文/孙晓明

信息安全等级保护政策（以下简称“等保”）的推行，使得等保建设开始逐步提到安全建设的日程上来。但是在等保方案的具体设计过程中，各单位却面临诸多困惑。单纯从产品形态和部署方式的角度讲，它与一般的安全解决方案没有明显的区别，因此很难判断方案的可行性。然而，如果严格对照等保基本要求的条文，把等保解决方案写成一个巨大的Checklist，则又会迷失在细节中，失去对方案全局性的把握。本文通过对等保基本要求的分析，以等保关注的若干要点作为等保方案要解决的核心问题，为等保建设方案设计提供一些基本思路。

——“我们的系统定级为3级，请根据我们的实际情况，提供一份3级等保的解决方案吧！”

最近很多用户都对安全厂商提出过类似的要求。然而，当看到提供的解决方案之后，却又感到失望和迷惑。失望是因为很多方案看上去和普通的建设方案没有什么区别，无法判断这些方案对等保的满足情况究竟是怎么样的。迷惑则是因为不同类型的厂商提供的解决方案所强调的重点完全不同，防火墙/IPS厂商会强调对基础网络安全的防护，加密厂商会强调数据传输的加密强度，此外还有强调CA认证和授权体系或者强调主机加固等等形形色色的解决方案，很难判断到底应该按照哪个方案进行建设。

由此，一些用户又把希望寄托于安全服务提供商，认为他们既然不提供具体的产品，应该更加客观。然而，服务提供商的方案要不看上去和厂商的方案差不多，要不就是一个严格对照等保条文的大Checklist。前者同样无法准确的判断对等保要求的满足程度，而后者则失去了对方案的全局性把握，很容易造成项目周期和成本的不可控，最终造成项目的彻底失败。

出现上述问题的原因与等保规范本身的特点很有关系。等保不是“二级系统要有防火墙；三级系统要有IPS；四级系统要加密。”这样的简单生硬的规范，而是对信息安全的方方面面进行了全面分析以后，根据各级系统的特点提出了一系列的技术和管理要求，但是等保规范并没不关注这些要求的实现方式。因此才会出现能看到整体性的方案看不到规范满足性，能看到规范满足性的方案看不到整体性的情况。

如何才能设计出真正的贴近等保要求又具有整体性、可实施性的方案呢？笔者认为，还是要从等保的思想来源和基本要求入手，深入分析以后，找到等保建设的要点，以等保建设要点为基础，形成全局视角，然后在全局视角下形成方案框架，并最终形成建设方案。这样设计出来的方案才能既贴近等保要求又具有实际的可实施性。

一、对等保的核心思想的理解

根据《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）的定义：“信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。”

等保的核心思想是不同业务系统分等级进行保护。它根据信息系统的重要性和受破坏后的危害性，将信息系统划分成五个不同的等级（从一级到五级逐级增高），不同等级有着不同的保护要求。简言之，系统越重要，受破坏后危害越大，则系统的安全等级就越高，保护的要求也就越高。

等保对各级系统的基本要求分为“技术要求”和“管理要求”两大类。技术要求又细分为“物理安全”、“网络安全”、“主机安全”、“应用安全”和数据安全五个部分；管理要求则又细分为“安全管理制度”、“安全管理机构”、“人员安全管理”、“系统建设管理”和“系统运维管理”五个部分。

可见等保涵盖了信息安全的方方面面，希望通过一次性安全建设就可以实现等保合规是不现实的。一次性的安全建设只能为等保合规提供基本的条件，彻底的等保合规还需要在系统日常运维等方方面面做大量认真细致的工作。同时，即使是提供基本合规条件的安全建设，所涵盖的内容也远远超出了一般性安全建设的范围，尤其是物理安全部分更是一般安全建设中不会涉及的部分。

结论1：等保的核心思想是“不同业务系统分等级保护”。

结论2：等保建设只是等保合规的第一步，其内容远远超出一般性的安全建设。

结论2的推论：没有任何一个厂商能够只基于自主产品提供完整的等保解决方案。

建议：等保建设应分内容进行，整个等保建设方案需要超越单一厂商的视角。从大类上讲，物理安全建设和其它安全建设的相关度较低，可以单独设计。除物理安全以外的其他安全要求之间的相关度较高，需要统一设计。

二、等保基本要求的具体内容分析

等保“技术要求”和“管理要求”的具体内容只对需要达到的目标进行了描述，而对要求的实现方式没有做限制。举例来说，等保基本要求6.1.2.2-b中，对2级系统网络访问控制的要求之一为：“应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。”在具体实现上，路由器、交换机的ACL功能和防火墙的访问控制功能都可以实现此要求，而具体采用什么方法来实现就不是等保基本要求所关心的了。

同时，在等保基本要求中，“网络安全”、“主机安全”和“应用安全”等层次都分别提出了类似的安全要求（如访问控制要求）。但是，对不同层次的类似要求是分别实现，还是在一个安全设备上统一实现，又或者结合安全设备和服务器以及应用系统的策略配置来综合实现，同样并没有做具体的规定。这需要结合实际，具体分析而定。

因此，如果将物理安全单独设计，则等保建设方案首先需要着眼的是一个可以帮助实现等保合规的统一安全技术框架，在此框架之上，通过各种安全策略配置或者其它安全管理手段实现各种安全目标（技术目标和管理目标）。这个思路可以称为“技术支撑管理”的设计思路，其核心是将安全策略与设备部署分开，一个设备可能需要实现很多种不同目的的安全策略，而一个具体的安全策略也可能会在不同的设备上实现。

结论3：等保建设应采用“技术支撑管理”的思路。

建议：除物理安全以外，其它安全建设内容应由统一安全技术框架提供基础支撑，通过各种安全策略配置或管理手段实现各项安全要求。

三、技术框架设计的核心要点

等保的核心思想是不同业务系统分等级保护，其基本要求的内容是对某一个具体的业务系统的安全要求，是单业务系统的保护模型。而实际网络中不可能只有一个业务，对于多个业务系统，会有不同的安全级别。即使所有业务都是同一个安全级别，原则上也应该是不同的业务系统各自独立保护。但是，完全的独立保护是不现实的。一方面，业务系统之间必然存在数据共享和交互，否则就是一个一个的信息孤岛，与信息化建设的基本目标背道而驰。另一方面，各自独立保护所需要付出的代价也是巨大的，远远超出了实际承受能力。

解决这一矛盾的手段是分域保护，除安全级别特别高的业务系统需要与其他系统进行物理隔离，单独保护之外，可以将其它不同的业务系统划分在不同的安全域中分别保护。安全域应采用纵向结构，应包含某一业务所需要的终端、网路、服务器、存储等全部内容。不同的安全域之间进行逻辑上的隔离，分别予以保护。同时，各个安全域共享统一的基础网络架构，以实现互联互通并降低整体投资。

因此，从业务角度进行安全域划分是等保技术框架设计的核心要点。

这种即隔离又共享的需求，就要求在基础网络架构中采用VLAN、MPLS VPN等网络虚拟化技术，将一张物理网络划分为若干张互相隔离的逻辑网络，以保证各个业务的相互独立。每个逻辑网络都应该具有独立的计算资源、网络带宽与QoS保证等。同时，需要设计共享MPLS VPN等手段，以保证业务系统之间的互联互通。

结论4：从业务角度进行安全域划分是等保技术框架设计的核心要点，同时，需要保证业务系统之间的隔离与互通。

建议：从业务角度进行安全域划分会产生纵向分域的需求，方案中应采用VLAN、MPLS VPN等网络虚拟化技术构建基础网络承载，作为统一技术框架的具体实现。

四、关注终端归属与保护问题

在现实中，只处理单一业务的终端是比较少的，大多数的终端都会同时处理多个不同安全等级的业务。终端究竟应该怎样定级？按照什么样的级别进行保护？成为了困扰建设单位的一个重要问题。为了简化处理，某些单位甚至干脆给终端单独定级。但是简化处理实际上不符合等保的单业务统一保护的模型。因此，在等保建设方案设计时，需要特别关注对终端的处理问题。

根据终端需要同时处理多业务的特性，最佳的处理方式应该为动态授权与保护，即根据其当前所处理的业务的安全等级来动态的确定安全保护强度。结合之前的网络虚拟化实现业务隔离与互通的基础网络承载，终端的动态保护过程应该为：

• 在终端接入之前，对终端进行认证。认证信息应同时包括用户身份信息和本次需登录的业务系统的信息。
• 根据用户身份信息检查接入权限。
• 根据本次需登录的业务系统信息，检查终端的安全状态是否符合对应的业务系统的安全要求。
• 如上述检查都没有问题，则将终端动态的划分到对应安全域的虚拟网络（VLAN或MPLS VPN）中。

结论5：安全域划分时要关注终端的归属与保护，应采取动态授权与保护的手段。

建议：在进行安全域划分和建设方案设计时，明确终端的动态授权与保护是要点之一。可采用部署准入控制（802.1x或Portal）作为具体实现，在终端接入时实现对终端的认证和安全检查，并根据认证和检查的结果将终端动态划分到某一安全域中。

五、技术实现以及其它安全部署问题。

通过上述设计以后，我们可以得到一个技术框架，并形成了基础的网络承载，它可以满足等保最基本的出发点——不同业务系统分等级保护。而在等保建设中具体应用的安全保护手段，与一般性的安全建设不会有本质的区别。如通过防火墙进行访问控制；通过IPS对L4～7层威胁进行全面的深度防御；通过VPN/加密机实现加密访问；通过CA系统实现认证与授权等等，依然是等保建设中需要采用的具体技术手段。建设单位只需要将自身现状与等保规范进行对比，找到薄弱环节后提炼出技术需求，再根据技术需求汇总出产品部署需求即可。

由于越是基础的部分对整体的实现影响越大，在需要分步实施的时候，先调整好基础框架，再保护系统和应用无疑才是正确的顺序。

这里还需要单独讨论的是，在虚拟化基础网络承载的前提下的安全部署问题。安全产品和设备在网络中的部署方式一般有以下几种：

• 在线部署：将安全设备串接入网络中，如防火墙、IPS、VPN、加密机等都是采用这种部署方式。
• 旁路部署：安全设备通过交换机的镜像端口旁路检查网络流量，如IDS、审计类产品（上网行为审计、数据库审计等）都采用这种部署方式。
• 主机部署：部署在业务服务器之上的安全产品，如主机加固类产品都是采用这种部署模式。
• 独立部署：采用和服务器主机一样的部署模式，如CA系统、SSO（单点登录）系统、硬件漏洞扫描产品都是采用这种部署方式。

在上述部署方式中，网络虚拟化对旁路部署方式、主机部署和独立部署方式基本都不会产生影响。因网络虚拟化而产生重大影响的只有在线部署方式的安全设备。

如果在线设备不支持虚拟化功能，则原本纵向隔离的虚拟网络可能会在该设备上实现互通，这与我们进行纵向业务隔离的要求不符。因此，对于不支持虚拟化技术的安全设备，只能采用专机专用的部署方式：有几个业务安全域就在同一位置部署几台同类产品，每个产品负责一个安全域的安全防护。而对于支持虚拟化技术的安全设备来说，则可以通过虚拟化技术将自己虚拟成为多台各自独立的安全设备，每个虚拟设备对应一个业务安全域。显然，后者成本更低。

结论6：等保的具体实现与一般性安全建设不会有本质区别，具体需求要将现状与等保要求对比后提炼而得。

结论7：分步实施时，应采用先基础网络架构再系统再应用的顺序。

结论8：等保建设方案中，选择支持虚拟化功能的安全产品会有更低的成本。

建议：当方案中采用通过网络虚拟化技术进行业务的纵向隔离的时候，部署在网络中的各种安全设备（如防火墙、IPS等）也应该支持虚拟化功能。

六、总结

整理上述建议，我们将等保建设方案的要点和设计思路归纳为：

1.等保建设方案的范围：
等保建设只是等保合规的第一步，其内容涵盖了信息安全的方方面面。其中物理安全部分可以单独规划，其他安全建设内容需要统一规划。

2.等保建设方案的核心思路——“技术支撑管理”
建立一个统一的安全技术框架，以此为基础支撑，通过各种安全策略配置或管理手段实现各项安全要求。

3.等保建设方案的核心要点——纵向安全域划分
需要从业务的角度进行纵向安全域划分。
通过VLAN、MPLS VPN等网络虚拟化技术实现不同业务安全域之间的纵向隔离和互通，以此作为统一安全技术框架的基础网络承载。
对终端应采取动态授权与保护的手段，根据用户信息与所从事的业务将终端动态的划归某一业务安全域，并根据该业务安全域的等级对终端进行安全保护。

4.等保建设方案的具体实现：
等保的具体实现与一般性安全建设不会有本质区别，具体需求要将现状与等保要求对比后提炼而得。
分步实施时，应采用先基础网络架构再系统再应用得顺序。
对于在线部署的安全设备类型，应尽可能采用虚拟化技术，将一台设备虚拟成为多个虚拟设备，每个虚拟设备分别对应一个业务安全域。成本更低。