En 400-6655-581
5
返回列表
> 資源中心 > 安全解讀 | 等保2.0實戰(zhàn):信息安全體系之身份安全

安全解讀 | 等保2.0實戰(zhàn):信息安全體系之身份安全

2020-03-10瀏覽次數(shù):1357

今年是特殊的一年,一次大的疫情,把遠(yuǎn)程辦公推向了一個小的頂峰,一個微盟的安全事件,更是把信息安全推向了輿論的中心。無論是遠(yuǎn)程辦公下的信息安全關(guān)注點,還是類似微盟的信息安全事件,都讓眾多企業(yè)把信息安全的完善作為了2020年的一個重要的工作內(nèi)容。


派拉軟件作為新一代信息安全技術(shù)公司,在遠(yuǎn)程辦公安全或是企業(yè)數(shù)字化轉(zhuǎn)型過程中的安全方面都有著豐富的實戰(zhàn)經(jīng)驗,因此為了更好的幫助企業(yè)做好安全的遠(yuǎn)程辦公和數(shù)字化轉(zhuǎn)型,面向大眾已推出了幾場直播。


直播中的安全話題,引起了眾多企業(yè)的共鳴,紛紛向派拉咨詢。在此過程中,經(jīng)調(diào)研發(fā)現(xiàn),超過80%的企業(yè)已經(jīng)在安全層面做了較多的工作,只是不知道現(xiàn)在是否完善,更希望通過全局進(jìn)行考慮,來發(fā)現(xiàn)自身企業(yè)在信息安全建設(shè)中的不足之處,予以彌補(bǔ)。


其實一個全面的信息安全體系規(guī)劃還是非常龐大的,所以一個全面的、通用的、可落地的方案變的尤其重要,那么有沒有一篇比較全面的安全體系供企業(yè)去參考、分析、對比,找到自己的不足之處呢?


本篇文章就給大家介紹一個全面的、有具體量化指標(biāo)的、可落地的信息安全方案【網(wǎng)絡(luò)安全等級保護(hù)2.0】,并結(jié)合身份管理教大家如何解讀等保2.0,以及解讀后如何推進(jìn)身份管理和其關(guān)注點是什么。




《網(wǎng)絡(luò)安全等級保護(hù)2.0》簡述




2019513日下午,國家市場監(jiān)督管理總局召開新聞發(fā)布會,期待已久的網(wǎng)絡(luò)安全等級保護(hù)2.0(簡稱等保2.0)正式發(fā)布。等保2.02019121日正式實施。


網(wǎng)絡(luò)安全等級保護(hù)為信息系統(tǒng)、云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等定級對象的網(wǎng)絡(luò)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù),幫助用戶提高定級對象的安全防護(hù)能力。此外,《網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定國家實施網(wǎng)絡(luò)安全等級保護(hù)制度


哪些行業(yè)需要開展等級保護(hù)?

政府機(jī)關(guān):各大部委、各省級政府機(jī)關(guān)、各地市級政府機(jī)關(guān)、各事業(yè)單位等;

金融行業(yè):金融監(jiān)管機(jī)構(gòu)、各大銀行、證券、保險公司等;

電信行業(yè):各大電信運營商、各省電信公司、各地市電信公司、各類電信服務(wù)商等;

能源行業(yè):電力公司、石油公司、煙草公司;

企業(yè)單位:大中型企業(yè)、央企、上市公司等;

其它有信息系統(tǒng)定級需求的行業(yè)與單位。


如何定級?

第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。第一級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。


第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對社會秩序和公共利益造成損害,但不損害國家安全。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行指導(dǎo)。


第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查。


第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對國家安全造成嚴(yán)重?fù)p害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。


第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴(yán)重?fù)p害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行專門監(jiān)督、檢查。


安全等級保護(hù)工作有哪些?

網(wǎng)絡(luò)安全等級保護(hù)工作包括定級、備案、安全建設(shè)、等級測評、監(jiān)督檢查。


安全等級保護(hù)中的測評做什么?

評測機(jī)構(gòu)依據(jù)國家網(wǎng)絡(luò)安全等級保護(hù)制度規(guī)定,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對非涉及國家秘密信息系統(tǒng)、平臺或基礎(chǔ)信息網(wǎng)絡(luò)等定級對象安全等級保護(hù)狀況進(jìn)行檢測評估的活動。

主要涉及以下兩方面內(nèi)容:

技術(shù)層面:安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心。

管理層面:安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理。





等保2.0解讀之身份安全




前面我們一起了解了等保2.0,那么如何把里面條款轉(zhuǎn)化為我們所需要的需求和方案呢?本節(jié)就是基于身份安全管理,解讀等保2.0的部分規(guī)定。


條款解讀

身份鑒別

條款:

1. 應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別,身份標(biāo)識具有唯一性,身份鑒別信息具有復(fù)雜度要求并定期更換;


2. 應(yīng)具有登錄失敗處理功能,應(yīng)配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時自動 退出等相關(guān)措施;


3. 當(dāng)進(jìn)行遠(yuǎn)程管理時,應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽;


4. 應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別,且 其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn);


挑戰(zhàn):

身份的唯一性如何保證?

如何強(qiáng)制鑒別信息定期更換?


方案:

建立身份權(quán)威數(shù)據(jù)源,建立身份ID標(biāo)準(zhǔn);

建立單點登錄,通過密碼策略強(qiáng)制更換;

采用SSL加密;

采用多因子認(rèn)證(MFA);

訪問控制

條款:

1. 應(yīng)對登錄的用戶分配賬戶和權(quán)限;


2. 應(yīng)重命名或刪除默認(rèn)賬戶,修改默認(rèn)賬戶的默認(rèn)口令;


3. 應(yīng)及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在;


4. 應(yīng)授予管理用戶所需的最小權(quán)限,實現(xiàn)管理用戶的權(quán)限分離;


5. 應(yīng)由授權(quán)主體配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問;


6. 訪問控制的粒度應(yīng)達(dá)到主體為用戶級或進(jìn)程級,客體為文件、數(shù)據(jù)庫表級;


7. 應(yīng)對重要主體和客體設(shè)置安全標(biāo)記,并控制主體對有安全標(biāo)記信息資源的訪問;


挑戰(zhàn):

1、如何高效分配權(quán)限?

2、理清每個賬號屬于哪個用戶?

3、手工處理的工作量有多大?

4、如何確認(rèn)最小權(quán)限?

5、采用什么控制策略?

6、用戶級的前提是確保用戶身份的準(zhǔn)確性?


方案:

1、建立權(quán)限控制模型

2、通過身份治理,建立賬號和用戶身份的統(tǒng)一視圖

3、清理影子賬號

4、自動化處理

5、權(quán)限全局可視化

6、采用RBAC、ABAC、MAC

7、用戶屬性的準(zhǔn)確和實時同步

8、開發(fā)過程中規(guī)范化

安全審計

條款:

1. 應(yīng)啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進(jìn)行審計;


2. 審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息;


3. 應(yīng)對防止未經(jīng)授權(quán)的中斷。審計記錄進(jìn)行保護(hù),定期備份,避免受到未預(yù)期的刪除、修改或覆蓋等;


4. 應(yīng)對審計進(jìn)程進(jìn)行保護(hù);


挑戰(zhàn):

1、身份信息的唯一性

2、數(shù)字身份可追溯到自然人


方案:

1、身份治理確保身份信息的唯一性

2、建立全面身份審計系統(tǒng)

用戶登錄,成功/失敗

用戶賬號變動,密碼變更

用戶權(quán)限的變動、審批

用戶的操作追蹤


整體方案

綜合以上關(guān)于身份管理的部分條款解讀,我們已經(jīng)可以分析出需要的內(nèi)容:

1、需要實現(xiàn)身份的集中化管理

2、需要實現(xiàn)高強(qiáng)度認(rèn)證和多因素認(rèn)證

3、需要嚴(yán)格進(jìn)行權(quán)限控制

4、需要進(jìn)行安全審計

身份管理平臺功能




身份安全管理平臺推進(jìn)步驟及關(guān)注點



當(dāng)我們通過等保2.0的解讀之后,了解到身份管理平臺,那么實現(xiàn)的步驟是什么樣的呢?有沒有具體的關(guān)注點呢?


推進(jìn)步驟:


一、咨詢梳理

* 梳理身份數(shù)據(jù)

將用戶的所有系統(tǒng)身份全部統(tǒng)一存儲,建立身份權(quán)威數(shù)據(jù)源,統(tǒng)一規(guī)范


* 梳理管控流程

控制所有應(yīng)用系統(tǒng)的賬號,應(yīng)用訪問流程,建立RBAC,建立PBAC,自動化,流程化權(quán)限管控過程


* 梳理技術(shù)標(biāo)準(zhǔn)

建立登錄認(rèn)證標(biāo)準(zhǔn)、賬號管理標(biāo)準(zhǔn),權(quán)限分配和訪問控制標(biāo)準(zhǔn)、以及安全審計標(biāo)準(zhǔn)等方面安全技術(shù)標(biāo)準(zhǔn)


二、平臺搭建

* 尋找安全性高、符合等保要求的身份管理平臺

* 搭建系統(tǒng),完成認(rèn)證、授權(quán)、審計的平臺

* 實施標(biāo)準(zhǔn)、流程和規(guī)范


三、集成階段

* 分批應(yīng)用接入

* 按批次上線


四、持續(xù)優(yōu)化

* 發(fā)揮安全、效率

* 提升用戶體驗

* 發(fā)掘客戶價值



核心關(guān)注點(部分)


1、平臺安全性設(shè)計

由于身份管理平臺是系統(tǒng)的大門入口,那么該平臺本身的安全性設(shè)計就顯得特別重要,我們在選擇平臺時就需要考慮其安全性設(shè)計:


? 數(shù)據(jù)加密:支持多種加密算法SHA256/512、AES256、MD5、國密算法SM2等……加密字段設(shè)置,可指定任一字段屬性進(jìn)行加密存儲;


? 數(shù)據(jù)庫防拖庫/撞庫設(shè)計:數(shù)據(jù)庫集群架構(gòu),實現(xiàn)分庫分表存儲機(jī)制,敏感數(shù)據(jù)加密存儲,防泄漏;


? 身份票據(jù)傳遞加密:基于SSL安全鏈接傳輸tickets,基于OAuth code加密,code為一次性,防止仿冒;

······


2、智能風(fēng)險認(rèn)證

我們按照等保要求需要對系統(tǒng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別,且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)。


但是這樣會給用戶系統(tǒng)登錄帶來極大的繁瑣,反而不利于我們系統(tǒng)的推廣,為了給用戶帶來更好體驗的同時增強(qiáng)安全性,我們可以采用智能風(fēng)險因子認(rèn)證:利用大數(shù)據(jù)技術(shù)和AI算法,以身份數(shù)據(jù)為基礎(chǔ),結(jié)合用戶行為分析、訪問途徑上下文、設(shè)備指紋/FaceID建立風(fēng)險引擎,引入風(fēng)險模型算法,根據(jù)用戶訪問習(xí)慣、特征判別風(fēng)險等級,智能化身份識別驗證。


3、風(fēng)險審計

在集中安全審計的過程中,審計不僅僅是為了做時候的查詢,更多的時候可以幫我們對于危險訪問行為進(jìn)行預(yù)警。


基于用戶的訪問習(xí)慣,結(jié)合大數(shù)據(jù)技術(shù),在脫離了常用的安全環(huán)境和安全訪問習(xí)慣后,將采用風(fēng)險審計,給予管理員、本人、高級別的領(lǐng)導(dǎo)進(jìn)行提醒,方便采取措施。同時,后期的集中風(fēng)險審計,更有助于分析企業(yè)內(nèi)部的不安全因素,做到提前預(yù)防。