突如其來的疫情,讓大量中小企業措手不及,被迫加速將辦公和業務場景從線下轉往線上,同時5G、AI、雲端計算等新一代資訊科技的應用也在加速各行業數字化和產業升級的程式,隨著技術的發展和基礎設施建設的加速,對資訊保安也提出了更高的要求。
然而面對網路環境的急劇變化,企業在數字化轉型過程中往往難以快速切換角色以應對日益模糊的安全邊界,而大部分的中小企業在人力儲備和技術能力上不足以應對新的安全挑戰。
不斷出臺的法律法規也在強調著資訊保安的重要性。距離網路安全等級保護制度2.0(以下簡稱等保2.0)標準正式施行已經過去了近五個月,等保2.0一方面橫向擴充套件了對雲端計算、移動互聯、物聯網、工業控制系統和大資料的安全要求;另一方面縱向擴充套件了對等級保護測評機構的管理規範、明確定級流程、擴充套件定級物件確定方法等。如何在業務數字化轉型升級的同時,快速高效地通過等級保護測評,應對新的安全挑戰,成為企業開展業務前必須思考的問題。
到底哪些企業需要通過等保?
根據《中華人民共和國網路安全法》第二十一條規定,網路運營者應當按照網路安全等級保護制度的要求,履行相關的安全保護義務。同時第七十六條定義了網路運營者是指網路的所有者、管理者和網路服務提供者。
等級保護相關標準雖然為非強制性的推薦標準,但網路(個人與家庭網路除外)運營者必需按網路安全法開展等級保護工作。
即使企業使用了已經通過等保的雲伺服器,將系統建立在雲上,同樣也需要通過等保測評。業務上雲有多種情況,如在公有云、私有云、專有云等不同屬性的雲上,並採用IaaS、PaaS、SaaS、IDC託管等不同服務,雖然安全責任邊界發生了變化,但網路運營者的安全責任不會轉移。根據“誰運營誰負責、誰使用誰負責、誰主管誰負責”的原則,應承擔網路安全責任進行等級保護工作。
根據《資訊保安技術 網路安全等級保護基本要求》(GB/T 22239-2019)附錄D,雲服務商根據提供的IaaS、PaaS、SaaS模式承擔不同的平臺安全責任。業務系統上雲後,雲租戶與雲平臺服務商之間應遵循責任分擔矩陣共同承擔相應的安全責任。
(雲租戶與雲平臺服務商責任共擔模型)
雲上作業系統有哪些測評項要求?
對於廣大使用公有云的中小企業來說,在安全人員和技術能力的儲備上本來就相對欠缺,當面對等保2.0複雜的要求時更是一頭霧水,尤其是對於雲上作業系統的合規測評,需要進行復雜的手動配置才能滿足超過30多個合規項的要求。
以 CentOS 7.x 作業系統為例,依據《GB/T22239-2019 資訊保安技術網路安全等級保護基本要求》,需要滿足的基線要求包括,身份鑑別、訪問控制、安全審計、入侵防範、惡意程式碼防範、可信驗證、 資料完整性、資料保密性、資料備份恢復、剩餘資訊保護、個人資訊保護共 11 部分。
一、身份鑑別
◆ 測評要求
- 應對登入的使用者進行身份標識和鑑別,身份標識具有唯一性,身份鑑別資訊具有複雜度要求並定期更換;
- 應具有登入失敗處理功能,應配置並啟用結束會話、限制非法登入次數和當登入連線超時自動退出等相關措施;
- ……
二、訪問控制
◆ 測評要求
- 應對登入的使用者分配賬戶和許可權;
- 應重新命名或刪除預設賬戶,修改預設賬戶的預設口令;
- 應及時刪除或停用多餘的、過期的賬戶,避免共享賬戶的存在;
- 應授予管理使用者所需的最小許可權,實現管理使用者的許可權分離;
- ……
三、安全審計
◆ 測評要求
- 應啟用安全審計功能,審計覆蓋到每個使用者,對重要的使用者行為和重要安全事件進行審計;
- 審計記錄應包括事件的日期和時間、事件型別、主體標識、客體標識和結果等;
- ……
四、入侵防範
◆ 測評要求
- 應關閉不需要的系統服務、預設共享和高危埠;
- 應能發現可能存在的已知漏洞,並在經過充分測試評估後,及時修補漏洞;
- 應能夠檢測到對重要節點進行入侵的行為,並在發生嚴重入侵事件時提供報警。
- ……
五、惡意程式碼防範
◆ 測評要求
- 應採用免受惡意程式碼攻擊的技術措施或主動免疫可信驗證機制,及時識別入侵和病毒行為,並將其有效阻斷。
- 除此之外,還有可信驗證、資料完整性、資料保密性、資料備份恢復、剩餘資訊保護、個人資訊保護等共計11個部分30多項細緻的測評要求。
如何配置才能快速通過作業系統測評?
面對如此複雜的測評要求,即使業務上雲的企業摸清了具體的內容,也很難梳理清楚具體應該修改哪些伺服器配置、修改到何種程度才能符合等保測評機構的要求,甚至會因為在操作過程中誤配置或者修改(如SSH登入配置項等),從而導致系統無法登入或其他異常。
(手動配置過程中可能遭遇的問題)
那麼除了自己手動配置之外,還有哪些輕鬆的方式可以通過作業系統的合規測評呢?
為了幫助雲上租戶解決這一困擾,近期騰訊安全雲鼎實驗室在專業測評機構提供基線標準支援下,免費推出了雲原生預設等保合規映象——該產品基於原生公共映象打造,保持原生核心未修改,在保障原生映象相容性和效能的基礎上進行了等保合規適配,幫助使用者擺脫複雜操作和配置的困擾,讓使用者無需手動操作,一鍵即可自動完成作業系統90%以上的基礎合規配置。
據瞭解,此前騰訊雲分別以97.82分和97.57分的成績,高分通過了公有云等保三級和金融雲等保四級的測評。騰訊雲每年會針對內部各類系統開展10次以上等保合規認證,同時也會幫助各行業使用者提供等保測評支援。在這些過程中,騰訊雲不僅與專業測評機構進行了深入的交流,並且積累了豐富的自動化測評工具集和經驗。
現在,在專業測評機構的基線標準支援下,騰訊雲將這些經驗和能力通過預設合規映象的方式輸出給雲上租戶,幫助租戶通過作業系統的等保測評,並且騰訊安全團隊將對預設合規映象進行持續運營維護,確保在出現新的重大安全威脅時,租戶使用到的預設合規映象對已完成漏洞修復,持續獲得安全更新體驗。