等保2.0落地解读与实践分析
针对等保2.0安全技术和安全管理二部分建设内容,等级保护2.0技术合规要求分析和实践、等级保护2.0安全管理合规要求分析,共计13章节,阅读本文理解有红色标识
1、等级保护2.0技术合规要求分析和实践
包含:可信计算合规、密码技术合规、操作系统镜像等保合规 、IPv6网络安全合规实践、安全管理中心应用合规、个人信息保护
1.1、可信计算合规
| 级别 | 要求 |
| 一级 | 可基于可信根对通信设备的系统引导程序、系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。 |
| 二级 | 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
| 三级 | 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审。 |
| 四级 | 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。 |
1.2、密码技术合规
| 安全层面 | 安全控制点 | 密码技术相关要求 |
| 安全通信网络 | 通信传输 | 本项要求中密码技术相关要求包括: a) 应采用密码技术保证通信过程中数据的完整性; b) 应采用密码技术保证通信过程中数据的保密性; c) 应在通信前基于密码技术对通信的双方进行验证或认证; d) 应基于硬件密码模块对重要通信过程进行密码运算和密钥管理。 |
| 安全计算环境 | 身份鉴别 | 本项要求中密码技术相关要求包括: c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 |
| 数据完整性 | 本项要求包括: a) 应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等; b) 应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等; c) 在可能涉及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的抗抵赖和数据接收行为的抗抵赖。 | |
| 数据保密性 | 本项要求包括: a) 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等; b) 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。 | |
| 安全管理中心 | 集中管控 | 本项要求包括:b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。 |
| 安全运维管理 | 密码管理 | 应遵循密码相关的国家标准和行业标准; b)应使用国家密码管理主管部门认证核准的密码技术和产品; |
| 云拓展(云服务商) | 镜像和快照保护 | A) 应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改; B) 应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。 C) 应使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施; D) 应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程。 |
1.3、操作系统镜像等保合规
1.4、IPv6网络安全合规实践
1.5、安全管理中心应用合规
1.6、个人信息保护
等级保护2.0基本要求中专门针对个人信息保护在安全计算环境层面增加了一个控制点,对个人信息的收集和使用进行要求;在数据保密性、数据完整性控制点对个人信息在存储和传输过程中的保密性和完整性也进行了要求:
(1)收集方面: 仅收集业务必须的用户个人信息。 1)收集的个人信息类型应与实现产品或服务的业务功能有直接关联,直接关联是指没有该信息的参与,产品或服务的功能无法实现;必须用户授权 2)自动采集个人信息的频率应是实现产品或服务的业务功能所必须的最低频率; 3)间接获取个人信息的数量应是实现产品或服务的业务功能所必须的最少数量。
(2)使用方面: 采用技术措施限制对用户个人信息的非法访问和使用。 1)对被授权访问个人信息的人员,应建立最小授权的访问控制策略,使其职能访问职责所需的最少够用得个人信息,且仅具备完成职责所需的最少的数据操作权限。 2)使用个人信息时,不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体得明示同意。
(3)传输方面: 识别出传输过程中的个人敏感信息字段,并采用密码技术进行保密性和完整性的保护。
(4)存储方面: 1)将可用于恢复识别个人的信息与去标识化后的信息分开存储。存储个人敏感信息时,应采用密码技术保证数据存储的保密性和完整性。 2)存储个人生物识别信息时,应采用技术措施确保信息安全后再进行存储,例如将个人生物识别信息的原始信息和摘要分开存储,或仅收集、存储、使用摘要信息。
企业如何做到个人信息合规
保护用户个人信息正变成一种竞争优势,在后GDPR时代,越来越多的互联网公司意识到它们不仅是用户数据的采集者,还是用户数据的“管家”。建立和维护客户对其隐私保护能力的信任,正在成为这些依赖数据而生的互联网公司取得成功的关键因素之一。对于建立个人信息合规体系,可从以下几个方面着手:
(1)个人敏感信息的区分 《信息安全技术个人信息安全规范》界定了个人敏感信息的范围。个人的身份证件号码、生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等属于个人敏感信息,对于这些个人信息,在收集时应取得信息主体的明示同意,在存储时应采取技术加密措施。
(2)个人信息的收集规则 在个人信息的收集环节,除了取得个人信息主体的授权同意外,还应向其展示隐私政策,并且收集的个人信息类型,与实现产品或服务的业务功能有直接关联,且应为所必须的最低频率。同时需要特别注意的是,相关法规和等级保护2.0都明确提到的,个人信息收集的最小化要求。
(3)个人信息使用规则 在个人信息的使用环节,除合法目的所必需外,应避免个人信息能够精确定位到特定的个人;若超出个人信息授权范围使用个人信息的,还应再次征得个人信息主体明示同意。在系统运营和维护过程中,也应严格控制个人信息的访问和使用权限,遵循最小化原则。
(4)个人信息传输规则 在个人信息的传输环节对于重要个人信息应采用SM4、AES等加密算法进行加密,保障传输过程中数据的保密性和完整性。对于在我国境内运营中收集和产生的个人信息向境外提供的,个人信息控制者应当遵循国家相关规定和相关标准的要求;未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构。
(5)个人信息存储规则 在个人信息的存储环节,个人信息保存期限应为实现目的所必需的最短时间,超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。同时,个人信息保存也要对相关工作人员个人信息的访问进行控制。对于重要个人信息应采用SM4、AES等加密算法进行加密存储,保障存储过程中保密性和完整性。
(6)完善个人信息保护制度 明确个人信息的内部管理机制。包括确立保护个人信息的责任部门及人员,并明确其处理个人信息的权限,设立针对个人信息重要操作的内部审批流程、并建立个人信息岗位人员管理及培训制度等。 制定个人信息的收集、保存、使用制度。包括将个人信息区分为一般个人信息和个人敏感信息,就一般个人信息和个人敏感信息,明确个人信息主体同意的取得方式、明确保管相关的技术措施等。 制定个人信息安全事件处置与报告制度。包括制定个人信息安全事件应急预案及进行应急演练、发生个人信息安全事件时向个人信息的告知制度等。企业个人信息合规的漫漫长路,需要大家共同铺就。
2、等级保护2.0安全管理合规要求分析
包含:安全管理制度 、安全管理机构 、安全管理人员 、安全建设管理 、安全运维管理 、IPv6合规、安全建设管理安全通用要求部分责任边界举例
2.1、安全管理制度
一共27条法规
| 第一章 总则 第一条 为规范xxx单位信息系统的信息安全管理,促进信息安全工作体系化、规范化,提高信息和网络服务质量,提高信息系统管理人员、使用人员的整体安全素质和水平,特制定本方针。本方针目标是为xxx单位信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全建设和管理所需的支持和承诺。 第二条 本方针是指导xxx单位信息安全工作的基本依据,信息安全相关人员依据本方针,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度及其实施细则,做好信息安全管理工作。 第三条 信息安全是xxx单位信息系统管理工作的重要内容。xxx单位管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条 本方针的适用人员包括所有与xxx单位信息系统各方面相关联的人员,它适用于全部员工,集成商,软件开发商,产品提供商,顾问,临时工和使用xxx单位信息系统的其他第三方。 第五条 本方针适用范围包括xxx单位信息系统拥有的、控制和管理的所有计算机系统、数据和网络环境。 第六条 本方针主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规和相关标准。 第二章 信息安全管理的主要原则 第七条 管理与技术并重原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断完善信息安全管理制度与管理规程,全面提高信息安全管理水平。 第八条 全过程原则:信息安全是一个系统工程,应将它落实在系统的计划组织、开发采购、实施交付、运行维护、废弃五个阶段的全生命周期管理过程中,信息安全建设管理应遵循与信息系统同步规划、同步建设、同步运行的原则。 第九条 风险管理和风险控制原则:应进行信息安全风险管理和风险控制,将信息安全风险减低、控制在可以接受的程度内,并将其带来的危害最小化。 第十条 分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素确定各类信息资产的安全保护级别。 第十一条 统一规划、分级管理原则:信息安全管理遵循统一规划、分级管理的原则。上级主管部门信息安全领导小组负责对xxx单位信息安全管理工作进行统一规划,各级单位(部门)在上级主管部门信息安全领导小组的领导与监督下,负责本单位(部门)的信息安全管理工作。 第十二条 平衡原则:在xxx单位信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条 动态管理原则:在xxx单位信息安全管理过程中,应遵循动态管理原则,针对信息系统环境的变动情况及时调整管理办法。 第三章 信息安全管理组织与职责 第十四条 建立和健全信息安全管理组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,支持并推动信息安全管理工作在整个xxx单位范围内的实施。 第十五条 xxx单位信息系统应该设置相应的信息安全管理机构,在信息安全领导小组的领导下,负责xxx单位的信息安全管理工作。 第十六条 xxx单位信息安全管理机构职责如下: 1) 根据本方针制定信息系统的信息安全管理制度、管理标准规范和执行程序; 2) 组织和监督信息安全工作的贯彻和实施; 3) 考核和检查信息系统的安全管理情况,定期进行安全风险评估,并对出现的安全问题提出解决方案; 4) 负责安全管理员的选用和监督; 5) 参与信息系统新工程建设和新业务开展的方案论证,并提出相应的安全方面的建议; 6) 在信息系统工程验收时,对信息安全方面的验收测试方案进行审查并参与验收。 第四章 信息系统安全运行管理 第十七条 信息资产鉴别和分类是整个xxx单位信息安全管理工作的基础。 第十八条 制定信息资产鉴别和分类制度,鉴别信息资产的价值和等级,建立并维护信息资产清单。 第十九条 建立机密信息分类方法和制度,根据机密程度和重要程度对数据和信息进行分类管理。 第二十条 安全运行管理是整个信息安全管理工作的日常体现和执行环节。应该在本方针的指导下,建立并执行信息安全管理制度与信息安全操作规程。 第二十一条 定期开展信息安全风险评估工作,通过对整个信息系统进行信息安全风险评估,确定信息系统所存在的安全隐患和安全风险,了解信息系统安全现状与信息系统安全需求之间的差异。 第二十二条 进行物理安全和环境安全的管理,建立机房管理制度。 第二十三条 对于xxx单位信息系统中重要业务系统、服务器和网络、安全设备,制定安全配置标准及规定,规范安全配置管理工作,建立系统变更管理制度,并进行定期的审计和检查。 第二十四条 对于外包开发的业务系统软件,应制定业务软件安全标准来进行规范,要求有完善的鉴别和认证、访问控制、日志审计功能和数据验证功能,杜绝木马和后门。建立源代码控制和软件版本控制机制。 第二十五条 建立第三方安全管理的制度和规范,严格控制第三方对xxx单位信息系统的访问,并在合同中规定其安全责任和安全控制要求,以维护第三方访问的安全性。 第二十六条 应该实施业务连续性管理程序,预防和恢复控制相结合,将灾难和安全故障(可能是由于自然灾害、事故、设备故障和蓄意破坏等引起)造成的影响降低到可以接受的水平,以防止业务活动中断,保证重要业务流程不受重大故障和灾难的影响。 第二十七条 应该分析灾难、安全故障和服务损失的后果。制定并实施应急管理计划,确保能够在要求的时间内恢复业务流程。 第二十八条 对于意外、灾难和入侵的处理,建立包含事件鉴别、事件恢复、犯罪取证、攻击者追踪的安全事件紧急响应机制,制定并遵照正确的安全事件处理流程,尽量减小安全事件造成的损失,监督此类事件并从中总结经验。 第二十九条 制定并实施安全培训和教育计划,进行信息安全意识及信息安全技能的培训。 第五章 信息安全技术体系建设 第三十条 xxx单位信息系统应加强信息安全技术体系建设,包含鉴别认证,访问控制,审计和跟踪,响应和恢复,内容安全等五个方面的安全技术要素。 第三十一条 建立鉴别和认证的标准和机制,建立用户和口令管理的制度和标准。 第三十二条 建立完善的信息系统的访问控制标准和机制,加强权限管理,进行网段隔离,严格控制互联网出入口,严格管理远程访问和远程维护。 第三十三条 建立有效的审计和跟踪机制,建立日志存储、管理和分析机制,提高对安全事件的审计和事后追查能力。 第三十四条 建立有效的机制和技术手段来发现、监控、分析和处理信息安全事件和信息安全违规行为,建立应急响应和恢复的标准和机制。 第三十五条 建立内容安全的标准和机制,保护软件和信息的完整性。 建立针对恶意代码和病毒的预防和查杀措施,建立并遵守软件管理策略。 第六章 附则 第三十六条 本方针由xxx单位信息中心负责解释。 第三十七条 本方针自发布之日起执行。 |
管理制度
各家企业都有一套自己的制度文件,随着时间的推移,业务的增长和标准化,制度会越来越规范,而且需求程度越来越高,自然而然会形成一套体系。如果您了解ISO 27000体系,对这项要求就会很熟悉——四级文档结构。体系建立之后,自然各类表单也就随之产生,因为没有过程记录,审批是走不下去的,流程无法闭环。 这里以运维为例,说下日常工作中应该有的制度和过程记录。
➢ 《安全运维服务流程》 ➢ 《安全运维服务规范》 ➢ 《安全运维方案》 ➢ 《安全运维计划》 ➢ 《安全运维巡检记录》 ➢ 《安全运维监控记录》 ➢ 《安全巡检周报》 ➢ 《漏洞扫描报告》 ➢ 《安全评估报告》 ➢ 《安全审计报告》 ➢ 《安全事件统计报告》 ➢ 《年中总结报告》 ➢ 《项目总结报告》 ➢ 《验收报告》 以上这些工作期间产生的过程记录也应存档,可以是纸质文档也可以是电子文档。 此外,无论甲方乙方,很多对于项目上的里程碑节点的文档不关心,整个项目过程中,可能没有验收单,而且这种情况很普遍,在内审/外审和上级监管检查中是比较常见的问题。
制定和发布、评审和修订
企业治理和企业文化,不是标准能左右的,这里关注的包括以下几点:
制度无论是内部编写还是外包给别人,肯定有一个负责的部门或人,那么这个人要指定好;
制度写好了,发布要正式,在OA以通知形式全公司通告,或者通过类似的方式;
各类制度要有版本记录,每次修订要有记录,这些过程文档都要保留;
制度要定期修订,一般每年至少要修改一次,哪怕你改个日期也是修订;
制度修订后要有评审过程,不管高管关心不关心,让他签字,作为流程记录留存。
2.2、安全管理机构
本控制项重点关注的是企业安全管理的组织结构设计合理性以及安全管理流程的运行情况,内容看着不多但做起来却不容易。 主要检查点如下:
岗位设置
本控制点的重点是企业的安全领导小组和安全部门架构设置,必须明确主管人员,通常会指定一名高管来负责,而且要定义岗位职责。此外还会指派一名安全主管,主要负责安全工作,通常会是技术总监或者IT负责人,也有的会任命CISO/CSO。 检查中要查看领导小组成立的正式文件,要查看这个文件中的组长和组员,要求文件中应有每个人的联系方式以及工作职责。因为系统最终的责任人肯定是企业的一把主管,尤其在国企和政府部门中,责任重大,会被作为安全事件的第一责任人。 对此进行测评的时候,要询问并记录安全管理责任部门、责任人、安全主管的具体名称,并要查看具体的岗位职责文件。 安全管理中的岗位设置,主要看企业有没有设立安全管理员、网络管理员、系统管理员、数据库管理员、机房管理员等职位,并且应提供专门的任职文件。通常来讲,标准着重提出安全、系统、网络这三个管理员,所以也是重点检查项。值得注意的是,一是安全管理员必须是专职的,不能由任何其他管理员兼任;二是系统管理员和数据库管理员不能为同一人。
人员配备
系统管理员、网络管理员、安全管理员的配备数量,要求是至少1人及以上。很多企业是达不到这种要求的,而这里的建议是用兼职来代替,但有一点要注意,安全管理员是专岗专职的,不能由其他职位人员来兼任。
授权与审批
主要考察企业流程管理情况,可能会涉及多个方面,可以是系统流程,也可以是电子流程,只要有流程而且在用,能够提供之前的审批记录即可。一般情况下企业都会存在流程不完善或缺失的情况,建议先把一些重要的活动进行审批,比如物理访问、远程控制、权限授予与变更、系统接入、需求变更等活动。其中有一条要求也正是如此,至少要具备以下审批证明材料:系统变更(包括权限变更、结构变更等)、重要操作(数据删除、权限变更、数据备份等)、物理访问(访问物理机房、访问办公环境中的敏感区域等)、系统接入(网络接入、远程控制、wifi接入等)。审批流程中要包含申请人、审核人、批准人,某些审批单也的授权有效时间要合理,不能过快或者过久。因为遇到过授权日期已过,但授权账号还存在的情况,这是需要特别注意的。 再者便是对审批事项、审批部门、审批人的变更进行评审;定期审查、更新审批项目,审查周期不宜过长。在实际环境中,特别是在大型企业,部门很多,人员复杂,业务流程复杂,审批流程涉及人员众多。存在某一人员离岗后还在使用以前的审批流程,就会导致越权操作,所以要定期审查审批事项。
沟通与合作
此项内容可能偏向一些政府、企事业单位、国企类公司,要与多方技术单位保持沟通联系,包括监管、技术、供应商、行业专家等。一般会有一个外联单位联系表,里边有单位名称、联系人、联系方式等。
审核与检查
等保2.0标准中要求企业每年必须定期进行全面的安全检查。这个定期是多久没有明确规定,建议是至少每半年进行一次全面的安全评估工作。可以自己来查,也可以外包服务公司,对于发现的问题及时整改。
2.3、安全管理人员
本控制项所关注的是企业在人员管理层面的安全性考虑以及所采取的保障措施。也可以将其视为人员安全管理的生命周期,包括人员入职前,入职后,离职三个阶段以及外部人员管理。 主要检查点如下: 人员录用(入职前) 标准首先要求对于人员的管理要指定或授权专门的部门或人员,通常为企业的人力资源部。作为最基础的管理要求,企业人事部门应具备人员管理制度,包括人员录用流程、转正流程、离职流程、交接流程等,且均需具备可证明的过程记录(纸质或电子流程记录)。这里举个常规的例子,人员入职,面试时一般会有一个打分表,评价应聘者的综合素质。入职前对应聘者身份、安全背景进行调查并记录,比如学历学位的网上验证(如学信网), 相关个人证书的(如认证机构官网),电话询问历任工作单位证实工作经历真伪,并询问是否有过违法记录等,但对于此类调查不宜介入过深,以免涉及他人隐私。对于此类背景调查的结果可以表单形式留存。入职后签订的劳动合同、保密协议,涉及关键岗位的需同时提供岗位说明书,描述岗位职责。 这里引用一下国外体系对于人员管理的一些要求(摘自CISSP OSG):
人员安全管理措施:招聘前的需求定义与分析,对应聘者背景进行调查,签署雇佣合同和保密协议,加强在职人员的安全管理,严格控制员工离职程序。 背景调查:目的是防止因人员解雇而导致的法律诉讼、因雇佣疏忽而导致的第三方法律诉讼、雇佣不合格人员、丢失商业机密。PS:员工从一般岗位转入信息安全重要岗位,应对其进行检查。
签订保密协议:NDA(NonDisclosure Agreement保密协议)和NCA(NonCompete Agreement竞业禁止协议)。协议上应有员工签名并由其保存一份副本,对于试用期员工,应签订保密承诺。第三方用户使用信息处理设施前,也要签订保密协议。
安全意识教育和培训(入职后)
根据常规安全管理要求,每年企业应至少组织两次安全相关培训,并进行考核。以企业安全资质申请的要求作为参考,每年应进行两次保密培训,至少一次安全意识培训,相应技术岗位每年应进行两次专项技能培训,并进行考核(可记入KPI中)。以上是必须要做的,接下来再说等保2.0标准中的对应要求。全员安全培训中要涵盖安全责任落实和奖惩措施的内容,让员工了解自己与安全之间的联系,如果处置不当将会承担怎样的后果。 不同岗位的培训计划和培训课程不能相同,要与岗位职责相关定制开发,其中必须要有安全基础知识、岗位规范操作等基本内容。等保2.0标准中的定期技能考核,以承载三级系统的企业实际开展情况来看,每年两次基本可以满足标准的要求,如果有能力可以增加额外培训,本要求项的重点是考核而培训为次重点,意为培训是前提,考核是重点。
人员离岗(离职)
从安全的角度而非人事的角度来看员工离职流程,等保2.0标准中的要求项只有两条,一是权限和证件、物件的及时收回,这里重在“及时”二字。很多安全事件都是因为权限收回不够及时所造成的,因此在人员离职过程中,权限的收回要第一时间,即人员离职流程审批结束,立即收回相应权限。而后,进行物品交接,办理离职手续。这个过程都需要留存记录,比如离职审批记录,权限收回记录,物品交接单,工作交接单,离职证明等。 另一条是对离职人员调离后的保密义务进行再次确认,明确告知离职人员应承担的保密义务以及相应的法律责任等内容,此时保密协议依然生效,通常会维持人员离职后2-3年的时间。 相比等保1.0标准,等保2.0标准要求中不再是只针对关键岗位承诺保密义务,而是对所有离职人员而言。因为所有员工都有可能或多或少接触到一些企业的核心机密或敏感信息,都存在可能泄露信息的风险,所以“一视同仁”的策略更为合理。
外部人员访问管理
对于外部人员(也可称为第三方人员)管理,等保2.0标准按照人员拜访的“进——访——出”这样一个过程来要求相应的管理流程。首先,要具备外部人员访问管理制度,其中列出来访人员应如何按照流程进行申请,陪同人员应按照什么规范来引导来访人员。 通常外部人员访问会事先通过内部对接人进行申请,批准通过后登记来访人员基本信息和来访事宜,对接人为谁。拜访当日,进入企业办公园区前,应在大门进行登记,而后由被拜访人陪同方可进入企业园区(部分企业可能会在大楼入口处进行二次登记)。在进入办公区域要有专人陪同,拜访结束后由专人陪同送出至办公大楼门外。这是标准的外部人员访问流程。 对于需要接入企业受控网络访问某系统时,必须提出书面申请,公司批准后进行登记并备案。访问者需签订保密协议,承诺遵守协议中所列要求(标准中举了几个常见示例)。而后由负责该系统的专职人员来为访客建立临时账户和授予临时权限,待外部人员访问结束后,即刻清除账户及访问权限。
2.4、安全建设管理
系统定级工作在2017年之前并非强制要求,通常都是政府部门、事业单位会被要求必须定级。但是2017年6月《网络安全法》出台后,要求所有系统原则上都必须定级备案,政府、国企、事业、大中型私企都要定级,只有部分很小的系统和内网隔离系统,对社会影响可以忽略不计的系统可以不做定级备案。但是,如果后期业务发展,要与大公司、政府合作,或者业务规模增长到一定程度,最终还是要进行定级备案,所以基本上可以这样来总结,只要你有在运行的系统(内部物理隔离暂且除外)就要定级备案。 对于如何定级可以参考《GB/T-22240-2020》,标准中有详细的说明,共五个级别,各级别的定义,三个客体,影响程度,定级矩阵等等。 再来看标准的要求,对于系统定级要有依据,并聘请专家(也可以组织企业内部专家评审)进行评审,出具评审报告,并将备案材料报送主管部门和公安机关。其实,上述等级保护定级和备案工作的简介,已经明确说明了如何开展等级保护工作,企业要注意这个过程中的各项流程相关工作,至少应该做到具有专家评审报告、在公安机关获得备案证明、每年开展安全等级测评并有测评机构出具的测评报告(包含整改报告)。 以上文档如都具备,则本控制点(定级和备案、等级测评)的检查要求也就符合了。
安全方案设计
本控制点要求描述没有明确具体的文件是什么,但必须有相关的配套文件,根据以往测评中所涉及到的一些关键制度,总结一下制度列表,以供参考。
等保2.0标准管理要求制度列表
通常来说,具备以上制度,基本可以满足等保2.0标准对于企业安全管理制度的要求,同时还需要注意的问题是,制度的评审、修订、发布都要有正式的流程的审批。比如制度的修订,要有对修订内容合理性、可行性的评审记录,可以是讨论会,也可以是管理层审议;再比如制度发布,要在企业内部公开的平台上发布,并且有高层领导的授权审批,可以通过纸质授权,也可以采用互联网公司的邮件通知形式授权。不能没有发布平台,或者没有正式通知,就开始在内部传阅,这种方式会被认定为不符合要求。
产品采购和使用
本控制点要求没有太多解释,注意尽可能采购和选用国产软硬件产品,这些产品都是符合国家规定的产品,尤其是政府机构、国企背景的企业。
自行软件开发
企业拥有研发团队的情况下,必须要有配套的制度和流程。自行软件研发控制点相比等保1.0标准增加了两点新要求,一是强调在开发过程中必须进行安全测试,安装(上线)前对恶意代码进行检测,其实就是要将SDL流程嵌入到开发流程中;二是要求开发人员必须为专职人员,不可以兼职,而且其开发相关的活动要受控制和监视。 梳理一下本控制点的一些关键要求: 开发环境与生产环境物理隔离; 开发部门有开发管理制度以及安全编码规范; 软件具备设计文档(如需求分析说明书、软件设计说明书)和使用手册; 对于上述文档的获取和阅读有明确的控制手段和要求; 测试阶段具备安全测试报告(黑盒、灰盒、渗透测试); 代码仓库、文档服务器等存储开发过程文件及代码的设备,所有操作应具备相应流程,通过审批后方可执行,且对于不同版本的数据资料有明确说明和保留; 开发人员活动应受一定约束,不可兼职其他岗位。 总体来说,标准中首次明确提出开发流程中的安全测试要求,可以引申理解为SDL流程的建立和落地,可能不会像一些大型互联网公司那么完善和苛刻,可以逐步建立和改善以适应自身业务发展。另一方面,标准多次强调对开发过程文档的管控措施,因为多数文档可能涉及系统核心技术或企业内部信息,对于此类资料的管控需要引起重视。
外包开发、实施、验收、交付
这部分内容相比等保1.0标准有一些要求上的变化,新要求和需要企业重点关注的要求项梳理分析如下。 外包软件开发除了符合同自行软件开发中各项要求外,等保2.0标准中首次明确要求交付前的源代码审计工作,一方面开发商要自行确保代码的规范,同时还要提供源代码和代码审计报告,结合前面自行软件开发中安全测试的要求,可见等保2.0标准对应用系统上线前安全的重视程度明显提高,旨在避免系统带病上线。
工程实施过程中首次明确要求第三方工程监理控制项目整体实施过程。此外,项目的实施计划,实施方案(进度控制、质量控制等),交付方案,过程文档也都需要完备。
测试验收中又再次要求提供安全测试报告,后边补充说明报告中应包含密码应用安全性测试,是指商用密码应用安全性评估。 商用密码应用安全性评估 指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。按照商用密码应用安全性评估管理的要求,在系统规划阶段,可组织专家或委托测评机构进行评估;在系统建设完成后以及运行阶段,由测评机构进行评估。
哪些系统要做密评
《密码法》(《密码法草案》已于2019年6月10日经国务院常务会议讨论通过)要求“国家对关键信息基础设施的密码应用安全性进行分类分级评估,按照国家安全审查的要求对影响或者可能影响国家安全的密码产品、密码相关服务和密码保障系统进行安全审查”。《信息安全等级保护商用密码管理办法》规定:“国家密码管理局和省、自治区、直辖市密码管理机构对第三级及以上信息系统使用商用密码的情况进行检查”。在国家密码管理局印发的《信息安全等级保护商用密码管理办法实施意见》中规定“第三级及以上信息系统的商用密码应用系统,应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行”。这些制度明确了信息安全等级保护第三级及以上信息系统的商用密码应用和测评要求。此外,在新版《网络安全等级保护条例》(征求意见稿)明确要求在规划、建设、运行阶段开展密码应用安全性评估。
密评关注哪些方面
为规范商用密码应用安全性评估工作,国家密码管理局制定了《商用密码应用安全性评估管理办法》、《商用密码应用安全性测评机构管理办法》等有关规定,对测评机构、网络运营者、管理部分三类对象提出了要求,对评估程序、评估方法、监督管理等进行了明确。同时,组织编制了《信息系统密码应用基本要求》《信息系统密码测评要求》等标准,及《商用密码应用安全性评估测评过程指南(试行)》《商用密码应用安全性评估测评作业指导书(试行)》等指导性文件,指导测评机构规范有序开展评估工作。其中,《信息系统密码应用基本要求》从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理以及安全管理六个方面提出密码应用安全性评估指标。
密评工作当前的进展
现阶段,商用密码应用安全性评估试点工作正在有序开展。经过层层评审,截止2018年6月第一批共有10家测评机构符合测评机构能力要求,具备独立承担并规范开展试点测评任务的能力。中科院DCS中心作为首批通过的优秀测评机构,正在积极参与密码应用安全性评估的各项试点工作,为我国密码事业的发展贡献自己的力量。
系统交付要求进行了简化,只保留了三项要求,如交付清单、技术人员培训等,包括采购产品、软件等,会由供应商进行相应培训。而最后要求的建设文档和运维文档,这是结合了三同步来要求的。对于应用系统的开发,设计文档以及上线后的运维记录都可以作为证明材料。
关于密码管理,可以参考国家相关标准。 这里给出几个能找到的密码行业标准:
GM/T 0001.2-2012 祖冲之序列密码算法:第 2 部分:基于祖冲之算法的机密性算法
GM/T 0001.3-2012 祖冲之序列密码算法:第 3 部分:基于祖冲之 算法的完整性算法
GM/T 0002-2012 SM4 分组密码算法
GM/T 0003.1-2012 SM2 椭圆曲线公钥密码算法第 1 部分:总则
GM/T 0003.2-2012 SM2 椭圆曲线公钥密码算法第 2 部分:数字 签名算法
GM/T 0003.3-2012 SM2 椭圆曲线公钥密码算法第 3 部分:密钥交换协议
GM/T 0003.4-2012 SM2 椭圆曲线公钥密码算法第 4 部分:公钥加密算法
GM/T 0004-2012 SM3密码杂凑算法
GM/T 0009-2012 SM2 密码算法使用规范
GM/T 0010-2012 SM2 密码算法加密签名消息语法规范
GM/T 0015-2012 基于 SM2 密码算法的数字证书格式规范
GM∕T 0044.1-2016 SM9标识密码算法 第1部分:总则
GM∕T 0044.2-2016 SM9标识密码算法 第2部分:数字签名算法
GM∕T 0044.3-2016 SM9标识密码算法 第3部分:密钥交换协议
GM∕T 0044.4-2016 SM9标识密码算法 第4部分:密钥封装机制和公钥加密算法
GM∕T 0044.5-2016 SM9标识密码算法 第5部分:参数定义
GM∕T 0054-2018 信息系统密码应用基本要求
GM∕T 0016-2012 智能密码钥匙密码应用接口规范
GM∕T 0019-2012 通用密码服务接口规范
GM∕T 0052-2016 密码设备管理 VPN设备监察管理规范
GM∕T 0046-2016 金融数据密码机检测规范
GM∕T 0051-2016 密码设备管理 对称密钥管理技术规范
GM∕T 0048-2016 智能密码钥匙密码检测规范
GM∕T 0050-2016 密码设备管理 设备管理技术规范
GM∕T 0047-2016 安全电子签章密码检测规范
GM∕T 0053-2016 密码设备管理 远程监控与合规性检验接口数据规范
GM∕T 0049-2016 密码键盘密码检测规范
服务供应商选择
强调对于外部供应商的管理。这里贴一下测评要求中的实施方法便于理解。
访谈建设负责人选择的安全服务商是否符合国家有关规定。(必须是正规公司)
核查与服务供应商签订的服务合同或安全责任书是否明确了后期的技术支持和服务承诺等内容。 核查是否具有服务供应商定期提交的安全服务报告。(安全服务项目的周报、月报等)
核查是否定期审核评价服务供应商所提供的服务及服务内容变更情况,是否具有服务审核报告。 核查是否具有服务供应商评价审核管理制度,明确针对服务供应商的评价指标、考核内容等。(这点做到的很少,Gartner的2019十大安全项目中有提到类似的内容,叫做Security rating services, SRS即安全评级服务) 本控制点属于第三方管理范畴,至少要有供应商管理制度、供应商服务合同、服务详细说明等文档。推荐参考ISO 27002中A.15 供应商关系部分的细节。
2.5、安全运维管理
安全运维管理涉及系统上线后的各类安全工作,涵盖环境、资产、设备、漏洞和风险、网络和系统、恶意代码、配置、密码、变更、灾备、应急管理等方面。
环境管理
本控制点尽管归属于安全运维管理,其实同技术部分的安全物理环境紧密相连,是从管理的角度去要求,建立制度和流程(包括记录)配合技术手段进行管理。 这里强调机房日常巡检的工作落实情况,通常机房管理室会放置一本机房巡检记录的台账,以及一本外来人员登记台账(也有可能是电子流程记录)。测评或检查时重点查看的就是巡检和访问的记录情况。比如来访登记应包括来访人员、来访时间、离开时间、来访事由、来访接待部门人员等。对于机房巡检记录通常每天都会做一次,最多不会超过一周。 在机房安全管理制度方面,通常会将制度和不允许的事宜挂在机房墙上。不过这些是结合企业自身情况的要求规定,除此之外,标准还要求管理制度中应包含物理访问、物品进出、环境安全等要求,现场会检查一些制度中要求的记录。 对于安全意识和社会工程学的检查,这些不是要求写在纸上的内容,而是在测评过程暗中检查的内容。比如办公区或会议室,白板上、桌面或是大屏幕有涉及企业核心或敏感信息的内容,有没有员工在公开场合谈论公司机密和战略规划等话题。
资产管理
标准中对于资产管理的要求可能要再定义一下,包括企业关键岗位人员、核心代码、敏感数据、Web站点、内外网应用系统、管理制度文档,这些都可归类为资产范畴,做统计时也要一并记录。 检查中会对资产清单、分类、标识、重要性、资产所在位置/部门进行查看,可以提供纸质或电子台账,或者是资产管理平台也可以。此外,资产管理制度要有,可以是单独的制度文档,也可以是安全管理制度的一个章节,其中明确资产管理的要求,标识方法、信息分类、信息使用、传输、存储要求等。
介质管理
介质也应算作资产的一部分,介于其用途的广泛和便捷性,需要进行独立的管理,包括磁盘、U盘、存储卡、光盘、磁带、云存储(如GitHub,虽然标准没要求)。传统介质,这类存储数据的媒介,通常会因为数据拥有生命周期,其也会伴随该周期经过从产生到销毁的一个过程。关键在于几个过程节点:
存—冗余性、保密性、完整性、专人/部门管控;
取—安全性控制、物理传播安全性、灾备;
毁—正规专业机构、脱敏、保密协议。
对于上述各节点,均有记录供查询。为确保数据安全也可以采用一些EDR、DLP之类的设备。 企业关于此类问题的管控应该引起重视,而对于个人其实就是随手的事,拿百度云为例,想上传资料可以,打包上传或者文件夹设置密码,分享的时候尽量只共享1天,或者需要共享时间较长,那么设置一个带密码的分享链接,确认对方收到后及时关闭分享。这些都是很基本的安全意识。另外,对于企业或客户的敏感信息,建议不要放在云端,存放于本地存储中是相对安全的做法。
设备维护管理
其中关于设备、线路维护的通常机房巡检中会查看,维护人员责任和审批流程的内容都是常规要求,包括机房的设备如要带离机房必须有审批流程,关于数据安全的问题上和上节介质管理相似,这里不再重述,有兴趣的可以参考《数据安全管理办法》、《数据安全成熟度模型》,目前国内已经在进行试点,具有一定的参考性和可行性。
漏洞和风险管理
虽然只有两条要求,但这其中涵盖的东西很多。首先,从检查的角度来看,对于漏洞和风险管理,最起码要有制度,或者在方针或策略中有提到如何去管控。这其中要提供渗透测试报告、漏扫报告、修复情况说明、复测报告等,周期最好不要超过6个月,也就是每半年测试一次。如果你有能力做业务影响分析,那更好。除了技术层面,管理层面的测评也要去做,每年一次的等级测评通常来说不算做自评估范畴。所以,最好再做一些其他的安全评估或风险评估,也有助于企业发现存在的问题。最后就是对于发现问题修复的及时性,对于重大安全漏洞不要说影响业务,没办法打补丁。除非系统在内网,且做好了隔离,或者有其他手段可以有效控制降低风险等级。 关于漏洞管理,建议各位参考一下《网络安全漏洞管理规定》。该规定的征求意见稿刚发布时,在安全圈内引起来不小的骚动,各技术人员纷纷发表看法。 这里将管理规定的几个关键点总结一下:
1. 本规定适用国内所有企业、组织和个人; 2. 发现的漏洞,在限定时间内,相关厂商、第三方、运营方等必须做出修补,并公开漏洞细节和应对措施; 3. 发现漏洞必须提交给相关企业、厂商或漏洞平台,不得自行发表;4. 各监管部门检查的重点可能会有所不同; 5. 不允许夸大漏洞危害,不得私自发布漏洞验证工具和方法; 6. 期限内不能整改的,要接受监管部门处罚。
网络和系统安全管理
本控制点是从管理角度将技术部分的内容做出制度流程的要求。涉及配置管理和变更管理(以下a)、b)分别对应标准中的要求项编号)。
a)常说的“三员”(即系统管理员、网络管理员、安全管理员)以及审计管理员,通常安全管理员不可兼职其他岗位(其他部门岗位也不可以),其他三个岗位没有明确说不能兼职,不过最好还是设立专人好一些,如果公司规模较大,每个岗位应设置多个管理员,做AB岗位轮换。
bc)账户管理相关,通常会由系统管理员负责分配权限以及账户建立和删除,对于这些操作都需要通过审批才可以进行,检查时会查看账户管理制度和近半年的操作记录和审批记录,系统后台的账户相关日志记录(包括登入/登出,日常操作等)。这里说的补丁是指承载系统的主机以及系统所使用的数据库及中间件的重大安全漏洞补丁。如果对于高危风险的补丁几个月都没有修补,可以判定为高危风险点。
d)设备的安全基线配置,操作手册通常是指日常一些运维操作的详细操作步骤以及注意事项说明,便于指导新人和不熟悉系统的人进行操作。注意,这里要求的是重要设备,企业关键核心级别的设备要有相应的操作或要求文档。
ef)是关于日志记录和管理的要求,在前边各控制点中反复提到过,本要求项强调运维操作日志,包括巡检、参数设置和配置变更等操作。
f)中对安全事件的监控和预警,目前靠人工已经很难实现,更多还是结合技术手段,如IDPS、蜜网、态势感知、SOC等,多设备/系统联动的监控预警平台更能有效及时发现和阻断违规行为。各企业可根据自身情况和预算来取舍。
gh)是关于变更控制的要求,系统或设备进行变更时一定做好预防措施,通过上级审批,充分做好测试后再执行,期间的日志要做好留存,确保完整性。操作后的配置应备份,此时对于先前的配置备份应暂时留存,不要过早覆盖或删除。同样,运维工具接入系统也是要做好上述的各个环节,变更关注的是业务连续性,工具接入更多关注的是敏感信息泄露问题,强调了工具使用过后信息彻底清除的工作。
i)关于远程运维的要求,通常来说企业一般不会涉及这类情况,除非是供应商的售后支持可能会远程调试,需要临时开放外部接口。这种情况下,很可能会出现分配的用户具备较高权限但主要是为了调试或维修,所以口令为空或者弱口令,在维护结束后管理人员又没有及时关闭端口、删除临时用户。
j)这点同安全区域边界—边界防护中的要求类似,技术部分要求能够检测私自外联的行为并进行阻断,但究其根本很难靠纯技术手段实现。这里是从管理上进行人员的约束,定期检查员工是否有未授权私自外联的情形。
恶意代码防范管理
本控制点要求偏向于终端安全的软件,杀毒软件也可以。一方面在边界的安全设备上开启恶意代码防范功能,另一方面在终端设备(服务器、主机、系统)上安装端点防护或杀毒软件,并定期更新特征库。如果企业真的没有办法,那么在主机层安装一个360或者火绒,不过这是权宜之计而非推荐的做法。等级保护2.0标准提出了一个新要求,即提高所有用户的防恶意代码意识,不是安全意识,而是防恶意代码意识。这就要求企业,定期开展相关培训(恶意代码防范意识培训),包括培训的通知、课件、签到(可以是电子签到、会议确认)、考核结果(不会强制要求,除非其他类培训都没有考核)。
备份与恢复管理
关于企业业务连续性计划(BCP, Business Continuity Plan)和灾难恢复计划(DRP, Disaster Recovery Plan)的相关要求。这两项计划想必多数企业都会或多或少的有在做,毕竟关系到实际业务,运维方面的事情就不再细说,主要说一下检查时的重点。对于灾难恢复需要有灾难恢复预案(或者叫灾难恢复方案)、灾难恢复演练方案以及演练的记录和总结报告。有些互联网公司此类演练都是电子流程,电子汇报,也可以在内部平台中展示记录和结果。灾难恢复演练每年至少应开展一次。
安全事件处置、应急预案管理
应急处置的内容是比较关键也比较多的,只是通常企业关注的是结果而非过程,因此大多数情况都忽略整个周期的前半部分。 按照国家要求应急响应流程包括六个阶段,如下图所示:
应急响应流程的六个阶段:准备->检测->抑制->根除->恢复->跟踪总结
对于每个阶段准有相应的要求,除去总结阶段的经验教训总结,其余五个阶段的要求如下:
准备阶段
要求企业制定《应急响应流程》和《应急响应操作规范》,其中要涵盖一些常见安全事件的处理方法,包括检测、抑制、根除和恢复操作,作为用例指导应急人员处理问题。 此外《风险管理计划》、《应急响应预案》(包括安全事件分类、上报流程等内容)、应急团队人员岗位职责。
检测阶段
企业需要制定《应急响应分析报告》、《风险告知书》、《应急响应实施方案》等。
抑制阶段
在应急响应周期中应制定并留存《应急响应抑制方案》、《应急响应变更单》(如有)、《应急响应分析报告》(抑制阶段的安全事件分析)。
根除阶段
在应急响应过程中留存《根除整改建议报告》、《根除结果确认单》。
恢复阶段
企业需要提前制定和留存《信息系统灾难恢复计划》、《信息系统灾难恢复方案》、《应急演练管理办法》、《应急响应报告》。 整体应急响应周期的流程图如下图所示:
以上是根据国家标准要求的理论化的应急响应流程,这里简单介绍一下,仅供参考。
企业最基本的应该具备《应急响应流程》(可包含在应急响应管理制度或预案中)、《应急响应预案》(必须包含上报流程、事件分级)、《应急响应操作规范》,这几个文档必备。 再者是过程中的记录,包括针对安全事件的处置各阶段的分析(可包含在应急响应报告中),抑制和根除过程的记录和确认,系统恢复操作记录,最后是整个安全事件的原因分析和经验总结。 最后是关于应急预案管理的要求,等保2.0标准要求每年必须开展应急响应相关培训(包括架构组成、流程、资源保障等),不是安全意识培训,是应急培训。每年要能体现对于上一年度应急预案的评审和修改,除非系统没有变化,否则都应根据系统变化情况修改预案,而且每年应至少开展一次应急演练(可以是桌面演练、测试环境演练、真实环境演练),并且保留演练计划和记录。
外包运维管理
新增要求,关于外包运维的管理,与ISO 27002供应商管理有些类似。 外包运维现在是比较普遍的情况,也是企业压缩成本的一种选择,只要是正规大中型运维公司通常各项执照和资质都是齐全的,所以只要不是和一些不知名或很小的公司去签订运维服务,一般都会符合国家规定。 外包运维合同或附件技术规范书/工作说明书中能够明确服务范围和内容,这部分通常不会有什么问题,都是具有法律效力的文件,都是要经过法务部门进行审核的。至于供应商的工作能力证明,只要提供对应的国家资质证书(集成类、运维类国家认证)和成功的项目案例即可。
2.6、IPv6合规
随着各国网络发展战略的出台,IPv6 进入快速发展阶段。2017 年 11 月中国中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,提出用五至十年时间,形成下一代互联网自主技术体系和产业生态,建成全球最大规模的 IPv6 商业应用网络,实现下一代互联网在经济社会各领域深度融合应用,成为全球下一代互联网发展的重要主导力量。 2020年3月,为贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》(厅字〔2017〕47号)任务要求,加快提升IPv6端到端贯通能力,持续提升IPv6活跃用户和网络流量规模,工信部印发《2020年IPv6端到端贯通能力提升专项行动的通知(工信部通信函〔2020〕57号)》,决定于2020年开展IPv6端到端贯通能力提升专项行动。2020年6月,中国人民银行印发《中国人民银行科技司关于开展金融行业IPv6规模部署落实情况专项摸排工作的通知(银科技[2020]13号)》,旨在巩固金融行业IPv6规模部署初期阶段工作,加快推进规模贵广阶段工作,重点掌握金融机构在改造面向公众服务的各类系统的实际进展情况和存在的问题。
全球各国 IPv6 部署程度
我国目前(截止2020年6月)IPv6部署主要集中在中央、政府、大型企业,覆盖率约在80%左右,IPv6活跃用户约3.18亿人,占比35%。 在全球大力发展IPv6的同时,问题也开始逐渐显现,无论是监管部门还是政府、企事业单位,习惯了每年一次的等保和安全检查,但是在面对IPv6的合规性方面,目前可以说是一种不知所措的状态,尤其是企业方面。
首先应明确,该行动计划由党中央、国务院牵头开展,依据《国民经济和社会发展第十三个五年规划纲要》、《国家信息化发展战略纲要》、《“十三五”国家信息化规划》制定,其效力并不弱于《网安法》的要求,因此,政府、企事业单位应积极响应并推行。 《行动计划》有三个主要目标,五个重点工作(互联网应用、网络基础设施、应用基础设施、网络安全、关键前沿技术)。
技术合规
由于当前缺乏可参考的法规和标准,不能确定未来监管会重点检查哪些方面以及衡量指标。但是,鉴于国家对电信、广电行业的强制性要求,可以将该行业(包括地方文件)的实施指南类文档作为参考,大概预测一下IPv6技术合规方面需要企业关注的重点。
网络安全合规
为贯彻落实党中央、国务院印发的《推进互联网协议第六版(IPv6)规模部署行动计划》要求,加快下一代互联网规模部署,促进互联网演进升级和健康创新发展,应结合等保2.0体系要求,对IPv6网络进行整体而全面安全防护,保障系统安全稳定运行,确保重要数据与个人信息的完整性与保密性。 对于IPv6的部署和升级改造目前比较顺利,而且已经解决要求的目标,但随之而来的安全问题也开始显现。由于目前关于IPv6的相关标准还未出台,因此结合等保2.0体系总结一些当前比较典型的安全问题。
传统安全问题
尽管升级到IPv6网络,但是一些基于IPv4网络的安全问题依旧存在,组织还应继续予以关注并做好防护措施。相关合规要求示例:
边界设备IPv6安全策略与地址过滤功能;
边界设备ICMPv6过滤功能;
DHCPv6安全防护功能;
IPv6设备(包括安全设备)自身漏洞问题;
IPv6应用主机安全防护能力;
IPv6流量分析和溯源能力。
报文监听
IPv6中可使用IPSec对其网络层的数据传输进行加密保护,但RFC6434中不再强制要求实施IPSec,因此在未启用IPSec的情况下,对数据包进行监听依旧是可行的。
应用层攻击
IPv4网络中应用层可实施的攻击在IPv6网络下依然可行,比如SQL注入、缓冲溢出等,IDPS、病毒防护、URL过滤等应用层的防护不受网络层协议变化影响。
泛洪攻击
在IPv4与IPv6中,向目标主机发送大量网络流量依旧有效,泛洪攻击可能会造成严重的资源消耗或导致目标崩溃,DDoS防护依然关键。
分片攻击
在IPv4中,分片可以由发送主机和中间路由器执行,而IPv6分片只能由主机执行。这把IPv6路由器从昂贵的分组任务中解放了出来。 IPv6分片的一个重要方面是对分片的支持是通过IPv6扩展报头(特别是片报头)实现的。前规范的IPv6协议(即在[RFC8200]之前的协议允许一些非正常的分片情况,比如一个包的第一个分片不包含整个IPv6报头链(见[RFC7112])。这种非正常分片情况可能仍然遗留,被IPv6实施所允许,因此可能被用来规避IPv6安全控制。此外,由于分片支持是通过IPv6扩展报头实现的,所以扩展报头的所有通用安全考虑都适用于分片报头。
地址欺骗
IPv6使用NDP协议替代了IPv4中的ARP协议,但由于实现原理基本一致,因此针对ARP协议的ARP欺骗、ARP泛洪等类似攻击方式在IPv6中依旧可行。
网络架构
IPv4网络最常见的架构是内部节点使用私有IPv4地址,通过NAT设备连接到外部网络。作为转换IPv4地址和传输协议端口号的副作用,NAT设备最终强制执行“只允许传出通信”的过滤策略。 虽然这不是一种安全万能方法,但它确实在许多网络场景中减少了攻击面。
由于IPv6网络不需要依赖于NAT设备,所以有时会假设IPv6节点造成更多的暴露面——也就是说,每个IPv6节点都可以从公共互联网直接访问。然而,这并不需要,通常也不应该出现这种情况。 例如,当前使用IPv4私有地址空间并通过NAT设备连接到Internet网络。可以通过在IPv4 NAT设备所在的网络拓扑的同一点部署有状态的IPv6防火墙来限制IPv6主机的暴露。IPv6防火墙通常配置为“只允许对外通信”,这样IPv6过滤策略就可以与IPv4相对应。此外,IPv6主机可以使用基于主机的IPv6防火墙,“只允许外部通信”,就像许多IPv4主机对IPv4流量所做的一样。 这种IPv6网络“架构”和包过滤策略是IETF推荐的用于IPv6互联网服务客户的家用默认设置之一。
IPv4网络中的IPv6问题
每当一台双堆栈主机要连接到另一台主机时,它通常会使用DNS来获取目标主机域名的IPv4和IPv6地址。随后,它将尝试与该主机通信,方法是按顺序尝试每个地址,或者并行尝试一些地址对。 通常,IPv4-only网络上的主机不会配置IPv6全局单播地址或IPv6默认路由,因此使用IPv6的通信尝试会失败,只有IPv4才有可能成功。 大多数现代操作系统都支持IPv6,并且在默认情况下不管IPv6是否已经部署到连接节点的网络上都会启用这种支持。这意味着即使缺少全球IPv6连接,其仍然存在于IPv4专用网络中。换句话说,大多数“IPv4专用网络”是由双栈节点组成的,当IPv6可用时,这些节点可以很容易地利用IPv6连接。 因此,攻击者连接到本地子网可能触发IPv6网络配置(例如,通过发送伪造的路由器通告消息),随后执行基于IPv6的攻击,如拒绝服务(DoS)、中间人(MITM)、触发VPN流量泄漏。 因此,即使是纯IPv4的网络,也应该实施IPv6安全控制。这些控制可以从减轻对自动配置和地址解析机制的攻击,到执行IPv6 ACL或在二层完全阻止IPv6流量。
2.7、安全建设管理安全通用要求部分责任边界