等保2.0深度解读——应对云扩展要求需新思路
作者:星期四, 七月 19, 20180

一、等保2.0时代来临

自2015年以来,关于等级保护2.0的各种消息层出不穷,直至今年等级保护的安全要求逐渐明朗起来。从最初将安全通用要求、云计算扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求等五个部分分册编制,到2017年8月,公安部评估中心根据网信办和安标委的意见将等级保护在编的五个基本要求分册标准,合并形成了《网络安全等级保护基本要求》一个标准,至此,等保2.0的大框架基本确定下来。

那么等保2.0究竟发生了哪些变化,由等保1.0时代的不温不火演变成2.0时代的风口浪尖呢?

二、等保2.0的蜕变

师出有名

2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,并于2017年6月1日正式实施。等保2.0将原来的标准《信息安全技术 信息系统安全等级保护基本要求》改为《信息安全技术 网络安全等级保护基本要求》,与《中华人民共和国网络安全法》中的相关法律条文保持一致。

  • 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
  • 第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
  • 第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
  • 关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

全面覆盖

2008年开始实施的等保1.0《信息安全技术 信息系统安全等级保护基本要求》,在近几年信息技术飞速发展,各种新应用推陈出新的时代已经明显力不从心。因此,需要新的等保标准来实现在领域、对象和内容上的全面覆盖。

等保2.0在制定之初就充分考虑移动互联、云计算、物联网和工业控制等新技术和新应用,从应用领域到保护对象等各方面都进行了扩展。同时为了配合《中华人民共和国网络安全法》的实施,等保2.0针对共性安全保护需求提出安全通用要求;针对移动互联、云计算、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求,以此形成新的网络安全等级保护基本要求标准。

等保2.0细化了等级保护阶段,更加注重对于每个阶段的细粒度保护。等级保护2.0沿用了等保1.0的五个规定动作:定级、备案、建设整改、等级测评和监督检查,并扩展到风险评估、安全检测、通报预警、安全事件处置、漏洞风险管理等方面,将其纳入到等级保护的范围之内。

体系完善

等保1.0的系列标准重点包括基本要求、测评要求、设计要求,在等保2.0中,系列标准在各领域进行了扩展,除了能应对传统系统的相应标准以外,还满足像云计算、物联网、移动互联等新领域的安全要求。另外,相比等保1.0在监管和合规测评、合规建设等方面也进行了体系的完善。

等保2.0时代,监管对象从传统信息系统变成了网络安全等级保护对象,一个业务系统一个平台都会纳入等级保护范围之内,未来监管机构在检查的时候对于具体的技术措施、安全措施做一些相应的检查,同时还会升级现有的技术手段,应对分领域的技术检查。

等保2.0时代,合规测评在测评的对象,测评依据、等级保护报告模版以及等保的测评结论上都进行了相应的完善;比如在云计算环境下,测评对象需要考虑虚拟化技术的应用导致很多虚拟计算对象;测评依据能否满足虚拟化技术的要求;等保报告上需要考虑引入云平台与云租户后,在等保报告上得分的依赖关系;最后是对于承载了多业务系统的平台,其平台的测评报告是多业务系统可以共用的。

等保2.0时代,在合规性建设方面,更加强调云平台整体;特别是基于4A的统一身份认证、统一用户授权,统一账户管理,统一安全审计,同时要强调平台内部通讯的加密以及相互之间的认证和动态预警还有快速响应能力建设安全服务产品的合规。

三、未实施网络等级保护的危害

自2017年6月1日网络安全法正式实施以来,全国各地共发生违法案件40余起,其中明确违反网络安全法中等级保护相关条令的共计10余起。

四、等保2.0时代需要新的思路

进入等保2.0时代,伴随着技术和管理要求的蜕变,应该有新的形式来解决云等保的市场需求,绿盟云计算安全解决方案(CSS)团队针对云等保的特性,在安全资源池的基础上打造满足市场需求的云等保解决方案,在满足平台等保合规性的同时,提供给平台用户可选可控的安全服务。

等保建设全流程

通过对等级保护全流程的梳理,明确各个角色的职责和阶段任务。

技术架构

按照等级保护要求分别对云平台和云租户提出定级要求,在实施阶段以运维门户、租户门户分离各自的安全需求,在云平台层面对接安全资源池,依托安全资源池提供的能力,从物理设备安全、虚拟网路安全、虚拟主机安全、数据安全和应用安全等方面满足等保要求。同时通过运维门户对资源进行统一管理、调度;并对安全资源进行封装向云租户提供符合等级保护要求的安全服务。

设计思路

  • “一平台两门户”

一平台两门户设计同时满足云平台及云租户的等级保护合规要求。如图所示通过运维门户管理云平台安全资源,从网络、主机、应用、数据等方面全面保障云平台安全;通过租户门户将资源池安全能力包装成租户所需的安全服务提供给租户使用,以满足租户的合规需求。

  • “资源控制层”

通过资源池控制器和日志分析系统对资源池实现资源调度和日志收集、分析;

安全能力

安全资源池支持传统硬件安全设备和虚拟安全设备等类型的安全资源,接受资源池控制器的管理,对外提供相应的安全能力。安全资源池包含了vNF、vIPS、vWvss、vWAF、vNIDS、vSAS、vRSAS和vBVS等安全组件。云数据中心部署的硬件安全设备也可以按照资源池的方式进行管理,接受资源池控制器的管理。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章