等保2.0体系互联网合规实践白皮书

版权声明 本白皮书版权属于白皮书编制组，并受法律保护。转载、摘编或利用任何 其他方式使用白皮书文字或观点的，均应注明“来源《:等保2.0体系互联网合 规实践白皮书》编制组”。违反以上声明者，编制组将保留追究其相关法律责任的权利。 编制人员 刘羽、张益、洪跃腾、黄超、郭铁涛、郑兴、华珊珊、耿琛、肖煜、姬生利、孙少波、霍珊珊、刘健、王余、练美玲、王婷、李光辉、彭成锋、刘志高、刘泽美、谢旭、朱思霖。 特别感谢 腾讯安全平台部、腾讯安全管理部、腾讯安全云鼎实验室、腾讯桌面安全产品部、腾讯产业安全运营部、腾讯云安全合规部、中国电子科技集团公司第十五研究所、深圳市网安计算机安全检测技术有限公司。 目录 版权声明1 编制人员1 特别感谢1 1前言6 2等级保护2.0技术合规要求分析和实践8 2.1可信计算合规8 2.2密码技术合规14 2.2.1等保2.0对密码技术的要求15 2.2.2等保2.0如何使用密码技术19 2.2.3腾讯实践21 2.3操作系统镜像等保合规28 2.3.1腾讯云操作系统等保合规实践30 2.3.2对操作系统等保合规实践的建议32 2.4IPv6网络安全合规实践33 2.4.1来自IoT+5G+IPv6新趋势下的安全算力需求33 2.4.2来自腾讯自身海量业务+全球规模的计算压力实践33 2.5安全管理中心应用合规37 2.5.1安全运营中心体系建设38 2.5.2安全运营中心功能与架构39 2.6个人信息保护40 2.6.1等级保护2.0个人信息保护要求41 2.6.2企业如何做到个人信息合规43 3等级保护2.0安全管理合规要求分析46 3.1安全管理制度46 安全策略46 管理制度52 制定和发布、评审和修订53 3.2安全管理机构54 岗位设置54 人员配备55 授权与审批55 沟通与合作56 审核与检查56 3.3安全管理人员56 人员录用（入职前）56 安全意识教育和培训（入职后）57 人员离岗（离职）58 外部人员访问管理59 3.4安全建设管理59 安全方案设计60 产品采购和使用61 自行软件开发62 外包开发、实施、验收、交付63 服务供应商选择67 3.5安全运维管理67 环境管理68 资产管理68 介质管理69 设备维护管理69 漏洞和风险管理70 网络和系统安全管理71 恶意代码防范管理72 备份与恢复管理73 安全事件处置、应急预案管理73 外包运维管理76 3.6IPv6合规77 三个主要目标79 技术合规82 网络安全合规83 新安全问题87 3.7安全建设管理安全通用要求部分责任边界举例92 4腾讯等级保护2.0合规体系建设和腾讯云等级保护解决方案实践103 4.1集团等级保护合规体系建设概述103 4.2腾讯云基于等级保护的云安全合规体系建设104 4.3腾讯云等级保护2.0解决方案实践105 4.3.1等级保护测评全流程工作分解106 4.3.2全生命周期等级保护建设方法论108 1前言 2019年5月13日，网络安全等级保护制度2.0（简称等保2.0）三大核 心标准（《基本要求》、《测评要求》和《设计要求》）正式发布，并于2019年 12月1日开始实施。随着等保2.0标准的陆续发布与实施，中国特色社会主义建设全面深入推进,5G、人工智能、云计算、物联网、工业互联网、大数据等新技术新应用的兴起,以及关键信息基础设施安全保护、个人信息保护和数据安全等工作不断强化,对网络安全工作提出了更高的要求。如何让业务能够安全合规的运营成为网络运营者的关键需求。 等保2.0标准具有以下特点：第一，基本要求、测评要求和技术要求框架统一，采用安全管理中心支持下的三重防护结构框架；通用安全要求+新型应用安全扩展要求，将云计算、移动互联、物联网、工业控制等列入标准规范。其中云计算扩展要求作为重点内容被第一个单独列出来。 此次规范的发布将等保从推荐行提升到强行性标准的层面。等保1.0的最 高国家政策是国务院147号令，而等保2.0标准的最高国家政策是网络安全法，其中《中华人民共和国网络安全法》第二十一条要求，国家实施网络安全等级保护制度；第二十五条要求，网络运营者应当制定网络安全事件应急预案；第三十一条则要求，关键基础设施，在网络安全等级保护制度的基础上，实行重点保护；第五十九条规定的网络安全保护义务的，由有关主管部门给予处罚。因此不开展等级保护等于违法。 借此，腾讯公司、中国电子科技集团公司第十五研究所（信息产业信息安全测评中心）、深圳市网安计算机安全检测技术有限公司联合编制了《等保2.0 体系互联网合规实践白皮书》（简称“白皮书”），将对等保2.0的理解和实践分享给用户和业界，以求相互学习，相互借鉴，共同推动各行业等级保护领域的发展与知识共享。 2等级保护2.0技术合规要求分析和实践 2.1可信计算合规 等级保护2.0中，其中一个很重的要求变化，就是已经由被动防御转变为主动防御、动态防御。而作为应对的重要安全措施之一，就是需要通过不断强化网络安全分析能力、未知威胁的检测能力实现安全防护要求，而可信计算就是其中一个实现的落地措施和方案。 等级保护2.0也是充分采用“一个中心三重防护”的理念，一个中心指“安全管理中心”，三重防护指“安全计算环境、安全区域边界、安全网络通信”，在落实层面也是强化了可信计算安全技术要求的使用。 级别 要求 一级 可基于可信根对通信设备的系统引导程序、系统程序等进行可信验证，并在检测到其可信性受到破坏后进行报警。 二级 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。 通过可信计算技术来实现对系统中应用和配置文件、参数进行验证，保障系统在可信环境下运行。《网络安全等级保护基本要求》中强化了可信计算，充分体现一个中心、三重防护的理念，部分具体要求变化见下表所示： 三级 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审。 四级 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的所有执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心，并进行动态关联感知。 腾讯实践： 在当前可信计算的应用场景中，目前计算设备的可信化实践中，个人设备远超出服务器，而腾讯内部实践场景主要面向服务器层面，这在一定程度提高了可信计算在服务器端应用的门槛和技术难度。腾讯安全平台部洋葱反入侵团队、BladeTeam安全研究团队联合相关部门专家，通过一系列研究和不断优化测试，最终形成了腾讯内部可落地的可信计算实践。这里我们主要简述部分实践内容，供业界同仁参考。 对于以上等保要求的理解，并结合腾讯实际经验和内部运维场景，在实践落地中，我们将以上： “通讯设备”的定义理解为：机房内的业务实现、通信、存储的关键 设备，主体即x86平台的服务器 “重要配置参数和通信应用程序”的定义理解为：服务器上的关键配置文件与程序 “安全管理中心相关”定义理解为：上述可信验证过程的结果不仅仅在本地可见，关键是集中上报存档 “并在应用程序的关键执行环节进行动态可信验证”定义理解为：实现了可孤立自证的运算执行环境（SGX），保障执行环节无问题，或进行多方背靠背计算核对(区块链) “动态关联感知”定义理解为：针对多维度数据、异构数据进行业务事务级别上的关联，以发现异常。 在腾讯内部可信计算实践中，硬件的可信安全是我们最早关注的领域，也是此次介绍的重点。腾讯在早期实践过程中，也是遇到了困难和挑战，包括且不限于： 关键技术缺失：部分供应商没有适配BootGuard，不具备硬件TCB的可信启动； 管理途径缺失：目前货架技术上的可信启动技术均为个人电脑设计，缺乏服务器大规模管理所需的管理途径，例如secureboot的证书管理、各种安全功能的带外开启关闭； 告警信息不具备上报能力：类似管理途径缺失，现有的货架技术不具备本地告警能力，更别提远程告警能力； 安全事件记录粒度过粗：TPM在供应商的实现中仅具备PCR值的记录能力，没有实现事件日志记录，但是即便具备了事件日志记录，记 录的信息量依然不足以用于快速判定事件性质 针对以上可信计算上的挑战，腾讯从供应链与自研两方面共同着手发力，一方面转化等保相关要求传递至供应商形成落地方案，另一方评估供应商方案的局限性展开自研安全能力建设，逐一解决形成落地解决技术可行性方案： （1）供应链方案： 推动供应商导入硬件可信根的货架技术 进行BMC、主板固件定制改造，增加安全特性的管理路径与告警能力 腾讯服务器硬件安全标准，将等保要求与行业先进标准转化吸收 服务器供应安全自测要求，将抽象安全要求转化为落地技术指标 供应链方案局限性： •货架技术风险覆盖有限，更新缓慢 业界提供的Secureboot、Bootguard技术由多方分别实施，覆盖范围衔接过程中易出现纰漏，一旦出现漏洞，供应商响应也非常缓慢，无法快速可控的迭代安全能力，固件安全不能靠他人 •供应链攻击 供应链交付的服务器未必符合约定的自测规范，可能的原因有供应链自身工作失误、供应链受到三方污染、物流链路的物理攻击等，必须有自主可控的手段一定限度上保障供应商的交付质量 （2）自研安全方案 自研方案实现 •自主研发的主板固件检测chipsafe&chipreg，实时细粒度UEFI 固件监控，嵌入服务器交付与投产生命周期，校验相关安全配置有效性，并申报国家技术发明专利 •基于可信执行环境技术保护应用程序关键执行环节，并在腾讯云上架可信计算解决方案 •集成安全管理中心，生成各类安全异常告警，推送至安全责任人，支持移动办公 （3）方案技术落地 方案挑战与难点 •软硬件兼容 引入硬件可信根后，主板固件版本无法回退至引入可信根以前；板卡固件需补充签名认证，否则无法启动；操作系统的部署、启动链环境、运行时板卡驱动必须实现全面兼容。 •供应维保体系适配 引入各类安全措施后，服务器的生产流程需添加步骤，验收测试环境需兼容安全措施，维保板卡配件需逐步更新，维保软件需更新淘汰。 •无参考先例 国内外无相关实践参考。 实施方案 •腾讯tlinux改造 tlinux启动程序签名、tlinux内核模块签名、tlinux安装镜像ISO改 造、签名证书管理 •服务器全生命周期流程改造 OEM服务器产线兼容性改造、服务器验收流程添加可信验收、操作系统部署流程兼容性改造、服务器固件管理系统适配、服务器自维保工具适配等。 •长时间、大规模持续测试迭代 验证测试时间超过6个月，软件方案测试机器超过万台，硬件落地测试机超过千台。 图2.1.1腾讯可信计算落地架构方案 未来，腾讯安全平台部也将继续在可信计算体系建设方面，积极地开展方案研究、设计与部署应用，并与上游多家供应链厂商的密切合作，力图打造国 内首个服务器安全启动成规模部署用例，并借助服务器硬件安全规范，把控厂商供应链安全水平，提升公司研发环境与云上业务对于UEFIBootkit、供应链攻击等底层安全威胁的免疫能力。 此外，腾讯云推出的“星星海”自研服务器由腾讯安全平台部主导进行安全能力评估建设，目前已具备可信启动的硬件防护能力。未来，安全平台部将会持续在这个领域进行相关研发和部署。 2.2密码技术合规 等保2.0标准已经在2019年12月正式开始实施。等保2.0标准中对密码技术做了明确的要求，密码技术主要出现在三级和四级安全要求中，主要涉及安全通信网络、安全计算环境以及安全运维管理等部分内容。随着《密码法》的颁布和实施，对等级保护对象整体安全保护能力的要求也逐步提高。密码法中也明确强调了对关键信息基础设施中密码技术的要求。 密码技术是目前世界上公