等級(jí)保護(hù)測(cè)評(píng):網(wǎng)絡(luò)安全
本篇將會(huì)重點(diǎn)討論一下等保中對(duì)等級(jí)保護(hù)網(wǎng)絡(luò)安全的要求,這里說明一下,文中內(nèi)容全是本人個(gè)人觀點(diǎn),如有不對(duì)的地方歡迎糾正。文章已等保三級(jí)系統(tǒng)為基礎(chǔ),從合規(guī)角度解讀要求??吹接型瑢W(xué)吐槽等保沒用,其實(shí)換個(gè)角度去思考,等保是國家對(duì)信息安全的基線,不保證做到了系統(tǒng)就不會(huì)被黑,但是做不到必然會(huì)被黑,各位還是不要在政策層面過于糾結(jié)。
正文
本部分從網(wǎng)絡(luò)安全方向解讀一下標(biāo)準(zhǔn)的要求點(diǎn)。相比物理安全部分,網(wǎng)絡(luò)可擴(kuò)展的地方不多,廣度縮小,深度增加。
7.1.2 網(wǎng)絡(luò)安全
7.1.2.1 結(jié)構(gòu)安全(G3)
a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間,滿足業(yè)務(wù)高峰期需要;
b)應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要 ;
c)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑;
d)應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖;
e)應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網(wǎng)或網(wǎng)段,并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段;
f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段;
g)應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別,保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。
結(jié)構(gòu)安全層面列出了7條要求,主要涉及的都是網(wǎng)絡(luò)工程方向,一條條解釋一下:
a)這里指網(wǎng)絡(luò)中關(guān)鍵設(shè)備(比如核心交換、匯聚交換,出口防火墻、串聯(lián)接入的IPS和WAF),設(shè)備的處理能力必須要遠(yuǎn)大于系統(tǒng)實(shí)際業(yè)務(wù)的流量,比如A系統(tǒng)1分鐘(高峰期)會(huì)有1Gb的流量,那么關(guān)鍵節(jié)點(diǎn)的設(shè)備至少要有1.3Gb(或者1.5Gb)的處理能力,這點(diǎn)理解起來不難,目前除非很大的平臺(tái),不然一般設(shè)備性能都是過剩的。
b)上邊將的是整個(gè)網(wǎng)絡(luò),這里是指內(nèi)部不同系統(tǒng)或部門線路的帶寬,不難理解,所以不再重復(fù)解釋了。
c)這里說的其實(shí)有些模糊。個(gè)人理解是網(wǎng)絡(luò)中的ACL,業(yè)務(wù)系統(tǒng)中終端訪問服務(wù)器要建立安全通道,像VPN或TLS這類的加密傳輸。
d)這個(gè)不用說了,大家都懂的。另外提一句題外話,就是等保2.0的云計(jì)算擴(kuò)展要求中要繪制云上的網(wǎng)絡(luò)拓?fù)鋱D,有的企業(yè)就懵了,這個(gè)要怎么畫。其實(shí)也一樣的,云上不過就是虛擬化的vSwitch、vRouter、vFW等等的,和傳統(tǒng)物理結(jié)構(gòu)一樣照著畫就好了。
e)就是安全域的劃分,說的再簡介一點(diǎn)就是劃vlan,劃VPC,然后分網(wǎng)段。當(dāng)然大型生產(chǎn)環(huán)境沒這么簡單,就是為了大家便于理解,舉個(gè)簡單的例子。
f)本條說了2點(diǎn)要求,1是重要系統(tǒng)不能沒有任何策略或限制直接訪問外網(wǎng)(相當(dāng)于直連,防護(hù)設(shè)備未設(shè)置訪問規(guī)則一類的情況),無論是直連還是通過其他網(wǎng)絡(luò);2是重要系統(tǒng)要限制訪問,與其他系統(tǒng)隔離。有些系統(tǒng)(比如涉密)會(huì)做物理隔離,但目前采用較多的還是使用邏輯隔離的方式,通過策略進(jìn)行隔離。
g)這里說的是SLA,也是目前沒多少企業(yè)做到的,按照業(yè)務(wù)系統(tǒng)重要程度設(shè)置優(yōu)先級(jí),高峰時(shí)按照優(yōu)先級(jí)分配資源(同樣也適用于系統(tǒng)中的主機(jī)),算是比較費(fèi)時(shí)費(fèi)力的一項(xiàng)工作,大多企業(yè)都是選擇放棄。
PS:補(bǔ)充一下,標(biāo)準(zhǔn)里沒明確提出,但是字里行間也有些關(guān)系的再提一下。
1.外部接入線路至少要有2家(電信、聯(lián)通、移動(dòng))且要做出入口網(wǎng)絡(luò)負(fù)載均衡;
2.網(wǎng)絡(luò)結(jié)構(gòu)中的主要線路要做冗余雙線;
3.關(guān)鍵節(jié)點(diǎn)設(shè)備要做熱冗余(HSRP、VRRP這種)。
7.1.2.2 訪問控制(G3)
a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,啟用訪問控制功能;
b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力 ,控制粒度為端口級(jí);
c)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾,實(shí)現(xiàn)對(duì)應(yīng)用層 HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制;
d)應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接;
e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù);
f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙;
g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問,控制粒度為單個(gè)用戶;
h)應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量。
訪問控制層面共8點(diǎn)要求,都是比較繁瑣的部分。
a)這里要求說的是邊界,不是內(nèi)部,就是要邊界部署防火墻,注意,不是部了,加了策略就OK,還要配置必須生效??赡苡腥擞X得這話說的很白癡,但實(shí)際環(huán)境中就有不少這種情況,墻和策略都很完善,但是沒啟用。
b)ACL策略且細(xì)致度達(dá)到端口的級(jí)別,沒什么說的。
舉個(gè)例子:R1(config)#access-list101 permit udp 10.10.2.0 0.0.0.255 host 172.16.5.1 eq 69
c)現(xiàn)在的NGFW基本沒壓力,這是當(dāng)年標(biāo)準(zhǔn)剛出時(shí)候的要求,另外提到了一點(diǎn)對(duì)內(nèi)容過濾,被一些人關(guān)聯(lián)到了敏感信息審核過濾上,按照當(dāng)年的要求應(yīng)該沒涉及到這方面,不過描述上這么解釋也說得通,畢竟現(xiàn)在網(wǎng)絡(luò)媒體上的敏感詞過濾還是一項(xiàng)大事,據(jù)了解有些平臺(tái)光內(nèi)容過濾團(tuán)隊(duì)就幾百人,而且要倒班,先機(jī)審后人審。
de)這兩點(diǎn)放在一起,其實(shí)要求都是很基礎(chǔ)的,但是認(rèn)真去做的不多。d是說,設(shè)備建立連接后,一段時(shí)間要自動(dòng)斷開連接。比如管理員通過跳板機(jī)先登堡壘機(jī),然后登錄交換機(jī)要開放一個(gè)端口,操作期間接了個(gè)電話,20分鐘后回來繼續(xù)操作。這期間如果有其他人用這臺(tái)跳板機(jī)做一些非計(jì)劃的操作,可能造成嚴(yán)重影響。當(dāng)然,這里只是一個(gè)常見的情況,還有很多其他利用方式。e是說,要設(shè)置設(shè)備的最大流量和連接數(shù),一方面是防止一些簡單攻擊,再一方面避免業(yè)務(wù)請(qǐng)求過多把設(shè)備搞崩了。
f)該項(xiàng)要求從當(dāng)年的角度來看就是為了防ARP欺騙,那個(gè)年代一旦中招主機(jī)一攤一大片,放在今天已經(jīng)不算什么了。
g)這項(xiàng)就是用戶權(quán)限管理,放在現(xiàn)在用高大上的叫法:IAM或者PAM。當(dāng)前環(huán)境要注意的就是越權(quán)問題。
h)這項(xiàng)要求一直沒理解,查了一些資料也問了幾個(gè)老專家,還是沒給我說明白。當(dāng)年檢查的時(shí)候老的防火墻之類設(shè)備中有關(guān)于撥號(hào)用戶的設(shè)置,這里就不亂說了,有了解的可以幫忙留言解釋一下。(個(gè)人理解,就是可以遠(yuǎn)程登錄的賬戶,不能設(shè)置過多此類賬戶)
7.1.2.3 安全審計(jì)(G3)
a)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄;
b)審計(jì)記錄應(yīng)包括:事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息;
c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計(jì)報(bào)表;
d)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù),避免受到未預(yù)期的刪除、修改或覆蓋等。
這部分是測(cè)評(píng)時(shí)的重點(diǎn),有時(shí)候可以一票否決,所以說比較關(guān)鍵。
不分別解釋了,放在一起說,簡單概括:企業(yè)要對(duì)網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量(業(yè)務(wù)、訪問、攻擊等)、操作(登錄、退出、創(chuàng)建、刪除、變更等)進(jìn)行記錄,且要保存至少6個(gè)月;同時(shí)要對(duì)網(wǎng)絡(luò)設(shè)備(包括安全設(shè)備)的運(yùn)行狀況進(jìn)行監(jiān)控,并形成周報(bào)或月報(bào)留存,同樣至少6個(gè)月;此外對(duì)于網(wǎng)絡(luò)日志至少要包括b)中要求的信息,系統(tǒng)中要有日志審計(jì)系統(tǒng)能夠分析和統(tǒng)計(jì)日志,并且生成審計(jì)報(bào)表以供檢查用;對(duì)于保存的日志要場外備份,有專人管理,保證日志的完整性,不能有未預(yù)期的刪除、更改、覆蓋情況。這是等保三對(duì)安全審計(jì)的要求。(對(duì)于流量很大的企業(yè),這項(xiàng)要求是很坑的,比如每天幾個(gè)TB流量的平臺(tái),網(wǎng)絡(luò)日志要保存6個(gè)月,呵呵,都是淚)
7.1.2.4 邊界完整性檢查(S3)
a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對(duì)其進(jìn)行有效阻斷;
b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對(duì)其進(jìn)行有效阻斷。
這部分要求當(dāng)年理解起來挺困難的,結(jié)合現(xiàn)在的一些技術(shù)來看,才理解標(biāo)準(zhǔn)的前瞻性。要求簡單來說就是,系統(tǒng)功能自動(dòng)檢測(cè)和發(fā)現(xiàn)不符合策略和規(guī)則的外聯(lián)內(nèi)和內(nèi)聯(lián)外行為。當(dāng)前的態(tài)勢(shì)感知、蜜罐都可以搞定外聯(lián)內(nèi)的情況,對(duì)于內(nèi)聯(lián)外的檢測(cè),個(gè)人認(rèn)為更多的還是管理層面的事情,技術(shù)手段解決起來難度較大。比如私接無線網(wǎng)卡,辦公筆記本網(wǎng)線接公司網(wǎng),無線接熱點(diǎn),這種情況想第一時(shí)間發(fā)現(xiàn)和阻斷都很難。
7.1.2.5 入侵防范(G3)
a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為:端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等;
b)當(dāng)檢測(cè)到 攻擊行為源 時(shí),記錄攻擊源 IP 、攻擊類型、攻擊目的、攻擊時(shí)間, 在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。
簡單點(diǎn),IPS和WAF就好了。當(dāng)年能配備這些設(shè)備的企業(yè)不多,現(xiàn)在不配備的不多。(這里是符合要求,不是給各位的建議,舉例是便于大家理解)
7.1.2.6 惡意代碼防范(G3)
a)應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除;
b)應(yīng)維護(hù)惡意代碼庫的升級(jí)和檢測(cè)系統(tǒng)的更新。
算是歷史遺留問題了,當(dāng)年的時(shí)候有專門的防毒墻,防火墻會(huì)惡意代碼防護(hù)模塊。但是針對(duì)當(dāng)前來說,惡意代碼已經(jīng)不是威脅,最大的威脅是系統(tǒng)自身的漏洞。這里如果是被檢查,記得開啟設(shè)備中的惡意代碼防范功能就好,一般NGFW和IPS都具備這種防護(hù)能力。
7.1.2.7 網(wǎng)絡(luò)設(shè)備防護(hù)(G3)
a)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別;
b)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制;
c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一;
d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別;
e)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換;
f)應(yīng)具有登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施;
g) 當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽;
h) 應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。
網(wǎng)絡(luò)設(shè)備防護(hù)也算是檢查的一個(gè)重點(diǎn)了,這里不逐條解釋,統(tǒng)一總結(jié)一下:
1.網(wǎng)絡(luò)中要有堡壘機(jī),所有關(guān)鍵設(shè)備必須要通過堡壘機(jī)訪問和登錄;
2.系統(tǒng)中要有3A或4A認(rèn)證,保證對(duì)登錄管理用戶進(jìn)行認(rèn)證和審計(jì)。(3A就是認(rèn)證、授權(quán)、審計(jì);4A在此基礎(chǔ)上增加了可追溯/可問責(zé)性)
3.重要設(shè)備要限制登錄地址(一般就是堡壘機(jī),如特殊情況要遠(yuǎn)程登錄,可在堡壘機(jī)開放遠(yuǎn)程登錄功能,采用VPN方式登錄),有的環(huán)境下可能會(huì)設(shè)置幾臺(tái)跳板機(jī)的IP。
4.網(wǎng)絡(luò)設(shè)備的標(biāo)識(shí)要簡單易懂,運(yùn)維人員一看就知道是什么設(shè)備,且標(biāo)識(shí)不能重復(fù)。
5.采用兩種以上登錄方式,一般有堡壘機(jī)開啟雙因素認(rèn)證就OK了,什么虹膜、指紋、聲控都是扯淡。目前比較多的還是用戶名密碼配合3A認(rèn)證。
6.登錄失敗設(shè)置,要求(1)密碼輸入超過N此后,自動(dòng)鎖定該賬戶M分鐘(通常是N=5,M>15,只是建議,不是要求);(2)登陸后無操作,S分鐘后要自動(dòng)斷開(一般是S<5)。
7.重要設(shè)備不要多人使用一個(gè)超級(jí)管理員賬戶,按照不同的人,不同的部分設(shè)置不同的賬戶,根據(jù)需要設(shè)定權(quán)限,采用最小權(quán)限原則;如果有能力,對(duì)于超級(jí)用戶一般使用前會(huì)先申請(qǐng),審批后方可由專人發(fā)放賬戶,并規(guī)定操作內(nèi)容和操作時(shí)間。
結(jié)尾
以上是網(wǎng)絡(luò)安全部分的解釋和說明。最近各種工作還沒開始,所有有空寫點(diǎn)東西。關(guān)于網(wǎng)絡(luò)部分除了上述描述外,檢查中還會(huì)涉及到網(wǎng)絡(luò)設(shè)備和安全設(shè)備的上機(jī)檢查,具體內(nèi)容有興趣的可以看看這兩個(gè)標(biāo)準(zhǔn)《YD/T 2698-2014》、《YD/T 2699-2014》。里邊具體的檢查點(diǎn)和檢查方法都是配合等保要求來的。后續(xù)會(huì)陸續(xù)更新,謝謝各位支持。
等級(jí)保護(hù)測(cè)評(píng)系列介紹
等級(jí)保護(hù)測(cè)評(píng)(一):物理安全
等級(jí)保護(hù)測(cè)評(píng)(二):網(wǎng)絡(luò)安全
等級(jí)保護(hù)測(cè)評(píng)(三):主機(jī)安全
等級(jí)保護(hù)測(cè)評(píng)(四):應(yīng)用與數(shù)據(jù)安全
等級(jí)保護(hù)測(cè)評(píng)(五):制度與人員安全