张振峰,来自公安部第三研究所公安部信息安全等级保护评估中心。
大型互联网企业在落实《网络安全法》等保合规的过程中怎么样开展工作。
在《网络安全法》中,有关等级保护相关的具体内容。《网络安全法》的第二十一条是专门针对等级保护提出的。对于网络运营者落实等级保护制度的主要责任进行了明确,从五个方面给出了网络运营者应该履行的义务,在建章立制方面、安全管理方面、主体责任方面应该做到哪些工作、在信息安全防护技术应该做到哪些、在监测预警、日志记录方面应该做到那些、在数据保护、数据备份恢复方面应该做到哪些。最终目的就是保障业务信息安全和业务服务安全。
广大互联网企业在履行了《网络安全法》的义务之后,能给互联网企业带来哪些好处呢?从我的角度来看,落实等级保护制度给广大互联网企业带来的第一个好处就是真正履行了《网络安全法》规定的责任和义务;二是持续提高了互联网企业自身IT资产的安全防护水平;三是向客户证明企业长期以来对服务安全性的承诺以及为遵从国家法律法规所做出的努力;四是为客户(特别是云租户)加速实现自身对信息安全等级保护的合规。
等级保护2.0
等级保护2.0与《网络安全法》同步,等级保护2.0时代发生了很大的变化。前边两个概念很好理解,重点解释一下等级保护对象大扩展、等级保护内容大不同、等级保护体系大升级。
等级保护对象大扩展。在传统的等级保护,也就是1.0时代,大家一说到等级保护对象是什么,就是信息系统。那个时候对信息系统的定义很明确,满足了以下几个功能的系统就称作信息系统,数据的采集生成、数据的处理加工、数据的传输和数据的存储。在新应用、新技术普及的背景下,基础的通信网络、基础的平台、大数据技术相关的系统可能只具备个别的系统功能或者特点,按照原来的定义,没办法划到等保的范围内。我们把对象进行了横向扩展,解决了这个问题。在纵向上,也延伸了信息系统的概念,不单单具有传统的信息系统的概念。同时,我们把云计算、工控、物联网都纳入进来,跟这些相关的都是等级保护对象试用的范围。
等级保护内容的大不同。传统等级保护1.0的内容,定级、备案、建设整改、等级测评、监督检查,这是从第三方测评的角度总结的大家要做的事情。2.0时代,原来的五个保护动作依然是核心,我们把内容又丰满了一些。我们现在把风险评估的方法也纳入到等级保护工作当中,作为安全问题提出的方法。还有安全检测、通报预警、案事件调查、数据保护、灾难备份、应急处置。纳入新的内容并不是提出新的东西,很多内容在原来等级保护的体系框架中都有涉及,单独拎出来是把原来相对离散的要求都串联起来,形成有机的整体。也就是2.0建立了有机整体的防护内容。
等级保护体系的大升级。首当其冲的就是标准体系的扩充。现在是把原由1.0时代几个核心的标准体系整合成一系列的标准,按照不同的领域进行划分。等级保护的基本要求,从单一的标准扩充为具有六个分侧的系列标准,所有信息系统都需要满足的安全要求放在第一分侧,现在叫做通用安全要求。后面是分领域的,把不同领域的具有自身特色的内容单独放在各自的分侧当中。第二分侧是关于云计算安全的,我们会把云计算的内容放在里面。依此类推,现在有六个。当然,我觉得不仅仅有这六个方面,随着领域的扩展,有可能增加新的分侧。比如,现在比较火的AI领域,以后是不是在AI领域提出等级保护的基本要求。如果让我写AI的安全扩展要求,首先要写的前三条一定是阿西莫夫的三大定律,人工智能绝对不能伤害人类,人工智能也不能做危害人类的事,也不能损害人类的利益。
就等级保护核心的五个规定动作讲一讲大型互联网企业应该做什么。
首先是定级,信息系统使用单位,也就是大型互联网企业,从自身的角度出发,对系统的安全性、重要程度进行定级,去公安机关备案。在这个过程中,要根据等级保护相应级别的基本要求、安全标准去进行建设、整改。在建设整改结束以后,需要聘请专业的第三方测评机构进行等级测评。公安机关会在实施的过程中进行监督、检查、指导。
在新技术、新应用快速普及,以及《网络安全法》实施的大背景下,新的内容扩展以后,如果还用原来的等级保护的方式、方法和标准就不太适用。我们也经常在摸索。小平同志经常说的一句话是“摸着石头过河”,很幸运的是我们摸到了一块大石头。2016年,公安部组织了一次网络安全专项。我们对国家某大型互联网企业进行了一次网络安全专项保卫。我是技术组的负责人,在首次活动中受益颇深,也是充分了解了大型互联网企业的特点,经过研究,形成了大型互联网企业专项保卫的工作方案,目前正在草案阶段。
按照这个大型互联网企业的体量,不能说是解剖麻雀,至少应该说是大象,它涉及的领域包括电子商务、互联网金融、云计算等诸多领域,涉及很多新的技术,传统的等级保护不能适用。它的数据中心和物理机房的位置是遍布全国各地的,是不是要到全国各地备案呢?这就给公安机关的监管带来很大问题,也给企业带来很多不便。大型互联网企业最大的特点,它的应用都是敏捷开发、快速迭代,以模块的方式进行部署的技术架构。用到的网络结构扁平化,大量采用云化的技术。在信息系统的定级划分阶段就带来了很大的困扰,云上的系统怎么定级、怎么划分、怎么切割,传统的等保工作就有很大的不适用性。大型互联网企业都会遇到的基于数据流动的轻管控、重监测、快响应的安全防护智能化,这给找到测评对象带来了很大的挑战。
第一个挑战是在定级方面。这是非常典型的传统信息系统的拓扑图,分区分域、纵深防御,从总部到分支都做得很好。在传统的信息系统中,网络架构是业务的变化而变化的,业务发展到哪里、业务有什么样的网络去支撑,我们就去建什么样的网络。这个就新铁路系统,系统的各个功能跟它上面的硬件是紧耦合的状态。比如,铁路系统的客运能力要到哪里,铁路就修到哪里。反过来,网络架构一旦搭好了,再调整业务就比较困难。在传统企业定级的时候,在直观上,很天然的就会想到以物理设备作为边界去划分信息系统的边界。这是传统的做法,也是很有效的。就像在传统的铁路系统中划分不同的路局,每个地方的路局管到的范围是很明确的。
到了互联网模式,网络系统扁平化、云化。大型互联网的基础架构是松耦合的,它的业务和基础设施不是完全对应的,看不到业务的特点。划分信息系统的时候不能以硬件的边界进行划分。我把它比作航空运输。大家可以想象一下,把全国的机场想象为一个大的资源池,每一个机场就是这个资源池中的一个硬件的宿主机或者是物理设备。在这个硬件的资源池上跑了很多业务,我可以把航空公司申请的航线比作业务,我有什么样的航线,我就有什么样的业务。我今天可以从A地直接到B地,根据我的业务需求进行调整,到了后天可能就是经由C地再到B地,这样的业务调整是很灵活的。每一架飞机可以比喻成云上承载的数据。机库和泊位就是航空公司租用的虚拟机。这个基础架构里连通的线路就是空域当中的航道。增加服务内容、增加业务,只要基础设施满足、容量满足,机场的吞吐量达到要求,航路能够满足航线的要求,你就可以不断的增加资源。这种情况下,硬件和业务是松耦合的状态。
怎么定级呢?我提出了两种场景。第一种场景是下面的基础支撑平台和上面跑的业务应用系统是完全不能对应的。这个图上有两个定级系统,定级系统A和定级系统B。我们需要进一步梳理主要业务应用模块的相关逻辑,我们梳理出了三个业务应用,好比是三条航线。A航线是属于定级系统A,就是A航空公司。2和3是属于B航空公司。C是机场。我原来遇到很多大型的互联网公司找我们做定级的交流。他们第一次拿过来定级的方案,很多都是不管上面的业务应用系统跑的是什么,他们只管下面,按照传统的方法去做。根据硬件物理的分割去定级。比如,他们会把整个云划成三块,存储资源池、计算资源池、网络资源池,上面跑的很多业务应用并没有体现出来。每种业务应用系统都要使用到硬件支撑平台的时候,不把基础支撑平台放在业务逻辑的系统里,都是单独定级的。
在场景2,下面的资源池的某一部分是对应到上面具体的某些应用系统或者定级系统的。这种情况下,就像切蛋糕一样,把它一刀切到底就可以。
总而言之,这两种情况都要避免一种现象,就是你在切蛋糕的时候,不要把上面的奶油和水果扔掉,只切下面的蛋糕。原来传统的做法就很容易造成这种情况,要尽量避免不管上面的业务应用。
定级分析还有几个注意事项。分开定级,承载的业务系统要进行保护的时候,重要程度和平台之间是有对应关系的。也就是平台的等级不能低于上面所承载的业务应用系统的最高级。比如,平台上面跑了二级系统、三级系统,平台最低也要定级为三级系统。未来上了四级系统,平台就是四级系统。
未来国家关键基础设施出台以后,有很多重要的云平台会纳入关键基础设施。在新的定级指南里面也明确指出了纳入关键基础设施的云平台,最低不能低于三级。
分开定级,特别是对于云上的系统来说,平台和租户的业务系统要分开定级。对于大型的云平台来说,它的辅助系统,像运维系统和运营系统,同样需要单独定级。
大型互联网企业等保合规中的备案。传统互联网企业的备案很简单,基础设施、运维地点、工程注册地都是一致的。备案地点很好确定,之前的备案指导原则也很明确,全国联网的系统到哪儿备案,跨省的怎么样备案。
对于大型互联网企业来说,它的基础设施遍布全国各地,它的运维地点和工商注册地不一样。这就给我们带来了很多问题。经过专项以后,我们也明确了几个原则,云服务提供商是负责将云计算平台的定级结果向所辖公安机关进行备案,备案地应该为运维管理端所在地。对于云租户来讲,是负责云租户的业务应用系统的定级备案,备案地应该是云租户的工商所在地,或者是实际经营所在地。虽然云的系统是放在阿里上,或者是华为上,你的公司注册在哪里、经营范围在哪里,你就去那里备案。
大型互联网应该关注的建设整改的内容。新的云的标准出台以后,大家就能够看到了,这实际是云计算标准的附录D的内容,我们关注的具体保护对象的变化。对于测评来讲,解决测评对象的变化。因为实现了云化,带来了很多新的保护对象,像虚拟机、虚拟网络设备、虚拟安全设备、镜像和快照等等内容都是有别于传统的。大家在做安全防护的时候,一定要注意这块内容不要落下。
在建设整改的时候,我建议大型互联网企业要从几个方面努力,对于尽快合规还是有帮助的。首先是关注身份认证、用户授权、访问控制、安全审计。我们简单的梳理了一下,新的标准,包括原来安全通用要求的内容,满足了这4A,一大半的合规要求都满足了,它是基础。还要侧重动态监测预警和快速响应能力的建设。这是大型互联网自身的优势,应该充分发挥出来。对于云上的云安全服务,或者云安全服务产品合规的问题。传统上等保的要求,网络安全产品要进行销售许可,对安全功能进行检测。上了云以后,很多传统的安全产品不再用了,云服务商,或者是大型互联网企业自己去造车、自己造轮子,这个时候就带来了问题,你的车、你的轮子是不是安全。在传统情况下,车在出厂之前是做过检测的,我们只需要关注驾驶安全就可以了。在新技术背景下,大型互联网企业应该关注云安全产品合规的问题。
重点是落在了保障业务数据安全和用户数据隐私保护。相信这是在座各位的命脉,大型互联网企业一定要聚焦到最后这一点。
大型互联网企业虽然不是等级测评的主要实施者,但它是重要的参与者。大型互联网企业,无论是自测,还是在测评当中给第三方测评机构展示你的安全能力,这些都是需要关注的。首先是业务应用系统,对云租户测评时,首先关注基础支撑平台是否已经被测评。如果没有被测评,就无法开展云租户的业务应用系统的测评;对云租户系统打分的时候,云平台的安全得分是非常重要的。平台的得分会反过来影响云租户业务应用系统的得分。比如,有一个云平台的得分是100分,上面跑的业务应用系统是90分,按照木桶原理,我们给出的得分原则就是取低,是90分。如果你的平台做得很差,只有60分,无论上面跑的业务应用系统,或者是云租户的业务应用系统的得分有多高,最终的得分都会被拉下来。
在安全建设当中用到的标准,现在我们引入了一系列的标准。作为大型互联网企业,安全通用部分肯定是绕不过去的。如果用了云化的结构,云安全扩展要求也应该关注。如果云上面又有了移动互联技术的内容,移动互联的要求也需要关注。还有大数据云的内容,在大数据安全方面也有要求。几个标准共同作用以后,形成了一个完整的保护工作。
因为我主持编制了云安全的扩展要求,大型互联网企业也都关注这个工作。我也介绍一下这个标准怎么使用。
在4月份武汉的标准会议周上已经推送为送审稿。这个标准有几个特点:一是新增基本要求的第2部分云计算安全扩展要求(GB/T22239.2),作为第1部分安全通用要求(GB/T22239.1)在云计算安全领域的补充。这个标准没有在具体的结构上划分IaaS、PaaS、SaaS。跟传统的等级保护还是有继承关系的。我会在附录里介绍在不同的部署模式下,大家关心的内容是在哪儿。这个标准也不是单单对云服务商提的要求,在云平台侧和云租户一侧都有相关要求。大型互联网企业的云平台上的租户在做合规的时候也可能参考这个要求。
增加、扩展、继承是什么含义呢?比如,在物理和环境安全里的物理位置选择控制点,云安全扩展要求相对于安全通用要求,在第一级有增加,在第二级、第三级、第四级有扩展。有增加的意思是在物理位置选择在安全通用要求的第一级不做具体要求,而云是有要求的,要求云的基础设施一定要在中国境内。扩展是指安全通用要求已经有相关的要求了,我会在这个基础上做更多的补充。继承是指不再提新增加的内容,跟安全通用要求保持一致。
标准从2015年就开始着手研究准备,最新的是在武汉会议周上推进为送审稿。
最后谈一谈对未来的展望。我们希望未来依托等级保护国家工程实验室,建立一个全国云上的等保合规平台,囊括云上等级保护的相关参与方,方便各方尽快合规,降低用户的合规成本。对于云服务商,可以提供一些相关的接口、API。主要用户就是两个方面,一个是测评机构,更多的用户是大型互联网企业自身的用户,使用这样一个平台,可以降低他们自身合规的难度、节省成本。对于公安部等级保护监管来讲,及时掌握云上系统的安全态势。