等保2.0安全管理中心要求解讀
2019年07月16日
等保2.0的核心
今年5月��,隨著《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》(GBT22239-2019)的公布,宣告等保2.0時代正式開啟��,并將于2019年12月1日正式實施�。也就意味著,到今年年底,所有的信息系統(tǒng)����,只要對外的,就要做定級備案�,對于重要系統(tǒng)同時還要定為關(guān)鍵信息基礎(chǔ)設(shè)施,在等保之上還要滿足《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》的要求����。而等保中新增的個人信息保護中,也要滿足《互聯(lián)網(wǎng)個人信息安全保護指引》的要求�����,對于漏洞也應(yīng)參考《網(wǎng)絡(luò)安全漏洞管理規(guī)定》要求��。
標準的東西其實不是硬性規(guī)定�,其具備靈活性,同樣一條標準可以通過不同方式來實現(xiàn)�����,完全可以結(jié)合企業(yè)自身環(huán)境特點來應(yīng)對���,我一直以來的原則是做好安全的過程中順便將合規(guī)一起做掉,而不是為了應(yīng)付檢查而被動的去對標標準做合規(guī)。而且��,做安全也不要太局限于技術(shù)層面�,管理其實更為重要,這就是為何等保中有技術(shù)也有管理的原因���。
國家網(wǎng)絡(luò)安全工作規(guī)劃是:一個中心����,三重防護�����。對應(yīng)到等2中即安全管理中心���、安全通信網(wǎng)絡(luò)��、安全區(qū)域邊界�、安全計算環(huán)境(物理環(huán)境安全屬于獨立科目)�,此外網(wǎng)安法中要求系統(tǒng)建設(shè)必須做到三同步,即同步規(guī)劃�����、同步建設(shè)、同步使用�。
網(wǎng)絡(luò)安全三同步
《網(wǎng)安法》第三十三條規(guī)定:
建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運行的性能��,并保證安全技術(shù)措施同步規(guī)劃��、同步建設(shè)�����、同步使用���。
1. 同步規(guī)劃
在業(yè)務(wù)規(guī)劃的階段����,應(yīng)當同步納入安全要求����,引入安全措施。如同步建立信息資產(chǎn)管理情況檢查機制�,指定專人負責信息資產(chǎn)管理,對信息資產(chǎn)進行統(tǒng)一編號����、統(tǒng)一標識��、 統(tǒng)一發(fā)放��,并及時記錄信息資產(chǎn)狀態(tài)和使用情況等安全保障措施。
2. 同步建設(shè)
在項目建設(shè)階段�����,通過合同條款落實設(shè)備供應(yīng)商����、廠商和其他合作方的責任,保證相關(guān)安全技術(shù)措施的順利準時建設(shè)����。保證項目上線時,安全措施的驗收和工程驗收同步����,外包開發(fā)的系統(tǒng)需要進行上線前安全檢測,確保只有符合安全要求的系統(tǒng)才能上線�。
3. 同步使用
安全驗收后的日常運營維護中,應(yīng)當保持系統(tǒng)處于持續(xù)安全防護水平����,且運營者每年對關(guān)鍵信息基礎(chǔ)設(shè)施需要進行一次安全檢測評估�。
本文主要針對“一個中心��,三重防護”中的中心���,聊聊這個概念以及相應(yīng)的要求�。
安全管理中心
本控制項為等級保護標準技術(shù)部分核心�����,名稱雖然看著像管理����,但實際歸為技術(shù)部分。本項主要包括系統(tǒng)管理�、審計管理、安全管理和集中管控四個控制點���,其中的集中管控可以說是重中之重��,主要都是圍繞它來展開的�。
8.1.5 安全管理中心 8.1.5.1 系統(tǒng)管理 a) 應(yīng)對系統(tǒng)管理員進行身份鑒別�����,只允許其通過特定的命令或操作界面進行系統(tǒng)管理操作,并對這些操作進行審計; b) 應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置��、控制和管理��,包括用戶身份��、系統(tǒng)資源配置����、系統(tǒng)加載和啟動��、系統(tǒng)運行的異常處理�、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等。 8.1.5.2 審計管理 a) 應(yīng)對審計管理員進行身份鑒別�����,只允許其通過特定的命令或操作界面進行安全審計操作���,并對這些操作進行審計; b) 應(yīng)通過審計管理員對審計記錄應(yīng)進行分析�,并根據(jù)分析結(jié)果進行處理����,包括根據(jù)安全審計策略對審計記錄進行存儲����、管理和查詢等����。 8.1.5.3 安全管理 a) 應(yīng)對安全管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行安全管理操作����,并對這些操作進行審計; b) 應(yīng)通過安全管理員對系統(tǒng)中的安全策略進行配置,包括安全參數(shù)的設(shè)置�����,主體���、客體進行統(tǒng)一安全標記��,對主體進行授權(quán)�,配置可信驗證策略等�����。 8.1.5.4 集中管控 a) 應(yīng)劃分出特定的管理區(qū)域�,對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管控; b) 應(yīng)能夠建立一條安全的信息傳輸路徑����,對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管理; c) 應(yīng)對網(wǎng)絡(luò)鏈路�����、安全設(shè)備���、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運行狀況進行集中監(jiān)測; d) 應(yīng)對分散在各個設(shè)備上的審計數(shù)據(jù)進行收集匯總和集中分析���,并保證審計記錄的留存時間符合法律法規(guī)要求; e) 應(yīng)對安全策略�、惡意代碼、補丁升級等安全相關(guān)事項進行集中管理; f) 應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進行識別�����、報警和分析����。 |
主要的檢查點包括:系統(tǒng)、審計����、安全管理��。
為何將這三部分放到一起來說?從標準的要求項可以看出����,描述基本一致���,只是針對三個崗位來說的�,這里的三個崗位并不是網(wǎng)絡(luò)安全中常說的三員�,這里沒有加入網(wǎng)絡(luò)管理員,而是把審計管理員加了進來����,可以看出國標對審計的重視程度。
系統(tǒng)管理員身份鑒別(也適用于審計和安全管理員)����,說起來可以是大事也可以是小事,標準沒具體說要如何來鑒別�,按照對標準的理解來看,最起碼要做到的就是雙因子驗證�,這是最基本的,也就是說賬戶密碼方式算一種(也可以像手機這種針對唯一設(shè)備的隨機驗證碼)�、堡壘機算一種、4A認證授權(quán)算一種、指紋和面部等生物識別算一種�、聲控、身份密鑰(可插拔U-Key或是卡片)算一種��,諸如此類的選其中兩種組合都可以�。但是跳板機登陸后再用管理員身份登錄系統(tǒng),這種不算雙因素����,這是同一種鑒別方式用了兩次,不要混淆雙因素的含義�����。
系統(tǒng)管理員的權(quán)限控制��,這里只說技術(shù)層面不展開講流程管理的內(nèi)容���。要求只允許特定的命令或操作界面來管理,并對操作進行審計�。兩點要求,至于特定命令這條����,理解有些出入,也許適用一些定制化的自研系統(tǒng),不過這里用的是或����,也就是說只要有后臺登錄界面供管理員登錄,不要隨便就能進入后臺即可��,而且管理員所有操作都要記錄���,可以查詢����。
此外的一項要求�,則是對于系統(tǒng)的一些關(guān)鍵性操作(參考原文),都要由系統(tǒng)管理員來操作����,也就是只有管理員有權(quán)限做這些操作,而且管理員一般只有一個賬戶����,其他用戶沒有相關(guān)權(quán)限進行此類操作。這點要再系統(tǒng)開發(fā)時就針對性設(shè)計��,尤其對于外包的系統(tǒng)�����。
審計管理員主要職責在于審計分析,具體分析什么要根據(jù)企業(yè)實際情況�����,不過重點是記錄的存儲��、管理和查詢����,即日志留存和保護工作,這點也是老生常談�,6個月全流量全操作日志,可查詢��,有備份�,有完整性保護,避免被修改等等�。
安全管理員主要負責安全策略的配置,參數(shù)設(shè)置�,安全標記(非強制要求)���,授權(quán)以及安全配置檢查和保存等�。這里指說了一部分要求的內(nèi)容,實際中企業(yè)安全部門要管的事情很多�����。
總之���,這6點主要強調(diào)的是具有權(quán)限的用戶的特權(quán)管理及審計工作��。為何要強調(diào)特權(quán)賬戶管理?做過安全的應(yīng)該都了解����,黑客利用漏洞進來����,搞事情之前首先要提權(quán),拿到管理員權(quán)限后才可以為所欲為���,因此要對這些賬戶進行必要的保護��。對此���,Gartner給出了一些控制建議:
對特權(quán)賬號的訪問控制功能,包括共享賬號和應(yīng)急賬號;
監(jiān)控�����、記錄和審計特權(quán)訪問操作、命令和動作;
自動地對各種管理類�、服務(wù)類和應(yīng)用類賬戶的密碼及其它憑據(jù)進行隨機化、管理和保管;
為特權(quán)指令的執(zhí)行提供一種安全的單點登錄(SSO)機制;
委派����、控制和過濾管理員所能執(zhí)行的特權(quán)操作;
隱藏應(yīng)用和服務(wù)的賬戶,讓使用者不用掌握這些賬戶實際的密碼;
具備或者能夠集成高可信認證方式��,譬如集成 MFA(Multi-Factor Authentication����,多因子認證)。
本控制點主要適用于甲方管理員日常工作職責�����,也涵蓋系統(tǒng)開發(fā)的研發(fā)部門或外包服務(wù)商�����,做好三同步工作�,設(shè)計階段就把相關(guān)合規(guī)要求涵蓋其中。
對于乙方�,涉及到產(chǎn)品的,可以從合規(guī)角度出發(fā)設(shè)計����,滿足網(wǎng)安法三同步的要求,另外Gartner十大安全項目的第一項就是對于特權(quán)賬戶的管理��,同時涵蓋審計在內(nèi)�����,這兩點就將產(chǎn)品設(shè)計理念提升了一定的高度��。但從實際角度來看��,更多的還是技術(shù)手段配合管理來做才有效果�。
2. 集中管控
針對安全設(shè)備和安全組件,將其管理接口和數(shù)據(jù)單獨劃分到一個區(qū)域中���,與生產(chǎn)網(wǎng)分離��,實現(xiàn)獨立且集中的管理��。大部分安全設(shè)備都有管理接口��,其他功能接口不具備管理功能���,也不涉及IP地址����,這里要求就是將此類管理接口統(tǒng)一匯總到一個Vlan內(nèi)(比如所有設(shè)備管理口都只能由堡壘機進行登錄�,堡壘機單獨劃分在一個管理Vlan中)。
實際應(yīng)用案例就是帶外管理��。帶外網(wǎng)管是指通過專門的網(wǎng)管通道實現(xiàn)對網(wǎng)絡(luò)的管理����,將網(wǎng)管數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)分開,為網(wǎng)管數(shù)據(jù)建立獨立通道���。在這個通道中��,只傳輸管理數(shù)據(jù)����、統(tǒng)計信息���、計費信息等���,網(wǎng)管數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)分離��,可以提高網(wǎng)管的效率與可靠性����,也有利于提高網(wǎng)管數(shù)據(jù)的安全性���。由于帶外網(wǎng)管提供了訪問設(shè)備的通道,因此可以把通過網(wǎng)絡(luò)訪問設(shè)備(Telnet等方式)方式進行嚴格限制��,可以降低網(wǎng)絡(luò)安全隱患��。比如限定特定的IP地址才可以通過Telnet訪問設(shè)備��。大部分的訪問均通過帶外網(wǎng)管系統(tǒng)進行���,可以把整個IT環(huán)境設(shè)備的訪問統(tǒng)一到帶外網(wǎng)管系統(tǒng)���。與傳統(tǒng)的設(shè)備管理各自為政不同,通過帶外網(wǎng)管可以很容易做到不同用戶名登錄對應(yīng)不同設(shè)備管理權(quán)限�����,一個IT TEAM可以根據(jù)各個人員職責不同進行授權(quán)��。
了解了上述集中管控理念之后,對接下來的幾點也就比較容易理解和實現(xiàn)了����。比如安全的信息傳輸路徑(SSH、HTTPS�、VPN等);對鏈路、設(shè)備和服務(wù)器運行狀況進行監(jiān)控并能夠告警(堡壘機�、網(wǎng)絡(luò)監(jiān)控平臺等);設(shè)備上的審計(日志服務(wù)器、日志管理平臺等)����,這里啰嗦一句,不但要有策略配置���,而且要合理有效并且為啟用狀態(tài);策略�����、惡意代碼�����、補丁升級集中管理(漏洞統(tǒng)一管理平臺)��,至少要包括所述的三者進行集中管控;安全事件的識別��、報警和分析(態(tài)勢感知平臺��、IDPS����、FW等,可以是平臺也可以是應(yīng)急響應(yīng)團隊)���。
聽起來都放到一起就是SOC,但官方表示并不是建議廠商去推SOC平臺��,這其中要求的每一項能做到獨立的集中管控即可����,如果有能力集成到一個大平臺那更好。
本控制點偏向日常安全運維�,主要包括集中管理區(qū)域、策略管理��、漏洞管理����、日志管理、安全事件管理。單獨來看���,每項都有對應(yīng)的產(chǎn)品��。建議一步步來建設(shè)安全能力�,不要一上來就忙著搭建SOC�。由于是標準中新增要求項,需要一些時間才會有比較完善的解決方案或產(chǎn)品���。
標準中提到的對于資產(chǎn)��、漏洞的集中管控�,中國市場上也已經(jīng)有很多成熟的解決方案能夠完美契合其中的要求�����。
江蘇國駿為您提供全面可信的信息安全服務(wù)
http://borgatopiano.com.cn/
免費咨詢熱線:400-6776-989
長按二維碼關(guān)注我們
