基于等保2.0的信息系统三级安全规划的探讨
2020-12-30李尚智苏浩伟曹超生林海汝何泽钦
李尚智 苏浩伟 曹超生 林海汝 何泽钦
本文主要基于《信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)》(简称“等保2.0”)对部署在私有云上的信息系统进行三级安全规划的探讨,并按照等保2.0要求,设计了整体云安全规划框架,从合规治理、防护监控等角度出发,阐述满足信息系统等保三级配套的基础安全保障及措施。
一、引言
(一)信息安全环境
当前,新应用新技术随着信息技术的飞速发展而不断涌现,大数据、物联网、云计算等新技术广泛应用已成为各行各业产业结构升级必不可少的环节。而其中,网络和信息系统作为这些新技术的重要基础,在整个经济社会中具有举足轻重的作用。而随着信息技术的不断发展,黑客技术对网络及信息系统构成的威胁日益严峻,以致国家层面对网络和信息安全的重视程度亦随之提升。
由于传统信息安全理念已难以适应当前新技术下的信息系统发展安全保障要求,国家将新业务形态及新系统形态下的应用、支撑新模式的服务、以及重要的资源和数据,进一步纳入到等级保护的基本要求范围。
(二)等保2.0出台
回顾GB/T 22239-2008《信息安全技术信息安全等级保护基本要求》(简称“等保1.0”),已经不能满足新技术新应用的基本要求,而且在风险评估、监测预警、安全管控体系等方面也需要进行优化,对此,国家结合当前新技术新应用的发展形势,对等保1.0进行了修编,扩展了大数据、物联网、云计算等新技术领域的安全要求,于2019年5月10日正式出台等保2.0( GB/ T 22239-2019《信息安全技术网络安全等级保护基本要求》)替代了等保1.0,并于2019年12月1日正式全面推广实施。等保2.0的发布实施,提出了更全面更广泛的基本安全管理及防护要求的标准,是《中华人民共和国网络安全法》等相关法律法规的有效落地,是响应习近平总书记提出的“自主创新推进网络强国建设”的贯彻落实。
二、等保2.0新要求
在等保2.0的新要求中,信息系统已经向大数据、物联网、云计算等方面扩展,终端已不再是传统的计算机终端,而是向广义的终端概念延伸,可以说一切具有信息输入或输出及信息处理的装置都可以称为终端,如传统计算机、打印机、智能终端、工控设备、充电桩、虚拟终端等。
在新技术新应用方面,等保2.0在移动互联网、云计算、物联网和工业控制系统等四方面提出了新增的安全扩展要求。
在防御层面方面,等保2.0更注重主动防御,要求做到事前感知、事中处置、事后审计全过程的动态保障措施。
在管理策略方面,等保2.0的管理策略从等保1.0中所要求的“自主定级、自主保护、监督指导”向“明确等级、增强保护、常态监督”的层面转化。
在防控体系方面,等保2.0更注重构建“侦攻防管控”的一体化综合防控体系。
在管理对象方面,等保2.0描述的新对象囊括了大型互联网企业、基础网络、重要信息系统、网站、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等。
三、三级等保规划
(一)总体框架设计
为了提高信息系统抵御安全风险的能力,全面增强网络安全保障水平,同时满足网络安全法及网络安全等级保护2.0要求,满足监管机构合规检查,本文从网络安全合规治理及安全责任落实角度出发,向信息系统管理单位提出基于私有云上的网络安全等级保护应用安全体系框架设计,主要包括安全管理、安全防护、安全服务三个方面开展符合性合规工作。
(二) 安全管理
私有云应用系统安全管理一般涉及制度体系建设、机构及人员管控、安全策略规划、安全运维管理方面。安全制度体系建设应围绕云机房物理环境管理、云平台虚拟化安全运维管理、安全人员管理、安全监测预警管理、安全审计管理、配置管理、变更管理、应急响应及处置管理、数据备份及恢复管理、存储介质管理等,确保制度落实及执行记录工作;成立安全管理责任部门,设立各类安全岗位,明确岗位职责,落实网络安全第一责任人,明确责任归属,并将内部及第三方人员均纳入人员管控范围;按照等保2.0中关于通信网络、区域边界及计算环境的安全管理基本要求,定期更新信息系统安全策略;加强安全运维管理,提升运维人员安全意识及技能,利用防护、监测、审计等手段做好运维工作。
(三)安全防护
私有云平台的互联网边界设置专业防火墙实现云平台与互联网的有效隔离,遵循最小化访问控制原则设置访问控制策略,达到防止未授权访问的目的,限制未授权访问流量;同时,部署抗DDOS(分布式拒绝服务攻击)硬件设备或采购云清洗流量服务,以实现对来自互联网各类拒绝服务流量攻击的防护;此外,为实现信息系统的主动防御,私有云结合等保2.0安全扩展要求,云安全网络架构可增加以下安全规划:
1.云防火墙
信息系统管理单位可以在私有云上部署虚拟化形态的云防火墙,管理员可对防火墙进行便捷、高效的调配和扩展,云防火墙应可自动识别公网 IP 及关联实例与绑定资产,支持应用识别、入侵防御、内容过滤、地址过滤等需求,同时还应设置相应的访问控制策略及日志审计功能;如需远程运维,则可考虑采用IPSEC VPN(基于IP安全协议的虚拟专网)、SSL VPN(基于安全套接字协议的虚拟专网)等以满足企业日常维护管理的需求。
2.网站安全防护
虚拟化的Web应用防火墙能帮助信息系统管理单位在云上快速部署上线,充分利用云的负载均衡及弹性的特点,通过KVM、VMware等虛拟化技术,实现多种防护,全面抵御各类Web安全威胁,免遭当前和未来的安全侵害。
3.云堡垒机
信息系统管理单位可以以虚拟化形态在私有云上部署云堡垒机,实现账号、策略、资产、审计等多方面的管理。云堡垒机应支持Windows、Linux等主流操作系统、支持多种终端访问协议及文件传输功能,通过审计用户从登录到注销的整个操作流程,可监视用户在目标设备上的所有敏感操作,以实现对安全事件的实时检测和预警,从而进一步提高私有云资源的管理效率,降低人为操作风险,实现统一的资源运维管理和审计的目标。
(四)安全服务
1.安全评估服务
信息系统管理单位应定期组织检查应用系统以及操作系统的漏洞情况,并根据需要自定义检测和扫描频率,扫描工具应及时更新漏洞库,以覆盖当前网络环境下的操作系统、数据库、Web漏洞类型,依据网络安全环境变化动态更新,自动识别云上存活资源,可设定预扫描、多线程扫描,低误报率。此外,还应选择专业的渗透测试团队定期对业务系统进行渗透测试,及时发现安全风险隐患。
2.安全监测服务
为了开展对信息系统的安全监测,实时识别网站漏洞、挂马、篡改等安全隐患,信息系统管理单位可考虑采购安全监测服务,对信息系统开展漏洞扫描、网页挂马监测、网页篡改监测、钓鱼监测、敏感内容监测以及可用性监测等服务,特别是在重点保障的时期,还需要采取发送短信、邮件等预警方式,及时掌握及时处置。
3.云清洗服务
为有效防御DDoS攻击,信息系统管理单位可考虑采购云清洗服务,利用DNS智能牵引技术,实现对10G及以上大流量DDoS的攻击防护,同时还可以抵御联通、电信和BGP三条链路的大流量攻击。由于运营商提供的云清洗服务只可以清洗网络内部的攻击流量,并且同一行业可能同时发生DDoS攻击,因此带宽和保护资源存在冲突隐患,对此,信息系统管理单位在选择云清洗服务时还应关注服务提供商的清洗能力是否足够支撑突发情况的应对,如采取线下本地防护加上云清洗服务的组合方式,可得到更完善的防护保障。
4.数据库监控与审计服务
采用数据库监控与审计服务,对数据库访问行为的详细分析,可以实现性能监控、风险告警、事中审计、事后追溯等需求,全面检视数据库安全情况,并提供事后追溯的依据。同时,信息系统管理单位还应全面考虑数据库的存储、使用过程监控、安全审计及加密防护等重点环节。
四、总结
在不同的应用实例中,基于等保2.0的信息系统三级安全规划不仅限于本文中描述内容,信息系统管理单位还应提倡“持续保护,不止合规”的等级保护核心价值观,清晰划分信息系统安全责任归属,按照等保2.0对安全监测、预警、评估、审计等方面的管理要求,在实现基础的安全能力的同时,进一步实现安全可视能力、持续检测能力以及协同防御能力,最终真正发挥等级保护制度带来的价值与改变,保障信息系统安全稳定地运行。
作者单位:李尚智、苏浩伟、林海汝 何泽钦 广东农产国際控股有限公司曹超生 广东南方信息安全研究院