18.云计算.物联网安全等保建设

下面几节就等保2.0的扩展要求进行展开：云物大工移。要注意的是，在这些系统进行等保测评的时候，除了要满足通用要求之外，还要满足扩展要求。例如网站放在某个云上，物理环境虽然可以不用测评，但是该云也要满足云的扩展要求，例如位置必须在国内。

云计算概念

关于云计算的基本概念就不罗列了，云按服务分为：IaaS、PaaS、SaaS。还有一个是DaaS（这个也可以划到大数据里面，所以一般没有单独列出来）

云计算等保建设的基本原则

云计算中心仍然是信息系统，也需要依照其重要性进行等级保护。
云计算中心的安全工作必须依照等级保护的要求来建设运维，符合政策要求。
云中租户利用云平台的架构，也是一个信息系统，也需要按照其重要性进行等级保护，云平台提供者必须要考虑运营方式下租户如何合规。
大型云计算平台，宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
平计算平台等级要大于等于租户等保级别。
整个云计算平台的等保建设，除了要满足下面的扩展要求外，通用要求项也是要满足的。对于一些有特殊用的云，例如政务云，还需要参考一些额外的标准：GW0013-2017《政务云安全要求》。
公有云需先定级测评再提供云服务，私有云云平台需先定级测评，再将已定级应用系统向云平台迁移.

云计算安全扩展要求

以下内容摘录自GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》：
云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。对于计算环境主要增加的内容包扩“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云计算环境管理”和“云服务商选择”等方面。

要求小类	二级控制点数量	三级控制点数量
安全物理环境	1	1
安全通信网络	3	5
安全区域边界	7	8
安全计算环境	11	19
安全管理中心	0	4
安全管理制度	0	0
安全管理机构	0	0
安全管理人员	0	0
安全建设管理	6	8
安全运维管理	1	1
合计	29	46

云计算平台等保建设清单（三级）

必选

---

通用要求

---

防火墙：防问控制
IPS：入侵检测
SSL VPN+CA证书：加密传输
堡垒机：管理审计
日志审计/态势感知：日志记录/审计
漏扫：漏洞发现
数据库审计：数据操作审计
AV：网络防病毒
终端杀毒：主机防病毒
WAF：Web攻击防护
服务器安全监控：主机安全监测
安全管理平台：安全集中管理
负载均衡：业务处理能力保障
流量审计
上网行为审计

---

扩展要求

---

基础设施位置
镜像和快照保护
数据备份恢复
剩余信息保护

可选

网页防篡改
APT
抗DDOS
DLP
数据加密

独立安全资源池：一实多虚

就是把安全这块也进行虚拟化，然后分配给相应的租户，以上那些个设备，如果到阿里云上可以看到是可以单独租用的虚拟服务。

上图来自https://help.aliyun.com/document_detail/209842.html?spm=5176.13910061.sslink.6.4017715apWqpkm
我们经常看到的字母v开头的设备就是虚拟安全设备，例如vFirewall。

预期管理能力

云计算本身就是提供服务，因此要把安全也要作为一种服务来看，最终的建设目标是：覆盖云基础设施安全、平台服务安全、应用服务安全以及场景化运维、运营管理，充分适配云等保要求，为云平台和租户提供一体化安全方案。
云安全集中管理：安全资源在云端可见，云平台管理员、租户管理员以及租户根据职责、权限被赋予了不同的管理能力。
安全资源按需申请：将软硬件安全资源服务化，形成云端安全的服务目录，包括FW、LB、WAF、抗DDoS、数据库审计、漏扫、堡垒机等。
租户自主化管理：租户可对所管设备直接下发关键策略，同时也可登录设备进行全面管理。
安全服务编排能力：对安全防护资源具备流量编排能力，完成三层编排。当任意安全服务不可用，可通过编排器自动完成跳过，以保障业务的连续性。
软硬件池化管理：管理员可以按需将安全硬件实例化，形成硬件共享资源池，并可将此与NFV实例混合，提供软硬混合资源池。
运维/运营展示：安全资产使用情况的统计、展示、计费等，可提供运营层面的消费报告，安全资产运行状况的展示、系统安全指数等，汇总租户级安全报告。
集成安全服务：可在线申请应急响应、安全协维、安全培训、渗透测试等安全服务，形成服务流程化管理。
兼容性管理：可通过单点登录的方式实现与第三方安全产品的对接，做到和用户现有产品的兼容性管理。

物联网基本概念

图片来源见水印，物联网无线通信技术按照覆盖距离划分，大致可以分为两类：一类是短距离通信技术，包括蓝牙（Bluetooth），Zigbee，WIFI，NFC，RFID目前主要应用于室内智能家居，消费电子等场景，属于LPLA技术（低功耗局域网）；第二类是远距离通信技术,包括蜂窝通信技术2G/3G/4G/5G及LPWA技术LoRa，Sigfox（这两个是厂商私有标准，可以购买设备进行自组网，使用非授权频谱资源），而eMTC和NB-IOT既属于蜂窝通信技术（这两个来自国际标准，需要使用授权频谱资源），又属于LPWA技术（低功耗广域网）。
由于物联网的应用非常广泛，随着5G、IPv6等技术的发展，其每年也都保持较高的增长，因此保障其安全也是非常重要。物联网安全面临三个方面的问题（基本都是感知层的问题）：
物联网终端涵盖的面很多：战线很长
物联网终端缺乏专用的安全防护：装备很low
物联网终端数量多：要测的东西多

物联网与等保的联系

这里就是要从物联网的构架上来进行分析，虽然在标准里面，物联网不像工控设备需要进一步的划分，但是可以根据物联网的构架进行安全建设。
物联网构架如下图所示（图片来自百度）

图片不是很清晰，但是可以看到总体分三层：应用层、网络传输层、感知层。
应用层包括对感知数据进行存储与智能处理的平台，并对业务应用终端提供服务。一般是云计算平台和业务应用终端和服务器设备。
网络传输层包括将这些感知数据远距离传输到处理中心的网络，包括互联网、移动网等，以及几种不同网络的融合。
感知层包括传感器节点和传感网网关节点，或RFID标签和RFID读写器，也包括这些感知设备及传感网网关、RFID标签与阅读器之间的短距离通信部分。

物联网最广泛的安全缺口在感知层：缺少或者缺失安全防护、弱口令、安全漏洞是感知层节点设备最大的安全风险，但是等保2.0物联网扩展要求部分对物联网安全有层次分明的要求。

云计算安全扩展要求

以下内容摘录自GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》：
云计算安全扩展要求章节针对物联网的特点提出特殊保护要求。对物联网安全扩展：增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。

要求小类	二级控制点数量	三级控制点数量
安全物理环境	2	4
安全通信网络	0	0
安全区域边界	3	3
安全计算环境	0	10
安全管理中心	0	0
安全管理制度	0	0
安全管理机构	0	0
安全管理人员	0	0
安全建设管理	0	0
安全运维管理	2	3
合计	7	20

把上面0的要求类去掉，就变成了：

要求小类	内容
安全物理环境	节点设备物理环境保障、防护合理部署节点设备位置、节点设备电磁环境保障、防护节点设备供电保障
安全区域边界	节点设备准入，IP/MAC准入、设备指纹信息，协议准入、802.1X等多维度认证、安全基线，对网络流量和行为核查，对异常通信、业务流量等报警阻断多网络安全域隔离，感知采集与业务逻辑分割
安全管理中心	感知节点、网关节点自身及之间需双向认证（数字证书等），密钥统一管理流量等安全基线学习、数据标签、哈希检验等，异常告警阻断业务网关，多业务协议适配，协议集成，支持国标/行标互联互通
安全运维管理	完善安全管理，安全运维制度，安全人员管理培训、设备指纹识别，平台资产管理，综合鉴别、设备全生命周期管理模式

物联网等保建设清单（三级）

通用设备

设备名称	设备功能	部署位置
物联网接入网关	识别、准入、认证、鉴权、加密	接入汇聚感知节点
物联网安全控制网关	协议认证、安全阻断	接入汇聚感知节点
物联网应用网关	业务及协议中间件适配等	接入汇聚感知节点
物联网综合网关	一体机模式、识别准入鉴权等服务	接入汇聚感知节点
物联网认证网关	强安全要求，配合数字证书管理，密钥管理的认证网关设备	接入汇聚感知节点
密钥运算、密钥管理服务器	密钥、加密算法支持	中心、分布式
鉴权、权限服务器	权限统一管理	中心、分布式
认证中心服务器	认证管理服务	中心、分布式
物联网瓷产管理安全平台	统一资产管理、全网安全态势、统一运维管理、统一安全管理	中心

扩展设备

设备名称	设备功能	部署位置
NGFW防火墙	边界及通用安全访问控制	区域边界
IPS/IDS	检测设备，通用安全	区域边界
DDoS	边界安全设备	区域边界
安全审计	通用安全审计	中心、分布式
终端准入/安全加固	Pc应用客户端的安全防护	区域边界
堡垒机	统一安全运维	中心