基于等保2.0的信息系統(tǒng)三級(jí)安全規(guī)劃的探討

李尚智 蘇浩偉 曹超生 林海汝 何澤欽

本文主要基于《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（GB/T 22239-2019）》（簡稱“等保2.0”）對(duì)部署在私有云上的信息系統(tǒng)進(jìn)行三級(jí)安全規(guī)劃的探討，并按照等保2.0要求，設(shè)計(jì)了整體云安全規(guī)劃框架，從合規(guī)治理、防護(hù)監(jiān)控等角度出發(fā)，闡述滿足信息系統(tǒng)等保三級(jí)配套的基礎(chǔ)安全保障及措施。

一、引言

（一）信息安全環(huán)境

當(dāng)前，新應(yīng)用新技術(shù)隨著信息技術(shù)的飛速發(fā)展而不斷涌現(xiàn)，大數(shù)據(jù)、物聯(lián)網(wǎng)、云計(jì)算等新技術(shù)廣泛應(yīng)用已成為各行各業(yè)產(chǎn)業(yè)結(jié)構(gòu)升級(jí)必不可少的環(huán)節(jié)。而其中，網(wǎng)絡(luò)和信息系統(tǒng)作為這些新技術(shù)的重要基礎(chǔ)，在整個(gè)經(jīng)濟(jì)社會(huì)中具有舉足輕重的作用。而隨著信息技術(shù)的不斷發(fā)展，黑客技術(shù)對(duì)網(wǎng)絡(luò)及信息系統(tǒng)構(gòu)成的威脅日益嚴(yán)峻，以致國家層面對(duì)網(wǎng)絡(luò)和信息安全的重視程度亦隨之提升。

由于傳統(tǒng)信息安全理念已難以適應(yīng)當(dāng)前新技術(shù)下的信息系統(tǒng)發(fā)展安全保障要求，國家將新業(yè)務(wù)形態(tài)及新系統(tǒng)形態(tài)下的應(yīng)用、支撐新模式的服務(wù)、以及重要的資源和數(shù)據(jù)，進(jìn)一步納入到等級(jí)保護(hù)的基本要求范圍。

（二）等保2.0出臺(tái)

回顧GB/T 22239-2008《信息安全技術(shù)信息安全等級(jí)保護(hù)基本要求》（簡稱“等保1.0”），已經(jīng)不能滿足新技術(shù)新應(yīng)用的基本要求，而且在風(fēng)險(xiǎn)評(píng)估、監(jiān)測(cè)預(yù)警、安全管控體系等方面也需要進(jìn)行優(yōu)化，對(duì)此，國家結(jié)合當(dāng)前新技術(shù)新應(yīng)用的發(fā)展形勢(shì)，對(duì)等保1.0進(jìn)行了修編，擴(kuò)展了大數(shù)據(jù)、物聯(lián)網(wǎng)、云計(jì)算等新技術(shù)領(lǐng)域的安全要求，于2019年5月10日正式出臺(tái)等保2.0（ GB/ T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》）替代了等保1.0，并于2019年12月1日正式全面推廣實(shí)施。等保2.0的發(fā)布實(shí)施，提出了更全面更廣泛的基本安全管理及防護(hù)要求的標(biāo)準(zhǔn)，是《中華人民共和國網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)的有效落地，是響應(yīng)習(xí)近平總書記提出的“自主創(chuàng)新推進(jìn)網(wǎng)絡(luò)強(qiáng)國建設(shè)”的貫徹落實(shí)。

二、等保2.0新要求

在等保2.0的新要求中，信息系統(tǒng)已經(jīng)向大數(shù)據(jù)、物聯(lián)網(wǎng)、云計(jì)算等方面擴(kuò)展，終端已不再是傳統(tǒng)的計(jì)算機(jī)終端，而是向廣義的終端概念延伸，可以說一切具有信息輸入或輸出及信息處理的裝置都可以稱為終端，如傳統(tǒng)計(jì)算機(jī)、打印機(jī)、智能終端、工控設(shè)備、充電樁、虛擬終端等。

在新技術(shù)新應(yīng)用方面，等保2.0在移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等四方面提出了新增的安全擴(kuò)展要求。

在防御層面方面，等保2.0更注重主動(dòng)防御，要求做到事前感知、事中處置、事后審計(jì)全過程的動(dòng)態(tài)保障措施。

在管理策略方面，等保2.0的管理策略從等保1.0中所要求的“自主定級(jí)、自主保護(hù)、監(jiān)督指導(dǎo)”向“明確等級(jí)、增強(qiáng)保護(hù)、常態(tài)監(jiān)督”的層面轉(zhuǎn)化。

在防控體系方面，等保2.0更注重構(gòu)建“偵攻防管控”的一體化綜合防控體系。

在管理對(duì)象方面，等保2.0描述的新對(duì)象囊括了大型互聯(lián)網(wǎng)企業(yè)、基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)、網(wǎng)站、大數(shù)據(jù)中心、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)系統(tǒng)、移動(dòng)互聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、公眾服務(wù)平臺(tái)等。

三、三級(jí)等保規(guī)劃

（一）總體框架設(shè)計(jì)

為了提高信息系統(tǒng)抵御安全風(fēng)險(xiǎn)的能力，全面增強(qiáng)網(wǎng)絡(luò)安全保障水平，同時(shí)滿足網(wǎng)絡(luò)安全法及網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0要求，滿足監(jiān)管機(jī)構(gòu)合規(guī)檢查，本文從網(wǎng)絡(luò)安全合規(guī)治理及安全責(zé)任落實(shí)角度出發(fā)，向信息系統(tǒng)管理單位提出基于私有云上的網(wǎng)絡(luò)安全等級(jí)保護(hù)應(yīng)用安全體系框架設(shè)計(jì)，主要包括安全管理、安全防護(hù)、安全服務(wù)三個(gè)方面開展符合性合規(guī)工作。

（二） 安全管理

私有云應(yīng)用系統(tǒng)安全管理一般涉及制度體系建設(shè)、機(jī)構(gòu)及人員管控、安全策略規(guī)劃、安全運(yùn)維管理方面。安全制度體系建設(shè)應(yīng)圍繞云機(jī)房物理環(huán)境管理、云平臺(tái)虛擬化安全運(yùn)維管理、安全人員管理、安全監(jiān)測(cè)預(yù)警管理、安全審計(jì)管理、配置管理、變更管理、應(yīng)急響應(yīng)及處置管理、數(shù)據(jù)備份及恢復(fù)管理、存儲(chǔ)介質(zhì)管理等，確保制度落實(shí)及執(zhí)行記錄工作；成立安全管理責(zé)任部門，設(shè)立各類安全崗位，明確崗位職責(zé)，落實(shí)網(wǎng)絡(luò)安全第一責(zé)任人，明確責(zé)任歸屬，并將內(nèi)部及第三方人員均納入人員管控范圍；按照等保2.0中關(guān)于通信網(wǎng)絡(luò)、區(qū)域邊界及計(jì)算環(huán)境的安全管理基本要求，定期更新信息系統(tǒng)安全策略；加強(qiáng)安全運(yùn)維管理，提升運(yùn)維人員安全意識(shí)及技能，利用防護(hù)、監(jiān)測(cè)、審計(jì)等手段做好運(yùn)維工作。

（三）安全防護(hù)

私有云平臺(tái)的互聯(lián)網(wǎng)邊界設(shè)置專業(yè)防火墻實(shí)現(xiàn)云平臺(tái)與互聯(lián)網(wǎng)的有效隔離，遵循最小化訪問控制原則設(shè)置訪問控制策略，達(dá)到防止未授權(quán)訪問的目的，限制未授權(quán)訪問流量；同時(shí)，部署抗DDOS（分布式拒絕服務(wù)攻擊）硬件設(shè)備或采購云清洗流量服務(wù)，以實(shí)現(xiàn)對(duì)來自互聯(lián)網(wǎng)各類拒絕服務(wù)流量攻擊的防護(hù)；此外，為實(shí)現(xiàn)信息系統(tǒng)的主動(dòng)防御，私有云結(jié)合等保2.0安全擴(kuò)展要求，云安全網(wǎng)絡(luò)架構(gòu)可增加以下安全規(guī)劃：

1.云防火墻

信息系統(tǒng)管理單位可以在私有云上部署虛擬化形態(tài)的云防火墻，管理員可對(duì)防火墻進(jìn)行便捷、高效的調(diào)配和擴(kuò)展，云防火墻應(yīng)可自動(dòng)識(shí)別公網(wǎng) IP 及關(guān)聯(lián)實(shí)例與綁定資產(chǎn)，支持應(yīng)用識(shí)別、入侵防御、內(nèi)容過濾、地址過濾等需求，同時(shí)還應(yīng)設(shè)置相應(yīng)的訪問控制策略及日志審計(jì)功能；如需遠(yuǎn)程運(yùn)維，則可考慮采用IPSEC VPN（基于IP安全協(xié)議的虛擬專網(wǎng)）、SSL VPN（基于安全套接字協(xié)議的虛擬專網(wǎng)）等以滿足企業(yè)日常維護(hù)管理的需求。

2.網(wǎng)站安全防護(hù)

虛擬化的Web應(yīng)用防火墻能幫助信息系統(tǒng)管理單位在云上快速部署上線，充分利用云的負(fù)載均衡及彈性的特點(diǎn)，通過KVM、VMware等虛擬化技術(shù)，實(shí)現(xiàn)多種防護(hù)，全面抵御各類Web安全威脅，免遭當(dāng)前和未來的安全侵害。

3.云堡壘機(jī)

信息系統(tǒng)管理單位可以以虛擬化形態(tài)在私有云上部署云堡壘機(jī)，實(shí)現(xiàn)賬號(hào)、策略、資產(chǎn)、審計(jì)等多方面的管理。云堡壘機(jī)應(yīng)支持Windows、Linux等主流操作系統(tǒng)、支持多種終端訪問協(xié)議及文件傳輸功能，通過審計(jì)用戶從登錄到注銷的整個(gè)操作流程，可監(jiān)視用戶在目標(biāo)設(shè)備上的所有敏感操作，以實(shí)現(xiàn)對(duì)安全事件的實(shí)時(shí)檢測(cè)和預(yù)警，從而進(jìn)一步提高私有云資源的管理效率，降低人為操作風(fēng)險(xiǎn)，實(shí)現(xiàn)統(tǒng)一的資源運(yùn)維管理和審計(jì)的目標(biāo)。

（四）安全服務(wù)

1.安全評(píng)估服務(wù)

信息系統(tǒng)管理單位應(yīng)定期組織檢查應(yīng)用系統(tǒng)以及操作系統(tǒng)的漏洞情況，并根據(jù)需要自定義檢測(cè)和掃描頻率，掃描工具應(yīng)及時(shí)更新漏洞庫，以覆蓋當(dāng)前網(wǎng)絡(luò)環(huán)境下的操作系統(tǒng)、數(shù)據(jù)庫、Web漏洞類型，依據(jù)網(wǎng)絡(luò)安全環(huán)境變化動(dòng)態(tài)更新，自動(dòng)識(shí)別云上存活資源，可設(shè)定預(yù)掃描、多線程掃描，低誤報(bào)率。此外，還應(yīng)選擇專業(yè)的滲透測(cè)試團(tuán)隊(duì)定期對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行滲透測(cè)試，及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)隱患。

2.安全監(jiān)測(cè)服務(wù)

為了開展對(duì)信息系統(tǒng)的安全監(jiān)測(cè)，實(shí)時(shí)識(shí)別網(wǎng)站漏洞、掛馬、篡改等安全隱患，信息系統(tǒng)管理單位可考慮采購安全監(jiān)測(cè)服務(wù)，對(duì)信息系統(tǒng)開展漏洞掃描、網(wǎng)頁掛馬監(jiān)測(cè)、網(wǎng)頁篡改監(jiān)測(cè)、釣魚監(jiān)測(cè)、敏感內(nèi)容監(jiān)測(cè)以及可用性監(jiān)測(cè)等服務(wù)，特別是在重點(diǎn)保障的時(shí)期，還需要采取發(fā)送短信、郵件等預(yù)警方式，及時(shí)掌握及時(shí)處置。

3.云清洗服務(wù)

為有效防御DDoS攻擊，信息系統(tǒng)管理單位可考慮采購云清洗服務(wù)，利用DNS智能牽引技術(shù)，實(shí)現(xiàn)對(duì)10G及以上大流量DDoS的攻擊防護(hù)，同時(shí)還可以抵御聯(lián)通、電信和BGP三條鏈路的大流量攻擊。由于運(yùn)營商提供的云清洗服務(wù)只可以清洗網(wǎng)絡(luò)內(nèi)部的攻擊流量，并且同一行業(yè)可能同時(shí)發(fā)生DDoS攻擊，因此帶寬和保護(hù)資源存在沖突隱患，對(duì)此，信息系統(tǒng)管理單位在選擇云清洗服務(wù)時(shí)還應(yīng)關(guān)注服務(wù)提供商的清洗能力是否足夠支撐突發(fā)情況的應(yīng)對(duì)，如采取線下本地防護(hù)加上云清洗服務(wù)的組合方式，可得到更完善的防護(hù)保障。

4.數(shù)據(jù)庫監(jiān)控與審計(jì)服務(wù)

采用數(shù)據(jù)庫監(jiān)控與審計(jì)服務(wù)，對(duì)數(shù)據(jù)庫訪問行為的詳細(xì)分析，可以實(shí)現(xiàn)性能監(jiān)控、風(fēng)險(xiǎn)告警、事中審計(jì)、事后追溯等需求，全面檢視數(shù)據(jù)庫安全情況，并提供事后追溯的依據(jù)。同時(shí)，信息系統(tǒng)管理單位還應(yīng)全面考慮數(shù)據(jù)庫的存儲(chǔ)、使用過程監(jiān)控、安全審計(jì)及加密防護(hù)等重點(diǎn)環(huán)節(jié)。

四、總結(jié)

在不同的應(yīng)用實(shí)例中，基于等保2.0的信息系統(tǒng)三級(jí)安全規(guī)劃不僅限于本文中描述內(nèi)容，信息系統(tǒng)管理單位還應(yīng)提倡“持續(xù)保護(hù)，不止合規(guī)”的等級(jí)保護(hù)核心價(jià)值觀，清晰劃分信息系統(tǒng)安全責(zé)任歸屬，按照等保2.0對(duì)安全監(jiān)測(cè)、預(yù)警、評(píng)估、審計(jì)等方面的管理要求，在實(shí)現(xiàn)基礎(chǔ)的安全能力的同時(shí)，進(jìn)一步實(shí)現(xiàn)安全可視能力、持續(xù)檢測(cè)能力以及協(xié)同防御能力，最終真正發(fā)揮等級(jí)保護(hù)制度帶來的價(jià)值與改變，保障信息系統(tǒng)安全穩(wěn)定地運(yùn)行。

作者單位：李尚智、蘇浩偉、林海汝 何澤欽 廣東農(nóng)產(chǎn)國際控股有限公司曹超生 廣東南方信息安全研究院