前言

第一部分主要是将国家安全战略,1.1是概述,报告原文并为进行展开,只是列了一些步骤。重点是1.2,描述国家级应急响应工作如何来做,怎样落地。

前文回顾:

国家网络安全能力成熟度模型(一)

正文

D 1.1 – National cybersecurity strategy

概述

这一因素侧重于国家制定、审查和更新国家网络安全战略的能力,以确定网络安全行动的优先次序,确定实施责任并分配采取行动所需的资源。

国家网络安全战略(National Cyber Security Strategy, NCSS)的目的是为国家有关网络安全的中长期政策和行动提供方向和框架。一项战略的制定,首先应分析和理解它将在何种更广泛的背景下运作,一个国家希望通过其行动保护或影响哪些领域,以及国家网络生态系统面临的威胁和挑战。如果以前已经开发了其他 NCSSs,也需要了解新战略将如何与这些战略联系并在这些战略的基础上加以发展。应根据广泛的利益相关方磋商与反馈的结果,定期审查和更新 NCSS。

未来战略及其相关实施计划的所有权和治理是在起草、交付、监测和评估战略时,与更广泛的利益相关方一起考虑的关键要素。为了有效,策略仅仅存在是不够的,它应该得到实施,制定实施计划作为起草过程的一部分,以支持战略的通过。为了促进这一点,一项战略可分为更小的(如部门性的)次级战略、政策和执行计划。实施计划应将战略细节转化为具体的、可执行的任务,并制定明确的时间表,并明确任务负责人和所有者。概述明确、可衡量和有时限的国家战略实施计划,可促进其随后的评估和确定在未来修订总体战略时需要进一步发展的领域。

预计寻求发展 NCSS 的国家将需要通过一系列步骤来实现。下面的框 1.1 概述了通过涉及包含性的、多利益相关方的过程设计策略所需的高级步骤。

image.png

为了避免重复,并与感兴趣的利益相关方达成一致,本文档没有进一步阐述这些步骤。GCSCC 关系成员正在对创建或更新国家网络安全战略所需的步骤进行深入分析,the Commonwealth Secretariat Cybercrime Initiative, the CTO, the European Network and Information Security Agency (ENISA), ITU, the Microsoft Corporation, the North Atlantic Treaty Organization (NATO) Cooperative Cyber Defence Centre of Excellence (CCDCOE), the Organization for Economic Co-operation and Development (OECD), the OAS, the Potomac Institute, the United Nations Conference on Trade and Development (UNCTAD), and the World Bank.

这一伙伴关系的成果将是利益相关方和决策者可以参考的资源,以便澄清国家网络安全战略的目的、内容和起草程序。本指南已于 2017 年底出版。

D 1.2 – Incident Response

网络攻击由各种各样的、动机各异的行为者发起,包括网络罪犯、内部人士、黑客分子、网络战士、网络恐怖分子、国家行动者、企业等。针对互联网用户包括:政府和公共机构到政治党派、私人企业、非政府组织、非营利性机构,个人公民和其他用户。网络攻击造成影响的类型和程度差异很大,可能包括减少网络和计算系统的功能、销毁记录、经济损失、敏感信息丢失、业务竞争力丧失,以及中断物理世界,例如,通过停电和损失关键基础设施来进行网络攻击。

国家级的安全应急响应可以涵盖这些领域中的全部,或者部分领域。本节重点讨论在国家层面认识和检测这些网络安全威胁和事件,并以协调的、系统的和有效的方式做出响应的能力。它鼓励各国建设安全应急响应能力,不仅从技术角度,而且通过制定适当的组织和沟通措施来进行建设。

image.png

能力建设步骤

➢ 建立国家级计算机安全事件响应小组(CSIRT),负责国家层面的安全应急响应

国家级安全应急响应的职责应分配给明确确定的任务负责机构。这个角色通常由国家级的计算机安全事件响应小组(CSIRT)执行。计算机安全事件响应小组(CSIRT)是一个由信息技术(IT)安全专家组成的团队,负责处理和应对安全事件,支持目标对象,帮助其从入侵和事件中恢复。计算机安全事件响应小组(CSIRTs)可以提供广泛的服务,范围广至反应性安全应急响应到预防和教育服务。

有几个指南列出了建立计算机安全事件响应小组(CSIRT)所需的活动(参见本节末尾的参考列表)。这个工具箱并没有试图代替或扩充这些文档,而是强调了某些关键的重点领域,包括:

• 定义一个任务(计算机安全事件响应小组(CSIRT)打算做什么?);

• 确定有关的利益攸关方;

• 定义计算机安全事件响应小组(CSIRT)在更广泛的制度框架中的地位;

• 定义目标对象(计算机安全事件响应小组(CSIRT)为谁行动?);

• 通过法律框架建立计算机安全事件响应小组(CSIRT);

• 定义计算机安全事件响应小组(CSIRT)提供的功能和服务(与任务一致);

• 建立组织结构,包括内部组织和相关的其他组织。

任务

从计算机安全事件响应小组(CSIRT)一开始就定义其总体任务是很重要的。任务应明确地、简明地进行定义、记载并分发,并应提供该团队正在努力实现的目标的基本概况。应该可以将任务说明限制在最多三到四个明确的句子中。任务说明应得到高级官员的支持,以确保它能得到政府和私营部门的认可。通常有用的是,在一份任务说明的基础上补充一份二级的目的说明,该说明简要概述计算机安全事件响应小组(CSIRT)形成的原因。

image.png

计算机安全事件响应小组(CSIRT)至少应提供某种形式的处理能力,以应对网络事件,但国家计算机安全事件响应小组(CSIRT)的任务通常包括以下内容:

(一)作为安全应急响应的国家协调员;

(二)充当国家事件和国际事件的联络点;

(三)担任其他部门、私营部门行动者和机构的信息安全咨询协调员;

(四)为政府的相关利益者及其他最终用户提供事故响应服务。

值得注意的是,国家计算机安全事件响应小组(CSIRT)协调安全应急响应可由各种其他的计算机安全事件响应小组(CSIRTs)进行协助,包括:

关键基础设施保护(CIP)或关键的信息基础设施保护(CIIP) 计算机安全事件响应小组(CSIRTs),负责关键基础设施资产的监控和保护;

政府计算机安全事件响应小组(CSIRTs),负责监测和应对政府网络中的事件,并确保政府 IT 基础设施和服务得到充分保障;

军事计算机安全事件响应小组(CSIRTs),其任务是保护国防设施和国防活动所需的网络和信息通信技术(ICT)基础设施;

学术计算机安全事件响应小组(CSIRTs),负责为学术机构和团体提供安全应急响应服务;

中小型企业(SME)部门计算机安全事件响应小组(CSIRTs),负责提供安全应急响应服务,以满足中小企业(SMEs)的需求;

商用计算机安全事件响应小组(CSIRTs),提供个人公司内或付费客户的事故响应服务。

image.png

利益相关方

在建立国家级计算机安全事件响应小组(CSIRT)时,重要的是要确定相关的利益攸关方,他们既可能支持计算机安全事件响应小组(CSIRT),也可能从其存在中获益。对于国家的计算机安全事件响应小组(CSIRT)而言,参与其中的利益攸关方群体通常包括:

政府和政府机构

执法机构

国防机构

学术部门

互联网服务提供商(ISPs)

金融行业和其他关键行业

国家和国际组织和工作组。

image.png

可以根据其预期角色和贡献来对利益攸关方进行集群。这包括查明那些应当更密切地参与,并能够影响国家计算机安全事件响应小组(CSIRT)的发展和运作的利益攸关方,以及那些应该被告知的利益攸关方。在建立国家计算机安全事件响应小组(CSIRT)的早期阶段,利益攸关方可以通过工作组参与进来,工作组独立地寻求完善团队的使命和更广泛的愿景。早期参与还有助于建立关系,并获得个人和组织的支持,这些个人和组织可能会在未来直接支持计算机安全事件响应小组(CSIRT)的活动。

制度框架

国家计算机安全事件响应小组(CSIRT)应该与现有的政府结构很好地结合在一起,并拥有充足的资源。计算机安全事件响应小组(CSIRT)在更广泛的政府组织结构中的地位和沟通渠道应该得到明确界定。此外,国家计算机安全事件响应小组(CSIRT)应当能够获得充足的财政、人力和基础设施资源。国家计算机安全事件响应小组(CSIRT)的机构设置和资源配置应该能反映其任务说明中概述的抱负目标和责任。

image.png

法律框架

如果没有严格的法律框架,计算机安全事件响应小组(CSIRT)就无法有效运行。应该验证计算机安全事件响应小组(CSIRT)是否符合现有法律,并为团队将要进行的活动提供法律依据。一个有缺陷的法律框架,可能使计算机安全事件响应小组(CSIRT)在应对网络攻击时容易受到诉讼或并发症的影响。

目标对象

在建立计算机安全事件响应小组(CSIRT)时,重要的是确定团队想要为之提供服务的目标对象(即计算机安全事件响应小组(CSIRT)的客户)。确定客户或目标对象应该在计算机安全事件响应小组(CSIRT)的任务说明中予以明确。确定计算机安全事件响应小组(CSIRT)的目标对象时,任何现有的计算机安全事件响应小组(CSIRT)在公共部门和私营部门组织内的角色作用也应该考虑进去,以及是否应该给不同的委托人提供差异化服务(例如,某些服务是否应该只提供给数量受限制的利益攸关方行动者和群组)。计算机安全事件响应小组(CSIRT)相对于其目标对象的权威程度也应在现阶段予以确定。这可能会以权威的不同级别为基础,例如:

完全授权,使计算机安全事件响应小组(CSIRT)能够单方面地代表其目标对象执行必要的行动;

共享权力,计算机安全事件响应小组(CSIRT)能够通过与其目标对象的联合决策进行干预;

间接权力,即计算机安全事件响应小组(CSIRT)能够通过间接压力(例如,通过监管或信任关系)影响其目标对象;

无效权限,计算机安全事件响应小组(CSIRT)无法决定是否做出决策,尽管仍然可以提供建议、信息和经验。

功能和服务

除了总体任务之外,还应该确定国家计算机安全事件响应小组(CSIRT)的功能和作用。

image.png

这些功能可以细分为以下四类:

正式功能指的是计算机安全事件响应小组(CSIRT)的官方授权。尽管各国对计算机安全事件响应小组(CSIRTs)的授权范围存在差异,计算机安全事件响应小组(CSIRTs)仍然可能在制定和实施国家网络安全战略方面发挥重要的作用。计算机安全事件响应小组(CSIRT)的任务一般包括:明确界定其在国家政策和法律框架中的作用和责任;对网络安全事件采取行动和做出反应的权力;明确定义计算机安全事件响应小组(CSIRT)与其他网络安全利益攸关方的关系;任务的稳定性以及成熟度和有效性的增长空间;以及资源和资金的连续性。

业务技术功能是指计算机安全事件响应小组(CSIRT)为外部组织和内部组织提供的技术服务。计算机安全事件响应小组(CSIRT)可为外部组织提供主动、被动和/或其他安全管理服务。计算机安全事件响应小组(CSIRTs)还可以向其总体组织(比如,国家计算机安全事件响应小组(CSIRTs)的国家政府)提供内部服务,例如针对内部员工以及外部利益攸关方和受众的提高网络安全意识或网络安全培训活动。国家计算机安全事件响应小组(CSIRT)的核心业务技术功能包括事件处理和管理,并且可被指定为国家联络点。下面的信息方框中提供了对计算机安全事件响应小组(CSIRTs)通常提供的外部业务-技术功能的进一步讨论。

业务-组织功能是指计算机安全事件响应小组(CSIRT)提供的资源、基础设施和服务提供的连续性。这包括人力资源(比如,人员编制、技能水平等)、技术资源(软件和硬件)、预算分配、培训供应和维持 24/7 运营的能力。

• 合作功能是指利益攸关方之间的纵向合作和横向合作。在国家层面有各种各样的利益攸关方参与到安全应急响应中,包括政府和其他公共机构、硬件和软件提供者、操作者、服务提供者和最终用户。网络空间是无国界的,而网络事件通常具有国际性,需要与其他国家的计算机安全事件响应小组(CSIRTs)和网络安全组织进行合作。建立和维护与所有相关的利益攸关方之间的信任和沟通对于安全应急响应来讲是非常重要的。

image.png

计算机安全事件响应小组(CSIRT)提供的功能和服务可能会随着时间的推移而发展壮大,尽管这取决于许多因素,包括规模、基础设施、资金支持和人力资源。

组织结构

在计算机安全事件响应小组(CSIRT)中有明确的角色和责任的委派是很重要的,尽管在较小的团队中,单个个人可能会承担多个角色。虽然许多功能都与所有计算机安全事件响应小组(CSIRT)相关,但是内部组织结构在一定程度上还是依赖于计算机安全事件响应小组(CSIRT)的任务说明、规模和范围。建议将以下元素作为初始结构的最小组成部分:

管理:这包括战略、预算、运营组织、与外部利益攸关方的联系和沟通,以及媒体关系。

操作:这包括事件管理和威胁监控。

IT:这包括 IT 基础设施的维护,以及对运营和研发(R&D)的支持。

研究和发展:这包括技术开发、威胁和事件趋势的统计分析、系统和工具的开发、培训,以及运营支持等方面的研究。

支持服务:这包括市场营销、法律支持、媒体关系、行政和财务。

较大的计算机安全事件响应小组(CSIRT)通常包括另外的职能,如专家安全应急响应团队、安全操作中心、培训、专家信息安全管理、内部审核和恶意软件取证实验室。

➢ 为国家计算机安全事件响应小组(CSIRT)招募、发展和保留员工队伍,负责在国家层面的安全应急响应

重要的是要确保计算机安全事件响应小组(CSIRT)配备有足够数量的专业人员,他们具有承担安全应急响应功能所需的真正的技能。美国国家标准与技术研究所商务部,通过国家网络安全教育计划(NICE),开发一个全面的网络安全工作框架,以便于描绘不同类型的网络安全专家角色所需要的知识、技能和能力, 从更广泛的意义上讲,包括那些与计算机安全事件响应小组(CSIRTs)和安全应急响应有关的知识、技能和能力。除了标准的管理角色和配置文件外,计算机安全事件响应小组(CSIRT)还应聘用具有网络安全应急响应、计算机取证、信息保障和系统开发方面专业知识和经验的操作人员。

要取得这些专长,工作人员首先应具备下列起码的知识水平:

(一)互联网技术和协议;

(二)Linux、Unix 或 Windows 系统(取决于目标对象的设备);

(三)网络基础设施设备;

(四)互联网应用;

(五)安全威胁和风险评估。

有一些网络安全认证可以帮助确定在计算机安全事件响应小组(CSIRT)中工作的合适人选。这些网络安全认证包括:

• 电子商务理事会(EC-Council)认证事件处理程序(ECIH)项目:ECIH 是由 EC-Council 提供

的为期两天的培训项目,重点是事件处理、风险管理、渗透测试、事故调查以及其他检测和应对计算机

安全威胁的原理和技术。为了获取证书,必须在课程结束时通过考试。EC-Council 是一家私营的网络安

全技术认证机构,在全球 145 个国家开展业务,为公共部门和私营部门的雇员提供认证。

• GIAC 认证事件处理程序(GCIH):GCIH 由全球信息保证认证(GIAC)提供,是对检测、响应

和解决计算机安全事件熟练程度的认证。它不是一个培训课程,而是一个 4 小时的考试,涵盖了事件处

理、检测恶意应用程序和网络活动、常见攻击技术、检测和分析漏洞以及实现持续的过程改进。该认证

必须每四年更新一次。GIAC 是一家专注于计算机、信息和软件安全的私人认证公司,为政府和行业的

事件处理人员提供认证。

• GIAC 响应和工业防御(GRID):该 GRID 认证也由 GIAC 提供,重点是确定和保护关键基础设

施,比如公共设施、商业制造设施或其他类型的工业控制系统(ICS)。特别是,它要求考生展示对特定

ICS 的主动防御战略的理解,以及对特定 ICS 的攻击的理解,以及这些攻击是如何为缓解战略提供信息

的。为了获得认证,考生必须通过一场历时两个小时的考试。该认证必须每四年更新一次。

• 认证网络取证专业人员(CCFP):CCFP 是一个专业认证,专注于取证技术和程序,实践标准,以

及法律和伦理原则,以确保网络取证证据在法庭上的可接受性。该认证旨在适用于不同的领域,包括执

法、国防和安全领域的网络情报,以及私营部门。

• GIAC 计算机取证认证:GIAC 还提供一系列的网络取证认证,包括全球信息保证认证鉴证员

(GCFE)、GIAC 网络取证分析师(GNFA)和 GIAC 高级智能手机取证(GASF)。

➢ 建立物理设施和获取在国家层面响应事件所需的技术能力,并培训人员来执行这一任务

计算机安全事件响应小组(CSIRT)的人员应该有专用的空间和设施,这些设施的安保措施与组织机构保护数据中心的安保措施相同。计算机安全事件响应小组(CSIRT)不应位于开放的小隔间环境中,而应位于单独的办公空间中,并制定限制访问战略,以防止未经授权访问计算机安全事件响应小组(CSIRT)资源和信息。计算机安全事件响应小组(CSIRT)的建筑物或设施应该受到 24 小时的监控保护。对服务器、通信设备、逻辑安全设备和数据存储库的物理和逻辑访问应该受到严格的访问控制。下图概述了最低设计的计算机安全事件响应小组(CSIRT)的网络体系结构。

除了将计算机安全事件响应小组(CSIRT)安置在设备齐全的专用设施内以外,还应向计算机安全事件响应小组(CSIRT)的人员提供定期培训,并且更新课程,确保他们能够有效地履行其职责。除上述技术认证外,计算机安全事件响应小组(CSIRT)的操作人员还应在内部或通过外部供应商来学习网络安全基础和威胁、计算机和网络取证、恶意软件分析和逆向工程,以及其他分析工具和技术等课程。

除了培训以外,网络演习也成为培训人员处理网络事件的有效工具。这需要评估哪些资源(例如,人员、基础设施和通信功能)有待进行测试,确定演习的目标和负责人员,并且将演习纳入网络安全战略。需要对演习的影响进行评估,而且评估结果将为未来演习或网络安全战略的整体调整提供依据。

➢ 定义、记载和操作安全应急响应过程。定期检查这些过程,以确保它们适合于不同的事件场景

事件处理响应过程是计算机安全事件响应小组(CSIRT)需遵循的一组已定义好的步骤,以便于有效地应对网络安全事件,它是一个独立于特定事件而定义和开发的过程,其目标是开发一个框架,使安全应急响应能够采用结构化的、协调的、有系统的和一致的方法。

事件处理响应过程通常是在较高级别上进行开发的,然后针对特定类型的攻击细化为更具体的过程。从战略层面看,一个包罗万象的安全应急响应过程概述了应对网络事件时应该采取的通用步骤。这些步骤的定义方式应该能够使其适用于不同类型的攻击,尽管如此,仍然可以针对特定的计算机安全事件响应小组(CSIRT)范围内的事件处理响应进行调整,虽然在单个计算机安全事件响应小组(CSIRT)范围中,根据本地需求开发事件处理响应过程是最有效的,但是已经开发了许多通用框架来支持 计算机安全事件响应小组(CSIRTs)开发其安全应急响应过程。这些框架在其分解和结构上略有不同,但大体上涵盖了同样的因素。

国家网络安全能力成熟度模型

下列各段落依次对这些阶段进行了进一步的阐述。准备阶段是指事件发生之前的一段时间,它不仅包括应对网络攻击所需要的技术和人的能力,还包括应对网络攻击所需要的、清晰而协调一致的组织结构和程序。准备工作还包括为了保护系统和网络以防止攻击的过程,尽管这通常超出了计算机安全事件响应小组(CSIRT)呈交当局解决的事项范围。

检测和分析阶段的目的是一旦发生网络攻击,对其进行确定和了解。在检测阶段,这涉及到引入和维持适当的技术检测机制,以及建立能够确定数据丢失,监控和检测系统和网络入侵的组织程序,一旦检测到有攻击发生,随后的分析应该力求了解该攻击的类型、规模和影响,包括端点分析、二进制分析和企业捕获。

遏制、根除和恢复阶段指的是最初确定和分析网络攻击后的一段时间。第一阶段——遏制——试图通过阻止网络攻击扩散到其他设备、系统和网络,来限制网络攻击造成的损害。然后从受影响的系统中删除攻击本身,例如,通过阻止攻击者访问网络,删除恶意软件和禁用已被攻击的用户帐户,根除阶段还应监控来自该攻击者的任何响应,与此同时,努力识别和删除攻击期间最初利用的漏洞。

国家网络安全能力成熟度模型

为了确保在对特定事件的响应过程中完成每一个阶段,可以使用事件处理检查清单来跟踪整个事件处理过程的进度。一般的事件处理过程,在可用的文献资料中已经有不同粒度层次的详细描述,而且应该根据计算机安全事件响应小组CSIRT)的特定需求开发定制的检查清单。

最后,一旦开发了一种高级别的事件处理方法,通常就可以为特定类型的网络攻击定制这种方法。具体来说,不同类型的网络攻击需要不同类型的遏制、根除和恢复过程,这意味着针对安全应急响应的更有针对性的方法可能比单一的总体框架更有用。

国家网络安全能力成熟度模型国家网络安全能力成熟度模型

更具体的安全应急响应过程是针对特定类型的攻击(比如,分布式拒绝服务(DDOS)攻击或恶意软件的检测)而定制的。

image.png

➢ 建立一个国家级网络安全事件的注册中心;建立定期更新注册中心的机制,并根据环境变化及不断演变的威胁情况发出警告

国家计算机安全事件响应小组(CSIRT)应该托管一个服务器,作为国家级事件的注册中心,记录和跟踪网络安全事件。该注册中心应该记载接收到的事件报告,以及与安全应急响应有关的进出计算机安全事件响应小组(CSIRT)的通信记录,并应将其用于检查参与安全应急响应的人员的状况。

此外,计算机安全事件响应小组(CSIRT)应该运行并定期检查为其目标对象(用户)和客户创建安全咨询警报和警告的过程。这一过程应包括下列几个步骤:

1. 从计算机安全事件响应小组(CSIRT)的合作伙伴网络或供应商简报和时事通讯接收关于安全漏洞的警告。

2 收集有关漏洞的信息,并对其相关性、分类、相关风险和潜在影响进行评估。

3 准备并向计算机安全事件响应小组(CSIRT)的目标对象(用户)发布安全警告,说明漏洞的来源、相关性(即它所应用的软件或硬件)、风险、影响和潜在损害、解决方案以及细节描述。

➢ 建立公共部门和私营部门之间的国家级协调机构,为政府和关键行业设立国家接触点

由于网络安全是一个由不同的公共和私人行为主体承担责任和能力的领域,因此这些行为主体彼此之间的密切合作至关重要。应该采用具有接触点的国家级协调机构和日常合作,范围从信息交流和分享良好做法一直到联合行动。

➢ 建立或加入安全应急响应和信息共享的国际和区域协调机构

国家计算机安全事件响应小组(CSIRT)工作的一个重要方面涉及到与邻国计算机安全事件响应小组(CSIRTs)发展互相受信任的工作关系。此外,国家计算机安全事件响应小组(CSIRT)可以加入某些区域和国际协调机构,以便分享和协调安全应急响应信息。这些包括:

• 安全应急响应和安全小组论坛(FIRST): 按照其任务说明,FIRST 是一个受信任的计算机事件响应小组国际联盟,合作处理计算机安全事件,并促进事件预防方案的制定。具体来说,FIRST:(一)鼓励和促进开发高质量的安全产品、政策和服务;(二)制定和推广计算机安全方面的最佳做法实践;以及(三)推动成立及扩张来自世界各地组织机构的安全应急响应小组及成员。

FIRST成员:(一)开发和分享技术资料、工具、方法、过程和最佳做法实践;以及(二)利用他们的知识、技能和经验,来促成更安全的全球电子环境。

• 工作组(TF)-计算机安全事件响应小组(CSIRT):TF-CSIRT 旨在促进欧洲各国计算机安全事件响应小组(CSIRTs)之间的协作。工作组(TF)的主要目标包括: (一)提供一个交流经验和知识的论坛; (二)为欧洲计算机安全事件响应小组(CSIRT)共同体建立试点服务; (三)推广对安全事件做出响应的共同标准和程序;以及(四)协助设立新的计算机安全事件响应小组(CSIRTs),并对计算机安全事件响应小组(CSIRT)的工作人员进行培训。

• 亚太计算机应急响应小组(APCERT):亚太计算机应急响应小组是一个论坛,旨在维护亚太地区计算机安全专家受信任(可信)的联系网络,以提高该地区对计算机安全事件的认识和应变能力。APCERT的目标包括:(一)加强亚太地区和国际在信息安全方面的合作;(二)共同制定应对大规模、区域性网络安全事件的措施;(三)促进其成员间进行信息共享和技术交流,包括信息安全、计算机病毒和恶意代码;(四)促进对其成员感兴趣的课题的合作研发;(五)协助该地区内其他 CERTs 及计算机安全事件响应小组(CSIRTs)进行有效率的、有效的计算机应急响应;(六)提供输入文件和/或建议,帮助解决区域范围内与信息安全和应急响应有关的法律问题。

• 非洲 CERT:非洲 CERT 将自己描述为非洲安全应急响应小组论坛。非洲 CERT 的目标包括: (一)协调非洲计算机安全事件响应小组(CSIRTs)之间的合作;(二)协助非洲国家建立计算机安全事件响应小组(CSIRTs);(三)在非洲国家和国家之间促进和支持信息和通信技术安全方面的教育和外展方案;(四)加强非洲计算机安全事件响应小组(CSIRTs)和世界各地其他利益攸关方之间的关系;(五)鼓励信息通信技术安全领域的信息共享,以便于迅速地确定漏洞,并消除风险;(六)促进其成员之间分享最佳实践做法和经验,从而制定全面的网络安全框架;(七)协助非洲计算机安全事件响应小组(CSIRTs)提高网络战备能力和增强信息通信技术(ICT)基础设施的恢复能力;以及(八)促进信息和通信技术安全领域的合作技术研究、发展和创新。

其他参考资料

国家网络安全能力成熟度模型

结语

个人感觉,这是一个相当给力的研究报告,同时给出落地的建议。觉得有用就是真的有用,觉得没用也是真的没用,各取所需。

*本文作者:宇宸@默安科技合规研究小组,转载请注明来自FreeBuf.COM

前言

这是作为课题研究的一个学术报告,发现有很多地方可以拿来借鉴和学习,从比较高的角度去看待网络安全,并且给出了一定的实践指南。由于能力和时间有限,只翻译了第一个维度,也是最重要的一部分。拿来和各位分享一下,希望能用得到,建议大型甲方和合规研究类的人员参考,不适合中小企业落地。

文章的序言以及1.1、1.2、1.3章节之前由学术Plus翻译过,我这里只是稍作修改,必须要说明一下。1.4-1.6部分由本人独立翻译完成。

本文主要介绍GCSCC CMM模型的理论体系以及报告中的实践指南,重点放在第一维度–国家网络安全政策和战略。

正文

本文主要介绍GCSCC CMM模型的理论体系以及报告中的实践指南,重点放在第一维度–国家网络安全政策和战略。

由于格式问题,FB的编辑较难操作,后续正文将以图片形式展现,如果有需要的可以后续提供PDF文档。

研究背景与报告概况

最近几十年,信息通信技术(ICT)的作用和地位愈发重要。从经济角度来看,互联网和信息通信技术对经济的促进已得到广泛认可。然而,这些技术同时也使得网络空间的非法活动激增。由此,兰德公司于2018年8月发布报告《发展网络安全能力》(Developing Cybersecurity Capacity),旨在促进国家级网络安全能力建设计划以及整体政策和投资战略的制定,以应对网络领域的挑战。报告中,对国家网络成熟度进行了详细的审查和评估,并将其结论更好地转化为切实的政策建议和投资战略,使政策制定更好地增强该国的网络安全能力。

国家网络安全能力成熟度模型(CMM)由牛津大学(University of Oxford)的全球网络空间安全能力中心(GCSCC)创建,并由英国外交部(UK FCO)的网络安全能力建设计划进行资助。由于美洲国家组织(OAS)、世界银行(WB)、国际电信联盟(ITU)和英联邦电信联盟(CTO)等国际组织在许多国家和地区都部署了这一工具,因此在实践者中备受关注。

全球网络空间安全能力中心能力成熟度模型(GCSCCCMM)的首个版本出版于2014年,2017年更新为最新版本。根据全球网络空间安全能力中心能力成熟度模型(GCSCC CMM)所述,一个国家的网络生态系统被认为由五个维度构成:

D1 – 网络安全政策和战略

D2 – 网络文化与社会

D3 – 网络安全教育、培训和技能

D4 – 法律和监管框架

D5 – 标准、组织和技术

全球网络空间安全能力中心能力成熟度模型( GCSCC CMM )的每一个维度、因素和方面都进一步沿着成熟度的 5 个阶段进行构建。它们被用来帮助各国确定自己目前的能力水平。全球网络空间安全能力中心能力成熟度模型( GCSCC CMM ) 的成熟度级别,从低到高,列示如下:启动级;形成级;确立级;战略级;以及动态级。图 I.1 提供了全球网络空间安全能力中心能力成熟度模型( GCSCC CMM )结构的可视化概述。

资料来源:兰德欧洲公司基于全球网络空间安全能力中心(GCSCC)的详细阐述(2017)Dimension维度;Factor因素;Aspect方面;Start-up启动级; Formative形成级; Established确立级; Strategic战略级;Dynamic动态级;Cyber security capacity building网络安全能力建设。

全球多个国家都在使用全球网络空间安全能力中心能力成熟度模型(GCSCC CMM)来支持国家网络安全能力的专家评估。该模型也成功描绘出国家网络生态系统中利害攸关的问题,并为未来的发展和投资提供建议。然而,设计该工具并不是为了让政策制定者和实施者使用该工具作为参考指南,而是为了在对国家网络安全能力进行评估后,将建议付诸实施。

模型的五大维度及其内在因素

第 1 维 —— 网络安全政策和战略

全球网络空间安全能力中心能力成熟度模型(GCSCC CMM)的维度着眼于国家制定、实施和审查国家级网络安全战略的能力,以及支持该战略的关键战略、理论学说和操作文件和活动。这一维度包括以下六大因素:

D1.1 – 国家网络安全战略

这一因素侧重于国家制定、审查和更新国家网络安全战略的能力,有助于确定网络安全行动的优先次序,确定责任,并分配相关资源。

D1.2– 安全应急响应

这一因素关注的是安全应急响应能力,特别是在国家层面上应对网络安全事件的能力。

D1.3 – 关键基础设施保护

这一因素强调保护那些对维持包括健康、安全、安全保障、经济和社会福利在内的重要的社会职能必不可少的资产和系统的能力。

D1.4 – 危机管理

这一因素着重强调发展国家建立、审查和更新国家危机管理应用程序、功能协议和标准的能力。

D1.5 – 网络防御

这一因素侧重于国家设计和实施网络防御战略的能力,同时保持对政府、国际商业团体和社会开放网络空间的好处和灵活性。

D1.6 – 通信冗余

这一因素关注的是各国政府识别、详细规划和利用国家利益攸关方之间的数字冗余和冗余通信的能力。

维度 2—— 网络文化与社会

模型考察了网络安全的宽阔的文化与社会维度,及其在提高网络空间安全性与恢复力方面所发挥的作用。个体、公众、民间和社会层次的参与者之间所存在的国家网络安全文化是以对有助于网络生态系统的成熟度和恢复力的价值观、态度和实践的共同的理解与接受为条件的。本维度包括5个因素:

D2.1 – 网络安全心态

这个因素集中于国家网络安全参与者的价值观、态度和实践,包括存在于网络生态系统中的政府、私营部门、个人用户及其他参与者。

D2.2 – 对互联网的信任和信赖

这个因素聚焦于普通民众以安全的和私密的方式使用因特网时所具有的信任和信赖,包括使用政府的电子服务平台和电子商务平台。

D2.3 – 用户对于线上个人信息保护的理解

这个因素聚焦于普通民众以及公共部门和私营部门中的用户和参与者是否能够意识到和理解线上个人信息保护的重要性和意义。

D2.4 – 报告机制

这个因素聚焦于用户报告网络犯罪的报告机制和渠道的存在和使用,包括线上欺骗、网络暴力、虐待孩子、身份盗窃、保密和安全破坏以及其他事件。

D2.5 – 媒体和社交媒体

这个因素聚焦于媒体和社交媒体的作用,着眼于它们在传达网络安全信息方面的作用以及网络安全作为一个主题在这些媒体和平台上讨论和争论的程度。

第 3 维 —— 网络安全、教育、培训与技能

模型的第 3 维评估了高质量网络安全教育、培训和意识提升活动在全国的可实施性以及对这些活动进行开发和提供的能力。这包括为不同的政府利益相关者团体、私营部门和普通人群提供的教育和培训活动。包含三个因素:

D3.1 – 意识提升

这个因素评估的是以公共部门、私营部门、学术界和民间团体中的利益相关者以及公众为目标的网络安全意识计划和倡议的可获得性、提供和接受情况。

D3.2 – 网络安全教育框架

这个因素评估的是初等、中等和高等网络安全教育的可获得性和提供情况。

D3.3 – 专业培训框架

这个因素关注的是网络安全专业培训对网络安全专业人员队伍而言的可获得性和提供情况,包括通过组织内部的水平和垂直网络安全知识转移以及通过持续技能开发来提供的网络安全专业培训。

第 4 维 —— 法律法规框架

模型第 4 维评估了政府直接或间接地设计并颁布网络安全相关国家法律的能力,包括针对与网络犯罪、隐私和数据保护有关的问题所颁布的法律。 GCSCC 的这个维度由三个因素组成:

D4.1 – 法律框架

这个因素聚焦于与网络安全有关的法律法规框架,包括: ICT 安全性法律框架、隐私权、言论自由、网络人权、数据保护、儿童保护、消费者保护、知识产权以及实体和程序性网络犯罪立法。

D4.2 – 刑事司法系统

这个因素聚焦于国家打击网络犯罪的能力,包括执法机构调查网络犯罪的能力、检察机关起诉网络犯罪及使用电子证据的能力以及法院审理网络犯罪案件和电子证据案件的能力。

D4.3 – 以打击网络犯罪为目的的正式 / 非正式合作框架

这个因素聚焦于国家确保地方行为者之间以及与国外相关同行之间通过正式 / 非正式合作来震慑、打击网络犯罪的能力。

第 5 维 —— 标准、组织和技术

模型第五维度考虑正式标准、国际准则和信息控制的使用,以帮助开发安全、公开和有弹性的网络生态系统。目前就技术信息控制、互联网协议、密码标准、网络安全承诺、审查和认证程序等主题不断展开研究,取得了大量的成果。由于技术发展的快速步伐,为了构建在这些领域的能力,建议参考最新版本的官方供应商文件和最先进的标准。GCSCC CMM的这个维度包括七个因素:

D5.1 – 遵守标准

该因素侧重于采纳和遵守国际标准和网络安全、风险管理、采购和软件开发方面的优秀实践。

D5.2 – 互联网基础设施的弹性

该因素侧重于国家互联网服务和基础设施的可用性和灵活性,以及支持其维护的安全程序。

D5.3 – 软件质量

该因素侧重于对编码的使用把关,以减少公共和私营部门中普遍存在的易受攻击的软件代码,以及对有助于适当的软件改进更新和维护的政策机制予以保护。

D5.4 – 技术安全控制

该因素侧重于通过采纳国际标准和优秀实践以实现网络空间安全的技术安全控制。

D5.5 – 密码控制

该因素侧重于在国家层面对静态数据和动态数据使用加密和安全通讯方式,并在国家实践中遵守国际标准。

D5.6 – 网络安全市场

该因素考虑了网络安全市场,着眼于竞争性网络安全技术的可操作性和发展,以及网络安全保险的可用性和接受度。

D5.7 – 责任性披露

该因素侧重于负责任地披露网络入侵以及漏洞的能力和机制。

如何使用本指南?

本文件可作为网络安全能力建设的概念验证工具箱使用。本文件最好用于根据外部专家使用全球网络空间安全能力中心能力成熟度模型(GCSCC CMM)对国家网络安全能力进行审查后生成的结果和能力建设建议来采取行动。图I.2为工具箱使用的方法流程。

图I.2:启用全球网络空间安全能力中心能力成熟度模型(GCSCC CMM)的网络安全能力建设周期中的工具箱功能/ GCSCCCMM 全球网络空间安全能力中心能力成熟度模型;Proof-of-conceptToolbox概念验证工具箱;l. GCSCC CMM-based, externally-conductednational cybersecurity capacity review 基于全球网络空间安全能力中心能力成熟度模型(GCSCC CMM)的、外部进行的网络安全能力评估;2. Implementationof capacity building recommendations 能力建设建议的实施;Newiteration新的迭代。

结语

有时候还是蛮佩服国外研究机构的(当然国内很多研究院也很厉害),总能提出创新的点,而且逻辑和思维非常缜密。本篇只是一个开头,后边会陆续更新1.1-1.6章节的内容。

*本文作者:宇宸@默安科技合规研究小组,转载请注明来自FreeBuf.COM

*本文原创作者:宇宸@默安科技合规研究小组,本文属于FreeBuf原创奖励计划, 未经许可禁止转载

突然发现等保2.0最新报批稿的结构又进行了较大改动,和之前的送审稿终板存在较大差异,这里补充说明一下具体变化的情况。

通过和之前的2.0标准对比,细节变化其实不大,主要在控制项的结构变化,以及原先删除的一些内容又加回来了。我们先看下最新的结构是什么样的。

新版“等保2.0”的变化

结构的变化

先看新标准安全通用要求和旧版的变化:

控制大项数量之前是8项,现在又变为了10项,网络安全拆分为安全通信网络和安全区域边界两个部分,主机安全、应用安全和数据及备份合并到安全计算环境中,新增安全管理中心控制项,经过2次改版后,最终是现在的结构。而且各控制大项名称全部变化,与之前的也不同,技术部分减少,管理部分要求增加。

要求项的变化

新老等保2.0的变化

这其中要求项的细节变化可以对比新旧标准自己看一下,可见通用部分的要求项又减少了,三级减少了19项(230->211),二级减少了12项(147->135)。

个人信息保护保留剩余信息保护又回来了,新增安全管理中心控制大项(之前是没有的)。

扩展要求的变化

新的版本不再分5个单独标准发布,而是整合到一个标准中,用序号标识各扩展要求部分,包括:

安全通用要求;

云计算安全扩展要求;

移动互联安全扩展要求;

物联网安全扩展要求;

工业控制系统安全扩展要求。

经过2次改版,可以说扩展要求的4个部分又略微简化了,是这样一个结构:

扩展要求.png

扩展部分要求较之前的送审稿明显减少,也就是说新的标准在各个方面都简化了。

原文中的目录截图如下:

等保2.0要求项的变化

由于之前已详细解释过,这里只提一下,相较之前,等保2.0新版的一些明显要求项变化。

技术要求部分

管理要求部分

再来看管理上,可以说变化比较大的是管理要求,主要在前几个部分,后边的建设和运维基本没变化。

总的来看,变化比较大的是整体结构,其实细节上并没有太多变化,不过既然这么来调整,国家肯定有一定的考虑和道理。

结语

本以为最终送审稿就是最终的正式版,没想到短短几个月改动这么大,照此来看,年内颁布实施怕是不好说了,不过大体的方向和细节没有很大的变化,也不用太过担心,还是以最终发布的正式标准为准。

*本文原创作者:宇宸@默安科技合规研究小组,本文属于FreeBuf原创奖励计划, 未经许可禁止转载

*本文原创作者:宇宸@默安科技合规研究小组,本文属于FreeBuf原创奖励计划, 未经许可禁止转载

引言

中央网络安全和信息化领导小组提出:“没有网络安全就没有国家安全,没有信息化就没有现代化,中国要由网络大国走向网络强国。”首先,我们来看一下近几年来国家层面网络安全工作的开展情况:

2014年2月27日,中共中央网络安全和信息化领导小组成立

2014年,开始每年举办网络安全宣传周

2015年6月-2016年10月,审议网络安全法草案

2017年6月1日,网络安全法实施,强制要求等级保护工作,强调关键基础设施三同步

2018年3月23日,公安部发布《网络安全等级保护测评机构管理办法》

2018年6月27日,公安部公布《网络安全等级保护条例(征求意见稿)》

2018年11月30日,公安部网络安全保卫局公布《互联网个人信息安全保护指引》(征求意见稿)

2019年,预计实施等保2.0

本文尝试从《网络安全法》的角度介绍关键信息基础设施和等级保护安全工作的核心,同时对等保 2.0通用安全部分的变化进行分析和解读,旨在让大家了解等级保护制度的重要性和新标准的变化。

650-340.png

等级保护工作的核心

《网络安全法》明确等级保护工作的核心主要包括:

关键信息基础设施的定义;

关键信息基础设施的安全保护义务(第三十四条 运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等);

敏感信息保护(第三十七条 境内收集产生的个人信息和重要数据应当在境内存储。确需向境外提供的,应进行安全评估);

风险评估(第三十八条 运营者每年至少组织一次安全风险检测评估,并评估情况和改进措施报相关部门)。

关键信息基础设施分为三类:

《网络安全法》规定,等级保护是我国信息安全保障的基本制度。《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列全保护义务:保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

等级保护范围内重要信息系统所涵盖的行业包括:能源、金融、交通、水利、医疗卫生、环境保护、工业制造、市政、电信与互联网、广播电视及政府部门。

等保 VS ISO27001

国家对网络安全越来越重视,企业自身也开始关注安全问题。在这样的环境下,我觉得大家要转换下思维,不要再把等保当做一种应付上级检查的被动性工作、不要因为开展业务不做不行才去搞、不要觉得反正又没出事,不用担心。现在的现状是这样,一提等保就觉得Low,就是应付检查的……一提ISO27001就觉得高大上,感觉很先进,而且是完整的体系。

但实际上真的如此吗?下面,我来给大家对比一下。

这么一看是不是其实也没差多少呢?再举个细节的例子:

image.png

左边是27001附录A的控制措施,右边是等保2.0中三级系统物理与环境安全位置和访问控制的要求项。其实差不多,只是表述不同。27001讲的是PDCA,是一个不断循环的工作。等保讲的是“定级-备案-测评-整改-监督”,同样是一个循环的过程。

我的态度一直如此。为了做好安全工作,体系和标准只是指导文件和指南,落地要结合实际,做到什么程度需要根据企业环境而定,不一定要所有都做,也不是为了应付做做样子。安全工作技术上有难度,管理上难度更大,是一个不断循环和改进的过程,因此等保是嵌入到安全建设中的一项工作,而不是为了过等保去搞安全。

等保2.0的变化

去年比较火的大概是《GDPR》,今年比较火的好像是《等保 2.0》,小道消息可能4月有望发布,不过现在已是4月底了,可能要推迟。广东的兄弟说那边已经确定了,7月正式实施,估计应该年内会正式出台。

等级保护制度系统分为五个级别,五级系统属国家级、国防类的系统(核电站、军用通信系统),所以我们很难接触的到,标准中也没有五级系统的检查要求。四级系统量级较大,比如支付宝、银行总行系统、国家电网系统,也是我们很少会接触到的(这里是指去做等级测评),因此我们通常说等保一般是指三级和二级系统(因为一级系统要求简单,不作为重点监管对象)。本文重点放在等保2.0中三级系统要求的变化。

测评分数变化

以前的等保测评分数及格线是60分,近几年个别省份将分数线提高到70分,据传闻互金类系统要90分。同样是听说,等保2.0新的及格线是75以上。

结构的变化,先看新标准安全通用要求和旧版的变化:

image.png

控制大项从原来的10项,改为8项,其实就是合并了数据和应用、机构和人员。

要求项的变化

image.png

这其中要求项的细节变化可以对比新旧标准自己看一下,就不详细展开来说了。

PS:这里有一点要提下,就是等保中新增了个人信息保护的要求,也是因为近来越来越多的安全事件以及欧盟保护条例的出台,国内也开始重视个人隐私问题了。

不过这只是通用要求,新标准分成了5个部分(也就是5个标准)分别是:

《网络安全等级保护基本要求第1部分安全通用要求》

《网络安全等级保护基本要求第2部分云计算安全扩展要求》

《网络安全等级保护基本要求第3部分移动互联安全扩展要求》

《网络安全等级保护基本要求第4部分物联网安全扩展要求》

《网络安全等级保护基本要求第5部分工业控制系统安全扩展要求》 

在我看来感觉挺好,多了几个以前没接触过的方向。因为我之前一直做传统安全,通用部分比较了解,现在的公司做云计算安全,所以云这部分也相对了解一些。之前检查过几家工控单位,对工控系统安全算是知道些皮毛吧。其他两块就比较陌生了。同样的,对于某些甲方的兄弟来说,这也是要命的,新标准实施后,所有定过级的系统估计全都要重新定级备案一次,所以这块未来几年的市场应该还可以,不管甲方还是乙方或是测评中心,都有事要搞了。

等保2.0技术要求的变化

再来看看细节的变化,由于没有实际项目案例,外加标准没正式发布,这里只是以最终稿版本来对比,另外篇幅问题,只对通用要求部分进行简要分析。

物理与环境安全部分

32项调整为22项。这部分没太大变化,只有几个细节点,这里说一下。

1.明确提出机房视频监控系统的要求,旧标准里没有,这部分就是要求对机房横向和纵向都要有视频监控,整个机房不能存在监控死角。

2.防静电要求明确举例说明采用静电消除器防静电手环;对于静电防护要求更为细节化,这回 操作服务器时都要预先消除人体所带静电,合作和佩戴防静电手环来操作。

3.供电部分不再要求备用供电系统,但保留冗余电力电缆的要求,这里说的冗余电力不是说你在市政那边拉过来两条电缆就可以了,而是两条不用电井的电缆,这样才算冗余,因为出现停电同一电井或线路的电缆你拉多少条都是单链路的。

4.在云计算扩展要求中新增,物理机房必须要在境内。

网络和通信安全部分

33项不变。新标准减少了结构安全、边界完整性检查、网络设备防护三个控制点,增加了网络架构、通信传输、边界防护、集中管控四个控制点。

1.删除了重要系统不能直接外连外部网络的要求,删除了按业务优先级分配带宽的SLA服务;新标准只要求通信线路、关键网络设备冗余性。

2.在边界完整性间检查中,提出了无线网络的安全要求,无线网络接入必须要通过受控边界,也就是说无线网络接入到系统要通过安全设备进行访问控制和授权后才可以访问互联网。

3.访问控制中新增内容过滤管理,要求在关键网络节点处对进出网络的信息内容进行过滤,实现对内容的访问控制。这里的内容猜测指的是黄赌毒反动这类的不良信息。曾经接触过一些媒体公司,他们也有比较完善的内容过滤机制,不过最终还是要人来做这件事情,所以目前主流的各大媒体,都有自己的内容审核团队7×24倒班,1审是机器过滤,2审是人工初审,3审是人工复审,然后发布到网上。所以这部分内容想要完全靠技术手段实现,可能暂时不太现实。

4.入侵防范的新要求,能够检测由内对外和由外对内的攻击,这里就是我们常说的南北向双向检测,这就要求我们配置策略的时候要双向应用,在接口的in和out方向都启用策略。

5.恶意代码防范的新要求,第一次明确要求对垃圾邮件进行防护(之前也提过但没指定垃圾邮件), 估计不少企业要额外采购这块的设备或软件了。

6.日志审计方面要求变化由以前的留存6个月改为符合法律法规要求,这个就不好说具体怎么操作了,不过刚开始还是按照6个月留存,看后续怎么执行。此外还要求,能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析,这块感觉要求有点逆天了,乍看好像是说的机器学习分析用户行为,如果真是像阿里那种通过自动学习生成用户的行为习惯准则,用来判断用户的违规行为检测,那么对于甲方来说就难搞了。而且这里要求的是能够访问互联网的用户(也包括内部员工),还有远程访问系统的用户,这些日志都要能够查询并进行行为分析。

集中管控是全新部分,这里贴一下原文要求,解读暂时不好说,还有一些不确定因素:

a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控(安全域划分);

b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理(堡垒机);

c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测(监控平台);

d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析(日志审计系统);

e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理(资产统一管理平台);

f) 应能对网络中发生的各类安全事件进行识别、报警和分析(态势感知)。

网络设备防护整个部分删除,移动到设备和计算安全中。

设备和计算安全

32项调整为26项,删除剩余信息保护要求:

1.身份鉴别中两种鉴别方式有明显变化,采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现。传统的用户名密码方式将渐渐被淘汰,取而代之的是无密码登录,也就是生物识别技术,像指纹、声音、人脸、 视网膜等登录。

2.恶意代码防范要求也有明显变化,应采用免受恶意代码攻击的技术措施或可信验证机制对系统程序、应用程序和重要配置文件/参数进行可信执行验证,并在检测到其完整性受到破坏时采取恢复措施

这项要求也是比较繁琐的,提出对配置文件及参数的可信执行进行验证,同时发现完整性出现问题要有应对的恢复措施。属于可信计算的范畴,查阅了一些材料,大概解释下。 

可信计算的定义:如果一个实体的行为总是按照预期的方式和目标进行,那它就是可信的。

这个定义从安全角度来看,其实并不安全,比如一台中毒的主机,他也是按照预期的方式和目标去工作的,那么按照可信计算的定义,这台主机也是可信的。

所以,从容错计算发展来的可信并不等于安全,但可以认为可信是安全的前提。可信计算将可预期性与正确性作为最终的目标,自此,可信计算有了安全特色。

国内目前叫做可信3.0,可信计算有两种可信环境。在可信信任链的传递过程中,根据度量的方式不同,分为动态信任链与静态信任链两个链条。静态信任链度量平台的配置,动态信任链度量系统软件、软件配置与软件策略。

静态信任链

静态信任链在开机后即可度量,如Intel TXT技术,将度量代码写入处理器中,获得了更早的度量时间。在CPU未参与的环境中,一般是将度量代码写入BIOS对系统进行度量,确保链条的完整性。

静态信任链的主旨是:度量从硬件开始,度量值由TPM来防护免受篡改,代码执行前要度量。

静态信任链既无法对系统运行进行度量,受运行空间的限制,也很难支撑庞大的系统软件,更重要的是这些静态度量在每次开机后仅仅运行一次,对于一个服务器系统,在整个生命周期的运行中,其开机次数少之又少,仅仅依靠静态信任链建立可信环境显然是不够的。

动态信任链

静态测量从加电开始,按照顺序加载可信模块形成可信环境,但静态信任链不支持大型系统软件的检测,这就需要通过CPU参与建立另外一种信任环境—动态信任链。动态信任链不依赖系统加电启动过程,允许系统可以从任意一个不被信任的状态为测量起点来建立信任链。值得注意的是,在动态信任链的建立过程中,基于X86的环境,需要一个RING0级别的基础系统作为可信基的运行环境,以期获得更高的安全期望。动态信任链可以根据用户需要在不重启系统的情况下基于策略随时重新构建信任链。

动态信任链的建立与应用,使得略显“僵化”的可信计算体系有了更灵活的防护方式,也使得各类基于动态信任链原理的“白名单”软件系统在工业界得到广泛应用。

对可信计算有兴趣的可以看下这篇文章:https://mp.weixin.qq.com/s/HoF9DqBgudUJeP29L5vkzQ

本条的要求猜测,是要通过可信计算技术来实现对系统中应用和配置文件、参数进行验证,保障系统在可信环境下运行。这块接触的不多,算比较新的技术。

应用和数据安全

39项调整为33项。以前是两个部分,现在整合到一起,还是比较靠谱的。减少了通信完整性、通信保密性和抗抵赖三个控制点,增加了个人信息保护控制点。

1.新增要求点,应强制用户首次登录时修改初始口令。以前是没有明确要求的,都是大家引申出来的,所以不是强制的,限制是必须要做了。

2.新增要求点,用户身份鉴别信息丢失或失效时,应采用技术措施确保鉴别信息重置过程的安全。个人理解,这部分在SDL的威胁建模里见过,举个例子:用户忘记密码,要重置密码,这个过程必须要回答密保问题或是验证码发送到手机,确认身份后才能重置。但有的系统,没有这个验证,直接可以重置密码,这就属于设计上的缺陷。不过具体的情况,还是那句话,等实施再看。

3.新增要求点,在故障发生时,应自动保存易失性数据和所有状态,保证系统能够进行恢复。这里指的应该是两部分,系统自身的数据保护以及用户的数据保护。系统自身的就不用过多解释了。用户的数据,举个简单例子,论坛编辑帖子时的自动保存功能,出现问题时,过几天再来打开编辑页面,能再草稿里找到之前的文本,不会消失。

新增模块,个人信息保护:

应仅采集和保存业务必需的用户个人信息;

应禁止未授权访问和非法使用用户个人信息。 

理解起来不难,技术实现起来有点麻烦,管理上更难流程化标准化,所以这块其实还是很重要的部分。最近公安那边也发布了《互联网个人信息安全保护指南》,大家可以参考指南内容来配合等保个人信息这块的要求,虽然就两句话,但是你懂得,不可能这么简单的,肯定会被引申出来一堆要求。

以上是等保2.0通用要求技术要求部分的变化分析,下面再看看管理部分,有什么新的变化。

安全策略与管理制度

11项调整为7项。把1.0中管理制度的第一点单独作为一个控制点,体现对企业总体方针及策略的重视程度增加。

1.对于制定和发布,不再要求论证和审定过程,不再要求注明发布范围并且收发文要登记,只要控制好版本,正式有效发布即可。可以说是响应国家号召,简化流程,去掉一些不必要的繁琐工作。

2.评审和修订,去掉了必须由领导小组进行评审的要求,这简化了不少工作流程。

安全管理机构和人员

36项调整为26项,把安全管理机构与人员安全管理合并到一起。总体要求简化了不少,但是安全工作领导小组还是要有,三员岗位依旧不能单人单岗,安全管理员不可兼职还是依旧按照1.0的要求。

1.授权和审批方面,去掉了过程文档记录的要求。(省了好多事)

2.沟通合作方面,不再要求要与供应商、专家、安全公司保持沟通,不需要每年聘请安全顾问来指导安全工作。

3.去掉人员考核整个控制点。也就是说,只要正常对员工进行安全培训以及关键岗位的技术培训,考核与否不作为检查项了,可以公司自由决定。而且,培训记录和培训课程也不用再归档了。

4.外部人员访问管理,新增对外部人员接入网络访问系统的审批要求,更注重信息安全了:

a) 应确保在外部人员接入网络访问系统前先提出书面申请,批准后由专人开设账号、分配权限,并登记备案;

b) 外部人员离场后应及时清除其所有的访问权限;

c) 获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。

安全建设管理

45项调整为34项。定级和备案合并到了一起,这是比较合理的。

简化了系统安全方案设计的要求,比如不再要求做系统的近期和长期安全建设计划,不再要求定期调整和修订总体安全策略、框架等配套文件。可以说是为甲方省下了一大笔的时间。

1.自行软件开发,增加了新的要求点:

a) 应确保具备软件设计的相关文档和使用指南,并对文档使用进行控制;

b) 应确保在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测;

c) 应确保开发人员为专职人员,开发人员的开发活动受到控制、监视和审查

2.开始强调安全在开发层面的重要性,要求必须进行安全测试,也就是说SDL要强制搞起来了。最后一条属于制度方面的约束,主要是防止核心技术或源码泄露,比如这几天B站的那个啥。该防的还是要防,此外员工的日常访谈工作也要做,把一些完全可以通过谈话解决的矛盾,能够避免的事件消灭在萌芽中。

3.外包开发、工程实施、测试验收和系统交付没有新要求,均简化流程,对甲乙方来说都是好事,但不代表可以偷懒,该做的一些流程和审批还是要做的。

4.等级测评稍微简化了一些,有些描述发生了变化。以前三级系统一年一次,二级系统两年一次,这个是必须的,新的标准里只提到了定期进行等级测评,这个定期是多久没有明确,但是其他研究机构的报告中提到2-4级系统均为一年一次(至少),但具体如何执行,要看测评中心那边怎么说。 

这里再额外说一句,其实按照规定,等保测评必须由测评机构来做,而且是单独的项目,不能由其他厂商或服务商以转包形式打包到项目中。现在好多安服项目都是把等保放在里边作为一项服务,严格来说这么做是不符合规定的。监管部门具体会不会深究这件事,目前还不好说。 

安全服务商选择变为服务供应商选择,新增一条要求:

c) 应定期监视、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制。

这条作为检查项我觉得不太好做,虽然是好事,给了甲方更大的权利去要求乙方,这总监控和审核要怎么来量化和评分,感觉掺杂太多的主观意向和背景关系,反正甲方腰板更直了,乙方越来越孙子了。

系统运维管理

62项调整为49项。个别控制点有新要求。

1.环境管理略过,大多都是云计算,新建的混合云自有IDC也是高标准的A类机房。

2.资产管理竟然不要求有资产安全管理制度了,不知道这是怎么个思路,这样的话只要各部门负责好资产梳理和管理就够了。

3.介质管理变化较大,原本6个要求项,现在减少到2个要求项。那么只要根据新的要求来就好:

a) 应确保介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点;

b) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录。

4.设备维护管理新增2项新要求:

a) 应确保信息处理设备必须经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其中重要数据必须加密;(前边的审批一般公司都会去做,后边做得不太好,这块之前在1.0解读中有说过,大公司有钱有技术就搞DLP,小公司没钱,那就对介质工软件加密一下);

b) 含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,确保该设备上的敏感数据和授权软件无法被恢复重用。(也是提到过的点,量大的交给专业的处理机构,量少的把产品经理头像贴磁盘上交给开发,每人发一个锤子就好了)

5.监控管理和安全管理中心删除,新增漏洞和风险管理,也是符合当前的实际情况,前几年谈风控,现在谈弱点管理,Gartner又搞出来个CARTA,越来越高大上了。新标准就2点,一是漏洞管理,漏扫、打补丁;二是定期安全测评,这个可以自己测,也可以找人测,不是等级测评,属于自查的工作。

6.网络安全管理和系统安全管理合并为网络和系统安全管理,由15项简化为9项,没发现有新增的内容,只是描述略微变化。

7.恶意代码防范管理,去除了查杀记录保存的要求,去除了升级、杀毒等过程的分析记录要求;新增一条要求,定期检验技术措施的有效性。就是不但要及时更新和升级,还要及时调整安全策略,保证防护技术措施确实有效,对于已知的病毒和攻击能够进行防护(apt和ddos这种特殊情况要特殊处理)。

8.新增配置管理控制点,要求备份系统配置信息,至少要包含:网络拓扑、设备安装的组件、软件版本和补丁信息、设备和软件的配置参数;以前没有明确说,现在正是提出了。原文是这两条:

a) 应记录和保存系统的基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等;

b) 应将基本配置信息改变纳入系统变更范畴,实施对配置信息改变的控制,并及时更新基本配置信息库。

密码管理和变更管理无明显变化,都不再要求必须有管理制度。备份与恢复管理,不再要求备份恢复管理制度,但要明确备份方式、频率、存储介质和保存期限, 感觉还是要写个简化版的制度。不再要求定期开展灾难恢复演练工作和其过程记录,对于很多企业可以说是松了一口气,但是从安全角度来讲,建议还是定期来搞,起码一年一次。

安全事件处置和应急预案管理,简化流程,减少过程文档记录的留存,其他无变化。

等级保护市场的变化

这里借用了一些其他大机构和研究所的数据,毕竟我这边没那么多资金去搞调研。说下个人比较直观的感觉(之前有人预测了等保 2.0 带来的 200 亿市场需求,有些道理)。

这里我说下服务方面,初步统计国内三级系统约5w,二级系统约50w(其他研究团队得来的市场数据),那么新标准出来后,这些已定级备案的系统必然要重新定级,这部分的服务费用假设取下限:

L3 Sys x 50000 x 50k = 25亿;

L2 Sys x 30000 x 500k = 150亿;

175 x 0.85 = 148.75亿(这里抛开有些企业就是想躲等保定级,不被查到不去重定级的情况) 

这是现存的市场量,那么全国新增信息系统数量大概多少,这里推算一下吧。直接数据没有,只能通过间接数据粗略估算一下。能找到的数据是国内企业网站增长数量(国家统计到的数据,应该是有备案的网站):

image.png

(来源:data.stats.gov.cn)

可以看出,2015-2017年增长还算稳定。16年增长率1.71%,17年增长1.66%,那么预计18年的增长也差不多在1.6%左右。这么来看,每年应该会有大概8000个备案的新增网站,这类网站虽然备案但未必达到关键基础设施或需要定二级以上的程度,我们大刀一下,还剩4000个需要定级备案的,按照1:10划分三级和二级系统,即364个三级系统和3636个二级系统,众所周知目前定级推广的还是有限,那么需要三年左右时间来开展工作,就会变成121个三级系统和1212个二级系统。

121 x 50000 + 1212 x 30000 = 42410000

约为4000w的咨询服务增长,这是每年的。新标准要求二级以上系统至少每年进行一次复测(以前是二级2年1次,三级1年1次,现在都是至少1年1次了)。 

这个市场基本就是:

148.75 + 0.4 = 149.15亿

年增长0.27%,那么累计每个下一年的市场份额为149.15 x (1+0.0027)^n。

这是初步计算的结果,还不包括已在运行,但是未被监管到未定级的系统数量,要知道网安法要求只要信息系统达到一定量级是必须要定级备案的。所以如果按照国家法律法规执行,预估明年应该光咨询服务就有大概150亿左右的市场。

结尾

随着习总书记发表“4·19”重要讲话以及《网络安全法》的颁布、实施,网络安全的重要性不断提高。“没有网络安全就没有国家安全,没有信息化就没有现代化”已深入人心。希望大家能够重视网络安全工作,不要本末倒置。

*本文原创作者:宇宸@默安科技合规研究小组,本文属于FreeBuf原创奖励计划, 未经许可禁止转载

底图.gif

*本文原创作者:宇宸@默安科技合规研究小组,本文属于FreeBuf原创奖励计划,未经许可禁止转载


本篇为管理要求中系统运维管理的部分,等级保护中内容最多的一个章节。文中内容都是个人观点,如有不对的地方欢迎纠正。文章以等保三级系统为基础,从合规角度解读要求。

前序文章:

等保到底是个啥(一):物理安全部分

等保到底是个啥(二):网络安全部分

等保到底是个啥(三):主机安全部分

等保到底是个啥(三):主机安全部分

等保到底是个啥(四):应用与数据安全部分

等保到底是个啥(五):制度与人员安全部分

等保到底是个啥(六):系统建设管理部分

7-完结撒花S.jpg正文

本部分内容有些地方看起来可能会和技术要求差不多,但是从管理和流程方面来约束的,主要考察管理制度的运行情况。本部分内容较长,建议各位分段看,全部阅读起来可能会需要较长时间。

7.2.5 系统运维管理

7.2.5 系统运维管理
7.2.5.1环境管理(G3)
a)应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;
b)应指定部门负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;
c)应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;
d)应加强对办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、 工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等。

这里又把物理安全的内容重新提了一遍,但重点是管理而非技术。

a) 机房的日常巡检,一般是每日,也可以是三日,最多不能超过一周,不然有些说不过去;这类工作大部分是由运维来负责,除了设备状况和信息告警这类常规检查外,环境和设施也要检查,比如温湿度是不是在合理范围内、灭火系统的压力表是否正常(对于指针位于红色区域的灭火器材要及时更换)、强电设备及UPS运行状况有无异常、机房内有无凝露的情况等等。并且要有巡检的记录和巡检人签名。

b) 本条要求一般只要不是配线间级别的机房都会做得差不多,可能有些企业不会去做各种访问记录、操作记录,但检查时看的就是这些记录文档;从管理角度来看,这些基础的工作还是要做起来的,不能偷懒。

c) 小企业可能没有机房制度或者太简单,大中型企业一般都有,这类制度目前大同小异,都是模板式的文档,可以根据自身情况修改一下,做成宣传板挂到机房或管理室的墙上。

d) 这里是一些安全意识细节,也是不好管理的点,毕竟制度和要求可以有,具体能执行的如何没办法有效控制。本条只是举了几个例子,其实目前不是检查,而是督促企业加强安全意识教育和宣传,不要因为缺少相关意识给企业带来损失,不只是资金上,大公司还有企业形象层面的社会影响。

这里提的就是离职人员,一定要第一时间收回各种权限,门禁、钥匙之类物品;工作设备不用时要手动锁屏,或设置自动锁屏;关键区域外人及无关人员不得访问;敏感类资料不要直接放在桌面,纸质材料不能随便至于办公桌,会议讨论的方案或系统架构类的信息要及时清除(在白板上临时写的一些内容)。

这类细节其实很多,标准不可能穷举。

7.2.5 系统运维管理
7.2.5.2资产管理(G3)
a) 应编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容;
b) 应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为;
c) 应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施;
d) 应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。

资产管理一直都是大事,但一直不被重视,大多数公司摸不清自己的家底,存在边缘资产。这种情况无论是管理还是安全层面都是潜在风险,等被人搞了才知道原来自己还有这么个东西在网络中。

a) 由于标准比较老,这里提的还是纸质的资产列表清单,当前来看基本都是电子清单或者是资产统一管理平台。建议如果有预算还是上一套资产管理系统,若是没钱,那就辛苦点进行资产梳理,尽可能避免存在边缘未知资产。这里其实对于自己的东西还好(接触过一个CIO,下边每个员工的鼠标键盘他都清楚,对资产管理非常重视,但是提到外包人员在企业内部新建的资产清单情况,瞬间就心虚了),重点是第三方人员的管理,比如外包开发软件,要利用企业资源搭建开发环境,测试环境,安服方面演练可能还会搭个靶场什么的,这帮人装了多少个虚拟机,建了多少个数据库,开了多少端口,哪些设备连了外网,这些作为甲方坑内不可能全都弄清楚,那么项目交付后,这些临时的资产(硬件、软件、信息类)是否全部下线或卸载,以我的实际经历来看,大多安全主管、运维主管都不清楚,CIO就更不知道了。所以,这里建议由系统去自动发现和管理资产,尽可能减少人为低级别工作的参与度。

b) 有了上述的资产管理系统,制度就相对没那么重要了,但不代表没用,要约束一些基本原则和流程。

c) 资产梳理清晰之后,就要进行分类分级了,和数据类似,有高中低之分,目的是明确哪些是关键资产,重点保护,出现问题时要优先处理;对于硬件资产要粘贴不易撕除的标签,说明资产类别、编号、SN号等信息,检查时候会看。

d) 本条其实应该在c前边,对于资产分类分级的依据说明,有点像应急预案中的安全事件等级定义;此外后边还提到了对信息的访问权限、传输和存储管理,可以归为数据治理范畴,本人没有深入接触,所以只能提一句。等级测评时,主要做到不用级别的数据有访问权限设置,低级用户访问高级数据要提交申请,审批后才允许访问,并对这个过程进行记录(各种日志),敏感信息存储要加密或专业的防护措施,传输过程要对通信加密。一般能做到这几点,本条的要求点也就基本满足了。

7.2.5 系统运维管理
7.2.5.3介质管理(G3)
a) 应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定;
b) 应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理;
c) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登记记录,并根据存档介质的目录清单定期盘点;
d) 应对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存储介质进行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数据,对保密性较高的存储介质未经批准不得自行销毁;
e) 应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同;
f) 应对重要介质中的数据和软件采取加密存储,并根据所承载数据和软件的重要程度对介质进行分类和标识管理。

介质管理在检查中算是一个重点,但是很多企业做得都不太好,包括一些大型知名企业,安全防护是做的不错,但一到内部管理流程就一塌糊涂。

a) 介质管理制度一定要求,哪怕简单的十几行也可以;网上素材也有,参考一下结合企业实际情况进行可落地的制度修订。

b) 介质要有专门的存储空间,可以是仓库,可以是保密室、也可以是办公室,只要你能保证存放在此空间的介质得到有效保护就行,并且要制定专人管理(没说不能兼职);一般我看到的多数就是一堆移动硬盘、U盘直接放某人的抽屉里(磁带之类的一般还都有仓库存放),或者放档案柜里。别说保护了,就是当一堆办公用品在管。不过换个角度来看,外人也不知道这些东西会涉密,感觉就是一堆垃圾随便乱堆。

c) 这块我接触到的企业没有做到的,要求介质在运输(物理传输太书面了)中要有相关要求和操作,保证数据安全;介质也算资产,包括里边存储的数据,要盘点列入资产清单,存储敏感信息的介质使用和查看都要有审批和记录。这点我印象比较深刻的好像是亚马逊云的一个产品,好像叫Snowball,主要用于灾备运输,就是这玩意。

7-02.jpg

d) 本条就是对介质使用、维修及销毁的管理,对于环境外介质使用的加密和监控很难管理,这部分更多的还是建议制度和追责相结合,毕竟不是谁都有钱搞DLP的,而且企业越大DLP越难实施。至于送修可能不太可能,除非意外,没做备份,介质里的数据很重要,必须去做数据恢复,那么这又涉及到恢复人员可能读取或窃取企业资料的问题,尽量避免这种情况发生。销毁比较好说了,报废的介质,尽可能彻底销毁,不要叫给外部专业机构去做,除非量特别大,一般可以给员工发个锤子,拿着一堆介质去房间里发泄一下,尤其是研发同学(开玩笑)。测评时重点会看介质管理制度,使用、维修、销毁、外带的约束,此外这些操作的记录要有。

e) 就是异地场外备份,此外某些机密信息(非数据库、用户信息数据)电子档,要异地进行备份;后边还提到了一句备份的方式和要求必须一致,不能异地备份有另外一套策略。

f) 在前边几条我已经一起啰嗦出来了,什么DLP啊,资产分类分级啊;如果难以实施,那么最起码的介质分类要做,这个不费时间,加密实在不行就用bitlocker,一人管理介质,一人管理密钥(虽然不是很靠谱,但没办法穷嘛),或者买个保险柜专门保存介质,一人负责档案室大门钥匙管理,另一人负责保险箱密码和钥匙(不能都由一个人去管,容易出事)。这是最便宜的控制方式了,此外介质上要有标签。

7.2.5 系统运维管理
7.2.5.4设备管理(G3)
a) 应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;
b) 应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理;
c) 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等;
d) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作;
e) 应确保信息处理设备必须经过审批才能带离机房或办公地点。

偏运维的管理,包括的制度其实比较多,差不多每一条都要有一个对应的制度,而且,最特么烦的就是没个制度都要跟一个流程,都要有过程记录(可以是电子流程),这就很麻烦了,不过大企业标准流程就是这么搞的,真正跑起来之后其实也不错。

a) 机房巡检里包括这些内容,具体分工各企业会有不同,可以在监控平台进行自动化巡检,比当年省心多了。

b) 设备管理制度要求,信息类物品的采购要有规范,一般是采购部的事情,所以这块的制度我没有写过。

c) 这部分和巡检有重叠,定期巡检查看设备状况也算是维护的一个环节,不过从后半句的描述来看,应该是指与供应商之间的设备维修、更换、升级一类的制度,可以简单写几条。一般来说,企业申请设备维修或更换都会提审批,所以流程应该不会少,就看有没有人管理这些记录。;

d) IT部门员工操作规范/手册,呵呵,大多企业都没有,不过也不算重点项,有最好,没有也无妨,如果人手够,事情不太多,可以试着做一下,好处也是有的,记得要添加主要设备的启动/停止、加电/断电操作方法。

e)  这点对于当前的企业来说,我觉得是废话,没有谁会不打招呼直接把核心交换、防火墙或路由器拆走带出去吧。如果真有,那这种公司我觉得就不要搞什么IT了,不适合。检查时,一是看机房制度,二是看审批记录。一般是设备维修或更换才会带离机房。

另外在终端层面,做得好的公司都会有策略,确保外部办公设备的保密性;做得不好的,压根不担心,因为那些东西丢了也无所谓。重点还是制度宣传,追责和惩罚来约束。

7.2.5 系统运维管理
7.2.5.5监控管理和安全管理中心(G3)
a)  应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存;
b)  应组织相关人员定期对监测 和报警记录进行分析、评审,发现可疑行为,形成 分析报告,并采取必要的应对措施;
c)  应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项 进行集中管理。

a) 网络监控平台,对机房所有设备进行监控,一般都会自带报表生成功能;没钱买,那就搞开源好了,也可以用,主要好安全防范,不要被当做突破口就好。

b) 流量分析、日志审计、态势感知,配合做好应急预案,基本就差不多了,态势感知可能有点扯,但是前两个应该问题不大。

c) 部署漏洞管理平台,HIDS,可以参考下安骑士的那些功能,很像这种防护软件。如果没预算,那最基本的把补丁管理做好,这块测评时也说得过去。

7.2.5 系统运维管理
7.2.5.6网络安全管理(G3)
a) 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;
b) 应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;
c) 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;
d) 应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
e) 应实现设备的最小服务配置,并对配置文件进行定期离线备份;
f) 应保证所有与外部系统的连接均得到授权和批准;
g) 应依据安全策略允许或者拒绝便携式和移动式设备的网络接入;h) 应定期检查违反规定拨号上网或其他违反网络安全策略的行为。

管理的东西比技术还多,全做到可能性不大,投入人力和时间太多。中小企业确实搞不起,可以选择性来做,成熟后再逐步完善。

a) 指定网络管理员(AB岗,不可与其他运维职位兼职),做好日常运维工作,做好巡检记录;

b) 已经说的很明白了,制定一份网络安全管理制度,包括配置管理(这里只提到了安全配置,其实网络配置也要一起备份)、日志管理(6个月)、安全策略(根据实际情况来写)、补丁管理(之前说的漏洞管理平台)、密码管理(一般3个月换一次,8位以上,复杂度要求)。这只是为了应付检查来写的内容,如果认真去搞安全运营,还会涉及其他内容。

c) 及时更新设备版本,规则库,后边很良心的还提示了,升级前做好备份工作。

d) 同样是补丁管理的一个环节,定期漏扫已经成为常态,不再是问题了。

e) 最小化安装原则,没必要的服务和插件、软件一律不装,对于系统配置文件定期备份(建议不要超过一周),存储到介质或其他存储设备。

f) 本条强调私自连接外网的情况,现在手机都可以开热点,笔记本一联,防不胜防,考技术手段来防,策略设置比较复杂,增加额外成本,建议还是以思想教育为主,提高员工安全意识,这是最靠谱的。我说的有点引申了,其实测评主要考察的就是能够访问外网的设备,必须是经过审批授权的。

g) 同f,加强安全意识,用惩罚来威慑。

h) 拨号上网具体指什么,这么多年一直没有个明确的概念,个人感觉应该就是私自连接外网的行为吧,技术要求中提出要能够检测内部设备私接外网的行为,技术层面可以做,但是费时费力费钱,从个人角度来看,说到底还是加强管理更靠谱一些。

7.2.5 系统运维管理
7.2.5.7系统安全管理(G3)
a)应根据业务需求和系统安全分析确定系统的访问控制策略;
b)应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;
c)应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装;
d)应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定;
e)应指定专人对系统进行管理,划分系统管理员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则;
f)应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作;
g)应定期对运行日志和审计数据进行分析,以便及时发现异常行为。

这里有点重复啰嗦了,不过也逐条说一下。

a) ACL运维层面都会去做,安全层面也会去做,最基本的划好安全域,做好不同组别的逻辑隔离,不同权限的访问限制,基本也就够了,再细的东西要看实际情况。

bc) 漏扫不再重复了。

d) 主机层面的安全管理制度,和前面的网络安全管理制度其实差不多,不再重叙。

e) 指定系统管理员(AB岗,不能兼职其他运维职位),要有岗位职责说明,注意做好权限分离,不要一个人拥有所有权限;系统同样权限最小化原则。

f) 前边说的操作手册,来了吧,这里是检查是否按照操作手册去执行,记录有没有做,对于违规操作有没有惩罚和处置记录。

g) 一般驻场人员会做这个事情,不过现在大多配备日志审计和安全设备,有问题会直接告警。如果这些设备都没有,那要制定一个人定期查看这些日志,工作量较大。

7.2.5 系统运维管理
7.2.5.8恶意代码防范管理(G3)
a)应提高所有用户的防病毒意识,及时告知防病毒软件版本,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查;
b)应指定专人对网络和主机进行恶意代码检测并保存检测记录;
c)应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定;
d)应定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表和总结汇报。

本节主要讲主机层面的杀软和网络层面的防病毒设备。

a) 这条讲了2点。1注意这里提的是用户,除了员工还包括你的用户;这就有点难搞了,内部人员可以培训,外部人员可以在软件使用帮助中加入安全意识提示标语或描述,或者在用户协议、操作手册中体现防毒意识的内容。2对于新的病毒和漏洞,及时告知用户。

b) 定期杀毒,记得留记录,检查时要看你有没有做过全盘扫描,周期频率多久;对于linux这类的系统,有的单位裸跑,中招了手工处理,如果有这样的团队能搞定这事也可以,若不是,那你想好了现场怎么跟对方解释。这里还隐含了一点,记住不要用破解版,你可以用免费版,但不能盗版,如果发现用盗版,本条直接就GG了。

c) 及时更新病毒库和版本。

d) 前边还好,杀软本身都会记录查杀过的病毒文件,但是对已发现的病毒进行分析和整理,并记录汇总,这点做的其实不多,一般都是中招的病毒才会去分析,如果直接被拦下的可能不太会在意。作为普通甲方来说,确实没必要,但如果有自己的知识库的,可以试着去做,检查的时候不是非要去做,本项非一票否决项。

7.2.5 系统运维管理
7.2.5.9密码管理(G3)
应建立密码使用管理制度,使用符合国家密码管理规定的密码技术和产品。

这个没必要说了,密码学东西很多,这里提到的是符合国家规定的密码技术和产品。另外对于密码管理要有制度。 

7.2.5 系统运维管理
7.2.5.10变更管理(G3)
a) 应确认系统中要发生的变更,并制定变更方案;
b) 应建立变更管理制度,系统发生变更前,向主管领导申请,变更和变更方案经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告;
c) 应建立变更控制的申报和审批文件化程序,对变更影响进行分析并文档化,记录变更实施过程,并妥善保存所有文档和记录;
d) 应建立中止变更并从失败变更中恢复的文件化程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。

变更管理时运维的一个重要流程,企业应该重视,包括乙方在内。

a) 变更要提前申请,提交完整的变更方案,其中包括回滚方案;

b) 变更管理制度,网上很多,目前已经很完善了,很多是针对项目的,运维方面的也有。不多做解释了,模板里写的都不错。

c) 变更要有流程,无论纸质还是电子流程,要适用、合理,不能为了应付弄个简化流程,这样不合适,不利于企业日后管理,留存好记录。

d) 这点就是回滚/恢复详细方案(中止变更流程,包含在变更流程中,是一种特殊情况),对于重要系统的变更,要预先进行演练,确认方案没问题再予以实施。

7.2.5 系统运维管理
7.2.5.11备份与恢复管理(G3)
a)应识别需要定期备份的重要业务信息、系统数据及软件系统等;
b)应建立备份与恢复管理相关的安全管理制度,对备份信息的备份方式、备份频度、存储介质和保存期等进行规范;
c)应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法;
d)应建立控制数据备份和恢复过程的程序,对备份过程进行记录, 所有文件和记录应妥善保存;
e)应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。

备份和恢复是重点检查项,总结一下,主要会关注几个点:

首先灾难恢复计划时针对重要关键业务通,不是所有系统,一般系统只要有一定备份恢复可行方案即可,分优先级做备份恢复管理;

制度必要要有;

关键系统实时备份,场外备份,异地备份,6个月至少;

有钱的搞双活,没钱的搞双机双线;

定期进行灾难恢复演练,验证可行性、有效性,一般一年至少一次(建议)。

7.2.5 系统运维管理
7.2.5.12安全事件处置(G3)
a)应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;
b)应制定安全事件报告和处置管理制度,明确安全事件的类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责;
c)应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分;
d)应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等;
e)应在安全事件报告和响应处理过程中, 分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存;
f)对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。

应急响应管理,目前外包形式较多,有自己应急团队的没多少。大多企业关心的还是出事了尽快搞定,别影响有任务,别影响形象,不出事的情况:跟我有毛关系,搞它干毛。

a) 渗透或无意中发现的漏洞,及时上报,不要去搞事,现在是要关小黑屋的。有些乙方的工程师,水平还可以,没事喜欢去挖洞,挖到了还喜欢去搞事,以前可能还好,最近如果还这么玩,估计很快会被公安请去喝茶。还有一点,没有授权,不要去搞政府网站,不要作死。

bc) 应急预案,不是那种随便写写的,看后边的要求,要包括事件分级、报告流程、应急流程、还有操作方法等。可以参考《国家网络安全事件应急预案》。

de) 应急预案的细节,对于一些常见的已知攻击或病的,要在附件形式附上不同状况的操作指导手册。至于应急响应的流程和每步操作,建议去看下ISCCC的应急处理资质的要求,里边虽然都是要求的内容,但是对于每步该走什么,该留存什么都很详细。官网可以下载《信息安全服务资质自评估表-应急处理类填写指南》。

f) 这条说的有点不太理解,中断和泄露为什么要用不同的预案和流程,这类可以定义为重大或特别重大安全事故,其实处理起来的过程差不多,只是造成的影响比较严重。有了解的同学可以解释一下。

7.2.5 系统运维管理
7.2.5.13应急预案管理(G3)
a)应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;
b)应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障;
c)应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次;
d)应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期;
e) 应规定应急预案需要定期审查和根据实际情况更新的内容,并按照执行。

和应急响应章节相关,属于安全事件未发生前的预防措施。

a) 这条我是凭个人理解,针对不同的关键系统或基础设置制定不同的应急预案,由于业务原因应急方式可能会存在不同,所以不是一套预案就能使用所有系统。一般是指较大的企业。

b) 这条纯属屁话,众所周知,安全的预算你懂的。不过网安法出台了,等保强制了,也可以拿这条规定试着跟领导提要求,万一同意了呢。O(* ̄__, ̄*)o

cd) 已经白话了,不用再解释了;都是每年至少一次,没如果不做,测评时会扣分,印象中。

e) 建议和演练一起搞,每年修订一次,1-2年可能不变,要说3-5年还不变,就是扯了,一定要考虑预案的适用性,随着系统和业务的变化也要及时变更。不只是应急预案,同时也包括其他在行的制度和流程。安全是一个不断循环的过程。

结尾

到此为止,等保到底是个啥系列全部更新完成(说实话,我都不信我能写完这个系列)。希望能够帮到有需要的人,文中大多是个人经验和理解,肯定会有不当的地方,欢迎随意吐槽和纠正。感谢FB和各位的支持。

*本文原创作者:宇宸@默安科技合规研究小组,本文属于FreeBuf原创奖励计划,未经许可禁止转载

*本文原创作者:宇宸@默安科技合规研究小组,本文属于FreeBuf原创奖励计划,未经许可禁止转载

本篇为管理要求中系统建设管理的部分,文中内容都是个人观点,如有不对的地方欢迎纠正。文章以等保三级系统为基础,从合规角度解读要求。本部分为人员安全和安全管理机构部分。

往期内容请戳:

等保到底是个啥(一):物理安全部分

等保到底是个啥(二):网络安全部分

等保到底是个啥(三):主机安全部分

等保到底是个啥(三):主机安全部分

等保到底是个啥(四):应用与数据安全部分

等保到底是个啥(五):制度与人员安全部分

正文

不多说了,直接进入正题。最后两个部分,内容比较多,分别进行解读。

7.2.4 系统建设管理
7.2.4.1系统定级(G3)
a) 应明确信息系统的边界和安全保护等级;
b) 应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由;
c) 应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定;
d) 应确保信息系统的定级结果经过相关部门的批准。

系统定级在以前并非强制,一般都是政府部门、事业单位会被要求必须定级。但是2017年6月《网安法》出台后,要求所有系统原则上都必须定级备案,这样一来,政府、国企、事业、大中型私企都要定级,只有部分很小的系统,对社会影响可以忽略不计的那种可以不去做,不过如果后期业务发展,要与大公司或政府合作,那还是要备案,所以基本就是说只要你有运行的系统就要定级备案。

对于如何定级可以参考GB/T-22240-2008,里边写的比较详细,在后边备案和测评章节会简单解释一下,因为内容比较多,五个级别,各级别的定义,三个客体,影响程度,定级矩阵,标准里都有提到。

a) 说得是边界的界定,定级以系统为单位,要明确边界,不能无限延伸,一般来说按照老的标准,从边界防火墙到核心,再到系统所在的服务器区间,以及下边可以访问该系统的PC或移动端,这一整套网络都属于该系统,那么边界就是从防火墙到用户终端这么一个圈;

b) 一般定级都会先提交系统相关的详细资料,之后会填下定级报告;国家提倡自主定级,就是企业自己组织专家组或聘请第三方专家来为系统定级,主要依据还是系统对社会影响的程度,系统的量级(参考GB/T-22240),一般来说大多系统会定为二级,一部分为三级,四级系统一般会有国家级机构来定,五级系统就不是我们操心的了。各省级测评机构最多有权测评三级系统。

c) 这块其实感觉有些多余,一般来说自定级和专家评审之后,会把定级结果送交到公安,如果合理会走后续流程,如果不合适会通知重新定级;所以这个正确性与否其实让公安来把控就好了,不过一般来说大多不会定错级,除非有些企业为了投机故意低报级别。

d) 去公安申报,先申请备案,按正常流程走就可以,这是外部流程。企业内部要对系统定级,要先向上级申请,提出某系统要进行定级备案,经高层审批通过后,开始执行外部流程。注意不要只考虑外部流程,忘了内部审批流程。

7.2.4 系统建设管理
7.2.4.2安全方案设计(G3)
a)应根据系统的安全保护等级选择基本安全措施,并依据风险分析的结果补充和调整安全措施;
b)应指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划;
c)应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件;
d)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施;
e)应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案 等相关配套文件。

a) 本项在1.0本中解释起来有点麻烦,不过按照最近的“三同步”解释,大家都明白了,在系统设计初期就要考虑安全性的问题,如果还不太了解,可以参考SDL中安全设计阶段,一个是对软件,一个是对系统,目的相同。

b) 类似于要启动项目就要建立一个项目组团队,系统定级备案也是一样,不是一个人就能搞定的事(包括系统设计和建设),然后要有项目计划,这点不难理解。

c) 这里说的是提前规划的情况,目前大多数还是先有系统后做定级,这种三同步的规划没多少企业会真正落实,规划周期长,设计复杂,而且当年没有强制性要求,没人关心定级的事;本项要看的就是系统当初设计时的设计文档,各阶段的记录和报告,类似于SDLC。

d) 本项是c的后续流程,按照正常流程,设计方案要内部评审,通过后才可正式实施,不过做到这么细的国内公司还是少数,而且中间的记录文档也不全,检查的时候很多东西都是临时伪造,补充出来的,其实这部分主要强调的还是流程管理的东西,检查时能拿出系统设计方案内部评审报告和记录就OK.

e) 按照要求二级系统2年一次复测,三级系统1年一次复测,这期间系统多少会有功能上的变更(如果有大变化就要重新定级),这样一来,系统相关的文档肯定会有变化,本项检查的就是不同版本变化中的过程文档和记录。

7.2.4 系统建设管理
7.2.4.3产品采购和使用(G3)
a)应确保安全产品采购和使用符合国家的有关规定;
b)应确保密码产品采购和使用符合国家密码主管部门的要求;
c)应指定或授权专门的部门负责产品的采购;
d)应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。

本节内容没什么可细讲的,都是按照相关标准采购设备和产品,采购部门基本会按照这些要求来选择供应商。这里额外会要求一点:政府、国企、央企和国资背景企业的关键系统不能使用国外网络产品(Ciso、Juniper这类),私营企业没有这方面的要求。如果有可能,尽量采购国产产品和软件。

7.2.4 系统建设管理
7.2.4.4自行软件开发(G3)
a) 应确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试结果受到控制;b) 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;
c) 应制定代码编写安全规范,要求开发人员参照规范编写代码;
d) 应确保提供软件设计的相关文档和使用指南,并由专人负责保管;
e) 应确保对程序资源库的修改、更新、发布进行授权和批准。

有自己开发团队的情况下:

a) 一般来说,测试环境基本都是封闭的,和外网、生产网、办公网这些都没有通信,这单还比较容易做到;开发人员和测试人员分离,一般可能做不到,毕竟经常要在一起讨论,所以实际检查中,更多的是关注测试环境的隔离情况。

b) 检查中会查看开发人员的行为规范和操作规范,开发部门管理制度等一系列文档;

c) 编码规范估计每家公司都会有,但不是有就可以,要看你有没有去按照规范去做,一般就是日常的编码规范和编码安全培训,以及在行为准则中如何规定的。

d) 本点要求是系统要有开发各阶段的文档,以及系统的使用手册/指南,往往都是各阶段文档齐备,但是缺少使用指南(文档和指南都是便于交接工作,由于人员变动,时间久了很多东西根本不从查起,如果没做好文档和流程管理,就会造成新人接手系统一问三不知的情况)。由专人负责保管这项不是重点,因为临时安排一个人来应付检查,也没法查出来。

e) 还是流程的事,版本变更,功能上线,系统发布都要有过程记录。

7.2.4 系统建设管理
7.2.4.5外包软件开发(G3)
a)应根据开发需求检测软件质量;
b)应在软件安装之前检测软件包中可能存在的恶意代码;
c)应要求开发单位提供软件设计的相关文档和使用指南;
d)应要求开发单位提供软件源代码,并审查软件中可能存在的后门。

外包第三方开发团队的情况:

a) 系统的功能测试,压力测试等,要保留测试报告以备检查;

b) 系统安全测试,白盒、黑盒、交互式等的测试,要有系统上线前的安全测试报告,并且对发现的漏洞已进行整改(一般是针对中高危级别的漏洞);

c) 很多企业外包开发,系统功能OK就可以了,需求文档、设计文档、设计方案、测试文档全都没有,检查的时候,外包商又说之前的员工离职了,现在这个系统的具体信息我们也不太清楚,这种局面就很闹心了;所以说,对外包商要求严一点,以后给自己找的麻烦就会少一点。

d) 和b有点重复,类似于代码审计工作,一般中小企业不太会花钱去做这块,大多找个开源工具扫一下,挑几个高危的修修了事。大型企业这块做的比较好(接触过的几家),各种安全测试、代码审计、渗透测试,能做的都会做,虽然不强制要求中小企业也这么去搞,但是希望在能力范围能尽力去做好安全工作,不要为了应付检查做一下表面工作。

7.2.4 系统建设管理
7.2.4.6工程实施(G3)
a)应指定或授权专门的部门或人员负责工程实施过程的管理;
b)应制定详细的工程实施方案控制实施过程, 并要求工程实施单位能正式地执行安全工程过程;
c)  应制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。

无论自研还是外包,肯定都会指定一个项目经理,一般来说会是甲方的人,也可能叫负责人,乙方的叫项目经理,主要就是负责把控项目进度和质量。实施部分要有详细的实施方案,进度计划表,启动会记录,里程碑记录,变更记录,延期记录(如果有的情况)。甲方对于项目实施会有一些管理制度,保密协议之类的,检查的时候不会非常细,但是会看各阶段的文档记录,以证明项目是按照计划和流程稳步推进的。

7.2.4 系统建设管理
7.2.4.7测试验收(G3)
a)应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告;
b)在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告;c)应对系统测试验收的控制方法和人员行为准则进行书面规定;
d)应指定或授权专门的部门负责系统测试验收的管理,并按照管理规定的要求完成系统测试验收工作;
e)应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。

a) 一般开发团队不会负责安全问题,所以会由安全团队来做测试,大多是以第三方就是乙方来做安全测试(代码审计、黑盒、渗透、基线等等);如果有自己的安全团队也可以内部来搞,但是不能水,要认真测试。检查时会看测试报告,包括代码审计报告、渗透测试报告、漏扫报告等。

b) 这点要求的就是两个文档,一个是验收方案(甲方会明确怎样才算合格);另一个就是验收报告,里边约定验收结果,并由甲乙方盖章签字。

c) 说实话这条我也没详细查过,一般都是略过去,所以无法解释,有了解的可以留言补充一下;

d) 这点很好理解,制定专人或部门来管理验收工作,临时指定等项目结束再解聘也是可以的,不过要有文档能证明此项工作;

e) 一般都会在项目验收(报告会)同时进行,高层领导、技术专家也会出席,同意后才会盖章签字,可以在项目验收会的签到表中体现。

7.2.4 系统建设管理
7.2.4.8系统交付(G3)
a)应制定详细的系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;
b)应对负责系统运行维护的技术人员进行相应的技能培训;
c)应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档;
d)应对系统交付的控制方法和人员行为准则进行书面规定;
e)应指定或授权专门的部门负责系统交付的管理工作,并按照管理规定的要求完成系统交付工作。

交付部分很容易理解,不需要详细解释了吧。同验收部分一样,d项检查的时候没有特别要求客户去做,所以这块还是不太了解。其他部分类似的。

7.2.4 系统建设管理
7.2.4.9系统备案(G3)
a)应指定专门的部门或人员负责管理系统定级的相关材料,并控制这些材料的使用;
b)应将系统等级及相关材料报系统主管部门备案;
c)应将系统等级及其他要求的备案材料报相应公安机关备案。

7.2.4.10等级测评(G3)
a)在系统运行过程中,应至少每年对系统进行一次等级测评 ,发现不符合相应等级保护标准要求的及时整改;
b)应在系统发生变更时及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改;
c)应选择具有国家相关技术资质和安全资质的测评单位进行等级测评;d)应指定或授权专门的部门或人员负责等级测评的管理。

备案和测评这两部分放在一起来说,是一个连续的过程。

定级前要知道的几点,等级保护制度主要监管方式公安部,分为五个级别,涉及三个客体,即:

a) 公民、法人和其他组织的合法权益;

b) 社会秩序、公共利益;

c) 国家安全。

对客体的危害程度分为三个级别:

a) 造成一般损害;

b) 造成严重损害;

c) 造成特别严重损害。

了解了这些基本的定义后,就好解释了。定级依据的矩阵如下:

如何来定级的流程如下:

定级备案其实是一起的,要先到当地公安进行备案,然后会让你提交一堆文档,包括:备案表、工作自查表、基本情况调研表等等;此后要先自定级,提交定级报告;再之后聘请测评机构对系统进行测评—整改—复测—下发备案证明—每年监督检查。

总结一下基本是这样一个流程:

如果定级备案后,系统有较大变更,比如新增一个模块,需要聘请专业机构进行重新定级,上述流程要重新再来一次。如果这种情况不报,被年检查出来,企业和负责人要接受警告或处罚。(详细的可以参考22240)

7.2.4 系统建设管理
7.2.4.11安全服务商选择(G3)
a)应确保安全服务商的选择符合国家的有关规定;
b)应与选定的安全服务商签订与安全相关的协议,明确约定相关责任;
c)应确保选定的安全服务商提供技术培训和服务承诺,必要的与其签订服务合同。

属于第三方管理制度范畴,这里说的比较简单,至少要有供应商管理制度、供应商服务合同、服务详细说明等文档。推荐看一下ISO 27002中15 供应商关系部分的细节(内容较多,不进行扩展了)。

结语

以上为管理要求在系统建设管理部分的要求。内容比较多的一部分,更多的是强调流程和记录。如果看过ISO27002或者C5(今年开始叫做COBIT2019了),那么理解起来就很容易了。

*本文原创作者:宇宸@默安科技合规研究小组,本文属于FreeBuf原创奖励计划,未经许可禁止转载

*本文原创作者:宇辰,本文属于FreeBuf原创奖励计划,未经许可禁止转载

本篇开始进入管理部分的介绍,文中内容都是个人观点,如有不对的地方欢迎纠正。文章以等保三级系统为基础,从合规角度解读要求。本部分为人员安全和安全管理机构部分。

往期内容请戳:

等保到底是个啥(一):物理安全部分

等保到底是个啥(二):网络安全部分

等保到底是个啥(三):主机安全部分

等保到底是个啥(四):应用与数据安全部分

插图.jpg

正文

写在前边的几句话,本来是打算技术部分写完就结束的,但有人评论回复说希望能更新管理部分,所以就继续更新了后边的内容。由于管理层面的东西偏向于宏观,很多东西不像技术指标,无法度量,各人有各自的理解,所以大家只当做一个参考就好,很多要求描述也不同于技术层面,比较容易理解,所以可能会结合一些IT治理和资质体系上的东西稍微展开一点。没有写安全管理机构,是因为已经有人写过,而且说得也比较细,大家可以去看一下。

信息安全等级保护三级要求,安全管理机构多年测评经验分享

PS:看完27001、27002、COBIT5之后发现,等保和它们很像,但没它们细,估计彼此都有借鉴之处。

7.2.1 安全管理制度
7.2.1.1 管理制度(G3)a) 应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;b) 应对安全管理活动中的各类管理内容建立安全管理制度;c) 应对要求管理人员或操作人员执行的日常管理操作建立操作规程;d) 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。

安全制度部分的要求其实不难理解,但做起来挺费事费力也费脑的,尤其对于刚开始搞安全建设的企业,有好多工作需要开展。

a)俗话说“人无头不走鸟无头不飞”,不论国内外,凡事都要有个目标或目的,要有个合理的原有才能去做。这也是为什么国内外所有体系和标准在管理上,都要把方针和策略放在第一位来说,27001、27001的第一个控制域A5就是信息安全策略、CISSP、CISM第一章就是安全治理、CGEIT的第一章是企业IT治理框架、COBIT5的第一个动力是原则、政策和框架而第一个流程就是确保治理框架的设定和维护。所以说这点是安全建设的根本,大家不要觉得都是扯淡,没什么卵用。如果是有经验的CIO或CISO是非常重视IT治理目标的。这个目标简单概括就是要保证几点:首先必需要符合企业战略目标,不能有冲突;其次IT要称为推动企业发展的动力而非阻力;最后IT必要能为企业创造价值。这是宏观层面的要求,也可以简单点,目标就是保证企业本年度的宕机时间保证在多少小时内,或是本年度重大级别安全事件发生不多于几次(简单例子,便于理解)。当然,企业越大目标会越细。

b)这部分是总体性要求,就是说对于安全相关的各类活动都要有相应制度规范(机房管理、保密制度、系统上线管理、供应商管理等),从检查角度出发,不一定要多细,但是要有东西。从安全建设角度来看,提倡尽可能细化,但不代表啰嗦,废话不要写,制度要挑干货,可以作为指导手册来引导员工完成日常工作。

c)工作指导手册,一般企业是做不到这么细的,所以检查中这项基本为扣分项。结合上一条所说的内容,这里比如一位运维的同学,每天主要工作就是查看设备日志和配置信息以及备份,那么可以编写一本日常运维管理操作手册,里边图文方式知道管理员的操作步骤以及注意事项,这样对于新人或临时人员替换有很大帮助,从流程上来说也便于实现标准化管理。(当然现在的自动化运维也可以实现这类工作,而且也是趋势)

d) 公司管理体系或制度的一个总纲索引,类似于27001的一级文档,描述了信息安全体系背景,目标,适用范围以及包括哪些方面的管理规范(当然下边的各部分管理制度要有,不能光拿一个总纲当做企业的安全体系,这是自欺欺人)。

7.2.1 安全管理制度
7.2.1.2 制定和发布(G3)a) 应指定或授权专门的部门或人员负责安全管理制度的制定;b) 安全管理制度应具有统一的格式,并进行版本控制;c) 应组织相关人员对制定的安全管理制度进行论证和审定;d) 安全管理制度应通过正式、有效的方式发布;e) 安全管理制度应注明发布范围,并对收发文进行登记。7.2.1.3 评审和修订(G3)a) 信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;b) 应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。

这部分的内容比较好理解了,其实属于文档规范的要求,企业应该关注的几个重点就是,文档要有专门负责的人或部门,每个版本都要有留存(因为检查的时候要用,此外内外审的时候也有用),每年要至少对现有制度评审和修订1次,偷懒点说,哪怕你只改个版本号,改下描述也可以,不过倒不建议大家这么来做安全建设(=__,=)。再就是流程的事了,制度更新一定要在OA或者内部正式发布并通知到所有相关部门(比如机房管理制度,就没必要通知研发部门)。

其中还提到了一点,对合理性和适用性进行审定,普通企业一般做不到这点,要具备一定建设规模后才可能有经历去做这些持续改进的事情,不是强制要求的,但建议去做,因为持续改进在国外体系中是重点。

7.2.3 人员安全管理
7.2.3.1 人员录用(G3)a) 应指定或授权专门的部门或人员负责人员录用;b) 应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核;c) 应签署保密协议;d) 应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。

这块其实大部分是人力的事,不过既然标准中提到了,那么我们作为中层或基层的也要明白该做些什么。人员管理每家公司都会有自己的管理制度,其他的可以缺,这块一般都不会缺。录用前要对录用人进行背景调查,不是询问本人那种,要真的去做一下调查,之前公司的回访、社保情况调查、家庭背景简单调查都要做一下,这里不是为了检查,主要是为了不要预留隐患。

保密协议不用多说,必须签署,有的还会签署竞争保护协议(不过没什么卵用,法律上也不承认)。对于关键核心类的岗位,一般会从内部提拔(政府和国企都是这样的,中高层很少社会招聘,一方面考虑安全问题,一方面你懂的)。对于企业可能目前国内环境不太好做到这点,毕竟人员流程性太大,你想提拔的人没过多久就离职了。所以很多主管、CIO、CISO的职位都是挖来的,首先要花一段时间了解公司情况,业务以及现有体系,此外个部门以及下属员工都要一一了解。最后提到的岗位安全协议,有点类似劳动合同,不过规定的是甲方乙方的职责和义务,以及处罚等条款。

这里贴一下国外系统对于人员管理的一些要求(摘选自CISSP OSG)

人员安全管理措施:招聘前的需求定义与分析,对应聘者背景进行调查,签署雇佣合同和保密协议,加强在职人员的安全管理,严格控制员工离职程序。

背景调查的目的是防止因人员解雇而导致的法律诉讼、因雇佣疏忽而导致的第三方法律诉讼、雇佣不合格人员、丢失商业机密。PS:员工从一般岗位转入信息安全重要岗位,应对其进行检查。

签订保密协议:NDA(NonDisclosure Agreement保密协议)和NCA(NonCompete Agreement竞业禁止协议)。协议上应有员工签名并由其保存一份副本,对于试用期员工,应签订保密承诺。第三方用户使用信息处理设施前,也要签订保密协议。

7.2.3 人员安全管理
7.2.3.2 人员离岗(G3)a) 应严格规范人员离岗过程,及时终止离岗员工的所有访问权限;b) 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;c) 应办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开。

人员离职也是管理上的一个重点,如果员工蓄意搞事情,真的是没什么办法,虽然可以付诸法律,但是给企业造成的麻烦和损失是很大的。

一般确定员工离职后,国内最先要做的是权限收回,办理交接;国外首先是强制假期,然后是收回权限,最后进行交接。有些区别的。此外,这里强调人员离职前要人力部门再次确认一次保密义务,这点很多企业都没有去落实。

其实对于人员管理,我比较推崇党内那套思想教育的方式(也可以叫洗脑=。=)。按实际来看确实很有用,可以提高凝聚力,又可以提高员工的意思和觉悟,有助于人员的稳定和管理,现在大多企业团队带的一盘散沙,说走就走,没事就闹矛盾,这样的队伍何谈帮企业创造价值,能保证业务运行已是不易。管理属于新兴学科,目前还在发展阶段,好多没听过的理论,其实深究也是一门技术(在看《管理学中的伟大思想》,缓慢进行中),我比较提倡人性格管理,因人施教,发挥个人的强项,团队内、团队间互补,不要搞全能型、平衡化的管理和计划,要什么人是招聘前要计划好的,而不是招聘后去改变一个人。

7.2.3 人员安全管理
7.2.3.3 人员考核(G3)a) 应定期对各个岗位的人员进行安全技能及安全认知的考核;b) 应对关键岗位的人员进行全面、严格的安全审查和技能考核;c) 应对考核结果进行记录并保存。7.2.3.4 安全意识教育和培训(G3)a) 应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;b) 应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒;c) 应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训;d) 应对安全教育和培训的情况和结果进行记录并归档保存

培训和考核放在一起说,一般来说是一个先后的顺序。
先说培训,几个必要的培训是每年都要做的:包括安全意识、保密意识、技术技能等,其他方面可以根据自身情况来计划。这里安全意识建议每年2次(全员),保密培训每年2次(全员),技术培训(技术/关键岗位)根据实际情况来定。主要依据是国家安全服务资质里的要求,没有提到次数,但必须每年都要做的事。必须制定年度培训计划,培训要保留PPT、讲稿、签到表等资料,如果有视频更好(非硬性要求)。此外,标准提到安全责任和惩戒措施,这就是公司的员工手册,一般总公司会有一份,各部门内部可能也会有自己的手册,里面明确哪些可做、哪些不可做,怎样属于违反规定,如何奖励、如何惩罚这类的制度。要每年对安全相关人员进行告知,结合前边的安全岗位协议书要求,一起执行。如果有违规事件,要保留记录。

接着是考核,一般来说培训之后会进行考核,成绩作为KPI考核项。虽然员工都很反感这种东西,但是毕竟有些事有些人,不强迫是不行的。从管理者的角度来看,这也是一种处置方法。对于全员的安全意识,可以不做考核;对于安全人员或运维人员的技术培训,就要进行考核,并且考核结果作为记录保存。检查的时候,一般会查看培训的签到表、考试成绩单、试卷等文档。

7.2.3 人员安全管理
a) 应确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或监督,并登记备案;b) 对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。

这部分就比较容易理解了,外来人员来访登记,机房出入登记,外包服务人员签到都属于外部人员访问管理范畴,除了流程和登记过程外,还要有对外来人员的一些规定制度。这里贴一点之前给别人写的外部人员管理规范(非全篇,已脱敏,做个参考)。

制度01.png

制度02.png

结尾

 以上为管理要求在安全制度管理和人员安全管理部分的要求。这部分东西不敢展得太开,容易长篇大论,主要还是停留在等保的层面,助于大家理解,本人思路偏甲方思维,乙方的同学不要吐槽。最后欢迎各位纠正和讨论,欢迎提供各类意见。

*本文原创作者:宇辰,本文属于FreeBuf原创奖励计划,未经许可禁止转载

本篇将会介绍等保中应用和数据层面的安全要求,文中内容全是本人个人观点,如有不对的地方欢迎纠正。文章以等保三级系统为基础,从合规角度解读要求。应用部分和数据部分内容相对较少,合在一起来说。

往期内容请戳:

等保到底是个啥(一):物理安全部分

等保到底是个啥(二):网络安全部分

等保到底是个啥(三):主机安全部分

应用与数据.jpg

正文

本部分从应用和数据安全两个层面解读标准要求。其中会有很多重复的要求,只是针对的层面不同,可以参考之前网络或主机部分,下文中不再做解释。 

7.1.4 应用安全

7.1.4.1 身份鉴别(S3)

a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别;

b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;

c) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;

d) 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;

e) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。

该部分没有太多新内容,看过之前几部分后,会觉得很多都是同样的要求。简单说下有些细微区别的点:

c中提出对鉴别信息有一项额外要求,不只是后台管理员,包括用户账户在内不能出现重名的情况,测评时会现场创建2个同名账户,看系统会不会提示此用户已存在;e中说的是在有这些功能的前提下,必须要启用,不用起来也是不行的。

7.1.4.2 访问控制(S3)

a) 应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;

b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;

c) 应由授权主体配置访问控制策略,并严格限制默认账户的访问权限;

d) 应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;

e) 应具有对重要信息资源设置敏感标记的功能;

f) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。

本节主要说应用系统自身所具备的访问控制能力,用户权限管理、数据分级分类以及日志记录。

a) 要求对用户访问权限进行限制,后台要有用户权限矩阵,防止越权行为发生;

b) 说的是应用系统自身的日志记录,至少要包括登录、退出、注册、注销、操作、更改、创建、删除等行为的记录,还要包括是谁、什么时间、什么类型的操作,而且日志要保留6个月以上;

c) 要求权限分配要有系统管理员或更高级别的主管分配,一般操作人员不能随意分配访问权限,如果存在默认账户的情况,一般来说其权限应该是最低级别的,只能查看和检索,不能修改和访问受保护的客体或数据;

d) 要求账户的最小化权限,以及权限分离。这点我们国内大部分公司做得其实不太好,尤其那种一个人的甲方公司,每个人都承担了过多的职责和权限,虽然一方面为企业节省开销,但另一方面也给企业带来巨大的潜在风险(比如人员生病请假、突然离职、恶意破坏、商业间谍),一旦某个人不在公司,很多业务就难以开展,甚至临时停止业务。外企对于这种方面,一般会设置AB岗,而且一个人不会身兼数职,一个系统由多个不同权限人员共同管理,而且会强制员工休假,不是为了福利,而是为了检验这个人不在的情况下,公司业务是否会受到影响,同时也是检验该员工的忠诚度,是否会泄露或倒卖公司机密;

e) 就是数据分类,不同数据按照标签予以区分,同之前其他部分提到的标记相似;

f) 同样是权限控制,这里强调的是敏感信息的访问控制,也就是公司机密和绝密级别的信息,一般公司会对这部分制定严格的管理条例来约束,配合流程审批予以控制,所有过程、申请和访问都有记录,可以追溯,可以问责。

7.1.4.3 安全审计(G3)

a) 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;

b) 应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;

c) 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;

d) 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。

审计部分没什么好说的,参照之前要求就几个点:

尽可能覆盖的全面(细节和广度),保存6个月以上,可随时查询能够问责,定期生成审计报表,防止备份日志的破坏。

7.1.4.4 剩余信息保护(S3)

a) 应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;

b) 应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。

这块要求很容易理解,就好比A项目中使用的移动硬盘,项目结束后清理数据给B项目继续使用;只不过这里要求的是系统为其他管理人员或用户分配的资源要做好数据清除工作。结合云上SaaS服务更容易理解一点吧。

7.1.4.5 通信完整性(S3)

应采用密码技术保证通信过程中数据的完整性。

这里查了一点密码学的资料,不常看忘得也快,简单说几句大家就理解了。

通常保证数据完整性是通过消息认证码(Message Authentication Code,MAC)实现。MAC主要用于保障数据完整性和消息源认证,当前应用于各类协议中的常规方式有IPSec、TLS、SSH和SNMP(V3版本及以上)等。

MAC算法主要有三种构造方法,分别基于分组密码、密码杂凑函数(Hash)。Hash是一类基础密码算法,可以保障电子签名、身份认证等多种密码系统安全的关键技术。比如常见的MD5(已不安全),sha-1(已不安全),sha-2,sha-3(还未普及)。

具体细节可以查阅密码学相关知识,这里不多累述。如果想大概了解,可以看看CISSP中密码学的章节。

总之,通过以上技术传输数据,就做到了基本的完整性要求。

7.1.4.6 通信保密性(S3)

a) 在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;

b) 应对通信过程中的整个报文或会话过程进行加密。

这里要求就是传输加密。而且要求加密前双方要先进行身份验证,好比SSL VPN会与对端认证身份。目前可以使用TLS或者VPN,用的比较多,也可以考虑非对称加密传输数据,就是B用A的公钥加密数据发送给A,A收到后用自己的私钥解密后获得明文,不过这种比较麻烦,更多的还是建议使用前者。

7.1.4.7 抗抵赖(G3)

a) 应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能;

b) 应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。

同上边的完整性、保密性同样,这里强调的是不可抵赖性,目的是为了可追溯可问责。一般都是对用户进行标记或者利用数字签名技术来保证抗抵赖。

7.1.4.8 软件容错(A3)

a) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;

b) 应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。

容错其实也好理解,只是标准中的标书有些书面化,翻译一下就好了。

a举个例子,登陆框需要输入手机接收的随机6位验证码,那么你在输入的时候系统要只允许输入数字,禁止非数字字符的输入,另外只能输入6位数字,不可以超过;

b也举个例子,你在论坛或贴吧发表长篇大论,一般几分钟会自动保存一下,如果你浏览器意外关闭,再次打开可以恢复到之前保存的那个节点。

这部分要求的就是系统要具备这两个功能,第一条是防别人乱搞,第二条是从用户角度考虑,提供即时存储功能。

7.1.4.9 资源控制(A3)

a) 当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;

b) 应能够对系统的最大并发会话连接数进行限制;

c) 应能够对单个帐户的多重并发会话进行限制;

d) 应能够对一个时间段内可能的并发会话连接数进行限制;

e) 应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额;

f) 应能够对系统服务水平降低到预先规定的最小值进行检测和报警;

g) 应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。

本节就不再重复了,之前部分也说过,就是对系统SLA的要求,其中各项也容易理解。

7.1.5 数据安全及备份恢复

7.1.5.1 数据完整性(S3)

a) 应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;

b) 应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。

这部分开始进入数据安全的部分,完整性要求是2个层面:传输和存储。

这里要求就是有技术或人工方式能够检测出传输和存储数据被篡改、删除的行为,并且能够对这类情况进行恢复。属于DRP方面的要求,要求企业要具备灾难恢复的能力。

7.1.5.2 数据保密性(S3)

本项要求包括:

a) 应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性;

b) 应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。

保密性的要求也是分2部分,传输和存储。传输之前提到过,加密传输就可以了。对于存储可以采用两种方式,技术和物理手段。技术的话就是磁盘加密,加密存储,DLP系统,不过一般都是需要资金大量投入,还要有技术人员管理。也可以简单点,保密室加保险箱,随便找个人看管就可以了,主要是有保护的措施,不一定非要通过技术来做。

7.1.5.3 备份和恢复(A3)

a) 应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;

b) 应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地;

c) 应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障;

d) 应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。

这部分就是要求完备的灾难恢复计划和配套资源。

a) 完全备份至少每天一次,不过目前基本都是实时的,除了热备还有场外冷备份,也是至少一天一次,不过可以放松到一周以内,一般都会算符合;

b) 要求异地备份,在22239中并没明确表示多远算异地,但是在JR-T0071中明确规定距离至少100公里;

c) 和网络安全部分重复,要求系统所在网络环境的冗余性,双线双节点的结构;

d) 这里就是要双活或者热站点,都是包含在DRP中的资源;此外测评的时候还会考察每年是否有进行灾难恢复的演练,标准中虽然没有明确提出,但是也会做为检查的一项。

估计这部分参考金融的标准可能更详细一点,这里贴一下JR-T0071的三级系统备份和恢复章节的要求:

a) 应提供本地数据备份与恢复功能,采取实时备份与异步备份或增量备份与完全备份的方式,增量数据备份每天一次,完全数据备份每周一次,备份介质场外存放,数据保存期限依照国家相关规定;

b) 应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地;

c) 对于同城数据备份中心,应与生产中心直线距离至少达到30公里,可以接管所有核心业务的运行;对于异地数据备份中心,应与生产中心直线距离至少达到100公里;

d) 为满足灾难恢复策略的要求,应对技术方案中关键技术应用的可行性进行验证测试,并记录和保存验证测试的结果;

e) 数据备份存放方式应以多冗余方式,完全数据备份至少保证以一个星期为周期的数 据冗余;

f) 异地备份中心应配备恢复所需的运行环境,并处于就绪状态或运行状态,”就绪状态” 指备份中心的所需资源(相关软硬件以及数据等资源)已完全满足但设备cpu还没有运行 ;”运行状态”指备份中心除所需资源完全满足要求外,cpu也在运行状态。

结尾

以上是应用与数据安全部分的要求。结合之前三篇内容就是等保三级技术要求的所有检查项。后续会进入管理要求的部分,比较偏制度和体系,可能不如技术这么直观,最后感谢大家的支持,感谢BF平台和客服。

*本文作者:宇宸,转载请注明来自FreeBuf.COM

一、序

本篇将会介绍等保中对主机层面的安全要求,文中内容全是本人个人观点,如有不对的地方欢迎纠正。文章以等保三级系统为基础,从合规角度解读要求。

往期内容请戳:

等保到底是个啥(一):物理安全部分

等保到底是个啥(二):网络安全部分

timg.jpg

二、正文

本部分从主机安全层面解读标准要求。部分内容与网络部分会有重叠,要求一样,但是基于主机层面的。

7.1.3.1 身份鉴别(S3)

a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别;

b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;

c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;

d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;

e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。

f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

身份鉴别部分要求基本同网络设备一样,重点在于:

1) 用户身份标识唯一,用户名具有一定代表性,内部人员能够从名称分辨账户用于哪些系统或操作;不同权限/分组或系统的用户名原则上不能重复,不能多人使用;

2) 密码8位以上(含8位),至少包含3种字符的组合;(这里提一句,最近都在宣传无密码登录系统和管理平台,预计未来会成为趋势,好处是可以不用再去记复杂的密码,也可以防止爆破、撞库一类的盗号行为,系统也不用存储用户的密码信息。可以参考这篇文章:

https://www.gartner.com/smarterwithgartner/embrace-a-passwordless-approach-to-improve-security/

3) 主机同样要做好登陆失败处置策略,要求(1)密码输入超过N此后,自动锁定该账户M分钟(通常是N=5,M>15,只是建议,不是要求);(2)登陆后无操作,S分钟后要自动断开(一般是S<5);

4) 如无特殊业务需求,不建议开放远程管理接口;如果需要,不能采用直接登陆方式,要先登陆堡垒机(或者先跳板机再转堡垒机;再或者非重要服务器,至少要先登陆跳板机而后再访问服务器),再访问需要操作的服务器;并且连接路径必须进行加密;

5)主机登陆同样采用双因素认证(堡垒机)。

7.1.3.2 访问控制(S3)

a) 应启用访问控制功能,依据安全策略控制用户对资源的访问;

b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;

c)应实现操作系统和数据库系统特权用户的权限分离;

d)应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;

e)应及时删除多余的、过期的帐户,避免共享帐户的存在。

f)  应对重要信息资源设置敏感标记;

g)  应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;

访问控制部分要求的也比较多,逐条说明。

a)  这里的资源指的是客体(信息),就是对于不同用户的访问权限要进行控制,避免越权;

b)  此项也是强调越权,要求最小化权限分配,只要能够满足工作需要即可,尽可能细化权限管理(网络和安全设备上这点不太容易做,但是主机层面是可以的,只是大家嫌麻烦都不愿意去做);提到的权限分离,就是避免一个账户拥有过多权限(比如超管,管理员账户),一般情况对于这种高权限账户使用前都是要走流程的,不会作为日常运维的账户来使用;

c)  此项是说系统和数据库账户不能由同一账户管理;举个例子,以前安装MS SQL的时候,会问你是不是要创建混合登录账户,就是可以以windows账户登录数据库,这种设置一般不建议;

d)  通常的做法就是直接禁用默认账户,如果非要用,那就重命名账户并设置复杂度较高的密码,然后再行使用;

e)  此项是很多企业容易犯的错误,各种外包,各种测试环境,测完系统交付了,之前的环境就没人管理了,不只是多余账号,有的测试环境可以访问生产网和办公网,开了临时接口也没关,没有防护措施,很容易被人作为跳板黑掉;就是缺乏对资产和流程的管理,产生边缘资产,没有人知道这些资产的状况;这点其实很重要,引申出来的问题不仅仅是多余账户的事情;

f)  这项基本来说,大多数企业是直接放弃的,因为这项要求一般分数不是很高,但做起来比较困难;敏感标记包含物理和技术两个方面(个人了解到的),敏感信息存储的设备和介质,你在其上贴了机密描述的标签,这也算做了物理层面的敏感标记;技术上,敏感信息在数据中插入自定义的标签或标识,做数据分类,这种也是敏感标记;当年能做这些的公司不多,但从当前来看是很有必要的,最近几年都在吹的数据生命周期,其中就包含了要求所述的内容;

g)  前面提到的是关于读的问题,这里说的是写的问题;就是做好权限管理,既不能越权去读,也不能越权去写。

7.1.3.3 安全审计(G3)

a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;

b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;

c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;

d)应能够根据记录数据进行分析,并生成审计报表;

e)应保护审计进程,避免受到未预期的中断;

f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。

主机安全审计部分要求类似网络部分,个别部分有些区别。

1)  审计范围除了系统自身所涉及的服务器外,还要求要能够审计到重要客户端的系统用户和数据库用户操作;起初以为是像淘宝那样,要求审计每个用户的了浏览、购买、登录、退出等记录,其实是想多了;这里要求其实是系统所关联的服务器以及能够访问系统后台的终端的审计;比如管理员可以通过自己的PC访问系统后台,那么这台PC的日志都要留存,并能够审计;

2)  对于操作的审计比较好理解,就是要全面,能记录的有用信息都要记录,便于后续审计和安全事件的溯源;标准中提到的审计报表,就是根据日志,对操作、访问、异常行为等进行汇总统计,进行趋势的分析,形成报告,这也是检查时要查看的;

3)  这里是对日志和审计记录/报告的保护,要留存至少6个月的记录,且有专人管理,有场外备份,能够保证记录完整性。

7.1.3.4 剩余信息保护(S3)

a) 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;

b) 应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。

本项要求,也是关于敏感信息泄露的防护措施。从几个方向来看吧:

1) 缓存和RAM类存储还好说,一般重启或多读取点信息,之前的内容就没了;这种信息泄露基本都是基于动态的,系统运行过程中,被黑了才能拿到数据,等保三的层面没有要求到这么高,所以不会有硬性要求;

2) 存储介质(磁盘、U盘等)方面,如果再次投入使用,必须要做好数据清理工作,目前企业大多数还没富裕到用完就报废的水平,所以大多都是格式化然后分配给其他部门或人继续使用;但众所周知,即使低格后,很多数据还是可以恢复过来的,一般大公司的做法就是,格式化,然后满格重复写入垃圾数据(3-7次,看实际情况);这样操作,基本上普通的恢复方式,恢复的大多是垃圾数据,对于大多企业来说足矣;再一方面就是磁带、CD,这类介质还是建议一次性使用,用完直接销毁,本身成本也不高,企业没必要为了这点钱重复使用。

3) 虚拟存储方面,这部分在老标准中没有要求,但是等保2.0有明确提出,其实是在资源控制部分的要求项,应保证分配给虚拟机的内存空间仅供其独占访问,虚拟机仅能使用为其分配的计算资源。具体技术手段,这里写不下,我也不是做底层的,所以推荐一篇论文,有兴趣的可以看看。

《虚拟机检测技术研究》 王宝林,杨明,张永辉(解放军理工大学 指挥自动化学院,江苏 南京)

7.1.3.5 入侵防范(G3)

a) 应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源 IP 、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;

b) 应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;

c) 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。

主机入侵防范涉及的技术太多了,这里主要说下等保要求。

a) IPS搞定一切,做好和监控平台的联动就OK,能够短信或邮件告警;

b) 个人理解,类似于WAF的网页防篡改,周期性去爬页面进行对比,完整性校验,有问题马上可以预警,这是前半部分;后半部分还要求具有恢复措施,就是应急预案和应急响应团队,尤其是政府类站点,非常重视此类问题,一旦出现篡改,都会马上启动应急响应工作;

c) 系统最小安装原则,说了多少年的事,没什么需要讨论的;后半句,就是打补丁要及时,有些主机1年不打补丁,在当前这种趋势环境下,我觉得管理者的心也是够大的;做安全运营和管理,还是要讲求谨小慎微,不怕细致,稳中发展,不能以不出事就行,出事再说的心态。(这里还有个别情况,就是系统老旧,一旦打了新补丁系统就无法运行,影响业务。对于这类系统,建议企业还是趁早重新设计研发新系统,除非你的系统不需要对外连接,纯封闭在内网的,否则被黑是迟早的事)

7.1.3.6 恶意代码防范(G3)

a) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;

b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;

c) 应支持防恶意代码的统一管理。

恶意代码防范其实在主机层面比较容易理解,第一是正版安全软件(杀软或者HIDS类产品),不要觉得安个盗版应付一下就OK了,按正常要求作为企业不允许使用盗版软件,只是现在查的不严,哪天严起来怕是要后悔的;软件版本和病毒库更新要及时,不能用IPS或FW上的恶意代码模块代替安全软件,要使用不同的特征库;再就是针对软件要进行统一管理,不能按人或按部门管理。(多说几句,这里有企业反映过,linux系统安全,一般不用装杀毒软件,但事实证明,都是屁话,中招后爽了吧?再一方面,怕杀软误删系统文件,导致业务暂停,这种情况确实存在,但是无论个人版还是企业版的杀软可以自己定义策略,怕出问题都设置成告警,手动处理就好了,根据业务情况,及时更改策略,有些是真实请求的可以加白名单)

7.1.3.7 资源控制(A3)

a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录;

b)应根据安全策略设置登录终端的操作超时锁定;

c)应对重要服务器进行监视,包括监视服务器的 CPU 、硬盘、内存、网络等资源的使用情况;

d)应限制单个用户对系统资源的最大或最小使用限度;

e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警 。

在老等保标准中对于资源控制还是比较容易理解的,而且也容易实现,简单描述一下。

a)   能够登录堡垒机或跳板机的主机数量不能过多,而且要限制只允许某几个IP登录;

b)   服务器账户无操作,N分钟后自动锁屏(建议:通常可以设置5-15分钟,最长不要超过30分钟);

c)   现在一些大的机房都有监控平台,即使没有也可以用一些开源工具自己搭一个;

de)  主机层面的SLA,设置不同用户对系统资源调用的阈值;e中的要求可以在监控平台设置预警。

三、结尾

以上是主机安全部分的要求。推荐标准《YD/T 2701-2014》,有兴趣的可以看下。

往期连接:

等保到底是个啥(一) 物理安全部分

等保到底是个啥(二) 网络安全部分

*本文作者:宇宸,本文属FreeBuf原创奖励计划,未经许可禁止转载。

*本文原创作者:宇辰,本文属于FreeBuf原创奖励计划, 未经许可禁止转载

【序】

本篇将会重点讨论一下等保中对网络安全的要求,这里说明一下,文中内容全是本人个人观点,如有不对的地方欢迎纠正。文章已等保三级系统为基础,从合规角度解读要求。看到有同学吐槽等保没用,其实换个角度去思考,等保是国家对信息安全的基线,不保证做到了系统就不会被黑,但是做不到必然会被黑,各位还是不要在政策层面过于纠结。

timg.jpg

【正文】

本部分从网络安全方向解读一下标准的要求点。相比物理安全部分,网络可扩展的地方不多,广度缩小,深度增加。

前序文章:传送门 

7.1.2 网络安全

7.1.2.1 结构安全(G3)

a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;

b)应保证网络各个部分的带宽满足业务高峰期需要 ;

c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;

d)应绘制与当前运行情况相符的网络拓扑结构图;

e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;

f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;

g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。

结构安全层面列出了7条要求,主要涉及的都是网络工程方向,一条条解释一下:

a)这里指网络中关键设备(比如核心交换、汇聚交换,出口防火墙、串联接入的IPS和WAF),设备的处理能力必须要远大于系统实际业务的流量,比如A系统1分钟(高峰期)会有1Gb的流量,那么关键节点的设备至少要有1.3Gb(或者1.5Gb)的处理能力,这点理解起来不难,目前除非很大的平台,不然一般设备性能都是过剩的。

b)上边将的是整个网络,这里是指内部不同系统或部门线路的带宽,不难理解,所以不再重复解释了。

c)这里说的其实有些模糊。个人理解是网络中的ACL,业务系统中终端访问服务器要建立安全通道,像VPN或TLS这类的加密传输。

d)这个不用说了,大家都懂的。另外提一句题外话,就是等保2.0的云计算扩展要求中要绘制云上的网络拓扑图,有的企业就懵了,这个要怎么画。其实也一样的,云上不过就是虚拟化的vSwitch、vRouter、vFW等等的,和传统物理结构一样照着画就好了。

e)就是安全域的划分,说的再简介一点就是划vlan,划VPC,然后分网段。当然大型生产环境没这么简单,就是为了大家便于理解,举个简单的例子。

f)本条说了2点要求,1是重要系统不能没有任何策略或限制直接访问外网(相当于直连,防护设备未设置访问规则一类的情况),无论是直连还是通过其他网络;2是重要系统要限制访问,与其他系统隔离。有些系统(比如涉密)会做物理隔离,但目前采用较多的还是使用逻辑隔离的方式,通过策略进行隔离。

g)这里说的是SLA,也是目前没多少企业做到的,按照业务系统重要程度设置优先级,高峰时按照优先级分配资源(同样也适用于系统中的主机),算是比较费时费力的一项工作,大多企业都是选择放弃。

PS:补充一下,标准里没明确提出,但是字里行间也有些关系的再提一下。

1.外部接入线路至少要有2家(电信、联通、移动)且要做出入口网络负载均衡;

2.网络结构中的主要线路要做冗余双线;

3.关键节点设备要做热冗余(HSRP、VRRP这种)。

7.1.2.2 访问控制(G3)

a)应在网络边界部署访问控制设备,启用访问控制功能;

b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力 ,控制粒度为端口级;

c)应对进出网络的信息内容进行过滤,实现对应用层 HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;

d)应在会话处于非活跃一定时间或会话结束后终止网络连接;

e)应限制网络最大流量数及网络连接数;

f)重要网段应采取技术手段防止地址欺骗;

g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;

h)应限制具有拨号访问权限的用户数量。

访问控制层面共8点要求,都是比较繁琐的部分。

a)这里要求说的是边界,不是内部,就是要边界部署防火墙,注意,不是部了,加了策略就OK,还要配置必须生效。可能有人觉得这话说的很白痴,但实际环境中就有不少这种情况,墙和策略都很完善,但是没启用。

b)ACL策略且细致度达到端口的级别,没什么说的。

举个例子:R1(config)#access-list101 permit udp 10.10.2.0 0.0.0.255 host 172.16.5.1 eq 69

c)现在的NGFW基本没压力,这是当年标准刚出时候的要求,另外提到了一点对内容过滤,被一些人关联到了敏感信息审核过滤上,按照当年的要求应该没涉及到这方面,不过描述上这么解释也说得通,毕竟现在网络媒体上的敏感词过滤还是一项大事,据了解有些平台光内容过滤团队就几百人,而且要倒班,先机审后人审。

de)这两点放在一起,其实要求都是很基础的,但是认真去做的不多。d是说,设备建立连接后,一段时间要自动断开连接。比如管理员通过跳板机先登堡垒机,然后登录交换机要开放一个端口,操作期间接了个电话,20分钟后回来继续操作。这期间如果有其他人用这台跳板机做一些非计划的操作,可能造成严重影响。当然,这里只是一个常见的情况,还有很多其他利用方式。e是说,要设置设备的最大流量和连接数,一方面是防止一些简单攻击,再一方面避免业务请求过多把设备搞崩了。

f)该项要求从当年的角度来看就是为了防ARP欺骗,那个年代一旦中招主机一摊一大片,放在今天已经不算什么了。

g)这项就是用户权限管理,放在现在用高大上的叫法:IAM或者PAM。当前环境要注意的就是越权问题。

h)这项要求一直没理解,查了一些资料也问了几个老专家,还是没给我说明白。当年检查的时候老的防火墙之类设备中有关于拨号用户的设置,这里就不乱说了,有了解的可以帮忙留言解释一下。(个人理解,就是可以远程登录的账户,不能设置过多此类账户)

7.1.2.3 安全审计(G3)

a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;

b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

c)应能够根据记录数据进行分析,并生成审计报表;

d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。

这部分是测评时的重点,有时候可以一票否决,所以说比较关键。

不分别解释了,放在一起说,简单概括:企业要对网络中的网络流量(业务、访问、攻击等)、操作(登录、退出、创建、删除、变更等)进行记录,且要保存至少6个月;同时要对网络设备(包括安全设备)的运行状况进行监控,并形成周报或月报留存,同样至少6个月;此外对于网络日志至少要包括b)中要求的信息,系统中要有日志审计系统能够分析和统计日志,并且生成审计报表以供检查用;对于保存的日志要场外备份,有专人管理,保证日志的完整性,不能有未预期的删除、更改、覆盖情况。这是等保三对安全审计的要求。(对于流量很大的企业,这项要求是很坑的,比如每天几个TB流量的平台,网络日志要保存6个月,呵呵,都是泪)

7.1.2.4 边界完整性检查(S3)

a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;

b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。

这部分要求当年理解起来挺困难的,结合现在的一些技术来看,才理解标准的前瞻性。要求简单来说就是,系统功能自动检测和发现不符合策略和规则的外联内和内联外行为。当前的态势感知、蜜罐都可以搞定外联内的情况,对于内联外的检测,个人认为更多的还是管理层面的事情,技术手段解决起来难度较大。比如私接无线网卡,办公笔记本网线接公司网,无线接热点,这种情况想第一时间发现和阻断都很难。

timg (1).jpg

7.1.2.5 入侵防范(G3)

a)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等;

b)当检测到 攻击行为源 时,记录攻击源 IP 、攻击类型、攻击目的、攻击时间, 在发生严重入侵事件时应提供报警。

简单点,IPS和WAF就好了。当年能配备这些设备的企业不多,现在不配备的不多。(这里是符合要求,不是给各位的建议,举例是便于大家理解)

7.1.2.6 恶意代码防范(G3)

a)应在网络边界处对恶意代码进行检测和清除;

b)应维护恶意代码库的升级和检测系统的更新。

算是历史遗留问题了,当年的时候有专门的防毒墙,防火墙会恶意代码防护模块。但是针对当前来说,恶意代码已经不是威胁,最大的威胁是系统自身的漏洞。这里如果是被检查,记得开启设备中的恶意代码防范功能就好,一般NGFW和IPS都具备这种防护能力。 

7.1.2.7 网络设备防护(G3)

a)应对登录网络设备的用户进行身份鉴别;

b)应对网络设备的管理员登录地址进行限制;

c)网络设备用户的标识应唯一;

d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;

e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;

f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;

g) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;

h) 应实现设备特权用户的权限分离。

网络设备防护也算是检查的一个重点了,这里不逐条解释,统一总结一下:

1.网络中要有堡垒机,所有关键设备必须要通过堡垒机访问和登录;

2.系统中要有3A或4A认证,保证对登录管理用户进行认证和审计。(3A就是认证、授权、审计;4A在此基础上增加了可追溯/可问责性)

3.重要设备要限制登录地址(一般就是堡垒机,如特殊情况要远程登录,可在堡垒机开放远程登录功能,采用VPN方式登录),有的环境下可能会设置几台跳板机的IP。

4.网络设备的标识要简单易懂,运维人员一看就知道是什么设备,且标识不能重复。

5.采用两种以上登录方式,一般有堡垒机开启双因素认证就OK了,什么虹膜、指纹、声控都是扯淡。目前比较多的还是用户名密码配合3A认证。

6.登录失败设置,要求(1)密码输入超过N此后,自动锁定该账户M分钟(通常是N=5,M>15,只是建议,不是要求);(2)登陆后无操作,S分钟后要自动断开(一般是S<5)。

7.重要设备不要多人使用一个超级管理员账户,按照不同的人,不同的部分设置不同的账户,根据需要设定权限,采用最小权限原则;如果有能力,对于超级用户一般使用前会先申请,审批后方可由专人发放账户,并规定操作内容和操作时间。

【结尾】

以上是网络安全部分的解释和说明。最近各种工作还没开始,所有有空写点东西。关于网络部分除了上述描述外,检查中还会涉及到网络设备和安全设备的上机检查,具体内容有兴趣的可以看看这两个标准《YD/T 2698-2014》、《YD/T 2699-2014》。里边具体的检查点和检查方法都是配合等保要求来的。后续会陆续更新,谢谢各位支持。

*本文原创作者:宇辰,本文属于FreeBuf原创奖励计划, 未经许可禁止转载