阿里云官方推出操作系统“等保合规”镜像 -- Alibaba Cloud Linux 等保 2.0 三级版

关注

发布于: 2020 年 11 月 09 日

作者：阿里云操作系统

前言

Alibaba Cloud Linux 2（原 Aliyun Linux 2）是阿里云操作系统团队为云应用场景打造的一款云操作系统。随其发展，使用该系统的用户对安全的需求也不断增加。另一方面，根据国家信息安全部发布的《GB/T22239-2019 信息安全技术网络安全等级保护基本要求》，其中对操作系统提出了一些等级保护要求。那么如何快速构建符合网络安全等级保护制度 2.0（简称等保 2.0）规定的云服务器，有效降低手动配置的人力成本，尽量减少误操作带来的安全隐患，成为诸多企业，尤其是银行、保险、证券等金融客户迫切需要解决的难题之一。针对这一需求，阿里云官方推出操作系统“等保合规”镜像 —— Alibaba Cloud Linux 等保 2.0 三级版，并免费开放给阿里云上的用户使用。具体使用方式请参考：Alibaba Cloud Linux 等保 2.0 三级版镜像使用说明：

https://help.aliyun.com/document_detail/186245.html

背景

网络安全等级保护制度是我国网络安全领域的基本国策、基本制度。1994 年，国务院发布《计算机信息系统安全保护条例》147 号令。该条例首次提出“计算机信息系统实行安全等级保护”，安全等级保护理念由此诞生。

2007 年和 2008 年，国家颁布《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这被视为“等保 1.0”。为适应新技术的发展，解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要，2019 年，由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作，等级保护正式进入“等保 2.0”时代。

产品介绍

Alibaba Cloud Linux 2 在阿里云正式发布以来，在阿里云上积累了大量客户。为了切实解决广大客户在“过保”中遇到的困难，实现“等保操作系统”的开箱即用，在阿里云云安全团队的支持下，阿里云官方操作系统“等保合规”镜像 —— Alibaba Cloud Linux 等保 2.0 三级版镜像应运而生。本产品基于公共镜像 Alibaba Cloud Linux 2 LTS 版本打造，在保障原生镜像兼容性和性能的基础上进行了等保合规适配，帮助用户摆脱复杂的加固操作和繁琐的配置，让用户享受开箱即用的操作系统等保环境。

Alibaba Cloud Linux 等保 2.0 三级版镜像按照《信息安全技术网络安全等级保护基本要求（GB/T 22239-2019）》进行加固。具体而言，它满足以下检查项：

https://yuque.antfin-inc.com/docs/share/b1a99688-ecff-4512-b864-445ab7878a53?inner=GoCKk

阿里云操作系统团队通过专业的技术，依托阿里云云安全的专业检测程序，结合自身测评经验对云服务器相关配置进行深度分析和持续优化，最终精心打磨构造出这款等保合规操作系统镜像，显著降低客户手动配置的人力成本，有效规避人为误操作带来的安全隐患，帮助用户实现：

无需逐一单机配置操作系统等保合规项，即可批量创建等保合规机器；
无需深入理解操作系统等保合规技术，即可快速实现操作系统合规；
无惧配置修改引起的系统故障，即可实现默认安全合规配置；
无需安全预算投入，即可免费获取官方等保合规镜像。

产品实现

首先，我们结合阿里云云安全中心的能力识别当前 Alibaba Cloud Linux 2 LTS 已经满足和还未满足的等保项，通过分析所有风险项的描述，总结发现：

1、每个风险项包含至少一个小项，只有修复该风险项下所有的小项才能修复该风险项。

2、有的风险项比较灵活，需要用户交互，比如“应对登录的用户分配账户和权限 | 访问控制”这一项，需要除系统管理用户之外，应该至少再分配三个用户：普通用户、审计员、安全员帐户。这些账户的名字与密码需要用户自己设定，因此归为用户交互项。

3、有些风险项不需要用户交互，但是会限制用户的登陆以及访问权限，比如：“应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制 | 入侵防范”，会限制登陆机器的 IP；“应授予管理用户所需的最小权限，实现管理用户的权限分离 | 访问控制”，会限制 su 命令的访问权限；“应重命名或删除默认账户，修改默认账户的默认口令 | 访问控制”，会禁止 root 用户登陆。这几项虽然不需要与用户交互，但是如果执行后很有可能用户无法访问机器，从而影响机器的正常使用，所以应该尽可能地在等保加固时考虑不影响机器的正常使用，是加固时需要考虑的难点。

4、剩余的一些风险项既不需要用户交互，也不影响机器的正常使用，比如：“应关闭不需要的系统服务、默认共享和高危端口 | 入侵防范”。这类风险项一般加固建议比较明确，可以直接按照对应的检查项能够很快写出脚本来修复。

因此，在等保加固时，我们把加固脚本分为两大类，一类是“非交互脚本”，直接在镜像构建时加载。另一类是“交互脚本”，需要用户在首次登录系统后，手动运行它来进一步加固配置，使用方式参见 Alibaba Cloud Linux 等保 2.0 三级版镜像使用说明：

https://help.aliyun.com/document_detail/186245.html

意义

伴随云时代的飞速发展，企业上云的步伐也在逐渐加快，越来越多的客户将阿里云作为企业上云的不二选择，并将 Alibaba Cloud Linux 这一阿里云官方操作系统作为业务部署的底层系统，其中很重的原因就是相信阿里云官方能够将操作系统的维护做到最好，等保镜像这一产品意味着阿里云在云产品开发和交付的过程中将安全作为重要组成部分，将合规融入到产品的“血液”中，把安全植入产品的“骨髓”里，能够帮助有等保诉求的客户快速便捷的上云。

联系我们

产品页：https://www.aliyun.com/product/alinux

文档：https://help.aliyun.com/document_detail/111881.html

钉钉群：Alibaba Cloud Linux OS 开发者 &用户群