中神通公司技术论坛 » 大地云控 » 从等保的“一个中心，三重防护”看大地云控的功能实现

打印

从等保的“一个中心，三重防护”看大地云控的功能实现

本主题由 linda 于 2024-6-19 10:59 置顶

linda

琳达

版主

Rank: 7 Rank: 7 Rank: 7

发短消息
加为好友
当前离线

1^# 大中小发表于 2024-6-19 10:58 只看该作者

从等保的“一个中心，三重防护”看大地云控的功能实现

前言

普及“网络安全等级保护”需要监管方和用户方相向而行，着重解决用户意愿、能力、资金等现实问题，中神通大地云控是个好起点。

一、网络安全等级保护简介

1）基本概念

《信息安全等级保护管理办法》：国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

2）制度要求

《中华人民共和国网络安全法》：“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改”。

3）地位和作用

国家信息安全保障工作的基本制度、基本国策；开展信息安全工作的基本方法；促进信息化、维护国家信息安全的根本保障。

二、等级保护2.0标准介绍

等级保护2.0主要包括以下6个标准文件（截止2024年）：

l 网络安全等级保护实施指南（GB/T 25058-2020）

l 网络安全等级保护定级指南（GB/T 22240-2020）

l 网络安全等级保护基本要求（GB/T 22239-2019）

l 网络安全等级保护设计技术要求（GB/T 25070-2019）

l 网络安全等级保护测评要求（GB/T 28448-2019）

l 网络安全等级保护测评过程指南（GB/T 28449-2018）

以下摘选这些标准文件中与纵深防御、“一个中心，三重防护”相关的内容，作为前导介绍。

2.1 网络安全等级保护安全设计技术要求

1）通用等级保护安全技术设计框架

根据《GB/T 25070-2019 信息安全技术网络安全等级保护安全设计技术要求》标准的规定，网络安全等级保护安全技术设计包括各级系统安全保护环境的设计及其安全互联的设计，如下图1所示。

各级系统安全保护环境由相应级别的安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心组成。定级系统互联由安全互联部件和跨定级系统安全管理中心组成。

图1 网络安全等级保护安全技术设计框架示意图

2）云计算等级保护安全技术设计框架

结合云计算功能分层框架和云计算安全特点，构建云计算安全设计防护技术框架，包括云用户层、访问层、服务层、资源层、硬件设施层和管理层（跨层功能）。其中一个中心指安全管理中心，三重防护包括安全计算环境、安全区域边界和安全通信网络，具体如下图2所示。

云服务商可以通过提供安全接口和安全服务为云租户提供安全技术和安全防护能力。允许云租户接入第三方安全产品或在云平台选择第三方安全服务。应保证当虚拟机迁移时，访问控制策略随其迁移。

图2 云计算等级保护安全技术设计框架示意图

2.2 网络安全等级保护定级指南

根据《GB/T22240-2020 信息安全技术网络安全等级保护定级指南》标准的规定，定级要素与安全保护等级的关系如下表1所示：

表1 定级要素与安全保护等级的关系表

在云计算环境中，云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级，并根据不同服务模式将云计算平台/系统划分为不同的定级对象。

2.3 网络安全等级保护实施指南

根据《GB/T 25058-2019 信息安全技术网络安全等级保护实施指南》标准的规定，安全技术防护体系由从外到内的“纵深防御”体系构成，具体如下图3所示。其中：

l “物理环境安全防护”保护服务器、网络设备以及其他设备设施免遭地震、火灾、水灾、盗窃等事故导致的破坏

l “通信网络安全防护”保护暴露于外部的通信线路和通信设备

l “网络边界安全防护”对等级保护对象实施边界安全防护，内部不同级别定级对象尽量分别部署在相应保护等级的内部安全区域，低级别定级对象部署在高等级安全区域时应遵循“就高保护”原则

l “计算环境安全防护”即内部安全区域，将实施“主机设备安全防护”和“应用和数据安全防护”

l “安全管理中心”对整个等级保护对象实施统一的安全技术管理

图3 等级保护对象的安全技术体系架构示意图

三、网络安全等级保护测评要求及中神通大地云控的功能实现

根据《GB/T 25070-2019 信息安全技术网络安全等级保护安全设计技术要求》标准的规定，有第一级到第四级的安全设计技术要求；同时，根据《GB/T 28448-2019 信息安全技术网络安全等级保护测评要求》标准的规定，有第一级到第四级的测评要求，以下对第三级测评通用要求及中神通大地云控的功能实现的对应关系做详细分析，如下表2所示。

测评大类	测评小类	测评指标	中神通大地云控功能
安全物理环境		（略）
安全通信网络	网络架构	检测CPU、内存、硬盘、带宽等服务资源；做好IP地址、网络结构、硬件冗余规划	1）系统状态>系统概要 2）系统状态>流量统计功能、网卡、路由 3）系统状态>状态监控 ServerStatus、流量监控、SNMP服务、NetFlow探针
	通讯传输	应采用校验技术或密码技术保证通信过程中数据的完整性、保密性；应在通信前对通信的双方进行验证或认证；应使用硬件密码模块进行密码运算和密钥管理	1）HTTPS、SSH、GRE、Stunnel、加密应用代理等网络应用 2）9种VPN、SSH、加密应用代理服务器 3）11种VPN、SSH、加密应用代理客户端
	可信验证	（略）
安全区域边界	边界防护	应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；应能够对非授权设备私自联到内部网络的行为以及内部用户非授权联到外部网络的行为进行检査或限制（其它略）	1）安全防护>防火墙 IPv4和IPv6双栈防火墙 2）各功能“源IP控制” IPv4和IPv6双栈地址 3）网络设置>NAT策略
	访问控制	应在网络边界设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；应优化访问控制列表，并保证访问控制规则数量最小化；应对源地址、目的地址、源端口、目的端口、协议、会话状态、应用内容等进行检査，以允许/拒绝数据包进出（其它略）	1）系统状态>系统概要 “开放服务列表”显示启用和停用的服务 2）安全防护>防火墙只有启用的服务开启TCP/UDP端口，并且有“源IP控制”、“时间控制”和“流量控制”的限制，停用的服务将关闭端口 Iptables总控策略模板文件，自定义全部服务的状态检测包过滤安全策略，包括IPv4和IPv6双栈安全策略
	入侵防范	应在关键网络节点处监视网络攻击行为，检测、防止或限制从外部、内部发起的网络攻击行为，对网络行为进行分析；当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击事件，在发生严重入侵事件时应提供报警	1）安全防护>HIDS入侵检测 2）安全防护>安全加固系统审计、行为审计
	恶意代码和垃圾邮件防范	应在关键网络节点处对恶意代码、垃圾邮件进行检测和清楚，并维护特征库的升级和更新	1）安全防护>防病毒实时文件系统防护，实时更新特征库 2）安装时自动关闭邮件发送服务
	安全审计	应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等	1）安全防护>安全加固系统审计、行为审计 2）13种系统及应用认证日志：系统、管理员、DNS服务器、WEB代理、IKEv2 VPN、OCSERV VPN、PPTP VPN、L2TP VPN、OpenVPN、WireGuard VPN、SoftEther VPN、SSH服务器、SS服务器 3）日志本地留存、压缩、打包、查询、统计
	可信验证	（略）
安全计算环境	身份鉴别	应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；应采用双因子认证方式对用户进行身份鉴别	1）WEB、SSH、VPN三类用户的增删改管理、认证服务、日志服务（AAAAA服务） 2）本地WEB用户门户，由于用户自主修改密码，初始化TOTP认证、查看资源、查看日志等 3）Fail2ban防暴力破解：WEB、WEB代理、SSH 4）基于HTTPS的WEB管理及WEB用户门户 5）本地TOTP及远程集中RADIUS+TOTP认证
	访问控制	应对登录的用户分配账户和权限；应重命名或删除默认账户，修改默认账户的默认口令；应及时删除或停用多余的、过期的账户，避免共享账户的存在；应授予管理用户所需的最小权限，实现管理用户的权限分离；应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；（其它略）	1）WEB、SSH、VPN三类用户，登陆账号唯一性，有绑定IP、绑定路由、有效期及总流量的限制 2）管理员原子化，细粒度设置不同管理员的权限，实现最小权限的三权分立
	安全审计	（见上）	（见上）
	入侵防范	应遵循最小安装的原则，仅安装需要的组件和应用程序；应关闭不需要的系统服务、默认共享和高危端口；应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；（其他见上）	1）安装程序内置大量组件，只在必要时自动安装所需的组件 2）安全防护>防火墙显示当前监听端口，管理员白名单IP设置管理员IP地址的网络地址范围 3）系统状态>系统概要 “开放服务列表”显示启用的服务 4）WEBAdmin的 JS及CGI程序验证用户输入内容的合法性，非SQL后台，不存在SQL注入的安全隐患 5）安全防护>安全加固 OS升级，自动检测安装OS补丁包；基线测试手工检查OS安全隐患 6）安全防护>HIDS入侵检测及WEBSHELL检测
	恶意代码防范	（见上）	（见上）
	可信验证	（略）
	数据完整性	应采用校验技术保证重要数据在传输过程中的完整性（其它略）	采用HTTPS、SSH等程序保证传输过程中的完整性
	数据保密性	应釆用密码技术保证重要数据在传输过程中的保密性（其它略）	采用HTTPS、SSH等程序保证传输过程中的保密性
	数据备份恢复	应提供重要数据的本地数据备份与恢复功能；应提供异地实时备份、热冗余、异地灾难备份中心等，保证系统的高可用性	1）系统管理>配置管理配置文件加密，保证数据完整性和数据保密性 2）访问控制策略随OS虚拟机的迁移而迁移
	剩余信息保护	应保证鉴别信息、敏感数据所在的存储空间被释放或重新分配前得到完全清除	符合要求
	个人信息保护	应仅采集和保存业务必需的用户个人信息；应禁止未授权访问和非法使用用户个人信息。	符合要求
	其它说明		1）内置安全WEB服务器（包含WAF等）、安全DNS服务器，即插即用的同时保障应用系统的安全 2）自动获取、维护SSL证书
安全管理中心	系统管理	应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计；应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等	管理员原子化，细粒度设置不同管理员的权限，实现最小权限的三权分立
	审计管理	应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对这些操作进行审计；应通过审计管理员对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。	管理员原子化，细粒度设置不同管理员的权限，实现最小权限的三权分立
	安全管理	应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并对这些操作进行审计；应通过安全管理员对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等。	管理员原子化，细粒度设置不同管理员的权限，实现最小权限的三权分立
	集中管理	应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控；应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理	1）安全防护>防火墙管理员白名单IP，可以设置为只允许VPN网络或可信局域网进行管理 2）系统状态>状态监控 ServerStatus、流量监控、SNMP服务、NetFlow探针
安全管理制度		（略）
安全管理机构		（略）
安全管理人员		（略）
安全建设管理		（略）
安全运维管理		（略）

表2 第三级测评通用要求及中神通大地云控的功能实现对应关系表

四、中神通大地云控简介

4.1 中神通大地云控对于等级保护的作用

1）通用安全保护

中神通大地云控可用于网络安全等级保护各级系统安全保护环境建设，即纵深防御理念中的“一个中心，三重防护”：安全管理中心、安全计算环境、安全区域边界、安全通信网络的建设，还可作为安全互联部件及安全管理中心用于定级系统互联和跨定级系统安全管理，具体参见以上图1。

中神通大地云控的全称是中神通大地EDR&DNS&URL&VPN云控管系统，其中，WEBAdmin对应安全管理中心，EDR对应安全计算环境和安全区域边界，DNS、URL对应安全计算环境，VPN对应安全通信网络和安全互联部件。

另外，由于使用门槛低——软件包可以直接下载使用（针对Linux主机或Windows主机+WSL2，免费版功能有限），对于优先级较低、非强制性的“公民、法人和其他组织的合法权益”的等级保护有积极的提升作用，具体参见以上表2。

2）云计算安全保护

针对云计算等级保护，现行做法偏重于云服务商/云平台的等级保护，云服务商为云租户提供的主机安全、WAF、VPN、VPC等安全服务普遍比较昂贵，等保标准《GBT22240-2020 信息安全技术网络安全等级保护定级指南》又规定“云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级”，具体参见以上图2。

为此，中神通大地云控可以填补云服务客户侧（Linux主机或Windows主机+WSL2）等保防护的空白，为终端用户/云用户/云租户/用户层系统安全提供与云平台同等级别的等级保护，还可在零防护、没有等级保护认证的云平台、虚拟化平台、硬件主机上保障终端用户/云用户/云租户/用户层系统自己的网络安全，具体参见以上表2。

下图4为中神通大地云控OS应用模型示意图。

图4 中神通大地云控OS应用模型示意图

4.2 中神通大地云控介绍

1）基本介绍

中神通大地EDR&DNS&URL&VPN云控管系统（简称大地云控/TrustGate）是一套专业的终端网络安全防护及互联互通网络应用增值软件，可将硬件、虚拟化平台打造为IPv4/IPv6双栈分布式云路由器/云原生安全接入网关（DNS/WEB/VPC/NAT/VPN/WAF/EDR/负载均衡/CASG/SASE/SD-WAN），为线上线下OS应用软件/SaaS/PaaS提供全面防护、互联互通的数字化安全网络底座。

2）功能组成

中神通大地云控集安全及效率于一身，包括终端网络安全防护、网络服务器、网络客户端、网络路由器服务、日志留存及WEB管理面板，具体功能有EDR/XDR/EPP安全防护全家桶（防火墙、防病毒、HIDS入侵检测、WAF、数据库防火墙、主机安全加固、蜜罐、弱点扫描等）、IPv4&IPv6&GRE&WARP网络接入，DNS&DDNS权威智能域名解析及代理过滤服务，WebDAV/WEB在线代理/WEB服务器及WEB代理服务器，IKEv2、WireGuard等多种S2S/P2S 全栈VPN服务器及全栈VPN路由客户端，SS/TJ/SSH/V2/Nginx/Stunnel/TLSProxy/KMS/BT客户端/NFS/CIFS应用服务，TCP转换/NAT/路由/流量统计，ServerStatus/SNMP/Netflow等状态监控。全部功能都配有图形界面输入、状态查询、日志留存、源IP控制、目的IP控制、时间控制、流量控制、在线帮助、视频演示等WEB管理界面。

3）适用对象

“云管端”三栖，软硬件兼施，可以部署在内网、边界和云端的X86硬件、虚拟机平台、VPS云服务器上，适用于绝大多数Linux OS（服务器、桌面版、云OS、嵌入式OS等）。客户端软件可以在电脑、手机、平板、路由器、软路由、物联网设备、TV盒子、游戏机、电纸书等多种设备中使用，客户端OS可以是Windows、安卓、iOS、MacOS、Linux等多种平台。

可用于Linux主机及应用的安全防护、网络安全等级保护、权威智能DNS解析、安全WEB服务器、IPv4&IPv6流畅上网、零信任VPN远程接入、P2P/Mesh VPN组网、DevOps、资源发布共享、内网公网穿透、SSO用户认证、上网审计控管、流量统计控制、网络存储、加密传输、保护隐私、绿色上网等，是简捷、有效、副作用小、性价比高的连通及控制互联网的技术措施，能让宽带、流量、服务器的价值得到真正的体现。