安全等级保护制度2.0国家标准宣贯会”于北京召开。
1、等保2.0正式到来
在我国等级保护制度已然成为网络安全领域的基本制度、基本国策,同时也是国家网络安全意志的体现。《网络安全法》的出台,使等级保护制度提升到了法律层面,等保2.0在1.0的基础上,更加注重全方位主动防御、动态防御、整体防控和精准防护,除了基本要求外,还增加了对云计算、移动互联、物联网、工业控制和大数据等对象全覆盖。等保2.0标准的发布,对加强中国网络安全保障工作,提升网络安全保护能力具有重要意义。要求项变化如下:
2、等保2.0与网络安全法的关系
等保2.0的标准是国内非涉密信息系统的安全集成标准,网络安全法是作为法律、中国信息安全的基本法。网络安全法中明确的提到信息安全的建设要遵照等级保护标准来做建设。
网络安全法从立法到配套法律法规的确定完善,到市场上反映出来一定的效果是需要一定的过程的。这个过程在于执法是否落实到位,规定的标准是否真的符合业务安全痛点。目前来看市场上大部分单位都以合规性建设为主,事实上我认为网络安全法考虑的非常全面,从立法角度来看,如果一步一步按照法律落实好,是一部非常健全的体系,做好了并不只是能达到合规这个价值层面,而是会使业务的风险管控、网络安全能力会上升到一个新的高度。
3、等保2.0与原信息安全等保标准的不同
从名称上来看,原信息安全等保标准叫做信息安全等级保护制度,现在2.0叫做网络安全等级保护制度。这意味着,等级保护上升到了网络空间安全的层面。这个名称的改变意味着等级保护的对象全面升级:之前保护的对象是计算机信息系统,而现在上升到网络空间安全了,除了包含之前的计算机信息系统,还包含网络安全基础设施、云、移动互联网、物联网、工业控制系统、大数据安全等对象。
4、传统的安全防御有些捉襟见肘
被动安全的防御体系在应对等保2.0时,难免有吃不消的时候。所以,人们将目光转向主动安全防御体系。其中的最大变化就是,我们可以通过主动安全防御系统第一时间发现网络攻击事件,并且做出快速的响应。同时,要保证监控的实时性。
这些年,整个网络安全态势感知平台,也经过了一系列的变革和升级。
精准识别最关键
无论是何种网络安全事件,它的产生一定不会脱离网络,必然会以一种报文或是某种流量的形态存在,终究有迹可寻。
派网依托精准的应用识别技术,能够准确识别异常协议,实时监控网络的丝毫变化,第一时间发现网络中的各类威胁,针对异常数据报文进行区分。
同时在动态Flowmonitor大屏上,针对未知应用端口、常见DDOS攻击协议、TOP信息、异常下载、流量和连接数进行实时呈现。
全量日志留存最重要
网络威胁从发生到处理期间一定是存在着时间差,如何准确的还原过去某一时间段的情况,显得尤为重要。
派网对每一秒钟每一个IP的每一条会话信息进行1:1的留存,并且完整记录每一条会话信息的协议类型、接口、访问时间、连接时间、源地址、目的地址、NAT地址、用户账号、域名信息、上下行流量、所属运营商、地理位置等信息,出现问题后,按需溯源。
性能保障是基础
无论是上网行为审计还是故障溯源,都需要对流量进行尽可能详细的存储,尤其网络安全法对用户上网行为审计日志留存的要求,要求企业、学校等必须满足对用户上网行为日志存储180天以上。目前为了满足此要求,设备提供商的侧重点发生了分歧。
第一种:为了保证处理性能问题,满足大流量出口场景,应用识别功能弱化,日志存储采用抽样存储的方式;
第二种:为了保证数据分析的准确性,将全流量所有原始报文留存,应用场景适应小流量场景。
因为在大流量的网络场景下,将所有原始数据报文留存是行不通的。
比如,以某广电运营商出口举例,出口带宽速率在50Gbit/s,假设我们准备多块SSD硬盘作为存储工具,那么我们需要硬盘的写入速率将为6250MByte/s。然而当前我们普通的SSD硬盘写入速率也就在500MB/s上下,好点的SSD硬盘可以达到3000B/s,但是不仅单块价格十分昂贵,且需要的数量巨大,因此却依旧无法满足大流量场景的实际需求。
基于网络安全需要,满足所有场景的应用,派网结合了以上两种的优势,在日志留存方面,派网为保证精准度,将全流量的会话日志信息进行1:1留存;同时为了保证性能,只记录关键信息点,将无价值的原始报文进行丢弃。
5、等保2.0派网可以做些什么
长按识别二维码
了解Panabit新功能
更多精彩:
HTTPS的Web认证不能弹出,WiFi管理员会有暴力倾向?