本文为您解读等保2.0的具体内容,以及等保三级预检合规包中的默认规则。

什么是等保2.0

等保2.0是指网络安全等级保护制度2.0国家标准,该标准已于2019年05月13日正式发布,并于2019年12月01日正式实施。目前58%的国家已制定国家网络安全战略,主要国家和地区都已制定专门的网络法律法规。等保2.0的发展和演进史如下图所示。

等保2.0

等保2.0的重要变化

  • 云上信息系统纳入检测范围。

    基于等保1.0的网络和信息系统,新增了云计算平台、大数据平台、物联网、移动互联技术系统、工业控制系统。充分考虑了当前企业信息系统的业务多样性和复杂性。

  • 云上租户的信息系统成为独立的检测对象。

    在等保1.0中,企业托管资源的云平台通过相应等保等级,即认为相应云上租户通过了相应等级。随着云上服务的复杂度和灵活性日渐成熟,云上租户对托管的资源具有越来越高的控制权,所以从等保2.0开始,云上租户使用云平台服务所构建的云上信息系统将作为独立的检测对象。

  • 强调持续的安全能力构建,而非一次性检测。
    等保1.0主要关注在检测当时系统的合规状态,检测完成后,系统是否能持续保持安全合规是无法监管的。等保2.0在制定过程中,将对系统的持续合规要求融入到条例中,引导并监督企业构建一个可持续保护信息系统的安全能力。以PPDR(以策略为中心,构建防护、检测和响应防护机制)为核心思想、以可信认证为基础、以访问控制为核心,构建可信、可控和可管的立体化纵深防御体系。
    分类 说明
    可信 以可信计算技术为基础,构建一个可信的业务系统执行环境,即用户、平台、程序都是可信的,确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行,不会出现非预期的流程,从而保障了业务系统安全可信。
    可控 以访问控制技术为核心,实现主体对客体的受控访问,保证所有的访问行为均在可控范围之内进行,在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作,永远都按系统设计的方式进行资源访问,保证了系统的信息安全可控。
    可管 通过构建集中管控、最小权限管理与三权分立的管理平台,为管理员创建了一个工作平台,使其可以借助于本平台对系统进行更好的管理,从而弥补了我们现在重机制、轻管理的不足,保证信息系统安全可管。
    等保2.0以“一个中心,三重防护”为网络安全技术设计的总体思路,其中一个中心即安全管理中心,三重防护即安全计算环境、安全区域边界和安全通信网络。
    • 安全管理中心要求在系统管理、安全管理、审计管理三个方面实现集中管控,从被动防护转变成主动防护,从静态防护转变成动态防护,从单点防护转变成整体防护,从粗放防护转变成精准防护。
    • 三重防护要求企业通过安全设备和技术手段实现身份鉴别、访问控制、入侵防范、数据完整性、保密性、个人信息保护等安全防护措施,实现平台的全方位安全防护。
等保1.0和2.0的差异如下表所示。
等保1.0 等保2.0
事前预防、事中响应、事后审计的纵深防御思路。 在“一个中心、三重防护”的理念基础上,注重全方位主动防御、安全可信、动态感知和全面审计。
0分以上基本符合。等保三级每年检测一次,等保四级每半年检测一次。 75分以上基本符合,等保三级和四级每年检测一次。

云上信息系统过等保的五大困难

等保2.0侧重视持续的合规监管能力,且要求等保三级和等保四级均每年检测一次。但资源托管在云端,云上信息系统过等保,具体困难如下表所示。
困难 说明
云上检测范围不明确 虚拟化IT设施与传统IT的部分概念不同,面对复杂的云上配置,无从下手。
无集中的资源管理 云平台如果不提供配置管理数据库CMDB(Configuration Management Database)能力,在等保的反复检测和整改过程中,仅向检测结构举证和演示云上系统详情,操作就非常繁琐。
自己不掌握系统数据 资源托管在云端,等保2.0要求举证管理行为的日志和合规情况,需要依赖云平台对审计数据的输出。
无法自建自动化检测 通常云下企业都有自己的配置管理数据库CMDB,只要合规和要求明确,完全可以自己写脚本扫描配置完成自检和监控。现在资源托管在云上,如果想通过脚本实现自检,则需要持续同步云上配置到云下,仅配置同步就消耗巨大的成本。
混合云截断成两部分 混合云的技术选型导致同一个业务系统部分在云上,部分在云下,无论是自检、扫描、监控或检测,都必须分开两次,人力和时间成本巨大。

借助云平台能力,实现持续监管

针对以上五大困难,阿里云在配置审计服务中,为您提供免费的等保预检能力,在等保预检和整改环节为企业助力。

配置审计将等保2.0条例解读为云上的合规检测规则,并持续监控资源的变更,动态实时的执行合规评估,及时推送不合规告警,让企业能时刻掌握云上信息系统的合规性。

等保三级预检模板

规则名称 规则描述
使用专有网络类型的ECS实例 如果未指定参数,则检查ECS实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。
使用专有网络类型的RDS实例 如果未指定参数,则检查RDS实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查RDS实例的专有网络实例在指定参数范围内,视为“合规”。
操作审计开启跟踪状态 操作审计开启跟踪状态,视为“合规”。
使用高可用的RDS实例 RDS实例为高可用实例,视为“合规”。
ECS数据磁盘开启加密 ECS数据磁盘开启加密,视为“合规”。
使用多可用区的RDS实例 RDS实例为多可用区实例,视为“合规”。
安全组入网设置有效 安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现时,视为“合规”。
SLB开启HTTPS监听 SLB开启HTTPS监听80/8080端口,视为“合规”。
RDS实例IP白名单未设置为全网段 RDS实例的IP白名单未设置为0.0.0.0/0,视为“合规”。
ECS实例未绑定IPv4公网地址 ECS实例未绑定IPv4公网地址,视为“合规”。
RAM用户开启MFA RAM用户开启MFA,视为“合规”。
安全组不允许对全部网段开启风险端口 当安全组入网网段设置为0.0.0.0/0时,且已关闭端口22或3389,视为“合规”。
OSS存储空间ACL禁止公共读 OSS存储空间的ACL策略禁止公共读,视为“合规”。
OSS存储空间ACL禁止公共读写 OSS存储空间的ACL策略禁止公共读写,视为“合规”。
OSS存储空间开启服务端默认加密 OSS存储空间开启服务端OSS完全托管加密,视为“合规”。
SLB实例未绑定公网IP SLB实例未绑定公网IP,视为“合规”。
RDS实例正确开启安全白名单 RDS实例已开启安全白名单,且安全白名单中不包含0.0.0.0/0,视为“合规”。
CDN域名开启HTTPS加密 CDN域名开启HTTPS协议加密,视为“合规”。
使用专有网络类型的Redis实例 如果未指定参数,则检查Redis实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查Redis实例的专有网络实例在指定参数范围内,视为“合规”。
Redis实例IP白名单未设置为全网段 Reids实例IP白名单未设置为0.0.0.0/0,视为“合规”。
使用专有网络类型的MongoDB实例 如果未指定参数,则检查MongoDB实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查MongoDB实例的专有网络实例在指定参数范围内,视为“合规”。
MongoDB实例IP白名单未设置为全网段 MongoDB实例IP白名单未设置为0.0.0.0/0,视为“合规”。
使用专有网络类型的PolarDB实例 如果未指定参数,则检查PolarDB实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查PolarDB实例的专有网络实例在指定参数范围内,视为“合规”。
OSS存储空间开启同城冗余存储 OSS存储空间开启同城冗余存储,视为“合规”。
使用数据库代理模式访问SQL Server RDS实例SQL Server类型数据库的访问模式为代理模式,视为“合规”。
SLB禁止开启全网段访问 SLB实例开启访问控制,且未设置为0.0.0.0/0,视为“合规”。
弹性IP实例带宽满足最低要求 弹性IP实例可用带宽大于等于指定参数值,视为“合规”。
SLB实例满足指定带宽要求 SLB实例可用带宽大于等于指定参数值,视为“合规”。
PolarDB实例IP白名单未设置为全网段 PolarDB实例IP白名单未设置为0.0.0.0/0,视为“合规”。