公安部陳妍:等級保護2.0時代下的云上用戶安全指引
責編:mhshi |2017-06-15 14:35:25
為什么要做這樣一個議題呢?三四年前時,當時云計算還沒有非常大規模地鋪開,但已經有一些用戶開始上云,一些云平臺廠商提供云平臺服務。我們也開始進行等保安全測評時發現一個很驚訝的現象,很多云平臺廠商就是提供了一些非常簡單的虛擬機,存儲服務就開展了這樣一些服務,也有很多用戶把他們的信息系統遷到這樣一個平臺上。
在測一個大型的,像阿里、騰訊、華為這些公有云平臺上用戶時發現,阿里云或騰訊云這些云平臺廠商本身已經做了很多安全服務,但對租戶做測評時,發現他們什么都不知道,說這項安全不是我做的,云平臺已經提供給我這個功能了,我不需要做更多的事情。就是因為一件件這樣的事件發生,我們作為一個第三方測評機構就在想,是不是可以給云上用戶或云平臺做些什么事情,這就是我們這個議題的主要內容,云上用戶安全指引,告訴云上用戶怎么樣做他的安全,怎么樣選怎么樣配置他的安全按鈕或開關。下面我介紹這幾個部分內容。
1、等保2.0。
2、云等保。
3、云上用戶安全指引。
4、中心介紹。
一、等保2.0。
這個詞自2016年開始被大家提及了無數次。什么是等保2.0呢?首先看等保1.0,1994年國務院令第147號就提出對計算機信息系統實行安全等級保護,也明確了公安部會同有關部門制訂這項工作。第二個重要文件是2003年中辦發的27號文,提出要實行信息安全等級保護。當時也提出了一個重要的信息系統,和目前網絡安全法提到的關鍵信息基礎設施有異曲同工之妙,都是要保護重點基礎網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統。大家都在說什么是關鍵信息基礎設施,各個方面都有各方面的定論,有人說等保30以上就是關鍵信息基礎設施,這個關鍵信息基礎設施還是由各個主管部門來確定的。但我認為三級以上信息系統也是有它一定依據的。第三個重要文件是2004年公安部發的66號文,明確了信息安全等級保護制度是一項基本的制度。第四個重要文件是2007年非常重要的文件,43號文,明確了信息安全等級保護管理辦法,制度指導、牽頭單位和相關部門,比如明確公安部牽頭,由國家保密局、密碼管理總局共同承擔這樣的工作,公安部承擔監督、檢查和指導工作。這項工作到目前也是這么運作的,我們知道,要做定級備案要到各個網安大隊去做。
等級保護制度發展這些年,它有好有不好,大家褒貶不一,但有一項是非常重要的。確實影響到了普通大眾,它以非常明確的條例讓大家感覺到了什么是信息安全。等保2.0時代是在等保1.0基礎上,通過對過去的測評,建設過程中的一些總結提出來的。等保2.0非常重要的事件,2014年由我們評估中心開始等保系列標準的修訂以及根據它的新技術特點制訂工作,現在在做的等保系列標準和現在用的《GB/T22239-2008》版改了,名字改了,叫《網絡安全等級保護》,會有很多擴展的要求,原來只有第一部分的基本要求,現在是把它作為通用要求,會針對不同的技術特點,像云會有自己非常明確的特點,比如會資源池化,租戶大集中,會有虛擬化的引入,會分為很多部分,包括云計算擴展要求,移動互聯網擴展要求,物聯網、工業控制、大數據,甚至在現在公安機關執行目前等保過程中也是個過渡,它也會根據許多不同行業特點提出很多新的要求。我在上海,會重點把IDC、金融行業、現代新型P2P行業都會提出不同的要求來補充第一部分安全的通用要求,會由公安機關會同相關部門來做這樣的工作。通過這一系列工作,等保已經不僅僅是個非常通用的部分,應該會結合各個行業的特點來做非常多的擴展。
2014年,我們開始了最主要的標準工作,2016年10月10日公安部網絡安全保衛局郭啟全總工提出了等保進入2.0時代。所以,等保2.0時代在不停地被反復提及。
2016年11月7日通過的《網絡安全法》,6月1日開始實施。兩個地方提到了等保,一是國家要實行網絡安全等級保護制度,這一條就說明很多企業或單位都要做等保。二是第31條明確關鍵信息基礎設施要在等保基礎上實行重點防護,具體怎么做,應該制訂相關文件,會到時候進行規定。
我想引用我們中心羅崢同志一篇文章,當時在朋友圈發的,說等保2.0有幾個標志:一是等級安全保護空前重要,現在國內外網絡安全形勢非常復雜,會發生各種不同的網絡安全事件,影響了普通大眾一些生活;二是等保制度已經上升為法律,這就是《網絡安全法》的發布;三是等保對象得到了大擴展,它不僅僅是局限于傳統的信息系統,擴展到了很多像云平臺、工控系統、物聯網、大數據和一些基礎網絡,IDC也變成了等保的測評對象了。等保內容已經有非常大的不同,控制點都做了一些小的變動,內容集成了目前更多主流信息安全方面,像風險評估安全檢測通報預警,供應鏈等都在等保內容中有所體現。
等保體系大升級。原來我們有一套等保的政策體系、標準體系、技術體系、測評體系,今后我們會圍繞等保做網絡安全監測、通報預警等功能。
二、云等保。
等保2.0是個大的方向,針對各種不同的行業,云計算、移動互聯網、工控都算,今天我們重點介紹一下云等保。
云等保責任共擔模型是非常重要的,這區別于傳統信息系統的大的區別。以前企業建設安全系統我自己負責就好了,不管請第三方公司來幫我開發軟件或者開發系統,我都得負責任。云計算環境下,會有很大的區別,在很多云計算文章和案例中都會提到的這個圖,針對云服務商和客戶,針對不同服務模式下,IaaS、PaaS、SaaS,在責任和資源控制、資源控制范圍、力度上會有很大區別,以IaaS為例,IaaS是現在云平臺最常提供的服務模式,國內大部分的云平臺提供的是IaaS服務,它提供的是虛擬機服務。比如我提供給用戶虛擬機資源,虛擬機資源里那些內容都是由客戶來保證,由他來承擔相應的責任,我虛擬機的加固,虛擬機的一些安全防護都是由客戶來做的。底層的物理環境安全、物理設備的安全,資源抽象控制層Vision安全是云服務商提供的。
云等保和傳統的等保有區別也沒有區別。區別的地方是它的責任主體、責任內容、評測對象有了一定的變化,我們在測云平臺時肯定不需要測云上租戶的那些應用系統。如果在云上租戶時,云計算平臺本身固有的物理設備、物理網絡以及物理環境都不是在測評對象內,但它又和傳統的等保一樣,也包含了定級、備案、建設整改、測評、監督檢查等,所以云等保只是在傳統等保制度下技術擴展。
用戶遷到云平臺上,我肯定要看你云平臺做到了什么樣的安全,能給我提供什么樣的服務,租戶怎么樣做才能保證它的安全。對云平臺來說,因為云平臺肯定是根據相應的級別建立它的相應防護體系。云平臺上如果要承載租戶的應用肯定不能承載高于其保護等級的業務系統。我們知道,等保有幾個層面,有S有A,一個云平臺系統是323的,不可能去承載333業務應用系統,它應該是就高不就低的。
對云計算平臺來說,各地網安部門都會有相應的規定,在上海我們就有這樣的規定,云計算平臺一定要提供幾項服務,一是流量清洗服務;二是網頁防村改服務也應該由云平臺提供,租戶進行有選擇的購買。
(圖)圖中最重要,最有區別的幾點,不管是云計算還是云租戶都有主機層面的,比如惡意代碼防護、補丁升級、漏洞防護,這幾個層面在云計算平臺和租戶針對的對象是不同的,對云平臺來說,針對的對象是一些宿主機和網絡設備,而對于云租戶來說,針對的是他宿主機,網絡設備就不在他的防護范圍內了。目前一個非常普遍的現象,現在的云計算平臺功能越來越強大了,不僅僅是提供了基礎設施服務,還提供了很多安全服務。我們租戶在構建自己在云上的系統時首先購買的是云平臺服務,也可以自己去采購相應的虛擬設備,一些傳統安全廠商虛擬設備在我們云計算平臺上進行部署。
前面講了責任共擔模型地云計算平臺、云租戶應該做怎么樣的云保護才能確保自己的安全。
云等保——標準架構。不管云平臺還是云租戶都應該遵循這樣的標準,分兩部分:安全通用要求、云計算安全擴展要求。這兩塊標準,不管是第一部分還是第二部分都會分為兩個層面,一是技術要求,二是管理要求,它會針對技術要求里的物理和環境安全、網絡和通信安全里都會提出不同的要求。
云等保—保護對象差異,我們在設計、建設、測評云環境,不管云上還是云平臺自身要參考的標準外,這里我介紹云等保保護對象的差異。紅色的部分是我標出來的對傳統信息系統、云租戶信息系統和云租戶業務應用系統保護對象的差異,它會多出很多虛擬網絡結構和虛擬網絡安全設備,云計算安全上會多出很多的宿主機、虛擬機、云管理平臺、虛擬機監視器,數據安全會有PaaS的,數據應用和數據安全會有云應用開發平臺、云業務管理系統、鏡像文件、快照等業務。我們針對保護對象不管做設計時應該參考不同保護對象的安全要求。對于不同的云服務模式,不管IaaS、PaaS還是SaaS,在選取組件保護對象時都會有所區別,在測云服務商和租戶時,保護對象也是有區別的。
云等保——IaaS安全管理責任主體。
(圖)看標紅部分,是云租戶的責任主體,在IaaS模式下,除了物理和環境安全、云租戶基本不需要負責任,因為這個租戶完全接觸不到物理,比如機房在哪里,供電在哪里,租戶完全掌握不到。對于其他的部分,租戶基本都負有一定的責任,雖然云平臺給我提供了基礎網絡架構,云租戶內的,比如安全組、VPC都是云租戶自己來負責的。對于設備和計算安全,對于虛擬網絡管理平臺,這是由云服務方來做的,對租戶虛擬安全設備、虛擬機是由租戶作為責任主體來進行安全防護的。應用和數據安全更是,在IaaS模式下,這完全是由租戶自己掌握的。云服務方可以做什么呢?數據保護在云平臺上,鏡像、快照保存在云平臺上,云計算平臺云服務提供商就要對這塊內容,他的數據負有安全責任。
云等保——PaaS安全管理責任主體。
云租戶的主體責任,原來在網絡和通信安全、設備和計算安全里都有云租戶的影子,原來虛擬網絡安全域是由云租戶來負責的,在設備和計算安全里,虛擬機、虛擬網絡設備、虛擬安全設備是由云租戶來負責的。在PaaS模式下,云租戶管不到這些,因為我主要使用的是一些基礎軟件的服務。這時候,在應用和數據安全等下面,往上層的部分就會看到云租戶的影子了。
云等保——SaaS安全管理責任住地。
針對SaaS模式更是如此,如果我租戶使用這樣的SaaS服務,我的測評對象就更少了,因為我只會在遠端做一些應用系統和相關安全配置,業務相關的數據由我來負責,原來PaaS的應用系統及相關軟件組件這時候由云服務方來負責了。我們云計算平臺提供不同模式的服務,以及云測試機構做的不同云計算平臺測試時都應該明確責任主體是什么,應該抽取什么樣的組件來進行責任的劃分。一方面告訴云平臺服務商要做什么樣的保證,另一方面告訴云平臺租戶我給你提供什么樣的服務。
三、云上用戶安全指引。
它不僅告訴云上的主體有什么樣的安全責任,也需要和云平臺廠商共同配合做這樣的事情,租戶上云之后,很多事情并不是租戶能決定的,因為云計算平臺基本掌握了租戶所有的,虛擬機就在云平臺上,給租戶提供什么樣的服務,云平臺和廠商也需要關注這樣的內容。
主體內容。
我們希望分為這樣幾部分來做:
1、云上系統安全責任共擔模型;
2、云上系統安全體系設計,成為相對安全的云上安全責任;
3、云上系統安全技術要求分界,等保是我們云安全上面的一個切入點,并不是用我們剛才技術要求的分界就一定滿足等保了,只是用等保技術要求來做這個事情;
4、用戶上云注意事項;
5、云上系統安全建設方案。
用戶在上云時,最重要的是和云服務商打交道,云服務商提供不管是它的生態還是服務,都提供的非常多的安全產品以及安全服務。我們想結合不同的云服務商告訴用戶,怎么樣在不同的云服務商使用它不同的產品來是它的安全要求。
云上用戶安全指引——等保測評。
怎么樣做自己云上系統的等保。云上等保分為:定級、備案、系統建設整改、定期監督檢查、等級測評。
定級,告訴大家,不管是做云平臺還是做云租戶,怎么樣做定級。建議云服務商將云計算平臺單獨作為定級對象進行定級。云租戶負責將云租戶側的業務系統進行定級。一個平臺上當然可以承載非常多的云租戶應用,但安全等級不能低于租戶側的安全等級。
備案,曾經碰到過很多的問題,因為云計算平臺目前都有非常多的機房分布在全國各地,我到底在哪里備案,很多公司都是用一個主體做云計算服務的,但這個公司主體在一個地方。我們根據上海的特點和一些要求來做的。上海是云服務商負責將云計算平臺的定級結果向所轄公安機關進行備案,備案地應該為運維終端所在地。對云租戶來說,這個備案的要求都要求是原來工商注冊地和實際經營所在地。
系統建設整改,是云租戶的部分,云租戶建設云上系統時應該建設自己的技術方案以及管理方案,在建設他的技術方案時,當然可以用各種各樣不同類型的產品,包括安全產品和安全服務。
等保測評。測評云租戶時需要云安全廠商做什么?首先要云安全廠商提供等級備案證書和等級測評結論,要看他等級測評報告是不是在有效期內。
等保測評。對租戶怎么測,首先根據通用要求進行測評,根據擴展要求對系統進行整體測評。云計算擴展要求里,不管是云計算平臺還是云租戶都要去參考,大家仔細研讀一下就發現,是根據云計算平臺提出的,當然云租戶也有部分內容。
混合云的問題,如果一部分上云了,系統里一部分上云,另一部分沒上云應該怎么建設和測評,未上云的部分和傳統系統一樣,上云就參考我前面介紹到的相關辦法。
云計算平臺嵌套的問題,比如一個IaaS平臺上嵌套了PaaS平臺,PaaS平臺上又運行著一個云租戶應用系統該怎么測評,當然建議是分開測評,IaaS對IaaS,PaaS對PaaS,當然在測PaaS的時候不會測評IaaS的部分,這和云計算平臺、租戶是一致的,我們在測租戶的時候也不會測云計算平臺的內容。當然,還會有一些打分的東西。
身份鑒別。
在指南里會告訴大家,我們會告訴大家一些控制點來做相關的要求,以身份鑒別為例,三級里有身份鑒別的要求,虛擬機、應用系統身份鑒別和原來沒有什么區別,大家還是登錄虛擬機和應用系統進行身份鑒別工作,如果虛擬機都在網絡上,開通全面運維是不是很合適和安全,我們就可以采用VPN+云堡壘機來做云安全。
傳統信息系統,我想配個網絡策略、安全策略,登錄網絡設備和安全設備上就好了,這時候云租戶系統根本接觸不到網絡設備、安全設備,可能只有一個管理控制臺,我們對管理控制臺就要提出身份鑒別相關要求,這些要求,租戶當然可以配置,但云計算平臺首先要提供,如果沒有提供不同帳號,不同權限,上因素認證,云租戶也做不到。所以,我們的云上用戶安全指引,對云計算平臺提出了很多的要求,云計算平臺要提供這樣的能力才能實現云租戶這樣的要求。
安全審計。
租戶在云上會有很多的操作和事件發生到底誰來審計,對虛擬機來說很簡單,自己在虛擬機上開啟相關的審計策略就好了。管理控制臺上的操作是不是云計算平臺廠商來提供呢?如果云計算平臺不給租戶展這樣的結果,租戶怎么能夠知道他審計的相關內容呢?所以,有個要求,根據云服務方和云租戶的職責,要收集并實現各自控制部分的審計數據,這是對云計算平臺廠商提出這樣的要求。后面還有入侵防范,租戶到底怎么樣做入侵防范功能。當然也可以部署虛擬的IPS、IDS,也可以部署IaaS設備來滿足。
等保要求里的資源控制、數據備份恢復。數據備份恢復里,以三級為例,要求云租戶在本地保存業務數據的備份,這要求云計算平臺廠商提供導入導出的功能。云服務商的選擇,租戶到底應該怎么做,我們總結的,安全防護,到底云上怎么做,物理安全、網絡的,主機的,網絡層的、Web應用攻擊檢測,入侵事件的,到底對云上和傳統模式有什么樣的不同。大部分是大同小異的,只是在物理安全原來是租用和托管現在由云平臺負責,原來網絡隔離和訪問控制,是用硬件防火墻等產品,現在可以用安全組、VPC、虛擬防火墻等來實現。
最后我們會有云上系統安全建設方案,告訴大家在每一層可以用什么樣的功能來實現這樣的要求。
總結。
系統上云是不是等于安全,很多云安全服務商提供服務,那么系統上云就等于安全嗎?肯定不是的。租戶是不是就高枕無憂了呢?云服務商提供服務,默認都是關閉的,租戶如果不知道開啟和云服務商有沒有開啟這個服務都沒有任何的關系。我們認為,對于云上租戶或云平臺來說,最好的方式,不僅提供基礎設施的服務,也能給租戶提供一些安全的服務或者給租戶提供安全的產品解決方案,這樣租戶在這個云平臺上用起來會更加得得心應手。
我們會針對不同的云服務商做云上安全指引。
四、中心介紹。
我們也是其中一個主辦單位,我們是公安部下屬的一個檢測中心,行政上屬于公安部第三研究所,業務上屬于公安部直接管轄,我們也有很多CNCA、CNAS認證,是第三方公認的國家級的檢驗機構。我們中心有很多牌子,包括了視頻監控等安防產品檢測,目前在信息安全產品,銷售許可證的檢測,也有等級保護評估中心,有產品的檢測中心,有國-001和滬-001兩塊等保牌子。我們有許多專業實驗室,針對不同的方向做不同的測評,有云計算,會針對云計算做一些深入的研究和測評。
