隨著等保2.0正式生效以來，各行各業(yè)都在為了過每年等保測評操碎了心。很多單位安全負責(zé)人以為買幾臺安全設(shè)備就可以大搖大擺的通過等保測評，殊不知過等保2.0的要求是具有相應(yīng)的安全防護能力或措施，尤其是一些高壓線條例，更是要求實打?qū)嵉臐M足。

借著最近在研究等保高風(fēng)險項說明《網(wǎng)絡(luò)安全等級保護測評高風(fēng)險判定指引》，我給大家分享一下我對等保2.0中高危項的理解。本次介紹的安全的區(qū)域邊界，共分為邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件、安全審計以及可信驗證。

 

邊界防護

(1) 互聯(lián)網(wǎng)邊界安全管控

• 要求：針對所有級別的系統(tǒng)，對于互聯(lián)網(wǎng)邊界側(cè)的安全防護設(shè)備，如果無任何安全控制措施或配置錯誤的策略(例如允許所有流量交互)、無法及時管理訪問控制設(shè)備并且根據(jù)安全需求及時更新策略，可判定為高風(fēng)險。
• 高風(fēng)險原因：互聯(lián)網(wǎng)充滿了安全威脅與不確定性，出口側(cè)缺少防御措施，將導(dǎo)致內(nèi)部網(wǎng)絡(luò)直接系統(tǒng)暴露在互聯(lián)網(wǎng)中，極易成為被攻擊的目標。
• 解決方案：采用具有訪問控制的產(chǎn)品或技術(shù)(ACL控制)，可使用防火墻、交換機、路由器等產(chǎn)品實現(xiàn)。
• 個人補充：邊界安全，尤其是互聯(lián)網(wǎng)出口邊界安全是安全建設(shè)的重點之一。在給用戶做規(guī)劃時，除了考慮訪問控制措施之外，更需要關(guān)注策略的細粒度化與動態(tài)化，太粗的策略以及萬年不變的策略往往也是網(wǎng)絡(luò)的安全隱患。

(2) 非法內(nèi)聯(lián)&非法外聯(lián)

• 要求：對于三級以上物理環(huán)境、網(wǎng)絡(luò)環(huán)境不可控的系統(tǒng)，非授權(quán)的外部設(shè)備可訪問內(nèi)部的重要的服務(wù)或業(yè)務(wù)并且未采用任何限制措施;內(nèi)部重要服務(wù)器、業(yè)務(wù)端可以連接至外部網(wǎng)絡(luò)并且未采用任何限制措施;內(nèi)部人員可以繞過控制設(shè)備訪問外網(wǎng)并且未采用任何限制措施，有上面三種之一的可判定為高風(fēng)險。
• 高風(fēng)險原因：內(nèi)部重要資產(chǎn)與外部之間的互聯(lián)互通，都會導(dǎo)致這臺主機暴露在風(fēng)險中，輕則主機相關(guān)信息被不法分子通過掃描工具、爬蟲軟件獲取，重則通過主機漏洞獲取權(quán)限、投放病毒，甚至通過這臺主機作為跳板，從而橫向攻擊同區(qū)域內(nèi)其他業(yè)務(wù)系統(tǒng)。
• 解決方案：部署檢測、阻斷非法外聯(lián)或內(nèi)聯(lián)的產(chǎn)品，例如準入控制、非法內(nèi)聯(lián)/外聯(lián)掃描等，此外，做好物理、網(wǎng)絡(luò)環(huán)境管控(例如嚴格限制機房出入、IP-MAC綁定)、終端安全管理(USB接口、無線網(wǎng)卡限制)都可以降低風(fēng)險等級。
• 個人補充：未經(jīng)允許下的內(nèi)外網(wǎng)互訪不能單單依靠技術(shù)措施來實現(xiàn)防護，建議結(jié)合管理、運維等措施來實現(xiàn)，管理上例如采用預(yù)防(做好安全意識培訓(xùn)，多用故事嚇唬嚇唬)、威脅(發(fā)現(xiàn)非法外聯(lián)警告、罰款)等，運維上及時發(fā)現(xiàn)異常連接記錄、及時處置。

(3) 無線網(wǎng)絡(luò)管理

• 要求：對于三級以上的系統(tǒng)，無線網(wǎng)絡(luò)與核心網(wǎng)絡(luò)互通，并且缺乏有效的訪問控制、身份鑒別策略，存在非授權(quán)接入的隱患，可判定為高風(fēng)險。
• 高風(fēng)險原因：無線因其便捷性，用戶可以在任意位置、任意時間通過無線接入網(wǎng)絡(luò)內(nèi)，如果缺乏有效的身份認證、操作授權(quán)措施，將無法確保接入人員的可靠性，導(dǎo)致安全風(fēng)險。
• 解決方案：可通過無線準入控制產(chǎn)品實現(xiàn)人員的安全接入，例如NAC，也可以限制無線的范圍或者接入的認證強度、訪問控制。
• 個人補充：不同于以往有線場景下的接入點可控，無線的引入導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)邊界模糊，這種情況下更需要注重對人員身份管控、權(quán)限分配、日志溯源，有點“零信任”那味兒了。

訪問控制

(1) 互聯(lián)網(wǎng)邊界訪問控制

• 要求：針對所有系統(tǒng)，在互聯(lián)網(wǎng)出口邊界處未采取訪問控制策略或配置錯誤的策略(例如業(yè)務(wù)全通策略)，可判定為高風(fēng)險
• 高風(fēng)險原因：互聯(lián)網(wǎng)充滿了安全威脅與不確定性，出口側(cè)缺少防御措施，將導(dǎo)致內(nèi)部網(wǎng)絡(luò)直接系統(tǒng)暴露在互聯(lián)網(wǎng)中，極易成為被攻擊的目標。
• 解決方案：采用具有訪問控制的產(chǎn)品或技術(shù)(ACL控制)，可使用防火墻、交換機、路由器等產(chǎn)品實現(xiàn)。
• 個人補充：《網(wǎng)絡(luò)安全等級保護測評高風(fēng)險判定指引》多次強調(diào)互聯(lián)網(wǎng)邊界安全控制，可見其重要程度。

(2) 通信協(xié)議轉(zhuǎn)換及隔離

• 要求：針對四級以上系統(tǒng)，可控網(wǎng)絡(luò)(例如SM網(wǎng))與不可控網(wǎng)絡(luò)(例如普通業(yè)務(wù)網(wǎng))之間數(shù)據(jù)傳輸缺乏通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離(通俗理解就是網(wǎng)絡(luò)線路直連，或者只采用一些弱隔離措施，例如ACL策略等)，可判定為高風(fēng)險。
• 高風(fēng)險原因：ACL策略、訪問控制策略都是通過程序、代碼來實現(xiàn)，當分析、掌握代碼內(nèi)容時，就會存在被繞過的風(fēng)險，從而導(dǎo)致策略失效，進而造成安全隱患。
• 解決方案：采取強隔離措施，例如網(wǎng)閘、光閘。或者通過專家進行論證，相關(guān)業(yè)務(wù)數(shù)據(jù)無法通過協(xié)議轉(zhuǎn)換等方式進行交互，并且采取了其他安全措施，可降低風(fēng)險等級。
• 個人補充：真正的安全是完全與外界斷開通信，而這也導(dǎo)致業(yè)務(wù)喪失了可用性。對于正常的業(yè)務(wù)來講，需要在兩者之間找到一個平衡點，既要實現(xiàn)可用性，由要確保業(yè)務(wù)的穩(wěn)定、安全。

入侵防范

內(nèi)部&外部攻擊防護：

• 要求：針對三級以上系統(tǒng)，關(guān)鍵節(jié)點(互聯(lián)網(wǎng)側(cè)、核心業(yè)務(wù)系統(tǒng)側(cè))無法識別、阻止從外部或內(nèi)部發(fā)起的攻擊行為(例如從互聯(lián)網(wǎng)側(cè)發(fā)起的勒索、挖礦攻擊、核心業(yè)務(wù)中毒成為肉雞并作為跳板對外發(fā)起攻擊)。
• 高風(fēng)險原因：傳統(tǒng)ACL、訪問控制主要針對網(wǎng)絡(luò)層、端口層實現(xiàn)安全防護，卻缺乏應(yīng)用層的威脅識別，造成勒索、木馬等病毒感染，導(dǎo)致核心業(yè)務(wù)受到影響。
• 解決方案：在關(guān)鍵節(jié)點采取入侵防御/檢測/APT防護等功能，實現(xiàn)病毒入侵防護;在核心區(qū)域邊界采取嚴格的訪問控制策略，可降低風(fēng)險。
• 個人補充：病毒的防御需要從內(nèi)外網(wǎng)角度考慮，外部主要是因為環(huán)境復(fù)雜未知，攻擊發(fā)起的可能性更高，一般在邊界處采用縱深防御的思路，采用“糖葫蘆”式或多合一的安全產(chǎn)品部署方式。內(nèi)部主要是由于終端側(cè)缺乏有效管控，導(dǎo)致病毒通過U盤、外設(shè)等方式傳播入網(wǎng)(例如2010年震網(wǎng)病毒事件)，這里可以參考安全的計算機環(huán)境相關(guān)技術(shù)要求來做防護。

惡意代碼與垃圾郵件防范

惡意代碼防護：

• 要求：針對所有系統(tǒng)，在主機層面與網(wǎng)絡(luò)層面均沒有惡意代碼清楚措施(如主機層面的網(wǎng)絡(luò)殺毒軟件、網(wǎng)絡(luò)層面的入侵防御/檢測)，可判定為高風(fēng)險。
• 高風(fēng)險原因：網(wǎng)絡(luò)層面缺乏惡意代碼識別可能會導(dǎo)致網(wǎng)絡(luò)中充斥著惡意代碼，主機層面缺乏惡意代碼識別可能導(dǎo)致主機中毒，影響正常業(yè)務(wù)開展。
• 解決方案：主機層面采用防病毒軟件，網(wǎng)絡(luò)層面采用入侵防御/入侵檢測。
• 個人補充：很多釣魚郵件、惡意文件內(nèi)有惡意的進程或代碼，但無法通過病毒特征庫來識別，此時可以使用動態(tài)沙箱模擬終端運行環(huán)境，來判斷底層是否有惡意進程會影響正常的業(yè)務(wù)系統(tǒng)。

安全審計

網(wǎng)絡(luò)安全審計：

• 要求：針對所有系統(tǒng)，缺乏對重要用戶或重要安全事件的記錄與審計，可判定為高風(fēng)險
• 高風(fēng)險原因：發(fā)生網(wǎng)絡(luò)安全事件不可怕，可怕的是不知道為何發(fā)生、怎么發(fā)生。當缺乏對日志、事件的分析，可能會導(dǎo)致同樣的問題一而再、再而三的發(fā)生，造成持續(xù)化的安全防御難以生效。
• 解決方案：在網(wǎng)絡(luò)邊界、重要節(jié)點采用網(wǎng)絡(luò)、日志等審計措施，實現(xiàn)對事件的記錄、分析，便于溯源。
• 個人補充：正所謂“知己知彼、百戰(zhàn)百勝”，網(wǎng)絡(luò)安全其實就是攻與防雙方之間的博弈對決，對敵人更了解，就能根據(jù)敵人的思路采取相應(yīng)的反制措施，例如“殺傷鏈模型”、“ATT&CK模型”就是這一類防御思路，以后有機會我也會與大家一同分享。

可信驗證

《網(wǎng)絡(luò)安全等級保護測評高風(fēng)險判定指引》目前沒有關(guān)于可信驗證的高風(fēng)險項。

總結(jié)

總結(jié)一下安全的區(qū)域邊界中避免高風(fēng)險項的要求：

• 互聯(lián)網(wǎng)出口一定要做好防御措施，互聯(lián)網(wǎng)出口一定要做好防御措施，互聯(lián)網(wǎng)出口一定要做好防御措施，重要的事情說三遍。
• 邊界防御措施要從物理層、網(wǎng)絡(luò)層、端口層、應(yīng)用層安全出發(fā)，應(yīng)用層的安全更多的是依靠特征識別、模擬環(huán)境判斷，網(wǎng)絡(luò)層與端口層依靠ACL、訪問控制等策略來實現(xiàn)，物理層可以通過門禁、監(jiān)控或管理規(guī)范來實現(xiàn)。
• 現(xiàn)在逐漸火起來零信任的架構(gòu)，雖然是強調(diào)去邊界化，但對于邊界安全的建設(shè)也是不能忽視的。

以上是我對安全的區(qū)域邊界高風(fēng)險項的理解，希望能幫助到大家。