摘 要:
目前,各地政府存在自建机房等保测评物理安全环境不达标,或者物理安全环境达标,但缺少网络安全、主机安全等安全产品部署的情况,而导致基础设施、业务系统根本无法通过等保2.0的合规要求。通过构建基于电子政务外网的云安全资源池,按需进行安全资源分配,为实现多平台等保合规提供了路径。
关键字:等保 政务云 安全
随着网络安全法的施行,各业务系统都必须按照国家信息安全等级保护制度要求完成等保测评及整改工作,以满足相应等保级别合规要求。为了解决各部门在“一个中心、三重防护”保障合规方面都或多或少存在缺乏安全物理环境、缺少合规安全防护组件配置的情况,需要各部门重视加强在安全物理环境、安全防护组件配置方面的规划,为业务系统提供健全的业务安全防护及持续的保护。
一、云平台安全设计思路
在基于等级保护合规的基础上,云平台整体的安全防护体系设计主线覆盖云、管、端三个层次的安全能力,其中:
云端安全能力主要包含了两个方面:一方面,云端具有丰富的威胁情报数据,包括恶意病毒样本、漏洞信息、APT事件报告等,可以为云平台的防护提供足够情报数据支撑;另一方面,云端防护系统,可以在云端为云平台及租户提供云端的入侵防护、流量清洗等服务。
管道安全能力主要是指云平台自身的基础安全防护能力,包括网络边界的访问控制、入侵防护、DDOS攻击等的防护能力,同时也能够实现平台内部的操作行为访问控制、安全日志审计、数据库安全审计等技术措施。
端点安全防护主要指具体的VPC或租户内部的主机安全防护能力。包括针对主机系统的防病毒、防火墙、入侵防御、漏洞防护、WEBSHELL检测等安全防护措施,基于主机层面,实现对东西向流量的防护目标。
二、云平台安全设计原则
安全等级保护的建设需要充分考虑长远发展需求,统一规划、统一布局、统一设计、规范标准,并根据实际需要,突出重点、分步实施,保证系统建设的完整性和投资的有效性。方案遵循以下的原则:
?统一规划、分步实施原则
在信息安全等级保护实施过程中,首先从一个完整的网络系统体系结构出发,全方位、多层次的综合考虑信息网络的各种实体和各个环节,运用信息系统工程的观点和方法论进行统一的、整体性的设计,将有限的资源集中解决最紧迫问题,为后继的安全实施提供基础保障,通过逐步实施,来达到信息网络系统的安全强化。
?标准性和规范化原则
信息安全等级保护建设应当严格遵循国家和行业有关法律法规和技术规范的要求,从业务、技术、运行管理等方面对项目的整体建设和实施进行设计,充分体现标准化和规范化。
?重点保护原则
根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
?适度安全及经济原则
适度安全是等级保护建设的初衷,一方面要严格遵循基本要求,从物理、网络、主机、应用、数据等层面加强防护措施,保障信息系统的机密性、完整性和可用性,另外也要综合考虑业务和成本的因素,针对实际风险,提出对应的保护强度,并按照保护强度进行安全防护系统的设计和建设,从而有效控制成本。
?技术管理并重原则
信息安全问题从来就不是单纯的技术问题,仅仅通过部署安全产品很难完全覆盖所有的信息安全问题,因此必须要把技术措施和管理措施结合起来,更有效的保障信息系统的整体安全性。
?先进形和成熟性原则
所建设的安全体系应当在设计理念、技术体系、产品选型等方面实现先进性和成熟性的统一,既保证当前系统的高安全可靠,又满足系统在很长生命周期内有持续的可维护和可扩展性。
?动态调整原则
信息安全问题不是静态的。信息系统安全保障体系的设计和建设,必须遵循动态性原则,能够及时地、不断地改进和完善系统的安全保障措施。
三、云平台安全规划实施方案
1、运维管理区安全设计
安全运维是整个安全体系的重中之重,不仅要实现安全防护目标,同时要尽可能的提升安全运维的效率和体验,降低人为错误带来的风险。通过集中化、自动化、智能化的管理工具,实现覆盖威胁检测、响应、溯源,形成安全运营闭环。
从基于行为和关联分析技术对全网的流量进行安全检测的可视化预警检测,实现安全效果可评估、安全态势可视化。主要有以下技术特点:
?看清业务
1、对业务系统核心资产进行识别,梳理用户与资产的访问关系;
2、对业务资产存在的脆弱性进行持续检测,及时发现业务上线以及更新产生的漏洞及安全隐患;
3、通过业务识别引擎主动识别新增业务资产以及业务访问关系;
?看见内网潜在威胁
1、对绕过边界防御的进入到内网的攻击进行检测,以弥补静态防御的不足;
2、对内部重要业务资产已发生的安全事件进行持续检测,第一时间发现已发生的安全事件;
3、对内部用户、业务资产异常行为进行持续的检测,发现潜在风险以降低可能的损失;
4、将全网的风险进行可视化的呈现,看到全网的风险以实现有效的安全处置。
2、面向云用户等保安全保障方案
采用策略路由的方式将业务流量引流到云安全资源池,通过安全资源池的Web防护、堡垒机、数据库审计等安全组件对数据量进行安全检测,检测完成后在返回给交换机到出口,完成整个数据流的安全防护,实现了南北向和东西向纵深防护体系。实际效果主要体现在两个部分:一部分是为多用户提供了合规安全保障体系,一部分是实现了安全需求服务化交付,具体如下:
?实现多用户VPC边界防护,虚拟机间的边界防护,形成纵深多维度防护体系;
?通过安全需求服务化交付,实现了多用户安全需求按需服务,根据用户需求提供WAF、IPS、FW、APT、VPN等丰富的增值服务内容,满足用户合规需求;
?并通过云端,实现未知威胁发现、Web业务系统漏洞扫描和安全监测,动态感知安全威胁,提前预警和防护;
?通过云安全资源池管理平台,实现全网态势感知动态展示、策略下发、安全事件实时处置;
?与云端联动,实现安全威胁情报协同,突发安全事件在线应急响应。
2.1南北向安全服务流
南北向安全服务流即互联网—用户侧业务(比如web业务)访问流向,用户侧业务南北向安全风险与原有线下安全风险类似,例如web业务需要实现入侵防护、web安全防护、VPN安全接入等功能。
面向多用户的安全南北向防护,主要通过安全资源池平台上包含的各类安全组件来实现防护。
2.2东西向安全服务流
东西向安全服务流即用户申请的云主机、数据库之间的访问引入的安全服务流,具体服务流可分类为:
同一业务系统前后端访问安全:如当web系统运行的虚拟机访问数据库所在虚拟机时,通过访问控制实现数据库仅允许授权的前端web服务器访问
不同业务系统间访问安全:如当用户在云上有两套业务系统,两套业务系统在物理机房是逻辑隔离的。
三、结束语
利用集中的云机房物理安全环境的优势,通过对现有安全资源池平台,推动各企事业单位将需要满足等保要求业务系统的物理服务器托管至云机房。或通过将访问业务系统的流量牵引到安全资源池进行清洗后再安全返回各单位业务系统以实现云安全要求下的等保合规要求。
参考文献:
[1].GB/T 22239-2019.信息安全技术网络安全等级保护基本要求[S]. 国家市场监督管理总局、中国国家标准化管理委员会.2019.05.
[2]. GB/T 28448-2019.信息安全技术网络安全等级保护测评要求[S]. 国家市场监督管理总局、中国国家标准化管理委员会.2019.05.
[3]. 陈晓峰.云技术安全[M].科学出版社有限责任公司.2018.