安全解讀 | 等保2.0實戰(zhàn)：信息安全體系之身份安全

今年是特殊的一年，一次大的疫情，把遠程辦公推向了一個小的頂峰，一個微盟的安全事件，更是把信息安全推向了輿論的中心。無論是遠程辦公下的信息安全關注點，還是類似微盟的信息安全事件，都讓眾多企業(yè)把信息安全的完善作為了2020年的一個重要的工作內容。

派拉軟件作為新一代信息安全技術公司，在遠程辦公安全或是企業(yè)數字化轉型過程中的安全方面都有著豐富的實戰(zhàn)經驗，因此為了更好的幫助企業(yè)做好安全的遠程辦公和數字化轉型，面向大眾已推出了幾場直播。

直播中的安全話題，引起了眾多企業(yè)的共鳴，紛紛向派拉咨詢。在此過程中，經調研發(fā)現(xiàn)，超過80%的企業(yè)已經在安全層面做了較多的工作，只是不知道現(xiàn)在是否完善，更希望通過全局進行考慮，來發(fā)現(xiàn)自身企業(yè)在信息安全建設中的不足之處，予以彌補。

其實一個全面的信息安全體系規(guī)劃還是非常龐大的，所以一個全面的、通用的、可落地的方案變的尤其重要，那么有沒有一篇比較全面的安全體系供企業(yè)去參考、分析、對比，找到自己的不足之處呢？

本篇文章就給大家介紹一個全面的、有具體量化指標的、可落地的信息安全方案【網絡安全等級保護2.0】，并結合身份管理教大家如何解讀等保2.0，以及解讀后如何推進身份管理和其關注點是什么。

2019年5月13日下午，國家市場監(jiān)督管理總局召開新聞發(fā)布會，期待已久的網絡安全等級保護2.0（簡稱等保2.0）正式發(fā)布。等保2.0在2019年12月1日正式實施。

網絡安全等級保護為信息系統(tǒng)、云計算、移動互聯(lián)、物聯(lián)網、工業(yè)控制系統(tǒng)等定級對象的網絡安全建設和管理提供系統(tǒng)性、針對性、可行性的指導和服務，幫助用戶提高定級對象的安全防護能力。此外，《網絡安全法》第二十一條明確規(guī)定“國家實施網絡安全等級保護制度”。

政府機關：各大部委、各省級政府機關、各地市級政府機關、各事業(yè)單位等；

金融行業(yè)：金融監(jiān)管機構、各大銀行、證券、保險公司等；

電信行業(yè)：各大電信運營商、各省電信公司、各地市電信公司、各類電信服務商等；

能源行業(yè)：電力公司、石油公司、煙草公司；

企業(yè)單位：大中型企業(yè)、央企、上市公司等；

其它有信息系統(tǒng)定級需求的行業(yè)與單位。

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第一級信息系統(tǒng)運營、使用單位應當依據國家有關管理規(guī)范和技術標準進行保護。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行指導。

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行監(jiān)督、檢查。

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行強制監(jiān)督、檢查。

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行專門監(jiān)督、檢查。

網絡安全等級保護工作包括定級、備案、安全建設、等級測評、監(jiān)督檢查。

評測機構依據國家網絡安全等級保護制度規(guī)定，按照有關管理規(guī)范和技術標準，對非涉及國家秘密信息系統(tǒng)、平臺或基礎信息網絡等定級對象安全等級保護狀況進行檢測評估的活動。

主要涉及以下兩方面內容：

技術層面：安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心。

管理層面：安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。

前面我們一起了解了等保2.0，那么如何把里面條款轉化為我們所需要的需求和方案呢？本節(jié)就是基于身份安全管理，解讀等保2.0的部分規(guī)定。

綜合以上關于身份管理的部分條款解讀，我們已經可以分析出需要的內容：

1、需要實現(xiàn)身份的集中化管理

2、需要實現(xiàn)高強度認證和多因素認證

3、需要嚴格進行權限控制

4、需要進行安全審計

身份管理平臺功能

當我們通過等保2.0的解讀之后，了解到身份管理平臺，那么實現(xiàn)的步驟是什么樣的呢？有沒有具體的關注點呢？

推進步驟：

一、咨詢梳理

* 梳理身份數據

將用戶的所有系統(tǒng)身份全部統(tǒng)一存儲，建立身份權威數據源，統(tǒng)一規(guī)范

* 梳理管控流程

控制所有應用系統(tǒng)的賬號，應用訪問流程，建立RBAC，建立PBAC，自動化，流程化權限管控過程

* 梳理技術標準

建立登錄認證標準、賬號管理標準，權限分配和訪問控制標準、以及安全審計標準等方面安全技術標準

二、平臺搭建

* 尋找安全性高、符合等保要求的身份管理平臺

* 搭建系統(tǒng)，完成認證、授權、審計的平臺

* 實施標準、流程和規(guī)范

三、集成階段

* 分批應用接入

* 按批次上線

四、持續(xù)優(yōu)化

* 發(fā)揮安全、效率

* 提升用戶體驗

* 發(fā)掘客戶價值

核心關注點（部分）

1、平臺安全性設計

由于身份管理平臺是系統(tǒng)的大門入口，那么該平臺本身的安全性設計就顯得特別重要，我們在選擇平臺時就需要考慮其安全性設計：

? 數據加密：支持多種加密算法SHA256/512、AES256、MD5、國密算法SM2等……加密字段設置，可指定任一字段屬性進行加密存儲；

? 數據庫防拖庫/撞庫設計：數據庫集群架構，實現(xiàn)分庫分表存儲機制，敏感數據加密存儲，防泄漏；

? 身份票據傳遞加密：基于SSL安全鏈接傳輸tickets，基于OAuth code加密，code為一次性，防止仿冒；

······

2、智能風險認證

我們按照等保要求需要對系統(tǒng)采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現(xiàn)。

但是這樣會給用戶系統(tǒng)登錄帶來極大的繁瑣，反而不利于我們系統(tǒng)的推廣，為了給用戶帶來更好體驗的同時增強安全性，我們可以采用智能風險因子認證：利用大數據技術和AI算法，以身份數據為基礎，結合用戶行為分析、訪問途徑上下文、設備指紋/FaceID建立風險引擎，引入風險模型算法，根據用戶訪問習慣、特征判別風險等級，智能化身份識別驗證。

3、風險審計

在集中安全審計的過程中，審計不僅僅是為了做時候的查詢，更多的時候可以幫我們對于危險訪問行為進行預警。

基于用戶的訪問習慣，結合大數據技術，在脫離了常用的安全環(huán)境和安全訪問習慣后，將采用風險審計，給予管理員、本人、高級別的領導進行提醒，方便采取措施。同時，后期的集中風險審計，更有助于分析企業(yè)內部的不安全因素，做到提前預防。