發布源:深圳維創信息技術發布時間:2020-09-25 瀏覽次數: 次
也就意味著,到今年年底,所有的信息系統,只要對外的,就要做定級備案,對于重要系統同時還要定為關鍵信息基礎設施,在等保之上還要滿足《關鍵信息基礎設施安全保護條例》的要求。
而等保中新增的個人信息保護中,也要滿足《互聯網個人信息安全保護指引》的要求,對于漏洞也應參考《網絡安全漏洞管理規定》要求。
標準的東西其實不是硬性規定,其具備靈活性,同樣一條標準可以通過不同方式來實現,完全可以結合企業自身環境特點來應對,我一直以來的原則是做好安全的過程中順便將合規一起做掉,而不是為了應付檢查而被動的去對標標準做合規。
而且,做安全也不要太局限于技術層面,管理其實更為重要,這就是為何等保中有技術也有管理的原因。
國家網絡安全工作規劃是:一個中心,三重防護。
對應到等2中即安全管理中心、安全通信網絡、安全區域邊界、安全計算環境(物理環境安全屬于獨立科目),此外網安法中要求系統建設必須做到三同步,即同步規劃、同步建設、同步使用。
網絡安全三同步《網安法》第三十三條規定:建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能,并保證安全技術措施同步規劃、同步建設、同步使用。
1. 同步規劃在業務規劃的階段,應當同步納入安全要求,引入安全措施。
如同步建立信息資產管理情況檢查機制,指定專人負責信息資產管理,對信息資產進行統一編號、統一標識、 統一發放,并及時記錄信息資產狀態和使用情況等安全保障措施。
2. 同步建設在項目建設階段,通過合同條款落實設備供應商、廠商和其他合作方的責任,保證相關安全技術措施的順利準時建設。
保證項目上線時,安全措施的驗收和工程驗收同步,外包開發的系統需要進行上線前安全檢測,確保只有符合安全要求的系統才能上線。
3. 同步使用安全驗收后的日常運營維護中,應當保持系統處于持續安全防護水平,且運營者每年對關鍵信息基礎設施需要進行一次安全檢測評估。
本文主要針對“一個中心,三重防護”中的中心,聊聊這個概念以及相應的要求。
安全管理中心本控制項為等級保護標準技術部分核心,名稱雖然看著像管理,但實際歸為技術部分。
本項主要包括系統管理、審計管理、安全管理和集中管控四個控制點,其中的集中管控可以說是重中之重,主要都是圍繞它來展開的。
8.1.5 安全管理中心8.1.5.1 系統管理a) 應對系統管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行系統管理操作,并對這些操作進行審計;b) 應通過系統管理員對系統的資源和運行進行配置、控制和管理,包括用戶身份、系統資源配置、系統加載和啟動、系統運行的異常處理、數據和設備的備份與恢復等。
8.1.5.2 審計管理a) 應對審計管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行安全審計操作,并對這些操作進行審計;b) 應通過審計管理員對審計記錄應進行分析,并根據分析結果進行處理,包括根據安全審計策略對審計記錄進行存儲、管理和查詢等。
8.1.5.3 安全管理a) 應對安全管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行安全管理操作,并對這些操作進行審計;b) 應通過安全管理員對系統中的安全策略進行配置,包括安全參數的設置,主體、客體進行統一安全標記,對主體進行授權,配置可信驗證策略等。
8.1.5.4 集中管控a) 應劃分出特定的管理區域,對分布在網絡中的安全設備或安全組件進行管控;b) 應能夠建立一條安全的信息傳輸路徑,對網絡中的安全設備或安全組件進行管理;c) 應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測;d) 應對分散在各個設備上的審計數據進行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規要求;e) 應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理;f) 應能對網絡中發生的各類安全事件進行識別、報警和分析。
主要的檢查點包括:系統、審計、安全管理。
為何將這三部分放到一起來說?從標準的要求項可以看出,描述基本一致,只是針對三個崗位來說的,這里的三個崗位并不是網絡安全中常說的三員,這里沒有加入網絡管理員,而是把審計管理員加了進來,可以看出國標對審計的重視程度。
系統管理員身份鑒別(也適用于審計和安全管理員),說起來可以是大事也可以是小事,標準沒具體說要如何來鑒別,按照對標準的理解來看,最起碼要做到的就是雙因子驗證,這是最基本的,也就是說賬戶密碼方式算一種(也可以像手機這種針對唯一設備的隨機驗證碼)、堡壘機算一種、4A認證授權算一種、指紋和面部等生物識別算一種、聲控、身份密鑰(可插拔U-Key或是卡片)算一種,諸如此類的選其中兩種組合都可以。
但是跳板機登陸后再用管理員身份登錄系統,這種不算雙因素,這是同一種鑒別方式用了兩次,不要混淆雙因素的含義。
系統管理員的權限控制,這里只說技術層面不展開講流程管理的內容。
要求只允許特定的命令或操作界面來管理,并對操作進行審計。
兩點要求,至于特定命令這條,理解有些出入,也許適用一些定制化的自研系統,不過這里用的是或,也就是說只要有后臺登錄界面供管理員登錄,不要隨便就能進入后臺即可,而且管理員所有操作都要記錄,可以查詢。
此外的一項要求,則是對于系統的一些關鍵性操作(參考原文),都要由系統管理員來操作,也就是只有管理員有權限做這些操作,而且管理員一般只有一個賬戶,其他用戶沒有相關權限進行此類操作。
這點要再系統開發時就針對性設計,尤其對于外包的系統。
審計管理員主要職責在于審計分析,具體分析什么要根據企業實際情況,不過重點是記錄的存儲、管理和查詢,即日志留存和保護工作,這點也是老生常談,6個月全流量全操作日志,可查詢,有備份,有完整性保護,避免被修改等等。
安全管理員主要負責安全策略的配置,參數設置,安全標記(非強制要求),授權以及安全配置檢查和保存等。
這里指說了一部分要求的內容,實際中企業安全部門要管的事情很多。
總之,這6點主要強調的是具有權限的用戶的特權管理及審計工作。
為何要強調特權賬戶管理?做過安全的應該都了解,黑客利用漏洞進來,搞事情之前首先要提權,拿到管理員權限后才可以為所欲為,因此要對這些賬戶進行必要的保護。
對此,Gartner給出了一些控制建議:對特權賬號的訪問控制功能,包括共享賬號和應急賬號;監控、記錄和審計特權訪問操作、命令和動作;自動地對各種管理類、服務類和應用類賬戶的密碼及其它憑據進行隨機化、管理和保管;為特權指令的執行提供一種安全的單點登錄(SSO)機制;委派、控制和過濾管理員所能執行的特權操作;隱藏應用和服務的賬戶,讓使用者不用掌握這些賬戶實際的密碼;具備或者能夠集成高可信認證方式,譬如集成 MFA(Multi-Factor Authentication,多因子認證)。
本控制點主要適用于甲方管理員日常工作職責,也涵蓋系統開發的研發部門或外包服務商,做好三同步工作,設計階段就把相關合規要求涵蓋其中。
對于乙方,涉及到產品的,可以從合規角度出發設計,滿足網安法三同步的要求,另外Gartner十大安全項目的第一項就是對于特權賬戶的管理,同時涵蓋審計在內,這兩點就將產品設計理念提升了一定的高度。
但從實際角度來看,更多的還是技術手段配合管理來做才有效果。
2. 集中管控針對安全設備和安全組件,將其管理接口和數據單獨劃分到一個區域中,與生產網分離,實現獨立且集中的管理。
大部分安全設備都有管理接口,其他功能接口不具備管理功能,也不涉及IP地址,這里要求就是將此類管理接口統一匯總到一個Vlan內(比如所有設備管理口都只能由堡壘機進行登錄,堡壘機單獨劃分在一個管理Vlan中)。
實際應用案例就是帶外管理。
帶外網管是指通過專門的網管通道實現對網絡的管理,將網管數據與業務數據分開,為網管數據建立獨立通道。
在這個通道中,只傳輸管理數據、統計信息、計費信息等,網管數據與業務數據分離,可以提高網管的效率與可靠性,也有利于提高網管數據的安全性。
由于帶外網管提供了訪問設備的通道,因此可以把通過網絡訪問設備(Telnet等方式)方式進行嚴格限制,可以降低網絡安全隱患。
比如限定特定的IP地址才可以通過Telnet訪問設備。
大部分的訪問均通過帶外網管系統進行,可以把整個IT環境設備的訪問統一到帶外網管系統。
與傳統的設備管理各自為政不同,通過帶外網管可以很容易做到不同用戶名登錄對應不同設備管理權限,一個IT TEAM可以根據各個人員職責不同進行授權。
了解了上述集中管控理念之后,對接下來的幾點也就比較容易理解和實現了。
比如安全的信息傳輸路徑(SSH、HTTPS、VPN等);對鏈路、設備和服務器運行狀況進行監控并能夠告警(堡壘機、網絡監控平臺等);設備上的審計(日志服務器、日志管理平臺等),這里啰嗦一句,不但要有策略配置,而且要合理有效并且為啟用狀態;策略、惡意代碼、補丁升級集中管理(漏洞統一管理平臺),至少要包括所述的三者進行集中管控;安全事件的識別、報警和分析(態勢感知平臺、IDPS、FW等,可以是平臺也可以是應急響應團隊)。
聽起來都放到一起就是SOC,但官方表示并不是建議廠商去推SOC平臺,這其中要求的每一項能做到獨立的集中管控即可,如果有能力集成到一個大平臺那更好。
本控制點偏向日常安全運維,主要包括集中管理區域、策略管理、漏洞管理、日志管理、安全事件管理。
單獨來看,每項都有對應的產品。
建議一步步來建設安全能力,不要一上來就忙著搭建SOC。
由于是標準中新增要求項,需要一些時間才會有比較完善的解決方案或產品。
標準中提到的對于資產、漏洞的集中管控,中國市場上也已經有很多成熟的解決方案能夠完美契合其中的要求。
轉
Copyright © 2021 深圳市維創信息技術有限公司 版權所有
