網(wǎng)絡(luò)安全:
結(jié)構(gòu)安全要求
要求:a應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間�����,滿足業(yè)務(wù)高峰期需要���;
解讀:網(wǎng)絡(luò)中關(guān)鍵設(shè)備(比如核心交換�����、匯聚交換,出口防火墻�、串聯(lián)接入的IPS和WAF),設(shè)備的處理能力必須要遠(yuǎn)大于系統(tǒng)實(shí)際業(yè)務(wù)的流量����,比如核心交換機(jī)峰值業(yè)務(wù)時(shí)會(huì)有8Gb的流量,那么關(guān)鍵節(jié)點(diǎn)的設(shè)備至少要有10Gb的處理能力�,這點(diǎn)理解起來(lái)不難,目前除非很大的平臺(tái)��,不然一般設(shè)備性能都是過剩的�,對(duì)于分布式云存儲(chǔ)+負(fù)載均衡設(shè)備來(lái)說(shuō)這點(diǎn)就更加的簡(jiǎn)單了。
要求:b應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要���;
解讀:這一條要求網(wǎng)絡(luò)各部分之間的帶寬要求滿足高峰期需求����,我認(rèn)為除了光纖存儲(chǔ)網(wǎng)絡(luò)中重要部分采用40G光模塊+MPO光纖外,其他鏈路都是富足的(這個(gè)基本上不是什么事)��。
要求:c應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑�;
解讀:個(gè)人理解是網(wǎng)絡(luò)中的ACL,業(yè)務(wù)系統(tǒng)中終端訪問服務(wù)器要建立安全通道��,像VPN或TLS這類的加密傳輸���,看主機(jī)所用的路由器是靜態(tài)路由還是動(dòng)態(tài)路由�����。靜態(tài)路由是管理員手工配置的�,動(dòng)態(tài)路由是路由器動(dòng)態(tài)建立的���,為了保證網(wǎng)絡(luò)安全����,應(yīng)添加認(rèn)證功能�����。
此外,采用內(nèi)部路由和外部路由��。對(duì)于外部路由要進(jìn)行驗(yàn)證��,例如ospf協(xié)議要進(jìn)行驗(yàn)證�,對(duì)于內(nèi)部路由要按照訪問路徑進(jìn)行訪問,可以tracert一下��,檢查是否按照設(shè)計(jì)的路徑進(jìn)行訪問��。�����。
要求:d)應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖��;
解讀:畫圖吧�����。
要求:e)應(yīng)根據(jù)各部門的工作職能��、重要性和所涉及信息的重要程度等因素��,劃分不同的子網(wǎng)或網(wǎng)段�,并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段�;
解讀:就是安全域的劃分,說(shuō)的再簡(jiǎn)介一點(diǎn)就是劃vlan���,劃VPC���,然后分網(wǎng)段。當(dāng)然大型生產(chǎn)環(huán)境沒這么簡(jiǎn)單�����,就是為了大家便于理解(可以每個(gè)安全域一個(gè)網(wǎng)段一個(gè)VLAN)�����。
要求:f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)����,重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段;
解讀:本條有2點(diǎn)要求���,1是重要系統(tǒng)不能沒有任何策略或限制直接訪問外網(wǎng)(相當(dāng)于直連����,防護(hù)設(shè)備未設(shè)置訪問規(guī)則一類的情況),無(wú)論是直連還是通過其他網(wǎng)絡(luò)�;2是重要系統(tǒng)要限制訪問,與其他系統(tǒng)隔離�。有些系統(tǒng)(比如涉密)會(huì)做物理隔離,但目前采用較多的還是使用邏輯隔離的方式���,通過策略進(jìn)行隔離���。
要求:g)應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別,保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)�����。
解讀:結(jié)構(gòu)安全層面列出了7條要求��,主要涉及的都是網(wǎng)絡(luò)工程方向����,一條條解釋一下:這里說(shuō)的是SLA��,也是目前沒多少企業(yè)做到的���,按照業(yè)務(wù)系統(tǒng)重要程度設(shè)置優(yōu)先級(jí)�����,高峰時(shí)按照優(yōu)先級(jí)分配資源(同樣也適用于系統(tǒng)中的主機(jī))��,算是比較費(fèi)時(shí)費(fèi)力的一項(xiàng)工作���,大多企業(yè)都是選擇放棄�。
PS:補(bǔ)充一下��,標(biāo)準(zhǔn)里沒明確提出���,但是字里行間也有些關(guān)系的再提一下�����。
1.外部接入線路至少要有2家(電信�����、聯(lián)通����、移動(dòng))且要做出入口網(wǎng)絡(luò)負(fù)載均衡����;
2.網(wǎng)絡(luò)結(jié)構(gòu)中的主要線路要做冗余雙線�����;
3.關(guān)鍵節(jié)點(diǎn)設(shè)備要做熱冗余(HSRP���、VRRP這種)。訪問控制(G3)
要求:a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備��,啟用訪問控制功能�;
解讀:這里要求說(shuō)的是邊界,不是內(nèi)部��,就是要邊界部署防火墻�����,注意����,不是布置了�,加了策略就OK,還要配置必須生效���。
要求:b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力 �,控制粒度為端口級(jí);
解讀:ACL策略且細(xì)致度達(dá)到端口的級(jí)別��。
要求:c)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾���,實(shí)現(xiàn)對(duì)應(yīng)用層 HTTP�����、FTP���、TELNET、SMTP�����、POP3等協(xié)議命令級(jí)的控制�;
解讀:這正是下一代防火墻的主要功能
要求:d)應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接;
要求:e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)���;
解讀:這兩點(diǎn)放在一起�,其實(shí)要求都是很基礎(chǔ)的�����,但是認(rèn)真去做的不多。d是說(shuō)�����,設(shè)備建立連接后�����,一段時(shí)間要自動(dòng)斷開連接�����。比如管理員通過跳板機(jī)先登堡壘機(jī)�����,然后登錄交換機(jī)要開放一個(gè)端口�,操作期間接了個(gè)電話,20分鐘后回來(lái)繼續(xù)操作���。這期間如果有其他人用這臺(tái)跳板機(jī)做一些非計(jì)劃的操作�,可能造成嚴(yán)重影響�。當(dāng)然,這里只是一個(gè)常見的情況�,還有很多其他利用方式。e是說(shuō)����,要設(shè)置設(shè)備的最大流量和連接數(shù),一方面是防止一些簡(jiǎn)單攻擊�,再一方面避免業(yè)務(wù)請(qǐng)求過多把設(shè)備搞崩了。
要求:f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙��;
解讀:該項(xiàng)要求從當(dāng)年的角度來(lái)看就是為了防ARP欺騙�,那個(gè)年代一旦中招主機(jī)一攤一大片,放在今天已經(jīng)不算什么了�。
要求:g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問��,控制粒度為單個(gè)用戶�����;
解讀:這項(xiàng)就是用戶權(quán)限管理��,放在現(xiàn)在用高大上的叫法:IAM或者PAM��。當(dāng)前環(huán)境要注意的就是越權(quán)問題。
要求:h)應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量�����。
解讀:這項(xiàng)要求一直沒理解��,查了一些資料也問了幾個(gè)老專家��,還是沒給我說(shuō)明白�����。當(dāng)年檢查的時(shí)候老的防火墻之類設(shè)備中有關(guān)于撥號(hào)用戶的設(shè)置�,這里就不亂說(shuō)了,有了解的可以幫忙留言解釋一下��。(個(gè)人理解�����,就是可以遠(yuǎn)程登錄的賬戶���,不能設(shè)置過多此類賬戶)
訪問控制層面共8點(diǎn)要求���,都是比較繁瑣的部分。
安全審計(jì)(G3)
a)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量����、用戶行為等進(jìn)行日志記錄;
b)審計(jì)記錄應(yīng)包括:事件的日期和時(shí)間���、用戶、事件類型�、事件是否成功及其他與審計(jì)相關(guān)的信息;
c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析�����,并生成審計(jì)報(bào)表�����;d)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)��,避免受到未預(yù)期的刪除��、修改或覆蓋等�。
解讀:這部分是測(cè)評(píng)時(shí)的重點(diǎn),有時(shí)候可以一票否決����,所以說(shuō)比較關(guān)鍵����。
不分別解釋了��,放在一起說(shuō)���,簡(jiǎn)單概括:企業(yè)要對(duì)網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量(業(yè)務(wù)�、訪問�����、攻擊等)�、操作(登錄、退出��、創(chuàng)建��、刪除�����、變更等)進(jìn)行記錄��,且要保存至少6個(gè)月;同時(shí)要對(duì)網(wǎng)絡(luò)設(shè)備(包括安全設(shè)備)的運(yùn)行狀況進(jìn)行監(jiān)控�����,并形成周報(bào)或月報(bào)留存�,同樣至少6個(gè)月;此外對(duì)于網(wǎng)絡(luò)日志至少要包括b)中要求的信息����,系統(tǒng)中要有日志審計(jì)系統(tǒng)能夠分析和統(tǒng)計(jì)日志�,并且生成審計(jì)報(bào)表以供檢查用;對(duì)于保存的日志要場(chǎng)外備份�,有專人管理,保證日志的完整性����,不能有未預(yù)期的刪除、更改�����、覆蓋情況��。這是等保三對(duì)安全審計(jì)的要求��。(說(shuō)了這么多廢話就是上一套綜合日志審計(jì)系統(tǒng)LAS)
邊界完整性檢查(S3)
a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置���,并對(duì)其進(jìn)行有效阻斷���;
b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置����,并對(duì)其進(jìn)行有效阻斷。
解讀:這部分要求當(dāng)年理解起來(lái)挺困難的���,結(jié)合現(xiàn)在的一些技術(shù)來(lái)看���,才理解標(biāo)準(zhǔn)的前瞻性。要求簡(jiǎn)單來(lái)說(shuō)就是��,系統(tǒng)功能自動(dòng)檢測(cè)和發(fā)現(xiàn)不符合策略和規(guī)則的外聯(lián)內(nèi)和內(nèi)聯(lián)外行為�����。當(dāng)前的態(tài)勢(shì)感知(設(shè)備)����、蜜罐(設(shè)備)都可以搞定外聯(lián)內(nèi)的情況�,對(duì)于內(nèi)聯(lián)外的檢測(cè)�,個(gè)人認(rèn)為更多的還是管理層面的事情,技術(shù)手段解決起來(lái)難度較大��。比如私接無(wú)線網(wǎng)卡�,辦公筆記本網(wǎng)線接公司網(wǎng),無(wú)線接熱點(diǎn)�����,這種情況想第一時(shí)間發(fā)現(xiàn)和阻斷都很難����。
入侵防范(G3)
a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為:端口掃描�����、強(qiáng)力攻擊�、木馬后門攻擊、拒絕服務(wù)攻擊���、緩沖區(qū)溢出攻擊���、IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等���;
b)當(dāng)檢測(cè)到 攻擊行為源 時(shí),記錄攻擊源 IP ���、攻擊類型���、攻擊目的、攻擊時(shí)間�����,在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警����。
解讀:簡(jiǎn)單點(diǎn),IPS(設(shè)備)和WAF(設(shè)備)就好了����。當(dāng)年能配備這些設(shè)備的企業(yè)不多,現(xiàn)在不配備的不多�。(這里是符合要求,不是給各位的建議���,舉例是便于大家理解)
惡意代碼防范(G3)
a)應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除��;
b)應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新���。
解讀:算是歷史遺留問題了���,當(dāng)年的時(shí)候有專門的防毒墻,防火墻會(huì)惡意代碼防護(hù)模塊��。但是針對(duì)當(dāng)前來(lái)說(shuō)���,惡意代碼已經(jīng)不是威脅��,最大的威脅是系統(tǒng)自身的漏洞�。這里如果是被檢查�����,記得開啟設(shè)備中的惡意代碼防范功能就好���,一般NGFW(設(shè)備)和IPS(設(shè)備)都具備這種防護(hù)能力。
網(wǎng)絡(luò)設(shè)備防護(hù)(G3)
a)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別���;
1.網(wǎng)絡(luò)中要有堡壘機(jī)(設(shè)備)�����,所有關(guān)鍵設(shè)備必須要通過堡壘機(jī)訪問和登錄�����;
b)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制�����;
解讀:2.系統(tǒng)中要有3A或4A認(rèn)證��,保證對(duì)登錄管理用戶進(jìn)行認(rèn)證和審計(jì)����。(3A就是認(rèn)證、授權(quán)���、審計(jì)�;4A在此基礎(chǔ)上增加了可追溯/可問責(zé)性)堡壘機(jī)
c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一���;
解讀:3.重要設(shè)備要限制登錄地址(一般就是堡壘機(jī)�����,如特殊情況要遠(yuǎn)程登錄�,可在堡壘機(jī)開放遠(yuǎn)程登錄功能,采用VPN方式登錄)���,有的環(huán)境下可能會(huì)設(shè)置幾臺(tái)跳板機(jī)的IP����。
d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別���;
解讀:4.網(wǎng)絡(luò)設(shè)備的標(biāo)識(shí)要簡(jiǎn)單易懂����,運(yùn)維人員一看就知道是什么設(shè)備�,且標(biāo)識(shí)不能重復(fù)。
5.采用兩種以上登錄方式�����,一般有堡壘機(jī)開啟雙因素認(rèn)證就OK了�����,什么虹膜���、指紋�、聲控都是扯淡���。目前比較多的還是用戶名密碼配合3A認(rèn)證���。
e)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換��;
f)應(yīng)具有登錄失敗處理功能����,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施���;
解讀:6.登錄失敗設(shè)置��,要求(1)密碼輸入超過N此后����,自動(dòng)鎖定該賬戶M分鐘(通常是N=5�,M>15,只是建議,不是要求)�����;(2)登陸后無(wú)操作��,S分鐘后要自動(dòng)斷開(一般是S<5)��。
g) 當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)�����,應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽�����;
h) 應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離�。
解讀:網(wǎng)絡(luò)設(shè)備防護(hù)也算是檢查的一個(gè)重點(diǎn)了,這里不逐條解釋����,統(tǒng)一總結(jié)一下:
7.重要設(shè)備不要多人使用一個(gè)超級(jí)管理員賬戶,按照不同的人�,不同的部分設(shè)置不同的賬戶,根據(jù)需要設(shè)定權(quán)限���,采用最小權(quán)限原則����;如果有能力����,對(duì)于超級(jí)用戶一般使用前會(huì)先申請(qǐng),審批后方可由專人發(fā)放賬戶��,并規(guī)定操作內(nèi)容和操作時(shí)間����。
等保測(cè)評(píng)咨詢
