《網絡安全法》實施背景下的大型互聯網企業等保合規研究
0 引言
當前基于自身業務發展的需要,新技術、新應用在大型互聯網企業快速普及。敏捷開發、快速迭代、靈活調整的應用開發模式和服務需求催生系統架構做出重大調整,安全防護體系也隨之變化,保護對象因此也發生變化。《網絡安全法》的實施進一步催生大型互聯網企業在等保合規領域的需求。面對挑戰,如何將等級保護制度與新技術、新應用特點相結合是擺在大型互聯網企業面前的重要問題。本文通過剖析大型互聯網企業的業務應用特點,為大型互聯網企業提出了一個切實可行的等保合規工作方法。
1 落實《網絡安全法》等保制度的意義
關于大型互聯網企業的定義,其實并沒有標準的答案。通俗的理解,大型互聯網企業應該是所在細分領域和市場的佼佼者——市場占有率最高、活躍用戶數最高、交易量和資金量最大,這些都是大型互聯網企業的標志。
大型互聯網企業在落實《網絡安全法》等保合規過程中,應該怎么樣開展工作?
《網絡安全法》的第二十一條是專門針對等級保護提出的。對于網絡運營者落實等級保護制度的主要責任進行了明確,從五個方面給出了網絡運營者應該履行的義務:在建章立制方面、安全管理方面、主體責任方面應做哪些工作;在信息安全防護技術應該做到哪些;在監測預警、日志記錄方面應該做到那些;在數據保護、數據備份恢復方面應該做到哪些。最終目的就是保障業務信息安全和業務服務安全。
互聯網企業在履行了《網絡安全法》義務之后,能給互聯網企業帶來哪些好處呢?
落實等級保護制度給廣大互聯網企業帶來的第一個好處就是真正履行了《網絡安全法》規定的責任和義務;二是持續提高了互聯網企業自身IT資產的安全防護水平;三是向客戶證明企業長期以來對服務安全性的承諾以及為遵從國家法律法規所做出的努力;四是為客戶(特別是云租戶)加速實現自身對信息安全等級保護的合規。
2 《網絡安全法》與等級保護2.0
等級保護2.0時代,安全形勢發生了很大的變化。重點解釋一下等級保護對象的大擴展、等級保護內容的大不同、等級保護體系的大升級。
等級保護對象大擴展。在傳統的等級保護,也就是1.0時代,大家一說到等級保護對象是什么,就是信息系統。那個時候對信息系統的定義很明確,滿足了以下幾個功能的系統就稱作信息系統——數據的采集生成、數據的處理加工、數據的傳輸和數據的存儲。
在新應用、新技術普及的背景下,基礎信息網絡、云計算平臺、大數據技術相關的系統可能只具備個別的系統功能或者特點,按照原來的定義,沒辦法劃進等保的范圍內。我們把對象進行了橫向擴展,解決了這個問題。在縱向上,也延伸了信息系統的概念,不單單具有傳統的信息系統的概念。同時,我們把云計算、工控、物聯網都納入進來,跟這些相關的都是等級保護對象適用的范圍。
等級保護內容的大不同。傳統等級保護1.0的內容,包括定級、備案、建設整改、等級測評、監督檢查。等保2.0時代,原來的五個保護動作依然是核心,我們把內容豐滿了一些。現在把風險評估的方法也納入到等級保護工作當中,作為安全問題提出的方法。還有安全檢測、通報預警、案事件調查、數據保護、災難備份、應急處置。納入新的內容并不是提出新的東西,很多內容在原來等級保護的體系框架中都有涉及,單獨拎出來是把原來相對離散的要求都串聯起來,形成有機的整體。等保2.0建立了有機整體的防護內容。
等級保護體系的大升級。首當其沖的就是標準體系的擴充和完善。
包括:
(1)標準修訂,如《定級指南》、《測評過程指南》等等;
(2)標準擴充:由單一部分擴充為多部分構成的標準;
現在是把原有1.0時代幾個核心的標準,按照不同的領域進行擴充。等級保護的基本要求,從單一的部分擴充為具有六個部分的標準,所有信息系統都需要滿足的安全要求放在通用安全要求中。后面是分領域的,把不同領域、具有自身特色的內容單獨放在各自的部分當中。第二部分是關于云計算安全的,會把云計算的內容放在里面,依此類推。
圖1 新版標準矩陣圖
3 大型互聯網企業如何完成等保五個規定動作
3.1 大型互聯網企業等級保護對象定級
信息系統使用單位——大型互聯網企業,從自身的角度出發,對系統的安全性、重要程度進行定級,去公安機關備案。在這個過程中,要根據等級保護相應級別的基本要求、安全標準去進行建設、整改。在建設整改結束以后,需要聘請專業的第三方測評機構進行等級測評。公安機關會在實施的過程中進行監督、檢查、指導。
在新技術、新應用快速普及,以及《網絡安全法》實施的大背景下,新的內容擴展以后,原來的等保方式、方法和標準就不太適用。2016年,公安部組織,我們前頭實施了某某大型互聯網企業的網絡安全保衛專項,對于云計算環境中的定級、備案、整改、測評和監督等環節進行了探索和嘗試。
按照這個大型互聯網企業的體量,不能說是解剖麻雀,至少應說是大象,它涉及的領域包括電子商務、互聯網金融、云計算等諸多領域,涉及很多新的技術,這都是新的問題。
首先,大型互聯網企業最大的特點,它的應用都是敏捷開發、快速迭代,以模塊的方式進行部署的技術架構。用到的網絡結構扁平化,大量采用云化的技術。在信息系統的定級劃分階段就帶來很大困擾,云上的系統怎么定級、怎么劃分、怎么切割,傳統的等保工作就有很大的不適用性。它的數據中心和物理機房的位置是遍布全國各地的,是不是要到全國各地備案呢?這就給公安機關的監管帶來很大問題,也給企業帶來很多不便。大型互聯網企業都會遇到的基于數據流動的輕管控、重監測、快響應的安全防護智能化,這給找到測評對象帶來了很大的挑戰。
第一個挑戰是在定級方面。典型的傳統信息系統分區分域、縱深防御,從總部到分支都做得很好。在傳統的信息系統中,網絡架構隨業務的變化而變化的,業務發展到哪里、業務有什么樣的網絡去支撐,我們就去建什么樣的網絡。反過來,網絡架構一旦搭好了,再調整業務就比較困難。在傳統企業定級的時候,在直觀上,很天然的就會想到以物理設備作為邊界去劃分信息系統的邊界。這是傳統的做法,也是很有效的。
到了互聯網模式,網絡系統扁平化、云化。大型互聯網的基礎架構是松耦合的,它的業務和基礎設施不是完全對應的,看不到業務的特點。劃分信息系統的時候不能以硬件的邊界進行劃分,有點像航空運輸。大家可以想象一下,把全國機場想象為一個大的資源池,每個機場是這個資源池中的一個硬件的宿主機或物理設備。在這個硬件的資源池上跑了很多業務,如果把航空公司申請的航線比作業務,有什么樣的航線,就有什么樣的業務。今天可以從A地直接到B地,根據業務需求進行調整,到了后天可能就是經由C地再到B地,這樣的業務調整是很靈活的。每一架飛機可以比喻成云上承載的數據。機庫和泊位就是航空公司租用的虛擬機。這個基礎架構里連通的線路就是空域當中的航道。增加服務內容、增加業務,只要基礎設施滿足、容量滿足,機場的吞吐量達到要求,航路能夠滿足航線的要求,你就可以不斷的增加資源。這種情況下,硬件和業務是松耦合的狀態。
怎么定級呢?我提出了兩種場景。第一種場景是下面的基礎支撐平臺和上面的業務應用系統是完全不能對應的。這個圖上有兩個定級系統,定級系統A和定級系統B。我們需要進一步梳理主要業務應用模塊的相關邏輯,我們梳理出了三個業務應用,好比是三條航線。A航線是屬于定級系統A,就是A航空公司。2和3是屬于B航空公司。C是機場。我原來遇到很多大型的互聯網公司找我們做定級的交流。他們第一次拿過來定級的方案,很多都是不管上面的業務應用系統跑的是什么,他們只管下面,按照傳統的方法去做。根據硬件物理的分割去定級。比如,他們會把整個云劃成三塊,存儲資源池、計算資源池、網絡資源池,上面跑的很多業務應用并沒有體現出來。每種業務應用系統都要使用到硬件支撐平臺的時候,不把基礎支撐平臺放在業務邏輯的系統里,都是單獨定級的。
圖2 定級場景1
在場景2,底層基礎硬件的資源池的某一部分是對應到上面具體的某些應用系統或者定級系統的。這種情況下,就像切蛋糕一樣,把它一刀切到底就可以。
圖3 定級場景2
總而言之,這兩種情況都要避免一種現象,就是你在切蛋糕的時候,不要把上面的奶油和水果扔掉,只切下面的蛋糕。原來傳統的做法就很容易造成這種情況,要盡量避免不管上面的業務應用。
定級分析還有幾個注意事項。分開定級,承載的業務系統要進行保護的時候,重要程度和平臺之間是有對應關系的。也就是平臺的等級不能低于上面所承載的業務應用系統的最高級。比如,平臺上面跑了二級系統、三級系統,平臺最低也要定級為三級系統。未來上了四級系統,平臺就是四級系統。
未來國家關鍵基礎設施出臺后,有很多重要的云平臺會納入關鍵基礎設施。在新的定級指南里也明確指出了納入關鍵基礎設施的云平臺,最低不低于三級。
分開定級,特別是對于云上的系統來說,平臺和租戶的業務系統要分開定級。對于大型的云平臺來說,它的輔助系統,像運維和運營系統,同樣需要單獨定級。
3.2 大型互聯網企業等保合規中的備案
傳統互聯網企業的備案很簡單,基礎設施、運維地點、工程注冊地都是一致的。備案地點很好確定,之前的備案指導原則也很明確,全國聯網的系統到哪兒備案,跨省的怎么樣備案。
對于大型互聯網企業來說,它的基礎設施遍布全國各地,它的運維地點和工商注冊地不一樣。這就給我們帶來了很多問題。經過專項以后,我們也明確了幾個原則,云服務提供商是負責將云計算平臺的定級結果向所轄公安機關進行備案,備案地應該為運維管理端所在地。對于云租戶來講,是負責云租戶的業務應用系統的定級備案,備案地應是云租戶的工商所在地,或實際經營所在地。雖然云的系統是放在阿里或是華為上,你的公司注冊在哪里、經營范圍在哪里,你就去那里備案。
3.3 大型互聯網應關注的建設整改內容
新的云標準出臺以后,大家就能看到了,這實際是云計算標準的附錄D的內容,我們關注的具體保護對象的變化。對于測評來講,解決測評對象的變化。因為實現了云化,帶來了很多新的保護對象——像虛擬機、虛擬網絡設備、虛擬安全設備、鏡像和快照等等內容都是有別于傳統的。大家在做安全防護的時候,一定要注意這塊內容不要落下。
在建設整改的時候,我建議大型互聯網企業要從幾個方面努力,對盡快合規還是有幫助的。首先是關注身份認證、用戶授權、訪問控制、安全審計。我們簡單的梳理了一下,新的標準,包括原來安全通用要求的內容,滿足了這4A,一大半的合規要求都滿足了,這是基礎。還要側重動態監測預警和快速響應能力的建設。這是大型互聯網自身的優勢,應該充分發揮出來。對于云上的云安全服務,或云安全服務產品的合規問題。傳統上等保的要求,網絡安全產品要進行銷售許可,對安全功能進行檢測。上了云以后,很多傳統的安全產品不再用了,云服務商或大型互聯網企業自己去造車、自己造輪子,這個時候就帶來了問題,你的車、你的輪子是不是安全?在傳統情況下,車在出廠之前是做過檢測的,我們只需要關注駕駛安全就可以了。在新技術背景下,大型互聯網企業應該關注云安全產品合規的問題。
重點是落在了保障業務數據安全和用戶數據隱私保護。相信這是互聯網公司的命脈,大型互聯網企業一定要聚焦到最后這一點。
3.4大型互聯網企業等保合規過程中的等級測評
大型互聯網企業雖然不是等級測評的主要實施者,但它是重要的參與者。大型互聯網企業,無論是自測,還是在測評當中給第三方測評機構展示安全能力,這些都是需要關注的。首先是業務應用系統,對云租戶測評時,首先關注基礎支撐平臺是否已經被測評。如果沒有被測評,就無法開展云租戶的業務應用系統的測評;對云租戶系統打分的時候,云平臺的安全得分是非常重要的。平臺的得分會反過來影響云租戶業務應用系統的得分。比如,云平臺的得分是100分,上面跑的業務應用系統是90分,按照木桶原理,得分原則就是取低,我們給出的是90分。
在安全建設當中用到的標準,現在引入了細分領域的標準部分。作為大型互聯網企業,安全通用部分肯定是繞不過去的。如果用了云化結構,云安全擴展要求也應該關注。如果云上面又有了移動互聯技術的內容,移動互聯的要求也需關注。有大數據云的內容,在大數據安全方面也有要求。幾個標準共同作用以后,形成了一個完整的保護工作。因為我主持編制了云安全的擴展要求,大型互聯網企業也都關注這個工作。
4 結束語
大型互聯網企業在國計民生中發揮著重大作用,落實等保合規意義重大。大型互聯網企業落實等級保護制度是真正履行了《網絡安全法》規定的責任和義務。同時持續提高了互聯網企業自身IT資產的安全防護水平,也向客戶證明企業長期以來對服務安全性的承諾以及為遵從國家法律法規所做出的努力,為客戶(特別是云租戶)加速實現自身對信息安全等級保護的合規有深遠影響。
