□ 文 刘俊杉 段 莉
等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置,是针对国家网络安全的基本制度。我国于2007年正式实施等级保护制度。经过10多年的发展,2019年5月等级保护2.0标准发布,并于同年12月1日正式实施,这标志着我国网络信息安全等级保护工作进入了新的时代,对保障国家网络安全具有里程碑的意义。
随着科技的进步和通信网络的发展,网络与信息安全形势日益严峻,网络安全逐渐被推上更重要的位置。习近平总书记针对网络安全提出了重要论断:没有网络安全就没有国家安全。党的十九大也针对网络安全作出战略部署:指出加强互联网内容建设,建立网络综合治理体系,营造清朗的网络空间,坚持系统性谋划、综合性治理、体系化推进,逐步建立起涵盖领导管理、正能量传播、内容管控、社会协同、网络法治、技术治网等多方面内容的网络综合治理体系,全方位提升网络综合治理能力。
相较于等级保护1.0标准,等级保护2.0标准为了顺应新技术的发展及应用,将保护对象的范围、防御体系和实施流程等方面都纳入了扩展要求。
随着互联网技术的发展,近年来国家陆续出台了针对网络安全、信息安全的相关法律、法规和标准,为网络及信息安全提供了政策保障。从1994年国务院147号令《中华人民共和国计算机系统安全保护条例》、2003年中办发27号文《国家信息化领导小组关于加强信息安全保障工作的意见》以及2004年公通字66号文《关于信息安全等级保护工作的实施意见》开始,国家针对网络及信息安全保护的进程开启。
2007年《信息安全等级保护管理办法》发布,规定了信息系统定级、备案、安全建设整改、等级测评、检查五部分。2008年以后,等级保护1.0标准发布,包括《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息系统安全等级保护定级指南》、《信息安全技术信息系统安全等级保护实施指南》等,等级保护工作开始逐步推广,标志我国等级保护工作进入发展阶段。
党的十八大以来,网络安全工作也被推到了更重要的位置。习近平总书记对网络安全与国家主权、网络安全与国家安全、网络安全与人民、网络安全与法制、网络安全与信息化发展、网络安全与国际社会都做出重要指示。2015年以来,我国关于网络安全已颁布或印发190项法律法规和政策要求,与通信相关的有40余项。2016年11月7日,全国人民代表大会常务委员会正式颁布《中华人民共和国网络安全法》。自2017年6月1日起施行,明确提出我国要实行网络安全等级保护制度,等级保护已经上升到法律层面。2019年5月,《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》以及《信息安全技术网络安全等级保护设计要求》标准正式发布,要求2019年12月1日起施行,标志我国网络安全等级保护制度已经迈入全新的2.0阶段,着重于积极防御、动态防御、精准防护和整体防控,是网络安全的新发展。
通过对比等级保护1.0与等级保护2.0的相关标准,包括基本要求、测评要求、设计技术要求,等级保护2.0在制度地位上明确提升,有31条规定:国家对关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护;2.0标准在保护对象上进一步丰富和完善,要求更加适应新形势;2.0标准更加强调未知威胁检测能力,强调安全检测能力和安全响应能力的建设;2.0标准在政策体系上也做出进一步细化完善,配套管理规范、实施细则正在陆续出台,体现了动态的、积极防御的安全理念;2.0标准也进一步提升了适用性和可操作性,核心标准全部修订、测评要求细化、充分考虑可操作性。
等级保护2.0标准新增或修订了以下四部分。
2.2.1 保护对象更加全面
首先,从等级保护1.0标准《信息安全技术信息系统安全等级保护基本要求》和等级保护2.0标准《信息安全技术网络安全等级保护基本要求》的名称来看,不难发现1.0中保护对象为信息系统,而2.0中已变为网络安全系统,涵盖面更全。等级保护2.0要求内容简要如表1。
表1 等级保护2.0要求简图
其次,从技术发展来看,等级保护2.0中为了适应云计算技术、大数据、物联网、工业控制、移动互联网的发展,不断扩大等级保护对象的外延,将云计算、大数据等纳入到保护范围内。等级保护2.0要求中对新纳入范围的保护对象分级阐述,并对应用场景进行说明,新的信息技术催生新的安全技术。
2.2.2 安全要求更加丰富
安全技术指标由原来的五个层面调整为物理与环境安全、网络与通信安全、设备和技术安全、应用和数据安全四个层面,安全管理指标由原来的五个层面调整为安全策略与管理制度、安全管理机构和人员、安全建设管理、安全运维管理四个层面。各个层面的控制点和指标项均进行了相应的调整,结构清晰合理,体系更加完善。
等级保护2.0要求中增加了安全扩展要求。安全扩展要求是针对特殊对象的个性化要求,包括新纳入范围的云计算、物联网等的安全要求。如移动互联网一般从结构上分为移动终端、无线通道、接入设备及服务器层,2.0标准中移动互联网安全扩展要求主要针对移动终端、移动应用和无线接入网部分提出特殊安全要求,通过安全通用要求和安全扩展要求构成系统的整体安全防护。
2.2.3 控制措施更加严密
等级保护2.0的管理策略为:明确定级、增强保护、常态监督。根据定取等级对应相应的测评周期,二级信息系统每两年测评一次,三级以上定级对象要求每年至少开展一次测评,网络安全系统的建设、评估形成闭环管理,更有利于发现问题、优化系统。
相较于等级保护1.0要求,等级保护2.0中除规定的五个基本内容外,增加了新的安全要求,包括安全检测、数据防护、风险评估、安全监测、通报预警、态势感知、应急处理等。同时,等级保护2.0将可信验证列入各级别(一级到四级)和各环节的主要功能要求中,建立了信任链,保证网络系统从软硬件平台到操作系统,再到应用,一级信任一级,扩展至计算机系统,从而保证计算机系统的可信任。
通过对通信网络安全系统现状的分析,发现目前网络安全在系统建设和管理方面存在以下两方面不足。
3.1.1 现网入侵感知能力不足
无法有效检测攻击行为,积极防御能力有待提升;现网存在大量入侵痕迹,内网系统存在被植入后门、挖矿软件、活跃蠕虫病毒等历史入侵痕迹,而且被控时间较长,但均无感知。
3.1.2 互联网暴露面管控不足
目前网络存在私搭乱建VPN,缺乏管理的现象,容易被渗透进入内网。由于接入公网的系统逐渐增加,系统开发人员不同,导致部分暴露面的资产长期无人使用、无人管理、无人维护;安全设备大多无精细化的策略控制,WAF防火墙等未正确配置策略导致对非法攻击行为无法及时阻断。
3.1.3 内网安全管理不足
内网安全域边界不清、边界模糊导致内网大量设备被攻击;内网主机只用相同的账号口令,容易导致“一台突破、同网尽失”;运维设备权限过大,部分网络监控、管理终端直接管理核心设备,容易被控制引发瘫痪,造成事故。
3.1.4 应急处置机制虚设
检测能力有待提升,互联网暴露资产可被有效控制,监测上报率较低;信息上报不及时,不能按照要求及时报送应急处置工作情况;存在应急预案与执行两张皮现象,内网系统被攻陷时未能及时按预案启动应急处置机制。
3.1.5 安全运维管理不足
常见高危漏洞未及时修复,多台主机仍存在Struts2、WebLogic等中间件高危漏洞,仍存在“永恒之蓝”高危漏洞;系统安全配置不当、业务逻辑不清晰,日志中账号口令明文记录、未授权访问等低级错误仍大量存在;系统交维存在“空窗期”,部分业务系统上线后验收前并未按要求实施安全管控,存在较大的安全隐患。
图1 云计算应用系统架构简图
在人员结构、能力认证、安全意识方面亟需进一步加强和提升。
目前,安全管理人员多,组织机构庞杂;但安全技术人员少,具有实际运维经验的专业人员少,其中有安全相关能力认证的人员更少,在业务中断响应和业务应急处置等技术能力存在不足;员工安全意识不足,大量重要系统的中间件、数据库、网络设备仍存在使用弱口令或默认口令的现象。
4.1 云计算技术应用场景
图2 大数据系统架构简图
云计算技术通过互联网实现弹性可伸缩的按需服务、泛在接入、多租户、可度量的特征。随着云计算技术的成熟及应用的普及,云计算安全成为制约云计算发展的重要因素之一。根据国家互联网应急中心《2019年上半年我国互联网网络安全态势》统计,云平台成为发生网络攻击的重灾区。
云计算技术应用如图1,通常分为基础设施层(IAAS)、平台层(PAAS)及应用层(SAAS)三层。在云计算应用的不同模式中,提供商和租户对计算资源有着不同的控制范围,也相应决定了不同角色的安全责任边界。在提供IAAS层服务时,云计算平台由基础设施、资源管控层和虚拟化层组成;在提供PAAS层服务时,云计算平台由基础设施、资源管控层、虚拟化层和平台能力层组成;在提供SAAS层服务时,云计算平台由基础设施、资源管控层、虚拟化层、平台能力层和应用层组成。
图3 物联网系统架构简图
等级保护2.0中云计算部分主要考虑基础设施和虚拟化层以及相关组件的安全。对于物理环境安全,等级保护重点在于基础设施的物理安全及计算/存储资源的跨境问题,要求全部基础设施应位于中国境内。
大数据以其数据5V(数据量大、种类繁多、价值高、数据增长快、数据质量可信赖)特点,一旦遭到破坏、泄露或篡改就会严重威胁国家安全、社会秩序以及公共利益。大数据安全保护原则以数据为核心,关注数据的全生命周期安全,即从数据采集、到数据应用的安全。其中通信用户的数据又占有较大的比例,具有较高的价值。
大数据应用如图2,通常是由大数据平台实现,大数据平台为应用提供数据资源、数据分析和服务支撑,包括数据采集层、数据分析层和数据应用层,通过对数据的采集、处理、存储、分析、展示等,为数据创造价值。
等级保护2.0中,大数据应用扩展要求中重点考虑基础设施、数据安全以及数据相关功能/组件的安全。对于物理环境安全、网络通信安全以及计算环境安全均有明确规定。
简单来说,物联网系统的技术架构如图3,就是由感知层、网络层传输、应用层构成。其中感知层包括传感器节点和传感网关节点或由RFID标签和RFID读写器构成的RFID系统;网络传输层包括将感知数据远距离传输到处理中心的网络,包括电信网、互联网、移动通信网等;应用层包括对感知数据进行存储和智能处理的平台,并对业务应用终端提供服务。
感知层主要用于识别物体和采集信息,是物联网的关键,是等级保护2.0标准中的关注重点。在测评中,重点关注感知层的节点设备和网关节点设备安全。
对于物理环境安全、网络通讯安全、区域边界安全、计算环境安全方面,等级保护2.0要求中均做出扩展要求。
移动互联网指移动终端通过无线通道接入的应用模式。移动互联网的主要结构由移动终端、无线网络和应用接入三部分组成。移动终端通过无线通道连接无线接入设备,无线接入网关通过访问控制策略限制移动终端的访问行为,后台的管理系统负责对其管理,包括向客户端软件发送移动设备管理、移动应用管理和移动内容管理策略等。
等级保护中移动互联网部分重点考虑移动终端、无线接入网关以及相关的设备安全。
5G将全面构筑经济社会发展的关键信息基础设施,其安全的重要性显著提升,5G的发展已被提升至国家安全战略层面。各国纷纷将5G安全定位为发展的重点。
5G网络中有五大关键技术引入,带来新的风险与挑战:网络功能虚拟化(NFV)将实体网元变为虚拟化软件,物理资源共享,导致设备安全边界模糊;边缘计算(MEC)导致信息内容检测和溯源难度增大;网络开放能力导致开放端口成为数据泄漏的脆弱点;网络切片技术使新业务场景下安全责任归属问题不明晰;异构接入和多终端形态的安全能力差异大,容易成为新的攻击目标。
等级保护2.0中没有对5G业务的安全保护做出要求,针对其技术特点,可在切片安全控制、自动化运维安全增加保护,保障网络通讯安全及物理环境安全。同时针对边缘数据要防篡改、防泄漏,保障报账计算环境安全,为5G业务的发展保驾护航。
通信网络安全体系的整体安全框架以国家政策法规为背景,遵循等级保护2.0要求,结合IPDDR架构设计。通信网络安全体系按要求设计安全管理、安全技术以及安全运维三大安全体系来打造更加智能的自适应技术体系,以实现等级保护2.0要求中的安全管理中心和安全通信网络、区域边界、计算物理环境的防护。
根据等级保护定级规定,通信行业应将等级保护定为三级,要求系统上线后,进入运营期,需要建立安全运维的长效机制;对异常事件能够快速发现及处置,减少损失、降低不良影响;满足网信办、公安及上级主管部门定期检查和测评的安全要求。
安全不仅仅是技术问题,更是管理层面的问题,建立良性的管理体系尤为必要。
建立安全管理体系:建议完善安全管理工作的管理制度,解决移动通信网的人员管理问题。
首先,对管理部门和岗位进行划分,明确职责;其次,定义管理人员的工作职责、分工和技能要求;再次,配备安全管理的技术专职人员,要求有相应岗位职责的认证资格,专职技术人员能够独立处理紧急事件,真正形成“小管理、大技术”的安全管理团队;第四,制定、实施安全检查,形成常态化工作。汇总安全检查数据,形成安全检查报告,对安全检查结果进行通报。
提高安全岗位人员能力及意识:制定安全技能培训、安全意识教育等计划,有效提升安全岗位人员的专业技能及安全意识。针对调离人员及时终止权限,严格办理调离手续,同时应对外协人员进行有效管理。安全管理人员的团队建设将直接影响安全体系的安全系数。
建立安全管理生态:安全管理生态指贯穿到安全系统的全生命周期管理,在系统立项、方案设计、建设、定级与备案、验收与测试、交付与测评、运维管理均需要安全管理人员参与进行安全管理。
5.2.1 安全区域边界划分
安全区域边界划分主要有5个控制点,包括边界防护、访问控制、入侵防范、恶意代码/垃圾邮件防范、安全审计。
边界防护:要求项包括受控接口通信、入网检查或限制、外联检查或限制及无线网络受控接入,主要解决方式是通过部署防火墙、网闸以及边界设备策略解决不同安全域之间访问与逻辑隔离;通过部署网络准入系统,针对终端的违规接入和非法外联进行管控;通过部署无线接入网关解决无线网络受控接入。某省根据安全域边界划分明确的要求进行DMZ区域划分,解决安装防火墙后外部网络的访问用户不能到访内部网络服务器的问题,更加有效地保护了内部网络,使不同功能的网络边界更加明晰。
访问控制:要求项包括访问控制策略、访问控制规则精简优化、基于会话的访问控制以及应用层访问控制。通过访问控制规则实现安全传输。基于对数据包的源地址、目的地址、源端口、目的端口,请求服务器进行检查,以实现数据的安全传输。
入侵防范:要求项包括检测、防止或限制内外发起的网络攻击;检测和分析新型攻击以及发现时记录和报警。主要通过部署入侵防御系统、抗DDOS攻击系统、抗ATP攻击系统等对恶意软件入侵进行发现、记录并报警。某省通过安全态势感知平台可实现内外部威胁、异常行为威胁,进行检测分析和趋势分析,并及时预警、输出。
恶意代码和垃圾邮件防范:要求项包括网络恶意代码检测和清除、恶意代码库升级、垃圾邮件检测和清除、垃圾邮件规则库升级,主要通过防病毒网关及病毒库对网络中的木马、病毒进行检测、告警和阻断;防垃圾邮件网关对垃圾邮件进行有效防范。
安全审计:要求项包括全用户审计和重要审计、审计记录项、审计记录备份和保护以及远程访问和访问互联网单独审计,主要通过部署网络审计系统、上网行为管理系统及在网络核心放置堡垒机来对运维人员远程运维设备时,进行操作记录、分析、审计,为溯源提供依据。
5.2.2 安全通信网络
安全通信网络的主要控制点有3个,包括网络架构、通信传输以及可信验证,网络拓扑如图4。
网络架构:要求项包括设备处理能力、网络带宽满足业务要求;安全域划分,重要区域的位置和保护以及可用性冗余。通过防火墙或网闸的设置,实现安全区域的划分,合理划分安全域,不同域之间进行有效安全隔离;关键网络设备和计算设备采用冗余设计,保证系统有效运行。
通信传输:要求项包括传输数据完整性和保密性,主要通过IPSec VPN、SSL VPN及应用安全网关实现。
可信验证:要求项包括通信设备及应用程序可信验证、破坏报警和审计记录外发,通过集中审计系统得以实现。
5.2.3 安全管理中心
安全管理中心的控制点有4个,包括系统管理、审计管理、安全管理以及集中管理。
图4 典型网络拓扑图
系统管理:通过部署安全管理平台,对登录系统的管理员进行身份鉴别,系统配有三员角色,要求三员分离,即系统管理员、安全管理员和审计管理员分离。系统管理员对系统参数、配置、启动、修改、加载等配置有授权权限,可以进行统一配置管理。
审计管理:审计管理员通过认证登录管理平台,有权限对系统的操作日志、告警日志进行分析、统计。
安全管理:安全管理员通过认证登录管理平台,有权限对安全策略下发、配置、修改、访问控制、授权等统一配置管理。
集中管理:要求项包括特定的管理区域、管理数据的安全传输、全面的集中监控、审计数据汇总和集中分析、安全策略、恶意代码、补丁升级等集中管理以及安全事件识别、报警和分析。通过安全域划分、策略集中管理等手段,安全管理平台对所有安全系统的统一纳管,实现对整体安全态势的集中化展现,有效提高网络安全整体防护水平。
安全运维体系遵循ITIL、ISO系列标准,参考SOA架构,建设贯穿安全运维全生命周期的管理办法、标准、模式、管理对象以及基于流程管理的安全运维体系。建立基于现网的网络安全系统烟囱式架构:首先,对系统功能进行梳理并整合;其次,建立安全资产管理平台,对资产进行信息管理、发现管理、脆弱性管理,同时可对资产进行展示及分析,能够全面、直观对全网安全资产进行闭环管理。安全运维体系能够实现安全策略管理、组织管理、运维管理,是技术体系的核心和枢纽。
安全运维体系能够通过平台实现网络系统安全管理、密码管理、备份与恢复、应急预案管理、漏洞和风险管理、恶意代码防范、配置管理、安全事件处置、机房安全管理等功能。
安全运维体系是安全系统的重要组成部分,对保证网络安全、提升系统效能、优化系统流程起到必要的核心作用。
等级保护2.0标准在云计算、大数据、物联网、工业控制、移动互联网等新的应用环境均提供了建设标准及指导意见,本文从等级保护2.0标准入手,结合移动通信网网络安全的现状,以等级保护2.0标准为基准要求,提出构建网络安全体系架构的建设思路,提升整体网络安全的综合防护能力,做到事前可预测、事发可管控、事后应急并实时取证审计,切实保障网络、用户数据和业务的安全性,做清朗网络空间的守护者。■