中文站

企业等保2.0的那些事

2019年5月公安部发布等保新标准,同年12月1日开始实施,开启了等级保护2.0时代。除了首批试点单位和企业,2020年新备案和复测的系统,都将面临第一次过检等保2.0的挑战。

近期配合网易云和其他系统进行了等保2.0测评,结合测评过程,来聊一聊等级保护2.0的那些事。

一、为什么开展等保?

1.《网络安全法》

等保2.0的顶层规范是《中华人民共和国网络安全法》,这意味着什么呢?

我们先看一个新闻:


根据网安法第二十一条规定,国家实行网络安全等级保护制度。网络运营者应按照等保要求履行网络安全保护义务。因此,给大家划两个重点:

(1)未落实等级保护工作等于违法

(2)未履行规定网络安全保护义务的,最高处100万罚款,对直接负责的主管人员最高处10万罚款。

2.哪些企业和单位应该开展等保工作?

让我们来看一下GB/T22239 2019的相关规定:


划重点:

(1)中国境内运营的

(2)政府、事业单位、对外提供服务的企业

(3)除信息系统外,还包括:基础网络、云平台、大数据、物联网、工控系统和移动互联

也就是说,基本涵盖了企业的对外提供服务的业务系统和产品

3.落实等级保护工作能为企业带来什么?

当然,除了合规以外,落实等保也是益处多多的:

3.1 安全能力宣传

获得等保认证证书后,可以作为企业产品的安全能力佐证,增加客户及用户的安全信赖。


3.2 安全责任共担

获得等保认证证书后,意味着企业已经落实国家要求的信息安全保护义务,如果后续出现安全事故,监管部门在认定责任时,业务方可适当减免主体责任。

3.3 安全建设评估

在等保测评过程中,可对自身的安全建设水平进行系统的评估,帮助发现安全建设体系中现存的问题和不足。

4.什么是等保?

如果把等级保护当做是一门专业,网络运营者就是学生,学校规定这门专业的课程体系一共有100个学分,其中有必修学分和选修学分。想要获得毕业证书,要修完必修学分,并且总学分数达到75个学分。对于学生来说,在必修课程都通过的前提下,具体修75还是95个学分可以根据自身情况决定。


二、如何开展等级保护?

1.等保相关方

等级保护工作的整个流程需要企业、第三方测评机构以及公安三方共同参与。


公安部门负责测评要求的通知传达,以及测评过程的指导、监督和审查。

第三方测评机构负责企业的等级保护测评工作。

需要说明的是,第三方测评机构也是需要资格认证的,须符合相关标准并通过公安的审核和授权,才能提供测评服务。

2.等级保护操作流程

2.1 整体流程


2.2 定级备案

等保2.0在定级中需要关注的变化:

○ 不再自主定级,二级及以上系统定级必须经过专家评审和主管部门(如金融、教育等行业)审核,才能到公安机关备案

○ 关键基础设施原则上不低于三级

○ 云平台定级不应低于其租户的级别

企业在完成定级备案后会获得系统备案号,有了备案号,就可以开始正式的等级测评工作啦。

2.3 等级测评

2.3.1 测评内容

等保2.0测评内容扩充为:通用要求+扩展要求。


2.3.2 测评合格标准

等保2.0通过测评需满足以下两个条件:

○ 测评分在75以上

○ 无高危风险项

高危测评项有一票否决权,这也充分说明了安全建设的水桶原则,只要有一块短板,水桶就会漏水。

2.3.3 测评合格证明

企业在测评合格后会获取等级保护备案证明和纸质的测评报告,三级及以上系统需每年进行测评。

下图为网易云系统备案证书:


三、测评重要项解读

等保测评的安全通用要求分为:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个部分。以三级系统为例,针对重点测评项进行对标解读。


1.安全物理环境

物理安全对于绝大部分企业来说都是不需要考虑的:

(1)自建机房或托管IDC机房:通常都是A类标准,必须符合等保标准;

(2)上云:云服务商的机房通常情况下都在三级系统以上的要求。

2.安全通信网络

这部分的测评要点和1.0老标准基本一致,需要在组网阶段考虑好高峰期的网络带宽和性能,配置线路冗余、关键节点冗余;通信传输的完整性和保密性通常通过SSL/TLS、VPN协议基本能满足要求。


3.安全区域边界

3.1 边界防护

要求中有2点需要注意:

(1)策略和防护必须做双向的,即外部攻击和内部发起的攻击均需要防护。

(2)提出无线网络的管理,现阶段的要求较基础,可通过无线网络接入认证、或统一管理无线AP均等方式实现。

对于未授权进出联网的管控,常见的解决思路有三类,一是通过数据流量监听,解析进出流量包协议,区分无线、有限接入设备类型并进行管理;二是通过客户端代理监管网络的使用;三是通过网络扫描,识别网络中的设备接入类型。无论通过哪种思路开发或采购安全设备(如上网行为管理、终端管理软件、网络扫描工具等),实现对应的功能即可满足测评要求。


3.2 访问控制

要求主要针对ACL的配置:

(1)默认配置deny any any,拒绝非允许外所有通讯

(2)多余和无效的ACL规则需删除。

除ACL的控制外,针对七层的数据包检测能力也提出了要求,可部署Web应用防火墙。


3.3 入侵防范

这部分要求主要有两个方面:

(1) 关键网络节点有攻击检测能力,要求在网络边界中部署安全防护设备如IDPS、WAF、DDOS等。

(2)应具备应急响应、处理和溯源能力,如部署蜜罐系统、通过自建安全团队输出能力等。


4.安全计算环境

应用安全和主机安全范畴的要求主要在这个部分体现,需要测评对象有特定的功能模块或引入第三方安全模块实现。需要注意的是,安全计算环境中的测评对象,包括应用系统、为其提供安全能力的安全设备/系统、网络设备、服务器、数据库。

4.1 身份鉴别

测评对象需要具备身份鉴别功能,身份鉴别中:

(1)有密码复杂度要求

(2)密码配置过期时间

(3)采用双因子认证,且至少有一种认证需要通过密码技术实现

(4)登录失败行为限制

身份鉴别要求可引入第三方模块,网易易盾提供行为式验证码、短信验证码等多种验证方式,在提高安全性同时带来极致用户体验。


4.2 访问控制

测评对象需要具备访问控制模块:

(1)无过期、多余账户

(2)无默认账户,如root、admin一类

(3)权限分配合理,避免日常运营使用超管权限账户


4.3 安全审计

安全审计是等保中非常重要的一环,此处针对多个环节的日志留存和审计都需满足:

(1)审计需覆盖到每个用户

(2)审计记录需包括事件时间、操作的主体、客体、操作类型等

(3)审计功能无法中断和禁用

(4)审计记录保存至少6个月(此处在2.0测评要求中未指出,但网安法明确规定)

一是针对信息系统来说,需要开发安全审计模块,至少记录重要用户行为、账户相关操作、重要资源操作、重要变更操作等;

二是针对服务器、数据库来说,可以通过部署堡垒机、数据库审计系统满足此项要求。


4.4 入侵防范

安全计算环境中的入侵防范,主要关注以下几个方面:

(1)服务器部署入侵检测防护,具备入侵等异常行为的检测能力和报警能力

(2)服务器需进行系统加固,日常统一补丁管理

(3)定期进行漏扫,主动发现已知漏洞,评估修复


4.5 个人信息保护

等保2.0中首提个人信息保护要求:

(1)个人信息采集中不得超范围采集

(2)个人信息访问和使用需授权


5.安全管理中心

安全管理中心的要求主要集中于两点:

(1)系统、安全、审计管理员职责划分、权限分配、操作审计

(2)集中管控

集中管控要求首先应具备各维度安全防护的检测能力,再对所有安全防护手段进行集中管理。针对安全事件的识别、报警和溯源分析,可以通过SOC平台统一管控和联动,也可以通过配备相应能力的安全团队完成。


6.必备安全产品与服务

如果上面的测评要点还是把你看得晕头转向,那我们简单粗暴看看等保必备的安全系统与服务。

以等保三级为例:

○ 防火墙

○ DDOS防护

○ 入侵检测

○ 日志审计系统

○ 堡垒机

○ 数据库审计

○ 漏洞扫描、渗透测试

○ SSL

○ 防病毒:或防火墙集成的AV模块

○ Web应用防火墙

○ Android/iOS/SDK加固

网易易盾依托网易集团,提供优质的安全产品与服务,针对等保企业用户可以提供:多因素认证(如行为式验码、短信验证码等)、DDOS高防、Web应用防火墙、渗透测试(Web/APP)、应用加固(Android/iOS)、SDK加固、合规解决方案等,点击易盾官网dun.163.com来获取更多产品介绍吧。

相关阅读:

等保2.0来了,你该为等保2.0做这些万全准备(一)