等保2.0安全管理中心要求解读
星期四, 七月 18, 2019
今年5月,随着《信息安全技术网络安全等级保护基本要求》(GBT22239-2019)的公布,宣告等保2.0时代正式开启,并将于2019年12月1日正式实施。
也就意味着,到今年年底,所有的信息系统,只要对外的,就要做定级备案,对于重要系统同时还要定为关键信息基础设施,在等保之上还要满足《关键信息基础设施安全保护条例》的要求。而等保中新增的个人信息保护中,也要满足《互联网个人信息安全保护指引》的要求,对于漏洞也应参考《网络安全漏洞管理规定》要求。
标准的东西其实不是硬性规定,具备灵活性,同样一条标准可以通过不同方式来实现,完全可以结合企业自身环境特点来应对,我一直以来的原则是做好安全的过程中顺便将合规一起做掉,而不是为了应付检查而被动地去对标标准做合规。而且,做安全也不要太局限于技术层面,管理其实更为重要,这就是为何等保中有技术也有管理的原因。
国家网络安全工作规划是:一个中心,三重防护。对应到等2中即安全管理中心、安全通信网络、安全区域边界、安全计算环境(物理环境安全属于独立科目),此外网安法中要求系统建设必须做到三同步,即同步规划、同步建设、同步使用。
8.1.5 安全管理中心
8.1.5.1 系统管理
a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;
b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
8.1.5.2 审计管理
a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
b) 应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
8.1.5.3 安全管理
a) 应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计;
b) 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
8.1.5.4 集中管控
a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;
b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;
e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
f) 应能对网络中发生的各类安全事件进行识别、报警和分析。
系统管理员的权限控制,这里只说技术层面不展开讲流程管理的内容。要求只允许特定的命令或操作界面来管理,并对操作进行审计。两点要求,至于特定命令这条,理解有些出入,也许适用一些定制化的自研系统,不过这里用的是或,也就是说只要有后台登录界面供管理员登录,不要随便就能进入后台即可,而且管理员所有操作都要记录,可以查询。
此外的一项要求,则是对于系统的一些关键性操作(参考原文),都要由系统管理员来操作,也就是只有管理员有权限做这些操作,而且管理员一般只有一个账户,其他用户没有相关权限进行此类操作。这点要再系统开发时就针对性设计,尤其对于外包的系统。
审计管理员主要职责在于审计分析,具体分析什么要根据企业实际情况,不过重点是记录的存储、管理和查询,即日志留存和保护工作,这点也是老生常谈,6个月全流量全操作日志,可查询,有备份,有完整性保护,避免被修改等等。
安全管理员主要负责安全策略的配置,参数设置,安全标记(非强制要求),授权以及安全配置检查和保存等。这里指说了一部分要求的内容,实际中企业安全部门要管的事情很多。
总之,这6点主要强调的是具有权限的用户的特权管理及审计工作。为何要强调特权账户管理?做过安全的应该都了解,黑客利用漏洞进来,搞事情之前首先要提权,拿到管理员权限后才可以为所欲为,因此要对这些账户进行必要的保护。
对此,Gartner给出了一些控制建议:
- 对特权账号的访问控制功能,包括共享账号和应急账号;
- 监控、记录和审计特权访问操作、命令和动作;
- 自动地对各种管理类、服务类和应用类账户的密码及其它凭据进行随机化、管理和保管;
- 为特权指令的执行提供一种安全的单点登录(SSO)机制;
- 委派、控制和过滤管理员所能执行的特权操作;
- 隐藏应用和服务的账户,让使用者不用掌握这些账户实际的密码;
- 具备或者能够集成高可信认证方式,譬如集成 MFA(Multi-Factor Authentication,多因子认证)。
本控制点主要适用于甲方管理员日常工作职责,也涵盖系统开发的研发部门或外包服务商,做好三同步工作,设计阶段就把相关合规要求涵盖其中。
对于乙方,涉及到产品的,可以从合规角度出发设计,满足网安法三同步的要求,另外Gartner十大安全项目的第一项就是对于特权账户的管理,同时涵盖审计在内,这两点就将产品设计理念提升了一定的高度。但从实际角度来看,更多的还是技术手段配合管理来做才有效果。
了解了上述集中管控理念之后,对接下来的几点也就比较容易理解和实现了。比如安全的信息传输路径(SSH、HTTPS、VPN等);对链路、设备和服务器运行状况进行监控并能够告警(堡垒机、网络监控平台等);设备上的审计(日志服务器、日志管理平台等),这里啰嗦一句,不但要有策略配置,而且要合理有效并且为启用状态;策略、恶意代码、补丁升级集中管理(漏洞统一管理平台),至少要包括所述的三者进行集中管控;安全事件的识别、报警和分析(态势感知平台、IDPS、FW等,可以是平台也可以是应急响应团队)。
听起来都放到一起就是SOC,但官方表示并不是建议厂商去推SOC平台,这其中要求的每一项能做到独立的集中管控即可,如果有能力集成到一个大平台那更好。
本控制点偏向日常安全运维,主要包括集中管理区域、策略管理、漏洞管理、日志管理、安全事件管理。单独来看,每项都有对应的产品。建议一步步来建设安全能力,不要一上来就忙着搭建SOC。由于是标准中新增要求项,需要一些时间才会有比较完善的解决方案或产品。
前文提到,安全管理中心控制项主要包括系统管理、审计管理、安全管理和集中管控4个控制点,其中的集中管控是重中之重。对于资产、漏洞的集中管控,默安科技【哨兵云】能够完美契合其中的要求,提供完整的解决方案。
哨兵云根据用户提供的已知资产,准确分辨资产来源,自动发现未知资产,将发现的未知资产添加到资产库中,自动地、周期性地识别单位资产。管理包括资产导入、删除、分组及导出管理,资产归属及负责人管理、资产检索及监控管理。就近调度监控检测服务,实时准确、快速地监控资产及其变动情况。
正如8.1.5.4中要求的能对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。正是因为能够将企业环境中的信息资产进行识别发现、统一识别、统一管理,最终以实现统一管控。
哨兵云漏洞扫描支持基础漏洞扫描、弱口令扫描、安全漏洞扫描、漏洞自动化巡检、基线检测及CVE漏洞扫描,其中包括常见的web漏洞类型、最新高危CVE漏洞、常见CMS漏洞、以及运维安全漏洞,弱口令支持MySQL、SSH、FTP、SQLServer等常见服务的弱口令扫描。扫描结果可自动与资产进行关联,使资产风险可视化。
这也正是切合标准中对于风险和报警的集中管理能力要求,如8.1.5.4中要求的应能对网络中发生的各类安全事件进行识别、报警和分析,采用类似SOC管理的方式对网络中的风险进行统一管控。
哨兵云支持漏洞流程管理,通过查看漏洞详情、修复建议,将漏洞分享信息给技术人员后,可针对漏洞进行忽略,确认以及修复后的重新检测等操作,帮助企业及时发现风险和风险闭环。
哨兵云在新漏洞爆发后的24小时内,更新最新的安全漏洞插件;支持自定义应急检测,帮助企业及时加固。
哨兵云周期巡检监控包括资产巡检以及基础风险巡检两个核心监控巡检任务,资产巡检负责对资产的基本信息进行更新检测,如存活探测,端口服务指纹检测。正如标准如8.1.5.4中要求的能够对全策略、恶意代码、补丁升级等安全相关事项进行集中管理。基础风险巡检主要是针对资产巡检中更新的资产以及资产服务端口进行风险检测,主要有弱口令安全检测,CMS应用安全漏洞检测,以及用户自定义的端口服务基线检测。
如有侵权请联系:admin#unsafe.sh