立思辰:透过“疫情”看等保2.0

　　2020年伊始，新型冠状病毒(COVID-19)来袭，全国人民共同经历了一场针对“生命安全”的大考。在这场大考中，全国人民齐心协力，从各个环节对病毒严防死守，交出了一份满意的答卷。据国家卫健委数据统计，2020年2月25日0-24时，除湖北以外30个省市报告新增确诊病例5例,26个省市新增确诊病例为0。

　　但换位思考到网络安全战场，时刻会发生的“网络新冠病毒”同样也会给国家、给企业、给人民群众带来极其严重的损失。为加强我国网络安全防护，预防随时可能来之的网络危险，国家于2019年12月1日已正式执行了“网络安全等级保护制度2.0(以下简称等保2.0)”。该制度充分体现了“一个中心、三重防御”的思想，即建立“安全管理中心”，注重“安全区域边界、安全计算环境、安全网络通信”三重防御。

　　接下来，我们从实操层面来看看等保2.0是否能够真正有效护卫网络安全、民生安全，预防并遏制“人传人”的“网络新冠病毒”传播?

　　安全区域边界是基础

　　1)安全域划分

　　安全域的划分在安全区域边界来看，是最基础的工作。从这次疫情来看，安全域的划分犹如国家要划分省、市、县、村、家庭。网络安全域的划分也需要依据网络系统之间的逻辑关联性和物理位置、功能特性，划出清晰而有层次的安全域，并明确边界安全的策略，防止因某个局部的侵入导致整个系统的崩溃。

　　图1：2月26日全国疫情分布图(来源：丁香医生)

　　2)区域边界安全措施

　　试想一下，如果一开始这次湖北省的武汉市不采取“封城”的强边界物理隔离措施，后果真的不敢设想!此外，部分城市乡村采取了“硬核”隔离手段，封城封村，部分城市采取了“电子健康码”手段;这些措施在网络上相当于采用了“拔网线”的物理隔离手段或者强访问控制策略(逻辑隔离)。边界隔离的措施可以在一定程度上控制病毒的扩散及传播，对于传染性极强的“新冠病毒”来说，边界隔离措施非常关键!

　　安全计算环境是盾牌

　　我们每个人及所处的环境(比如家、社区)安全是本次保障的重点，普通人员外出戴口罩、洗手消毒等可保护家人周全;社区采取的强制隔离、人员出入体温检测等措施可最大程度上保护一定区域内的人员安全;医护人员会采取更严格的个人保护措施(比如护目镜、手套、防护服等)以及每天长达2-4小时的消毒措施，可最大程度避免与病原体的直接接触与传播。

　　图2：个人安全防护手段

　　类比到网络安全，安全计算环境主要对应到计算机、工作站、操作员站的终端安全，通过进程管理、USB外设管控等方式严格把控“病从口入”第一关，并在网络中进行准入控制和异常监测审计，将病毒传播风险降至最低。在这点上，处于不同环境的人员采取的措施在层级上虽有很大差异，但牵一发而动全身，只要一个环节出了问题，就会影响到整个“防病毒”效果。无论是哪个环节出了问题，都可能会导致网络安全风险的发生。

　　安全通信网络是防护痛点

　　人与人的接触交流构成了错综复杂的社交网络，复杂网络中的节点往往也呈现出集群特性，聚集现象如下图所示：

　　图3：社交网络聚集特征图

　　疫情来势汹汹，如何找到确诊者的密切接触者?如何追踪潜在患者的行动轨迹?如何确定隔离人群的范围?等这些问题成为了本次疫情防控的重点。为此，国家、各省市防疫部门采取了各种手段，如患者同乘查询系统、病例轨迹查询系统、咽拭子采集设备、临床诊断等，这些都取得了良好的效果。类比到计算机通信网络，现在有较多的设备可以做到流量审计，将计算机与计算机、计算机与控制设备之间的任意通信流量进行记录，并做到异常报警(如发烧为温度异常，发烧后的行为异常)，同时针对潜在病毒携带者一旦确诊后的追踪溯源变得简单，也可以迅速的找到潜在病毒携带者在过去几天的密切接触者，并能最小化隔离范围，确保资源投入上能做到最小化。

　　管理中心是决策大脑

　　在疫情的防控过程中, 国家省市、县级纵深的CDC(疾病预防控制中心)防控体系和医院、研究所、一线专家组组成的一线团队，完善的公共事件应急响应机制组成了疫情的管理中心，每天的确诊数据、疑似数据、重症患者数据、死亡人数等都给当地政府、国家做决策提供了的数据来源，而大脑决策取决多方面的因素，信息的准确性、以往的经验积累、专家的科学判断以及一线的实际状况等。

　　图4：管理中心疫情情况汇总图

　　在网络安全防护的过程中，亦是如此，管理者需尽可能了解与“网络病毒”相关的一线数据;做到事前合理预防并及时监管;在出现问题时，第一时间告警、及时追溯问题来源，并采取相应措施;事后继续保持警惕，实时对系统进行监测审计。此外，在资源分配过程中，也应尽可能合理。在这些方面，等保2.0都做了相关标准要求，由等保1.0的被动防御升级为主动防御，在网络安全管理中心中，各个安全设备的日志数据、报警数据、设备漏洞数据、资产数据等通过网络实时传送到管理中心，管理中心依据大数据、人工智能的算法对数据进行建模，最后得出漏洞态势、资产态势、威胁态势等。当然这也受限于数据收集的广度、利用的深度以及数据展示的可见度。

　　三分技术、七分管理

　　如同疫情防控，各省市根据自身不同的风险级别，均制定了不同的制度来保障防控效果。网络安全管理中心政策制度的落实也同样重要，明确领导机构和责任部门，制定相应的管理制度、完善相应的管理流程等。

　　图五：各地出台相应的隔离政策

　　等保2.0在网络安全管理制度方面也有明确的要求，包括设立或明确信息安全领导机构，明确主管领导，落实责任部门。建立岗位和人员管理制度，根据责任分工，分别设置安全管理机构和岗位，明确每个岗位的职责和任务，落实安全管理制度。建立安全教育和培训制度，对信息系统运维人员、管理人员、使用人员等定期培训和考核，提高相关人员的安全意识和操作水平等。

　　纵深防御的等保2.0工控安全解决方案

　　北京立思辰信息安全科技集团深入研究等保2.0及工控扩展要求，结合工控安全的私有协议、高实时性要求的特点，满足合规性、全面防护、最小干扰的原则，从网络边界隔离与防护、网络边界接入管理、网络安全监测与审计、设备运维操作审计、操作终端安全防护及态势感知与应急管理的6个方面，提出了等保2.0下的工控安全解决方案。

　　图6：立思辰工控安全解决方案与疫情措施对照图

　　针对工业控制系统，立思辰提出了满足等保2.0标准的工控安全解决方案(以三级等保最小化解决方案为例)，该方案在满足等保2.0通用要求外，还满足工控安全扩展要求，如在通信网络、区域边界、计算环境等方面对相关安全产品进行合规性建设。

　　图7：立思辰结合等保2.0的工控安全解决方案(三级为例)

　　综合以上分析，立思辰有理由相信，如果企业在践行等保2.0的过程中，切实有效的做到了以上的防护措施，一定能打赢这场没有硝烟的“网络新冠病毒”战!

　　关于杭州域晓科技

　　杭州域晓科技有限公司(CeresSec)基于立思辰二十年的安全基因和业务团队的自动化背景，在满足《网络安全法》、等保2.0等合规性要求的前提下，全新定位、研发工控网络安全产品，将安全技术和产品与工业互联网平台、工业自动化系统深度融合，形成具有核心竞争力的工控网络安全整体解决方案。公司拥有“立思辰”、“谷神星”两大产品品牌，二十多条产品线，已广泛应用到电力、石油石化、交通、智能制造、矿业开采、港口码头、军队军工等行业。