一、等保2.0時代來臨
自2015年以來,關於等級保護2.0的各種消息層出不窮,直至今年等級保護的安全要求逐漸明朗起來。從最初將安全通用要求、雲計算擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制安全擴展要求等五個部分分冊編制,到2017年8月,公安部評估中心根據網信辦和安標委的意見將等級保護在編的五個基本要求分冊標準,合併形成了《網絡安全等級保護基本要求》一個標準,至此,等保2.0的大框架基本確定下來。
那麼等保2.0究竟發生了哪些變化,由等保1.0時代的不溫不火演變成2.0時代的風口浪尖呢?
二、等保2.0的蛻變
師出有名
2016年11月7日第十二屆全國人民代表大會常務委員會第二十四次會議通過《中華人民共和國網絡安全法》,並於2017年6月1日正式實施。等保2.0將原來的標準《信息安全技術 信息系統安全等級保護基本要求》改為《信息安全技術 網絡安全等級保護基本要求》,與《中華人民共和國網絡安全法》中的相關法律條文保持一致。
- 第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據洩露或者被竊取、篡改。
- 第三十八條 關鍵信息基礎設施的運營者應當自行或者委託網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估, 並將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。
- 第五十九條 網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等後果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
- 關鍵信息基礎設施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等後果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
全面覆蓋
2008年開始實施的等保1.0《信息安全技術 信息系統安全等級保護基本要求》,在近幾年信息技術飛速發展,各種新應用推陳出新的時代已經明顯力不從心。因此,需要新的等保標準來實現在領域、對象和內容上的全面覆蓋。
等保2.0在制定之初就充分考慮移動互聯、雲計算、物聯網和工業控制等新技術和新應用,從應用領域到保護對象等各方面都進行了擴展。同時為了配合《中華人民共和國網絡安全法》的實施,等保2.0針對共性安全保護需求提出安全通用要求;針對移動互聯、雲計算、物聯網和工業控制等新技術、新應用領域的個性安全保護需求提出安全擴展要求,以此形成新的網絡安全等級保護基本要求標準。
等保2.0細化了等級保護階段,更加註重對於每個階段的細粒度保護。等級保護2.0沿用了等保1.0的五個規定動作:定級、備案、建設整改、等級測評和監督檢查,並擴展到風險評估、安全檢測、通報預警、安全事件處置、漏洞風險管理等方面,將其納入到等級保護的範圍之內。
體系完善
等保1.0的系列標準重點包括基本要求、測評要求、設計要求,在等保2.0中,系列標準在各領域進行了擴展,除了能應對傳統系統的相應標準以外,還滿足像雲計算、物聯網、移動互聯等新領域的安全要求。另外,相比等保1.0在監管和合規測評、合規建設等方面也進行了體系的完善。
等保2.0時代,監管對象從傳統信息系統變成了網絡安全等級保護對象,一個業務系統一個平臺都會納入等級保護範圍之內,未來監管機構在檢查的時候對於具體的技術措施、安全措施做一些相應的檢查,同時還會升級現有的技術手段,應對分領域的技術檢查。
等保2.0時代,合規測評在測評的對象,測評依據、等級保護報告模版以及等保的測評結論上都進行了相應的完善;比如在雲計算環境下,測評對象需要考慮虛擬化技術的應用導致很多虛擬計算對象;測評依據能否滿足虛擬化技術的要求;等保報告上需要考慮引入雲平臺與雲租戶後,在等保報告上得分的依賴關係;最後是對於承載了多業務系統的平臺,其平臺的測評報告是多業務系統可以共用的。
等保2.0時代,在合規性建設方面,更加強調雲平臺整體;特別是基於4A的統一身份認證、統一用戶授權,統一賬戶管理,統一安全審計,同時要強調平臺內部通訊的加密以及相互之間的認證和動態預警還有快速響應能力建設安全服務產品的合規。
三、未實施網絡等級保護的危害
自2017年6月1日網絡安全法正式實施以來,全國各地共發生違法案件40餘起,其中明確違反網絡安全法中等級保護相關條令的共計10餘起。
四、等保2.0時代需要新的思路
進入等保2.0時代,伴隨著技術和管理要求的蛻變,應該有新的形式來解決雲等保的市場需求,綠盟雲計算安全解決方案(CSS)團隊針對雲等保的特性,在安全資源池的基礎上打造滿足市場需求的雲等保解決方案,在滿足平臺等保合規性的同時,提供給平臺用戶可選可控的安全服務。
等保建設全流程
通過對等級保護全流程的梳理,明確各個角色的職責和階段任務。
技術架構
按照等級保護要求分別對雲平臺和雲租戶提出定級要求,在實施階段以運維門戶、租戶門戶分離各自的安全需求,在雲平臺層面對接安全資源池,依託安全資源池提供的能力,從物理設備安全、虛擬網路安全、虛擬主機安全、數據安全和應用安全等方面滿足等保要求。同時通過運維門戶對資源進行統一管理、調度;並對安全資源進行封裝向雲租戶提供符合等級保護要求的安全服務。
設計思路
- “一平臺兩門戶”
一平臺兩門戶設計同時滿足雲平臺及雲租戶的等級保護合規要求。如圖所示通過運維門戶管理雲平臺安全資源,從網絡、主機、應用、數據等方面全面保障雲平臺安全;通過租戶門戶將資源池安全能力包裝成租戶所需的安全服務提供給租戶使用,以滿足租戶的合規需求。
- “資源控制層”
通過資源池控制器和日誌分析系統對資源池實現資源調度和日誌收集、分析;
安全能力
安全資源池支持傳統硬件安全設備和虛擬安全設備等類型的安全資源,接受資源池控制器的管理,對外提供相應的安全能力。安全資源池包含了vNF、vIPS、vWvss、vWAF、vNIDS、vSAS、vRSAS和vBVS等安全組件。雲數據中心部署的硬件安全設備也可以按照資源池的方式進行管理,接受資源池控制器的管理。
閱讀更多 安全牛 的文章
