信創(chuàng)在等保測(cè)評(píng)中的設(shè)計(jì)與應(yīng)用

葉 茂,楊仕瑞,馬壯壯

(江蘇金盾檢測(cè)技術(shù)股份有限公司,江蘇 南京 210042)

0 引言

近日,中共中央、國(guó)務(wù)院印發(fā)了《數(shù)字中國(guó)建設(shè)整體布局規(guī)劃》[1],隨著國(guó)家加快數(shù)字中國(guó)的建設(shè)步伐,以5G網(wǎng)絡(luò)、人工智能、云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)等細(xì)分領(lǐng)域?yàn)槭椎摹靶禄ā睒O大地推動(dòng)了信創(chuàng)產(chǎn)業(yè)再一次迎來(lái)了新的發(fā)展。

在2018年美國(guó)開(kāi)始對(duì)華實(shí)行高科技出口管制,以國(guó)家力量打壓以華為為首的中國(guó)科技企業(yè)的背景下,我國(guó)于2019年正式發(fā)布并實(shí)施了等保2.0標(biāo)準(zhǔn)體系,2020年又迎來(lái)了“信創(chuàng)產(chǎn)業(yè)元年”,國(guó)產(chǎn)化替代進(jìn)程便如火如荼地展開(kāi)。此后,2022年美國(guó)總統(tǒng)喬·拜登又簽署了《2022年芯片與科學(xué)法案》,目的是加強(qiáng)美國(guó)在芯片半導(dǎo)體領(lǐng)域的非公平競(jìng)爭(zhēng),這讓我國(guó)更加清醒地認(rèn)識(shí)到科技獨(dú)立自主的必要性和重要性,必將形成以國(guó)產(chǎn)化芯片為核心,國(guó)產(chǎn)化硬件為基石,國(guó)產(chǎn)化軟件為應(yīng)用的獨(dú)立自主創(chuàng)新的新局面。

1 信創(chuàng)與等保測(cè)評(píng)概述

1.1 信創(chuàng)產(chǎn)業(yè)概述

“信創(chuàng)”即信創(chuàng)產(chǎn)業(yè)、信息技術(shù)應(yīng)用創(chuàng)新產(chǎn)業(yè),是國(guó)家基于國(guó)產(chǎn)芯片和操作系統(tǒng)的PC、服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備、數(shù)據(jù)庫(kù)、中間件等基礎(chǔ)設(shè)施的技術(shù)創(chuàng)新。

信創(chuàng)產(chǎn)業(yè)大體分為基礎(chǔ)硬件、基礎(chǔ)軟件、應(yīng)用軟件、信息安全共計(jì)4個(gè)方向。其中,基礎(chǔ)硬件包括芯片、服務(wù)器/PC、存儲(chǔ)等;基礎(chǔ)軟件包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件等;應(yīng)用軟件包括OA辦公軟件、ERP和其他軟件等;信息安全包括硬件安全、軟件安全、安全服務(wù)等各類產(chǎn)品。

信創(chuàng)產(chǎn)業(yè)的主要目的是實(shí)現(xiàn)信息技術(shù)領(lǐng)域的自主可控,保障國(guó)家信息安全,其核心手段在于通過(guò)黨政部門和八大行業(yè)的大規(guī)模應(yīng)用,逐步完成國(guó)產(chǎn)化信息技術(shù)軟硬件底層架構(gòu)體系和全周期生態(tài)體系的構(gòu)建,最終實(shí)現(xiàn)信息與通信技術(shù)(Information and Communications Technology, ICT)產(chǎn)業(yè)的全面國(guó)產(chǎn)化替代,為我國(guó)發(fā)展“數(shù)字中國(guó)”奠定堅(jiān)實(shí)的基礎(chǔ)。

目前,國(guó)家已經(jīng)針對(duì)信創(chuàng)產(chǎn)業(yè)建立了“2+8+N”體系,并按照這個(gè)順序逐步實(shí)現(xiàn)國(guó)產(chǎn)化替代。“2”是指黨、政。“8”是指關(guān)于國(guó)計(jì)民生的八大行業(yè),即金融、電力、電信、石油、交通、教育、醫(yī)療、航空航天。“N”則指的是各行各業(yè),如圖1所示。

圖1 “2+8+N”體系

信創(chuàng)產(chǎn)業(yè)是改善現(xiàn)代網(wǎng)絡(luò)安全現(xiàn)狀、推動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展的基礎(chǔ),也是“新基建”的重要內(nèi)容,將成為拉動(dòng)中國(guó)經(jīng)濟(jì)增長(zhǎng),實(shí)現(xiàn)國(guó)家“十四五”規(guī)劃發(fā)展目標(biāo)和2035年遠(yuǎn)景目標(biāo)的重要驅(qū)動(dòng)之一[2]。

1.2 等保測(cè)評(píng)概述

信息安全等級(jí)保護(hù)(簡(jiǎn)稱“等保”)是指對(duì)國(guó)家秘密信息、法人和其他組織及公民的專有信息及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)施安全保護(hù),對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品按等級(jí)管理,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。信息安全等級(jí)保護(hù)是我國(guó)網(wǎng)絡(luò)安全領(lǐng)域的基本制度、基本國(guó)策。

等級(jí)保護(hù)分為5個(gè)等級(jí),自低到高分別為“用戶自主保護(hù)級(jí)”“系統(tǒng)審計(jì)保護(hù)級(jí)”“安全標(biāo)記保護(hù)級(jí)”“結(jié)構(gòu)化保護(hù)級(jí)”“訪問(wèn)驗(yàn)證保護(hù)級(jí)”,等級(jí)越高要求越嚴(yán)。等級(jí)保護(hù)又分為5個(gè)階段,分別是定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查,其中建設(shè)整改是目的,等級(jí)測(cè)評(píng)是手段,最終目的都是提高系統(tǒng)網(wǎng)絡(luò)的安全防護(hù)能力。

自1994年國(guó)務(wù)院第147號(hào)令發(fā)布以來(lái),《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中提出了計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù),奠定了信息安全等級(jí)保護(hù)的基礎(chǔ)。隨后,2007年公安部發(fā)布了《信息安全等級(jí)保護(hù)管理辦法》,標(biāo)志著等保1.0正式啟動(dòng)。此后,2016年又發(fā)布了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,在第二十一條提到“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”,此舉將等級(jí)保護(hù)正式上升到法律高度。2019年等保2.0相關(guān)標(biāo)準(zhǔn)系列發(fā)布,意味著等保正式邁入新的時(shí)代。

等保測(cè)評(píng)自邁入2.0時(shí)代后,與1.0時(shí)代明顯不同的是,在對(duì)安全通用要求修訂的基礎(chǔ)上,新提出了云計(jì)算、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、移動(dòng)互聯(lián)、大數(shù)據(jù)安全擴(kuò)展要求,構(gòu)建了“一個(gè)中心,三重防護(hù)”的安全防護(hù)體系[3],如圖2所示。

3.2.1 閱讀故事，分類圖片 提供四幅圖片并在學(xué)案中配備描述圖片的故事(表1)。四幅圖片分別為： 蚯蚓為覓食多次被電、美國(guó)紅雀喂金魚、黑猩猩釣白蟻和嬰兒袋鼠爬向育兒袋。引導(dǎo)學(xué)生通過(guò)小組討論選出最能準(zhǔn)確描述每種動(dòng)物行為的不干貼，同時(shí)將四種動(dòng)物行為兩兩分類，貼在思維導(dǎo)圖(圖1)對(duì)應(yīng)的位置上。

圖2 等保2.0十大層面

2 信創(chuàng)在等保測(cè)評(píng)中的核心要求

基于國(guó)家推薦標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》制定了針對(duì)黨政機(jī)關(guān)電子公文系統(tǒng)的信創(chuàng)行業(yè)標(biāo)準(zhǔn)——《黨政機(jī)關(guān)電子公文系統(tǒng)安全可靠應(yīng)用等級(jí)保護(hù)測(cè)評(píng)要求》,其核心要求即為“國(guó)密改造”,在其規(guī)范中要求信創(chuàng)信息系統(tǒng)密碼技術(shù)和產(chǎn)品均應(yīng)由國(guó)家密碼管理主管部門核準(zhǔn)和認(rèn)證。

自2020年《中華人民共和國(guó)密碼法》的正式實(shí)施以來(lái),密碼產(chǎn)業(yè)進(jìn)入了有法可依的快速發(fā)展階段。在數(shù)據(jù)要素市場(chǎng)化的趨勢(shì)下,傳統(tǒng)的以網(wǎng)絡(luò)為中心的安全構(gòu)建將會(huì)轉(zhuǎn)變?yōu)橐浴皵?shù)據(jù)為中心,與網(wǎng)絡(luò)邊界保護(hù)相結(jié)合”的雙軸驅(qū)動(dòng),而密碼將會(huì)被融入數(shù)據(jù)要素和數(shù)據(jù)安全的每一個(gè)環(huán)節(jié),密碼行業(yè)將會(huì)在很長(zhǎng)一段時(shí)間內(nèi)持續(xù)穩(wěn)步發(fā)展。

為實(shí)現(xiàn)密碼技術(shù)的全面自主可控,我國(guó)持續(xù)加強(qiáng)國(guó)產(chǎn)密碼建設(shè),實(shí)現(xiàn)了對(duì)稱加密算法、非對(duì)稱加密算法、雜湊算法等算法類型的全面自研,形成了包括SM1、SM2、SM3、SM4、SM7、SM9等SM系列算法以及祖沖之ZUC算法在內(nèi)的國(guó)產(chǎn)密碼算法體系。

國(guó)密算法在面向密碼技術(shù)應(yīng)用的三大場(chǎng)景方面,完成了和國(guó)際算法的完整對(duì)應(yīng),具備全面替代能力,如圖3所示。

圖3 國(guó)密算法與國(guó)際算法的對(duì)應(yīng)關(guān)系

(1)數(shù)據(jù)加密。在數(shù)據(jù)加密傳輸、加密存儲(chǔ)方面,主要通過(guò)國(guó)產(chǎn)的對(duì)稱加密算法SM4替換DES/AES等國(guó)際算法。

(2)身份認(rèn)證。在防止身份信息被篡改、冒用方面,主要通過(guò)國(guó)產(chǎn)的非對(duì)稱加密算法SM2替換RSA等國(guó)際算法。

除此之外,SM1算法的安全保密強(qiáng)度及相關(guān)軟硬件能夠?qū)崿F(xiàn)的性能可與AES媲美,主要用來(lái)實(shí)現(xiàn)芯片領(lǐng)域的國(guó)密替換,而ZUC算法主要用于移動(dòng)通信加密。

我國(guó)自主研發(fā)的SM等系列算法日益成熟,且相比國(guó)際算法具備一定優(yōu)勢(shì),國(guó)密替代勢(shì)在必行,尤其在國(guó)家政務(wù)信息化項(xiàng)目中,明確了密碼和項(xiàng)目建設(shè)的“三同步一評(píng)估”原則,而在其他關(guān)鍵基礎(chǔ)設(shè)施行業(yè),信創(chuàng)推動(dòng)和行業(yè)政策要求中,國(guó)密應(yīng)用均成為剛需,如電力行業(yè)廣泛的物聯(lián)網(wǎng)終端需求、金融行業(yè)進(jìn)入核心系統(tǒng)的改造需求[4]。

3 信創(chuàng)在等保測(cè)評(píng)中的設(shè)計(jì)與應(yīng)用

3.1 安全技術(shù)措施設(shè)計(jì)

針對(duì)信創(chuàng)網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì),按照等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)要求,從“一個(gè)中心,三重防護(hù)”,即安全管理中心、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境4個(gè)層面進(jìn)行安全設(shè)計(jì)。

3.1.1 安全通信網(wǎng)絡(luò)設(shè)計(jì)

安全通信網(wǎng)絡(luò)從整體網(wǎng)絡(luò)架構(gòu)、鏈路、帶寬以及設(shè)備的冗余等多個(gè)角度來(lái)進(jìn)行安全設(shè)計(jì),確保其通信網(wǎng)絡(luò)的可持續(xù)性和穩(wěn)定性,為應(yīng)用系統(tǒng)提供安全、可靠的保障。通過(guò)對(duì)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)、重要設(shè)備以及通信鏈路進(jìn)行冗余部署,保證其高可用性;部署信創(chuàng)防火墻、網(wǎng)閘提供區(qū)域邊界隔離;部署信創(chuàng)VPN保證在遠(yuǎn)程連接過(guò)程中重要數(shù)據(jù)的完整性和保密性。

3.1.2 安全區(qū)域邊界設(shè)計(jì)

安全區(qū)域邊界通過(guò)對(duì)進(jìn)出安全邊界的信息流進(jìn)行安全核查,既能夠防止應(yīng)用系統(tǒng)中的敏感信息被泄露,同時(shí)也可以保證其不受到外界的惡意攻擊和破壞。通過(guò)部署信創(chuàng)準(zhǔn)入控制系統(tǒng)實(shí)現(xiàn)對(duì)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制;部署信創(chuàng)終端威脅防御系統(tǒng)實(shí)現(xiàn)對(duì)內(nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行控制;部署信創(chuàng)Web應(yīng)用防火墻實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問(wèn)控制;部署信創(chuàng)入侵防御/檢測(cè)系統(tǒng)實(shí)現(xiàn)檢測(cè)、防止或限制從內(nèi)外部發(fā)起的網(wǎng)絡(luò)攻擊行為;部署信創(chuàng)抗APT攻擊系統(tǒng)實(shí)現(xiàn)對(duì)新型網(wǎng)絡(luò)攻擊的檢測(cè)和分析;部署信創(chuàng)防病毒系統(tǒng)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層惡意代碼檢測(cè)和清除;部署信創(chuàng)網(wǎng)絡(luò)流量審計(jì)系統(tǒng)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)、關(guān)鍵分析、識(shí)別和篩選。

3.1.3 安全計(jì)算環(huán)境設(shè)計(jì)

安全計(jì)算環(huán)境可以從主機(jī)、應(yīng)用和數(shù)據(jù)安全等角度出發(fā),通過(guò)部署信創(chuàng)堡壘機(jī)實(shí)現(xiàn)對(duì)(管理)用戶進(jìn)行身份鑒別和權(quán)限管理;部署信創(chuàng)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)實(shí)現(xiàn)對(duì)重要的用戶行為和重要安全事件進(jìn)行集中審計(jì);部署信創(chuàng)漏洞掃描、終端威脅防御等系統(tǒng)來(lái)保障終端及服務(wù)器安全;采用信創(chuàng)VPN密碼設(shè)備來(lái)保障重要數(shù)據(jù)的完整性和保密性;部署容災(zāi)備份系統(tǒng)來(lái)保障重要數(shù)據(jù)的可用性;部署網(wǎng)頁(yè)防篡改實(shí)現(xiàn)對(duì)重要網(wǎng)站系統(tǒng)提供網(wǎng)頁(yè)防篡改、網(wǎng)站安全監(jiān)控等保護(hù)機(jī)制。

3.1.4 安全管理中心設(shè)計(jì)

安全管理中心是信創(chuàng)網(wǎng)絡(luò)安全管理的中心大腦,通過(guò)安全管理中心實(shí)現(xiàn)對(duì)全網(wǎng)的安全監(jiān)測(cè)預(yù)警、分析研判、態(tài)勢(shì)感知、應(yīng)急處置等。通過(guò)信創(chuàng)堡壘機(jī)實(shí)現(xiàn)集中的身份鑒別、訪問(wèn)授權(quán)和操作審計(jì);部署信創(chuàng)網(wǎng)絡(luò)管理系統(tǒng),網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測(cè);部署信創(chuàng)日志審計(jì)系統(tǒng),對(duì)分散在網(wǎng)絡(luò)中的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析;部署信創(chuàng)態(tài)勢(shì)感知平臺(tái),支撐安全監(jiān)測(cè)、分析、預(yù)警、響應(yīng)、處置、追溯等安全管理和運(yùn)維工作。

3.2 安全技術(shù)措施應(yīng)用

針對(duì)信創(chuàng)網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì),形成了信創(chuàng)網(wǎng)絡(luò)安全防護(hù)架構(gòu)體系,如圖4所示。

圖4 信創(chuàng)網(wǎng)絡(luò)安全防護(hù)架構(gòu)體系

4 結(jié)語(yǔ)

設(shè)計(jì)方案符合國(guó)家等保2.0和國(guó)家電子政務(wù)外網(wǎng)安全防護(hù)相關(guān)要求,為用戶構(gòu)建縱深安全防護(hù)體系,提高監(jiān)測(cè)、預(yù)警、響應(yīng)、處置、追溯能力,且符合國(guó)家信創(chuàng)相關(guān)政策要求,全面采用信創(chuàng)安全防護(hù)產(chǎn)品,為客戶提供更加完善的國(guó)產(chǎn)化網(wǎng)絡(luò)安全防御能力。