一、 概述
笔者此前一直在关注互联网上关于等保方法的文章,发现大部分都是围绕怎么测、怎么做,很少有涉及针对等保测评这项基本国策的理解和解构。思来想去,笔者觉得如果不从根本上解释为何而作这个问题,是无法更好的贯彻落实等保制度这一基本国策,并且也无法体会到这项重要国策的良苦用心。
故而,笔者决定将个人对等保这项基本制度的理解和看法整理出来,以向大家进行交流,若有不当之处欢迎斧正。
二、 等保制度的成因
众所周知,我国的拥有世界上最多的人口基数,互联网人口数量也位居世界前列,而身在其中的互联网应用的复杂度也参差不齐,同时由于投入进行网络安全的资金量是有限的,这就为我国的网络安全提出以下三点急需解决的问题:
如何有效应对日益复杂的信息安全态势?(信息系统复杂度和攻击手段革新)
针对有限资金情况下,如何合理投放?
如何评价投放成果?
而为了更好的解决这三点问题,我国借鉴参考国际各类优秀安全标准以及结合我国自有国情,便顺势提出和实行网络安全等级保护制度。
三、 等保制度的内在逻辑
经过上文我们知道等保制度需要解决的问题和背景,那接下来就需要针对具体问题进行深入研讨解构。
第一个问题:如何有效应对日益复杂的信息安全态势?(信息系统复杂度和攻击手段革新)
由于等保制度是基本国策,是自上而下的顶层设计,同时又因为具体技术手段实现受到特定环境所限(例如WAF仅针对应用层级进行防护等),不具有普适性。
所以,等保制度必然需站在大局方面,结合我国实际情况,借鉴国外优秀理论搭建的一个理论指导性的框架逻辑体系。
在这个体系结构中,等保分为两大类别关注点:管理类和技术类。
管理类要求:
主要是针对相关系统管理方或运营方提出的管理程序上的合规化要求,因为只有流程的正确才能保证技术类安全要求的落地。而流程的合规是需要实际管理类文档体系的支撑。
所以,在日常测评过程中管理类的要求是落地到针对文档的核查。而一套完整的管理体系至少要包含:整体性安全工作方针或策略、依据整体性安全工作方针或方案产生的各类安全管理制度规范、安全技术操作手册、安全管理流程细则表单类文档以及安全工作留痕记录或相关工作报告这些四级的文档体系,这才能做到自上而下,统一指导、切实落地(追根溯源)。
图1 四级文档结构
技术类要求:
如果说管理类要求是针对信息系统使用人员、管理人员、维护人员的操作流程、日常工作行为的限定与指引,那么技术类要求就是实打实的针对信息系统及其所处环境的功能性要求。
而要对信息系统及其所处环境的功能性要求进行理解,就需要对其所面临的风险进行解构。
首先,我们需要对风险的类型进行讨论——风险的类型分为可用性和安全性。
可用性:可用性关注于系统的正常运转,其主要关注问题点:系统的连续性、系统抗灾能力、系统的资源使用情况。
安全性:安全性关注于系统的数据安全,其主要关注问题点:数据丢失、数据篡改、数据泄露。
所以,为了达到敏感数据不泄露、核心业务不失控给、合规管理不缺项的工作目标。等保制度提出了SAG的概念:
S类—业务信息安全保护类—关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。
A类—系统服务安全保护类—关注的是保护系统连续正常的运行,避免因对系统的未授权修改、破坏而导致系统不可用。
G类—通用安全保护类—既关注保护业务信息的安全性,同时也关注保护系统的连续可用性(说明:正是由于管理属于通盘考虑,所以上文管理类要求都是G类)。
接着,根据安全性关注需求,即系统的数据安全,我们在进行下一步的讨论。
由于数据安全往往和网络安全、应用安全、操作系统安全、数据库安全关联紧密。所以,要讨论这个问题,我们就要等保测评中的调研环节,调研环节里面特别提到了业务流和数据流。在此我解释下什么是业务流、什么是数据流。
业务流:是测评相应的应用业务流流程(例如采买流程、登录流程、访问控制流程等)。
数据流:是承载数据流量从客户端到服务端之间通信流量的现实环境(如服务器、网络设备、安全设备等)。
既然了解到业务流和数据流的具体定义,再结合纵深防御理念(即依据数据和业务流转方向,针对这一过程中的现实物理设备和相应软件模块,提出的相应安全要求,最终构成有如战争期间的多道层叠的防线),为此等保测评将这些数据流转中所涉及的环境,一共分成五大层次:
安全物理环境:物理环境是后面四大层面的基石,没有安全的物理环境存放相应设备,以下所有层面考虑的问题都如无根之木。
安全通信网络:随着信息化的不断发展,通过网络实现资源共享和数据交互的技术场景也屡见不鲜,故而数据传输过程中关于数据传输、加密以及相关架构是否合理就成为关注重点。
安全区域边界:由于在不同网络间存在互通的实际场景越来越普遍,为保证不同网络区域间的安全性,故而需考虑不同网络间的授权接入、访问控制、入侵防范等措施的落实情况是否合理。
安全计算环境:安全计算环境定义是通过局域网络各种设备联结而成复杂环境,针对边界内部所提出的安全需求(边界内部涵盖构成该环境的网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等)。由于业务流针对的软件模块就属于安全计算环境中的一个组成部分,所以,针对应用系统业务方面的安全属性就体现在相应的测评要求中。
安全管理中心:是一个纵深防御体系的大脑,是技术管控枢纽,通过管理区实现管理,并通过一个技术工具或多个技术工具实现一定程度上的集中管理。
图2 等保2.0框架结构
经过上文的描述相信大家对等保测评体系结构的内在逻辑有了一定的理解,也知道等保体系是如何回答——如何有效应对日益复杂的信息安全态势?这一问题的基本思路。那现在回答下一个问题。
第二个问题:针对有限资金情况下,如何合理投放?
其实这个问题,很好解决。在有限的资金情况下,必然是先解决高层级的重要系统,在考虑低层级的其他系统。这也是等保制度中要求系统定级的内在由来,依据不同层级系统的重要程度,在提出相应的安全需求,这样就可以把“好刚用在刀刃上”,最大效率的利用有限资金实现网络安全强国的目标。当然为了定级的准确和工作的有序正确开展,在2.0时代就要求在原先1.0定级的工作流程上强制要求加入专家评审,以确保系统定级的准确。
第三个问题:如何评价投放成果?
定期开展等保测评工作,采用统一的评判标准,进行成果的衡量。(必须要注意的是,有些测评工作人员仅仅只关注于分数和测评结论,忽略测评工作的内在本质,对于测评对象的选取不够明确,例如由于测评计算公式、评分、权重等因素,导致在选取网络对象时,合并成一个网络对象还是拆分成两个网络对象进行测评往往对于分数以及测评结论的影响并不大,但是这就忽略了上文所说的安全区域边界的真实目的要求,换而言之,一个最基本的网络单元(内含网络设备、安全设备、服务器等)就应该有其自身的安全要求,如果对象都选取不准确,就会影响测评的实际效果,不利于基本国策工作的落地。
图3 等保2.0评判标准