等保2.0安全管理中心要求解讀
2019年07月16日
等保2.0的核心
今年5月,隨著《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GBT22239-2019)的公布��,宣告等保2.0時代正式開啟,并將于2019年12月1日正式實(shí)施�。也就意味著����,到今年年底,所有的信息系統(tǒng)�,只要對外的,就要做定級備案���,對于重要系統(tǒng)同時還要定為關(guān)鍵信息基礎(chǔ)設(shè)施���,在等保之上還要滿足《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》的要求。而等保中新增的個人信息保護(hù)中���,也要滿足《互聯(lián)網(wǎng)個人信息安全保護(hù)指引》的要求���,對于漏洞也應(yīng)參考《網(wǎng)絡(luò)安全漏洞管理規(guī)定》要求。
標(biāo)準(zhǔn)的東西其實(shí)不是硬性規(guī)定���,其具備靈活性����,同樣一條標(biāo)準(zhǔn)可以通過不同方式來實(shí)現(xiàn),完全可以結(jié)合企業(yè)自身環(huán)境特點(diǎn)來應(yīng)對�,我一直以來的原則是做好安全的過程中順便將合規(guī)一起做掉,而不是為了應(yīng)付檢查而被動的去對標(biāo)標(biāo)準(zhǔn)做合規(guī)�。而且,做安全也不要太局限于技術(shù)層面���,管理其實(shí)更為重要���,這就是為何等保中有技術(shù)也有管理的原因。
國家網(wǎng)絡(luò)安全工作規(guī)劃是:一個中心�����,三重防護(hù)��。對應(yīng)到等2中即安全管理中心�、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界���、安全計(jì)算環(huán)境(物理環(huán)境安全屬于獨(dú)立科目)��,此外網(wǎng)安法中要求系統(tǒng)建設(shè)必須做到三同步���,即同步規(guī)劃����、同步建設(shè)�、同步使用。
網(wǎng)絡(luò)安全三同步
《網(wǎng)安法》第三十三條規(guī)定:
建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定����、持續(xù)運(yùn)行的性能�,并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)����、同步使用。
1. 同步規(guī)劃
在業(yè)務(wù)規(guī)劃的階段���,應(yīng)當(dāng)同步納入安全要求��,引入安全措施����。如同步建立信息資產(chǎn)管理情況檢查機(jī)制���,指定專人負(fù)責(zé)信息資產(chǎn)管理�����,對信息資產(chǎn)進(jìn)行統(tǒng)一編號�����、統(tǒng)一標(biāo)識�、 統(tǒng)一發(fā)放,并及時記錄信息資產(chǎn)狀態(tài)和使用情況等安全保障措施��。
2. 同步建設(shè)
在項(xiàng)目建設(shè)階段�,通過合同條款落實(shí)設(shè)備供應(yīng)商、廠商和其他合作方的責(zé)任����,保證相關(guān)安全技術(shù)措施的順利準(zhǔn)時建設(shè)。保證項(xiàng)目上線時�,安全措施的驗(yàn)收和工程驗(yàn)收同步,外包開發(fā)的系統(tǒng)需要進(jìn)行上線前安全檢測�����,確保只有符合安全要求的系統(tǒng)才能上線����。
3. 同步使用
安全驗(yàn)收后的日常運(yùn)營維護(hù)中��,應(yīng)當(dāng)保持系統(tǒng)處于持續(xù)安全防護(hù)水平�,且運(yùn)營者每年對關(guān)鍵信息基礎(chǔ)設(shè)施需要進(jìn)行一次安全檢測評估�。
本文主要針對“一個中心,三重防護(hù)”中的中心�����,聊聊這個概念以及相應(yīng)的要求��。
安全管理中心
本控制項(xiàng)為等級保護(hù)標(biāo)準(zhǔn)技術(shù)部分核心�����,名稱雖然看著像管理���,但實(shí)際歸為技術(shù)部分。本項(xiàng)主要包括系統(tǒng)管理����、審計(jì)管理、安全管理和集中管控四個控制點(diǎn)���,其中的集中管控可以說是重中之重���,主要都是圍繞它來展開的�����。
8.1.5 安全管理中心 8.1.5.1 系統(tǒng)管理 a) 應(yīng)對系統(tǒng)管理員進(jìn)行身份鑒別�,只允許其通過特定的命令或操作界面進(jìn)行系統(tǒng)管理操作����,并對這些操作進(jìn)行審計(jì); b) 應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理���,包括用戶身份���、系統(tǒng)資源配置、系統(tǒng)加載和啟動����、系統(tǒng)運(yùn)行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等�����。 8.1.5.2 審計(jì)管理 a) 應(yīng)對審計(jì)管理員進(jìn)行身份鑒別,只允許其通過特定的命令或操作界面進(jìn)行安全審計(jì)操作�,并對這些操作進(jìn)行審計(jì); b) 應(yīng)通過審計(jì)管理員對審計(jì)記錄應(yīng)進(jìn)行分析,并根據(jù)分析結(jié)果進(jìn)行處理�,包括根據(jù)安全審計(jì)策略對審計(jì)記錄進(jìn)行存儲、管理和查詢等���。 8.1.5.3 安全管理 a) 應(yīng)對安全管理員進(jìn)行身份鑒別����,只允許其通過特定的命令或操作界面進(jìn)行安全管理操作����,并對這些操作進(jìn)行審計(jì); b) 應(yīng)通過安全管理員對系統(tǒng)中的安全策略進(jìn)行配置,包括安全參數(shù)的設(shè)置�,主體����、客體進(jìn)行統(tǒng)一安全標(biāo)記,對主體進(jìn)行授權(quán)�,配置可信驗(yàn)證策略等。 8.1.5.4 集中管控 a) 應(yīng)劃分出特定的管理區(qū)域��,對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控; b) 應(yīng)能夠建立一條安全的信息傳輸路徑�,對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理; c) 應(yīng)對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測; d) 應(yīng)對分散在各個設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析�,并保證審計(jì)記錄的留存時間符合法律法規(guī)要求; e) 應(yīng)對安全策略、惡意代碼���、補(bǔ)丁升級等安全相關(guān)事項(xiàng)進(jìn)行集中管理; f) 應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別�����、報(bào)警和分析�。 |
主要的檢查點(diǎn)包括:系統(tǒng)��、審計(jì)��、安全管理�。
為何將這三部分放到一起來說?從標(biāo)準(zhǔn)的要求項(xiàng)可以看出,描述基本一致�����,只是針對三個崗位來說的��,這里的三個崗位并不是網(wǎng)絡(luò)安全中常說的三員�����,這里沒有加入網(wǎng)絡(luò)管理員,而是把審計(jì)管理員加了進(jìn)來���,可以看出國標(biāo)對審計(jì)的重視程度���。
系統(tǒng)管理員身份鑒別(也適用于審計(jì)和安全管理員),說起來可以是大事也可以是小事���,標(biāo)準(zhǔn)沒具體說要如何來鑒別����,按照對標(biāo)準(zhǔn)的理解來看�����,最起碼要做到的就是雙因子驗(yàn)證���,這是最基本的�����,也就是說賬戶密碼方式算一種(也可以像手機(jī)這種針對唯一設(shè)備的隨機(jī)驗(yàn)證碼)、堡壘機(jī)算一種����、4A認(rèn)證授權(quán)算一種���、指紋和面部等生物識別算一種、聲控�����、身份密鑰(可插拔U-Key或是卡片)算一種��,諸如此類的選其中兩種組合都可以��。但是跳板機(jī)登陸后再用管理員身份登錄系統(tǒng)����,這種不算雙因素,這是同一種鑒別方式用了兩次��,不要混淆雙因素的含義���。
系統(tǒng)管理員的權(quán)限控制��,這里只說技術(shù)層面不展開講流程管理的內(nèi)容����。要求只允許特定的命令或操作界面來管理,并對操作進(jìn)行審計(jì)����。兩點(diǎn)要求,至于特定命令這條���,理解有些出入���,也許適用一些定制化的自研系統(tǒng),不過這里用的是或���,也就是說只要有后臺登錄界面供管理員登錄�,不要隨便就能進(jìn)入后臺即可��,而且管理員所有操作都要記錄�,可以查詢。
此外的一項(xiàng)要求����,則是對于系統(tǒng)的一些關(guān)鍵性操作(參考原文),都要由系統(tǒng)管理員來操作��,也就是只有管理員有權(quán)限做這些操作���,而且管理員一般只有一個賬戶��,其他用戶沒有相關(guān)權(quán)限進(jìn)行此類操作���。這點(diǎn)要再系統(tǒng)開發(fā)時就針對性設(shè)計(jì),尤其對于外包的系統(tǒng)��。
審計(jì)管理員主要職責(zé)在于審計(jì)分析���,具體分析什么要根據(jù)企業(yè)實(shí)際情況��,不過重點(diǎn)是記錄的存儲���、管理和查詢,即日志留存和保護(hù)工作����,這點(diǎn)也是老生常談,6個月全流量全操作日志�,可查詢,有備份��,有完整性保護(hù)�����,避免被修改等等。
安全管理員主要負(fù)責(zé)安全策略的配置�����,參數(shù)設(shè)置���,安全標(biāo)記(非強(qiáng)制要求)�,授權(quán)以及安全配置檢查和保存等��。這里指說了一部分要求的內(nèi)容����,實(shí)際中企業(yè)安全部門要管的事情很多。
總之����,這6點(diǎn)主要強(qiáng)調(diào)的是具有權(quán)限的用戶的特權(quán)管理及審計(jì)工作。為何要強(qiáng)調(diào)特權(quán)賬戶管理?做過安全的應(yīng)該都了解���,黑客利用漏洞進(jìn)來�,搞事情之前首先要提權(quán),拿到管理員權(quán)限后才可以為所欲為�����,因此要對這些賬戶進(jìn)行必要的保護(hù)����。對此�,Gartner給出了一些控制建議:
對特權(quán)賬號的訪問控制功能,包括共享賬號和應(yīng)急賬號;
監(jiān)控��、記錄和審計(jì)特權(quán)訪問操作�、命令和動作;
自動地對各種管理類、服務(wù)類和應(yīng)用類賬戶的密碼及其它憑據(jù)進(jìn)行隨機(jī)化�、管理和保管;
為特權(quán)指令的執(zhí)行提供一種安全的單點(diǎn)登錄(SSO)機(jī)制;
委派、控制和過濾管理員所能執(zhí)行的特權(quán)操作;
隱藏應(yīng)用和服務(wù)的賬戶���,讓使用者不用掌握這些賬戶實(shí)際的密碼;
具備或者能夠集成高可信認(rèn)證方式����,譬如集成 MFA(Multi-Factor Authentication�����,多因子認(rèn)證)。
本控制點(diǎn)主要適用于甲方管理員日常工作職責(zé)���,也涵蓋系統(tǒng)開發(fā)的研發(fā)部門或外包服務(wù)商�����,做好三同步工作�,設(shè)計(jì)階段就把相關(guān)合規(guī)要求涵蓋其中����。
對于乙方,涉及到產(chǎn)品的����,可以從合規(guī)角度出發(fā)設(shè)計(jì),滿足網(wǎng)安法三同步的要求���,另外Gartner十大安全項(xiàng)目的第一項(xiàng)就是對于特權(quán)賬戶的管理�,同時涵蓋審計(jì)在內(nèi)�,這兩點(diǎn)就將產(chǎn)品設(shè)計(jì)理念提升了一定的高度。但從實(shí)際角度來看�����,更多的還是技術(shù)手段配合管理來做才有效果。
2. 集中管控
針對安全設(shè)備和安全組件�,將其管理接口和數(shù)據(jù)單獨(dú)劃分到一個區(qū)域中,與生產(chǎn)網(wǎng)分離�,實(shí)現(xiàn)獨(dú)立且集中的管理。大部分安全設(shè)備都有管理接口�����,其他功能接口不具備管理功能���,也不涉及IP地址,這里要求就是將此類管理接口統(tǒng)一匯總到一個Vlan內(nèi)(比如所有設(shè)備管理口都只能由堡壘機(jī)進(jìn)行登錄����,堡壘機(jī)單獨(dú)劃分在一個管理Vlan中)。
實(shí)際應(yīng)用案例就是帶外管理���。帶外網(wǎng)管是指通過專門的網(wǎng)管通道實(shí)現(xiàn)對網(wǎng)絡(luò)的管理����,將網(wǎng)管數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)分開��,為網(wǎng)管數(shù)據(jù)建立獨(dú)立通道��。在這個通道中,只傳輸管理數(shù)據(jù)����、統(tǒng)計(jì)信息、計(jì)費(fèi)信息等�����,網(wǎng)管數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)分離��,可以提高網(wǎng)管的效率與可靠性�����,也有利于提高網(wǎng)管數(shù)據(jù)的安全性�。由于帶外網(wǎng)管提供了訪問設(shè)備的通道,因此可以把通過網(wǎng)絡(luò)訪問設(shè)備(Telnet等方式)方式進(jìn)行嚴(yán)格限制���,可以降低網(wǎng)絡(luò)安全隱患��。比如限定特定的IP地址才可以通過Telnet訪問設(shè)備���。大部分的訪問均通過帶外網(wǎng)管系統(tǒng)進(jìn)行,可以把整個IT環(huán)境設(shè)備的訪問統(tǒng)一到帶外網(wǎng)管系統(tǒng)�����。與傳統(tǒng)的設(shè)備管理各自為政不同,通過帶外網(wǎng)管可以很容易做到不同用戶名登錄對應(yīng)不同設(shè)備管理權(quán)限�,一個IT TEAM可以根據(jù)各個人員職責(zé)不同進(jìn)行授權(quán)。
了解了上述集中管控理念之后���,對接下來的幾點(diǎn)也就比較容易理解和實(shí)現(xiàn)了�。比如安全的信息傳輸路徑(SSH�、HTTPS、VPN等);對鏈路��、設(shè)備和服務(wù)器運(yùn)行狀況進(jìn)行監(jiān)控并能夠告警(堡壘機(jī)���、網(wǎng)絡(luò)監(jiān)控平臺等);設(shè)備上的審計(jì)(日志服務(wù)器、日志管理平臺等)����,這里啰嗦一句,不但要有策略配置����,而且要合理有效并且為啟用狀態(tài);策略、惡意代碼���、補(bǔ)丁升級集中管理(漏洞統(tǒng)一管理平臺)��,至少要包括所述的三者進(jìn)行集中管控;安全事件的識別�����、報(bào)警和分析(態(tài)勢感知平臺�、IDPS、FW等���,可以是平臺也可以是應(yīng)急響應(yīng)團(tuán)隊(duì))�。
聽起來都放到一起就是SOC�����,但官方表示并不是建議廠商去推SOC平臺����,這其中要求的每一項(xiàng)能做到獨(dú)立的集中管控即可,如果有能力集成到一個大平臺那更好����。
本控制點(diǎn)偏向日常安全運(yùn)維,主要包括集中管理區(qū)域��、策略管理、漏洞管理�����、日志管理���、安全事件管理�����。單獨(dú)來看���,每項(xiàng)都有對應(yīng)的產(chǎn)品。建議一步步來建設(shè)安全能力���,不要一上來就忙著搭建SOC。由于是標(biāo)準(zhǔn)中新增要求項(xiàng)�,需要一些時間才會有比較完善的解決方案或產(chǎn)品。
標(biāo)準(zhǔn)中提到的對于資產(chǎn)�����、漏洞的集中管控����,中國市場上也已經(jīng)有很多成熟的解決方案能夠完美契合其中的要求����。
江蘇國駿為您提供全面可信的信息安全服務(wù)
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
長按二維碼關(guān)注我們
