等保2.0高風險項之安全的區域邊界

隨着等保2.0正式生效以來，各行各業都在爲了過每一年等保測評操碎了心。不少單位安全負責人覺得買幾臺安全設備就能夠大搖大擺的經過等保測評，卻不知過等保2.0的要求是具備相應的安全防禦能力或措施，尤爲是一些高壓線條例，更是要求實打實的知足。

藉着最近在研究等保高風險項說明《網絡安全等級保護測評高風險斷定指引》，我給你們分享一下我對等保2.0中高危項的理解。本次介紹的安全的區域邊界，共分爲邊界防禦、訪問控制、***防範、惡意代碼和垃圾郵件、安全審計以及可信驗證。

邊界防禦

(1) 互聯網邊界安全管控

• 要求：針對全部級別的系統，對於互聯網邊界側的安全防禦設備，若是無任何安全控制措施或配置錯誤的策略(例如容許全部流量交互)、沒法及時管理訪問控制設備而且根據安全需求及時更新策略，可斷定爲高風險。
• 高風險緣由：互聯網充滿了安全威脅與不肯定性，出口側缺乏防護措施，將致使內部網絡直接系統暴露在互聯網中，極易成爲被***的目標。
• 解決方案：採用具備訪問控制的產品或技術(ACL控制)，可以使用防火牆、交換機、路由器等產品實現。
• 我的補充：邊界安全，尤爲是互聯網出口邊界安全是安全建設的重點之一。在給用戶作規劃時，除了考慮訪問控制措施以外，更須要關注策略的細粒度化與動態化，太粗的策略以及萬年不變的策略每每也是網絡的安全隱患。

(2) 非法內聯&非法外聯

• 要求：對於三級以上物理環境、網絡環境不可控的系統，非受權的外部設備可訪問內部的重要的服務或業務而且未採用任何限制措施;內部重要服務器、業務端能夠鏈接至外部網絡而且未採用任何限制措施;內部人員能夠繞過控制設備訪問外網而且未採用任何限制措施，有上面三種之一的可斷定爲高風險。
• 高風險緣由：內部重要資產與外部之間的互聯互通，都會致使這臺主機暴露在風險中，輕則主機相關信息被不法分子經過掃描工具、爬蟲軟件獲取，重則經過主機漏洞獲取權限、投放病毒，甚至經過這臺主機做爲跳板，從而橫向***同區域內其餘業務系統。
• 解決方案：部署檢測、阻斷非法外聯或內聯的產品，例如准入控制、非法內聯/外聯掃描等，此外，作好物理、網絡環境管控(例如嚴格限制機房出入、IP-MAC綁定)、終端安全管理(USB接口、無線網卡限制)均可以下降風險等級。
• 我的補充：未經容許下的內外網互訪不能單單依靠技術措施來實現防禦，建議結合管理、運維等措施來實現，管理上例如採用預防(作好安全意識培訓，多用故事嚇唬嚇唬)、威脅(發現非法外聯警告、罰款)等，運維上及時發現異常鏈接記錄、及時處置。

(3) 無線網絡管理

• 要求：對於三級以上的系統，無線網絡與核心網絡互通，而且缺少有效的訪問控制、身份鑑別策略，存在非受權接入的隱患，可斷定爲高風險。
• 高風險緣由：無線因其便捷性，用戶能夠在任意位置、任意時間經過無線接入網絡內，若是缺少有效的身份認證、操做受權措施，將沒法確保接入人員的可靠性，致使安全風險。
• 解決方案：可經過無線准入控制產品實現人員的安全接入，例如NAC，也能夠限制無線的範圍或者接入的認證強度、訪問控制。
• 我的補充：不一樣於以往有線場景下的接入點可控，無線的引入致使傳統網絡邊界模糊，這種狀況下更須要注重對人員身份管控、權限分配、日誌溯源，有點「零信任」那味兒了。

訪問控制

(1) 互聯網邊界訪問控制

• 要求：針對全部系統，在互聯網出口邊界處未採起訪問控制策略或配置錯誤的策略(例如業務全通策略)，可斷定爲高風險
• 高風險緣由：互聯網充滿了安全威脅與不肯定性，出口側缺乏防護措施，將致使內部網絡直接系統暴露在互聯網中，極易成爲被***的目標。
• 解決方案：採用具備訪問控制的產品或技術(ACL控制)，可以使用防火牆、交換機、路由器等產品實現。
• 我的補充：《網絡安全等級保護測評高風險斷定指引》屢次強調互聯網邊界安全控制，可見其重要程度。

(2) 通訊協議轉換及隔離

• 要求：針對四級以上系統，可控網絡(例如SM網)與不可控網絡(例如普通業務網)之間數據傳輸缺少通訊協議轉換或通訊協議隔離(通俗理解就是網絡線路直連，或者只採用一些弱隔離措施，例如ACL策略等)，可斷定爲高風險。
• 高風險緣由：ACL策略、訪問控制策略都是經過程序、代碼來實現，當分析、掌握代碼內容時，就會存在被繞過的風險，從而致使策略失效，進而形成安全隱患。
• 解決方案：採起強隔離措施，例如網閘、光閘。或者經過專家進行論證，相關業務數據沒法經過協議轉換等方式進行交互，而且採起了其餘安全措施，可下降風險等級。
• 我的補充：真正的安全是徹底與外界斷開通訊，而這也致使業務喪失了可用性。對於正常的業務來說，須要在二者之間找到一個平衡點，既要實現可用性，由要確保業務的穩定、安全。

***防範

內部&外部***防禦：

• 要求：針對三級以上系統，關鍵節點(互聯網側、核心業務系統側)沒法識別、阻止從外部或內部發起的***行爲(例如從互聯網側發起的勒索、挖礦***、核心業務中毒成爲肉雞並做爲跳板對外發起***)。
• 高風險緣由：傳統ACL、訪問控制主要針對網絡層、端口層實現安全防禦，卻缺少應用層的威脅識別，形成勒索、***等病毒感染，致使核心業務受到影響。
• 解決方案：在關鍵節點採起***防護/檢測/APT防禦等功能，實現病毒***防禦;在覈心區域邊界採起嚴格的訪問控制策略，可下降風險。
• 我的補充：病毒的防護須要從內外網角度考慮，外部主要是由於環境複雜未知，***發起的可能性更高，通常在邊界處採用縱深防護的思路，採用「糖葫蘆」式或多合一的安全產品部署方式。內部主要是因爲終端側缺少有效管控，致使病毒經過U盤、外設等方式傳播入網(例如2010年震網病毒事件)，這裏能夠參考安全的計算機環境相關技術要求來作防禦。

惡意代碼與垃圾郵件防範

惡意代碼防禦：

• 要求：針對全部系統，在主機層面與網絡層面均沒有惡意代碼清楚措施(如主機層面的網絡殺毒軟件、網絡層面的***防護/檢測)，可斷定爲高風險。
• 高風險緣由：網絡層面缺少惡意代碼識別可能會致使網絡中充斥着惡意代碼，主機層面缺少惡意代碼識別可能致使主機中毒，影響正常業務開展。
• 解決方案：主機層面採用防病毒軟件，網絡層面採用***防護/***檢測。
• 我的補充：不少釣魚郵件、惡意文件內有惡意的進程或代碼，但沒法經過病毒特徵庫來識別，此時可使用動態沙箱模擬終端運行環境，來判斷底層是否有惡意進程會影響正常的業務系統。

安全審計

網絡安全審計：

• 要求：針對全部系統，缺少對重要用戶或重要安全事件的記錄與審計，可斷定爲高風險
• 高風險緣由：發生網絡安全事件不可怕，可怕的是不知道爲什麼發生、怎麼發生。當缺少對日誌、事件的分析，可能會致使一樣的問題一而再、再而三的發生，形成持續化的安全防護難以生效。
• 解決方案：在網絡邊界、重要節點採用網絡、日誌等審計措施，實現對事件的記錄、分析，便於溯源。
• 我的補充：正所謂「知己知彼、百戰百勝」，網絡安全其實就是攻與防雙方之間的博弈對決，對敵人更瞭解，就能根據敵人的思路採起相應的反制措施，例如「殺傷鏈模型」、「ATT&CK模型」就是這一類防護思路，之後有機會我也會與你們一同分享。

可信驗證

《網絡安全等級保護測評高風險斷定指引》目前沒有關於可信驗證的高風險項。

總結

總結一下安全的區域邊界中避免高風險項的要求：

• 互聯網出口必定要作好防護措施，互聯網出口必定要作好防護措施，互聯網出口必定要作好防護措施，重要的事情說三遍。
• 邊界防護措施要從物理層、網絡層、端口層、應用層安全出發，應用層的安全更多的是依靠特徵識別、模擬環境判斷，網絡層與端口層依靠ACL、訪問控制等策略來實現，物理層能夠經過門禁、監控或管理規範來實現。
• 如今逐漸火起來零信任的架構，雖然是強調去邊界化，但對於邊界安全的建設也是不能忽視的。