《腾讯安全:等保2.0体系互联网合规实践白皮书(111页).pdf》由会员分享,可在线阅读,更多相关《腾讯安全:等保2.0体系互联网合规实践白皮书(111页).pdf(111页珍藏版)》请在三个皮匠报告上搜索。
1、 1 版权声明 本白皮书版权属于白皮书编制组,并受法律保护。转载、摘编或利用任何 其他方式使用白皮书文字或观点的, 均应注明“来源: 等保 2.0 体系互联网合 规实践白皮书编制组”。违反以上声明者,编制组将保留追究其相关法律责 任 的权利。 编制人员 刘羽、张益、洪跃腾、黄超、郭铁涛、郑兴、华珊珊、耿琛、肖煜、姬生 利、孙少波、霍珊珊、刘健、王余、练美玲、王婷、李光辉、彭成锋、刘志高、 刘泽美、谢旭、朱思霖。 特别感谢 腾讯安全平台部、腾讯安全管理部、腾讯安全云鼎实验室、腾讯桌面安全 产品部、腾讯产业安全运营部、腾讯云安全合规部、中国电子科技集团公司第 十五研究所、深圳市网安计算机安全检测技
2、术有限公司。 2 目录 版权声明 . 1 编制人员 . 1 特别感谢 . 1 1 前言 . 6 2 等级保护 2.0 技术合规要求分析和实践 . 8 2.1 可信计算合规 . 8 2.2 密码技术合规 . 14 2.2.1 等保 2.0 对密码技术的要求. 15 2.2.2 等保 2.0 如何使用密码技术. 19 2.2.3 腾讯实践. 21 2.3 操作系统镜像等保合规 . 28 2.3.1 腾讯云操作系统等保合规实践 . 30 2.3.2 对操作系统等保合规实践的建议 . 32 2.4 IPv6 网络安全合规实践 . 33 2.4.1 来自 IoT+5G+IPv6 新趋势下的安全算力需求
3、. 33 2.4.2 来自腾讯自身海量业务+全球规模的计算压力实践 . 33 2.5 安全管理中心应用合规 . 37 2.5.1 安全运营中心体系建设. 38 2.5.2 安全运营中心功能与架构 . 39 2.6 个人信息保护 . 40 3 2.6.1 等级保护 2.0 个人信息保护要求 . 41 2.6.2 企业如何做到个人信息合规 . 43 3 等级保护 2.0 安全管理合规要求分析 . 46 3.1 安全管理制度 . 46 安全策略 . 46 管理制度 . 52 制定和发布、评审和修订 . 53 3.2 安全管理机构 . 54 岗位设置 . 54 人员配备 . 55 授权与审批 . 55
4、 沟通与合作 . 56 审核与检查 . 56 3.3 安全管理人员 . 56 人员录用(入职前) . 56 安全意识教育和培训(入职后) . 57 人员离岗(离职) . 58 外部人员访问管理 . 59 3.4 安全建设管理 . 59 安全方案设计 . 60 产品采购和使用 . 61 4 自行软件开发 . 62 外包开发、实施、验收、交付 . 63 服务供应商选择 . 67 3.5 安全运维管理 . 67 环境管理 . 68 资产管理 . 68 介质管理 . 69 设备维护管理 . 69 漏洞和风险管理 . 70 网络和系统安全管理 . 71 恶意代码防范管理 . 72 备份与恢复管理 . 7
5、3 安全事件处置、应急预案管理 . 73 外包运维管理 . 76 3.6 IPv6 合规 . 77 三个主要目标 . 79 技术合规 . 82 网络安全合规 . 83 新安全问题 . 87 3.7 安全建设管理安全通用要求部分责任边界举例 . 92 4 腾讯等级保护 2.0 合规体系建设和腾讯云等级保护解决方案实践 . 103 5 4.1 集团等级保护合规体系建设概述 . 103 4.2 腾讯云基于等级保护的云安全合规体系建设 . 104 4.3 腾讯云等级保护 2.0 解决方案实践 . 105 4.3.1 等级保护测评全流程工作分解 . 106 4.3.2 全生命周期等级保护建设方法论 .
6、108 6 1 前言 2019 年 5 月 13 日,网络安全等级保护制度 2.0(简称等保 2.0)三大核 心标准( 基本要求 、 测评要求和设计要求 )正式发布,并于 2019 年 12 月 1 日开始实施。随着等保 2.0 标准的陆续发布与实施,中国特色社会主 义建设全面深入推进, 5G、人工智能、云计算、物联网、工业互联网、大数据 等新技术新应用的兴起,以及关键信息基础设施安全保护、个人信息保护和数 据安全等工作不断强化,对网络安全工作提出了更高的要求。如何让业务能够 安全合规的运营成为网络运营者的关键需求。 等保 2.0 标准具有以下特点:第一,基本要求、测评要求和技术要求框架 统一
7、,采用安全管理中心支持下的三重防护结构框架;通用安全要求+新型应 用安全扩展要求,将云计算、移动互联、物联网、工业控制等列入标准规范。 其中云计算扩展要求作为重点内容被第一个单独列出来。 此次规范的发布将等保从推荐行提升到强行性标准的层面。 等保 1.0 的最 高国家政策是国务院 147 号令,而等保 2.0 标准的最高国家政策是网络安全 法,其中中华人民共和国网络安全法第二十一条要求,国家实施网络安全 等级保护制度; 第二十五条要求, 网络运营者应当制定网络安全事件应急预案; 第三十一条则要求,关键基础设施,在网络安全等级保护制度的基础上,实行 重点保护; 第五十九条规定的网络安全保护义务的
8、, 由有关主管部门给予处罚。 因此不开展等级保护等于违法。 借此,腾讯公司、中国电子科技集团公司第十五研究所(信息产业信息安 全测评中心) 、 深圳市网安计算机安全检测技术有限公司联合编制了 等保 2.0 7 体系互联网合规实践白皮书 (简称“白皮书” ) ,将对等保 2.0 的理解和实践 分享给用户和业界,以求相互学习,相互借鉴,共同推动各行业等级保护领域 的发展与知识共享。 8 2 等级保护 2.0 技术合规要求分析和实践 2.1 可信计算合规 等级保护 2.0 中,其中一个很重的要求变化,就是已经由被动防御转变为 主动防御、动态防御。而作为应对的重要安全措施之一,就是需要通过不断强 化网
9、络安全分析能力、未知威胁的检测能力实现安全防护要求,而可信计算就 是其中一个实现的落地措施和方案。 等级保护 2.0 也是充分采用“一个中心三重防护” 的理念, 一个中心指“安 全管理中心”, 三重防护指“安全计算环境、 安全区域边界、 安全网络通信”, 在落实层面也是强化了可信计算安全技术要求的使用。 通过可信计算技术来实现对系统中应用和配置文件、参数进行验证,保障 系统在可信环境下运行。 网络安全等级保护基本要求中强化了可信计算, 充分体现一个中心、三重防护的理念,部分具体要求变化见下表所示: 级别 要求 一级 可基于可信根对通信设备的系统引导程序、 系统程序等进行可信 验证,并在检测到其
10、可信性受到破坏后进行报警。 二级 可基于可信根对通信设备的系统引导程序、系统程序、重要配置 参数和通信应用程序等进行可信验证, 并在检测到其可信性受到 破坏后进行报警,并将验证结果形成审计记录送至安全管理中 心。 9 三级 可基于可信根对通信设备的系统引导程序、系统程序、重要配置 参数和通信应用程序等进行可信验证, 并在应用程序的关键执行 环节进行动态可信验证,在检测到其可信性受到破坏后进行报 警,并将验证结果形成审。 四级 可基于可信根对通信设备的系统引导程序、系统程序、重要配置 参数和通信应用程序等进行可信验证, 并在应用程序的所有执行 环节进行动态可信验证,在检测到其可信性受到破坏后进行
11、报 警,并将验证结果形成审计记录送至安全管理中心,并进行动态 关联感知。 腾讯实践: 在当前可信计算的应用场景中,目前计算设备的可信化实践中,个人设备 远超出服务器,而腾讯内部实践场景主要面向服务器层面,这在一定程度提高 了可信计算在服务器端应用的门槛和技术难度。 腾讯安全平台部洋葱反入侵团 队、Blade Team 安全研究团队联合相关部门专家,通过一系列研究和不断优 化测试,最终形成了腾讯内部可落地的可信计算实践。这里我们主要简述部分 实践内容,供业界同仁参考。 对于以上等保要求的理解,并结合腾讯实际经验和内部运维场景,在实践 落地中,我们将以上: “通讯设备”的定义理解为:机房内的业务实
12、现、通信、存储的关键 设备,主体即 x86 平台的服务器 10 “重要配置参数和通信应用程序”的定义理解为:服务器上的关键配 置文件与程序 “安全管理中心相关”定义理解为:上述可信验证过程的结果不仅仅 在本地可见,关键是集中上报存档 “并在应用程序的关键执行环节进行动态可信验证”定义理解为:实 现了可孤立自证的运算执行环境(SGX) ,保障执行环节无问题,或进 行多方背靠背计算核对(区块链) “动态关联感知”定义理解为:针对多维度数据、异构数据进行业务 事务级别上的关联,以发现异常。 在腾讯内部可信计算实践中,硬件的可信安全是我们最早关注的领域,也 是此次介绍的重点。腾讯在早期实践过程中,也是
13、遇到了困难和挑战,包括且 不限于: 关键技术缺失: 部分供应商没有适配 BootGuard, 不具备硬件 TCB 的 可信启动; 管理途径缺失:目前货架技术上的可信启动技术均为个人电脑设计, 缺乏服务器大规模管理所需的管理途径,例如 secure boot 的证书管 理、各种安全功能的带外开启关闭; 告警信息不具备上报能力:类似管理途径缺失,现有的货架技术不具 备本地告警能力,更别提远程告警能力; 安全事件记录粒度过粗:TPM 在供应商的实现中仅具备 PCR 值的记 录能力,没有实现事件日志记录,但是即便具备了事件日志记录,记 11 录的信息量依然不足以用于快速判定事件性质 针对以上可信计算上
14、的挑战,腾讯从供应链与自研两方面共同着手发力, 一方面转化等保相关要求传递至供应商形成落地方案, 另一方评估供应商方案 的局限性展开自研安全能力建设,逐一解决形成落地解决技术可行性方案: (1)供应链方案: 推动供应商导入硬件可信根的货架技术 进行 BMC、主板固件定制改造,增加安全特性的管理路径与告警能力 腾讯服务器硬件安全标准,将等保要求与行业先进标准转化吸收 服务器供应安全自测要求,将抽象安全要求转化为落地技术指标 供应链方案局限性: 货架技术风险覆盖有限,更新缓慢 业界提供的 Secure boot、Bootguard 技术由多方分别实施,覆 盖范围衔接过程中易出现纰漏, 一旦出现漏洞
15、, 供应商响应也非常 缓慢,无法快速可控的迭代安全能力,固件安全不能靠他人 供应链攻击 供应链交付的服务器未必符合约定的自测规范,可能的原因有供 应链自身工作失误、 供应链受到三方污染、 物流链路的物理攻击等, 必须有自主可控的手段一定限度上保障供应商的交付质量 (2)自研安全方案 自研方案实现 自主研发的主板固件检测 chipsafe & chipreg,实时细粒度 UEFI 12 固件监控,嵌入服务器交付与投产生命周期,校验相关安全配置有 效性,并申报国家技术发明专利 基于可信执行环境技术保护应用程序关键执行环节,并在腾讯云上 架可信计算解决方案 集成安全管理中心,生成各类安全异常告警,推
16、送至安全责任人, 支持移动办公 (3)方案技术落地 方案挑战与难点 软硬件兼容 引入硬件可信根后,主板固件版本无法回退至引入可信根以前;板 卡固件需补充签名认证,否则无法启动;操作系统的部署、启动链 环境、运行时板卡驱动必须实现全面兼容。 供应维保体系适配 引入各类安全措施后,服务器的生产流程需添加步骤,验收测试环 境需兼容安全措施,维保板卡配件需逐步更新,维保软件需更新淘 汰。 无参考先例 国内外无相关实践参考。 实施方案 腾讯 tlinux 改造 tlinux 启动程序签名、tlinux 内核模块签名、tlinux 安装镜像 ISO 改 13 造、签名证书管理 服务器全生命周期流程改造 O
17、EM 服务器产线兼容性改造、服务器验收流程添加可信验收、操作 系统部署流程兼容性改造、服务器固件管理系统适配、服务器自维保 工具适配等。 长时间、大规模持续测试迭代 验证测试时间超过 6 个月, 软件方案测试机器超过万台, 硬件落地测 试机超过千台。 图 2.1.1 腾讯可信计算落地架构方案 未来,腾讯安全平台部也将继续在可信计算体系建设方面,积极地开展方 案研究、设计与部署应用,并与上游多家供应链厂商的密切合作,力图打造国 14 内首个服务器安全启动成规模部署用例,并借助服务器硬件安全规范,把控厂 商供应链安全水平, 提升公司研发环境与云上业务对于 UEFI Bootkit、 供应链 攻击等
18、底层安全威胁的免疫能力。 此外,腾讯云推出的“星星海”自研服务器由腾讯安全平台部主导进行安 全能力评估建设,目前已具备可信启动的硬件防护能力。 未来,安全平台部 将会持续在这个领域进行相关研发和部署。 2.2 密码技术合规 等保 2.0 标准已经在 2019 年 12 月正式开始实施。等保 2.0 标准中对密 码技术做了明确的要求,密码技术主要出现在三级和四级安全要求中,主要涉 及安全通信网络、 安全计算环境以及安全运维管理等部分内容。 随着 密码法 的颁布和实施,对等级保护对象整体安全保护能力的要求也逐步提高。密码法 中也明确强调了对关键信息基础设施中密码技术的要求。 密码技术是目前世界上公
19、认的保障信息安全最有效、最可靠的核心技术。 密码法的颁布对于等保 2.0 的实施具有进一步的指导意义, 等保 2.0 中定级为 三级和四级的保护对象及系统,大部分也是关系国计民生的关键基础设施,这 些关键基础设施中对密码技术的应用必须严格遵守密码法的规定。 制定和实施 密码法,就是要把密码应用和管理的基本制度及时上升为法律规范,推动构建 以密码技术为核心、多种技术交叉融合的网络空间安全体系。 在等保 2.0 基本要求的附录 B 关于等级保护对象整体安全保护能力的 要求中也提到: “本标准针对较高级别的等级保护对象,使用密码技术、可 15 信技术等,多数安全功能(如身份鉴别、访问控制、数据完整性
20、、数据保密性 等)为了获得更高的强度,均要基于密码技术或可信技术,为了保证等级保护 对象的整体安全防护能力,应建立基于密码技术的统一支撑平台,支持高强度 身份鉴别、访问控制、数据完整性、数据保密性等安全功能的实现。 ”因此, 密码作为网络安全的基因和卫士, 对于较高级别的等级保护对象的安全防护中 起到了不可替代的作用。 2.2.1 等保 2.0 对密码技术的要求 密码(Cryptography,不是口令 Password)是指采用特定变换的方法对 信息等进行加密保护、安全认证的技术、产品和服务。密码可以完整实现网络 空间身份防假冒、信息防泄密、内容防篡改、行为抗抵赖等功能,满足网络与 信息系统
21、对机密性、完整性、真实性和不可否认性等安全需求。因其解决网络 安全问题的有效性,能够在基础信息网络、重要信息系统、重要工业控制系统 等重要领域发挥核心作用。 本章节梳理了等保 2.0 标准下对密码技术、产品和服务的一些要求。 16 安全层面 安全控制点 密码技术相关要求 安全通信网络 通信传输 本项要求中密码技术相关要求包括: a) 应采用密码技术保证通信过程中数 据的完整性; b) 应采用密码技术保证通信过程中数 据的保密性; c) 应在通信前基于密码技术对通信的 双方进行验证或认证; d) 应基于硬件密码模块对重要通信过 程进行密码运算和密钥管理。 安全计算环境 身份鉴别 本项要求中密码技
22、术相关要求包括: c) 当进行远程管理时,应采取必要措施 防止鉴别信息在网络传输过程中被窃 听; d) 应采用口令、密码技术、生物技术等 两种或两种以上组合的鉴别技术对用户 进行身份鉴别,且其中一种鉴别技术至 少应使用密码技术来实现。 数据完整性 本项要求包括: a) 应采用密码技术保证重要数据在传 输过程中的完整性,包括但不限于鉴别 17 安全层面 安全控制点 密码技术相关要求 数据、 重要业务数据、 重要审计数据、 重 要配置数据、重要视频数据和重要个人 信息等; b) 应采用密码技术保证重要数据在存 储过程中的完整性,包括但不限于鉴别 数据、 重要业务数据、 重要审计数据、 重 要配置数
23、据、重要视频数据和重要个人 信息等; c) 在可能涉及法律责任认定的应用中, 应采用密码技术提供数据原发证据和数 据接收证据,实现数据原发行为的抗抵 赖和数据接收行为的抗抵赖。 数据保密性 本项要求包括: a) 应采用密码技术保证重要数据在传 输过程中的保密性,包括但不限于鉴别 数据、重要业务数据和重要个人信息等; b) 应采用密码技术保证重要数据在存 储过程中的保密性,包括但不限于鉴别 数据、重要业务数据和重要个人信息等。 安全管理中心 集中管控 本项要求包括: 18 安全层面 安全控制点 密码技术相关要求 b) 应能够建立一条安全的信息传输路 径,对网络中的安全设备或安全组件进 行管理。
24、安全运维管理 密码管理 应遵循密码相关的国家标准和行业标 准; b) 应使用国家密码管理主管部门认证核 准的密码技术和产品; 云拓展(云服务 商) 镜像和快照 保护 A) 应提供虚拟机镜像、快照完整性校验 功能,防止虚拟机镜像被恶意篡改; B) 应采取密码技术或其他技术手段防止 虚拟机镜像、快照中可能存在的敏感资 源被非法访问。 C) 应使用校验码或密码技术确保虚拟机 迁移过程中重要数据的完整性,并在检 测到完整性受到破坏时采取必要的恢复 措施; D) 应支持云服务客户部署密钥管理解 决方案,保证云服务客户自行实现数据 的加解密过程。 19 2.2.2 等保 2.0 如何使用密码技术 密码技术
25、主要解决四类问题: (1)身份鉴别 身份鉴别侧重于网络用户的身份认证,防范攻击者仿冒用户身份。典型案 例包括网银 U 盾认证、 手机或虚拟机环境中的协同软认证、 公钥基础设施 PKI 体系以及基于 IBC 的信任体系等。 真实性实现的技术方式主要包括: 一是基于 对称密码、公钥密码等密码技术的鉴别机制;二是基于静态口令的鉴别机制; 三是基于动态口令的鉴别机制;四是基于生物特征的鉴别机制(FIDO 在线快 捷身份鉴别) 。 (2)传输通道的通信安全,涉及保密性和完整性 数据传输过程中的通信安全问题, 主要是为了防范中间人对消息的窃听或 篡改。 典型案例包括采用 SSL VPN 或 IPSec V
26、PN 保护商业秘密信息在互联 网安全传输、 采用 HTTPS 保护 Web 应用数据传输安全、 PGP 安全邮件收发、 基于代理重加密的云上数据分发以及企业内文件授权分发等。 (3)存储过程的数据安全 数据存储的安全问题,防范攻击者对终端、服务端(包含应用系统、数据 库或文件服务器等)设备数据非法访问造成的数据泄露。 实现保密性保护的方法一般可分为三类:一是访问控制方法,防止非授权 用户访问敏感信息; 二是信息隐藏的方法, 避免恶意用户发现敏感信息的存在; 三是信息加密的方法,允许敌方观测到信息,但是,无法从得到的数据提炼出 有用户的信息。 加密是数据通信和数据存储中实现保密性保护的一种主要机
27、制。 20 可利用具有商用密码产品型号的服务器密码机、 经过核准的密码服务以及内置 密码模块等对重要数据进行加密保护。 实现完整性保护的方法主要包括:一是:采用消息鉴别码实现完整性。 对称密码算法和杂凑算法都可以用于消息鉴别码生成。二是:采用数字签名 实现完整性。虽然基于对称密码或杂凑算法的完整性保护机制能够确保接收 者接收消息之前的消息完整性,但是不能防止接收者对消息的伪造,基于公 钥密码技术的数字签名不仅可以防止敌手对消息进行篡改,还能防止接收者 对消息进行伪造,实现消息发送行为的不可否认性。实现时,可将重要数据 计算 MAC 消息鉴别码或数字签名,亦可将重要数据发送到服务器密码机等 密码
28、产品进行完整性保护后,再存放至数据库等其他介质。 图 2.2.1 基于 MAC 消息完整性保护过程 21 图 2.2.2 基于数字签名的消息完整性保护流程 (4)使用过程的抗抵赖安全 防护数据在分发过程中被篡改、抵赖或泄漏威胁,防范数据在共享过程中 未授权的二次外发,以及访问控制被绕过后的数据访问失控。典型案例包含公 钥验签技术防护、 电子签章、 金融密押系统防篡改、 数字水印、 同态加密、 TDF 可信数据格式、CASB 实现密码控审一体化的防绕过安全机制等。 不可否认性实现主要包括:基于密码校验的防篡改;基于私钥签名的责任 认定。 2.2.3 腾讯实践 相比等保 1.0,等保 2.0 在密
29、码技术的应用和管理上进行了强化,包括通 信传输、数据存储、身份鉴别、产品采购、使用和密钥管理中均有密码相关的 要求。同时, 中华人民共和国密码法 (以下简称“密码法” )于 2019 年 10 月 26 日通过表决,2020 年 1 月 1 日起正式实施。根据密码法第二十七 22 条明确法律、 行政法规和国家有关规定要求使用商用密码进行保护的关键信息 基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测 机构开展商用密码应用安全性评估。 密评应与关键信息基础设施安全检测评估、 网络安全等级测评制度密码相关要求相衔接。 等保 2.0 与密码法对我国密码技术应用提供了发展推动与规范
30、性指引 的作用,然而国内密码技术应用形势并不乐观。一是应用不广泛,密码行业尚 处于产业规模化发展的初期阶段, 许多企业安全管理及开发人员密码应用意识 相对薄弱。2018 年有关机构对一万余个等保三级及以上的信息系统进行普查 结果显示,超过 75%的系统没有使用密码;二是应用不规范,普查中对第一 批 118 个重要领域的信息系统进行安全性测评发现,不符合规范的比例达到 85%; 三是密码应用不安全, 目前仍大量存在使用被证明不安全的密码算法的 情况。 企业密码技术应用安全性合规建设势在必行,也存在固有的困难与挑战, 包括密码应用合规以及密码方案建设及改造两个层面。 密码技术应用挑战与需求分析 除等保 2.0 的密码应用标准基本要求以外,根据相关法律规范要求,等保 三级系统应自行或者委托商用密码检测机构开展商用密码应用安全性评估。 商用密码应用安全性评估 商用密码应用安全性评估(简称“密评” )是指对采用商用密码技术、产 品和服务集成建设的网络和信