本控制项也是等保 2.0 标准的新增内容,主要关注网络环境安全,相比旧标准除了可信验证要求外,其他部分和网络安全相似,同属三重防护之一。
标准原文
一、 边界防护
1. 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;
2. 应能够对非授权设备私自联到内部网络的行为进行检查或限制;
3. 应能够对内部用户非授权连到外部网络的行为进行检查或限制;
4. 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
二、 访问控制
1. 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
2. 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
3. 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
4. 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;
5. 应对进出网络的 数据流实现基于应用协议和应用内容的访问控制。
三、入侵防范
1. 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
2. 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;
3. 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;
4. 当检测到攻击行为时,记录攻击源 IP 、攻击类型、攻击 目标 、攻击时间,在发生严重入侵事件时应提供报警。
四、恶意代码和垃圾邮件防范
1. 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;
2. 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
五、安全审计
1. 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
2. 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
3. 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
4. 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
六、可信验证
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
主要检查点
边界防护
其实按照以前的旧标准来看,本控制项的部分内容还是属于网络安全的范畴,当前等保2.0 标准中因为重要性将其单独提出结合一些新的要求,形成的 安全区域边界这样一个控制项。
本控制点要求主要是网络层面边界安全的防护能力的检查。共 4 个要求项,可以说只要是做过边界防护工作的企业环境一般都会满足基本要求,在不深入解析的情况下。比如,企业网络边界部署下一代防火墙(包含 IDPS 和 WAF 功能,省去一部分投入预算),根据业务设置合理的 ACL 策略,那么从合规的角度,已经满足一大半的要求了。不过要注意一点,策略和防护必须做双向的,不能再以传统的方法来部署,由内而外的威胁也在逐渐常态化,不能说只考虑别人攻我,我去攻别人就不是安全该管的事了,这种思维就过于偏激和危险了。
对于内部生产网和办公网(也包括管理网在内),建议也在边界设置安全策略,对于未授权设备的接入进行认证和授权,可以部署防火墙或者采用带外管理的方式(堡垒机也可以)来实现。
此外,对于内网人员私接外网的情况必须引起高度重视,此类行为一则难以被及时发现,二则存在极大风险,一定要做好管控工作。常见的就是,员工用手机开热点,机器上开无线或插网卡,这种方式想第一时间发现除非有人举报或者每台机器有相关检测能力的 agent实时反馈到监控平台(后者实践可能性较小),一旦将病毒带入内网,就是一次重大安全事故。某行业企业大面积中招勒索,其实就是内部人员安全意识淡薄,从内部引入病毒,使得边界部署的各种防护设备如同摆设一般,此类问题一定要格外重视,首先从管理层面做好教育和宣传工作,配合技术手段来合理管控。
最后就是无线网络的管理,一般来说大多企业还是将其与生产、办公网络等隔离的,因为大多无线网络是提供互联网访问的。但也有企业内外网均能访问,如果企业自身有信心做好管控也不是不可以,若非如此并不建议。对于无线网络接入的设备必须通过认证和授权,一般来说会由 AC 来进行控制。这里标准要求的还是比较基础的,很容易实现,但是从安全角度来说,要看是什么内部网络,比如生产网,核心业务网,管理网络,不建议接入无线网络,若是办公网或公共网络可以按照要求所说进行权限分配后允许接入,可考虑采用mac+ip 绑定的方式,再经过局域网身份认证后允许内网访问即可。
对于未授权设备私联内网,和内部用户私联外网的检测怎么做?这里提供一些可参考的建议。
(1)基于数据监听
通过旁路监听、分析网络内部的数据包进行检测,适合有公共网络出口的网络(如互联网),其原理是依靠分析数据包包头及传输协议的某些特殊字段来进行判断和区分随身WIFI接入、智能手机接入以及NAT设备接入,如:
1)用IP包的TTL字段变化检测标准的NAT接入设备。
2)用IP包的ID标识的跳变来确认用户私接的设备台数。
3)用HTTP协议中的User-Agent字段来检测私接上网的智能设备。
4)根据随身WIFI和免费WIFI的后门,来识别随身WIFI。
优点:
1)能够比较准确发现部分智能手机以及随身WIFI接入,主要跟监听数据包的覆盖范围相关;
2)能够比较准确识别NAT接入设备,并对通过NAT接入的数量进行统计。
缺点:
1)监听数据的覆盖范围决定其检测范围,存在漏报,适合有公共出口链路的网络,不适合作为检查工具使用;
2)因受限于检测技术,存在误报的可能;
3)主要是以检测为主,基本不具备针对源头的阻断控制能力。
深信服的上网行为管理系统就是采用此类技术,部署位置大多在互联网出口处,可以限制私接WIFI设备无法访问互联网,但无法控制WIFI设备私自接入内部网络。
(2)基于客户端代理
通过在终端桌面系统安装客户端代理来监管无线网络的使用,主要是针对终端自身无线网卡、私接无线WIFI以及使用免费无线WIFI的监管。
优点:
1)检测时间短,能够快速发现上述使用无线网络的违规行为,不会产生误报;
2)响应速度快,可以对上述违规使用无线网络的行为进行快速阻断控制。
缺点:
1)无法针对未安装客户端代理的终端桌面系统进行管控;
2)无法针对无线路由设备的私接进行监管,因为此类设备无法安装客户端代理;
3)实施和维护的工作量大,因客户端代理容易被卸载等原因,影响整体监管效果,容易产生漏报。
北信源的桌面管理系统就是采用此类技术,部署在终端PC上,可以限制使用无线网卡、随身WIFI以及免费WIFI,但无法限制私接无线路由设备。
(3)基于网络扫描
主要是通过ICMP、SNMP、TCP以及UDP扫描技术,借鉴操作系统指纹识别技术形成本地的协议特征库,以此判断目标机是否是NAT接入设备、智能手机设备、随身WIFI接入设备和免费WIFI接入设备等。
优点:
1)能够比较准确发现部分智能手机以及随身WIFI接入,覆盖范围跟扫描范围相关,适合大中型网络,可作为检查和管理工具使用;
2)能够比较准确识别经NAT接入的路由设备;
3)能够准确识别无线AP接入,并提供无线AP的SSID号。
4)结合交换机端口定位技术可以对违规接入设备进行网络定位和阻断控制。
缺点:
因采用远程网络扫描机制,存在漏报和误报可能。
访问控制
本控制点没有较明显的变化,基本还是针对访问策略的要求。首先对于ACL(以ACL为代表,大多访问控制策略还是基于它来做的),一般来说会根据业务和需求进行设置不同区域和地址段的访问,也包括端口在内。这里应该做些什么呢?首先要明白,要求的是边界或区域间的设备,不是所有设备,因此不要扩大范围。
一般来说制定好ACL后,会在末尾添加deny any any(虽然有些设备上是默认自动加入的),这是等保2.0标准中提出的要求,即默认情况下除允许通信外受控接口拒绝所有通信;使用扩展ACL的情况下,必然会包含五元组的内容(源地址、目的地址、源端口、目的端口和协议),所以这点也没什么问题,当然如果偷懒使用简单ACL的需要及时更新一下。
对于无效和多余的访问控制规则,或者禁用、或者删除。我们在设计控制规则的时候也应采用简单优化的原则,尽可能简洁有效。好比应用中的算法,越简单资源利用越少的算法才是最优的。有些企业的设备,运维人员经常变更或者业务需求不断变更,会产生很多访问规则,久而久之访问控制规则数量庞大,哪条有用哪条没用不得而知,也不敢轻易去删除,因为不知道会不会影响业务,从而导致浪费设备和带宽资源,网络经常出现高延迟现象。针对此类问题,等保2.0标准提出明确要求,那么企业就要制定人员合理有效管理配置规则。对于新设备还好,老设备已存在上述现象的,需要运维人员多投入一些精力,理清业务逻辑,如果可能可以做一下BIA,对于等保2.0标准中新的要求项,必然会成为检查测评工作的重点。
最后,还要求了应用层的访问控制能力,对四到七层的数据有能力进行限制,一般来说是对应WAF(NGFW也具备这类功能)的一些功能,难度不大。但是要注意这里提到的“和应用内容的访问控制”,这就扩展到了敏感信息保护和信息安全的领域(敏感文字、黄赌毒内容等),从个人的理解来看,首先基本的数据访问权限能力都能做到,此外除了具备安全防护能力外,网络中还应具备一定的内容过滤功能,比如一些新闻、媒体类的企业,进出数据流中可能包含一些敏感内容,对于这些文字或图片进行基本的控制是必要的。
插一句无关的话题,从本人的了解,大多数自媒体企业(一线的媒体网站)对于内容安全还是基于人工来做的,第一遍通过机器过滤进行筛选,第二遍由人工团队进行审核,第三遍由人工进行二次审核,之后才会进行发布。
信安标准中对内容安全有明确规定,等保2.0标准中只是提了一下,感觉更多的还是偏向于安全层面的访问控制(即内容访问和修改权限),内容过滤可能是我过虑了,也可能是过于引申出来的检查点,这里作为一个参考即可,企业只要拥有WAF一类的设备,对于访问控制这部分的要求应该没什么问题。
入侵防范+恶意代码和垃圾邮件防范
将这两个控制点放到一起,因为都是防入侵范畴的。先说入侵防范部分,等保2.0标准中强调东西双向检测和防护,其实和旧标准差不多,只是强调在关键网络节点(网络边界、区域间、重要区域边界等)检测和策略要双向应用,发现攻击能够对其进行限制(报警、阻断等),这点提到的是检测能力。接着就是安全响应能力,由于当前态势感知和机器学习完成度不是很高(SOAR也目前不靠谱),所以更多的还是要人来处理,即安全应急响应团队。一般来说检测都是靠设备或软件来实现,响应靠人。等保2.0标准中对安全事件分析要求也有所提升,特别是对新型攻击(APT、0day、社工等)的分析能力,这点可以说是可大可小的,企业根据自身实力和情况来决定。最起码的,无论自建团队还是外包第三方,对于突发安全事件要有能够检测的能力、响应处置能力、溯源分析能力;如果有能力,可以布置蜜网系统、团队内具备逆向分析人员、漏洞挖掘人员。本着不应付、不追求完美的态度,把安全做到位就好。
接下来说下恶意代码和垃圾邮件,至于关键网络节点的恶意代码检测,说实话更多的应该是象征性的,将代码安全寄希望于设备扫描和特征匹配,目前来看效果不太好,因此人工代码审计服务拥有较好的市场份额。但有总比没有好这是肯定的,区域边界部署安全设备不管怎么说还能起到一定的防护作用。从合规角度来说,只要边界部署安全设备即可。
垃圾邮件防范涉及的就多了一点,以前垃圾邮件只是为了打广告做宣传,现在的垃圾邮件恶意满满,各种木马、钓鱼花样百出,逐渐成为需要重点关注的安全风险点。
从安全角度,可将邮件过滤分为无害垃圾邮件过滤和有害恶意邮件过滤。
无害垃圾邮件包括:
(1)收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件;
(2)含有欺诈信息的电子邮件。
无害垃圾邮件本身不包含恶意程序。
有害恶意邮件指带有恶意链接和攻击程序的电子邮件,包括:
(1)携带病毒木马程序的恶意电子邮件(隐藏在附件);
(2)含有钓鱼链接的诱骗电子邮件(隐藏在正文或附件)。
电子邮件攻击的多样性,决定了邮件安全防护手段的多元化。
从技术发展看,邮件安全防护技术分为四代。第一代垃圾邮件网关对无害垃圾邮件进行过滤,以邮件来源、邮件头部数据和内容过滤为主要技术手段,通过静态特征识别和关键字匹配技术识别垃圾邮件。二十世纪九十年代第一例病毒邮件出现后,能够识别有害恶意程序的病毒邮件网关成为邮件安全防护的主流技术;第二代病毒邮件网关通过样本比对、脚本分析、附件检查技术进行恶意邮件的分析和识别;随着邮件应用的日益广泛,钓鱼攻击者开始使用电子邮件作为URL钓鱼、账号密码欺骗的载体,第三代邮件安全网关应运而生。第三代邮件安全网关在前两代来源过滤、内容过滤、特征识别、恶意程序监测技术基础上,增加了多样化的图片分析、URL监测和行为分析技术,能够通过分析邮件内容、链接、附件、图片,识别邮件恶意攻击意图和行为。
近几年,针对电子邮件的攻击,技术手段越来越专业化。APT攻击、ATO攻击、BEC攻击、免杀木马病毒和0DAY漏洞利用等新型攻击手段层出不穷,传统邮件过滤技术很难检测,为此设计实现了新一代智能恶意邮件监测与溯源系统(即第四代邮件安全防护技术)。系统融合了邮件的动态分析、沙箱运行、行为建模、行为意图分析、威胁情报分析、大数据分析建模等智能化监测手段进行电子邮件的深度监测,能够识别、溯源复杂的电子邮件攻击行为。
涉及检测过滤技术包括:协议会话信息监测、邮件头信息监测、URL链接过滤、邮件内容过滤、邮件附件过滤、恶意邮件溯源。这里参考了一篇论文,有兴趣的可以看看,对于恶意邮件防范的一些思路:《恶意邮件智能监测与溯源技术研究》(点击阅读原文获取)。
安全审计
这里必须说明一下,之前一位做等保测评的朋友和我讨论过,猜测应该是当时标准排版印刷时出现失误,将安全区域边界-安全审计部分三级和四级的要求向搞反了,各位如果可以查看标准原文,8.1.3.5安全审计要求共4项,而9.1.3.5安全审计要求共3项,通常来说这是不太可能的,四级系统的同一个控制点要求项少于三级系统,希望后续官方会对此进行说明解释。
安全审计基本每个控制点都会有,只要注意做好日志留存工作即可。这里重点关注的是网络边界、重要节点(安全设备、核心设备、汇聚层设备等)的日志记录。对于日志的完整性和保密性也是依旧,避免被修改、专人保管、做好场外备份、做好保密工作等等。此外,等保2.0标准还要求对远程访问用户、访问互联网的用户行为进行单独审计和数据分析,这点是新要求。先说一下怎么理解,因为是安全区域边界,那么所涉及到的设备肯定只有安全设备和网络设备,不涉及主机和应用,远程访问用户基本就是远程登录设备进行维护(或者是搞事情的黑客),既然可以远程登录那么一定是可以访问互联网的,属于特殊权限用户(按照正常来说,关键节点设备不允许远程登录,除非有特殊需要才会开通权限,而且也是要通过VPN-跳板机-堡垒机-设备这样的顺序登录)。对于此类用户要单独审计,记录其操作和访问日志,而且对于记录能够进行分析,对于这点不是很理解,分析什么,检查的重点是什么。从测评要求中看到测评对象是上网行为管理系统,而且提到互联网访问的用户行为,那么理解起来可能就容易了一些,就是针对用户上网行为和远程访问行为的检测和限制。那么问题来了,这是安全区域边界,从头到尾提到的都是网络关键节点,突然又转到用户行为管理上,感觉此项要求放到后边安全计算环境可能会更好一些。那么合规的点就很清晰了,上网行为管理设备,保留好用户日志就可以了。
最后
本控制点偏重点对安全运营能力提出要求,对于企业来说边界安全规划应做到:
网络边界、区域间和重点区域边界部署NGFW或具备等效功能的安全设备;
安全设备策略有效,除业务需要外关闭其他多余访问权限,ACL最小化原则,使用标准或扩展ACL,删除多余无用规则;
具备东西双向检测、报警和阻断能力,具备安全事件应急响应能力,其中包括应对和溯源能力;
各边界部署的安全设备具备恶意代码检测和邮件过滤模块,开启自动升级;
对关键节点设备全用户覆盖审计,日志留存6个月以上,做好日志保护和备份工作;
配备上网行为管理设备或等效功能设备。