基于等保2.0的信息系統(tǒng)三級安全規(guī)劃的探討

李尚智 蘇浩偉 曹超生 林海汝 何澤欽

本文主要基于《信息安全技術網絡安全等級保護基本要求（GB/T 22239-2019）》（簡稱“等保2.0”）對部署在私有云上的信息系統(tǒng)進行三級安全規(guī)劃的探討，并按照等保2.0要求，設計了整體云安全規(guī)劃框架，從合規(guī)治理、防護監(jiān)控等角度出發(fā)，闡述滿足信息系統(tǒng)等保三級配套的基礎安全保障及措施。

（一）信息安全環(huán)境

當前，新應用新技術隨著信息技術的飛速發(fā)展而不斷涌現(xiàn)，大數(shù)據、物聯(lián)網、云計算等新技術廣泛應用已成為各行各業(yè)產業(yè)結構升級必不可少的環(huán)節(jié)。而其中，網絡和信息系統(tǒng)作為這些新技術的重要基礎，在整個經濟社會中具有舉足輕重的作用。而隨著信息技術的不斷發(fā)展，黑客技術對網絡及信息系統(tǒng)構成的威脅日益嚴峻，以致國家層面對網絡和信息安全的重視程度亦隨之提升。

由于傳統(tǒng)信息安全理念已難以適應當前新技術下的信息系統(tǒng)發(fā)展安全保障要求，國家將新業(yè)務形態(tài)及新系統(tǒng)形態(tài)下的應用、支撐新模式的服務、以及重要的資源和數(shù)據，進一步納入到等級保護的基本要求范圍。

（二）等保2.0出臺

回顧GB/T 22239-2008《信息安全技術信息安全等級保護基本要求》（簡稱“等保1.0”），已經不能滿足新技術新應用的基本要求，而且在風險評估、監(jiān)測預警、安全管控體系等方面也需要進行優(yōu)化，對此，國家結合當前新技術新應用的發(fā)展形勢，對等保1.0進行了修編，擴展了大數(shù)據、物聯(lián)網、云計算等新技術領域的安全要求，于2019年5月10日正式出臺等保2.0（ GB/ T 22239-2019《信息安全技術網絡安全等級保護基本要求》）替代了等保1.0，并于2019年12月1日正式全面推廣實施。等保2.0的發(fā)布實施，提出了更全面更廣泛的基本安全管理及防護要求的標準，是《中華人民共和國網絡安全法》等相關法律法規(guī)的有效落地，是響應習近平總書記提出的“自主創(chuàng)新推進網絡強國建設”的貫徹落實。

在等保2.0的新要求中，信息系統(tǒng)已經向大數(shù)據、物聯(lián)網、云計算等方面擴展，終端已不再是傳統(tǒng)的計算機終端，而是向廣義的終端概念延伸，可以說一切具有信息輸入或輸出及信息處理的裝置都可以稱為終端，如傳統(tǒng)計算機、打印機、智能終端、工控設備、充電樁、虛擬終端等。

在新技術新應用方面，等保2.0在移動互聯(lián)網、云計算、物聯(lián)網和工業(yè)控制系統(tǒng)等四方面提出了新增的安全擴展要求。

在防御層面方面，等保2.0更注重主動防御，要求做到事前感知、事中處置、事后審計全過程的動態(tài)保障措施。

在管理策略方面，等保2.0的管理策略從等保1.0中所要求的“自主定級、自主保護、監(jiān)督指導”向“明確等級、增強保護、常態(tài)監(jiān)督”的層面轉化。

在防控體系方面，等保2.0更注重構建“偵攻防管控”的一體化綜合防控體系。

在管理對象方面，等保2.0描述的新對象囊括了大型互聯(lián)網企業(yè)、基礎網絡、重要信息系統(tǒng)、網站、大數(shù)據中心、云計算平臺、物聯(lián)網系統(tǒng)、移動互聯(lián)網、工業(yè)控制系統(tǒng)、公眾服務平臺等。

（一）總體框架設計

為了提高信息系統(tǒng)抵御安全風險的能力，全面增強網絡安全保障水平，同時滿足網絡安全法及網絡安全等級保護2.0要求，滿足監(jiān)管機構合規(guī)檢查，本文從網絡安全合規(guī)治理及安全責任落實角度出發(fā)，向信息系統(tǒng)管理單位提出基于私有云上的網絡安全等級保護應用安全體系框架設計，主要包括安全管理、安全防護、安全服務三個方面開展符合性合規(guī)工作。

（二） 安全管理

私有云應用系統(tǒng)安全管理一般涉及制度體系建設、機構及人員管控、安全策略規(guī)劃、安全運維管理方面。安全制度體系建設應圍繞云機房物理環(huán)境管理、云平臺虛擬化安全運維管理、安全人員管理、安全監(jiān)測預警管理、安全審計管理、配置管理、變更管理、應急響應及處置管理、數(shù)據備份及恢復管理、存儲介質管理等，確保制度落實及執(zhí)行記錄工作；成立安全管理責任部門，設立各類安全崗位，明確崗位職責，落實網絡安全第一責任人，明確責任歸屬，并將內部及第三方人員均納入人員管控范圍；按照等保2.0中關于通信網絡、區(qū)域邊界及計算環(huán)境的安全管理基本要求，定期更新信息系統(tǒng)安全策略；加強安全運維管理，提升運維人員安全意識及技能，利用防護、監(jiān)測、審計等手段做好運維工作。

（三）安全防護

私有云平臺的互聯(lián)網邊界設置專業(yè)防火墻實現(xiàn)云平臺與互聯(lián)網的有效隔離，遵循最小化訪問控制原則設置訪問控制策略，達到防止未授權訪問的目的，限制未授權訪問流量；同時，部署抗DDOS（分布式拒絕服務攻擊）硬件設備或采購云清洗流量服務，以實現(xiàn)對來自互聯(lián)網各類拒絕服務流量攻擊的防護；此外，為實現(xiàn)信息系統(tǒng)的主動防御，私有云結合等保2.0安全擴展要求，云安全網絡架構可增加以下安全規(guī)劃：

1.云防火墻

信息系統(tǒng)管理單位可以在私有云上部署虛擬化形態(tài)的云防火墻，管理員可對防火墻進行便捷、高效的調配和擴展，云防火墻應可自動識別公網 IP 及關聯(lián)實例與綁定資產，支持應用識別、入侵防御、內容過濾、地址過濾等需求，同時還應設置相應的訪問控制策略及日志審計功能；如需遠程運維，則可考慮采用IPSEC VPN（基于IP安全協(xié)議的虛擬專網）、SSL VPN（基于安全套接字協(xié)議的虛擬專網）等以滿足企業(yè)日常維護管理的需求。

2.網站安全防護

虛擬化的Web應用防火墻能幫助信息系統(tǒng)管理單位在云上快速部署上線，充分利用云的負載均衡及彈性的特點，通過KVM、VMware等虛擬化技術，實現(xiàn)多種防護，全面抵御各類Web安全威脅，免遭當前和未來的安全侵害。

3.云堡壘機

信息系統(tǒng)管理單位可以以虛擬化形態(tài)在私有云上部署云堡壘機，實現(xiàn)賬號、策略、資產、審計等多方面的管理。云堡壘機應支持Windows、Linux等主流操作系統(tǒng)、支持多種終端訪問協(xié)議及文件傳輸功能，通過審計用戶從登錄到注銷的整個操作流程，可監(jiān)視用戶在目標設備上的所有敏感操作，以實現(xiàn)對安全事件的實時檢測和預警，從而進一步提高私有云資源的管理效率，降低人為操作風險，實現(xiàn)統(tǒng)一的資源運維管理和審計的目標。

（四）安全服務

1.安全評估服務

信息系統(tǒng)管理單位應定期組織檢查應用系統(tǒng)以及操作系統(tǒng)的漏洞情況，并根據需要自定義檢測和掃描頻率，掃描工具應及時更新漏洞庫，以覆蓋當前網絡環(huán)境下的操作系統(tǒng)、數(shù)據庫、Web漏洞類型，依據網絡安全環(huán)境變化動態(tài)更新，自動識別云上存活資源，可設定預掃描、多線程掃描，低誤報率。此外，還應選擇專業(yè)的滲透測試團隊定期對業(yè)務系統(tǒng)進行滲透測試，及時發(fā)現(xiàn)安全風險隱患。

2.安全監(jiān)測服務

為了開展對信息系統(tǒng)的安全監(jiān)測，實時識別網站漏洞、掛馬、篡改等安全隱患，信息系統(tǒng)管理單位可考慮采購安全監(jiān)測服務，對信息系統(tǒng)開展漏洞掃描、網頁掛馬監(jiān)測、網頁篡改監(jiān)測、釣魚監(jiān)測、敏感內容監(jiān)測以及可用性監(jiān)測等服務，特別是在重點保障的時期，還需要采取發(fā)送短信、郵件等預警方式，及時掌握及時處置。

3.云清洗服務

為有效防御DDoS攻擊，信息系統(tǒng)管理單位可考慮采購云清洗服務，利用DNS智能牽引技術，實現(xiàn)對10G及以上大流量DDoS的攻擊防護，同時還可以抵御聯(lián)通、電信和BGP三條鏈路的大流量攻擊。由于運營商提供的云清洗服務只可以清洗網絡內部的攻擊流量，并且同一行業(yè)可能同時發(fā)生DDoS攻擊，因此帶寬和保護資源存在沖突隱患，對此，信息系統(tǒng)管理單位在選擇云清洗服務時還應關注服務提供商的清洗能力是否足夠支撐突發(fā)情況的應對，如采取線下本地防護加上云清洗服務的組合方式，可得到更完善的防護保障。

4.數(shù)據庫監(jiān)控與審計服務

采用數(shù)據庫監(jiān)控與審計服務，對數(shù)據庫訪問行為的詳細分析，可以實現(xiàn)性能監(jiān)控、風險告警、事中審計、事后追溯等需求，全面檢視數(shù)據庫安全情況，并提供事后追溯的依據。同時，信息系統(tǒng)管理單位還應全面考慮數(shù)據庫的存儲、使用過程監(jiān)控、安全審計及加密防護等重點環(huán)節(jié)。

在不同的應用實例中，基于等保2.0的信息系統(tǒng)三級安全規(guī)劃不僅限于本文中描述內容，信息系統(tǒng)管理單位還應提倡“持續(xù)保護，不止合規(guī)”的等級保護核心價值觀，清晰劃分信息系統(tǒng)安全責任歸屬，按照等保2.0對安全監(jiān)測、預警、評估、審計等方面的管理要求，在實現(xiàn)基礎的安全能力的同時，進一步實現(xiàn)安全可視能力、持續(xù)檢測能力以及協(xié)同防御能力，最終真正發(fā)揮等級保護制度帶來的價值與改變，保障信息系統(tǒng)安全穩(wěn)定地運行。

作者單位：李尚智、蘇浩偉、林海汝 何澤欽 廣東農產國際控股有限公司 曹超生 廣東南方信息安全研究院