基于等保2.0的信息系統(tǒng)三級安全規(guī)劃的探討

　　本文主要基于《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求(GB/T 22239-2019)》(簡稱“等保2.0”)對部署在私有云上的信息系統(tǒng)進行三級安全規(guī)劃的探討，并按照等保2.0要求，設(shè)計了整體云安全規(guī)劃框架，從合規(guī)治理、防護監(jiān)控等角度出發(fā)，闡述滿足信息系統(tǒng)等保三級配套的基礎(chǔ)安全保障及措施。

　　本文源自中國信息化 2020年12期《中國信息化》雜志由新聞出版總署正式批準、中華人民共和國工業(yè)和信息化部主管主辦的一本國家批準創(chuàng)刊的唯一一份以關(guān)注工業(yè)化與信息化融合，推進信息化進程為使命的國家級信息化媒體國公開刊物。

　　一、引言

　　(一)信息安全環(huán)境

　　當前，新應(yīng)用新技術(shù)隨著信息技術(shù)的飛速發(fā)展而不斷涌現(xiàn)，大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算等新技術(shù)廣泛應(yīng)用已成為各行各業(yè)產(chǎn)業(yè)結(jié)構(gòu)升級必不可少的環(huán)節(jié)。而其中，網(wǎng)絡(luò)和信息系統(tǒng)作為這些新技術(shù)的重要基礎(chǔ)，在整個經(jīng)濟社會中具有舉足輕重的作用。而隨著信息技術(shù)的不斷發(fā)展，黑客技術(shù)對網(wǎng)絡(luò)及信息系統(tǒng)構(gòu)成的威脅日益嚴峻，以致國家層面對網(wǎng)絡(luò)和信息安全的重視程度亦隨之提升。

　　由于傳統(tǒng)信息安全理念已難以適應(yīng)當前新技術(shù)下的信息系統(tǒng)發(fā)展安全保障要求，國家將新業(yè)務(wù)形態(tài)及新系統(tǒng)形態(tài)下的應(yīng)用、支撐新模式的服務(wù)、以及重要的資源和數(shù)據(jù)，進一步納入到等級保護的基本要求范圍。

　　(二)等保2.0出臺

　　回顧GB/T 22239-2008《信息安全技術(shù)信息安全等級保護基本要求》(簡稱“等保1.0”)，已經(jīng)不能滿足新技術(shù)新應(yīng)用的基本要求，而且在風險評估、監(jiān)測預警、安全管控體系等方面也需要進行優(yōu)化，對此，國家結(jié)合當前新技術(shù)新應(yīng)用的發(fā)展形勢，對等保1.0進行了修編，擴展了大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算等新技術(shù)領(lǐng)域的安全要求，于2019年5月10日正式出臺等保2.0( GB/ T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》)替代了等保1.0，并于2019年12月1日正式全面推廣實施。等保2.0的發(fā)布實施，提出了更全面更廣泛的基本安全管理及防護要求的標準，是《中華人民共和國網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)的有效落地，是響應(yīng)習近平同志提出的“自主創(chuàng)新推進網(wǎng)絡(luò)強國建設(shè)”的貫徹落實。

　　二、等保2.0新要求

　　在等保2.0的新要求中，信息系統(tǒng)已經(jīng)向大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算等方面擴展，終端已不再是傳統(tǒng)的計算機終端，而是向廣義的終端概念延伸，可以說一切具有信息輸入或輸出及信息處理的裝置都可以稱為終端，如傳統(tǒng)計算機、打印機、智能終端、工控設(shè)備、充電樁、虛擬終端等。

　　在新技術(shù)新應(yīng)用方面，等保2.0在移動互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等四方面提出了新增的安全擴展要求。

　　在防御層面方面，等保2.0更注重主動防御，要求做到事前感知、事中處置、事后審計全過程的動態(tài)保障措施。

　　在管理策略方面，等保2.0的管理策略從等保1.0中所要求的“自主定級、自主保護、監(jiān)督指導”向“明確等級、增強保護、常態(tài)監(jiān)督”的層面轉(zhuǎn)化。

　　在防控體系方面，等保2.0更注重構(gòu)建“偵攻防管控”的一體化綜合防控體系。

　　在管理對象方面，等保2.0描述的新對象囊括了大型互聯(lián)網(wǎng)企業(yè)、基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)、網(wǎng)站、大數(shù)據(jù)中心、云計算平臺、物聯(lián)網(wǎng)系統(tǒng)、移動互聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、公眾服務(wù)平臺等。

　　三、三級等保規(guī)劃

　　(一)總體框架設(shè)計

　　為了提高信息系統(tǒng)抵御安全風險的能力，全面增強網(wǎng)絡(luò)安全保障水平，同時滿足網(wǎng)絡(luò)安全法及網(wǎng)絡(luò)安全等級保護2.0要求，滿足監(jiān)管機構(gòu)合規(guī)檢查，本文從網(wǎng)絡(luò)安全合規(guī)治理及安全責任落實角度出發(fā)，向信息系統(tǒng)管理單位提出基于私有云上的網(wǎng)絡(luò)安全等級保護應(yīng)用安全體系框架設(shè)計，主要包括安全管理、安全防護、安全服務(wù)三個方面開展符合性合規(guī)工作。

　　(二) 安全管理

　　私有云應(yīng)用系統(tǒng)安全管理一般涉及制度體系建設(shè)、機構(gòu)及人員管控、安全策略規(guī)劃、安全運維管理方面。安全制度體系建設(shè)應(yīng)圍繞云機房物理環(huán)境管理、云平臺虛擬化安全運維管理、安全人員管理、安全監(jiān)測預警管理、安全審計管理、配置管理、變更管理、應(yīng)急響應(yīng)及處置管理、數(shù)據(jù)備份及恢復管理、存儲介質(zhì)管理等，確保制度落實及執(zhí)行記錄工作;成立安全管理責任部門，設(shè)立各類安全崗位，明確崗位職責，落實網(wǎng)絡(luò)安全第一責任人，明確責任歸屬，并將內(nèi)部及第三方人員均納入人員管控范圍;按照等保2.0中關(guān)于通信網(wǎng)絡(luò)、區(qū)域邊界及計算環(huán)境的安全管理基本要求，定期更新信息系統(tǒng)安全策略;加強安全運維管理，提升運維人員安全意識及技能，利用防護、監(jiān)測、審計等手段做好運維工作。

　　(三)安全防護

　　私有云平臺的互聯(lián)網(wǎng)邊界設(shè)置專業(yè)防火墻實現(xiàn)云平臺與互聯(lián)網(wǎng)的有效隔離，遵循最小化訪問控制原則設(shè)置訪問控制策略，達到防止未授權(quán)訪問的目的，限制未授權(quán)訪問流量;同時，部署抗DDOS(分布式拒絕服務(wù)攻擊)硬件設(shè)備或采購云清洗流量服務(wù)，以實現(xiàn)對來自互聯(lián)網(wǎng)各類拒絕服務(wù)流量攻擊的防護;此外，為實現(xiàn)信息系統(tǒng)的主動防御，私有云結(jié)合等保2.0安全擴展要求，云安全網(wǎng)絡(luò)架構(gòu)可增加以下安全規(guī)劃：

　　1.云防火墻

　　信息系統(tǒng)管理單位可以在私有云上部署虛擬化形態(tài)的云防火墻，管理員可對防火墻進行便捷、高效的調(diào)配和擴展，云防火墻應(yīng)可自動識別公網(wǎng) IP 及關(guān)聯(lián)實例與綁定資產(chǎn)，支持應(yīng)用識別、入侵防御、內(nèi)容過濾、地址過濾等需求，同時還應(yīng)設(shè)置相應(yīng)的訪問控制策略及日志審計功能;如需遠程運維，則可考慮采用IPSEC VPN(基于IP安全協(xié)議的虛擬專網(wǎng))、SSL VPN(基于安全套接字協(xié)議的虛擬專網(wǎng))等以滿足企業(yè)日常維護管理的需求。

　　2.網(wǎng)站安全防護

　　虛擬化的Web應(yīng)用防火墻能幫助信息系統(tǒng)管理單位在云上快速部署上線，充分利用云的負載均衡及彈性的特點，通過KVM、VMware等虛擬化技術(shù)，實現(xiàn)多種防護，全面抵御各類Web安全威脅，免遭當前和未來的安全侵害。

　　3.云堡壘機

　　信息系統(tǒng)管理單位可以以虛擬化形態(tài)在私有云上部署云堡壘機，實現(xiàn)賬號、策略、資產(chǎn)、審計等多方面的管理。云堡壘機應(yīng)支持Windows、Linux等主流操作系統(tǒng)、支持多種終端訪問協(xié)議及文件傳輸功能，通過審計用戶從登錄到注銷的整個操作流程，可監(jiān)視用戶在目標設(shè)備上的所有敏感操作，以實現(xiàn)對安全事件的實時檢測和預警，從而進一步提高私有云資源的管理效率，降低人為操作風險，實現(xiàn)統(tǒng)一的資源運維管理和審計的目標。

　　(四)安全服務(wù)

　　1.安全評估服務(wù)

　　信息系統(tǒng)管理單位應(yīng)定期組織檢查應(yīng)用系統(tǒng)以及操作系統(tǒng)的漏洞情況，并根據(jù)需要自定義檢測和掃描頻率，掃描工具應(yīng)及時更新漏洞庫，以覆蓋當前網(wǎng)絡(luò)環(huán)境下的操作系統(tǒng)、數(shù)據(jù)庫、Web漏洞類型，依據(jù)網(wǎng)絡(luò)安全環(huán)境變化動態(tài)更新，自動識別云上存活資源，可設(shè)定預掃描、多線程掃描，低誤報率。此外，還應(yīng)選擇專業(yè)的滲透測試團隊定期對業(yè)務(wù)系統(tǒng)進行滲透測試，及時發(fā)現(xiàn)安全風險隱患。

　　2.安全監(jiān)測服務(wù)

　　為了開展對信息系統(tǒng)的安全監(jiān)測，實時識別網(wǎng)站漏洞、掛馬、篡改等安全隱患，信息系統(tǒng)管理單位可考慮采購安全監(jiān)測服務(wù)，對信息系統(tǒng)開展漏洞掃描、網(wǎng)頁掛馬監(jiān)測、網(wǎng)頁篡改監(jiān)測、釣魚監(jiān)測、敏感內(nèi)容監(jiān)測以及可用性監(jiān)測等服務(wù)，特別是在重點保障的時期，還需要采取發(fā)送短信、郵件等預警方式，及時掌握及時處置。

　　3.云清洗服務(wù)

　　為有效防御DDoS攻擊，信息系統(tǒng)管理單位可考慮采購云清洗服務(wù)，利用DNS智能牽引技術(shù)，實現(xiàn)對10G及以上大流量DDoS的攻擊防護，同時還可以抵御聯(lián)通、電信和BGP三條鏈路的大流量攻擊。由于運營商提供的云清洗服務(wù)只可以清洗網(wǎng)絡(luò)內(nèi)部的攻擊流量，并且同一行業(yè)可能同時發(fā)生DDoS攻擊，因此帶寬和保護資源存在沖突隱患，對此，信息系統(tǒng)管理單位在選擇云清洗服務(wù)時還應(yīng)關(guān)注服務(wù)提供商的清洗能力是否足夠支撐突發(fā)情況的應(yīng)對，如采取線下本地防護加上云清洗服務(wù)的組合方式，可得到更完善的防護保障。

　　4.數(shù)據(jù)庫監(jiān)控與審計服務(wù)

　　采用數(shù)據(jù)庫監(jiān)控與審計服務(wù)，對數(shù)據(jù)庫訪問行為的詳細分析，可以實現(xiàn)性能監(jiān)控、風險告警、事中審計、事后追溯等需求，全面檢視數(shù)據(jù)庫安全情況，并提供事后追溯的依據(jù)。同時，信息系統(tǒng)管理單位還應(yīng)全面考慮數(shù)據(jù)庫的存儲、使用過程監(jiān)控、安全審計及加密防護等重點環(huán)節(jié)。

　　四、總結(jié)

　　在不同的應(yīng)用實例中，基于等保2.0的信息系統(tǒng)三級安全規(guī)劃不僅限于本文中描述內(nèi)容，信息系統(tǒng)管理單位還應(yīng)提倡“持續(xù)保護，不止合規(guī)”的等級保護核心價值觀，清晰劃分信息系統(tǒng)安全責任歸屬，按照等保2.0對安全監(jiān)測、預警、評估、審計等方面的管理要求，在實現(xiàn)基礎(chǔ)的安全能力的同時，進一步實現(xiàn)安全可視能力、持續(xù)檢測能力以及協(xié)同防御能力，最終真正發(fā)揮等級保護制度帶來的價值與改變，保障信息系統(tǒng)安全穩(wěn)定地運行。