*本文原创作者:宇宸@默安科技合规研究小组,本文属于FreeBuf原创奖励计划, 未经许可禁止转载
引言
中央网络安全和信息化领导小组提出:“没有网络安全就没有国家安全,没有信息化就没有现代化,中国要由网络大国走向网络强国。”首先,我们来看一下近几年来国家层面网络安全工作的开展情况:
2014年2月27日,中共中央网络安全和信息化领导小组成立
2014年,开始每年举办网络安全宣传周
2015年6月-2016年10月,审议网络安全法草案
2017年6月1日,网络安全法实施,强制要求等级保护工作,强调关键基础设施三同步
2018年3月23日,公安部发布《网络安全等级保护测评机构管理办法》
2018年6月27日,公安部公布《网络安全等级保护条例(征求意见稿)》
2018年11月30日,公安部网络安全保卫局公布《互联网个人信息安全保护指引》(征求意见稿)
2019年,预计实施等保2.0
本文尝试从《网络安全法》的角度介绍关键信息基础设施和等级保护安全工作的核心,同时对等保 2.0通用安全部分的变化进行分析和解读,旨在让大家了解等级保护制度的重要性和新标准的变化。
等级保护工作的核心
《网络安全法》明确等级保护工作的核心主要包括:
关键信息基础设施的定义;
关键信息基础设施的安全保护义务(第三十四条 运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等);
敏感信息保护(第三十七条 境内收集产生的个人信息和重要数据应当在境内存储。确需向境外提供的,应进行安全评估);
风险评估(第三十八条 运营者每年至少组织一次安全风险检测评估,并评估情况和改进措施报相关部门)。
关键信息基础设施分为三类:
《网络安全法》规定,等级保护是我国信息安全保障的基本制度。《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列全保护义务:保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
等级保护范围内重要信息系统所涵盖的行业包括:能源、金融、交通、水利、医疗卫生、环境保护、工业制造、市政、电信与互联网、广播电视及政府部门。
等保 VS ISO27001
国家对网络安全越来越重视,企业自身也开始关注安全问题。在这样的环境下,我觉得大家要转换下思维,不要再把等保当做一种应付上级检查的被动性工作、不要因为开展业务不做不行才去搞、不要觉得反正又没出事,不用担心。现在的现状是这样,一提等保就觉得Low,就是应付检查的……一提ISO27001就觉得高大上,感觉很先进,而且是完整的体系。
但实际上真的如此吗?下面,我来给大家对比一下。
这么一看是不是其实也没差多少呢?再举个细节的例子:
左边是27001附录A的控制措施,右边是等保2.0中三级系统物理与环境安全位置和访问控制的要求项。其实差不多,只是表述不同。27001讲的是PDCA,是一个不断循环的工作。等保讲的是“定级-备案-测评-整改-监督”,同样是一个循环的过程。
我的态度一直如此。为了做好安全工作,体系和标准只是指导文件和指南,落地要结合实际,做到什么程度需要根据企业环境而定,不一定要所有都做,也不是为了应付做做样子。安全工作技术上有难度,管理上难度更大,是一个不断循环和改进的过程,因此等保是嵌入到安全建设中的一项工作,而不是为了过等保去搞安全。
等保2.0的变化
去年比较火的大概是《GDPR》,今年比较火的好像是《等保 2.0》,小道消息可能4月有望发布,不过现在已是4月底了,可能要推迟。广东的兄弟说那边已经确定了,7月正式实施,估计应该年内会正式出台。
等级保护制度系统分为五个级别,五级系统属国家级、国防类的系统(核电站、军用通信系统),所以我们很难接触的到,标准中也没有五级系统的检查要求。四级系统量级较大,比如支付宝、银行总行系统、国家电网系统,也是我们很少会接触到的(这里是指去做等级测评),因此我们通常说等保一般是指三级和二级系统(因为一级系统要求简单,不作为重点监管对象)。本文重点放在等保2.0中三级系统要求的变化。
测评分数变化
以前的等保测评分数及格线是60分,近几年个别省份将分数线提高到70分,据传闻互金类系统要90分。同样是听说,等保2.0新的及格线是75以上。
结构的变化,先看新标准安全通用要求和旧版的变化:
控制大项从原来的10项,改为8项,其实就是合并了数据和应用、机构和人员。
要求项的变化
这其中要求项的细节变化可以对比新旧标准自己看一下,就不详细展开来说了。
PS:这里有一点要提下,就是等保中新增了个人信息保护的要求,也是因为近来越来越多的安全事件以及欧盟保护条例的出台,国内也开始重视个人隐私问题了。
不过这只是通用要求,新标准分成了5个部分(也就是5个标准)分别是:
《网络安全等级保护基本要求第1部分安全通用要求》
《网络安全等级保护基本要求第2部分云计算安全扩展要求》
《网络安全等级保护基本要求第3部分移动互联安全扩展要求》
《网络安全等级保护基本要求第4部分物联网安全扩展要求》
《网络安全等级保护基本要求第5部分工业控制系统安全扩展要求》
在我看来感觉挺好,多了几个以前没接触过的方向。因为我之前一直做传统安全,通用部分比较了解,现在的公司做云计算安全,所以云这部分也相对了解一些。之前检查过几家工控单位,对工控系统安全算是知道些皮毛吧。其他两块就比较陌生了。同样的,对于某些甲方的兄弟来说,这也是要命的,新标准实施后,所有定过级的系统估计全都要重新定级备案一次,所以这块未来几年的市场应该还可以,不管甲方还是乙方或是测评中心,都有事要搞了。
等保2.0技术要求的变化
再来看看细节的变化,由于没有实际项目案例,外加标准没正式发布,这里只是以最终稿版本来对比,另外篇幅问题,只对通用要求部分进行简要分析。
物理与环境安全部分
32项调整为22项。这部分没太大变化,只有几个细节点,这里说一下。
1.明确提出机房视频监控系统的要求,旧标准里没有,这部分就是要求对机房横向和纵向都要有视频监控,整个机房不能存在监控死角。
2.防静电要求明确举例说明采用静电消除器、防静电手环;对于静电防护要求更为细节化,这回 操作服务器时都要预先消除人体所带静电,合作和佩戴防静电手环来操作。
3.供电部分不再要求备用供电系统,但保留冗余电力电缆的要求,这里说的冗余电力不是说你在市政那边拉过来两条电缆就可以了,而是两条不用电井的电缆,这样才算冗余,因为出现停电同一电井或线路的电缆你拉多少条都是单链路的。
4.在云计算扩展要求中新增,物理机房必须要在境内。
网络和通信安全部分
33项不变。新标准减少了结构安全、边界完整性检查、网络设备防护三个控制点,增加了网络架构、通信传输、边界防护、集中管控四个控制点。
1.删除了重要系统不能直接外连外部网络的要求,删除了按业务优先级分配带宽的SLA服务;新标准只要求通信线路、关键网络设备冗余性。
2.在边界完整性间检查中,提出了无线网络的安全要求,无线网络接入必须要通过受控边界,也就是说无线网络接入到系统要通过安全设备进行访问控制和授权后才可以访问互联网。
3.访问控制中新增内容过滤管理,要求在关键网络节点处对进出网络的信息内容进行过滤,实现对内容的访问控制。这里的内容猜测指的是黄赌毒反动这类的不良信息。曾经接触过一些媒体公司,他们也有比较完善的内容过滤机制,不过最终还是要人来做这件事情,所以目前主流的各大媒体,都有自己的内容审核团队7x24倒班,1审是机器过滤,2审是人工初审,3审是人工复审,然后发布到网上。所以这部分内容想要完全靠技术手段实现,可能暂时不太现实。
4.入侵防范的新要求,能够检测由内对外和由外对内的攻击,这里就是我们常说的南北向双向检测,这就要求我们配置策略的时候要双向应用,在接口的in和out方向都启用策略。
5.恶意代码防范的新要求,第一次明确要求对垃圾邮件进行防护(之前也提过但没指定垃圾邮件), 估计不少企业要额外采购这块的设备或软件了。
6.日志审计方面要求变化由以前的留存6个月改为符合法律法规要求,这个就不好说具体怎么操作了,不过刚开始还是按照6个月留存,看后续怎么执行。此外还要求,能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析,这块感觉要求有点逆天了,乍看好像是说的机器学习分析用户行为,如果真是像阿里那种通过自动学习生成用户的行为习惯准则,用来判断用户的违规行为检测,那么对于甲方来说就难搞了。而且这里要求的是能够访问互联网的用户(也包括内部员工),还有远程访问系统的用户,这些日志都要能够查询并进行行为分析。
集中管控是全新部分,这里贴一下原文要求,解读暂时不好说,还有一些不确定因素:
a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控(安全域划分);
b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理(堡垒机);
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测(监控平台);
d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析(日志审计系统);
e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理(资产统一管理平台);
f) 应能对网络中发生的各类安全事件进行识别、报警和分析(态势感知)。
网络设备防护整个部分删除,移动到设备和计算安全中。
设备和计算安全
32项调整为26项,删除剩余信息保护要求:
1.身份鉴别中两种鉴别方式有明显变化,采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现。传统的用户名密码方式将渐渐被淘汰,取而代之的是无密码登录,也就是生物识别技术,像指纹、声音、人脸、 视网膜等登录。
2.恶意代码防范要求也有明显变化,应采用免受恶意代码攻击的技术措施或可信验证机制对系统程序、应用程序和重要配置文件/参数进行可信执行验证,并在检测到其完整性受到破坏时采取恢复措施。
这项要求也是比较繁琐的,提出对配置文件及参数的可信执行进行验证,同时发现完整性出现问题要有应对的恢复措施。属于可信计算的范畴,查阅了一些材料,大概解释下。
可信计算的定义:如果一个实体的行为总是按照预期的方式和目标进行,那它就是可信的。
这个定义从安全角度来看,其实并不安全,比如一台中毒的主机,他也是按照预期的方式和目标去工作的,那么按照可信计算的定义,这台主机也是可信的。
所以,从容错计算发展来的可信并不等于安全,但可以认为可信是安全的前提。可信计算将可预期性与正确性作为最终的目标,自此,可信计算有了安全特色。
国内目前叫做可信3.0,可信计算有两种可信环境。在可信信任链的传递过程中,根据度量的方式不同,分为动态信任链与静态信任链两个链条。静态信任链度量平台的配置,动态信任链度量系统软件、软件配置与软件策略。
静态信任链
静态信任链在开机后即可度量,如Intel TXT技术,将度量代码写入处理器中,获得了更早的度量时间。在CPU未参与的环境中,一般是将度量代码写入BIOS对系统进行度量,确保链条的完整性。
静态信任链的主旨是:度量从硬件开始,度量值由TPM来防护免受篡改,代码执行前要度量。
静态信任链既无法对系统运行进行度量,受运行空间的限制,也很难支撑庞大的系统软件,更重要的是这些静态度量在每次开机后仅仅运行一次,对于一个服务器系统,在整个生命周期的运行中,其开机次数少之又少,仅仅依靠静态信任链建立可信环境显然是不够的。
动态信任链
静态测量从加电开始,按照顺序加载可信模块形成可信环境,但静态信任链不支持大型系统软件的检测,这就需要通过CPU参与建立另外一种信任环境—动态信任链。动态信任链不依赖系统加电启动过程,允许系统可以从任意一个不被信任的状态为测量起点来建立信任链。值得注意的是,在动态信任链的建立过程中,基于X86的环境,需要一个RING0级别的基础系统作为可信基的运行环境,以期获得更高的安全期望。动态信任链可以根据用户需要在不重启系统的情况下基于策略随时重新构建信任链。
动态信任链的建立与应用,使得略显“僵化”的可信计算体系有了更灵活的防护方式,也使得各类基于动态信任链原理的“白名单”软件系统在工业界得到广泛应用。
对可信计算有兴趣的可以看下这篇文章:https://mp.weixin.qq.com/s/HoF9DqBgudUJeP29L5vkzQ
本条的要求猜测,是要通过可信计算技术来实现对系统中应用和配置文件、参数进行验证,保障系统在可信环境下运行。这块接触的不多,算比较新的技术。
应用和数据安全
39项调整为33项。以前是两个部分,现在整合到一起,还是比较靠谱的。减少了通信完整性、通信保密性和抗抵赖三个控制点,增加了个人信息保护控制点。
1.新增要求点,应强制用户首次登录时修改初始口令。以前是没有明确要求的,都是大家引申出来的,所以不是强制的,限制是必须要做了。
2.新增要求点,用户身份鉴别信息丢失或失效时,应采用技术措施确保鉴别信息重置过程的安全。个人理解,这部分在SDL的威胁建模里见过,举个例子:用户忘记密码,要重置密码,这个过程必须要回答密保问题或是验证码发送到手机,确认身份后才能重置。但有的系统,没有这个验证,直接可以重置密码,这就属于设计上的缺陷。不过具体的情况,还是那句话,等实施再看。
3.新增要求点,在故障发生时,应自动保存易失性数据和所有状态,保证系统能够进行恢复。这里指的应该是两部分,系统自身的数据保护以及用户的数据保护。系统自身的就不用过多解释了。用户的数据,举个简单例子,论坛编辑帖子时的自动保存功能,出现问题时,过几天再来打开编辑页面,能再草稿里找到之前的文本,不会消失。
新增模块,个人信息保护:
应仅采集和保存业务必需的用户个人信息;
应禁止未授权访问和非法使用用户个人信息。
理解起来不难,技术实现起来有点麻烦,管理上更难流程化标准化,所以这块其实还是很重要的部分。最近公安那边也发布了《互联网个人信息安全保护指南》,大家可以参考指南内容来配合等保个人信息这块的要求,虽然就两句话,但是你懂得,不可能这么简单的,肯定会被引申出来一堆要求。
以上是等保2.0通用要求技术要求部分的变化分析,下面再看看管理部分,有什么新的变化。
安全策略与管理制度
11项调整为7项。把1.0中管理制度的第一点单独作为一个控制点,体现对企业总体方针及策略的重视程度增加。
1.对于制定和发布,不再要求论证和审定过程,不再要求注明发布范围并且收发文要登记,只要控制好版本,正式有效发布即可。可以说是响应国家号召,简化流程,去掉一些不必要的繁琐工作。
2.评审和修订,去掉了必须由领导小组进行评审的要求,这简化了不少工作流程。
安全管理机构和人员
36项调整为26项,把安全管理机构与人员安全管理合并到一起。总体要求简化了不少,但是安全工作领导小组还是要有,三员岗位依旧不能单人单岗,安全管理员不可兼职还是依旧按照1.0的要求。
1.授权和审批方面,去掉了过程文档记录的要求。(省了好多事)
2.沟通合作方面,不再要求要与供应商、专家、安全公司保持沟通,不需要每年聘请安全顾问来指导安全工作。
3.去掉人员考核整个控制点。也就是说,只要正常对员工进行安全培训以及关键岗位的技术培训,考核与否不作为检查项了,可以公司自由决定。而且,培训记录和培训课程也不用再归档了。
4.外部人员访问管理,新增对外部人员接入网络访问系统的审批要求,更注重信息安全了:
a) 应确保在外部人员接入网络访问系统前先提出书面申请,批准后由专人开设账号、分配权限,并登记备案;
b) 外部人员离场后应及时清除其所有的访问权限;
c) 获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。
安全建设管理
45项调整为34项。定级和备案合并到了一起,这是比较合理的。
简化了系统安全方案设计的要求,比如不再要求做系统的近期和长期安全建设计划,不再要求定期调整和修订总体安全策略、框架等配套文件。可以说是为甲方省下了一大笔的时间。
1.自行软件开发,增加了新的要求点:
a) 应确保具备软件设计的相关文档和使用指南,并对文档使用进行控制;
b) 应确保在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测;
c) 应确保开发人员为专职人员,开发人员的开发活动受到控制、监视和审查。
2.开始强调安全在开发层面的重要性,要求必须进行安全测试,也就是说SDL要强制搞起来了。最后一条属于制度方面的约束,主要是防止核心技术或源码泄露,比如这几天B站的那个啥。该防的还是要防,此外员工的日常访谈工作也要做,把一些完全可以通过谈话解决的矛盾,能够避免的事件消灭在萌芽中。
3.外包开发、工程实施、测试验收和系统交付没有新要求,均简化流程,对甲乙方来说都是好事,但不代表可以偷懒,该做的一些流程和审批还是要做的。
4.等级测评稍微简化了一些,有些描述发生了变化。以前三级系统一年一次,二级系统两年一次,这个是必须的,新的标准里只提到了定期进行等级测评,这个定期是多久没有明确,但是其他研究机构的报告中提到2-4级系统均为一年一次(至少),但具体如何执行,要看测评中心那边怎么说。
这里再额外说一句,其实按照规定,等保测评必须由测评机构来做,而且是单独的项目,不能由其他厂商或服务商以转包形式打包到项目中。现在好多安服项目都是把等保放在里边作为一项服务,严格来说这么做是不符合规定的。监管部门具体会不会深究这件事,目前还不好说。
安全服务商选择变为服务供应商选择,新增一条要求:
c) 应定期监视、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制。
这条作为检查项我觉得不太好做,虽然是好事,给了甲方更大的权利去要求乙方,这总监控和审核要怎么来量化和评分,感觉掺杂太多的主观意向和背景关系,反正甲方腰板更直了,乙方越来越孙子了。
系统运维管理
62项调整为49项。个别控制点有新要求。
1.环境管理略过,大多都是云计算,新建的混合云自有IDC也是高标准的A类机房。
2.资产管理竟然不要求有资产安全管理制度了,不知道这是怎么个思路,这样的话只要各部门负责好资产梳理和管理就够了。
3.介质管理变化较大,原本6个要求项,现在减少到2个要求项。那么只要根据新的要求来就好:
a) 应确保介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点;
b) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录。
4.设备维护管理新增2项新要求:
a) 应确保信息处理设备必须经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其中重要数据必须加密;(前边的审批一般公司都会去做,后边做得不太好,这块之前在1.0解读中有说过,大公司有钱有技术就搞DLP,小公司没钱,那就对介质工软件加密一下);
b) 含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,确保该设备上的敏感数据和授权软件无法被恢复重用。(也是提到过的点,量大的交给专业的处理机构,量少的把产品经理头像贴磁盘上交给开发,每人发一个锤子就好了)
5.监控管理和安全管理中心删除,新增漏洞和风险管理,也是符合当前的实际情况,前几年谈风控,现在谈弱点管理,Gartner又搞出来个CARTA,越来越高大上了。新标准就2点,一是漏洞管理,漏扫、打补丁;二是定期安全测评,这个可以自己测,也可以找人测,不是等级测评,属于自查的工作。
6.网络安全管理和系统安全管理合并为网络和系统安全管理,由15项简化为9项,没发现有新增的内容,只是描述略微变化。
7.恶意代码防范管理,去除了查杀记录保存的要求,去除了升级、杀毒等过程的分析记录要求;新增一条要求,定期检验技术措施的有效性。就是不但要及时更新和升级,还要及时调整安全策略,保证防护技术措施确实有效,对于已知的病毒和攻击能够进行防护(apt和ddos这种特殊情况要特殊处理)。
8.新增配置管理控制点,要求备份系统配置信息,至少要包含:网络拓扑、设备安装的组件、软件版本和补丁信息、设备和软件的配置参数;以前没有明确说,现在正是提出了。原文是这两条:
a) 应记录和保存系统的基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等;
b) 应将基本配置信息改变纳入系统变更范畴,实施对配置信息改变的控制,并及时更新基本配置信息库。
密码管理和变更管理无明显变化,都不再要求必须有管理制度。备份与恢复管理,不再要求备份恢复管理制度,但要明确备份方式、频率、存储介质和保存期限, 感觉还是要写个简化版的制度。不再要求定期开展灾难恢复演练工作和其过程记录,对于很多企业可以说是松了一口气,但是从安全角度来讲,建议还是定期来搞,起码一年一次。
安全事件处置和应急预案管理,简化流程,减少过程文档记录的留存,其他无变化。
等级保护市场的变化
这里借用了一些其他大机构和研究所的数据,毕竟我这边没那么多资金去搞调研。说下个人比较直观的感觉(之前有人预测了等保 2.0 带来的 200 亿市场需求,有些道理)。
这里我说下服务方面,初步统计国内三级系统约5w,二级系统约50w(其他研究团队得来的市场数据),那么新标准出来后,这些已定级备案的系统必然要重新定级,这部分的服务费用假设取下限:
L3 Sys x 50000 x 50k = 25亿;
L2 Sys x 30000 x 500k = 150亿;
175 x 0.85 = 148.75亿(这里抛开有些企业就是想躲等保定级,不被查到不去重定级的情况)
这是现存的市场量,那么全国新增信息系统数量大概多少,这里推算一下吧。直接数据没有,只能通过间接数据粗略估算一下。能找到的数据是国内企业网站增长数量(国家统计到的数据,应该是有备案的网站):
(来源:data.stats.gov.cn)
可以看出,2015-2017年增长还算稳定。16年增长率1.71%,17年增长1.66%,那么预计18年的增长也差不多在1.6%左右。这么来看,每年应该会有大概8000个备案的新增网站,这类网站虽然备案但未必达到关键基础设施或需要定二级以上的程度,我们大刀一下,还剩4000个需要定级备案的,按照1:10划分三级和二级系统,即364个三级系统和3636个二级系统,众所周知目前定级推广的还是有限,那么需要三年左右时间来开展工作,就会变成121个三级系统和1212个二级系统。
121 x 50000 + 1212 x 30000 = 42410000
约为4000w的咨询服务增长,这是每年的。新标准要求二级以上系统至少每年进行一次复测(以前是二级2年1次,三级1年1次,现在都是至少1年1次了)。
这个市场基本就是:
148.75 + 0.4 = 149.15亿
年增长0.27%,那么累计每个下一年的市场份额为149.15 x (1+0.0027)^n。
这是初步计算的结果,还不包括已在运行,但是未被监管到未定级的系统数量,要知道网安法要求只要信息系统达到一定量级是必须要定级备案的。所以如果按照国家法律法规执行,预估明年应该光咨询服务就有大概150亿左右的市场。
结尾
随着习总书记发表“4·19”重要讲话以及《网络安全法》的颁布、实施,网络安全的重要性不断提高。“没有网络安全就没有国家安全,没有信息化就没有现代化”已深入人心。希望大家能够重视网络安全工作,不要本末倒置。
*本文原创作者:宇宸@默安科技合规研究小组,本文属于FreeBuf原创奖励计划, 未经许可禁止转载