正在審議的網絡安全等級保護標準(以下簡稱：等保2.0)從技術和管理兩大方面對網絡與信息系統安全保障進行了全面描述與規范，是一部完整的以技術保障為基礎、以管理運營為抓手、以監測預警為核心、以協同響應為目標的網絡安全防御體系框架性指導標準與規劃建設指南。

　　以基礎設施和業務應用為核心的技術保障

　　等保2.0的技術保障體系延續了等保1.0中的以資產(網絡與信息系統)防護為目標的安全保障思路，其核心是圍繞基礎設施和業務應用。等保2.0的設計按照分級防護的思想，從第一級安全要求到第四級安全要求，始終貫穿著通信網絡、區域邊界、計算環境的安全防護目標，具體到等保2.0的標準中就是對物理安全、網絡和通信安全、設備和計算安全、應用和數據安全進行了一致性要求。

　　等保2.0在繼承等保1.0以資產防護為目標的成功實踐基礎上，結合近些年網絡與信息技術的新變化，補充提出了對云計算、物聯網、移動互聯網和工業控制系統的安全防護要求，如圖1所示。這深刻反映了網絡與信息安全體系發展與創新的本質：基礎設施和業務應用的發展永遠是網絡與信息安全體系發展與創新的第一驅動力。

　　圖1 等保2.0擴大了安全防護范圍

　　以數據驅動和人才培養為核心的運營管理

　　在過去十年的網絡安全防護過程中，我們經歷了無數次的攻防較量、重點保障、應急處置和分析溯源的實踐，并在這些實踐過程中積累了大量寶貴的成功經驗與失敗教訓，也漸漸清晰地認識到：

　　1.數據是安全的基礎與驅動力;

　　2.人是安全防護的核心與尺度;

　　3.安全運營與管理是安全最重要的手段;

　　4.圍繞數據、人、工具、運營管理的積極防御體系是未來安全體系發展的方向，也是安全的不二選擇，其核心是人通過工具對數據的運營和使用。

　　以數據為基礎、以人為核心，從數據中來(監測預警)，到數據中去(響應處置)，是當前情況下應對多點復雜攻擊的最佳實踐，這個過程就是我們所說的安全運營管理。因此，安全運營管理的兩個核心與前提是：第一，擁有可以使用安全工具完成安全運營管理工作的安全專業人員及團隊;第二，具有可支撐監測預警和安全運營管理的數據，兩者缺一不可。從實質上分析可知：人是安全的尺度、數據是安全的第一生產力。

　　正因如此，安全人才培養和安全運營管理體系建設成為當前世界各國安全體系建設的重點，安全工作是實踐性特別強的工程類技術工作，與之對應的安全人才也是熟練掌握安全技能的工程類人才，因此安全專業人才的培養是一個學、考、練、用的持續迭代過程，這里特別強調練和用，從實踐中來、到實踐中去?？梢灶A見，未來集學、考、練、用為一體的網絡與信息安全集成實訓系統將成為普遍需求，這體現未來了網絡與信息安全防護更加強調實戰與實際效果的體系性需求。

　　回顧過去十年安全體系建設過程，更多地依靠安全產品(即安全工具)孤軍作戰，而沒有將人和數據放在核心的位置加以重視，這導致了以往的安全體系存在著防御能力的滯后性和二次反應能力不足的問題，因為缺少對數據足夠的采集與分析，被動安全體系成了免疫能力有限的貧血兒，因為缺少安全人員對安全數據的安全運營管理，被動安全體系嚴重缺乏活力與對抗“韌性”。

　　全要素采集安全數據、全過程安全運營成了下一代積極防御體系的體系核心。這反映了安全是人與人之間對抗的本質。2011年，美國所采用的號稱世界上最先進的入侵檢測系統“Seminole”其真正先進之處就在于引入了7×24小時的安全專家運營管理過程，這使得Seminole具備了持續發現、二次檢測與快速響應這3個最重要的安全能力。

　　等保2.0的技術體系充分體現了對于全要素數據獲取、全過程安全運營以及對專業人員的崗位性要求。從這個層面上看，等保2.0準確把握了未來安全體系建設的核心與關鍵，代表著未來安全體系的潮流與方向。

　　以威脅情報和態勢感知為核心的監測預警

　　無論是等保1.0還是在等保2.0，監測預警都是安全技術體系的重中之重，經過近幾年的摸索與實踐，安全態勢感知已經被證明是安全監測預警的最佳實踐與必由之路。習近平總書記于2016年4月19日在網絡安全和信息化工作座談會上敏銳指出的“全天候、全方位的態勢感知”為我們的監測預警工作指明了方向。事實上，公安部從2015年就開始在監測預警工作實踐基礎上提出了在公安系統內建設態勢感知平臺的要求并出臺了相關標準，并率先在青島等地開展了將態勢感知平臺應用于實戰的探索與嘗試。截止目前，該項工作已取得了豐碩成果，以安全態勢感知為核心的指揮作戰平臺已經成功應用于包括十九大在內的諸多大型活動重要時期安全保障工作并取得顯著成效。

　　為了達到支撐實戰的目的與效果，態勢感知平臺需要具備5方面的基礎能力：

　　1.全天候、全方位獲取數據的全要素數據采集與數據處理能力;

　　2.高質量、及時的威脅情報獲取與應用能力;

　　3.外部互聯網數據與內部本地數據獲取與大數據綜合分析能力;

　　4.全過程閉環安全運營過程(如：指揮通告、響應處置)支撐能力;

　　5.安全事件取證、分析研判與追蹤溯源能力。

　　這5項基礎能力本質是構建監測預警與安全運營的雙輪驅動機制：外部數據驅動機制和內部數據驅動機制，來自互聯網的數據與威脅情報是利用外部數據實現監測預警與安全運營，實現了從外部向內部看威脅和運營支撐的能力;內部數據的采集與大數據分析是從內部看威脅和運營支撐能力，兩者相輔相成、互相補充，構成了完整的態勢感知能力。

　　以攻防演練和積極防御為核心的協同響應

　　安全體系緣于攻防、安全體系服務于攻防。隨著安全體系的發展與持續建設，安全體系服務于實戰、在實踐中檢驗安全體系的建設成果、安全體系在實戰中不斷完善建設成為安全體系建設螺旋式發展、迭代式演進的主要形式。

　　2016年底，公安部組織力量針對部分關鍵信息基礎設施成功實施了“護網2016”行動，這次行動用事實證明：針對關鍵信息基礎設施的攻防演練與紅藍對抗是在短時間內發現安全問題、彌補安全短板、提升安全能力最行之有效的手段。通過攻防演練和紅藍對抗，可以將應急響應的時間大大提前，做到早期發現、提前響應，真正實現變被動為主動，積累經驗、鍛煉隊伍、檢驗系統的同時變被動為主動，變事發應急為提前響應，變壞事為好事。今天，通過攻防演練與紅藍對抗低成本快速提升網絡與信息安全防護能力已經成為大家廣泛接受與認可的安全體系建設的重要形式，被眾多有條件的大型行業機構所采用。

　　2015年，美國安全研究機構SANS研究院提出了著名的安全標尺模型，系統總結了安全體系建設所經歷的5個發展階段，并指出未來安全體系建設將從架構安全和被動防御走向積極防御。目前這個模型已經成為世界范圍內安全界所廣泛接受的安全體系模型，并被大多數行業機構所采用。

　　同期，國際著名咨詢機構Gartner提出了適用于積極防御體系構建的自適應安全框架(ASA)，至此，SANS與ASA分別從不同視角各自獨立提出的安全模型與安全架構相互呼應，共同完成了積極防御體系的理論奠基，成為下一代安全的基本理論。

　　我國從2016年開始逐漸引入安全標尺模型與自適應安全框架，結合我國網絡與信息安全的實際情況逐步形成了以數據驅動為基礎、以安全運營為手段、以態勢感知為支撐、以安全人員為核心、以協同防御為特征的具有中國特色的積極防御安全體系，即我國網絡與信息安全的下一代安全防護體系。

　　構建新一代安全防護體系

　　基于這個理論基礎，360企業安全集團在“數據驅動安全”兩年多的實踐基礎上，結合新的安全形勢和體系建設需要，提出了對數據驅動安全技術思想的創新演進的“數據驅動安全2.0”的核心思想，本質是建立以人為核心的新一代安全防護體系。

　　圖2 360企業安全集團新一代安全防護體系

　　在這個防御體系中，強調數據(內部與外部數據)的基礎性支撐作用，強調人員在這個安全體系中的核心作用與價值，強調安全運營作為日常安全工作的重要地位，強調態勢感知作為監測預警與安全運營平臺的核心作用，強調設備與設備、人、數據三者之間協同聯動的重要性，強調威脅情報與攻防演練對于安全體系的增強與完善。