你準備好了嗎?等保2.0來了,你該做這些萬全準備(一)

網易易盾發表於2019-05-16

等保2.0來了。


2019年5月13日,國家市場監督管理總局、國家標準化管理委員會召開新聞釋出會,等保2.0相關的《資訊保安技術網路安全等級保護基本要求》、《資訊保安技術網路安全等級保護測評要求》、《資訊保安技術網路安全等級保護安全設計技術要求》等國家標準正式釋出,它們都將於2019年12月1日正式實施。

等保1.0釋出於2007年,它使很多企事業單位的安全意識普遍得到增強,為各類資訊保安產品提供了廣泛的應用空間。十多年時間過去了,相較等保1.0,新修訂的等保2.0變化體現在五個方面,分別是體系框架和保障思路的變化、定級物件的變化、測評的變化、等保要求的組合變化和控制點和要求項的變化。

你準備好了嗎?等保2.0來了,你該做這些萬全準備(一)

可以說,等保2.0更加註重全方位主動防禦、安全可信、動態感知和全面審計,實現了對傳統資訊系統、基礎資訊網路、雲端計算、大資料、物聯網、移動互聯和工業控制資訊系統等保護物件的全覆蓋,體現了“一箇中心三重防禦“的思想——一箇中心指“安全管理中心”,三重防禦指“安全計算環境、安全區域邊界、安全網路通訊”。


“在網路安全領域,新修訂的《資訊保安技術網路安全等級保護基本要求》等系列國家標準,可有效指導網路運營者、網路安全企業、網路安全服務機構開展網路安全等級保護安全技術方案的設計和實施,指導測評機構更加規範化和標準化地開展等級測評工作,進而全面提升網路運營者的網路安全防護能力。”國家市場監管總局標準技術管理司副司長陳洪俊指出。


接下來我們分別就從移動開發者、網路安全形度進行解讀。本篇是系列解讀的第一話。


一、移動應用開發者需要注意什麼嗎?


從產業來看,等保2.0中對雲端計算、移動互聯安全、物聯網安全、工業控制系統安全等擴充套件提出了要求。其中,對移動網際網路擴充套件的要求實際指的是移動裝置安全,屬於移動裝置廠商的職責範圍。


那有沒有和移動開發者相關的?有!等保2.0裡對安全通訊進行了規定:


6.1.2 安全通訊網路

6.1.2.1 通訊傳輸

應採用校驗技術保證通訊過程中資料的完整性。


網易易盾移動安全資深工程師侯海飛指出,這實際上要求移動開發者要做到通訊的完整性和保密性,即保證在網路通訊過程中,保證通訊內容的完整和保密性,不會被偽造,以及明文資料不被第三方獲取。


那如何做呢?“常見的需要使用SSL協議傳輸資料,自帶資料傳輸層加密。”不過侯海飛也指出:“由於僅用SSL協議,無法從根本上杜絕抓包和資料偽造,一般還需要資料加密的配合。”


常見做法:在客戶端和伺服器分別嵌入資料加密SDK,傳輸的資料在客戶端進行加密後開始傳輸,伺服器端進行解密……反之亦可實現。這樣就能保證通道中傳輸的資料為高強度加密後的資料,確保在網路通訊過程中,通訊內容的完整和保密性。


侯海飛表示,網易易盾安全元件服務就可以滿足移動開發者對安全通訊的需求,它在APP和服務端嵌入SDK,在通訊層對通訊資料進行加密保護,防止攻擊者竊取通訊資料。


不僅如此,網易易盾的安全元件還為移動應用提供以下SDK,解決移動開發者的煩惱,助力移動應用合規:


  • 安全儲存SDK:透過動態金鑰、白盒加密技術對應用資料進行加密儲存,保護本地隱私資料不被竊取
  • 裝置指紋SDK:採集裝置軟體、硬體等多層次資訊生成可識別的唯一ID,為入網裝置提供虛擬“身份證”
  • 安全鍵盤SDK:為使用者在輸入關鍵資訊時提供安全防護,阻止駭客利用網路監聽、木馬病毒等手段竊取資料
  • 防介面劫持SDK:實時捕獲惡意程式的攻擊行為,提醒使用者安全風險,有效降低移動應用敏感資訊被竊取風險
  • 手遊保護SDK:實時監控常見外掛,如加速器、修改器、模擬器等使用者資料,精確識別,提高遊戲運營效率
  • SDK加固:包括iOS - OC/C/C++加固、Android - JAR包加固、Android - AAR包加固和Android - SO檔案加固。
  • Android和iOS應用加固:網易易盾的加固擁有ISO27001、CSA-STAR國際權威標準認證,安全合規雙重保障,並具有高安全性、高相容性、高穩定性、極速便捷和靈活定製等優點。


二、解讀安全測評和安全通用要求


等保2.0中,對網路安全的要求非常多,今天拎兩個層面說說。


第一部分:安全測評


在等保2.0標準第八章節中:


8.1.10.5漏洞和風險管理b) 應定期開展安全測評,形成安全測評報告,採取措施應對發現的安全問題。

8.1.9.4 自行軟體開發e) 應保證在軟體開發過程中對安全性進行測試,在軟體安裝前對可能存在的惡意程式碼進行檢測;


這兩條要求廠商在產品不同階段應進行安全測評,並依據SDL流程,把安全貫徹在產品整個研發生命週期。網易易盾網路安全工程師尹紅梅表示,資訊保安測評對資訊保安模組、產品或資訊系統的安全性進行驗證、測試、評價,透過這些手段規範它們的安全特性。


“透過驗證、測試、評估資訊模組/產品/系統的各種關鍵安全功能、效能以及運維使用情況,發現模組、產品或者系統在設計、研發、生產、整合、建設、運維、應用過程中存在的資訊保安問題。鑑定產品質量,監控系統行為,警示安全風險,保障網路與資訊保安。”


她說,對測評物件所採取的安全防護、安全檢測、安全反應及安全恢復措施等安全保障的各個方面,應採用系統安全工程方法,遵循特定的程式和模式,實施一整套結構化的測試、評估技術,以完成對系統所提供的安全保障有效性的驗證。


尹紅梅指出,這通常需要採取包括黑盒、白盒、灰盒、靜態、動態、模糊等測試方法,對系統進行脆弱性評估,進行漏洞和風險管理,採用科學的安全保障體系模型,形成完整、動態的安全閉環。


第二部分:安全通用要求


等保2.0標準中,在三級系統8.1安全通用要求中,有以下幾條值得關注:



8.1.2.2 通訊傳輸本項要求包括:

a) 應採用校驗技術或密碼技術保證通訊過程中資料的完整性;

b) 應採用密碼技術保證通訊過程中資料的保密性。



8.1.3.1邊界防護本項要求包括:

a) 應保證跨越邊界的訪問和資料流透過邊界裝置提供的受控介面進行通訊;

b) 應能夠對非授權裝置私自聯到內部網路的行為進行檢查或限制;

c) 應能夠對內部使用者非授權聯到外部網路的行為進行檢查或限制;

d) 應限制無線網路的使用,保證無線網路透過受控的邊界裝置接入內部網路。



8.1.3.3入侵防範本項要求包括:

a) 應在關鍵網路節點處檢測、防止或限制從外部發起的網路攻擊行為;

b) 應在關鍵網路節點處檢測、防止或限制從內部發起的網路攻擊行為;

c) 應採取技術措施對網路行為進行分析,實現對網路攻擊特別是新型網路攻擊行為的分析;

d) 當檢測到攻擊行為時,記錄攻擊源 IP、攻擊型別、攻擊目標、攻擊時間,在發生嚴重入侵事件時應提供報警。



8.1.3.4惡意程式碼防範本項要求包括:

a) 應在關鍵網路節點處對惡意程式碼進行檢測和清除,並維護惡意程式碼防護機制的升級和更新;

b) 應在關鍵網路節點處對垃圾郵件進行檢測和防護,並維護垃圾郵件防護機制的升級和更新。



8.1.3.5安全審計本項要求包括:

a) 應在網路邊界、重要網路節點進行安全審計,審計覆蓋到每個使用者,對重要的使用者行為和重要安全事件進行審計;

b) 審計記錄應包括事件的日期和時間、使用者、事件型別、事件是否成功及其他與審計相關的資訊;

c) 應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;

d) 應能對遠端訪問的使用者行為、訪問網際網路的使用者行為等單獨進行行為審計和資料分析。



8.1.4.11個人資訊保護本項要求包括:

a) 應在網路邊界、重要網路節點進行安全審計,審計覆蓋到每個使用者,對重要的使用者行為和重要安全事件進行審計;

b) 審計記錄應包括事件的日期和時間、使用者、事件型別、事件是否成功及其他與審計相關的資訊;

c) 應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;

d) 應能對遠端訪問的使用者行為、訪問網際網路的使用者行為等單獨進行行為審計和資料分析。



8.1.5.4集中管控本項要求包括:

a) 應劃分出特定的管理區域,對分佈在網路中的安全裝置或安全元件進行管控;

b) 應能夠建立一條安全的資訊傳輸路徑,對網路中的安全裝置或安全元件進行管理;

c) 應對網路鏈路、安全裝置、網路裝置和伺服器等的執行狀況進行集中監測;

d) 應對分散在各個裝置上的審計資料進行收集彙總和集中分析,並保證審計記錄的留存時間符合法律法規要求;

e) 應對安全策略、惡意程式碼、補丁升級等安全相關事項進行集中管理;

f) 應能對網路中發生的各類安全事件進行識別、報警和分析。



8.1.10.5 漏洞和風險管理本項要求包括:

a) 應採取必要的措施識別安全漏洞和隱患,對發現的安全漏洞和隱患及時進行修補或評估可能的影響後進行修補;

b) 應定期開展安全測評,形成安全測評報告,採取措施應對發現的安全問題。


以上等多處新增了部分管控標準,包括對資訊的完整性保護,對惡意程式碼及垃圾郵件的檢測和防護、對安全審計的強化要求、強化個人資訊保護,建立安全管理中心集中管控,同時在標準中關於安全要求與相應的法律法規(《網路安全法》)相對應,強化其合法性。


網易易盾網路安全工程師尹紅梅認為,這也就要求等級保護物件需要做到:


1. 根據伺服器角色和重要性,對網路進行安全域劃分,

2. 在內外網的安全域邊界設定防火牆;設定訪問控制策略,並要求顆粒度到埠級別;

3. 在網路邊界處應當部署入侵防範手段,例如HIDS/WAF等防禦,並記錄入侵行為;

4. 透過諸如堡壘機等,對網路中的使用者行為日誌和安全事件資訊進行記錄和審計,同時避免賬號共享。PS:記錄和審計運維操作行為是最基本的安全要求

5. 透過建立統一的管理中心,對安全裝置、網路裝置和服務等進行集中管理。

6. 在應用資料安全方面,需要考慮資料的完整性與保密性,加密是必要且常用手段。

7.應對系統定期進行安全滲透、風險評估,進行漏洞和風險管理,採用科學的安全保障體系模型,形成完整、動態的安全閉環。


尹紅梅建議,這部分使用者可以使用網易易盾DDoS高防服務和滲透測試服務。她介紹,網易易盾DDoS高防技術,擁有2T超大防護頻寬,優質海外BGP節點,內嵌Web應用防火牆,能多重防護保障業務穩定執行。


網易易盾的滲透測試服務包括:APP滲透測試和Web滲透測試。“前者能以攻擊者視角,模擬駭客攻擊過程,對APP(Android、iOS)客戶端以及對應的服務端進行深入探測,找出應用系統中存在的缺陷和漏洞,及早發現,及早預防。後者能提供專業個性化Web應用滲透測試,專家團隊幫助客戶挖掘Web應用中存在的SQL隱碼攻擊漏洞、網頁篡改/掛馬等安全風險,根據系統風險提供專家建議,及時修復漏洞,規避風險。”


相關文章