基于等保2.0的信息系統三級安全規劃的探討

李尚智 蘇浩偉 曹超生 林海汝 何澤欽

本文主要基于《信息安全技術網絡安全等級保護基本要求（GB/T 22239-2019）》（簡稱“等保2.0”）對部署在私有云上的信息系統進行三級安全規劃的探討，并按照等保2.0要求，設計了整體云安全規劃框架，從合規治理、防護監控等角度出發，闡述滿足信息系統等保三級配套的基礎安全保障及措施。

（一）信息安全環境

當前，新應用新技術隨著信息技術的飛速發展而不斷涌現，大數據、物聯網、云計算等新技術廣泛應用已成為各行各業產業結構升級必不可少的環節。而其中，網絡和信息系統作為這些新技術的重要基礎，在整個經濟社會中具有舉足輕重的作用。而隨著信息技術的不斷發展，黑客技術對網絡及信息系統構成的威脅日益嚴峻，以致國家層面對網絡和信息安全的重視程度亦隨之提升。

由于傳統信息安全理念已難以適應當前新技術下的信息系統發展安全保障要求，國家將新業務形態及新系統形態下的應用、支撐新模式的服務、以及重要的資源和數據，進一步納入到等級保護的基本要求范圍。

（二）等保2.0出臺

回顧GB/T 22239-2008《信息安全技術信息安全等級保護基本要求》（簡稱“等保1.0”），已經不能滿足新技術新應用的基本要求，而且在風險評估、監測預警、安全管控體系等方面也需要進行優化，對此，國家結合當前新技術新應用的發展形勢，對等保1.0進行了修編，擴展了大數據、物聯網、云計算等新技術領域的安全要求，于2019年5月10日正式出臺等保2.0（ GB/ T 22239-2019《信息安全技術網絡安全等級保護基本要求》）替代了等保1.0，并于2019年12月1日正式全面推廣實施。等保2.0的發布實施，提出了更全面更廣泛的基本安全管理及防護要求的標準，是《中華人民共和國網絡安全法》等相關法律法規的有效落地，是響應習近平總書記提出的“自主創新推進網絡強國建設”的貫徹落實。

在等保2.0的新要求中，信息系統已經向大數據、物聯網、云計算等方面擴展，終端已不再是傳統的計算機終端，而是向廣義的終端概念延伸，可以說一切具有信息輸入或輸出及信息處理的裝置都可以稱為終端，如傳統計算機、打印機、智能終端、工控設備、充電樁、虛擬終端等。

在新技術新應用方面，等保2.0在移動互聯網、云計算、物聯網和工業控制系統等四方面提出了新增的安全擴展要求。

在防御層面方面，等保2.0更注重主動防御，要求做到事前感知、事中處置、事后審計全過程的動態保障措施。

在管理策略方面，等保2.0的管理策略從等保1.0中所要求的“自主定級、自主保護、監督指導”向“明確等級、增強保護、常態監督”的層面轉化。

在防控體系方面，等保2.0更注重構建“偵攻防管控”的一體化綜合防控體系。

在管理對象方面，等保2.0描述的新對象囊括了大型互聯網企業、基礎網絡、重要信息系統、網站、大數據中心、云計算平臺、物聯網系統、移動互聯網、工業控制系統、公眾服務平臺等。

（一）總體框架設計

為了提高信息系統抵御安全風險的能力，全面增強網絡安全保障水平，同時滿足網絡安全法及網絡安全等級保護2.0要求，滿足監管機構合規檢查，本文從網絡安全合規治理及安全責任落實角度出發，向信息系統管理單位提出基于私有云上的網絡安全等級保護應用安全體系框架設計，主要包括安全管理、安全防護、安全服務三個方面開展符合性合規工作。

（二） 安全管理

私有云應用系統安全管理一般涉及制度體系建設、機構及人員管控、安全策略規劃、安全運維管理方面。安全制度體系建設應圍繞云機房物理環境管理、云平臺虛擬化安全運維管理、安全人員管理、安全監測預警管理、安全審計管理、配置管理、變更管理、應急響應及處置管理、數據備份及恢復管理、存儲介質管理等，確保制度落實及執行記錄工作；成立安全管理責任部門，設立各類安全崗位，明確崗位職責，落實網絡安全第一責任人，明確責任歸屬，并將內部及第三方人員均納入人員管控范圍；按照等保2.0中關于通信網絡、區域邊界及計算環境的安全管理基本要求，定期更新信息系統安全策略；加強安全運維管理，提升運維人員安全意識及技能，利用防護、監測、審計等手段做好運維工作。

（三）安全防護

私有云平臺的互聯網邊界設置專業防火墻實現云平臺與互聯網的有效隔離，遵循最小化訪問控制原則設置訪問控制策略，達到防止未授權訪問的目的，限制未授權訪問流量；同時，部署抗DDOS（分布式拒絕服務攻擊）硬件設備或采購云清洗流量服務，以實現對來自互聯網各類拒絕服務流量攻擊的防護；此外，為實現信息系統的主動防御，私有云結合等保2.0安全擴展要求，云安全網絡架構可增加以下安全規劃：

1.云防火墻

信息系統管理單位可以在私有云上部署虛擬化形態的云防火墻，管理員可對防火墻進行便捷、高效的調配和擴展，云防火墻應可自動識別公網 IP 及關聯實例與綁定資產，支持應用識別、入侵防御、內容過濾、地址過濾等需求，同時還應設置相應的訪問控制策略及日志審計功能；如需遠程運維，則可考慮采用IPSEC VPN（基于IP安全協議的虛擬專網）、SSL VPN（基于安全套接字協議的虛擬專網）等以滿足企業日常維護管理的需求。

2.網站安全防護

虛擬化的Web應用防火墻能幫助信息系統管理單位在云上快速部署上線，充分利用云的負載均衡及彈性的特點，通過KVM、VMware等虛擬化技術，實現多種防護，全面抵御各類Web安全威脅，免遭當前和未來的安全侵害。

3.云堡壘機

信息系統管理單位可以以虛擬化形態在私有云上部署云堡壘機，實現賬號、策略、資產、審計等多方面的管理。云堡壘機應支持Windows、Linux等主流操作系統、支持多種終端訪問協議及文件傳輸功能，通過審計用戶從登錄到注銷的整個操作流程，可監視用戶在目標設備上的所有敏感操作，以實現對安全事件的實時檢測和預警，從而進一步提高私有云資源的管理效率，降低人為操作風險，實現統一的資源運維管理和審計的目標。

（四）安全服務

1.安全評估服務

信息系統管理單位應定期組織檢查應用系統以及操作系統的漏洞情況，并根據需要自定義檢測和掃描頻率，掃描工具應及時更新漏洞庫，以覆蓋當前網絡環境下的操作系統、數據庫、Web漏洞類型，依據網絡安全環境變化動態更新，自動識別云上存活資源，可設定預掃描、多線程掃描，低誤報率。此外，還應選擇專業的滲透測試團隊定期對業務系統進行滲透測試，及時發現安全風險隱患。

2.安全監測服務

為了開展對信息系統的安全監測，實時識別網站漏洞、掛馬、篡改等安全隱患，信息系統管理單位可考慮采購安全監測服務，對信息系統開展漏洞掃描、網頁掛馬監測、網頁篡改監測、釣魚監測、敏感內容監測以及可用性監測等服務，特別是在重點保障的時期，還需要采取發送短信、郵件等預警方式，及時掌握及時處置。

3.云清洗服務

為有效防御DDoS攻擊，信息系統管理單位可考慮采購云清洗服務，利用DNS智能牽引技術，實現對10G及以上大流量DDoS的攻擊防護，同時還可以抵御聯通、電信和BGP三條鏈路的大流量攻擊。由于運營商提供的云清洗服務只可以清洗網絡內部的攻擊流量，并且同一行業可能同時發生DDoS攻擊，因此帶寬和保護資源存在沖突隱患，對此，信息系統管理單位在選擇云清洗服務時還應關注服務提供商的清洗能力是否足夠支撐突發情況的應對，如采取線下本地防護加上云清洗服務的組合方式，可得到更完善的防護保障。

4.數據庫監控與審計服務

采用數據庫監控與審計服務，對數據庫訪問行為的詳細分析，可以實現性能監控、風險告警、事中審計、事后追溯等需求，全面檢視數據庫安全情況，并提供事后追溯的依據。同時，信息系統管理單位還應全面考慮數據庫的存儲、使用過程監控、安全審計及加密防護等重點環節。

在不同的應用實例中，基于等保2.0的信息系統三級安全規劃不僅限于本文中描述內容，信息系統管理單位還應提倡“持續保護，不止合規”的等級保護核心價值觀，清晰劃分信息系統安全責任歸屬，按照等保2.0對安全監測、預警、評估、審計等方面的管理要求，在實現基礎的安全能力的同時，進一步實現安全可視能力、持續檢測能力以及協同防御能力，最終真正發揮等級保護制度帶來的價值與改變，保障信息系統安全穩定地運行。

作者單位：李尚智、蘇浩偉、林海汝 何澤欽 廣東農產國際控股有限公司 曹超生 廣東南方信息安全研究院