等保2.0高风险项之安全的区域边界

随着等保2.0正式生效以来，各行各业都在为了过每一年等保测评操碎了心。不少单位安全负责人觉得买几台安全设备就能够大摇大摆的经过等保测评，却不知过等保2.0的要求是具备相应的安全防御能力或措施，尤为是一些高压线条例，更是要求实打实的知足。

借着最近在研究等保高风险项说明《网络安全等级保护测评高风险断定指引》，我给你们分享一下我对等保2.0中高危项的理解。本次介绍的安全的区域边界，共分为边界防御、访问控制、***防范、恶意代码和垃圾邮件、安全审计以及可信验证。

边界防御

(1) 互联网边界安全管控

• 要求：针对全部级别的系统，对于互联网边界侧的安全防御设备，若是无任何安全控制措施或配置错误的策略(例如容许全部流量交互)、没法及时管理访问控制设备而且根据安全需求及时更新策略，可断定为高风险。
• 高风险缘由：互联网充满了安全威胁与不肯定性，出口侧缺乏防护措施，将致使内部网络直接系统暴露在互联网中，极易成为被***的目标。
• 解决方案：采用具备访问控制的产品或技术(ACL控制)，可以使用防火墙、交换机、路由器等产品实现。
• 我的补充：边界安全，尤为是互联网出口边界安全是安全建设的重点之一。在给用户作规划时，除了考虑访问控制措施以外，更须要关注策略的细粒度化与动态化，太粗的策略以及万年不变的策略每每也是网络的安全隐患。

(2) 非法内联&非法外联

• 要求：对于三级以上物理环境、网络环境不可控的系统，非受权的外部设备可访问内部的重要的服务或业务而且未采用任何限制措施;内部重要服务器、业务端能够链接至外部网络而且未采用任何限制措施;内部人员能够绕过控制设备访问外网而且未采用任何限制措施，有上面三种之一的可断定为高风险。
• 高风险缘由：内部重要资产与外部之间的互联互通，都会致使这台主机暴露在风险中，轻则主机相关信息被不法分子经过扫描工具、爬虫软件获取，重则经过主机漏洞获取权限、投放病毒，甚至经过这台主机做为跳板，从而横向***同区域内其余业务系统。
• 解决方案：部署检测、阻断非法外联或内联的产品，例如准入控制、非法内联/外联扫描等，此外，作好物理、网络环境管控(例如严格限制机房出入、IP-MAC绑定)、终端安全管理(USB接口、无线网卡限制)均可以下降风险等级。
• 我的补充：未经容许下的内外网互访不能单单依靠技术措施来实现防御，建议结合管理、运维等措施来实现，管理上例如采用预防(作好安全意识培训，多用故事吓唬吓唬)、威胁(发现非法外联警告、罚款)等，运维上及时发现异常链接记录、及时处置。

(3) 无线网络管理

• 要求：对于三级以上的系统，无线网络与核心网络互通，而且缺少有效的访问控制、身份鉴别策略，存在非受权接入的隐患，可断定为高风险。
• 高风险缘由：无线因其便捷性，用户能够在任意位置、任意时间经过无线接入网络内，若是缺少有效的身份认证、操做受权措施，将没法确保接入人员的可靠性，致使安全风险。
• 解决方案：可经过无线准入控制产品实现人员的安全接入，例如NAC，也能够限制无线的范围或者接入的认证强度、访问控制。
• 我的补充：不一样于以往有线场景下的接入点可控，无线的引入致使传统网络边界模糊，这种状况下更须要注重对人员身份管控、权限分配、日志溯源，有点“零信任”那味儿了。

访问控制

(1) 互联网边界访问控制

• 要求：针对全部系统，在互联网出口边界处未采起访问控制策略或配置错误的策略(例如业务全通策略)，可断定为高风险
• 高风险缘由：互联网充满了安全威胁与不肯定性，出口侧缺乏防护措施，将致使内部网络直接系统暴露在互联网中，极易成为被***的目标。
• 解决方案：采用具备访问控制的产品或技术(ACL控制)，可以使用防火墙、交换机、路由器等产品实现。
• 我的补充：《网络安全等级保护测评高风险断定指引》屡次强调互联网边界安全控制，可见其重要程度。

(2) 通讯协议转换及隔离

• 要求：针对四级以上系统，可控网络(例如SM网)与不可控网络(例如普通业务网)之间数据传输缺少通讯协议转换或通讯协议隔离(通俗理解就是网络线路直连，或者只采用一些弱隔离措施，例如ACL策略等)，可断定为高风险。
• 高风险缘由：ACL策略、访问控制策略都是经过程序、代码来实现，当分析、掌握代码内容时，就会存在被绕过的风险，从而致使策略失效，进而形成安全隐患。
• 解决方案：采起强隔离措施，例如网闸、光闸。或者经过专家进行论证，相关业务数据没法经过协议转换等方式进行交互，而且采起了其余安全措施，可下降风险等级。
• 我的补充：真正的安全是彻底与外界断开通讯，而这也致使业务丧失了可用性。对于正常的业务来说，须要在二者之间找到一个平衡点，既要实现可用性，由要确保业务的稳定、安全。

***防范

内部&外部***防御：

• 要求：针对三级以上系统，关键节点(互联网侧、核心业务系统侧)没法识别、阻止从外部或内部发起的***行为(例如从互联网侧发起的勒索、挖矿***、核心业务中毒成为肉鸡并做为跳板对外发起***)。
• 高风险缘由：传统ACL、访问控制主要针对网络层、端口层实现安全防御，却缺少应用层的威胁识别，形成勒索、***等病毒感染，致使核心业务受到影响。
• 解决方案：在关键节点采起***防护/检测/APT防御等功能，实现病毒***防御;在核心区域边界采起严格的访问控制策略，可下降风险。
• 我的补充：病毒的防护须要从内外网角度考虑，外部主要是由于环境复杂未知，***发起的可能性更高，通常在边界处采用纵深防护的思路，采用“糖葫芦”式或多合一的安全产品部署方式。内部主要是因为终端侧缺少有效管控，致使病毒经过U盘、外设等方式传播入网(例如2010年震网病毒事件)，这里能够参考安全的计算机环境相关技术要求来作防御。

恶意代码与垃圾邮件防范

恶意代码防御：

• 要求：针对全部系统，在主机层面与网络层面均没有恶意代码清楚措施(如主机层面的网络杀毒软件、网络层面的***防护/检测)，可断定为高风险。
• 高风险缘由：网络层面缺少恶意代码识别可能会致使网络中充斥着恶意代码，主机层面缺少恶意代码识别可能致使主机中毒，影响正常业务开展。
• 解决方案：主机层面采用防病毒软件，网络层面采用***防护/***检测。
• 我的补充：不少钓鱼邮件、恶意文件内有恶意的进程或代码，但没法经过病毒特征库来识别，此时可使用动态沙箱模拟终端运行环境，来判断底层是否有恶意进程会影响正常的业务系统。

安全审计

网络安全审计：

• 要求：针对全部系统，缺少对重要用户或重要安全事件的记录与审计，可断定为高风险
• 高风险缘由：发生网络安全事件不可怕，可怕的是不知道为什么发生、怎么发生。当缺少对日志、事件的分析，可能会致使一样的问题一而再、再而三的发生，形成持续化的安全防护难以生效。
• 解决方案：在网络边界、重要节点采用网络、日志等审计措施，实现对事件的记录、分析，便于溯源。
• 我的补充：正所谓“知己知彼、百战百胜”，网络安全其实就是攻与防双方之间的博弈对决，对敌人更了解，就能根据敌人的思路采起相应的反制措施，例如“杀伤链模型”、“ATT&CK模型”就是这一类防护思路，之后有机会我也会与你们一同分享。

可信验证

《网络安全等级保护测评高风险断定指引》目前没有关于可信验证的高风险项。

总结

总结一下安全的区域边界中避免高风险项的要求：

• 互联网出口必定要作好防护措施，互联网出口必定要作好防护措施，互联网出口必定要作好防护措施，重要的事情说三遍。
• 边界防护措施要从物理层、网络层、端口层、应用层安全出发，应用层的安全更多的是依靠特征识别、模拟环境判断，网络层与端口层依靠ACL、访问控制等策略来实现，物理层能够经过门禁、监控或管理规范来实现。
• 如今逐渐火起来零信任的架构，虽然是强调去边界化，但对于边界安全的建设也是不能忽视的。