MLPS2.0核心今年5月,随着《信息安全技术网络安全等级保护基本要求》(GBT22239-2019)的发布,宣告MLPS2.0时代正式开启,并将于2019年12月1日起正式实施。这意味着到今年年底,所有的信息系统,只要是对外的,都必须分级备案,重要的系统也必须被划定为关键信息基础设施,并且必须满足《关键信息基础设施安全保护条例》的要求.保障中新增的个人信息保护也必须满足《互联网个人信息安全保护指引》的要求,漏洞也要参照《网络安全漏洞管理规定》的要求。标准不是硬性规定,它们是灵活的。同一个标准可以有不同的实施方式,可以根据企业自身环境的特点来处理。我的原则一直是将合规与安全流程结合起来。摆脱它,而不是被动地遵守对标标准以应对检查。此外,安全不应过多地局限于技术层面。管理其实更重要。这就是宝中科技与管理兼备的原因。国家网络安全工作计划是:一个中心,三重保障。对应Level2,即安全管理中心、安全通信网络、安全区域边界、安全计算环境(物理环境安全为独立主体)。此外,《网络安全法》要求,制度建设必须做到三个同步,即同步规划、同步建设,同步使用。网络安全三个同步《网安法》第三十三条规定:关键信息基础设施建设应当确保其具有支持业务稳定和持续运行的性能,确保安全技术措施同步规划、同步建设、同步使用。1.同步规划在业务规划阶段,应同步纳入安全需求,引入安全措施。如同时建立信息资产管理检查机制,指定专人负责信息资产管理,统一编号、统一标识、统一分配信息资产,及时记录信息资产的状况和使用情况,其他安全措施。2、同步施工在项目施工阶段,通过合同条款落实设备供应商、制造商及其他合作方的责任,确保相关安全技术措施的顺利、按时施工。确保项目启动时,安全措施验收与项目验收同步进行。外包开发系统上线前需要进行测试,确保只有满足安全要求的系统才能上线。3、在同步使用安全验收后的日常运维中,系统应保持持续的安全防护等级,运营方需每年对关键信息基础设施进行安全检查和评估。本文主要针对“一个中心,三重保障”中的中心,谈一谈这个概念和相应的要求。安全管理中心该控制项是分级保护标准技术部分的核心。虽然名字看起来像管理,但实际上属于技术部分。本项主要包括四个控制点:系统管理、审计管理、安全管理和集中控制。其中集中控制可以说是重中之重,主要是围绕它展开的。8.1.5安全管理中心8.1.5.1系统管理a)系统管理员应经过认证,只允许通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;b)系统管理员应配置、控制和管理系统资源和运行,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份和恢复等。8.1.5.2审计管理a)审计管理员应经过认证,只允许通过特定命令或操作界面进行安全审计操作,并对这些操作进行审计;b)审计记录应由审计管理员进行分析,并根据分析结果进行处理,包括按照安全审计策略存储、管理和查询审计记录。8.1.5.3安全管理a)安全管理员应经过认证,只允许通过特定命令或操作界面进行安全管理操作,并对这些操作进行审计;b)系统中的安全策略应由安全管理员检查。配置,包括安全参数设置、主客体统一安全标识、主体授权、可信验证策略配置等。8.1.5.4集中管控分布在网络中的安全设备或安全组件;b)应能建立安全的信息传输路径来控制网络中的安全设备或安全组件c)集中监控网络链路、安全设备、网络设备和服务器等的运行状态;d)对分散在各个设备上的审计数据进行收集、汇总和集中分析,确保审计记录的保存时间符合法律法规的要求;e)对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;f)应能对网络中发生的各种安全事件进行识别、告警和分析。主要检查点包括:制度、审计、安全管理。为什么要把这三个部分放在一起呢?从标准的要求可以看出,描述基本一致,只是针对三个位置。这里的三个职位并不是网络安全中经常提到的三个人。没有添加网络管理员,而是添加了审计管理员,可见国标对审计的重视程度。识别系统管理员(也适用于审计和安全管理员)可以是大事也可以是小事。该标准没有规定如何识别它。按照标准的理解,最起码要做的是Two-factorauthentication,这是最基本的,就是账号密码方式算一个(或者手机等设备的随机验证码),堡垒机算一个、4A认证授权算一个,指纹和人脸生物识别算一个,语音控制、身份密钥(可插拔U-Key或卡)算一个,等可以选择其中两个的组合。但是,登录跳板机后,再以管理员身份登录系统,这不算双重因素。这是两次使用相同的身份验证方法,所以不要混淆双重因素的含义。系统管理员的权限控制,这里只谈技术层面,不展开进程管理的内容。要求只允许对特定的命令或操作接口进行管理,并对操作进行审计。两个要求。至于具体的命令,理解上有些差异。可能适合一些定制化的自研系统,但是这里或者说只要有后台登录界面供管理员登录即可,不要直接进入后台。就是这样,管理员的所有操作都要有记录,可以查询。还有一个要求是系统的一些关键操作(参考原文)必须由系统管理员操作,即只有管理员才有权限进行这些操作,而且管理员一般只有一个账号,其他用户没有执行此类操作的相关权限。这一点在系统开发时要有针对性地设计,尤其是外包系统。审计管理员的主要职责是审计分析。具体分析要看企业的实际情况,但重点是记录的存储、管理和查询,即日志的保留和保护。可以查询,有备份,有完整性保护,避免被修改等等。安全管理员主要负责安全策略的配置、参数设置、安全标志位(非强制)、授权、安全配置校验和存储。下面是要求的部分内容。在实践中,企业安全部门要管理的事情很多。总之,这6点主要是强调对有权限的用户的权限管理和审计工作。为什么要强调特权账户管理?做过安全的应该都知道,黑客是利用漏洞进入的,在做事之前,必须先提权。只有获得管理员权限后,他们才能为所欲为。因此,必须保护这些帐户。对此,Gartner给出了一些控制建议:特权账户的访问控制功能,包括共享账户和紧急账户;监控、记录和审计特权访问操作、命令和动作;随机化、管理和存储应用程序帐户的密码和其他凭据;为特权指令的执行提供安全的单点登录(SSO)机制;委托、控制和过滤管理员可以执行的特权操作;隐藏应用程序和服务帐户,使用户无需知道这些帐户的实际密码;拥有或能够集成高信任认证方式,如集成MFA(Multi-FactorAuthentication,多因素认证)。该控制点主要适用于甲方管理员的日常工作职责,也涵盖研发部门或系统开发外包服务商。做好三同步,在设计阶段覆盖相关合规要求。对于乙方来说,在产品上,可以从合规的角度进行设计,满足《互联网安全法》三个同步的要求。另外,Gartner十大安全项目的第一项就是特权账户的管理,包括审计。一点把产品的设计理念提升到一定的高度。但从实践角度来看,通过技术手段配合管理更有效。2.集中管控对于安全设备和安全组件,将其管理接口和数据划分到一个单独的区域,与生产网络隔离,实现独立集中管理。大多数安全设备都有管理接口,其他功能接口不具备管理功能,不涉及IP地址。这里的需求是将这样的管理接口集成到一个Vlan中(比如所有的设备管理接口只能由堡垒机控制,登录,堡垒机单独划分成一个管理Vlan)。一个实际的应用案例是带外管理。带外网管是指通过专用网管通道实现网络管理,将网管数据与业务数据分离,为网管数据建立独立的通道。在该通道中,只传输管理数据、统计信息、计费信息等,网管数据与业务数据分离,可以提高网管的效率和可靠性,也有利于提高网络的安全性管理数据。由于带外网管提供对设备的访问,可以严格限制通过网络(Telnet等)访问设备,降低网络安全风险。例如,只能使用特定的IP地址通过Telnet访问设备。大部分接入是通过带外网管系统进行的,可以将整个IT环境设备统一接入带外网管系统。区别于传统的设备管理是孤立的,通过带外网络管理,可以很容易的使用不同的用户名登录对应不同的设备管理权限,ITTEAM可以根据不同的职责对每个人员进行授权.理解了上面的集中管控概念之后,接下来的几点理解和实现就比较容易了。例如,安全的信息传输路径(SSH、HTTPS、VPN等);链路、设备、服务器运行状况(堡垒机、网络监控平台等)的监控告警;审计设备(日志服务器、日志管理平台)等),这里说一句啰嗦,不仅要有策略配置,还要合理有效,必须启用;策略、恶意代码、补丁升级集中管理(漏洞统一管理平台),至少包括以上三项进行集中管控;安全事件的识别、报警和分析(态势感知平台、IDPS、FW等,可以是平台也可以是应急团队)。听起来SOC是放在一起的,但官方表示不建议厂商推广SOC平台。每个所需的项目都可以独立和集中控制。如果能集成到一个大平台上就更好了。该管控点偏向于日常安全运维,主要包括集中管理区、策略管理、漏洞管理、日志管理、安全事件管理。单独地,每个项目都有相应的产品。建议循序渐进的构建安全能力,不要一上来就急于构建SOC。由于是标准中新增的需求项,需要一定的时间才能有比较完善的解决方案或产品。对于标准中提到的资产和漏洞的集中管控,中国市场已经有很多成熟的解决方案可以很好地满足要求。
