文/网新安服 刘传兴

      随着计算机系统的广泛应用以及计算机网络体系逐步延伸到国民经济以及个人生活的每个环节，计算机的脆弱性也逐步显现，而信息安全事故日益增多。据IBM调查报告显示，2019年网络攻击事件增长51%，其增长率创历年新高。而与此同时，大型的网络精准攻击事件层出不穷，勒索病毒事故也在广泛影响各企事业的正常生产运营，其带来的直接和间接损失难以估量。因此，网络安全成为当今一个热门的话题则不足为奇，而同时又是任何一个现代组织乃至国家层面必须严肃对待的特殊领域。

网络攻击事件增长率

      为应对日益复杂的形势，我国陆续推出了等级保护制度和网络安全法，同时在今年推出了网络安全等级保护2.0版本（GB/T 22239-2019），并于12月1日正式实施。网络安全等级保护是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。

网络安全等级保护2.0相比于1.0有了很大的提升，主要体现在以下三个方面:

-    首先是“可信计算”成了等保2.0中的核心防御技术。在此基础上构建 “一个中心，三重防护”的安全防御体系，是等保2.0的安全架构核心。一个中心，即“安全管理中心”，三重防护即“计算环境安全、区域边界安全和通信网络安全”。

-    其次，2.0摒弃了1.0“一棍子打死”的通用测评方法。采用了“安全通用要求+安全扩展要求”的测评方法，对于新兴的五大行业：云计算、大数据、物联网、移动互联和工业控制执行具有该行业特色的测评手段。

-    最后，2.0相比1.0还有一个大的进步就是安全“左移”了。即2.0不只局限于应用生产环境的安全，还对架构安全、代码审计和上线前安全检测有了要求。其思想从漏洞源头进行防护，因此对于软件开发商的软件研发过程也提出了更高的要求。

      作为浙大网新旗下专门研究安全技术和应用的团队，网新安全服务团队（简称“网新安服”）提供可靠的信息系统安全服务，致力于推动信息系统的研发、运行的安全。团队基于大量的安全服务实践经验，深入研究可信计算技术，建立了一套自主可控的立体可信计算防御系统。涵盖了操作系统层、容器层、应用层和网络层四个层次的安全防护，可以有效助力网络安全等级保护2.0的推广。

 白盾防御系统架构示意图

      利用动态白名单思想，首先自学习获得基础可信任库。然后在运行过程中对于每次可执行文件的调用都进行严格的审查校验。确保每次调用都是“可信任”的。除此之外，团队通过总结研究大量的黑客攻击事件发现，有很多攻击是存在人为干预的。比如典型的“勒索病毒”攻击，入侵成功后，黑客会人工登录目标系统，关闭安全防御设备。为了防止这种危险，白盾增加了针对客户端的特殊节点保护机制，确保其防护的有效性，做到了比“病毒更顽固”。实践证明，这种防御能够杜绝勒索病毒攻击和阻断零日攻击深入利用。

      其它各个层次有不同的防御重点。容器层：使用机器学习算法，监控底层函数调用，对于异常的调用及时的拦截；应用层：采用探针技术，摒弃传统的规则式防御，分析请求调用的方式，可以有效的防御应用层次的注入、组件漏洞、文件上传等攻击；网络层：利用时间窗口，通过行为识别，防止诸如脱库、爆破和爬虫之类的攻击。各个层次之间相互配合，互为补充，整体达到全方位感知系统威胁的效果，与等保2.0以可信计算为核心的技术要求不谋而合。

      然而，只有安全防护设备并不能满足复杂的安全需求，因为安全是个动态持续变化的过程。它不只受到系统自身代码安全性的影响，还会受基础平台、相关组件和部署方式等的影响。而可信防御系统除了本身的核心功能外，还有配套的合规安全运维机制，预防、发现、解决问题，持续保障系统安全，能够顺利通过等保2.0要求的公安机关定期的审查。

持续可信的安全防御理念

同时，网新安服团队在实践中，逐步提炼了“持续可信”的安全防御理念，并且推出了全面的安全服务：

其一、通过物理的、网络的以及软件的防护技术，构建核心的可信防御区，从软硬件技术上（比如部署白盾系统）保障其基本的安全性。

其二、通过定期展开的渗透测试等手段，模拟黑客入侵的方式对系统进行攻击，查找系统脆弱项；同时针对发现的潜在问题进行系统加固。

其三、通过持续的安全运维体系，保证日常安全策略的执行、新型漏洞的补缺和人为责任的排查等，保障信息系统的运行时安全。

其四、通过完备的事故处理机制，对于突发的安全状况进行科学有效的处理，不仅仅可以有效控制影响、同时发现安全事故的源头，进而完善整体的安全防御策略。

      技术的发展趋势是开放，无论是所见即所得的互联网，还是天下大同的区块链都在推进开放的进程。而其开放性在方便用户的同时，也使得安全性面临更高的挑战。世界上，没有绝对的安全，而且安全防御从来都不是一劳永逸的，需要每个人持续投入其中。网新安服团队，立志深耕网络安全领域、研究自主可控的核心技术、提供优质可靠的安全服务，为国家网络安全的长城贡献一份力量。