安全資訊

本篇將會(huì )重點(diǎn)討論一下等保中對等級保護網(wǎng)絡(luò )安全的要求，這里說(shuō)明一下，文中內容全是本人個(gè)人觀(guān)點(diǎn)，如有不對的地方歡迎糾正。文章已等保三級系統為基礎，從合規角度解讀要求?？吹接型瑢W(xué)吐槽等保沒(méi)用，其實(shí)換個(gè)角度去思考，等保是國家對信息安全的基線(xiàn)，不保證做到了系統就不會(huì )被黑，但是做不到必然會(huì )被黑，各位還是不要在政策層面過(guò)于糾結。

正文

本部分從網(wǎng)絡(luò )安全方向解讀一下標準的要求點(diǎn)。相比物理安全部分，網(wǎng)絡(luò )可擴展的地方不多，廣度縮小，深度增加。

7.1.2 網(wǎng)絡(luò )安全

7.1.2.1 結構安全（G3）

a)應保證主要網(wǎng)絡(luò )設備的業(yè)務(wù)處理能力具備冗余空間，滿(mǎn)足業(yè)務(wù)高峰期需要；

b)應保證網(wǎng)絡(luò )各個(gè)部分的帶寬滿(mǎn)足業(yè)務(wù)高峰期需要 ；

c)應在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪(fǎng)問(wèn)路徑；

d)應繪制與當前運行情況相符的網(wǎng)絡(luò )拓撲結構圖；

e)應根據各部門(mén)的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；

f)應避免將重要網(wǎng)段部署在網(wǎng)絡(luò )邊界處且直接連接外部信息系統，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；

g)應按照對業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò )發(fā)生擁堵的時(shí)候優(yōu)先保護重要主機。

結構安全層面列出了7條要求，主要涉及的都是網(wǎng)絡(luò )工程方向，一條條解釋一下：

a）這里指網(wǎng)絡(luò )中關(guān)鍵設備（比如核心交換、匯聚交換，出口防火墻、串聯(lián)接入的IPS和WAF），設備的處理能力必須要遠大于系統實(shí)際業(yè)務(wù)的流量，比如A系統1分鐘（高峰期）會(huì )有1Gb的流量，那么關(guān)鍵節點(diǎn)的設備至少要有1.3Gb（或者1.5Gb）的處理能力，這點(diǎn)理解起來(lái)不難，目前除非很大的平臺，不然一般設備性能都是過(guò)剩的。

b)上邊將的是整個(gè)網(wǎng)絡(luò )，這里是指內部不同系統或部門(mén)線(xiàn)路的帶寬，不難理解，所以不再重復解釋了。

c)這里說(shuō)的其實(shí)有些模糊。個(gè)人理解是網(wǎng)絡(luò )中的ACL，業(yè)務(wù)系統中終端訪(fǎng)問(wèn)服務(wù)器要建立安全通道，像VPN或TLS這類(lèi)的加密傳輸。

d)這個(gè)不用說(shuō)了，大家都懂的。另外提一句題外話(huà)，就是等保2.0的云計算擴展要求中要繪制云上的網(wǎng)絡(luò )拓撲圖，有的企業(yè)就懵了，這個(gè)要怎么畫(huà)。其實(shí)也一樣的，云上不過(guò)就是虛擬化的vSwitch、vRouter、vFW等等的，和傳統物理結構一樣照著(zhù)畫(huà)就好了。

e)就是安全域的劃分，說(shuō)的再簡(jiǎn)介一點(diǎn)就是劃vlan，劃VPC，然后分網(wǎng)段。當然大型生產(chǎn)環(huán)境沒(méi)這么簡(jiǎn)單，就是為了大家便于理解，舉個(gè)簡(jiǎn)單的例子。

f)本條說(shuō)了2點(diǎn)要求，1是重要系統不能沒(méi)有任何策略或限制直接訪(fǎng)問(wèn)外網(wǎng)（相當于直連，防護設備未設置訪(fǎng)問(wèn)規則一類(lèi)的情況），無(wú)論是直連還是通過(guò)其他網(wǎng)絡(luò )；2是重要系統要限制訪(fǎng)問(wèn)，與其他系統隔離。有些系統（比如涉密）會(huì )做物理隔離，但目前采用較多的還是使用邏輯隔離的方式，通過(guò)策略進(jìn)行隔離。

g)這里說(shuō)的是SLA，也是目前沒(méi)多少企業(yè)做到的，按照業(yè)務(wù)系統重要程度設置優(yōu)先級，高峰時(shí)按照優(yōu)先級分配資源（同樣也適用于系統中的主機），算是比較費時(shí)費力的一項工作，大多企業(yè)都是選擇放棄。

PS：補充一下，標準里沒(méi)明確提出，但是字里行間也有些關(guān)系的再提一下。

1.外部接入線(xiàn)路至少要有2家（電信、聯(lián)通、移動(dòng)）且要做出入口網(wǎng)絡(luò )負載均衡；

2.網(wǎng)絡(luò )結構中的主要線(xiàn)路要做冗余雙線(xiàn)；

3.關(guān)鍵節點(diǎn)設備要做熱冗余（HSRP、VRRP這種）。

7.1.2.2 訪(fǎng)問(wèn)控制（G3）

a)應在網(wǎng)絡(luò )邊界部署訪(fǎng)問(wèn)控制設備，啟用訪(fǎng)問(wèn)控制功能；

b)應能根據會(huì )話(huà)狀態(tài)信息為數據流提供明確的允許/拒絕訪(fǎng)問(wèn)的能力 ，控制粒度為端口級；

c)應對進(jìn)出網(wǎng)絡(luò )的信息內容進(jìn)行過(guò)濾，實(shí)現對應用層 HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；

d)應在會(huì )話(huà)處于非活躍一定時(shí)間或會(huì )話(huà)結束后終止網(wǎng)絡(luò )連接；

e)應限制網(wǎng)絡(luò )最大流量數及網(wǎng)絡(luò )連接數；

f)重要網(wǎng)段應采取技術(shù)手段防止地址欺騙；

g)應按用戶(hù)和系統之間的允許訪(fǎng)問(wèn)規則，決定允許或拒絕用戶(hù)對受控系統進(jìn)行資源訪(fǎng)問(wèn)，控制粒度為單個(gè)用戶(hù)；

h)應限制具有撥號訪(fǎng)問(wèn)權限的用戶(hù)數量。

訪(fǎng)問(wèn)控制層面共8點(diǎn)要求，都是比較繁瑣的部分。

a)這里要求說(shuō)的是邊界，不是內部，就是要邊界部署防火墻，注意，不是部了，加了策略就OK，還要配置必須生效?？赡苡腥擞X(jué)得這話(huà)說(shuō)的很白癡，但實(shí)際環(huán)境中就有不少這種情況，墻和策略都很完善，但是沒(méi)啟用。

b)ACL策略且細致度達到端口的級別，沒(méi)什么說(shuō)的。

舉個(gè)例子：R1(config)#access-list101 permit udp 10.10.2.0 0.0.0.255 host 172.16.5.1 eq 69

c)現在的NGFW基本沒(méi)壓力，這是當年標準剛出時(shí)候的要求，另外提到了一點(diǎn)對內容過(guò)濾，被一些人關(guān)聯(lián)到了敏感信息審核過(guò)濾上，按照當年的要求應該沒(méi)涉及到這方面，不過(guò)描述上這么解釋也說(shuō)得通，畢竟現在網(wǎng)絡(luò )媒體上的敏感詞過(guò)濾還是一項大事，據了解有些平臺光內容過(guò)濾團隊就幾百人，而且要倒班，先機審后人審。

de)這兩點(diǎn)放在一起，其實(shí)要求都是很基礎的，但是認真去做的不多。d是說(shuō)，設備建立連接后，一段時(shí)間要自動(dòng)斷開(kāi)連接。比如管理員通過(guò)跳板機先登堡壘機，然后登錄交換機要開(kāi)放一個(gè)端口，操作期間接了個(gè)電話(huà)，20分鐘后回來(lái)繼續操作。這期間如果有其他人用這臺跳板機做一些非計劃的操作，可能造成嚴重影響。當然，這里只是一個(gè)常見(jiàn)的情況，還有很多其他利用方式。e是說(shuō)，要設置設備的最大流量和連接數，一方面是防止一些簡(jiǎn)單攻擊，再一方面避免業(yè)務(wù)請求過(guò)多把設備搞崩了。

f)該項要求從當年的角度來(lái)看就是為了防ARP欺騙，那個(gè)年代一旦中招主機一攤一大片，放在今天已經(jīng)不算什么了。

g)這項就是用戶(hù)權限管理，放在現在用高大上的叫法：IAM或者PAM。當前環(huán)境要注意的就是越權問(wèn)題。

h)這項要求一直沒(méi)理解，查了一些資料也問(wèn)了幾個(gè)老專(zhuān)家，還是沒(méi)給我說(shuō)明白。當年檢查的時(shí)候老的防火墻之類(lèi)設備中有關(guān)于撥號用戶(hù)的設置，這里就不亂說(shuō)了，有了解的可以幫忙留言解釋一下。（個(gè)人理解，就是可以遠程登錄的賬戶(hù)，不能設置過(guò)多此類(lèi)賬戶(hù)）

7.1.2.3 安全審計（G3）

a)應對網(wǎng)絡(luò )系統中的網(wǎng)絡(luò )設備運行狀況、網(wǎng)絡(luò )流量、用戶(hù)行為等進(jìn)行日志記錄；

b)審計記錄應包括：事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計相關(guān)的信息；

c)應能夠根據記錄數據進(jìn)行分析，并生成審計報表；

d)應對審計記錄進(jìn)行保護，避免受到未預期的刪除、修改或覆蓋等。

這部分是測評時(shí)的重點(diǎn)，有時(shí)候可以一票否決，所以說(shuō)比較關(guān)鍵。

不分別解釋了，放在一起說(shuō)，簡(jiǎn)單概括：企業(yè)要對網(wǎng)絡(luò )中的網(wǎng)絡(luò )流量（業(yè)務(wù)、訪(fǎng)問(wèn)、攻擊等）、操作（登錄、退出、創(chuàng )建、刪除、變更等）進(jìn)行記錄，且要保存至少6個(gè)月；同時(shí)要對網(wǎng)絡(luò )設備（包括安全設備）的運行狀況進(jìn)行監控，并形成周報或月報留存，同樣至少6個(gè)月；此外對于網(wǎng)絡(luò )日志至少要包括b)中要求的信息，系統中要有日志審計系統能夠分析和統計日志，并且生成審計報表以供檢查用；對于保存的日志要場(chǎng)外備份，有專(zhuān)人管理，保證日志的完整性，不能有未預期的刪除、更改、覆蓋情況。這是等保三對安全審計的要求。（對于流量很大的企業(yè)，這項要求是很坑的，比如每天幾個(gè)TB流量的平臺，網(wǎng)絡(luò )日志要保存6個(gè)月，呵呵，都是淚）

7.1.2.4 邊界完整性檢查（S3）

a)應能夠對非授權設備私自聯(lián)到內部網(wǎng)絡(luò )的行為進(jìn)行檢查，準確定出位置，并對其進(jìn)行有效阻斷；

b)應能夠對內部網(wǎng)絡(luò )用戶(hù)私自聯(lián)到外部網(wǎng)絡(luò )的行為進(jìn)行檢查，準確定出位置，并對其進(jìn)行有效阻斷。

這部分要求當年理解起來(lái)挺困難的，結合現在的一些技術(shù)來(lái)看，才理解標準的前瞻性。要求簡(jiǎn)單來(lái)說(shuō)就是，系統功能自動(dòng)檢測和發(fā)現不符合策略和規則的外聯(lián)內和內聯(lián)外行為。當前的態(tài)勢感知、蜜罐都可以搞定外聯(lián)內的情況，對于內聯(lián)外的檢測，個(gè)人認為更多的還是管理層面的事情，技術(shù)手段解決起來(lái)難度較大。比如私接無(wú)線(xiàn)網(wǎng)卡，辦公筆記本網(wǎng)線(xiàn)接公司網(wǎng)，無(wú)線(xiàn)接熱點(diǎn)，這種情況想第一時(shí)間發(fā)現和阻斷都很難。

7.1.2.5 入侵防范（G3）

a)應在網(wǎng)絡(luò )邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區溢出攻擊、IP 碎片攻擊和網(wǎng)絡(luò )蠕蟲(chóng)攻擊等；

b)當檢測到 攻擊行為源 時(shí)，記錄攻擊源 IP 、攻擊類(lèi)型、攻擊目的、攻擊時(shí)間， 在發(fā)生嚴重入侵事件時(shí)應提供報警。

簡(jiǎn)單點(diǎn)，IPS和WAF就好了。當年能配備這些設備的企業(yè)不多，現在不配備的不多。（這里是符合要求，不是給各位的建議，舉例是便于大家理解）

7.1.2.6 惡意代碼防范（G3）

a)應在網(wǎng)絡(luò )邊界處對惡意代碼進(jìn)行檢測和清除；

b)應維護惡意代碼庫的升級和檢測系統的更新。

算是歷史遺留問(wèn)題了，當年的時(shí)候有專(zhuān)門(mén)的防毒墻，防火墻會(huì )惡意代碼防護模塊。但是針對當前來(lái)說(shuō)，惡意代碼已經(jīng)不是威脅，最大的威脅是系統自身的漏洞。這里如果是被檢查，記得開(kāi)啟設備中的惡意代碼防范功能就好，一般NGFW和IPS都具備這種防護能力。

7.1.2.7 網(wǎng)絡(luò )設備防護（G3）

a)應對登錄網(wǎng)絡(luò )設備的用戶(hù)進(jìn)行身份鑒別；

b)應對網(wǎng)絡(luò )設備的管理員登錄地址進(jìn)行限制；

c)網(wǎng)絡(luò )設備用戶(hù)的標識應唯一；

d)主要網(wǎng)絡(luò )設備應對同一用戶(hù)選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別；

e)身份鑒別信息應具有不易被冒用的特點(diǎn)，口令應有復雜度要求并定期更換；

f)應具有登錄失敗處理功能，可采取結束會(huì )話(huà)、限制非法登錄次數和當網(wǎng)絡(luò )登錄連接超時(shí)自動(dòng)退出等措施；

g) 當對網(wǎng)絡(luò )設備進(jìn)行遠程管理時(shí)，應采取必要措施防止鑒別信息在網(wǎng)絡(luò )傳輸過(guò)程中被竊聽(tīng)；

h) 應實(shí)現設備特權用戶(hù)的權限分離。

網(wǎng)絡(luò )設備防護也算是檢查的一個(gè)重點(diǎn)了，這里不逐條解釋?zhuān)y一總結一下：

1.網(wǎng)絡(luò )中要有堡壘機，所有關(guān)鍵設備必須要通過(guò)堡壘機訪(fǎng)問(wèn)和登錄；

2.系統中要有3A或4A認證，保證對登錄管理用戶(hù)進(jìn)行認證和審計。（3A就是認證、授權、審計；4A在此基礎上增加了可追溯/可問(wèn)責性）

3.重要設備要限制登錄地址（一般就是堡壘機，如特殊情況要遠程登錄，可在堡壘機開(kāi)放遠程登錄功能，采用VPN方式登錄），有的環(huán)境下可能會(huì )設置幾臺跳板機的IP。

4.網(wǎng)絡(luò )設備的標識要簡(jiǎn)單易懂，運維人員一看就知道是什么設備，且標識不能重復。

5.采用兩種以上登錄方式，一般有堡壘機開(kāi)啟雙因素認證就OK了，什么虹膜、指紋、聲控都是扯淡。目前比較多的還是用戶(hù)名密碼配合3A認證。

6.登錄失敗設置，要求（1）密碼輸入超過(guò)N此后，自動(dòng)鎖定該賬戶(hù)M分鐘（通常是N=5，M>15，只是建議，不是要求）；（2）登陸后無(wú)操作，S分鐘后要自動(dòng)斷開(kāi)（一般是S<5）。

7.重要設備不要多人使用一個(gè)超級管理員賬戶(hù)，按照不同的人，不同的部分設置不同的賬戶(hù)，根據需要設定權限，采用最小權限原則；如果有能力，對于超級用戶(hù)一般使用前會(huì )先申請，審批后方可由專(zhuān)人發(fā)放賬戶(hù)，并規定操作內容和操作時(shí)間。

結尾

以上是網(wǎng)絡(luò )安全部分的解釋和說(shuō)明。最近各種工作還沒(méi)開(kāi)始，所有有空寫(xiě)點(diǎn)東西。關(guān)于網(wǎng)絡(luò )部分除了上述描述外，檢查中還會(huì )涉及到網(wǎng)絡(luò )設備和安全設備的上機檢查，具體內容有興趣的可以看看這兩個(gè)標準《YD/T 2698-2014》、《YD/T 2699-2014》。里邊具體的檢查點(diǎn)和檢查方法都是配合等保要求來(lái)的。后續會(huì )陸續更新，謝謝各位支持。

等級保護測評系列介紹

等級保護測評（一）：物理安全

等級保護測評（二）：網(wǎng)絡(luò )安全

等級保護測評（三）：主機安全

等級保護測評（四）：應用與數據安全

等級保護測評（五）：制度與人員安全

等級保護測評（六）：系統建設管理

等級保護測評（七）：系統運維管理