监管加码，实战推动

等级保护的标准从 2008年颁布后进入1.0时代，伴随着《网络安全法》的实施和新技术发展，历经十余年的完善，在2019年迎来了等保保护2.0新标准，为网络安全行业指明发展方向，网络安全的重要性在国家战略层面上升到前所未有的程度。

等级保护2.0标准对定级标准、测评范围和测评要求提出了更严格的要求，最近监管部门最近重新调整测评要求，具体内容比较繁杂，简言之就是测评老办法采取得分制新办法采用扣分制，评分逻辑改变相当于考试难度加大了，同样的系统用新老办法分差在20-40分之间，有的单位甚至可能得负分。加上近年来监管部门组织的攻防演练活动，很多单位一次又一次被打穿了安全防护系统，不断刷新了建设单位对网络安全的理解和认知，极大提升了安全建设重视程度，都加大了安全建设的投入。

从监管部门角度来看，提升测评通过难度，体现了加大等保合规监管工作决心，避免等保整改和测评流于形式化，也针对攻防演练中发现问题将等保合规建设往实战化方向引导，攻防演练呈现出攻击手段的多样性，0day/1day/Nday漏洞利用频繁，网络防护体系从传统合规驱动向能力驱动升级，之前等级合规仅需通过测评即可，而新形势下还通过还需要经受实战演练的考验。

从建设单位视角来看，监管单位增加考试难度还提出能力提升双重要求，必然会大幅度增加投入，除了传统的安全产品外，态势感知、流量分析、安全审计、蜜罐、情报威胁等新型安全产品也必不可少。大量的安全产品部署在网络中产生会产品一系列问题，首先网络整改复杂，部署上线周期长，可能需要协调多个厂商参与。其次数量众多设备占用大量机柜空间和电力资源，也无法统一管理运维，不能充分发挥作用造成浪费。最后如果业务增加或升级，安全设备无法灵活弹性扩展，重复投资现象严重。

综上所述，建设单位面临更严格的监管规范及更迫切的安全能力提升需求，在网络安全方面会加大投入，如何提升安全资源利用率减少安全资源浪费？如何快速高效满足合规和实战要求成为亟待解决的难题。

软件定义，重构安全

新技术会解决老问题。随着云计算、虚拟化、SDN、NFV等技术等新技术的不断发展，当前整体IT架构发生了巨大的变革，传统的数据中心的形态正在逐渐消失，软件定义数据中心成为未来趋势，通过虚拟化、资源池化和自动化，把存储、计算和网络资源，打造成统一管理、水平扩展的资源池，根据业务应用需要提供相应IT资源，让IT架构更敏捷、更高效、更灵活和更安全。

新技术也会产生新问题。如何应对新技术带来的新风险？如何在新环境中部署安全措施？这些问题对现有网络安全架构构成了新挑战，同时也让安全从业者思考新的IT安全模式，能否用软件定义的思想重构安全架构解决摆脱当下困境？

2012年Gartner提出“软件定义安全”SDS的概念，理念是从软件定义网络（SDN）引申而来，是将物理及虚拟的网络安全设备与其接入模式、部署方式、实现功能进行了解耦，底层抽象为安全资源池里的资源，顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理，以完成相应的安全功能，从而实现一种灵活的安全防护。

软件定义安全主要涉及以下关键技术：

1、SDN（软件定义网络）：将控制面和数据面分离，以实现集中控制，实现自动化，并创建可编程网络。

2、NFV（网络功能虚拟化）：将网络安全设备硬件替换为虚拟机。

3、计算虚拟化：将一台物理机可以虚拟为多个虚拟机，提供资源高利用率和高可用性。

4、服务编排和服务链：实现将多个设备进行串接，形成服务链。

学以致用，落地实践

国内先驱的安全厂商积极吸收新兴的云计算、NFV、SDN技术，根据各自擅长领域勇于实践创新，陆续推出适应不同的场景的方案，目前是在等保建设中主要有以下三类。

1、等保一体机

主流安全厂商由于安全产品种类多技术积累丰富，侧重点在NFV（网络功能虚拟化），采用Kvm和Docker容器等技术实现虚拟安全网元代替原有硬件安全设备，采用Open VSwitch实现网络虚拟化能力,通过统一管理平台集中管理虚拟的安全网元，采用Openflow协议控制Open VSwitch的转发平面实现服务编排和服务链，提供动态可视、弹性扩容和灵活编排的等保一体机解决方案。这类产品安全网元类型丰富，既有流量类，例如防火墙、入侵防御、流量清洗、安全审计和负载均衡等，也有网络可达类的，例如堡垒机、日志审计、漏洞扫描和终端威胁防御系统等，通过内置等级保护模板，部署方便性价比高，可广泛使用于物理环境和虚拟化环境下的等保建设。

2、云安全资源池

有的安全厂商将硬件安全产品提供的安全功能迁移至云上形成云安全资源池，实现与专用硬件解耦，利用服务编排调度技术，实现安全功能灵活部署、资源弹性伸缩，防护云数据中心的东西向和南北向流量。在云计算多租户场景中，也可以与云管理平台整合，通过租户自服务界面实现租户安全组件自助申请开通、自助运维管理等功能。云安全资源池适用于满足等级保护2.0云计算安全扩展要求的多租户的云计算场景，典型的有政务云、医疗云、国企央企等大型集团云等。

3、云防护服务

云服务商也建立自己的安全生态圈，把生态圈内厂商的安全能力迁移至云上适配和整合，建立规模庞大的安全防护资源池，可以过滤巨大的流量，为接入云租户和接入单位提供云防护服务，云防接入便捷快速部署，可以做到小时级甚至分钟级开通使用。适用于业务相对简单但访问量巨大易遭受dos/ddos和Web攻击的单位，例如政务服务平台、大型购物网站和热门游戏平台等。

道阻且长，行则将至

软件定义安全在等保建设中虽然有很多应用，但是目前技术尚未完全成熟，在实际应用中遇到很多挑战。首先生态，由于安全厂商从各自技术保护和商业利益考虑，相互之间很少能完全兼容，甚至同一厂商不同产品也会形成技术壁垒，难以实现集中和统一的设备和策略管理。随着网络安全监管常态化和用户需求多样化，无论哪个厂商也无法覆盖用户所有需求，大部分厂商专注于某些领域，建设单位普遍希望能整合各自优势产品解决面临的问题，可以预见相对开放的生态体系会逐步形成。

其次架构安全，软件定义安全涉及SDN/NFV/云计算等多种技术，新技术会带来新风险，例如SDN控制器承载所有控制功能容易被拒绝服务攻击和违规接入，南北向接口和协议存在信息泄露和传输安全等风险。

最后，物理安全设备虚拟为虚拟安全网元也会遇到很多问题，硬件安全设备为了提升性能往往采用定制驱动和内核，在虚拟化平台上部署后需要解决兼容性问题需要花费大量时间，虚拟安全网元性能也有损耗影响实际使用。采用很多硬件安全设备在等保三级中采用双机模式部署实现高可用性，设备之间通过心跳线实现主备切换和状态同步，但是在虚拟网络中网络可靠性不高，采用心跳机制效果不佳。

软件定义安全毫无疑问是未来数据中心安全建设发展方向，在等保合规建设中发挥重要作用，需要安全厂商对等级保护标准深入理解和云计算安全领域的持续积累创新，需要网络安全行业进一步推进开放的生态圈建设，不断开发出适合各种场景的完备的解决方案，应对持续加大的合规、实战和投入的三重压力。