2019年5月公安部发布等保新标准,同年12月1日开始实施,开启了等级保护2.0时代。除了首批试点单位和企业,2020年新备案和复测的系统,都将面临第一次过检等保2.0的挑战。
近期配合网易云和其他系统进行了等保2.0测评,结合测评过程,来聊一聊等级保护2.0的那些事。
一、为什么开展等保?
1.《网络安全法》
等保2.0的顶层规范是《中华人民共和国网络安全法》,这意味着什么呢?
我们先看一个新闻:
根据网安法第二十一条规定,国家实行网络安全等级保护制度。网络运营者应按照等保要求履行网络安全保护义务。因此,给大家划两个重点:
(1)未落实等级保护工作等于违法
(2)未履行规定网络安全保护义务的,最高处100万罚款,对直接负责的主管人员最高处10万罚款。
2.哪些企业和单位应该开展等保工作?
让我们来看一下GB/T22239 2019的相关规定:
划重点:
(1)中国境内运营的
(2)政府、事业单位、对外提供服务的企业
(3)除信息系统外,还包括:基础网络、云平台、大数据、物联网、工控系统和移动互联
也就是说,基本涵盖了企业的对外提供服务的业务系统和产品。
3.落实等级保护工作能为企业带来什么?
当然,除了合规以外,落实等保也是益处多多的:
3.1 安全能力宣传
获得等保认证证书后,可以作为企业产品的安全能力佐证,增加客户及用户的安全信赖。
3.2 安全责任共担
获得等保认证证书后,意味着企业已经落实国家要求的信息安全保护义务,如果后续出现安全事故,监管部门在认定责任时,业务方可适当减免主体责任。
3.3 安全建设评估
在等保测评过程中,可对自身的安全建设水平进行系统的评估,帮助发现安全建设体系中现存的问题和不足。
4.什么是等保?
如果把等级保护当做是一门专业,网络运营者就是学生,学校规定这门专业的课程体系一共有100个学分,其中有必修学分和选修学分。想要获得毕业证书,要修完必修学分,并且总学分数达到75个学分。对于学生来说,在必修课程都通过的前提下,具体修75还是95个学分可以根据自身情况决定。
二、如何开展等级保护?
1.等保相关方
等级保护工作的整个流程需要企业、第三方测评机构以及公安三方共同参与。
公安部门负责测评要求的通知传达,以及测评过程的指导、监督和审查。
第三方测评机构负责企业的等级保护测评工作。
需要说明的是,第三方测评机构也是需要资格认证的,须符合相关标准并通过公安的审核和授权,才能提供测评服务。
2.等级保护操作流程
2.1 整体流程
2.2 定级备案
等保2.0在定级中需要关注的变化:
○ 不再自主定级,二级及以上系统定级必须经过专家评审和主管部门(如金融、教育等行业)审核,才能到公安机关备案
○ 关键基础设施原则上不低于三级
○ 云平台定级不应低于其租户的级别
企业在完成定级备案后会获得系统备案号,有了备案号,就可以开始正式的等级测评工作啦。
2.3 等级测评
2.3.1 测评内容
等保2.0测评内容扩充为:通用要求+扩展要求。
2.3.2 测评合格标准
等保2.0通过测评需满足以下两个条件:
○ 测评分在75以上
○ 无高危风险项
高危测评项有一票否决权,这也充分说明了安全建设的水桶原则,只要有一块短板,水桶就会漏水。
2.3.3 测评合格证明
企业在测评合格后会获取等级保护备案证明和纸质的测评报告,三级及以上系统需每年进行测评。
下图为网易云系统备案证书:
三、测评重要项解读
等保测评的安全通用要求分为:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个部分。以三级系统为例,针对重点测评项进行对标解读。
1.安全物理环境
物理安全对于绝大部分企业来说都是不需要考虑的:
(1)自建机房或托管IDC机房:通常都是A类标准,必须符合等保标准;
(2)上云:云服务商的机房通常情况下都在三级系统以上的要求。
2.安全通信网络
这部分的测评要点和1.0老标准基本一致,需要在组网阶段考虑好高峰期的网络带宽和性能,配置线路冗余、关键节点冗余;通信传输的完整性和保密性通常通过SSL/TLS、VPN协议基本能满足要求。
3.安全区域边界
3.1 边界防护
要求中有2点需要注意:
(1)策略和防护必须做双向的,即外部攻击和内部发起的攻击均需要防护。
(2)提出无线网络的管理,现阶段的要求较基础,可通过无线网络接入认证、或统一管理无线AP均等方式实现。
对于未授权进出联网的管控,常见的解决思路有三类,一是通过数据流量监听,解析进出流量包协议,区分无线、有限接入设备类型并进行管理;二是通过客户端代理监管网络的使用;三是通过网络扫描,识别网络中的设备接入类型。无论通过哪种思路开发或采购安全设备(如上网行为管理、终端管理软件、网络扫描工具等),实现对应的功能即可满足测评要求。
3.2 访问控制
要求主要针对ACL的配置:
(1)默认配置deny any any,拒绝非允许外所有通讯
(2)多余和无效的ACL规则需删除。
除ACL的控制外,针对七层的数据包检测能力也提出了要求,可部署Web应用防火墙。
3.3 入侵防范
这部分要求主要有两个方面:
(1) 关键网络节点有攻击检测能力,要求在网络边界中部署安全防护设备如IDPS、WAF、DDOS等。
(2)应具备应急响应、处理和溯源能力,如部署蜜罐系统、通过自建安全团队输出能力等。
4.安全计算环境
应用安全和主机安全范畴的要求主要在这个部分体现,需要测评对象有特定的功能模块或引入第三方安全模块实现。需要注意的是,安全计算环境中的测评对象,包括应用系统、为其提供安全能力的安全设备/系统、网络设备、服务器、数据库。
4.1 身份鉴别
测评对象需要具备身份鉴别功能,身份鉴别中:
(1)有密码复杂度要求
(2)密码配置过期时间
(3)采用双因子认证,且至少有一种认证需要通过密码技术实现
(4)登录失败行为限制
身份鉴别要求可引入第三方模块,网易易盾提供行为式验证码、短信验证码等多种验证方式,在提高安全性同时带来极致用户体验。
4.2 访问控制
测评对象需要具备访问控制模块:
(1)无过期、多余账户
(2)无默认账户,如root、admin一类
(3)权限分配合理,避免日常运营使用超管权限账户
4.3 安全审计
安全审计是等保中非常重要的一环,此处针对多个环节的日志留存和审计都需满足:
(1)审计需覆盖到每个用户
(2)审计记录需包括事件时间、操作的主体、客体、操作类型等
(3)审计功能无法中断和禁用
(4)审计记录保存至少6个月(此处在2.0测评要求中未指出,但网安法明确规定)
一是针对信息系统来说,需要开发安全审计模块,至少记录重要用户行为、账户相关操作、重要资源操作、重要变更操作等;
二是针对服务器、数据库来说,可以通过部署堡垒机、数据库审计系统满足此项要求。
4.4 入侵防范
安全计算环境中的入侵防范,主要关注以下几个方面:
(1)服务器部署入侵检测防护,具备入侵等异常行为的检测能力和报警能力
(2)服务器需进行系统加固,日常统一补丁管理
(3)定期进行漏扫,主动发现已知漏洞,评估修复
4.5 个人信息保护
等保2.0中首提个人信息保护要求:
(1)个人信息采集中不得超范围采集
(2)个人信息访问和使用需授权
5.安全管理中心
安全管理中心的要求主要集中于两点:
(1)系统、安全、审计管理员职责划分、权限分配、操作审计
(2)集中管控
集中管控要求首先应具备各维度安全防护的检测能力,再对所有安全防护手段进行集中管理。针对安全事件的识别、报警和溯源分析,可以通过SOC平台统一管控和联动,也可以通过配备相应能力的安全团队完成。
6.必备安全产品与服务
如果上面的测评要点还是把你看得晕头转向,那我们简单粗暴看看等保必备的安全系统与服务。
以等保三级为例:
○ 防火墙
○ DDOS防护
○ 入侵检测
○ 日志审计系统
○ 堡垒机
○ 数据库审计
○ 漏洞扫描、渗透测试
○ SSL
○ 防病毒:或防火墙集成的AV模块
○ Web应用防火墙
○ Android/iOS/SDK加固
网易易盾依托网易集团,提供优质的安全产品与服务,针对等保企业用户可以提供:多因素认证(如行为式验码、短信验证码等)、DDOS高防、Web应用防火墙、渗透测试(Web/APP)、应用加固(Android/iOS)、SDK加固、合规解决方案等,点击易盾官网dun.163.com来获取更多产品介绍吧。
相关阅读: