|
精密剖析|三级系统等保密评之网络环境要求对比网络环境安全主要针对网络层提出安全要求,本篇文章主要以等保三级系统为例,对比等保测评与密评要求的区别。 等保要求 等级保护对网络层的要求包括安全通信网络和安全区域边界。安全通信网络针对网络架构和通信传输提出了安全控制要求。安全区域边界针对网络边界提出了安全控制要求,主要对象为系统边界和区域边界等。 一、网络架构(安全通信网络) 网络架构是满足业务运行的重要组成部分,只有架构安全了,才能在其上实现各种技术动能,达到通信网络保护的目的。 安全要求 a)应保证网络设备的业务处理能力满足业务高峰期需要; b)应保证网络各个部分的带宽满足业务高峰期需要; c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址; d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段; e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。 要求解读 a)为了保证主要网络设备具备足够处理能力, 应定期检查设备资源占用情况,确保设备的业务处理能力具备冗余空间; b)如果存在带宽无法满足业务高峰期需要的情况,需要在主要网络设备上进行带宽配置,保证关键业务应用的带宽需求; c)根据实际情况和区域安全防护要求,应在主要网络设备上进行VLAN划分; d)为了保证系统的安全,应避免将重要网段部署在网络边界处,同时在重要网段和其它网段之间配置安全策略进行访问控制; e)整个网络架构设计需要冗余,采用冗余技术设计网络拓扑结构。 采取措施 1)选择网络设备时需考虑设备的处理能力满足业务高峰期需要; 2)带宽设计时保证网络各个部分的带宽满足业务高峰期需要; 3)划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址; 4)对重要网段合理部署,同时在重要网段和其它网段之间配置安全策略进行访问控制; 5)设计通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。 二、通信传输(安全通信网络) 为系统在网络环境的安全运行提供支持。为了防止数据被篡改或泄露,确保在网络中传输数据的保密性、完整性和可用性等。 安全要求 a)应采用校验技术或密码技术保证通信过程中数据的完整性; b)应采用密码技术保证通信过程中数据的保密性。 要求解读 a)保证通信过程中数据的完整性,这些数据包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等; b)采取技术手段对通信过程中的敏感信息字段或整个报文加密,可采用对称加密、非对称加密等方式实现数据的保密性。 采取措施 1)在数据传输过程中使用设备(例如VPN设备)或组件来保证其完整性; 2)采取技术手段对通信过程中的敏感信息字段或整个报文加密实现数据的保密性。 三、可信验证(安全通信网络) 传统的通信设备采用缓存或其他形式来保存其固件,这种方式容易遭受恶意攻击,黑客可以未经授权就访问固件或篡改固件,在组件的闪存中植入恶意代码,这些代码能够轻易躲过标准的系统检测过程,从而对系统造成永久性破坏。通信设备如果基于硬件的可信根,在加电后基于可信根实现预装软件(包括系统引导程序、系统程序、相关应用程序和重要配置参数)的完整性验证或检测,确保“无篡改再执行、有篡改就报警”,才能保证设备启动和执行过程的安全。 安全要求 基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 要求解读 通信设备可能包括交换机、路由器或其他通信设备等,通过设备的启动过程和运行过程中对预装软件(包括系统引导程序、系统程序、相关应用程序和重要配置参数)的完整性验证或检测,确保对系统引导程序、系统程序、重要配置参数和关键应用程序的篡改行为能被发现,并报警便于后续的处置动作。 采取措施 1)通信设备(交换机、路由器或其他通信设备)具有可信根芯片或硬件; 2)设备启动过程基于可信根对系统引导程序、系统程序、重要配置参数和关键应用程序等进行可信验证度量; 3)在检测到设备的可信性受到破坏后进行报警; 4)验证结果以审计记录的形式送至安全管理中心。 四、边界防护(安全区域边界) 边界安全防护要从几个方面来考虑,首先应考虑网络边界设备端口、链路的可靠,防止非授权的网络链路接入;其次,通过有效的技术措施对外部设备的网络接行为及内部设备的网络外连行为进行管控,减少外部威胁的引入;同时,对无线网络的使用进行管控,防止因无线网络的滥用而引入安全威胁。 安全要求 a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信; b)应能够对非授权设备私自联到内部网络的行为进行检查或限制; c)应能够对内部用户非授权连到外部网络的行为进行检查或限制; d)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。 要求解读 a)应明确网络边界设备,并明确边界设备物理端口,网络外连链路仅能通过指定的设备端口进行数据通信; b)设备的“非授权接入”可能会破坏原有的边界设计策略,可以采用技术手段和管理措施对“非授权接入”行为进行检查; c)通过对用户非授权建立网络连接访问非可信网络的行为进行管控,从而减少安全风险的引入; d)为了防止未经授权的无线网络接入行为,无线网络应单独组网并通过无线接入网关等受控的边界防护设备接入到内部有线网络。 采取措施 1)实际网络链路配置与网络拓扑图保持一致,在网络边界设备上配置访问控制策略,网络外连链路仅能通过指定的设备端口进行数据通信; 2)部署内网安全管理系统,关闭网络设备未使用的端口,绑定IP/MAC地址等; 3)部署内网安全管理系统或采用其它技术手段,对内部用户非授权连接到外部网络的行为进行限制或检查,同时限制终端设备相关端口的使用; 4)部署无线网络管控措施,对非授权无线网络进行检测、屏蔽。 五、访问控制(安全区域边界) 在基础网络层面,访问控制主要是通过在网络边界及各网络区域间部署访问控制设备,如网闸、防火墙等。 安全要求 a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; c)应对源地址、目的地址,源端口、目的端口和协议等进行检查,以允许/拒绝数数据包进出; d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力; e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 要求解读 a)根据访问控制策略设置有效的访问控制规则,访问控制规则采用白名单机制; b)删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; c)访问控制策略应明确源地址、目的地址、源端口、目的端口和协议,以允许/拒绝数据包进出; d)防火墙应具有完备的状态检测表来追踪连接会话状态,并结合前后数据包的关系进行综合判断,然后决定是否允许该数据包通过,通过连接状态进行更迅速更安全地过滤; e)在网络边界采用下一代防火墙或相关安全组件,实现基于应用协议和应用内容的访问控制。 采取措施 1)重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)访问控制设备根据访问控制策略设置有效的访问控制规则; 2)根据实际业务需求配置访问控制策略,仅开放业务必须的端口,禁止配置全通策略,保障访问控制规则数量最小化; 3)对网络中网闸、防火墙、路由器、交换机和无线接入网关等设备配置访问控制策略,明确源地址、目的地址、源端口、目的端口和协议,允许/拒绝数据包进出; 4)防火墙访问控制策略中设定源地址、目的地址、源端口、目的端口和协议; 5)在关键网络节点处部署访问控制设备,配置相关策略对应用协议、应用内容进行访问控制,并对策略有效性进行测试。 六、入侵防范(安全区域边界) 入侵防范主要需要从外部网络发起的攻击、内部网络发起的攻击、新型攻击的防范以及检测到入侵攻击时应及时告警几个方面来综合考虑,综合抵御各种来源、各种形式的入侵行为。 安全要求 a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为; b)应在关键网络节点处检测、防止或限制从内部发起的网络政击行为; c)应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析; d)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。 要求解读 a)在网络边界、核心等关键网络节点处部署入侵防范产品,有效检测、防止或限制从外部发起的网络攻击行为; b)在网络边界、核心等关键网络节点处部署入侵防范产品,有效检测、防止或限制从内部发起的网络攻击行为; c)部署网络回溯系统或抗APT攻击系统等实现对新型网络攻击行为进行检测和分析; d)保证系统受到攻击时能够及时准确地记录攻击行为并进行安全应急响应。 采取措施 1)部署包含入侵防范功能的安全设备实现入侵防范,如入侵检测系统(IDS),入侵防御系统(IPS)等; 2)部署网络回溯系统或抗APT攻击系统,系统内包含对新型网络攻击检测和分析的功能; 3)开启入侵防范设备的报警功能,当检测到攻击行为时,对攻击源IP、 攻击类型、攻击目标和攻击时间等信息进行日志记录。 七、恶意代码和垃圾邮件防范(安全区域边界) 采取技术手段对恶意代码及垃圾邮件加以重点防范。 安全要求 a)应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新; b)应在关键网络节点处对垃圾邮件进行检测和防护并维护垃圾邮件防护机制的升级和更新。 要求解读 a)在网络边界处部署防恶意代码产品进行恶意代码防范,同时要对恶意代码检测重要的特征库进行定期更新; b)部署相应设备或系统对垃圾邮件进行识别和处理并保证规则库已经更新到最新。 采取措施 1)在网络边界处部署防恶意代码产品,启用恶意代码检测,同时升级特征库至最新版本; 2)在关键网络节点处部署防垃圾邮件设备或系统,防垃圾邮件规则库更新到最新。 八、安全审计(安全区域边界) 安全审计主要关注是否对重要事件进行了审计、审计的内容、审计记录的保护以及特殊行为的审计。 安全要求 a)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; c)应对审计记录进行保护,定期备份,避免受到未预期的删除 、修改或覆盖; d)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析 。 要求解读 a)开启审计功能,对重要用户行为和重要安全事件进行审计,将系统日志信息输出至各种管理端口、内部缓存或者日志服务器; b)审计内容应记录事件的时间、类型、用户、事件类型、事件是否成功等必要的信息; c)需要对审计记录实施技术上和管理上的保护,防止未授权修改、删除和破坏; d)对于远程访问用户,应在相关设备提供用认证功能。 采取措施 1)部署综合安全审计系统或类似功能的系统平台,审计范围覆盖到每个用户并对重要的用户行为和重要安全事件进行审计; 2)审计内容记录事件的时间、类型、用户、事件类型、事件是否成功等必要信息; 3)设置专门的日志服务器来接收设备发送出的报警信息。非授权用户(审计员除外)无权删除本地和日志服务器上的审计记录; 4)部署审计系统,对远程访问的用户行为进行了审计,对访问互联网的行为进行了单独的审计。 九、可信验证(安全区域边界) 可参考第三条,要求内容一致,本条针对的对象是是实现边界防护作用的设备,可能包括网闸、防火墙、交换机、路由器等。 密评要求 密评对网络层的要求为GB/T中网络和通信安全的要求。主要包括身份鉴别、访问控制信息完整性、通信数据完整性、通信数据机密性、集中管理通道安全和密码模块安全。 一、身份鉴别 安全要求 应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性。 要求解读 在通信双方建立网络通信信道时,采用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码术对通信实体进行身份鉴别。 采取措施 部署符合国密标准并取得商用密码产品型号证书的SSL/IPSec VPN,对通信双方的真实性提供保护;通过 SSL/IPSec VPN构建内部的网络同时使用数字证书认证系统去校验信息设备及使用人员身份的真实性。 二、通信数据完整性 安全要求 宜采用密码技术保证通信过程中数据的完整性。 要求解读 采用密码技术的完整性服务对通信过程中的数据进行完整性保护。 采取措施 部署符合国密标准并取得商用密码产品型号证书的SSL/IPSec VPN,对通信过程中数据的完整性提供保护。 三、通信过程中重要数据的机密性 安全要求 应采用密码技术保证通信过程中重要数据的机密性。 要求解读 采用密码技术的加解密功能对通信过程中敏感信息或通信报文进行机密性保护。 采取措施 部署符合国密标准并取得商用密码产品型号证书的SSL/IPSec VPN,对通信过程中重要数据的机密性提供保护。 四、网络边界访问控制信息的完整性 安全要求 宜采用密码技术保证网络边界访问控制信息的完整性。 要求解读 使用密码技术的完整性服务来保证网络边界访问控制信息的完整性。 采取措施 部署符合国密标准并取得商用密码产品型号证书的服务器密码机,通过服务器密码机实现访问控制功能并计算MAC或签名后保存,以此保证访问控制信息的完整性,防止被非法篡改。 五、安全接入认证 安全要求 可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入的设备身份真实性。 要求解读 采用密码技术对连接到内部网络的设备进行接入验证,确保接入网络的设备真实可信。 采取措施 部署符合国密标准并取得商用密码产品型号证书的SSL/IPSec VPNI,实现网络逻辑边界的流量进出管控,构建系统内部的网络,对接入网络的设备进行安全接入认证。 总结 对于等保三级系统网络层的要求,等保主要针对网络架构、通信传输和网络边界提出安全控制措施。密评主要针对业务系统网络通信实体,采用密码技术进行身份鉴别,并对传输数据进行机密性和完整性保护。 |