En 400-6655-581
5
返回列表
> 资源中心 > 安全解读 | 等保2.0实战:信息安全体系之身份安全

安全解读 | 等保2.0实战:信息安全体系之身份安全

2020-03-10浏览次数:980

今年是特殊的一年,一次大的疫情,把远程办公推向了一个小的顶峰,一个微盟的安全事件,更是把信息安全推向了舆论的中心。无论是远程办公下的信息安全关注点,还是类似微盟的信息安全事件,都让众多企业把信息安全的完善作为了2020年的一个重要的工作内容。


派拉软件作为新一代信息安全技术公司,在远程办公安全或是企业数字化转型过程中的安全方面都有着丰富的实战经验,因此为了更好的帮助企业做好安全的远程办公和数字化转型,面向大众已推出了几场直播。


直播中的安全话题,引起了众多企业的共鸣,纷纷向派拉咨询。在此过程中,经调研发现,超过80%的企业已经在安全层面做了较多的工作,只是不知道现在是否完善,更希望通过全局进行考虑,来发现自身企业在信息安全建设中的不足之处,予以弥补。


其实一个全面的信息安全体系规划还是非常庞大的,所以一个全面的、通用的、可落地的方案变的尤其重要,那么有没有一篇比较全面的安全体系供企业去参考、分析、对比,找到自己的不足之处呢?


本篇文章就给大家介绍一个全面的、有具体量化指标的、可落地的信息安全方案【网络安全等级保护2.0】,并结合身份管理教大家如何解读等保2.0,以及解读后如何推进身份管理和其关注点是什么。




《网络安全等级保护2.0》简述




2019513日下午,国家市场监督管理总局召开新闻发布会,期待已久的网络安全等级保护2.0(简称等保2.0)正式发布。等保2.02019121日正式实施。


网络安全等级保护为信息系统、云计算、移动互联、物联网、工业控制系统等定级对象的网络安全建设和管理提供系统性、针对性、可行性的指导和服务,帮助用户提高定级对象的安全防护能力。此外,《网络安全法》第二十一条明确规定国家实施网络安全等级保护制度


哪些行业需要开展等级保护?

政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等;

金融行业:金融监管机构、各大银行、证券、保险公司等;

电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等;

能源行业:电力公司、石油公司、烟草公司;

企业单位:大中型企业、央企、上市公司等;

其它有信息系统定级需求的行业与单位。


如何定级?

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。


第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。


第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。


第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。


第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。


安全等级保护工作有哪些?

网络安全等级保护工作包括定级、备案、安全建设、等级测评、监督检查。


安全等级保护中的测评做什么?

评测机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统、平台或基础信息网络等定级对象安全等级保护状况进行检测评估的活动。

主要涉及以下两方面内容:

技术层面:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。

管理层面:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。





等保2.0解读之身份安全




前面我们一起了解了等保2.0,那么如何把里面条款转化为我们所需要的需求和方案呢?本节就是基于身份安全管理,解读等保2.0的部分规定。


条款解读

身份鉴别

条款:

1. 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;


2. 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动 退出等相关措施;


3. 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;


4. 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且 其中一种鉴别技术至少应使用密码技术来实现;


挑战:

身份的唯一性如何保证?

如何强制鉴别信息定期更换?


方案:

建立身份权威数据源,建立身份ID标准;

建立单点登录,通过密码策略强制更换;

采用SSL加密;

采用多因子认证(MFA);

访问控制

条款:

1. 应对登录的用户分配账户和权限;


2. 应重命名或删除默认账户,修改默认账户的默认口令;


3. 应及时删除或停用多余的、过期的账户,避免共享账户的存在;


4. 应授予管理用户所需的最小权限,实现管理用户的权限分离;


5. 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问;


6. 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;


7. 应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问;


挑战:

1、如何高效分配权限?

2、理清每个账号属于哪个用户?

3、手工处理的工作量有多大?

4、如何确认最小权限?

5、采用什么控制策略?

6、用户级的前提是确保用户身份的准确性?


方案:

1、建立权限控制模型

2、通过身份治理,建立账号和用户身份的统一视图

3、清理影子账号

4、自动化处理

5、权限全局可视化

6、采用RBAC、ABAC、MAC

7、用户属性的准确和实时同步

8、开发过程中规范化

安全审计

条款:

1. 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;


2. 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;


3. 应对防止未经授权的中断。审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;


4. 应对审计进程进行保护;


挑战:

1、身份信息的唯一性

2、数字身份可追溯到自然人


方案:

1、身份治理确保身份信息的唯一性

2、建立全面身份审计系统

用户登录,成功/失败

用户账号变动,密码变更

用户权限的变动、审批

用户的操作追踪


整体方案

综合以上关于身份管理的部分条款解读,我们已经可以分析出需要的内容:

1、需要实现身份的集中化管理

2、需要实现高强度认证和多因素认证

3、需要严格进行权限控制

4、需要进行安全审计

身份管理平台功能




身份安全管理平台推进步骤及关注点



当我们通过等保2.0的解读之后,了解到身份管理平台,那么实现的步骤是什么样的呢?有没有具体的关注点呢?


推进步骤:


一、咨询梳理

* 梳理身份数据

将用户的所有系统身份全部统一存储,建立身份权威数据源,统一规范


* 梳理管控流程

控制所有应用系统的账号,应用访问流程,建立RBAC,建立PBAC,自动化,流程化权限管控过程


* 梳理技术标准

建立登录认证标准、账号管理标准,权限分配和访问控制标准、以及安全审计标准等方面安全技术标准


二、平台搭建

* 寻找安全性高、符合等保要求的身份管理平台

* 搭建系统,完成认证、授权、审计的平台

* 实施标准、流程和规范


三、集成阶段

* 分批应用接入

* 按批次上线


四、持续优化

* 发挥安全、效率

* 提升用户体验

* 发掘客户价值



核心关注点(部分)


1、平台安全性设计

由于身份管理平台是系统的大门入口,那么该平台本身的安全性设计就显得特别重要,我们在选择平台时就需要考虑其安全性设计:


? 数据加密:支持多种加密算法SHA256/512、AES256、MD5、国密算法SM2等……加密字段设置,可指定任一字段属性进行加密存储;


? 数据库防拖库/撞库设计:数据库集群架构,实现分库分表存储机制,敏感数据加密存储,防泄漏;


? 身份票据传递加密:基于SSL安全链接传输tickets,基于OAuth code加密,code为一次性,防止仿冒;

······


2、智能风险认证

我们按照等保要求需要对系统采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。


但是这样会给用户系统登录带来极大的繁琐,反而不利于我们系统的推广,为了给用户带来更好体验的同时增强安全性,我们可以采用智能风险因子认证:利用大数据技术和AI算法,以身份数据为基础,结合用户行为分析、访问途径上下文、设备指纹/FaceID建立风险引擎,引入风险模型算法,根据用户访问习惯、特征判别风险等级,智能化身份识别验证。


3、风险审计

在集中安全审计的过程中,审计不仅仅是为了做时候的查询,更多的时候可以帮我们对于危险访问行为进行预警。


基于用户的访问习惯,结合大数据技术,在脱离了常用的安全环境和安全访问习惯后,将采用风险审计,给予管理员、本人、高级别的领导进行提醒,方便采取措施。同时,后期的集中风险审计,更有助于分析企业内部的不安全因素,做到提前预防。