等保2.0標準我的解讀（三）：安全區域邊界

 宇宸 FreeBuf 

本控制項也是等保 2.0 標準的新增內容，主要關注網絡環境安全，相比舊標準除了可信驗證要求外，其餘部分和網絡安全類似，同屬三重防禦之一。

等保2.0標準我的解讀系列文章

等保2.0標準我的解讀（一）：新坑開放

等保2.0標準我的解讀（二）：安全通訊網絡

標準原文

8.1.3  安全區域邊界

8.1.3.1  邊界防禦

a) 應保證跨越邊界的訪問和數據流經過邊界設備提供的受控接口進行通訊；

b) 應可以對非受權設備私自聯到內部網絡的行爲進行檢查或限制；

c) 應可以對內部用戶非受權聯到外部網絡的行爲進行檢查或限制；

d) 應限制無線網絡的使用，保證無線網絡經過受控的邊界設備接入內部網絡。

8.1.3.2  訪問控制

a) 應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則，默認狀況下除容許通訊外受控接口拒絕全部通訊；

b) 應刪除多餘或無效的訪問控制規則，優化訪問控制列表，並保證訪問控制規則數量最小化；

c) 應對源地址、目的地址、源端口、目的端口和協議等進行檢查，以容許/拒絕數據包進出；

d) 應能根據會話狀態信息爲進出數據流提供明確的容許/拒絕訪問的能力；

e) 應對進出網絡的 數據流實現基於應用協議和應用內容的訪問控制。

8.1.3.3  ***防範

a) 應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡***行爲；

b) 應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡***行爲；

c) 應採起技術措施對網絡行爲進行分析，實現對網絡***特別是新型網絡***行爲的分析；

d) 當檢測到***行爲時，記錄***源 IP 、***類型、***目標 、***時間，在發生嚴重***事件時應提供報警。

8.1.3.4  惡意代碼和垃圾郵件防範

a) 應在關鍵網絡節點處對惡意代碼進行檢測和清除，並維護惡意代碼防禦機制的升級和更新；

b) 應在關鍵網絡節點處對垃圾郵件進行檢測和防禦，並維護垃圾郵件防禦機制的升級和 更新。

8.1.3.5  安全審計

a) 應在網絡邊界、重要網絡節點進行安全審計，審計覆蓋到每一個用戶，對重要的用戶行爲和重要安全事件進行審計；

b) 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其餘與審計相關的信息；

c) 應對審計記錄進行保護，按期備份，避免受到未預期的刪除、修改或覆蓋等；

d)應能對遠程訪問的用戶行爲、訪問互聯網的用戶行爲等單獨進行行爲審計和數據分析。

8.1.3.6  可信驗證

可基於可信根對邊界設備的系統引導程序、系統程序、重要配置參數和邊界防禦應用程序等進行可信驗證，並在應用程序的關鍵執行環節進行動態可信驗證，在檢測到其可信性受到破壞後進行報警，並將驗證結果造成審計記錄送至安全管理中心。 

主要檢查點

邊界防禦

其實按照之前的舊標準來看，本控制項的部份內容仍是屬於網絡安全的範疇，當前等保2.0 標準中由於重要性將其單獨提出結合一些新的要求，造成的 安全區域邊界這樣一個控制項。

本控制點要求主要是網絡層面邊界安全的防禦能力的檢查。共 4 個要求項，能夠說只要是作過邊界防禦工做的企業環境通常都會知足基本要求，在不深刻解析的狀況下。好比，企業網絡邊界部署下一代防火牆（包含 IDPS 和 WAF 功能，省去一部分投入預算），根據業務設置合理的 ACL 策略，那麼從合規的角度，已經知足一大半的要求了。不過要注意一點，策略和防禦必須作雙向的，不能再以傳統的方法來部署，由內而外的威脅也在逐漸常態化，不能說只考慮別人攻我，我去攻別人就不是安全該管的事了，這種思惟就過於偏激和危險了。

對於內部生產網和辦公網（也包括管理網在內），建議也在邊界設置安全策略，對於未受權設備的接入進行認證和受權，能夠部署防火牆或者採用帶外管理的方式（堡壘機也能夠）來實現。

此外，對於內網人員私接外網的狀況必須引發高度重視，此類行爲一則難以被及時發現，二則存在極大風險，必定要作好管控工做。常見的就是，員工用手機開熱點，機器上開無線或插網卡，這種方式想第一時間發現除非有人舉報或者每臺機器有相關檢測能力的 agent實時反饋到監控平臺（後者實踐可能性較小），一旦將病毒帶入內網，就是一次重大安全事故。某行業企業大面積中招勒索，其實就是內部人員安全意識淡薄，從內部引入病毒，使得邊界部署的各類防禦設備如同擺設通常，此類問題必定要格外重視，首先從管理層面作好教育和宣傳工做，配合技術手段來合理管控。

最後就是無線網絡的管理，通常來講大多企業仍是將其與生產、辦公網絡等隔離的，由於大多無線網絡是提供互聯網訪問的。但也有企業內外網均能訪問，若是企業自身有信心作好管控也不是不能夠，若非如此並不建議。對於無線網絡接入的設備必須經過認證和受權，通常來講會由 AC 來進行控制。這裏標準要求的仍是比較基礎的，很容易實現，可是從安全角度來講，要看是什麼內部網絡，好比生產網，核心業務網，管理網絡，不建議接入無線網絡，如果辦公網或公共網絡能夠按照要求所說進行權限分配後容許接入，可考慮採用mac+ip 綁定的方式，再通過局域網身份認證後容許內網訪問便可。

對於未受權設備私聯內網，和內部用戶私聯外網的檢測怎麼作？這裏提供一些可參考的建議。

（1）基於數據監聽

經過旁路監聽、分析網絡內部的數據包進行檢測，適合有公共網絡出口的網絡（如互聯網），其原理是依靠分析數據包包頭及傳輸協議的某些特殊字段來進行判斷和區分隨身WIFI接入、智能手機接入以及NAT設備接入，如：

1）用IP包的TTL字段變化檢測標準的NAT接入設備。

2）用IP包的ID標識的跳變來確認用戶私接的設備臺數。

3）用HTTP協議中的User-Agent字段來檢測私接上網的智能設備。

4）根據隨身WIFI和免費WIFI的後門，來識別隨身WIFI。

優勢：

1）可以比較準確發現部分智能手機以及隨身WIFI接入，主要跟監聽數據包的覆蓋範圍相關；

2）可以比較準確識別NAT接入設備，並對經過NAT接入的數量進行統計。

缺點：

1）監聽數據的覆蓋範圍決定其檢測範圍，存在漏報，適合有公共出口鏈路的網絡，不適合做爲檢查工具使用；

2）因受限於檢測技術，存在誤報的可能；

3）主要是以檢測爲主，基本不具有針對源頭的阻斷控制能力。

深信服的上網行爲管理系統就是採用此類技術，部署位置大多在互聯網出口處，能夠限制私接WIFI設備沒法訪問互聯網，但沒法控制WIFI設備私自接入內部網絡。

（2）基於客戶端代理

經過在終端桌面系統安裝客戶端代理來監管無線網絡的使用，主要是針對終端自身無線網卡、私接無線WIFI以及使用免費無線WIFI的監管。

優勢：

1）檢測時間短，可以快速發現上述使用無線網絡的違規行爲，不會產生誤報；

2）響應速度快，能夠對上述違規使用無線網絡的行爲進行快速阻斷控制。

缺點：

1）沒法針對未安裝客戶端代理的終端桌面系統進行管控；

2）沒法針對無線路由設備的私接進行監管，由於此類設備沒法安裝客戶端代理；

3）實施和維護的工做量大，因客戶端代理容易被卸載等緣由，影響總體監管效果，容易產生漏報。

北信源的桌面管理系統就是採用此類技術，部署在終端PC上，能夠限制使用無線網卡、隨身WIFI以及免費WIFI，但沒法限制私接無線路由設備。

（3）基於網絡掃描

主要是經過ICMP、SNMP、TCP以及UDP掃描技術，借鑑操做系統指紋識別技術造成本地的協議特徵庫，以此判斷目標機是不是NAT接入設備、智能手機設備、隨身WIFI接入設備和免費WIFI接入設備等。

優勢：

1）可以比較準確發現部分智能手機以及隨身WIFI接入，覆蓋範圍跟掃描範圍相關，適合大中型網絡，可做爲檢查和管理工具使用；

2）可以比較準確識別經NAT接入的路由設備；

3）可以準確識別無線AP接入，並提供無線AP的SSID號。

4）結合交換機端口定位技術能夠對違規接入設備進行網絡定位和阻斷控制。

缺點：

因採用遠程網絡掃描機制，存在漏報和誤報可能。

訪問控制

本控制點沒有較明顯的變化，基本仍是針對訪問策略的要求。首先對於ACL（以ACL爲表明，大多訪問控制策略仍是基於它來作的），通常來講會根據業務和需求進行設置不一樣區域和地址段的訪問，也包括端口在內。這裏應該作些什麼呢？首先要明白，要求的是邊界或區域間的設備，不是全部設備，所以不要擴大範圍。

 通常來講制定好ACL後，會在末尾添加deny any any（雖然有些設備上是默認自動加入的），這是等保2.0標準中提出的要求，即默認狀況下除容許通訊外受控接口拒絕全部通訊；使用擴展ACL的狀況下，必然會包含五元組的內容（源地址、目的地址、源端口、目的端口和協議），因此這點也沒什麼問題，固然若是偷懶使用簡單ACL的須要及時更新一下。

 對於無效和多餘的訪問控制規則，或者禁用、或者刪除。咱們在設計控制規則的時候也應採用簡單優化的原則，儘量簡潔有效。比如應用中的算法，越簡單資源利用越少的算法纔是最優的。有些企業的設備，運維人員常常變動或者業務需求不斷變動，會產生不少訪問規則，長此以往訪問控制規則數量龐大，哪條有用哪條沒用不得而知，也不敢輕易去刪除，由於不知道會不會影響業務，從而致使浪費設備和帶寬資源，網絡常常出現高延遲現象。針對此類問題，等保2.0標準提出明確要求，那麼企業就要制定人員合理有效管理配置規則。對於新設備還好，老設備已存在上述現象的，須要運維人員多投入一些經歷，理清業務邏輯，若是可能能夠作一下BIA，對於等保2.0標準中新的要求項，必然會成爲檢查測評工做的重點。

最後，還要求了應用層的訪問控制能力，對四到七層的數據有能力進行限制，通常來講是對應WAF（NGFW也具有這類功能）的一些功能，難度不大。可是要注意這裏提到的「和應用內容的訪問控制」，這就擴展到了敏感信息保護和信息安全的領域（敏感文字、黃賭毒內容等），從我的的理解來看，首先基本的數據訪問權限能力都能作到，此外除了具有安全防禦能力外，網絡中還應具有必定的內容過濾功能，好比一些新聞、媒體類的企業，進出數據流中可能包含一些敏感內容，對於這些文字或圖片進行基本的控制是必要的。

插一句無關的話題，從本人的瞭解，大多數自媒體企業（一線的媒體網站）對於內容安全仍是基於人工來作的，第一遍經過機器過濾進行篩選，第二遍由人工團隊進行審覈，第三遍由人工進行二次審覈，以後纔會進行發佈。

信安標準中對內容安全有明確規定，等保2.0標準中只是提了一下，感受更多的仍是偏向於安全層面的訪問控制（即內容訪問和修改權限），內容過濾多是我過慮了，也多是過於引伸出來的檢查點，這裏做爲一個參考便可，企業只要擁有WAF一類的設備，對於訪問控制這部分的要求應該沒什麼問題。

***防範+惡意代碼和垃圾郵件防範

將這兩個控制點放到一塊兒，由於都是防***範疇的。先說***防範部分，等保2.0標準中強調東西雙向檢測和防禦，其實和舊標準差很少，只是強調在關鍵網絡節點（網絡邊界、區域間、重要區域邊界等）檢測和策略要雙向應用，發現***可以對其進行限制（報警、阻斷等），這點提到的是檢測能力。接着就是安全響應能力，因爲當前態勢感知和機器學習完成度不是很高（SOAR也目前不靠譜），因此更多的仍是要人來處理，即安全應急響應團隊。通常來講檢測都是靠設備或軟件來實現，響應靠人。等保2.0標準中對安全事件分析要求也有所提高，特別是對新型***（APT、0day、社工等）的分析能力，這點能夠說是可大可小的，企業根據自身實力和狀況來決定。最起碼的，不管自建團隊仍是外包第三方，對於突發安全事件要有可以檢測的能力、響應處置能力、溯源分析能力；若是有能力，能夠佈置蜜網系統、團隊內具有逆向分析人員、漏洞挖掘人員。本着不該付、不追求完美的態度，把安全作到位就好。

接下來講下惡意代碼和垃圾郵件，至於關鍵網絡節點的惡意代碼檢測，說實話更多的應該是象徵性的，將代碼安全寄但願於設備掃描和特徵匹配，目前來看效果不太好，所以人工代碼審計服務擁有較好的市場份額。但有總比沒有好這是確定的，區域邊界部署安全設備無論怎麼說還能起到必定的防禦做用。從合規角度來講，只要邊界部署安全設備便可。

垃圾郵件防範涉及的就多了一點，之前垃圾郵件只是爲了打廣告作宣傳，如今的垃圾郵件惡意滿滿，各類***、釣魚花樣百出，逐漸成爲須要重點關注的安全風險點。

從安全角度，可將郵件過濾分爲無害垃圾郵件過濾和有害惡意郵件過濾。

無害垃圾郵件包括：

(1)收件人事先沒有提出要求或者贊成接收的廣告、電子刊物、各類形式的宣傳品等宣傳性的電子郵件；

(2)含有欺詐信息的電子郵件。

無害垃圾郵件自己不包含惡意程序。

有害惡意郵件指帶有惡意連接和***程序的電子郵件，包括：

(1)攜帶病毒***程序的惡意電子郵件(隱藏在附件)；

(2)含有釣魚連接的誘騙電子郵件(隱藏在正文或附件)。

電子郵件***的多樣性，決定了郵件安全防禦手段的多元化。

從技術發展看，郵件安全防禦技術分爲四代。第一代垃圾郵件網關對無害垃圾郵件進行過濾，以郵件來源、郵件頭部數據和內容過濾爲主要技術手段，經過靜態特徵識別和關鍵字匹配技術識別垃圾郵件。二十世紀九十年代第一例病毒郵件出現後，可以識別有害惡意程序的病毒郵件網關成爲郵件安全防禦的主流技術；第二代病毒郵件網關經過樣本比對、腳本分析、附件檢查技術進行惡意郵件的分析和識別；隨着郵件應用的日益普遍，釣魚***者開始使用電子郵件做爲URL釣魚、帳號密碼欺騙的載體，第三代郵件安全網關應運而生。第三代郵件安全網關在前兩代來源過濾、內容過濾、特徵識別、惡意程序監測技術基礎上，增長了多樣化的圖片分析、URL監測和行爲分析技術，可以經過分析郵件內容、連接、附件、圖片，識別郵件惡意***意圖和行爲。

近幾年，針對電子郵件的***，技術手段愈來愈專業化。APT***、ATO***、BEC***、免殺***病毒和0DAY漏洞利用等新型***手段層出不窮，傳統郵件過濾技術很難檢測，爲此設計實現了新一代智能惡意郵件監測與溯源系統（即第四代郵件安全防禦技術）。系統融合了郵件的動態分析、沙箱運行、行爲建模、行爲意圖分析、威脅情報分析、大數據分析建模等智能化監測手段進行電子郵件的深度監測，可以識別、溯源複雜的電子郵件***行爲。

涉及檢測過濾技術包括：協議會話信息監測、郵件頭信息監測、URL連接過濾、郵件內容過濾、郵件附件過濾、惡意郵件溯源。這裏參考了一篇論文，有興趣的能夠看看，對於惡意郵件防範的一些思路：《惡意郵件智能監測與溯源技術研究》。

安全審計

這裏必須說明一下，以前一位作等保測評的朋友和我討論過，猜想應該是當時標準排版印刷時出現失誤，將安全區域邊界-安全審計部分三級和四級的要求向搞反了，各位若是能夠查看標準原文，8.1.3.5安全審計要求共4項，而9.1.3.5安全審計要求共3項，一般來講這是不太可能的，四級系統的同一個控制點要求項少於三級系統，但願後續官方會對此進行說明解釋。

安全審計基本每一個控制點都會有，只要注意作好日誌留存工做便可。這裏重點關注的是網絡邊界、重要節點（安全設備、核心設備、匯聚層設備等）的日誌記錄。對於日誌的完整性和保密性也是依舊，避免被修改、專人保管、作好場外備份、作好保密工做等等。此外，等保2.0標準還要求對遠程訪問用戶、訪問互聯網的用戶行爲進行單獨審計和數據分析，這點是新要求。先說一下怎麼理解，由於是安全區域邊界，那麼所涉及到的設備確定只有安全設備和網絡設備，不涉及主機和應用，遠程訪問用戶基本就是遠程登陸設備進行維護（或者是搞事情的***），既然能夠遠程登陸那麼必定是能夠訪問互聯網的，屬於特殊權限用戶（按照正常來講，關鍵節點設備不容許遠程登陸，除非有特殊須要纔會開通權限，並且也是要經過***-跳板機-堡壘機-設備這樣的順序登陸）。對於此類用戶要單獨審計，記錄其操做和訪問日誌，並且對於記錄可以進行分析，對於這點不是很理解，分析什麼，檢查的重點是什麼。從測評要求中看到測評對象是上網行爲管理系統，並且提到互聯網訪問的用戶行爲，那麼理解起來可能就容易了一些，就是針對用戶上網行爲和遠程訪問行爲的檢測和限制。那麼問題來了，這是安全區域邊界，從頭至尾提到的都是網絡關鍵節點，忽然又轉到用戶行爲管理上，感受此項要求放到後邊安全計算環境可能會更好一些。那麼合規的點就很清晰了，上網行爲管理設備，保留好用戶日誌就能夠了。

可信驗證

略。

最後

本控制點偏重點對安全運營能力提出要求，對於企業來講邊界安全規劃應作到：

網絡邊界、區域間和重點區域邊界部署NGFW或具有等效功能的安全設備

安全設備策略有效，除業務須要外關閉其餘多餘訪問權限，ACL最小化原則，使用標準或擴展ACL，刪除多餘無用規則

具有東西雙向檢測、報警和阻斷能力，具有安全事件應急響應能力，其中包括應對和溯源能力

各邊界部署的安全設備具有惡意代碼檢測和郵件過濾模塊，開啓自動升級

對關鍵節點設備全用戶覆蓋審計，日誌留存6個月以上，作好日誌保護和備份工做

配備上網行爲管理設備或等效功能設備

題外話

今天翻Gartner官網，看到一篇CISO寫的文章，以爲蠻有意思，順道翻譯二次加工一下，各位能夠看看，沒準有用。

老闆絕壁會問的5個安全問題

安全主管要彙報給董事會一些他們關心的、對他們有意義的事。除了我的的喜愛和擔心以外，董事會一般還關心三件事：

收益/目標：營業或非營業收入和提升非收益任務目標

費用：避免將來成本開銷和下降運營費用

風險：財務、市場、安全合規、創新、品牌及名譽

權衡性問題

咱們100%安全麼？你能保證麼？

問題分析

像這樣的問題一般是由董事會成員提出的，他們並不真正瞭解安全及其對業務的影響。並不存在100%的安全。CISO的工做是識別風險最高的領域，並根據業務需求分配有限的資源來管理它們。

如何回懟

能夠這樣開頭：「考慮到威脅環境的不斷變化，不太可能消除全部信息風險的來源。個人角色是實施控制來管控風險。隨着業務的增加，咱們必須不斷從新評估什麼樣的風險狀態是適當的。咱們的目標是創建一個可持續的項目，在保護與經營業務之間取得平衡。」

情景類問題

其餘公司什麼狀況？X公司都出來什麼事？咱們公司如今相比之下狀況如何？

問題分析

董事會成員將面臨安全報告、文章、博客和監管機構要求他們瞭解風險的壓力。他們總會問別人在作什麼，尤爲是同行公司。他們想知道「大環境」是什麼樣的，以及他們如何與被人比較。 

如何回懟

要避免猜想其餘公司安全問題的根本緣由，能夠這樣說:「在得到更多信息以前，我不想對X公司的事件進行猜想，但當我知道更多信息時，我會繼續跟進了解狀況。」考慮討論一系列更普遍的安全事件應對措施，好比肯定一個相似的風險點，制定如何修復或更新業務連續性計劃。

風險類問題

你知道公司都有哪些風險麼？有沒有什麼問題讓你睡很差覺？

問題分析

董事會知道接受風險是一種選擇(若是他們不接受，那就是你將要面臨的挑戰)。他們想知道公司的風險是否獲得了控制。CISO應準備好解釋公司的風險承受能力，以確保風險管理決策的制定。

如何回懟

若是說一切良好，沒什麼讓本身睡不安穩的事情。那隻能對你說：「英雄一路走好。」

解釋風險管理決策對業務的影響，並確保你的立場有理有據。後半部分相當重要，由於董事會是根據風險承受能力作出決策的。任何超出容忍水平的風險都須要採起補救措施，要使其在容忍範圍內。這並不必定要求在短期內發生巨大的改變，要小心沒必要要的過分反應。審計委員會將尋求保證，確保重大風險獲得充分管理，在某些狀況下采起微妙的長期持續性改進辦法可能比較適當。

平臺類問題

公司的資源配置是否得當？咱們（安全上）的花銷是否足夠了？爲何花了這麼多錢？

問題分析

董事會但願獲得保證，確保安全和風險管理部門的負責人不會止步不前。董事會成員但願瞭解量化分析和ROI（投資回報率）。

如何回懟

衆所周知，信息安全裏搞定量分析和ROI那就是自尋死路，因此不要主動去搞什麼安全工做的量化收益彙報。

使用一種平衡計分卡（BSC）的方法，其中頂層表達業務指望，並使用一個簡單的容許/拒絕機制說明組織針對這些指望的績效。儘量多地用業務業績而不是技術來解釋指望。績效的基礎是使用一系列客觀標準對安全進行評估的度量。

安全事件問題

這（安全事故）是怎麼搞的？我以爲你能管控住的！到底怎麼回事？

問題分析

當一個事件或事故已經發生，而且董事會已經知道或者CISO正在通知他們時，就會被問到這類問題。

如何回懟

若是你是事件當事人或負責人，那麼第一時間不是甩鍋，而是作事，最快抑制，最大程度止損。固然，某些特殊環境的公司可能不太樣。

安全事件是不可避免的，因此要實事求是。分享你所知道的和你正在作的事情，找出你目前不知道的。簡而言之，認可已發生的安全事件，提供對業務影響的細節彙報，概述須要解決的風險點，並提供緩解計劃。在董事會面前，不要把一個選擇做爲最終選擇。安全與風險的監督責任仍由安全主管承擔，但最終責任必須由董事會/執行層承擔。