等保2.0三級要求解讀及建設(shè)策略
等保2.0版本三級整體要求分為10個部分,其中1-5為基礎(chǔ)設(shè)施、技術(shù)產(chǎn)品相關(guān)要求,包括物理環(huán)境、通訊網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境、管理中心等,此部分主要需要配合測評機(jī)構(gòu)登錄相關(guān)系統(tǒng)和設(shè)備查看產(chǎn)品功能、策略配置等形式進(jìn)行測評,本文將重點(diǎn)對這部分內(nèi)容解讀和提供建設(shè)策略建議。6-10為管理規(guī)章制度要求,包括管理制度、管理機(jī)構(gòu)、管理人員、建設(shè)管理、運(yùn)維管理等,此部分主要需要以制度文檔、過程審計(jì)記錄等形式提供證明,此部分不在本文中展開討論,如有需要會以文檔形式輔助提供支持。
一、安全物理環(huán)境
機(jī)房場地應(yīng)具備
1,七防護(hù):應(yīng)防震、防水、防火、防盜(視頻監(jiān)控)、防雷擊、防靜電、防電磁干擾
2,兩控制:機(jī)房具備溫、濕度調(diào)節(jié),出入口設(shè)置電子門禁
3,持續(xù)供電:冗余的電力電纜線路、備用電力
ER(Extended requirements , 擴(kuò)展要求):IDC建設(shè)于中國境內(nèi)
--建設(shè)策略:
建議選擇4星級以上標(biāo)準(zhǔn)機(jī)房,級別越低,提供的服務(wù)可用性和標(biāo)準(zhǔn)越低,舉個例子,電信5星機(jī)房承諾的故障次數(shù)是三年內(nèi)50%以上服務(wù)器阻斷30分鐘以上故障不超過1次,2星級承諾的是三年內(nèi)50%以上服務(wù)器阻斷2個小時以上故障不超過1次,至于2個小時以內(nèi)的故障幾次不做承諾。對于公有云租戶來說直接復(fù)用公有云物理環(huán)境等保測評結(jié)論即可。
二、安全通信網(wǎng)絡(luò)
1,網(wǎng)絡(luò)架構(gòu)
關(guān)鍵網(wǎng)絡(luò)設(shè)備要冗余,處理能力可以滿足業(yè)務(wù)高峰期需求
ER:
a)具備虛擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖繪制功能,對虛擬化網(wǎng)絡(luò)資源、網(wǎng)絡(luò)拓?fù)溥M(jìn)行實(shí)時更新;實(shí)現(xiàn)不同租戶虛擬網(wǎng)絡(luò)隔離;
b)為租戶提供通信傳輸、邊界防護(hù)、入侵防范等安全機(jī)制,具備租戶自主設(shè)置安全策略的能力
c)應(yīng)保證云計(jì)算平臺管理流量與云服務(wù)客戶業(yè)務(wù)流量分離;
d)應(yīng)提供開放接口,允許云服務(wù)客戶接入第三方安全產(chǎn)品或在云平臺選擇第三方安全服務(wù)
2,通信傳輸
采用校驗(yàn)碼技術(shù)或加解密技術(shù)保證通信過程中數(shù)據(jù)的完整性和保密性
3,可信驗(yàn)證
對通信設(shè)備的核心程序和配置參數(shù)具備動態(tài)可信驗(yàn)證方案,關(guān)鍵環(huán)節(jié)出現(xiàn)問題及時告警記錄
--建設(shè)策略
滿足租戶流量隔離、自主設(shè)置安全策略的要求,輔以邊界防火墻、WAF等設(shè)備實(shí)現(xiàn)邊界防護(hù)。同時云平臺系統(tǒng)間采用https協(xié)議交互,保證數(shù)據(jù)加密傳輸。
三、安全區(qū)域邊界
1,邊界防護(hù)
能夠?qū)Ψ鞘跈?quán)的設(shè)備從外到內(nèi)及從內(nèi)到外的網(wǎng)絡(luò)行為進(jìn)行限制或檢查
2,訪問控制
在網(wǎng)絡(luò)區(qū)域邊界設(shè)置訪問控制規(guī)則,默認(rèn)情況下除允許策略拒絕所有通信,控制粒度為端口級
ER: 在虛擬化網(wǎng)絡(luò)邊界、不同等級的網(wǎng)絡(luò)區(qū)域邊界部署訪問控制機(jī)制,并設(shè)置訪問控制規(guī)則。
3,入侵防范
在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從外部或內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為;具備攻擊行為分析能力;當(dāng)檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警
ER: 應(yīng)能檢測到云服務(wù)客戶發(fā)起的網(wǎng)絡(luò)攻擊行為、對虛擬網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)攻擊行為,并能記錄攻擊類型、攻擊時間、攻擊流量等;應(yīng)能檢測到虛擬機(jī)與宿主機(jī)、虛擬機(jī)與虛擬機(jī)之間的異常流量并進(jìn)行告警。
4,惡意代碼
在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對惡意代碼、垃圾郵件檢測和防護(hù),并維護(hù)對應(yīng)的防護(hù)機(jī)制升級
5,安全審計(jì)
在重要網(wǎng)絡(luò)節(jié)點(diǎn)對重要的用戶行為、安全事件進(jìn)行行為記錄,審計(jì)記錄應(yīng)定期備份,留存時間合規(guī),記錄應(yīng)至少包含事件日期、用戶、事件類型、是否成功等信息
ER: 應(yīng)對云服務(wù)商和云服務(wù)客戶遠(yuǎn)程管理時執(zhí)行特權(quán)命令進(jìn)行審計(jì),至少包括虛擬機(jī)刪除、虛擬機(jī)重啟;應(yīng)對云服務(wù)商對云服務(wù)客戶系統(tǒng)和數(shù)據(jù)操作可被云服務(wù)客戶審計(jì)
6,可信驗(yàn)證
對核心程序和配置參數(shù)具備動態(tài)可信驗(yàn)證方案,關(guān)鍵環(huán)節(jié)出現(xiàn)問題及時告警記錄
--建設(shè)策略
1.推薦邊界防火墻,對進(jìn)出安全區(qū)域邊界的訪問鏈接進(jìn)行控制,阻斷非授權(quán)訪問;推薦堡壘機(jī)對遠(yuǎn)程執(zhí)行的命令進(jìn)行審計(jì)回放,對高危命令進(jìn)行阻斷;
2.推薦VPN、證書管理服務(wù),采取加密措施,防止數(shù)據(jù)在傳輸過程中遇到破壞;推薦VPC網(wǎng)絡(luò)在租戶數(shù)據(jù)傳輸過程中進(jìn)行vxlan封裝實(shí)現(xiàn)租戶隔離,保證數(shù)據(jù)完整性和保密性。
3.推薦DDoS高防,云WAF服務(wù),針對日漸增多的DDoS、Web攻擊進(jìn)行防御,精準(zhǔn)有效地實(shí)現(xiàn)對流量型攻擊和應(yīng)用層攻擊的全面防護(hù)
4,推薦日志審計(jì)服務(wù)對用戶行為日志統(tǒng)一采集、存儲、查詢、分析、告警
5,推薦云平臺在保證關(guān)鍵網(wǎng)絡(luò)設(shè)備架構(gòu)冗余的同時,支持劃分特定管理區(qū)域,對安全資源池設(shè)備集中管控、監(jiān)控、告警,另外金山云自研的肉雞發(fā)現(xiàn)與防御系統(tǒng)可以有效識別肉雞對內(nèi)外部網(wǎng)絡(luò)攻擊行為并自動進(jìn)行限速、告警處理。
四、安全計(jì)算環(huán)境
1,身份鑒別
用戶密碼策略具有復(fù)雜度要求并定期更換檢測機(jī)制、限制非法登錄次數(shù),身份鑒別技術(shù)采用兩種或兩種以上組合,其中一種至少包含如動態(tài)口令、密碼技術(shù)、指紋識別等。
ER: 當(dāng)遠(yuǎn)程管理云計(jì)算平臺中設(shè)備時,管理終端和云計(jì)算平臺之間應(yīng)建立雙向身份驗(yàn)證機(jī)制
2,訪問控制
應(yīng)進(jìn)行角色劃分,對登錄的用戶分配賬戶和默認(rèn)最小權(quán)限;及時刪除或停用過期賬戶;對敏感信息設(shè)置安全標(biāo)記并可控制對有安全標(biāo)記資源的訪問
ER:
a) 應(yīng)保證當(dāng)虛擬機(jī)遷移時,訪問控制策略隨其遷移
b) 應(yīng)允許云服務(wù)客戶設(shè)置不同虛擬機(jī)之間的訪問控制策略
3,安全審計(jì)
啟動安全審計(jì)功能,覆蓋到每個用戶,對重要的用戶行為和安全事件進(jìn)行審計(jì);對審計(jì)記錄進(jìn)行定期備份,審計(jì)記錄存留時間合規(guī);對審計(jì)程序有保護(hù)手段,防止未經(jīng)授權(quán)的中斷
4,入侵防范
能發(fā)現(xiàn)可能存在的漏洞,并及時修補(bǔ)漏洞;遵循最小安裝原則,應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、高危端口;
能夠檢測到對重要節(jié)點(diǎn)進(jìn)行入侵的行為,并在發(fā)生嚴(yán)重入侵事件時提供報警
ER: 能夠檢測虛擬機(jī)之間的資源隔離失效、非授權(quán)新建虛擬機(jī)、惡意代碼感染在虛擬機(jī)間蔓延等情況,并進(jìn)行告警
5,惡意代碼防范
能夠檢測惡意代碼感染及在虛擬機(jī)間蔓延的情況,并提出告警
6,可信驗(yàn)證
對核心程序和配置參數(shù)具備動態(tài)可信驗(yàn)證方案,關(guān)鍵環(huán)節(jié)出現(xiàn)問題及時告警記錄
7,數(shù)據(jù)完整性
應(yīng)采用校驗(yàn)碼技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程和存儲過程中的完整性, 包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等;
8,數(shù)據(jù)保密性
應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程和存儲過程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等
ER:
a) 應(yīng)確保只有在云服務(wù)客戶授權(quán)下,云服務(wù)商或第三方才具有云服務(wù)客戶數(shù)據(jù)的管理權(quán)限
b) 應(yīng)使用校驗(yàn)碼或密碼技術(shù)確保虛擬機(jī)遷移過程中重要數(shù)據(jù)的完整性,并在檢測到完整性受到破壞時采取必要的恢復(fù)措施
c) 應(yīng)支持云服務(wù)客戶部署密鑰管理解決方案,保證云服務(wù)客戶自行實(shí)現(xiàn)數(shù)據(jù)的加解密過程
9,數(shù)據(jù)備份恢復(fù)
應(yīng)提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復(fù)功能;應(yīng)提供異地實(shí)時備份功能;應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余,保證系統(tǒng)的高可用性
ER:
a) 云服務(wù)客戶應(yīng)在本地保存其業(yè)務(wù)數(shù)據(jù)的備份
b) 應(yīng)提供查詢云服務(wù)客戶數(shù)據(jù)及備份存儲位置的能力
c) 云服務(wù)商的云存儲服務(wù)應(yīng)保證云服務(wù)客戶數(shù)據(jù)存在若干個可用的副本,各副本之間的內(nèi)容應(yīng)保持一致
d) 應(yīng)為云服務(wù)客戶將業(yè)務(wù)系統(tǒng)及數(shù)據(jù)遷移到其他云計(jì)算平臺和本地系統(tǒng)提供技術(shù)手段,并協(xié)助完成遷移過程。
10,剩余信息保護(hù)
應(yīng)保證存有敏感數(shù)據(jù)和鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除
ER:
a) 應(yīng)保證虛擬機(jī)所使用的內(nèi)存和存儲空間回收時得到完全清除
b) 云服務(wù)客戶刪除業(yè)務(wù)應(yīng)用數(shù)據(jù)時,云計(jì)算平臺應(yīng)將云存儲中所有副本刪除
11,個人信息保護(hù)
應(yīng)采集和保存業(yè)務(wù)必需的用戶個人信息;應(yīng)禁止未授權(quán)訪問和非法使用用戶個人信息
ER: 鏡像和快照保護(hù)
a) 應(yīng)針對重要業(yè)務(wù)系統(tǒng)提供加固的操作系統(tǒng)鏡像或操作系統(tǒng)安全加固服務(wù)
b) 應(yīng)提供虛擬機(jī)鏡像、快照完整性校驗(yàn)功能,防止虛擬機(jī)鏡像被惡意篡改
c) 應(yīng)采取密碼技術(shù)或其他技術(shù)手段防止虛擬機(jī)鏡像、快照中可能存在的敏感資源非法訪問
--建設(shè)策略
1,云平臺相關(guān)包括租戶、運(yùn)維、運(yùn)營等系統(tǒng)設(shè)計(jì)應(yīng)考慮至少2種身份認(rèn)證機(jī)制,包括密碼、動態(tài)口令等,用戶密碼長度、復(fù)雜度、更換周期等應(yīng)符合標(biāo)準(zhǔn)要求,用戶信息應(yīng)加密存儲;平臺用戶應(yīng)具備角色管理模塊,不同角色授予最小權(quán)限;重要的用戶行為應(yīng)具備審計(jì)功能;
2,推薦安全客戶端產(chǎn)品通過植入主機(jī)系統(tǒng)提供入侵防范、惡意代碼檢測、防病毒等功能;
3,云平臺提供遷移功能,支持業(yè)務(wù)系統(tǒng)遷移到其他平臺;提供重要數(shù)據(jù)異地實(shí)時備份和恢復(fù)功能;提供鏡像、快照功能并具備完整性校驗(yàn),當(dāng)租戶刪除業(yè)務(wù)數(shù)據(jù)時,對應(yīng)存儲空間的所有副本數(shù)據(jù)完全刪除;提供租戶側(cè)自助密鑰管理解決方案如AK/SK等。
4,云平臺對相關(guān)組件、服務(wù)如openssh、mysql、apache、php等遵循最小安全原則,對已知漏洞具備發(fā)現(xiàn)和預(yù)先修補(bǔ)能力。
五、安全管理中心
1,集中管控
劃分特定管理區(qū)域,對安全設(shè)備或組件集中管控;對審計(jì)數(shù)據(jù)集中匯總和分析;對安全策略、惡意代碼、補(bǔ)丁升級相關(guān)事項(xiàng)集中管理;對網(wǎng)絡(luò)、服務(wù)器、安全設(shè)備集中監(jiān)控并對發(fā)生的安全事件進(jìn)行識別、分析和報警。
ER:
a) 應(yīng)能對物理資源和虛擬資源按照策略做統(tǒng)一管理調(diào)度與分配
b) 應(yīng)保證云計(jì)算平臺管理流量與云服務(wù)客戶業(yè)務(wù)流量分離
c) 應(yīng)根據(jù)云服務(wù)商和云服務(wù)客戶的職責(zé)劃分,收集各自控制部分的審計(jì)數(shù)據(jù)并實(shí)現(xiàn)各自的集中審計(jì)
d) 應(yīng)根據(jù)云服務(wù)商和云服務(wù)客戶的職責(zé)劃分,實(shí)現(xiàn)各自控制部分,包括虛擬化網(wǎng)絡(luò)、虛擬機(jī)、虛擬化安全設(shè)備等的運(yùn)行狀況的集中監(jiān)測
--建設(shè)策略
推薦云平臺基于公有云同源架構(gòu)分別提供云服務(wù)商側(cè)視角的underlay和租戶側(cè)視角的overlay的資源監(jiān)控、審計(jì)數(shù)據(jù)、資源調(diào)度和流量分離方案。