下载掌阅APP,畅读海量书库
立即打开
参加过各种国标、行标、团标、企标的制定,对于标准的来源一直很感兴趣,所有标准都不是凭空想象的,总有其脉络可以寻找。
图 405
一直想知道和理解等保这一系列标准的继承性是如何变化的,包括:
●GB17859 的有些概念,虽然理解需要时间,但整体来说各种概念的含义非常明确;那么这些概念如何转化为一个大型的信息系统的标准呢,也就是GB/T22239 系列标准:
从准则到要求的演化;(3.3.5)
●现在的等保叫“网络安全”,它是如何从以前的“信息安全”进化而来的,有什么不同——从 1.0 到 2.0 的进化;(3.3.2)
●最重要的是等保的每一级要求有什么不同,都增强了什么——从一级到四级的强化;(3.3.3)
●如今的等保应用到云计算、移动互联、物联网、工业控制等领域,有什么变化——从通用到扩展的变化;(3.3.4)
●基本要求又是如何转换为测评要求的;
●有了测评要求的,又是如何操作的,这分两个层面,一个是标准写的操作步骤,二是该步骤导致的结果实例。
名称的变化是进化的最直接体现:
●等保 1.0 的名称是《信息安全技术 信息系统安全等级保护xxx》;
●等保 2.0 的名称是《信息安全技术 网络安全等级保护xxx》;
●听说中间用过一个名称:信息安全技术 信息安全等级保护xxx;
图 406
等保 1.0 中没找到对信息系统的定义(应该在其他标准里定了),但 2.0 对网络安全做了定义。
网络安全(cybersecurity):通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。(可以和本书前面对于网络安全的定义做比较)
可以看到:
●假如是信息系统的安全,那么就是前半段:使信息系统处于稳定可靠的运行。
●假如是信息自身安全,那么就是后半段话:保障信息的完整性、保密性、可用性;
●网络安全整合了信息系统安全,加上信息自身安全;
●最重要的是契合《网络安全法》;
●欧盟的也叫《网络安全战略》。
图 407
●1.0:可将较大的信息系统划分为若干较小的(组件)等级对象,强调的是单一计算机信息系统。
●2.0:避免将某一个单位的系统组件作为定级对象,强调的是整体。
●1.0:一个单位内,主要针对的是体制内单位。
●2.0:主要安全责任主体,面向全社会了。
●1.0:运行的信息系统,比较单纯的计算机信息系统。
●2.0:云计算、移动互联、工业控制、物联网、其他信息系统,访问更广。
这样看起来等保 1.0 对象在 2.0 中其他信息系统。
(1)首先是目录的变化
图 408
● 1.0 里,目录会体现各个安全控制域;
●2.0 里,目录已经是体现各种扩展要求。
(2)再看来控制域的变化
图 409
●网络安全被分为安全通信网络、安全区域边界,还有一小部分到了安全计算环境;
●主机安全、应用安全、(数据安全)被合并到了安全计算环境;
●技术上多了安全管理中心,这就是针对的是整个有联系系统的直接体现;
●从人员安全管理到安全管理人员,从名字也看出安全管理人员自身责任的体现。
(3)技术上看起来就是从原来的分立架构转为有机的架构
图 410
●安全通信网络是统一出口;
●每个计算环境都必须有安全边界;
●所有的安全必须在安全管理中心统一管理;
●所有的安全计算、安全通信等都必须位于安全物理环境中。
从要求的条数来看:
图 411
●1.0 的二级要求数是 175 条,2.0 的二级要求数是 135,减少了 40 条;
●1.0 的三级要求数是 290 条,2.0 的三级要求数是 211,减少了 79 条。
条数的减少,说明分类更加合理。这得益于内容的整合、删除等。
举例:
图 412
单单访问控制这一项,就从 25 项要求减少到 13 项,减少了 12 项,接近一半。
摘录前两项,位置选择和访问控制如下:
图 413
各个要求项的变化如下:
●降低了物理位置选择要求,只要加强防水防潮就可以,这十多年,防水防潮技术也提升了不少;
●降低了物理访问控制要求,降低或不再对于机房人员提出要求,主要是因为标准面向社会了,而且监控等电子安防技术也升级了;
●降低了防雷击的要求,删除提出机房建筑的避雷了;
●防火要求基本不变;
●防水防潮基本不变,主要是不再要求水管安装位置;
●降低防静电的要求,不再要求静电消除器等,也是因为设备有效接地以及防静电板就够了,还是降低对人员的要求;
●温湿度控制不变;
●降低电力供应要求,不再要求应建立备用供电系统,一是因为上面已经要求需要冗余的电力线路了,二是电力供应现在比较稳定,基本不太可能一个城市都没有电,而一个城市都没有电了,也就办不了公了,有UPS保存资料就够了;
●电磁防护基本不变,删除了节点方式,因为在防静电已经写过而来,属于重复。
总结:安全物理环境的整体要求降低。
安全通信网络:
图 414
各个要求项的变化如下:
●1.0 的网络安全只保留了结构安全,并改名网络架构,更符合现在的软件开发的叫法;
●新增通信传输的完整性保密性要求;
●新增基于可信根的可信验证;
●强化了对设备和通信链路的冗余要求。
总结:安全通信网络的整体要求提高。
安全区域边界:
图 415
●1.0 大多数网络安全的要求都在区域边界里;
●强化了边界防护的要求,新增了边界的 2 项规定,特别是无线网络的使用;
●强化了网络访问策略的控制要求,比如拒绝所有通信,控制规则最小化等;
●强化了入侵防范的要求,增加了外部内部的攻击行为以及分析;
●删除了访问控制的地址欺骗,拨号访问权限等比较老旧的要求,与时俱进;
●删除了网络设备防护,内容和安全计算环境的要求类似,而且网络设备也是计算环境之一;
●再一次提及基于可信根的可信验证。
总结:安全区域边界的整体要求提高,去除过时的技术。
安全计算环境:
图 416
●身份鉴别大体不变,更加偏向于 1.0 的主机安全,更新而来生物技术等要求,与时俱进;
●访问控制的要求基本不变,但描述更加形象化;
●降低了安全审计的要求,不再要求审计报表、删除对服务器和客户端的范围,聚焦在用户和事件上;
●强化了入侵防范,增加了关闭不需要的系统服务、共享、端口、漏洞修复、接入限制等;
●恶意代码防护的要求描述改为更加可定制化,但实际要求强度很大提升;
●简化剩余信息保护的描述,要求强度提升;
●又一次增加了基于可信根的可信验证;
●增加了个人信息保护。
总结:安全计算环境的整体要求提高,特别是增加对个人信息的保护。
虽然内容基本不搭边,但能找到和安全管理中心有关系的也就资源控制。
图 417
这是 2.0 新增加的要求,安全管理中心:
系统管理,只有系统管理员才能对资源进行管理等;
审计管理,只有审计管理员才能进行操作的安全审计,并对审计进行审计;
安全管理,只有安全管理员才能进行安全策略配置等;
集中管控,需要对整个信息系统进行安全可信的集中管控的各种安全设施。
总结:新增加安全管理中心,体现了趋势是集中的安全管控。
管理要求比较多,在标准里占用了一半还多:
图 418
从中可以看到,对过细的管理人员的操作要求进行了很多删减,原因应该是标准面向社会了,而且技术上的手段也增加了;对岗位配置,人员技能考核等也进行了删除,很难对社会安全人员进行有效的评价,这也影响到了评估认证的可执行度;但对外部人员的要求提升了,包括访问权限、保密协议等。
●等保名称上:既跟随法律的制定又体现了等保的内涵变大了,关于海陆空外的第 4 国土的安全,内涵进化了。
●定级对象上:服务对象从体制内单位扩大到全社会,评估对象从单一的信息系统扩大到有联系的整体网络系统,对象进化了。
●控制分域上:从原来看起来是独立进行要求,进化为一个有层次有逻辑关系的整体,整体进化了。
●整体内容上:条数的合并、精简、添加和时代对应的要求,内容条理性得到了进化。
●物理环境上:对安全物理环境的降低并没有降低安全性,而是更加灵活,安全环境净化了。
●通信网络上:通信网络是整个网络系统的门户,整体要求得到了提升,网络安全进化了。
●区域边界上:去除了一些过时的技术,更加提升了区域边界的安全要求,边界安全进化了。
●计算环境上:把主机、应用、数据都纳入计算环境,这其实就是狭义的信息系统,系统进化了。
●管理平台上:原先并没有集中的管控平台,现在规定了必须有,技术管控上进化了。
●管理要求上:基于现有的技术和社会的实际情况,降低了对应人员的要求,但加强了对于外来人员的管控,管理上也进化了。
研究等保 1.0 到等保 2.0 的进化可能没啥用处,写该书时就想看看有什么不同;既然研究了就写下来了,也许什么时候就有用或者对某些读者有用呢。
接着就研究每一级的强化内容,这应该肯定是有用的。
先看第一级的通用要求。
图 419
第一级的要求,基本都要求有就行了。
第一级的安全通用要求总共 9 类 41 项 55 条(不包含扩展要求),2.0 对于可信验证要求很高,第一级就开始有要求了;意识培训也要从第一级就开始有要求;也可以看出安全最基本的三个动作:测试验收、漏洞管理、事件处理。
第二级开始,对安全做了全面的强化。
图 420
对比等保 2.0 的第一级,第二级在以下方面做了强化。
●增加了 27 项,总要求项达到了 68 项 135 条(不包含扩展要求)。
●安全物理环境增加了 3 项,分别增加对位置选择、防静电、电磁防护的要求;强化了 5项,分别是防盗窃和防破坏、防火、防水防潮、温度湿度控制、电力供应。
●安全通信网络增加了 1 项,为网络架构,各区域必须进行隔离;强化了可信验证,增加了配置参数和应用程序的可信验证,并形成结果记录送到安全管理中心。
●安全区域边界增加了 3 项,分别为入侵防范、恶意代码防范、安全审计;强化了访问控制,可信验证,增加了可以对数据流进行管控的能力。
●安全计算环境,增加了安全审计、剩余信息保护、个人信息保护;加强了访问控制、入侵防范、可信验证、数据备份恢复;对用户最小权限、及时修复漏洞、异地备份等提出要求。
●最重要是新增一个大类——安全管理中心的各项要求。
●安全管理制度新增两项:制定和发布、评审和修订。原来只要有该意识就行,现在对过程有要求。
●安全管理机构新增两项,分别为沟通和合作、审核和检查;对其他项进行了强化。
●对于安全管理人员,强化了录用和外部人员访问管理的要求。
●安全建设管理新增了 3 项,分别为自行软件发布、外包软件开发、等级评审;强化了其他项的内容。
●安全运维管理增加了 7 项,分别为资产管理、介质管理、配置管理、密码管理、变更管理、应急预案管理、外包运维管理;强化了其他项目。
这一级的特点就是各项都增加了审计和管理,可信链条已经完善,安全管理的各个方面都很完善。
到了三级,对所有要求项进行了进一步加强。
图 421
对比二级,增加了 3 项,总要求项到了 71 项 211 条(不包含扩展要求)。
●安全物理环境
强化了物理访问控制、防盗窃和防破坏、防雷击、防火、防水防潮、防静电、电力供应和电磁防护,最重要的就是设置电子门禁系统、隔离防火墙和冗余供电。
●安全通信网络
所有要求项都强化了,最关键就是增加了硬件的冗余、通信过程的保密性和动态可信验证的要求。
●安全区域边界
所有要求项都强化了,大部分要求都很重要,比如对非授权设备行为进行检查、对数据流进行访问控制,增强对网络攻击的防范、对远程用户行为进行分析等。
●安全计算环境
除了个人信息保护,其他要求项都进行了增强,主要体现在需要两种鉴别技术、访问控制颗粒度更加细而且设置安全标准,必须有效阻断攻击,特别是增加了数据保密性对各种数据提出了具体的要求。
●安全管理中心
增加了两项能力:安全管理和集中管控。这也是整个三级最重要的要求项。对整个信息系统的管控必须做到集中管控,还必须有安全管理员,和系统管理、审计管理分开。
●安全管理机构
主要强化了领导小组的组成,必须有专职的安全管理员,定时审批并形成通报。
●安全管理人员
在录用时需签保密协议、定期进行考核等。
●安全建设管理
对安全方案设计进行了全方位的强化:必须整体规划和论证,对自行开发软件做到管理、规范、设计文档、资源库的控制,特别是开发活动需要受到控制等。
●安全运维管理
对资产和信息必须进行规范化管理、设备报废必须完全清除资料,以及对运维工具动作的审批,对变更也需要审批等。
这一级的特点体现在很多动作都需要审批,对各种资源账户都需要做安全标志,需要动态可信技术等,各个要求项都得到了深度强化。
图 422
对比第三级,等保 2.0 第四级在以下方面进行了进一步强化,但总体来说并没有增加要求项,维持 71 项 224 条(不包含扩展要求)。
●在安全物理环境中,只对 3 个要求进行了加强,在重要区域必须有第二道电子门禁,应急供电设施和关键区域实施电磁屏幕,看起来是防止通过电力和电磁进行攻击。
●安全通信网络全部进行了加强,包括优先保障重要业务的带宽、双向认证、硬件密码模块保存密钥、动态关联感感知等,进一步提高了通信网络的安全程度。
●在安全区域边界中增加了有效阻断非授权用户行为,对设备进行可信验证、通信隔离等,这是增加隐秘通道的安全要求。
●在安全计算环境中对所有客体主体都要有安全标志(强制访问控制)、可信验证机制来识别恶意代码,数据增加了抗抵赖、异地灾备。
●安全管理中心加强了数据安全的时间一致性。
●安全管理制度没有变化。
●在安全管理机构中,增加了关键岗位必须多人共同管理、从内部选拔从事关键岗位、关键区域不允许外部人员访问等。
●在安全建设管理上,对重要产品必须进行专项测试提出了要求。
●在安全运维管理方面,对重要区域的人员活动进行实时监视、采用密码机保存密钥及其运行、预计联合应急机制和预案等提出了要求。
这一级的特点体现在很多动作都第二鉴权并且实时监控、实时感知,并且需要加密机保存密钥和进行加解密算法等。
把每个级别的控制点统计入下图:
图 423
假如要达到安全是一个点,终点,那么可以把一级看做一条线:提出了基本的安全要求。第二级就是一个面:所有的安全要求在第二级基本成型。第三级,这个面有了深度,形成了一个三维立体;到了第四级,就需要实时,包括实时监控、实时感知,实时处置等;第五级呢,标准里是略,这跟超过四维时空一样,略。
对四个级别的各个要求项做一下总结统计,如图:
图 424
可以看到从一级就具备,每级别都会增强的要求项是:电力供应、可信验证(3)、访问控制(2)、数据备份恢复、人员录用、外部访问、产品采购和使用、环境管理、事件处理等9 项。
摘录其中 4 条安全要求项进行分析是如何一级一级对其进行强化的。
本来想用一个图表示从一级到四级的变化,但画了几次都没画出来,所以只能画成四个图,分别解析每一级的变化。
(1)第一级的可信验证
图 425
由于是基于可信根,但一般不会直接用可信根,可以派生 1 到 2 个KEY来进行校验,和第2 章中电视机的安全启动功能原理类似。
(2)第二级的可信验证
图 426
对比上一级:
●增加了重要配置参数和应用程序;
●增加了把验证结果生成审计记录;
●增加了把记录 送至安全管理中心。
(3)第三级的可信验证
图 427
对比上一级:
●增加了应用程序的关键执行环节都必须进行验证,一般做法就是每个接口安全都必须进行验证。
(4)第四级的可信验证
图 428
对比上一级:
●增加了应用程序的所有执行环节都必须进行验证,应该是每个函数都必须进行验证;
●增加了动态管理感知,每个环节都需要验证了,也就有办法进行实时的分析。
(1)第一级的访问控制
图 429
要点是:
●需要有访问控制策略,规则数量最小化;
●关闭多余接口;
●对原地址、目的地址、源端口、目的端口、协议做检验;
●需控制网络 7 层协议的数据链路层和传输层。
图 430
(2)第二级的访问控制
图 431
对比上一级:
●增加了访问控制策略覆盖范围到了区域之间;
●增加了允许/拒绝的访问能力;
●需控制 7 层协议中的数据链路层、传输层、会话层。
图 432
(3)第三级的访问控制
图 433
对比上一级:
●增加了对基于协议和内容的访问控制,也就是需控制 7 层协议中的 5 层。
图 434
(4)第四级的访问控制
图 435
对比上一级:
●把对协议和内容的控制改为需要进行数据隔离;
●和第三级同样是控制了 5 层,但增加了数据隔离。
图 436
摘录关键要求来分析每一级对外部访问的强化。
图 437
第一级主要要求:外部人员访问受控区域需得到授权。
第二级主要要求:外部人员访问受控区域或系统,都需先书面申请、再专人陪同和登记备案,并且离场后应及时清除所有权限。
对比上一级,增加了必须签署保密协议,增加了对关键区域或系统不允许被外部人员访问。
图 438
第一级主要要求:及时向安全管理部门报告安全事件或弱点,并且明确报告和处置流程,规定事件的管理职责。
对比上一级:增加了需要制定管理制度、分析事件产生的原因,记录处理的过程,总结经验教训等;增加了对重大安全事件的应采取更加紧急报告处理的程序;增加了建立跨单位的联合应急防护预案,并且经常进行演练。
详细分析每一级的强化看起来是非常有用的,看起来已经比较深入理解等保标准了。
那么接下来详细分析一下“从通用要求到云计算领域、移动互联领域、物联网领域、工业控制领域的变化”应该也有用的,特别是等保对物联网安全的要求。
以第三级的云计算安全扩展要求来说明变化:
图 439
对比三级的通用要求,扩展要求增加了 5 个要求项,增强了 11 个要求项,共 46 条要求。
●安全物理环境中增加了一条要求项,那就是基础设施位置,要求必须在中国境内;
●安全通信网络加强了网络架构的要求;
●安全区域边界加强了访问控制、入侵防范、安全审计的要求;
●安全计算环境增加了镜像和快照保护的要求,以及加强了身份鉴别、访问控制、入侵防范、数据完整性保密性、数据备份恢复、剩余信息保护的要求;
●安全管理中心加强了集中管控的要求:对资源管控、职责划分等做了规定;
●安全建设管理增加了云服务选择、供应商选择的要求,即必须合规;
●安全运维管理增加了云计算环境管理的要求,即必须自中国境内;
●安全管理制度、安全管理机构、安全管理人员没有变动。
以第三级的移动互联安全扩展要求来说明变化。
图 440
对比三级的通用要求,扩展要求增加了 5 个要求项,增强了 4 个要求项,共 19 条要求:
●安全物理环境增加一条要求项,即无线接入点的物理位置,要求避免过度覆盖和电磁干扰;
●安全区域边界加强了边界防护、访问控制、入侵防范的要求;
●安全计算环境增加了两条要求项,移动终端管控和移动应用管控,要求终端运行终端管理软件和只允许签名软件安全和运行等;
●安全建设管理增加了两条要求项,移动应用软件采购和移动应用软件开发,要求采购软件的签名真实性、合法性以及开发者的资格等;
●安全运维管理加强了配置管理要求,建立合法的终端配置库,鉴别非法的无线接入;
●安全管理中心、安全管理制度、安全管理机构、安全管理人员没有改变。
物联网安全是这本书的标准,分析得比较充分,下面按照级别进行拆分分析。
(1)第一级
图 441
对比通用要求:
●增加了环境不应对感知节点造成物理破坏;
●增加了感知节点应能正确反应环境状态;
●增加了只有授权的感知节点可以介入;
●增加了需定时巡视维护感知节点、网关节点。
物联网对比其他网,最大的特点就是能对外部环境的感知;物联网的形态看来最贴合智能,都是有感知。
(2)第二级
图 442
对比通用要求和上一级扩展要求:
●增强了入侵防范的要求,即应该限制与感知或网关节点的目标地址,避免攻击行为;
●增强了感知节点管理要求,即应对感知节点进行全程规定和管理。
(三)第三级
图 443
对比通用要求和上一级扩展要求:
●增强了感知节点物理防护,环境不应对节点造成影响、电力应稳定供应;
●增加了感知节点安全要求,只有授权用户才能操作其上应用、对其连接的设备应具备身份鉴别能力;
●增加了网关节点安全要求,应具有鉴别能力、应具有数据过滤能力、授权用户应能进行关键密钥与关键参数更新;
●增加了抗数据重放能力;
●增加了数据融合处理要求,不同数据可以在同一平台使用;
●增强了感知节点管理要求,加强保密性管理的要求;
(四)第四级
图 444
对比通用要求和上一级扩展要求:
●扩展要求增强了数据融合处理能力,应能智能处理数据的依赖和制约关系;
●对比通用要求,扩展要求增加了 7 个要求项,增强了 1 个要求项,共 21 条要求。
以第三级的移工业控制安全扩展要求来说明变化。
图 445
对比三级的通用要求,扩展要求增加了 4 个要求项,增强了 5 个要求项,共 21 条要求。
●安全物理环境增加一条要求项:室外控制设备物理防护,应该防火、防盗、防雨、防电磁干扰等。
●安全通信网络增强了两条要求项:网络架构增强了工控应与其他系统的单向隔离、系统内部区域隔离、数据网隔离;控制指令的身份认证、访问控制和加密传输。
●安全区域边界增加了一条要求项:工业控制系统和其他系统之间应该进行访问控制,边界防范及报警。
●安全区域边界增加了两条要求项:拨号使用控制和无线使用控制;拨号应该受控制、拨号系统应该进行安全加固,并且确保传输安全。
●安全计算环境增加了一条要求项:控制设备安全,控制设备也应该满足同等级的安全计算环境要求。
●安全建设管理增强了两条要求:产品采购和使用(必须进行安全性检测);外包软件开发(技术、资料、设备的保密)。
GB17859 是GB/T22239 的上位标准,那么也许有必要分析从《GB17859 计算机信息系统安全等级划分准则》到《GB/T22239 网络安全等级保护基本要求》的演化过程。
《GB 17859 计算机信息系统安全保护等级划分准则》的分析见第 2 章。
(1)从用户自主保护级到等保第一级
GB17859 第一级 用户自主保护级的各个安全行为的简化要求如下。
●自主访问控制:定义和控制系统中命名用户对命名客体的访问。
●身份鉴别:要求用户标识自己的身份并使用保护机制来鉴别用户的身份。
●数据完整性:通过自主完整性策略来阻止非授权用户修改或破坏。
图 446
(2)等保第一级的安全技术要求对应的含义
●安全物理环境中的物理访问控制要求是鉴别进入人员,符合身份鉴别的含义,其他要求符合度比较低,这里省略。
●安全通信网络中的通信传输要求校验数据完整性;可信验证要求检测系统引导程序、系统程序的可信度,符合数据完整性的含义。
●安全区域边界中的边界防护要求访问和数据需通过受控接口进行通信,符合自主访问控制的控制用户对客体的访问;访问控制要求设置访问策略符合自主访问控制的含义;可信验证要求检测系统引导程序、系统程序的可信度,符合数据完整性的含义。
●安全计算环境中的身份鉴别要求对登录用户进行身份标识和鉴别符合身份鉴别的含义;访问控制要求应对登录用户分配账户和权限,符合身份鉴别的含义,不太符合自主访问控制的含义;入侵防范要求遵守最小化安装原则、关闭不需要的系统服务,有些符合自主访问控制的含义;可信验证要求检测系统引导程序、系统程序的可信度,符合数据完整性的含义;数据完整性要求验证数据传输过程中的完整性符合数据完整性的含义;恶意代码防范要求的符合度较低。
(1)从系统审计保护级到等保第二级
图 447
GB17859 第 2 级的系统审计保护级的各个安全行为的简化要求如下。
●自主访问控制:定义和控制系统中命名用户对命名客体的访问,颗粒度到单个用户。
●身份鉴别:要求用户标识自己的身份并使用保护机制来鉴别用户的身份,身份标识与审计行为关联。
●客体重用:撤销该客体所含信息的所有授权之后才能分配新的主体。
●审计:创建、维护、保护客体的访问审计跟踪记录。
●数据完整性:通过自主完整性策略来阻止非授权用户修改或破坏。
(2)等保第二级的安全技术要求对应的含义
●安全物理环境同上一级。
●安全通信网络中的网络架构要求按照控制原则分别地址,采用可靠的隔离手段,符合自主访问控制的含义;可信验证要求增加验证重要配置参数和应用程序的可信,符合数据完整性的含义;其他同上一级。
●安全区域边界中的访问控制要求设置访问策略,符合自主访问控制的含义,又要求提供允许/拒绝访问能力,符合身份鉴别含义;入侵防范要求监视网络行为,有点符合审计含义;安全审计要求对用户行为和安全事件进行审计,符合审计含义;可信验证要求增加验证重要配置参数和应用程序的可信,符合数据完整性的含义;其他同上一级或符合度较低,略。
●安全计算环境中的访问控制要求除了符合身份鉴别的含义,又要求最小权限管控,符合自主访问控制的含义;入侵防范要求遵守最小化安装原则、关闭不需要的系统服务、设定接入方式和地址访问进行限制,符合自主访问控制的含义,又要求提供有效性检验功能、充分评估后修补漏洞,符合审计的含义;可信验证要求增加验证重要配置参数和应用程序的可信,符合数据完整性的含义;数据备份恢复符合数据完整性含义;剩余信息保护要求鉴别信息在重新分配前得到完全清楚,符合客体重用的含义;其他同上一级或符合度较低,略。
(1)从安全标记保护级到等保第三级
GB17859 第 3 级的安全标志保护级的各个安全行为的简化要求如下。
●自主访问控制:同上一级。
●强制访问控制:强制控制需进行安全标记的主体只能访问等于或低于安全等级的客体,强制标志和规则运行时不可更改。
●标记:可信基维护主体及客体的安全标记且审计。
●身份鉴别:要求用户标识自己的身份并使用可信机制来鉴别用户的身份,身份标识与审计行为关联。
●客体重用:同上一级。
●审计:创建、维护、保护客体的访问审计跟踪记录级及安全级别、记号。
●数据完整性:通过自主完整性策略阻止非授权用户修改或破坏,使用完整性标记来确信未受损。
图 448
(2)分析等保第三级的安全技术要求对应的含义
●安全物理环境同上一级。
●安全通信网络同上一级。
●安全区域边界中的边界防护要求除了要符合自主访问控制,又要求对非授权设备进行检查和限制,符合审计的含义。
●安全计算环境中的访问控制要求除了符合身份鉴别和自主访问控制的含义,又要求对重要主体和客体设置安全标记并控制器访问,符合标记的含义,有些符合强制访问控制的含义;感知节点安全要求对授权用户、合法节点进行身份标识和鉴别,符合身份鉴别含义;网关节点安全要求对合法设备和数据进行鉴别的能力,有点符合身份鉴别含义;抗数据重放要求应能鉴别数据新鲜性或被非法修改,符合客体重用和数据完整性定义;其他同上一级或符合度较低,略。
(1)从结构化保护级到等保第四级
GB17859 第 4 级的结构化护级的各个安全行为的简化含义如下。
●自主访问控制:同上一级。
●强制访问控制:强制控制需进行安全标记的主体只能访问等于或低于安全等级的客体,强制标志和规则运行时不可更改,所有主体和客体、直接或间接访问都应满足。
●标记:可信基维护主体及客体可被直接或间接访问的安全标记且审计。
●身份鉴别:要求用户标识自己的身份并使用可信机制来鉴别用户的身份,身份标识与审计行为关联。
●客体重用:同上一级。
●审计:创建、维护、保护客体的访问审计跟踪记录级及安全级别、记号、隐蔽存储信道事件。
●数据完整性:通过自主完整性策略来阻止非授权用户修改或破坏,使用完整性标记来确信未受损。
●隐蔽信道分析:彻底搜索隐蔽分析存储信道和最大带宽。
●可信途径:用户和系统之间有可信通信途径并由该用户初始化。
图 449
(2)分析等保第四级的安全技术要求对应的含义
●安全物理环境同上一级。
●安全通信网络中的通信传输安全要求除了符合数据完整性,又要求应基于硬件密码模块进行加密运算和密钥管理,符合可信途径的含义;可信验证安全要求除了符合数据完整性,还基于可信根以及进行可信验证等,符合可信途径的含义。
●安全区域边界中的边界防护要求除了符合自主访问控制和审计含义,又要求发现私自的行为,符合隐蔽通道分析的含义,还要求对接入设备进行可信验证,符合可信途径的含义;可信验证安全要求除了符合数据完整性,还要求基于可信根以及进行可信验证等,符合可信途径的含义。
●安全计算环境中的访问控制要求除了符合身份鉴别、自主访问控制、标记的含义,又要求依据安全标记和强制访问控制规则确定主体对客体的访问,符合强制访问控制的含义;可信验证安全要求除了符合数据完整性,还基于可信根以及进行可信验证等,符合可信途径的含义;数据融合处理要求应对不同数据之间的依赖管理和制约关系进行智能处理,符合隐秘通道分析的含义;其他同上一级或符合度较低,略。
保密的根在与密钥,安全的根在于信任链,等保的根在于可信保障。
图 450
一级:类似进入普通小区,门口有个象征性的刷卡的门:就是自己管好自己(自主保护),自己分门别类(自主访问),自己觉得什么可信就可信(静态可信);明显存在可以跟着其他人进小区的问题。
二级:类似进入高端小区,进入需要登记姓名和身份证(系统审计),或里面有熟人带进去(可信链),需要找个有经验的指导如何做(指导保护);存在被身份被盗的漏洞。
三级:类似进入机关单位,需要对每个人或来访者做具体的标志(安全标记),定时都要检查一下每个人都在干什么(监督检查),从检查总结能看到哪些还做不到位(动态度量);存在内部人也能干坏事的弱点。
四五级:类似进入军事单位,应该都会有人监督其他人干了什么事(专门监督),每时每刻都在干什么(实时监控),有问题马上知道马上处理(实时感知、实时处置);第四级存在内部人干了事能被逃的风险,所以需要第五级。
访问验证保护级没有对应的等保等级,没法分析其是如何演化的。
GB17859 虽然是上位标准,但到了实际能指导安全建设的标准《基本要求》,会多了很多环境要求、管理中心、管理要求、人员要求等,这些要求无法在GB17859 中找到;
《基本要求》没有按照《划分准则》的分类进行划分,而且把准则里的安全含义按照等级逐渐融合到每个要求项里;
有些安全含义可能会出现的比较早,比如可信验证的可信基,标题看起来属于可信途径含义,但分析的结果又是数据完整性的;
有些安全含义在低级阶段会要求比较低,比如强制访问控制。在等保的三级中,强制访问规则并没有出现,在第四级中才出现,比《划分准则》中的要求低。《划分准则》中第三级是重点主体和客体必须强制访问控制,到了第四级是所有主体和客体都必须强制访问控制。会不会比等保的第四级要求更高的关保有这么高的要求呢?
整个等保通用措施的要点全貌如下图所示。
图 451
●安全通信网络的要点是构建安全的网络通信架构和保障信息传输安全等;
●安全区域边界的要点是强化安全边界防护及入侵防护、优化访问控制策略等;
●安全计算环境的要点是强调系统及应用安全和加强身份鉴别机制与入侵防范等;
●安全管理中心的要点是对安全进行统一管控、集中分析与审计等。
假如完全按照等保措施去执行,对于一个有几十上百个云来说,成本和人力需求都会非常大,所以需要制定出适合自身的内部标准。