等保2.0安全管理中心要求解读
等保2.0的核心
今年5月,随着《信息安全技术网络安全等级保护基本要求》(GBT22239-2019)的公布,宣告等保2.0时代正式开启,并将于2019年12月1日正式实施。也就意味着,到今年年底,所有的信息系统,只要对外的,就要做定级备案,对于重要系统同时还要定为关键信息基础设施,在等保之上还要满足《关键信息基础设施安全保护条例》的要求。而等保中新增的个人信息保护中,也要满足《互联网个人信息安全保护指引》的要求,对于漏洞也应参考《网络安全漏洞管理规定》要求。
标准的东西其实不是硬性规定,其具备灵活性,同样一条标准可以通过不同方式来实现,完全可以结合企业自身环境特点来应对,我一直以来的原则是做好安全的过程中顺便将合规一起做掉,而不是为了应付检查而被动的去对标标准做合规。而且,做安全也不要太局限于技术层面,管理其实更为重要,这就是为何等保中有技术也有管理的原因。
国家网络安全工作规划是:一个中心,三重防护。对应到等2中即安全管理中心、安全通信网络、安全区域边界、安全计算环境(物理环境安全属于独立科目),此外网安法中要求系统建设必须做到三同步,即同步规划、同步建设、同步使用。
网络安全三同步
《网安法》第三十三条规定:
建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
同步规划
在业务规划的阶段,应当同步纳入安全要求,引入安全措施。如同步建立信息资产管理情况检查机制,指定专人负责信息资产管理,对信息资产进行统一编号、统一标识、 统一发放,并及时记录信息资产状态和使用情况等安全保障措施。
同步建设
在项目建设阶段,通过合同条款落实设备供应商、厂商和其他合作方的责任,保证相关安全技术措施的顺利准时建设。保证项目上线时,安全措施的验收和工程验收同步,外包开发的系统需要进行上线前安全检测,确保只有符合安全要求的系统才能上线。
同步使用
安全验收后的日常运营维护中,应当保持系统处于持续安全防护水平,且运营者每年对关键信息基础设施需要进行一次安全检测评估。
本文主要针对“一个中心,三重防护”中的中心,聊聊这个概念以及相应的要求。
安全管理中心
本控制项为等级保护标准技术部分核心,名称虽然看着像管理,但实际归为技术部分。本项主要包括系统管理、审计管理、安全管理和集中管控四个控制点,其中的集中管控可以说是重中之重,主要都是围绕它来展开的。
标准原文
8.1.5 安全管理中心
8.1.5.1 系统管理
a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;
b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
8.1.5.2 审计管理
a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
b) 应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
8.1.5.3 安全管理
a) 应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计;
b) 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
8.1.5.4 集中管控
a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;
b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;
e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
f) 应能对网络中发生的各类安全事件进行识别、报警和分析。
主要的检查点包括:系统、审计、安全管理。
为何将这三部分放到一起来说?从标准的要求项可以看出,描述基本一致,只是针对三个岗位来说的,这里的三个岗位并不是网络安全中常说的三员,这里没有加入网络管理员,而是把审计管理员加了进来,可以看出国标对审计的重视程度。
系统管理员身份鉴别(也适用于审计和安全管理员),说起来可以是大事也可以是小事,标准没具体说要如何来鉴别,按照对标准的理解来看,最起码要做到的就是双因子验证,这是最基本的,也就是说账户密码方式算一种(也可以像手机这种针对唯一设备的随机验证码)、堡垒机算一种、4A认证授权算一种、指纹和面部等生物识别算一种、声控、身份密钥(可插拔U-Key或是卡片)算一种,诸如此类的选其中两种组合都可以。但是跳板机登陆后再用管理员身份登录系统,这种不算双因素,这是同一种鉴别方式用了两次,不要混淆双因素的含义。
系统管理员的权限控制,这里只说技术层面不展开讲流程管理的内容。要求只允许特定的命令或操作界面来管理,并对操作进行审计。两点要求,至于特定命令这条,理解有些出入,也许适用一些定制化的自研系统,不过这里用的是或,也就是说只要有后台登录界面供管理员登录,不要随便就能进入后台即可,而且管理员所有操作都要记录,可以查询。
此外的一项要求,则是对于系统的一些关键性操作(参考原文),都要由系统管理员来操作,也就是只有管理员有权限做这些操作,而且管理员一般只有一个账户,其他用户没有相关权限进行此类操作。这点要再系统开发时就针对性设计,尤其对于外包的系统。
审计管理员主要职责在于审计分析,具体分析什么要根据企业实际情况,不过重点是记录的存储、管理和查询,即日志留存和保护工作,这点也是老生常谈,6个月全流量全操作日志,可查询,有备份,有完整性保护,避免被修改等等。
安全管理员主要负责安全策略的配置,参数设置,安全标记(非强制要求),授权以及安全配置检查和保存等。这里指说了一部分要求的内容,实际中企业安全部门要管的事情很多。
总之,这6点主要强调的是具有权限的用户的特权管理及审计工作。为何要强调特权账户管理?做过安全的应该都了解,黑客利用漏洞进来,搞事情之前首先要提权,拿到管理员权限后才可以为所欲为,因此要对这些账户进行必要的保护。对此,Gartner给出了一些控制建议:
1) 对特权账号的访问控制功能,包括共享账号和应急账号;
2) 监控、记录和审计特权访问操作、命令和动作;
3) 自动地对各种管理类、服务类和应用类账户的密码及其它凭据进行随机化、管理和保管;
4) 为特权指令的执行提供一种安全的单点登录(SSO)机制;
5) 委派、控制和过滤管理员所能执行的特权操作;
6) 隐藏应用和服务的账户,让使用者不用掌握这些账户实际的密码;
7) 具备或者能够集成高可信认证方式,譬如集成 MFA(Multi-Factor Authentication,多因子认证)。
本控制点主要适用于甲方管理员日常工作职责,也涵盖系统开发的研发部门或外包服务商,做好三同步工作,设计阶段就把相关合规要求涵盖其中。
对于乙方,涉及到产品的,可以从合规角度出发设计,满足网安法三同步的要求,另外Gartner十大安全项目的第一项就是对于特权账户的管理,同时涵盖审计在内,这两点就将产品设计理念提升了一定的高度。但从实际角度来看,更多的还是技术手段配合管理来做才有效果。
集中管控
针对安全设备和安全组件,将其管理接口和数据单独划分到一个区域中,与生产网分离,实现独立且集中的管理。大部分安全设备都有管理接口,其他功能接口不具备管理功能,也不涉及IP地址,这里要求就是将此类管理接口统一汇总到一个Vlan内(比如所有设备管理口都只能由堡垒机进行登录,堡垒机单独划分在一个管理Vlan中)。
实际应用案例就是带外管理。带外网管是指通过专门的网管通道实现对网络的管理,将网管数据与业务数据分开,为网管数据建立独立通道。在这个通道中,只传输管理数据、统计信息、计费信息等,网管数据与业务数据分离,可以提高网管的效率与可靠性,也有利于提高网管数据的安全性。由于带外网管提供了访问设备的通道,因此可以把通过网络访问设备(Telnet等方式)方式进行严格限制,可以降低网络安全隐患。比如限定特定的IP地址才可以通过Telnet访问设备。大部分的访问均通过带外网管系统进行,可以把整个IT环境设备的访问统一到带外网管系统。与传统的设备管理各自为政不同,通过带外网管可以很容易做到不同用户名登录对应不同设备管理权限,一个IT TEAM可以根据各个人员职责不同进行授权。
了解了上述集中管控理念之后,对接下来的几点也就比较容易理解和实现了。比如安全的信息传输路径(SSH、HTTPS、VPN等);对链路、设备和服务器运行状况进行监控并能够告警(堡垒机、网络监控平台等);设备上的审计(日志服务器、日志管理平台等),这里啰嗦一句,不但要有策略配置,而且要合理有效并且为启用状态;策略、恶意代码、补丁升级集中管理(漏洞统一管理平台),至少要包括所述的三者进行集中管控;安全事件的识别、报警和分析(态势感知平台、IDPS、FW等,可以是平台也可以是应急响应团队)。
听起来都放到一起就是SOC,但官方表示并不是建议厂商去推SOC平台,这其中要求的每一项能做到独立的集中管控即可,如果有能力集成到一个大平台那更好。
本控制点偏向日常安全运维,主要包括集中管理区域、策略管理、漏洞管理、日志管理、安全事件管理。单独来看,每项都有对应的产品。建议一步步来建设安全能力,不要一上来就忙着搭建SOC。由于是标准中新增要求项,需要一些时间才会有比较完善的解决方案或产品。
标准中提到的对于资产、漏洞的集中管控,中国市场上也已经有很多成熟的解决方案能够完美契合其中的要求。