网络安全等级保护2.0下的安全体系建设
2018-03-07◆傅钰
◆傅 钰
网络安全等级保护2.0下的安全体系建设
◆傅 钰
(江苏国保信息系统测评中心有限公司 江苏 215006)
信息安全等级保护是国家信息安全的一项基本国策和制度,从实施至今已经有20多年,随着云计算、大数据、物联网和移动互联等新技术的出现,信息系统基础架构设施发生了翻天覆地的变化,同时在实际安全建设和测评工作中,标准的适用性、可操作性上还需要进一步完善,原标准体系已经不能满足新形势下网络安全等级保护工作的需要。在此大背景下,国家相关部委对标准进行了修订,等级保护进入了等保2.0时代,本文旨在对等级保护工作中的问题进行分析,并提出网络安全等级保护2.0安全体系建设的一些思路。
等级保护;安全体系
1 等级保护工作背景
随着网络信息技术的飞速发展,组织和单位相继建立业务信息系统用于对内部提供生产、经营、决策和管理服务,或对社会公众提供公共信息服务,业务信息系统极大地提高了工作、生产效率以及服务水平。
信息系统大都采用通用的网络协议和软硬件设备,由于网络安全防护措施不严密、软件系统代码缺陷、安全配置不当、安全管理不到位等问题不可避免的会存在安全漏洞,这些漏洞问题被攻击者进行研究和利用,使信息系统面临较大的安全风险,另外网络安全威胁持续严峻,攻击者综合采用多种技术、攻击手段和方式,使网络入侵和攻击事件频发,组织和单位迫切需要一套行之有效的方法开展信息安全工作。
信息安全等级保护是国家信息安全保障工作的基本制度、基本国策,是开展信息安全工作的基本方法,是促进信息化发展、维护国家信息安全的根本保障。信息安全等级保护强调对信息系统分等级进行保护,对信息安全产品分等级进行管理,对信息安全事件分等级进行响应和处置。也就是不同等级的信息系统采取不同等级的保护方法,具备不同的安全防护措施和能力,达到突出重点、适度保护的目的。
国家相关部委针对信息安全等级保护出台了相关标准、规范和要求规范信息系统在定级备案、安全建设整改、等级测评、测评机构管理等相关工作,2017年6月1日,《中华人民共和国网络安全法》发布,进一步为信息安全等级保护工作提供了法律支撑,网络安全法规定网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务和责任,未履行相关责任的组织和单位将承担相应的法律责任,网络安全法的出台将等级保护工作提升到一个新的高度,组织和单位对等级保护工作的重视程度进一步提高。
2 等级保护1.0标准要求实施中存在的问题
新技术不断在发展,网络安全威胁不断在演变,等级保护工作在实际开展中也遇到一些新问题和新情况。
2.1 新技术平台定级和安全要求存在空白
随着国家智慧城市战略的推进,云计算、物联网、工业控制系统、移动互联网逐步在信息系统中得到推广和应用,等级保护对象范围进一步扩大,原标准体系只有针对通用系统环境的相关标准要求,但缺乏针对以上新技术平台的定级流程规范及相关的技术要求,规范定级、安全建设整改和等级测评工作。
2.2 等级保护内容还不够完善
等级保护工作主要包括定级、备案、安全建设整改、等级测评监督检查五个环节的工作。而在网络安全新形势下已经不能完全满足等级保护工作的需要,风险评估、安全监测、通报预警,应急处置等网络安全工作尤为重要,等级保护工作的内涵需要进一步丰富和完善。
2.3 等级保护体系还不够健全
随着等级保护对象和工作内容的进一步扩大,等级保护体系需要在现有体系的基础上进一步完善和健全,重点建立和完善政策、标准、测评、技术、服务等体系,为构建一体化安全保卫体系提供有力支撑。
3 等级保护2.0标准的变化
为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入了2.0时代。
新标准包含了网络安全等级保护定级指南、实施指南、基本要求和测评要求,其中新修订的《网络安全等级保护基本要求》包含网络安全等级保护通用要求、云计算安全扩展要求、移动互联安全扩展要求、工业控制系统安全扩展要求、物联网安全扩展要求以及大数据安全扩展要求六个部分。
安全技术部分指标由原来的五个层面调整为物理与环境安全、网络与通信安全、设备和技术安全、应用和数据四个层面,安全管理指标由原来的五个层面调整为安全策略与管理制度、安全管理机构和人员、安全建设管理、安全运维管理四个层面。各层面的控制点和指标项进行了相应的调整,结构更加清晰合理,体系更加完善。
4 等级保护2.0安全体系建设
等级保护2.0管理策略将由之前等级保护1.0的“自主定级、自主保护、监督指导”转向为“明确等级、增强保护、常态监督”的层面。同时将风险评估、安全监测、通报预警等重点措施以及云计算、大数据、物联网等新技术平台纳入等级保护管理,要求构建“侦攻防管控”一体化的网络安全综合防控体系。因此整个安全体系建设是一项系统工程,可以围绕以下几个方面进行开展。
4.1 网络信任体系建设
建设CA认证系统,为业务系统提供证书生产、身份认证等证书服务,为用户提供安全可信的支撑服务;在CA认证和服务平台的支持下,实现用户信息的统一管理,为操作系统登录、网络接入、业务系统访问提供统一的身份认证。
4.2 安全技术体系建设
综合采用身份认证、访问控制、边界防护、安全审计、入侵检测/防御、恶意代码防护等技术构建基础的技术防护体系。针对云计算平台部署虚拟化安全防护系统、云安全资源池构建云平台安全防护体系,实现私有云环境下不同虚机,公有云环境下的不同租户之间南北向的安全隔离和防御,同时可结合云端的安全防护和监测类服务实现纵深防御。针对大数据平台,根据数据的生命周期,在主客体间的访问行为和路径上综合采用身份认证、访问控制、数据加密、数据脱敏等手段进行安全防御。通过部署APT攻击防护系统、态势感知系统对威胁及攻击行为进行主动式的监测及安全态势的预判,实现持续监测、安全可视。
4.3 安全管理体系建设
组织和单位应建立完善的安全管理领导组织机构,根据单位业务情况并结合安全管理实际建立包含总体安全策略、安全管理制度、操作流程规范、记录表单的安全管理文件体系,并按照安全管理体系要求严格执行。配备专业的机房、系统、网络、应用和安全管理人员负责信息系统的日常管理工作,加强对业务人员和安全管理人员的安全意识和技能的培训,定期开展安全事件应急处置演练,提高突发事件的应急处置能力。根据系统安全保护等级及信息系统实际情况规划系统安全建设,加强信息系统在设计、实施、验收过程的管理。信息系统如果部署在公有云上,需要确定云服务商提供的云计算平台达到相应的安全等级,作为云租户方要与云平台服务商、云安全服务商明确各自的安全责任和义务。
组织和单位除建立自身的安全运维团队外,作为对现有安全管理人员补充,以及加强安全应急支撑团队的建设,组织和单位可通过服务外包的方式委托专业安全服务机构负责日常具体的安全运维工作,把主要精力放在安全整体管理和决策上。通过安全巡检对系统状态、安全策略配置进行检查、对信息系统进行漏洞扫描发现存在的安全风险和漏洞,通过安全加固修复发现的安全问题,提升系统的安全性,通过日志分析及时发现异常和攻击行为,并针对性调整安全策略,通过应急响应对突发的安全事件进行响应和处置,并进行事后分析和预防改善。通过渗透测试模拟黑客攻击的方式主动发现系统可利用的漏洞,提升信息系统整体安全性。
4.4 风险管理体系建设
委托专业安全测评机构定期对信息系统进行等级测评和风险评估,一方面对网络安全法和信息系统安全保护等级的合规性要求进行测试评估,另外进一步发现信息系统面临的主要安全风险,积极采取风险应对措施,对残留风险持续进行监控。
5 结语
网络安全靠人民,网络安全为人民。随着国家针对网络安全等级保护工作的重大举措和决策部署,政策法律、标准规范进一步得到完善,等级保护工作和监管范围进一步扩大,相信通过等级保护2.0的推进和实施,将全面提升我国关键基础设施和重要信息系统的安全保障水平,使我们的网络更加安全,人民更加幸福。
[1]郭启全.信息安全等级保护政策培训教程2016版[M].电子工业出版社,2016.
[2]夏冰.网络安全法和网络安全等级保护2.0[M].电子工业出版社,2017.