《网络安全法》实施背景下的大型互联网企业等保合规研究
0 引言
当前基于自身业务发展的需要,新技术、新应用在大型互联网企业快速普及。敏捷开发、快速迭代、灵活调整的应用开发模式和服务需求催生系统架构做出重大调整,安全防护体系也随之变化,保护对象因此也发生变化。《网络安全法》的实施进一步催生大型互联网企业在等保合规领域的需求。面对挑战,如何将等级保护制度与新技术、新应用特点相结合是摆在大型互联网企业面前的重要问题。本文通过剖析大型互联网企业的业务应用特点,为大型互联网企业提出了一个切实可行的等保合规工作方法。
1 落实《网络安全法》等保制度的意义
关于大型互联网企业的定义,其实并没有标准的答案。通俗的理解,大型互联网企业应该是所在细分领域和市场的佼佼者——市场占有率最高、活跃用户数最高、交易量和资金量最大,这些都是大型互联网企业的标志。
大型互联网企业在落实《网络安全法》等保合规过程中,应该怎么样开展工作?
《网络安全法》的第二十一条是专门针对等级保护提出的。对于网络运营者落实等级保护制度的主要责任进行了明确,从五个方面给出了网络运营者应该履行的义务:在建章立制方面、安全管理方面、主体责任方面应做哪些工作;在信息安全防护技术应该做到哪些;在监测预警、日志记录方面应该做到那些;在数据保护、数据备份恢复方面应该做到哪些。最终目的就是保障业务信息安全和业务服务安全。
互联网企业在履行了《网络安全法》义务之后,能给互联网企业带来哪些好处呢?
落实等级保护制度给广大互联网企业带来的第一个好处就是真正履行了《网络安全法》规定的责任和义务;二是持续提高了互联网企业自身IT资产的安全防护水平;三是向客户证明企业长期以来对服务安全性的承诺以及为遵从国家法律法规所做出的努力;四是为客户(特别是云租户)加速实现自身对信息安全等级保护的合规。
2 《网络安全法》与等级保护2.0
等级保护2.0时代,安全形势发生了很大的变化。重点解释一下等级保护对象的大扩展、等级保护内容的大不同、等级保护体系的大升级。
等级保护对象大扩展。在传统的等级保护,也就是1.0时代,大家一说到等级保护对象是什么,就是信息系统。那个时候对信息系统的定义很明确,满足了以下几个功能的系统就称作信息系统——数据的采集生成、数据的处理加工、数据的传输和数据的存储。
在新应用、新技术普及的背景下,基础信息网络、云计算平台、大数据技术相关的系统可能只具备个别的系统功能或者特点,按照原来的定义,没办法划进等保的范围内。我们把对象进行了横向扩展,解决了这个问题。在纵向上,也延伸了信息系统的概念,不单单具有传统的信息系统的概念。同时,我们把云计算、工控、物联网都纳入进来,跟这些相关的都是等级保护对象适用的范围。
等级保护内容的大不同。传统等级保护1.0的内容,包括定级、备案、建设整改、等级测评、监督检查。等保2.0时代,原来的五个保护动作依然是核心,我们把内容丰满了一些。现在把风险评估的方法也纳入到等级保护工作当中,作为安全问题提出的方法。还有安全检测、通报预警、案事件调查、数据保护、灾难备份、应急处置。纳入新的内容并不是提出新的东西,很多内容在原来等级保护的体系框架中都有涉及,单独拎出来是把原来相对离散的要求都串联起来,形成有机的整体。等保2.0建立了有机整体的防护内容。
等级保护体系的大升级。首当其冲的就是标准体系的扩充和完善。
包括:
(1)标准修订,如《定级指南》、《测评过程指南》等等;
(2)标准扩充:由单一部分扩充为多部分构成的标准;
现在是把原有1.0时代几个核心的标准,按照不同的领域进行扩充。等级保护的基本要求,从单一的部分扩充为具有六个部分的标准,所有信息系统都需要满足的安全要求放在通用安全要求中。后面是分领域的,把不同领域、具有自身特色的内容单独放在各自的部分当中。第二部分是关于云计算安全的,会把云计算的内容放在里面,依此类推。
图1 新版标准矩阵图
3 大型互联网企业如何完成等保五个规定动作
3.1 大型互联网企业等级保护对象定级
信息系统使用单位——大型互联网企业,从自身的角度出发,对系统的安全性、重要程度进行定级,去公安机关备案。在这个过程中,要根据等级保护相应级别的基本要求、安全标准去进行建设、整改。在建设整改结束以后,需要聘请专业的第三方测评机构进行等级测评。公安机关会在实施的过程中进行监督、检查、指导。
在新技术、新应用快速普及,以及《网络安全法》实施的大背景下,新的内容扩展以后,原来的等保方式、方法和标准就不太适用。2016年,公安部组织,我们前头实施了某某大型互联网企业的网络安全保卫专项,对于云计算环境中的定级、备案、整改、测评和监督等环节进行了探索和尝试。
按照这个大型互联网企业的体量,不能说是解剖麻雀,至少应说是大象,它涉及的领域包括电子商务、互联网金融、云计算等诸多领域,涉及很多新的技术,这都是新的问题。
首先,大型互联网企业最大的特点,它的应用都是敏捷开发、快速迭代,以模块的方式进行部署的技术架构。用到的网络结构扁平化,大量采用云化的技术。在信息系统的定级划分阶段就带来很大困扰,云上的系统怎么定级、怎么划分、怎么切割,传统的等保工作就有很大的不适用性。它的数据中心和物理机房的位置是遍布全国各地的,是不是要到全国各地备案呢?这就给公安机关的监管带来很大问题,也给企业带来很多不便。大型互联网企业都会遇到的基于数据流动的轻管控、重监测、快响应的安全防护智能化,这给找到测评对象带来了很大的挑战。
第一个挑战是在定级方面。典型的传统信息系统分区分域、纵深防御,从总部到分支都做得很好。在传统的信息系统中,网络架构随业务的变化而变化的,业务发展到哪里、业务有什么样的网络去支撑,我们就去建什么样的网络。反过来,网络架构一旦搭好了,再调整业务就比较困难。在传统企业定级的时候,在直观上,很天然的就会想到以物理设备作为边界去划分信息系统的边界。这是传统的做法,也是很有效的。
到了互联网模式,网络系统扁平化、云化。大型互联网的基础架构是松耦合的,它的业务和基础设施不是完全对应的,看不到业务的特点。划分信息系统的时候不能以硬件的边界进行划分,有点像航空运输。大家可以想象一下,把全国机场想象为一个大的资源池,每个机场是这个资源池中的一个硬件的宿主机或物理设备。在这个硬件的资源池上跑了很多业务,如果把航空公司申请的航线比作业务,有什么样的航线,就有什么样的业务。今天可以从A地直接到B地,根据业务需求进行调整,到了后天可能就是经由C地再到B地,这样的业务调整是很灵活的。每一架飞机可以比喻成云上承载的数据。机库和泊位就是航空公司租用的虚拟机。这个基础架构里连通的线路就是空域当中的航道。增加服务内容、增加业务,只要基础设施满足、容量满足,机场的吞吐量达到要求,航路能够满足航线的要求,你就可以不断的增加资源。这种情况下,硬件和业务是松耦合的状态。
怎么定级呢?我提出了两种场景。第一种场景是下面的基础支撑平台和上面的业务应用系统是完全不能对应的。这个图上有两个定级系统,定级系统A和定级系统B。我们需要进一步梳理主要业务应用模块的相关逻辑,我们梳理出了三个业务应用,好比是三条航线。A航线是属于定级系统A,就是A航空公司。2和3是属于B航空公司。C是机场。我原来遇到很多大型的互联网公司找我们做定级的交流。他们第一次拿过来定级的方案,很多都是不管上面的业务应用系统跑的是什么,他们只管下面,按照传统的方法去做。根据硬件物理的分割去定级。比如,他们会把整个云划成三块,存储资源池、计算资源池、网络资源池,上面跑的很多业务应用并没有体现出来。每种业务应用系统都要使用到硬件支撑平台的时候,不把基础支撑平台放在业务逻辑的系统里,都是单独定级的。
图2 定级场景1
在场景2,底层基础硬件的资源池的某一部分是对应到上面具体的某些应用系统或者定级系统的。这种情况下,就像切蛋糕一样,把它一刀切到底就可以。
图3 定级场景2
总而言之,这两种情况都要避免一种现象,就是你在切蛋糕的时候,不要把上面的奶油和水果扔掉,只切下面的蛋糕。原来传统的做法就很容易造成这种情况,要尽量避免不管上面的业务应用。
定级分析还有几个注意事项。分开定级,承载的业务系统要进行保护的时候,重要程度和平台之间是有对应关系的。也就是平台的等级不能低于上面所承载的业务应用系统的最高级。比如,平台上面跑了二级系统、三级系统,平台最低也要定级为三级系统。未来上了四级系统,平台就是四级系统。
未来国家关键基础设施出台后,有很多重要的云平台会纳入关键基础设施。在新的定级指南里也明确指出了纳入关键基础设施的云平台,最低不低于三级。
分开定级,特别是对于云上的系统来说,平台和租户的业务系统要分开定级。对于大型的云平台来说,它的辅助系统,像运维和运营系统,同样需要单独定级。
3.2 大型互联网企业等保合规中的备案
传统互联网企业的备案很简单,基础设施、运维地点、工程注册地都是一致的。备案地点很好确定,之前的备案指导原则也很明确,全国联网的系统到哪儿备案,跨省的怎么样备案。
对于大型互联网企业来说,它的基础设施遍布全国各地,它的运维地点和工商注册地不一样。这就给我们带来了很多问题。经过专项以后,我们也明确了几个原则,云服务提供商是负责将云计算平台的定级结果向所辖公安机关进行备案,备案地应该为运维管理端所在地。对于云租户来讲,是负责云租户的业务应用系统的定级备案,备案地应是云租户的工商所在地,或实际经营所在地。虽然云的系统是放在阿里或是华为上,你的公司注册在哪里、经营范围在哪里,你就去那里备案。
3.3 大型互联网应关注的建设整改内容
新的云标准出台以后,大家就能看到了,这实际是云计算标准的附录D的内容,我们关注的具体保护对象的变化。对于测评来讲,解决测评对象的变化。因为实现了云化,带来了很多新的保护对象——像虚拟机、虚拟网络设备、虚拟安全设备、镜像和快照等等内容都是有别于传统的。大家在做安全防护的时候,一定要注意这块内容不要落下。
在建设整改的时候,我建议大型互联网企业要从几个方面努力,对尽快合规还是有帮助的。首先是关注身份认证、用户授权、访问控制、安全审计。我们简单的梳理了一下,新的标准,包括原来安全通用要求的内容,满足了这4A,一大半的合规要求都满足了,这是基础。还要侧重动态监测预警和快速响应能力的建设。这是大型互联网自身的优势,应该充分发挥出来。对于云上的云安全服务,或云安全服务产品的合规问题。传统上等保的要求,网络安全产品要进行销售许可,对安全功能进行检测。上了云以后,很多传统的安全产品不再用了,云服务商或大型互联网企业自己去造车、自己造轮子,这个时候就带来了问题,你的车、你的轮子是不是安全?在传统情况下,车在出厂之前是做过检测的,我们只需要关注驾驶安全就可以了。在新技术背景下,大型互联网企业应该关注云安全产品合规的问题。
重点是落在了保障业务数据安全和用户数据隐私保护。相信这是互联网公司的命脉,大型互联网企业一定要聚焦到最后这一点。
3.4大型互联网企业等保合规过程中的等级测评
大型互联网企业虽然不是等级测评的主要实施者,但它是重要的参与者。大型互联网企业,无论是自测,还是在测评当中给第三方测评机构展示安全能力,这些都是需要关注的。首先是业务应用系统,对云租户测评时,首先关注基础支撑平台是否已经被测评。如果没有被测评,就无法开展云租户的业务应用系统的测评;对云租户系统打分的时候,云平台的安全得分是非常重要的。平台的得分会反过来影响云租户业务应用系统的得分。比如,云平台的得分是100分,上面跑的业务应用系统是90分,按照木桶原理,得分原则就是取低,我们给出的是90分。
在安全建设当中用到的标准,现在引入了细分领域的标准部分。作为大型互联网企业,安全通用部分肯定是绕不过去的。如果用了云化结构,云安全扩展要求也应该关注。如果云上面又有了移动互联技术的内容,移动互联的要求也需关注。有大数据云的内容,在大数据安全方面也有要求。几个标准共同作用以后,形成了一个完整的保护工作。因为我主持编制了云安全的扩展要求,大型互联网企业也都关注这个工作。
4 结束语
大型互联网企业在国计民生中发挥着重大作用,落实等保合规意义重大。大型互联网企业落实等级保护制度是真正履行了《网络安全法》规定的责任和义务。同时持续提高了互联网企业自身IT资产的安全防护水平,也向客户证明企业长期以来对服务安全性的承诺以及为遵从国家法律法规所做出的努力,为客户(特别是云租户)加速实现自身对信息安全等级保护的合规有深远影响。
