隨著等保2.0正式生效以來，各行各業(yè)都在為了過每年等保測(cè)評(píng)操碎了心。很多單位安全負(fù)責(zé)人以為買幾臺(tái)安全設(shè)備就可以大搖大擺的通過等保測(cè)評(píng)，殊不知過等保2.0的要求是具有相應(yīng)的安全防護(hù)能力或措施，尤其是一些高壓線條例，更是要求實(shí)打?qū)嵉臐M足。

借著最近在研究等保高風(fēng)險(xiǎn)項(xiàng)說明《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引》，我給大家分享一下我對(duì)等保2.0中高危項(xiàng)的理解。本次介紹的安全的區(qū)域邊界，共分為邊界防護(hù)、訪問控制、入侵防范、惡意代碼和垃圾郵件、安全審計(jì)以及可信驗(yàn)證。

 

邊界防護(hù)

(1) 互聯(lián)網(wǎng)邊界安全管控

• 要求：針對(duì)所有級(jí)別的系統(tǒng)，對(duì)于互聯(lián)網(wǎng)邊界側(cè)的安全防護(hù)設(shè)備，如果無任何安全控制措施或配置錯(cuò)誤的策略(例如允許所有流量交互)、無法及時(shí)管理訪問控制設(shè)備并且根據(jù)安全需求及時(shí)更新策略，可判定為高風(fēng)險(xiǎn)。
• 高風(fēng)險(xiǎn)原因：互聯(lián)網(wǎng)充滿了安全威脅與不確定性，出口側(cè)缺少防御措施，將導(dǎo)致內(nèi)部網(wǎng)絡(luò)直接系統(tǒng)暴露在互聯(lián)網(wǎng)中，極易成為被攻擊的目標(biāo)。
• 解決方案：采用具有訪問控制的產(chǎn)品或技術(shù)(ACL控制)，可使用防火墻、交換機(jī)、路由器等產(chǎn)品實(shí)現(xiàn)。
• 個(gè)人補(bǔ)充：邊界安全，尤其是互聯(lián)網(wǎng)出口邊界安全是安全建設(shè)的重點(diǎn)之一。在給用戶做規(guī)劃時(shí)，除了考慮訪問控制措施之外，更需要關(guān)注策略的細(xì)粒度化與動(dòng)態(tài)化，太粗的策略以及萬年不變的策略往往也是網(wǎng)絡(luò)的安全隱患。

(2) 非法內(nèi)聯(lián)&非法外聯(lián)

• 要求：對(duì)于三級(jí)以上物理環(huán)境、網(wǎng)絡(luò)環(huán)境不可控的系統(tǒng)，非授權(quán)的外部設(shè)備可訪問內(nèi)部的重要的服務(wù)或業(yè)務(wù)并且未采用任何限制措施;內(nèi)部重要服務(wù)器、業(yè)務(wù)端可以連接至外部網(wǎng)絡(luò)并且未采用任何限制措施;內(nèi)部人員可以繞過控制設(shè)備訪問外網(wǎng)并且未采用任何限制措施，有上面三種之一的可判定為高風(fēng)險(xiǎn)。
• 高風(fēng)險(xiǎn)原因：內(nèi)部重要資產(chǎn)與外部之間的互聯(lián)互通，都會(huì)導(dǎo)致這臺(tái)主機(jī)暴露在風(fēng)險(xiǎn)中，輕則主機(jī)相關(guān)信息被不法分子通過掃描工具、爬蟲軟件獲取，重則通過主機(jī)漏洞獲取權(quán)限、投放病毒，甚至通過這臺(tái)主機(jī)作為跳板，從而橫向攻擊同區(qū)域內(nèi)其他業(yè)務(wù)系統(tǒng)。
• 解決方案：部署檢測(cè)、阻斷非法外聯(lián)或內(nèi)聯(lián)的產(chǎn)品，例如準(zhǔn)入控制、非法內(nèi)聯(lián)/外聯(lián)掃描等，此外，做好物理、網(wǎng)絡(luò)環(huán)境管控(例如嚴(yán)格限制機(jī)房出入、IP-MAC綁定)、終端安全管理(USB接口、無線網(wǎng)卡限制)都可以降低風(fēng)險(xiǎn)等級(jí)。
• 個(gè)人補(bǔ)充：未經(jīng)允許下的內(nèi)外網(wǎng)互訪不能單單依靠技術(shù)措施來實(shí)現(xiàn)防護(hù)，建議結(jié)合管理、運(yùn)維等措施來實(shí)現(xiàn)，管理上例如采用預(yù)防(做好安全意識(shí)培訓(xùn)，多用故事嚇唬嚇唬)、威脅(發(fā)現(xiàn)非法外聯(lián)警告、罰款)等，運(yùn)維上及時(shí)發(fā)現(xiàn)異常連接記錄、及時(shí)處置。

(3) 無線網(wǎng)絡(luò)管理

• 要求：對(duì)于三級(jí)以上的系統(tǒng)，無線網(wǎng)絡(luò)與核心網(wǎng)絡(luò)互通，并且缺乏有效的訪問控制、身份鑒別策略，存在非授權(quán)接入的隱患，可判定為高風(fēng)險(xiǎn)。
• 高風(fēng)險(xiǎn)原因：無線因其便捷性，用戶可以在任意位置、任意時(shí)間通過無線接入網(wǎng)絡(luò)內(nèi)，如果缺乏有效的身份認(rèn)證、操作授權(quán)措施，將無法確保接入人員的可靠性，導(dǎo)致安全風(fēng)險(xiǎn)。
• 解決方案：可通過無線準(zhǔn)入控制產(chǎn)品實(shí)現(xiàn)人員的安全接入，例如NAC，也可以限制無線的范圍或者接入的認(rèn)證強(qiáng)度、訪問控制。
• 個(gè)人補(bǔ)充：不同于以往有線場(chǎng)景下的接入點(diǎn)可控，無線的引入導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)邊界模糊，這種情況下更需要注重對(duì)人員身份管控、權(quán)限分配、日志溯源，有點(diǎn)“零信任”那味兒了。

訪問控制

(1) 互聯(lián)網(wǎng)邊界訪問控制

• 要求：針對(duì)所有系統(tǒng)，在互聯(lián)網(wǎng)出口邊界處未采取訪問控制策略或配置錯(cuò)誤的策略(例如業(yè)務(wù)全通策略)，可判定為高風(fēng)險(xiǎn)
• 高風(fēng)險(xiǎn)原因：互聯(lián)網(wǎng)充滿了安全威脅與不確定性，出口側(cè)缺少防御措施，將導(dǎo)致內(nèi)部網(wǎng)絡(luò)直接系統(tǒng)暴露在互聯(lián)網(wǎng)中，極易成為被攻擊的目標(biāo)。
• 解決方案：采用具有訪問控制的產(chǎn)品或技術(shù)(ACL控制)，可使用防火墻、交換機(jī)、路由器等產(chǎn)品實(shí)現(xiàn)。
• 個(gè)人補(bǔ)充：《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引》多次強(qiáng)調(diào)互聯(lián)網(wǎng)邊界安全控制，可見其重要程度。

(2) 通信協(xié)議轉(zhuǎn)換及隔離

• 要求：針對(duì)四級(jí)以上系統(tǒng)，可控網(wǎng)絡(luò)(例如SM網(wǎng))與不可控網(wǎng)絡(luò)(例如普通業(yè)務(wù)網(wǎng))之間數(shù)據(jù)傳輸缺乏通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離(通俗理解就是網(wǎng)絡(luò)線路直連，或者只采用一些弱隔離措施，例如ACL策略等)，可判定為高風(fēng)險(xiǎn)。
• 高風(fēng)險(xiǎn)原因：ACL策略、訪問控制策略都是通過程序、代碼來實(shí)現(xiàn)，當(dāng)分析、掌握代碼內(nèi)容時(shí)，就會(huì)存在被繞過的風(fēng)險(xiǎn)，從而導(dǎo)致策略失效，進(jìn)而造成安全隱患。
• 解決方案：采取強(qiáng)隔離措施，例如網(wǎng)閘、光閘。或者通過專家進(jìn)行論證，相關(guān)業(yè)務(wù)數(shù)據(jù)無法通過協(xié)議轉(zhuǎn)換等方式進(jìn)行交互，并且采取了其他安全措施，可降低風(fēng)險(xiǎn)等級(jí)。
• 個(gè)人補(bǔ)充：真正的安全是完全與外界斷開通信，而這也導(dǎo)致業(yè)務(wù)喪失了可用性。對(duì)于正常的業(yè)務(wù)來講，需要在兩者之間找到一個(gè)平衡點(diǎn)，既要實(shí)現(xiàn)可用性，由要確保業(yè)務(wù)的穩(wěn)定、安全。

入侵防范

內(nèi)部&外部攻擊防護(hù)：

• 要求：針對(duì)三級(jí)以上系統(tǒng)，關(guān)鍵節(jié)點(diǎn)(互聯(lián)網(wǎng)側(cè)、核心業(yè)務(wù)系統(tǒng)側(cè))無法識(shí)別、阻止從外部或內(nèi)部發(fā)起的攻擊行為(例如從互聯(lián)網(wǎng)側(cè)發(fā)起的勒索、挖礦攻擊、核心業(yè)務(wù)中毒成為肉雞并作為跳板對(duì)外發(fā)起攻擊)。
• 高風(fēng)險(xiǎn)原因：傳統(tǒng)ACL、訪問控制主要針對(duì)網(wǎng)絡(luò)層、端口層實(shí)現(xiàn)安全防護(hù)，卻缺乏應(yīng)用層的威脅識(shí)別，造成勒索、木馬等病毒感染，導(dǎo)致核心業(yè)務(wù)受到影響。
• 解決方案：在關(guān)鍵節(jié)點(diǎn)采取入侵防御/檢測(cè)/APT防護(hù)等功能，實(shí)現(xiàn)病毒入侵防護(hù);在核心區(qū)域邊界采取嚴(yán)格的訪問控制策略，可降低風(fēng)險(xiǎn)。
• 個(gè)人補(bǔ)充：病毒的防御需要從內(nèi)外網(wǎng)角度考慮，外部主要是因?yàn)榄h(huán)境復(fù)雜未知，攻擊發(fā)起的可能性更高，一般在邊界處采用縱深防御的思路，采用“糖葫蘆”式或多合一的安全產(chǎn)品部署方式。內(nèi)部主要是由于終端側(cè)缺乏有效管控，導(dǎo)致病毒通過U盤、外設(shè)等方式傳播入網(wǎng)(例如2010年震網(wǎng)病毒事件)，這里可以參考安全的計(jì)算機(jī)環(huán)境相關(guān)技術(shù)要求來做防護(hù)。

惡意代碼與垃圾郵件防范

惡意代碼防護(hù)：

• 要求：針對(duì)所有系統(tǒng)，在主機(jī)層面與網(wǎng)絡(luò)層面均沒有惡意代碼清楚措施(如主機(jī)層面的網(wǎng)絡(luò)殺毒軟件、網(wǎng)絡(luò)層面的入侵防御/檢測(cè))，可判定為高風(fēng)險(xiǎn)。
• 高風(fēng)險(xiǎn)原因：網(wǎng)絡(luò)層面缺乏惡意代碼識(shí)別可能會(huì)導(dǎo)致網(wǎng)絡(luò)中充斥著惡意代碼，主機(jī)層面缺乏惡意代碼識(shí)別可能導(dǎo)致主機(jī)中毒，影響正常業(yè)務(wù)開展。
• 解決方案：主機(jī)層面采用防病毒軟件，網(wǎng)絡(luò)層面采用入侵防御/入侵檢測(cè)。
• 個(gè)人補(bǔ)充：很多釣魚郵件、惡意文件內(nèi)有惡意的進(jìn)程或代碼，但無法通過病毒特征庫來識(shí)別，此時(shí)可以使用動(dòng)態(tài)沙箱模擬終端運(yùn)行環(huán)境，來判斷底層是否有惡意進(jìn)程會(huì)影響正常的業(yè)務(wù)系統(tǒng)。

安全審計(jì)

網(wǎng)絡(luò)安全審計(jì)：

• 要求：針對(duì)所有系統(tǒng)，缺乏對(duì)重要用戶或重要安全事件的記錄與審計(jì)，可判定為高風(fēng)險(xiǎn)
• 高風(fēng)險(xiǎn)原因：發(fā)生網(wǎng)絡(luò)安全事件不可怕，可怕的是不知道為何發(fā)生、怎么發(fā)生。當(dāng)缺乏對(duì)日志、事件的分析，可能會(huì)導(dǎo)致同樣的問題一而再、再而三的發(fā)生，造成持續(xù)化的安全防御難以生效。
• 解決方案：在網(wǎng)絡(luò)邊界、重要節(jié)點(diǎn)采用網(wǎng)絡(luò)、日志等審計(jì)措施，實(shí)現(xiàn)對(duì)事件的記錄、分析，便于溯源。
• 個(gè)人補(bǔ)充：正所謂“知己知彼、百戰(zhàn)百勝”，網(wǎng)絡(luò)安全其實(shí)就是攻與防雙方之間的博弈對(duì)決，對(duì)敵人更了解，就能根據(jù)敵人的思路采取相應(yīng)的反制措施，例如“殺傷鏈模型”、“ATT&CK模型”就是這一類防御思路，以后有機(jī)會(huì)我也會(huì)與大家一同分享。

可信驗(yàn)證

《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引》目前沒有關(guān)于可信驗(yàn)證的高風(fēng)險(xiǎn)項(xiàng)。

總結(jié)

總結(jié)一下安全的區(qū)域邊界中避免高風(fēng)險(xiǎn)項(xiàng)的要求：

• 互聯(lián)網(wǎng)出口一定要做好防御措施，互聯(lián)網(wǎng)出口一定要做好防御措施，互聯(lián)網(wǎng)出口一定要做好防御措施，重要的事情說三遍。
• 邊界防御措施要從物理層、網(wǎng)絡(luò)層、端口層、應(yīng)用層安全出發(fā)，應(yīng)用層的安全更多的是依靠特征識(shí)別、模擬環(huán)境判斷，網(wǎng)絡(luò)層與端口層依靠ACL、訪問控制等策略來實(shí)現(xiàn)，物理層可以通過門禁、監(jiān)控或管理規(guī)范來實(shí)現(xiàn)。
• 現(xiàn)在逐漸火起來零信任的架構(gòu)，雖然是強(qiáng)調(diào)去邊界化，但對(duì)于邊界安全的建設(shè)也是不能忽視的。

以上是我對(duì)安全的區(qū)域邊界高風(fēng)險(xiǎn)項(xiàng)的理解，希望能幫助到大家。