公安部張振峰:《網絡安全法》實施過程中大型互聯網企業如何做到等保合規
責編:mhshi |2017-06-15 15:37:20
張振峰,來自公安部第三研究所公安部信息安全等級保護評估中心。
大型互聯網企業在落實《網絡安全法》等保合規的過程中怎么樣開展工作。
在《網絡安全法》中,有關等級保護相關的具體內容。《網絡安全法》的第二十一條是專門針對等級保護提出的。對于網絡運營者落實等級保護制度的主要責任進行了明確,從五個方面給出了網絡運營者應該履行的義務,在建章立制方面、安全管理方面、主體責任方面應該做到哪些工作、在信息安全防護技術應該做到哪些、在監測預警、日志記錄方面應該做到那些、在數據保護、數據備份恢復方面應該做到哪些。最終目的就是保障業務信息安全和業務服務安全。
廣大互聯網企業在履行了《網絡安全法》的義務之后,能給互聯網企業帶來哪些好處呢?從我的角度來看,落實等級保護制度給廣大互聯網企業帶來的第一個好處就是真正履行了《網絡安全法》規定的責任和義務;二是持續提高了互聯網企業自身IT資產的安全防護水平;三是向客戶證明企業長期以來對服務安全性的承諾以及為遵從國家法律法規所做出的努力;四是為客戶(特別是云租戶)加速實現自身對信息安全等級保護的合規。
等級保護2.0
等級保護2.0與《網絡安全法》同步,等級保護2.0時代發生了很大的變化。前邊兩個概念很好理解,重點解釋一下等級保護對象大擴展、等級保護內容大不同、等級保護體系大升級。
等級保護對象大擴展。在傳統的等級保護,也就是1.0時代,大家一說到等級保護對象是什么,就是信息系統。那個時候對信息系統的定義很明確,滿足了以下幾個功能的系統就稱作信息系統,數據的采集生成、數據的處理加工、數據的傳輸和數據的存儲。在新應用、新技術普及的背景下,基礎的通信網絡、基礎的平臺、大數據技術相關的系統可能只具備個別的系統功能或者特點,按照原來的定義,沒辦法劃到等保的范圍內。我們把對象進行了橫向擴展,解決了這個問題。在縱向上,也延伸了信息系統的概念,不單單具有傳統的信息系統的概念。同時,我們把云計算、工控、物聯網都納入進來,跟這些相關的都是等級保護對象試用的范圍。
等級保護內容的大不同。傳統等級保護1.0的內容,定級、備案、建設整改、等級測評、監督檢查,這是從第三方測評的角度總結的大家要做的事情。2.0時代,原來的五個保護動作依然是核心,我們把內容又豐滿了一些。我們現在把風險評估的方法也納入到等級保護工作當中,作為安全問題提出的方法。還有安全檢測、通報預警、案事件調查、數據保護、災難備份、應急處置。納入新的內容并不是提出新的東西,很多內容在原來等級保護的體系框架中都有涉及,單獨拎出來是把原來相對離散的要求都串聯起來,形成有機的整體。也就是2.0建立了有機整體的防護內容。
等級保護體系的大升級。首當其沖的就是標準體系的擴充。現在是把原由1.0時代幾個核心的標準體系整合成一系列的標準,按照不同的領域進行劃分。等級保護的基本要求,從單一的標準擴充為具有六個分側的系列標準,所有信息系統都需要滿足的安全要求放在第一分側,現在叫做通用安全要求。后面是分領域的,把不同領域的具有自身特色的內容單獨放在各自的分側當中。第二分側是關于云計算安全的,我們會把云計算的內容放在里面。依此類推,現在有六個。當然,我覺得不僅僅有這六個方面,隨著領域的擴展,有可能增加新的分側。比如,現在比較火的AI領域,以后是不是在AI領域提出等級保護的基本要求。如果讓我寫AI的安全擴展要求,首先要寫的前三條一定是阿西莫夫的三大定律,人工智能絕對不能傷害人類,人工智能也不能做危害人類的事,也不能損害人類的利益。
就等級保護核心的五個規定動作講一講大型互聯網企業應該做什么。
首先是定級,信息系統使用單位,也就是大型互聯網企業,從自身的角度出發,對系統的安全性、重要程度進行定級,去公安機關備案。在這個過程中,要根據等級保護相應級別的基本要求、安全標準去進行建設、整改。在建設整改結束以后,需要聘請專業的第三方測評機構進行等級測評。公安機關會在實施的過程中進行監督、檢查、指導。
在新技術、新應用快速普及,以及《網絡安全法》實施的大背景下,新的內容擴展以后,如果還用原來的等級保護的方式、方法和標準就不太適用。我們也經常在摸索。小平同志經常說的一句話是“摸著石頭過河”,很幸運的是我們摸到了一塊大石頭。2016年,公安部組織了一次網絡安全專項。我們對國家某大型互聯網企業進行了一次網絡安全專項保衛。我是技術組的負責人,在首次活動中受益頗深,也是充分了解了大型互聯網企業的特點,經過研究,形成了大型互聯網企業專項保衛的工作方案,目前正在草案階段。
按照這個大型互聯網企業的體量,不能說是解剖麻雀,至少應該說是大象,它涉及的領域包括電子商務、互聯網金融、云計算等諸多領域,涉及很多新的技術,傳統的等級保護不能適用。它的數據中心和物理機房的位置是遍布全國各地的,是不是要到全國各地備案呢?這就給公安機關的監管帶來很大問題,也給企業帶來很多不便。大型互聯網企業最大的特點,它的應用都是敏捷開發、快速迭代,以模塊的方式進行部署的技術架構。用到的網絡結構扁平化,大量采用云化的技術。在信息系統的定級劃分階段就帶來了很大的困擾,云上的系統怎么定級、怎么劃分、怎么切割,傳統的等保工作就有很大的不適用性。大型互聯網企業都會遇到的基于數據流動的輕管控、重監測、快響應的安全防護智能化,這給找到測評對象帶來了很大的挑戰。
第一個挑戰是在定級方面。這是非常典型的傳統信息系統的拓撲圖,分區分域、縱深防御,從總部到分支都做得很好。在傳統的信息系統中,網絡架構是業務的變化而變化的,業務發展到哪里、業務有什么樣的網絡去支撐,我們就去建什么樣的網絡。這個就新鐵路系統,系統的各個功能跟它上面的硬件是緊耦合的狀態。比如,鐵路系統的客運能力要到哪里,鐵路就修到哪里。反過來,網絡架構一旦搭好了,再調整業務就比較困難。在傳統企業定級的時候,在直觀上,很天然的就會想到以物理設備作為邊界去劃分信息系統的邊界。這是傳統的做法,也是很有效的。就像在傳統的鐵路系統中劃分不同的路局,每個地方的路局管到的范圍是很明確的。
到了互聯網模式,網絡系統扁平化、云化。大型互聯網的基礎架構是松耦合的,它的業務和基礎設施不是完全對應的,看不到業務的特點。劃分信息系統的時候不能以硬件的邊界進行劃分。我把它比作航空運輸。大家可以想象一下,把全國的機場想象為一個大的資源池,每一個機場就是這個資源池中的一個硬件的宿主機或者是物理設備。在這個硬件的資源池上跑了很多業務,我可以把航空公司申請的航線比作業務,我有什么樣的航線,我就有什么樣的業務。我今天可以從A地直接到B地,根據我的業務需求進行調整,到了后天可能就是經由C地再到B地,這樣的業務調整是很靈活的。每一架飛機可以比喻成云上承載的數據。機庫和泊位就是航空公司租用的虛擬機。這個基礎架構里連通的線路就是空域當中的航道。增加服務內容、增加業務,只要基礎設施滿足、容量滿足,機場的吞吐量達到要求,航路能夠滿足航線的要求,你就可以不斷的增加資源。這種情況下,硬件和業務是松耦合的狀態。
怎么定級呢?我提出了兩種場景。第一種場景是下面的基礎支撐平臺和上面跑的業務應用系統是完全不能對應的。這個圖上有兩個定級系統,定級系統A和定級系統B。我們需要進一步梳理主要業務應用模塊的相關邏輯,我們梳理出了三個業務應用,好比是三條航線。A航線是屬于定級系統A,就是A航空公司。2和3是屬于B航空公司。C是機場。我原來遇到很多大型的互聯網公司找我們做定級的交流。他們第一次拿過來定級的方案,很多都是不管上面的業務應用系統跑的是什么,他們只管下面,按照傳統的方法去做。根據硬件物理的分割去定級。比如,他們會把整個云劃成三塊,存儲資源池、計算資源池、網絡資源池,上面跑的很多業務應用并沒有體現出來。每種業務應用系統都要使用到硬件支撐平臺的時候,不把基礎支撐平臺放在業務邏輯的系統里,都是單獨定級的。
在場景2,下面的資源池的某一部分是對應到上面具體的某些應用系統或者定級系統的。這種情況下,就像切蛋糕一樣,把它一刀切到底就可以。
總而言之,這兩種情況都要避免一種現象,就是你在切蛋糕的時候,不要把上面的奶油和水果扔掉,只切下面的蛋糕。原來傳統的做法就很容易造成這種情況,要盡量避免不管上面的業務應用。
定級分析還有幾個注意事項。分開定級,承載的業務系統要進行保護的時候,重要程度和平臺之間是有對應關系的。也就是平臺的等級不能低于上面所承載的業務應用系統的最高級。比如,平臺上面跑了二級系統、三級系統,平臺最低也要定級為三級系統。未來上了四級系統,平臺就是四級系統。
未來國家關鍵基礎設施出臺以后,有很多重要的云平臺會納入關鍵基礎設施。在新的定級指南里面也明確指出了納入關鍵基礎設施的云平臺,最低不能低于三級。
分開定級,特別是對于云上的系統來說,平臺和租戶的業務系統要分開定級。對于大型的云平臺來說,它的輔助系統,像運維系統和運營系統,同樣需要單獨定級。
大型互聯網企業等保合規中的備案。傳統互聯網企業的備案很簡單,基礎設施、運維地點、工程注冊地都是一致的。備案地點很好確定,之前的備案指導原則也很明確,全國聯網的系統到哪兒備案,跨省的怎么樣備案。
對于大型互聯網企業來說,它的基礎設施遍布全國各地,它的運維地點和工商注冊地不一樣。這就給我們帶來了很多問題。經過專項以后,我們也明確了幾個原則,云服務提供商是負責將云計算平臺的定級結果向所轄公安機關進行備案,備案地應該為運維管理端所在地。對于云租戶來講,是負責云租戶的業務應用系統的定級備案,備案地應該是云租戶的工商所在地,或者是實際經營所在地。雖然云的系統是放在阿里上,或者是華為上,你的公司注冊在哪里、經營范圍在哪里,你就去那里備案。
大型互聯網應該關注的建設整改的內容。新的云的標準出臺以后,大家就能夠看到了,這實際是云計算標準的附錄D的內容,我們關注的具體保護對象的變化。對于測評來講,解決測評對象的變化。因為實現了云化,帶來了很多新的保護對象,像虛擬機、虛擬網絡設備、虛擬安全設備、鏡像和快照等等內容都是有別于傳統的。大家在做安全防護的時候,一定要注意這塊內容不要落下。
在建設整改的時候,我建議大型互聯網企業要從幾個方面努力,對于盡快合規還是有幫助的。首先是關注身份認證、用戶授權、訪問控制、安全審計。我們簡單的梳理了一下,新的標準,包括原來安全通用要求的內容,滿足了這4A,一大半的合規要求都滿足了,它是基礎。還要側重動態監測預警和快速響應能力的建設。這是大型互聯網自身的優勢,應該充分發揮出來。對于云上的云安全服務,或者云安全服務產品合規的問題。傳統上等保的要求,網絡安全產品要進行銷售許可,對安全功能進行檢測。上了云以后,很多傳統的安全產品不再用了,云服務商,或者是大型互聯網企業自己去造車、自己造輪子,這個時候就帶來了問題,你的車、你的輪子是不是安全。在傳統情況下,車在出廠之前是做過檢測的,我們只需要關注駕駛安全就可以了。在新技術背景下,大型互聯網企業應該關注云安全產品合規的問題。
重點是落在了保障業務數據安全和用戶數據隱私保護。相信這是在座各位的命脈,大型互聯網企業一定要聚焦到最后這一點。
大型互聯網企業雖然不是等級測評的主要實施者,但它是重要的參與者。大型互聯網企業,無論是自測,還是在測評當中給第三方測評機構展示你的安全能力,這些都是需要關注的。首先是業務應用系統,對云租戶測評時,首先關注基礎支撐平臺是否已經被測評。如果沒有被測評,就無法開展云租戶的業務應用系統的測評;對云租戶系統打分的時候,云平臺的安全得分是非常重要的。平臺的得分會反過來影響云租戶業務應用系統的得分。比如,有一個云平臺的得分是100分,上面跑的業務應用系統是90分,按照木桶原理,我們給出的得分原則就是取低,是90分。如果你的平臺做得很差,只有60分,無論上面跑的業務應用系統,或者是云租戶的業務應用系統的得分有多高,最終的得分都會被拉下來。
在安全建設當中用到的標準,現在我們引入了一系列的標準。作為大型互聯網企業,安全通用部分肯定是繞不過去的。如果用了云化的結構,云安全擴展要求也應該關注。如果云上面又有了移動互聯技術的內容,移動互聯的要求也需要關注。還有大數據云的內容,在大數據安全方面也有要求。幾個標準共同作用以后,形成了一個完整的保護工作。
因為我主持編制了云安全的擴展要求,大型互聯網企業也都關注這個工作。我也介紹一下這個標準怎么使用。
在4月份武漢的標準會議周上已經推送為送審稿。這個標準有幾個特點:一是新增基本要求的第2部分云計算安全擴展要求(GB/T22239.2),作為第1部分安全通用要求(GB/T22239.1)在云計算安全領域的補充。這個標準沒有在具體的結構上劃分IaaS、PaaS、SaaS。跟傳統的等級保護還是有繼承關系的。我會在附錄里介紹在不同的部署模式下,大家關心的內容是在哪兒。這個標準也不是單單對云服務商提的要求,在云平臺側和云租戶一側都有相關要求。大型互聯網企業的云平臺上的租戶在做合規的時候也可能參考這個要求。
增加、擴展、繼承是什么含義呢?比如,在物理和環境安全里的物理位置選擇控制點,云安全擴展要求相對于安全通用要求,在第一級有增加,在第二級、第三級、第四級有擴展。有增加的意思是在物理位置選擇在安全通用要求的第一級不做具體要求,而云是有要求的,要求云的基礎設施一定要在中國境內。擴展是指安全通用要求已經有相關的要求了,我會在這個基礎上做更多的補充。繼承是指不再提新增加的內容,跟安全通用要求保持一致。
標準從2015年就開始著手研究準備,最新的是在武漢會議周上推進為送審稿。
最后談一談對未來的展望。我們希望未來依托等級保護國家工程實驗室,建立一個全國云上的等保合規平臺,囊括云上等級保護的相關參與方,方便各方盡快合規,降低用戶的合規成本。對于云服務商,可以提供一些相關的接口、API。主要用戶就是兩個方面,一個是測評機構,更多的用戶是大型互聯網企業自身的用戶,使用這樣一個平臺,可以降低他們自身合規的難度、節省成本。對于公安部等級保護監管來講,及時掌握云上系統的安全態勢。
