隨著等保2.0正式生效以來，各行各業都在為了過每年等保測評操碎了心。很多單位安全負責人以為買幾臺安全設備就可以大搖大擺的通過等保測評，殊不知過等保2.0的要求是具有相應的安全防護能力或措施，尤其是一些高壓線條例，更是要求實打實的滿足。

借著最近在研究等保高風險項說明《網絡安全等級保護測評高風險判定指引》，我給大家分享一下我對等保2.0中高危項的理解。本次介紹的安全的區域邊界，共分為邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件、安全審計以及可信驗證。

 

邊界防護

(1) 互聯網邊界安全管控

• 要求：針對所有級別的系統，對于互聯網邊界側的安全防護設備，如果無任何安全控制措施或配置錯誤的策略(例如允許所有流量交互)、無法及時管理訪問控制設備并且根據安全需求及時更新策略，可判定為高風險。
• 高風險原因：互聯網充滿了安全威脅與不確定性，出口側缺少防御措施，將導致內部網絡直接系統暴露在互聯網中，極易成為被攻擊的目標。
• 解決方案：采用具有訪問控制的產品或技術(ACL控制)，可使用防火墻、交換機、路由器等產品實現。
• 個人補充：邊界安全，尤其是互聯網出口邊界安全是安全建設的重點之一。在給用戶做規劃時，除了考慮訪問控制措施之外，更需要關注策略的細粒度化與動態化，太粗的策略以及萬年不變的策略往往也是網絡的安全隱患。

(2) 非法內聯&非法外聯

• 要求：對于三級以上物理環境、網絡環境不可控的系統，非授權的外部設備可訪問內部的重要的服務或業務并且未采用任何限制措施;內部重要服務器、業務端可以連接至外部網絡并且未采用任何限制措施;內部人員可以繞過控制設備訪問外網并且未采用任何限制措施，有上面三種之一的可判定為高風險。
• 高風險原因：內部重要資產與外部之間的互聯互通，都會導致這臺主機暴露在風險中，輕則主機相關信息被不法分子通過掃描工具、爬蟲軟件獲取，重則通過主機漏洞獲取權限、投放病毒，甚至通過這臺主機作為跳板，從而橫向攻擊同區域內其他業務系統。
• 解決方案：部署檢測、阻斷非法外聯或內聯的產品，例如準入控制、非法內聯/外聯掃描等，此外，做好物理、網絡環境管控(例如嚴格限制機房出入、IP-MAC綁定)、終端安全管理(USB接口、無線網卡限制)都可以降低風險等級。
• 個人補充：未經允許下的內外網互訪不能單單依靠技術措施來實現防護，建議結合管理、運維等措施來實現，管理上例如采用預防(做好安全意識培訓，多用故事嚇唬嚇唬)、威脅(發現非法外聯警告、罰款)等，運維上及時發現異常連接記錄、及時處置。

(3) 無線網絡管理

• 要求：對于三級以上的系統，無線網絡與核心網絡互通，并且缺乏有效的訪問控制、身份鑒別策略，存在非授權接入的隱患，可判定為高風險。
• 高風險原因：無線因其便捷性，用戶可以在任意位置、任意時間通過無線接入網絡內，如果缺乏有效的身份認證、操作授權措施，將無法確保接入人員的可靠性，導致安全風險。
• 解決方案：可通過無線準入控制產品實現人員的安全接入，例如NAC，也可以限制無線的范圍或者接入的認證強度、訪問控制。
• 個人補充：不同于以往有線場景下的接入點可控，無線的引入導致傳統網絡邊界模糊，這種情況下更需要注重對人員身份管控、權限分配、日志溯源，有點“零信任”那味兒了。

訪問控制

(1) 互聯網邊界訪問控制

• 要求：針對所有系統，在互聯網出口邊界處未采取訪問控制策略或配置錯誤的策略(例如業務全通策略)，可判定為高風險
• 高風險原因：互聯網充滿了安全威脅與不確定性，出口側缺少防御措施，將導致內部網絡直接系統暴露在互聯網中，極易成為被攻擊的目標。
• 解決方案：采用具有訪問控制的產品或技術(ACL控制)，可使用防火墻、交換機、路由器等產品實現。
• 個人補充：《網絡安全等級保護測評高風險判定指引》多次強調互聯網邊界安全控制，可見其重要程度。

(2) 通信協議轉換及隔離

• 要求：針對四級以上系統，可控網絡(例如SM網)與不可控網絡(例如普通業務網)之間數據傳輸缺乏通信協議轉換或通信協議隔離(通俗理解就是網絡線路直連，或者只采用一些弱隔離措施，例如ACL策略等)，可判定為高風險。
• 高風險原因：ACL策略、訪問控制策略都是通過程序、代碼來實現，當分析、掌握代碼內容時，就會存在被繞過的風險，從而導致策略失效，進而造成安全隱患。
• 解決方案：采取強隔離措施，例如網閘、光閘。或者通過專家進行論證，相關業務數據無法通過協議轉換等方式進行交互，并且采取了其他安全措施，可降低風險等級。
• 個人補充：真正的安全是完全與外界斷開通信，而這也導致業務喪失了可用性。對于正常的業務來講，需要在兩者之間找到一個平衡點，既要實現可用性，由要確保業務的穩定、安全。

入侵防范

內部&外部攻擊防護：

• 要求：針對三級以上系統，關鍵節點(互聯網側、核心業務系統側)無法識別、阻止從外部或內部發起的攻擊行為(例如從互聯網側發起的勒索、挖礦攻擊、核心業務中毒成為肉雞并作為跳板對外發起攻擊)。
• 高風險原因：傳統ACL、訪問控制主要針對網絡層、端口層實現安全防護，卻缺乏應用層的威脅識別，造成勒索、木馬等病毒感染，導致核心業務受到影響。
• 解決方案：在關鍵節點采取入侵防御/檢測/APT防護等功能，實現病毒入侵防護;在核心區域邊界采取嚴格的訪問控制策略，可降低風險。
• 個人補充：病毒的防御需要從內外網角度考慮，外部主要是因為環境復雜未知，攻擊發起的可能性更高，一般在邊界處采用縱深防御的思路，采用“糖葫蘆”式或多合一的安全產品部署方式。內部主要是由于終端側缺乏有效管控，導致病毒通過U盤、外設等方式傳播入網(例如2010年震網病毒事件)，這里可以參考安全的計算機環境相關技術要求來做防護。

惡意代碼與垃圾郵件防范

惡意代碼防護：

• 要求：針對所有系統，在主機層面與網絡層面均沒有惡意代碼清楚措施(如主機層面的網絡殺毒軟件、網絡層面的入侵防御/檢測)，可判定為高風險。
• 高風險原因：網絡層面缺乏惡意代碼識別可能會導致網絡中充斥著惡意代碼，主機層面缺乏惡意代碼識別可能導致主機中毒，影響正常業務開展。
• 解決方案：主機層面采用防病毒軟件，網絡層面采用入侵防御/入侵檢測。
• 個人補充：很多釣魚郵件、惡意文件內有惡意的進程或代碼，但無法通過病毒特征庫來識別，此時可以使用動態沙箱模擬終端運行環境，來判斷底層是否有惡意進程會影響正常的業務系統。

安全審計

網絡安全審計：

• 要求：針對所有系統，缺乏對重要用戶或重要安全事件的記錄與審計，可判定為高風險
• 高風險原因：發生網絡安全事件不可怕，可怕的是不知道為何發生、怎么發生。當缺乏對日志、事件的分析，可能會導致同樣的問題一而再、再而三的發生，造成持續化的安全防御難以生效。
• 解決方案：在網絡邊界、重要節點采用網絡、日志等審計措施，實現對事件的記錄、分析，便于溯源。
• 個人補充：正所謂“知己知彼、百戰百勝”，網絡安全其實就是攻與防雙方之間的博弈對決，對敵人更了解，就能根據敵人的思路采取相應的反制措施，例如“殺傷鏈模型”、“ATT&CK模型”就是這一類防御思路，以后有機會我也會與大家一同分享。

可信驗證

《網絡安全等級保護測評高風險判定指引》目前沒有關于可信驗證的高風險項。

總結

總結一下安全的區域邊界中避免高風險項的要求：

• 互聯網出口一定要做好防御措施，互聯網出口一定要做好防御措施，互聯網出口一定要做好防御措施，重要的事情說三遍。
• 邊界防御措施要從物理層、網絡層、端口層、應用層安全出發，應用層的安全更多的是依靠特征識別、模擬環境判斷，網絡層與端口層依靠ACL、訪問控制等策略來實現，物理層可以通過門禁、監控或管理規范來實現。
• 現在逐漸火起來零信任的架構，雖然是強調去邊界化，但對于邊界安全的建設也是不能忽視的。

以上是我對安全的區域邊界高風險項的理解，希望能幫助到大家。