等保2.0來了。
2019年5月13日,國家市場監督管理總局、國家標準化管理委員會召開新聞發佈會,等保2.0相關的《信息安全技術網絡安全等級保護基本要求》、《信息安全技術網絡安全等級保護測評要求》、《信息安全技術網絡安全等級保護安全設計技術要求》等國家標準正式發佈,它們都將於2019年12月1日正式實施。
等保1.0發佈於2007年,它使很多企事業單位的安全意識普遍得到增強,爲各類信息安全產品提供了廣泛的應用空間。十多年時間過去了,相較等保1.0,新修訂的等保2.0變化體現在五個方面,分別是體系框架和保障思路的變化、定級對象的變化、測評的變化、等保要求的組合變化和控制點和要求項的變化。
可以說,等保2.0更加註重全方位主動防禦、安全可信、動態感知和全面審計,實現了對傳統信息系統、基礎信息網絡、雲計算、大數據、物聯網、移動互聯和工業控制信息系統等保護對象的全覆蓋,體現了“一箇中心三重防禦“的思想——一箇中心指“安全管理中心”,三重防禦指“安全計算環境、安全區域邊界、安全網絡通信”。
“在網絡安全領域,新修訂的《信息安全技術網絡安全等級保護基本要求》等系列國家標準,可有效指導網絡運營者、網絡安全企業、網絡安全服務機構開展網絡安全等級保護安全技術方案的設計和實施,指導測評機構更加規範化和標準化地開展等級測評工作,進而全面提升網絡運營者的網絡安全防護能力。”國家市場監管總局標準技術管理司副司長陳洪俊指出。
接下來我們分別就從移動開發者、網絡安全角度進行解讀。本篇是系列解讀的第一話。
一、移動應用開發者需要注意什麼嗎?
從產業來看,等保2.0中對雲計算、移動互聯安全、物聯網安全、工業控制系統安全等擴展提出了要求。其中,對移動互聯網擴展的要求實際指的是移動設備安全,屬於移動設備廠商的職責範圍。
那有沒有和移動開發者相關的?有!等保2.0裏對安全通信進行了規定:
6.1.2 安全通信網絡
6.1.2.1 通信傳輸
應採用校驗技術保證通信過程中數據的完整性。網易易盾移動安全資深工程師侯海飛指出,這實際上要求移動開發者要做到通信的完整性和保密性,即保證在網絡通信過程中,保證通信內容的完整和保密性,不會被僞造,以及明文數據不被第三方獲取。
那如何做呢?“常見的需要使用SSL協議傳輸數據,自帶數據傳輸層加密。”不過侯海飛也指出:“由於僅用SSL協議,無法從根本上杜絕抓包和數據僞造,一般還需要數據加密的配合。”
常見做法:在客戶端和服務器分別嵌入數據加密SDK,傳輸的數據在客戶端進行加密後開始傳輸,服務器端進行解密……反之亦可實現。這樣就能保證通道中傳輸的數據爲高強度加密後的數據,確保在網絡通信過程中,通信內容的完整和保密性。
侯海飛表示,網易易盾安全組件服務就可以滿足移動開發者對安全通信的需求,它在APP和服務端嵌入SDK,在通信層對通信數據進行加密保護,防止***者竊取通信數據。
不僅如此,網易易盾的安全組件還爲移動應用提供以下SDK,解決移動開發者的煩惱,助力移動應用合規:
安全存儲SDK:通過動態密鑰、白盒加密技術對應用數據進行加密存儲,保護本地隱私數據不被竊取設備指紋SDK:採集設備軟件、硬件等多層次信息生成可識別的唯一ID,爲入網設備提供虛擬“×××”安全鍵盤SDK:爲用戶在輸入關鍵信息時提供安全防護,阻止***利用網絡監聽、***病毒等手段竊取數據防界面劫持SDK:實時捕獲惡意程序的***行爲,提醒用戶安全風險,有效降低移動應用敏感信息被竊取風險手遊保護SDK:實時監控常見外掛,如加速器、修改器、模擬器等用戶數據,精確識別,提高遊戲運營效率SDK加固:包括iOS - OC/C/C++加固、Android - JAR包加固、Android - AAR包加固和Android - SO文件加固。Android和iOS應用加固:網易易盾的加固擁有ISO27001、CSA-STAR國際權威標準認證,安全合規雙重保障,並具有高安全性、高兼容性、高穩定性、極速便捷和靈活定製等優點。二、解讀安全測評和安全通用要求
等保2.0中,對網絡安全的要求非常多,今天拎兩個層面說說。
第一部分:安全測評
在等保2.0標準第八章節中:
8.1.10.5漏洞和風險管理
b) 應定期開展安全測評,形成安全測評報告,採取措施應對發現的安全問題。
8.1.9.4 自行軟件開發
e) 應保證在軟件開發過程中對安全性進行測試,在軟件安裝前對可能存在的惡意代碼進行檢測;這兩條要求廠商在產品不同階段應進行安全測評,並依據SDL流程,把安全貫徹在產品整個研發生命週期。網易易盾網絡安全工程師尹紅梅表示,信息安全測評對信息安全模塊、產品或信息系統的安全性進行驗證、測試、評價,通過這些手段規範它們的安全特性。
“通過驗證、測試、評估信息模塊/產品/系統的各種關鍵安全功能、性能以及運維使用情況,發現模塊、產品或者系統在設計、研發、生產、集成、建設、運維、應用過程中存在的信息安全問題。鑑定產品質量,監控系統行爲,警示安全風險,保障網絡與信息安全。”
她說,對測評對象所採取的安全防護、安全檢測、安全反應及安全恢復措施等安全保障的各個方面,應採用系統安全工程方法,遵循特定的程序和模式,實施一整套結構化的測試、評估技術,以完成對系統所提供的安全保障有效性的驗證。
尹紅梅指出,這通常需要採取包括黑盒、白盒、灰盒、靜態、動態、模糊等測試方法,對系統進行脆弱性評估,進行漏洞和風險管理,採用科學的安全保障體系模型,形成完整、動態的安全閉環。
第二部分:安全通用要求
等保2.0標準中,在三級系統8.1安全通用要求中,有以下幾條值得關注:
8.1.2.2 通信傳輸
本項要求包括:
a) 應採用校驗技術或密碼技術保證通信過程中數據的完整性; b) 應採用密碼技術保證通信過程中數據的保密性。
8.1.3.1邊界防護
本項要求包括:
a) 應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信; b) 應能夠對非授權設備私自聯到內部網絡的行爲進行檢查或限制;
c) 應能夠對內部用戶非授權聯到外部網絡的行爲進行檢查或限制;
d) 應限制無線網絡的使用,保證無線網絡通過受控的邊界設備接入內部網絡。
8.1.3.3***防範
本項要求包括:
a) 應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡***行爲;
b) 應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡***行爲;
c) 應採取技術措施對網絡行爲進行分析,實現對網絡***特別是新型網絡***行爲的分析;
d) 當檢測到***行爲時,記錄***源 IP、***類型、***目標、***時間,在發生嚴重***事
件時應提供報警。
8.1.3.4惡意代碼防範
本項要求包括:
a) 應在關鍵網絡節點處對惡意代碼進行檢測和清除,並維護惡意代碼防護機制的升級和更新; b) 應在關鍵網絡節點處對垃圾郵件進行檢測和防護,並維護垃圾郵件防護機制的升級和更新。
8.1.3.5安全審計
本項要求包括:
a) 應在網絡邊界、重要網絡節點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行爲和重要
安全事件進行審計;
b) 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;
c) 應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;
d) 應能對遠程訪問的用戶行爲、訪問互聯網的用戶行爲等單獨進行行爲審計和數據分析。
8.1.4.11個人信息保護
本項要求包括:
a) 應在網絡邊界、重要網絡節點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行爲和重要
安全事件進行審計;
b) 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;
c) 應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;
d) 應能對遠程訪問的用戶行爲、訪問互聯網的用戶行爲等單獨進行行爲審計和數據分析。
8.1.5.4集中管控
本項要求包括:
a) 應劃分出特定的管理區域,對分佈在網絡中的安全設備或安全組件進行管控;
b) 應能夠建立一條安全的信息傳輸路徑,對網絡中的安全設備或安全組件進行管理;
c) 應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測;
d) 應對分散在各個設備上的審計數據進行收集彙總和集中分析,並保證審計記錄的留存時間符
合法律法規要求;
e) 應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理;
f) 應能對網絡中發生的各類安全事件進行識別、報警和分析。
8.1.10.5 漏洞和風險管理
本項要求包括:
a) 應採取必要的措施識別安全漏洞和隱患,對發現的安全漏洞和隱患及時進行修補或評估可能的
影響後進行修補;
b) 應定期開展安全測評,形成安全測評報告,採取措施應對發現的安全問題。以上等多處新增了部分管控標準,包括對信息的完整性保護,對惡意代碼及垃圾郵件的檢測和防護、對安全審計的強化要求、強化個人信息保護,建立安全管理中心集中管控,同時在標準中關於安全要求與相應的法律法規(《網絡安全法》)相對應,強化其合法性。
網易易盾網絡安全工程師尹紅梅認爲,這也就要求等級保護對象需要做到:
-
根據服務器角色和重要性,對網絡進行安全域劃分,
-
在內外網的安全域邊界設置防火牆;設置訪問控制策略,並要求顆粒度到端口級別;
-
在網絡邊界處應當部署***防範手段,例如HIDS/WAF等防禦,並記錄***行爲;
-
通過諸如堡壘機等,對網絡中的用戶行爲日誌和安全事件信息進行記錄和審計,同時避免賬號共享。PS:記錄和審計運維操作行爲是最基本的安全要求
-
通過建立統一的管理中心,對安全設備、網絡設備和服務等進行集中管理。
- 在應用數據安全方面,需要考慮數據的完整性與保密性,加密是必要且常用手段。
7.應對系統定期進行安全***、風險評估,進行漏洞和風險管理,採用科學的安全保障體系模型,形成完整、動態的安全閉環。
尹紅梅建議,這部分用戶可以使用網易易盾DDoS高防服務和***測試服務。她介紹,網易易盾DDoS高防技術,擁有2T超大防護帶寬,優質海外BGP節點,內嵌Web應用防火牆,能多重防護保障業務穩定運行。
網易易盾的***測試服務包括:APP***測試和Web***測試。“前者能以***者視角,模擬******過程,對APP(Android、iOS)客戶端以及對應的服務端進行深入探測,找出應用系統中存在的缺陷和漏洞,及早發現,及早預防。後者能提供專業個性化Web應用***測試,專家團隊幫助客戶挖掘Web應用中存在的SQL注入漏洞、網頁篡改/掛馬等安全風險,根據系統風險提供專家建議,及時修復漏洞,規避風險。”