等保到底是個啥(二):網路安全部分
*本文原創作者:宇辰,本文屬於FreeBuf原創獎勵計劃, 未經許可禁止轉載
本篇將會重點討論一下等保中對網路安全的要求,這裡說明一下,文中內容全是本人個人觀點,如有不對的地方歡迎糾正。文章已等保三級系統為基礎,從合規角度解讀要求。看到有同學吐槽等保沒用,其實換個角度去思考,等保是國家對資訊保安的基線,不保證做到了系統就不會被黑,但是做不到必然會被黑,各位還是不要在政策層面過於糾結。
【正文】
本部分從網路安全方向解讀一下標準的要求點。相比物理安全部分,網路可擴充套件的地方不多,廣度縮小,深度增加。
前序文章:傳送門
7.1.2 網路安全
7.1.2.1 結構安全(G3)
a)應保證主要網路裝置的業務處理能力具備冗餘空間,滿足業務高峰期需要; b)應保證網路各個部分的頻寬滿足業務高峰期需要 ; c)應在業務終端與業務伺服器之間進行路由控制建立安全的訪問路徑; d)應繪製與當前執行情況相符的網路拓撲結構圖; e)應根據各部門的工作職能、重要性和所涉及資訊的重要程度等因素,劃分不同的子網或網段,並按照方便管理和控制的原則為各子網、網段分配地址段; f)應避免將重要網段部署在網路邊界處且直接連線外部資訊系統,重要網段與其他網段之間採取可靠的技術隔離手段; g)應按照對業務服務的重要次序來指定頻寬分配優先級別,保證在網路發生擁堵的時候優先保護重要主機。
結構安全層面列出了7條要求,主要涉及的都是網路工程方向,一條條解釋一下:
a)這裡指網路中關鍵裝置(比如核心交換、匯聚交換,出口防火牆、串聯接入的IPS和WAF),裝置的處理能力必須要遠大於系統實際業務的流量,比如A系統1分鐘(高峰期)會有1Gb的流量,那麼關鍵節點的裝置至少要有1.3Gb(或者1.5Gb)的處理能力,這點理解起來不難,目前除非很大的平臺,不然一般裝置效能都是過剩的。 b)上邊將的是整個網路,這裡是指內部不同系統或部門線路的頻寬,不難理解,所以不再重複解釋了。 c)這裡說的其實有些模糊。個人理解是網路中的ACL,業務系統中終端訪問伺服器要建立安全通道,像VPN或TLS這類的加密傳輸。 d)這個不用說了,大家都懂的。另外提一句題外話,就是等保2.0的雲端計算擴充套件要求中要繪製雲上的網路拓撲圖,有的企業就懵了,這個要怎麼畫。其實也一樣的,雲上不過就是虛擬化的vSwitch、vRouter、vFW等等的,和傳統物理結構一樣照著畫就好了。 e)就是安全域的劃分,說的再簡介一點就是劃vlan,劃VPC,然後分網段。當然大型生產環境沒這麼簡單,就是為了大家便於理解,舉個簡單的例子。 f)本條說了2點要求,1是重要系統不能沒有任何策略或限制直接訪問外網(相當於直連,防護裝置未設定訪問規則一類的情況),無論是直連還是通過其他網路;2是重要系統要限制訪問,與其他系統隔離。有些系統(比如涉密)會做物理隔離,但目前採用較多的還是使用邏輯隔離的方式,通過策略進行隔離。 g)這裡說的是SLA,也是目前沒多少企業做到的,按照業務系統重要程度設定優先順序,高峰時按照優先順序分配資源(同樣也適用於系統中的主機),算是比較費時費力的一項工作,大多企業都是選擇放棄。
PS:補充一下,標準裡沒明確提出,但是字裡行間也有些關係的再提一下。
1.外部接入線路至少要有2家(電信、聯通、移動)且要做出入口網路負載均衡;
2.網路結構中的主要線路要做冗餘雙線;
3.關鍵節點裝置要做熱冗餘(HSRP、VRRP這種)。
7.1.2.2 訪問控制(G3)
a)應在網路邊界部署訪問控制裝置,啟用訪問控制功能; b)應能根據會話狀態資訊為資料流提供明確的允許/拒絕訪問的能力 ,控制粒度為埠級; c)應對進出網路的資訊內容進行過濾,實現對應用層 HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制; d)應在會話處於非活躍一定時間或會話結束後終止網路連線; e)應限制網路最大流量數及網路連線數; f)重要網段應採取技術手段防止地址欺騙; g)應按使用者和系統之間的允許訪問規則,決定允許或拒絕使用者對受控系統進行資源訪問,控制粒度為單個使用者; h)應限制具有撥號訪問許可權的使用者數量。
訪問控制層面共8點要求,都是比較繁瑣的部分。
a)這裡要求說的是邊界,不是內部,就是要邊界部署防火牆,注意,不是部了,加了策略就OK,還要配置必須生效。可能有人覺得這話說的很白痴,但實際環境中就有不少這種情況,牆和策略都很完善,但是沒啟用。
b)ACL策略且細緻度達到埠的級別,沒什麼說的。
舉個例子:R1(config)#access-list101 permit udp 10.10.2.0 0.0.0.255 host 172.16.5.1 eq 69
c)現在的NGFW基本沒壓力,這是當年標準剛出時候的要求,另外提到了一點對內容過濾,被一些人關聯到了敏感資訊稽核過濾上,按照當年的要求應該沒涉及到這方面,不過描述上這麼解釋也說得通,畢竟現在網路媒體上的敏感詞過濾還是一項大事,據瞭解有些平臺光內容過濾團隊就幾百人,而且要倒班,先機審後人審。
de)這兩點放在一起,其實要求都是很基礎的,但是認真去做的不多。d是說,裝置建立連線後,一段時間要自動斷開連線。比如管理員通過跳板機先登堡壘機,然後登入交換機要開放一個埠,操作期間接了個電話,20分鐘後回來繼續操作。這期間如果有其他人用這臺跳板機做一些非計劃的操作,可能造成嚴重影響。當然,這裡只是一個常見的情況,還有很多其他利用方式。e是說,要設定裝置的最大流量和連線數,一方面是防止一些簡單攻擊,再一方面避免業務請求過多把裝置搞崩了。
f)該項要求從當年的角度來看就是為了防ARP欺騙,那個年代一旦中招主機一攤一大片,放在今天已經不算什麼了。
g)這項就是使用者許可權管理,放在現在用高大上的叫法:IAM或者PAM。當前環境要注意的就是越權問題。
h)這項要求一直沒理解,查了一些資料也問了幾個老專家,還是沒給我說明白。當年檢查的時候老的防火牆之類裝置中有關於撥號使用者的設定,這裡就不亂說了,有了解的可以幫忙留言解釋一下。(個人理解,就是可以遠端登入的賬戶,不能設定過多此類賬戶)
7.1.2.3 安全審計(G3)
a)應對網路系統中的網路裝置執行狀況、網路流量、使用者行為等進行日誌記錄; b)審計記錄應包括:事件的日期和時間、使用者、事件型別、事件是否成功及其他與審計相關的資訊; c)應能夠根據記錄資料進行分析,並生成審計報表; d)應對審計記錄進行保護,避免受到未預期的刪除、修改或覆蓋等。
這部分是測評時的重點,有時候可以一票否決,所以說比較關鍵。
不分別解釋了,放在一起說,簡單概括:企業要對網路中的網路流量(業務、訪問、攻擊等)、操作(登入、退出、建立、刪除、變更等)進行記錄,且要儲存至少6個月;同時要對網路裝置(包括安全裝置)的執行狀況進行監控,並形成周報或月報留存,同樣至少6個月;此外對於網路日誌至少要包括b)中要求的資訊,系統中要有日誌審計系統能夠分析和統計日誌,並且生成審計報表以供檢查用;對於儲存的日誌要場外備份,有專人管理,保證日誌的完整性,不能有未預期的刪除、更改、覆蓋情況。這是等保三對安全審計的要求。(對於流量很大的企業,這項要求是很坑的,比如每天幾個TB流量的平臺,網路日誌要儲存6個月,呵呵,都是淚)
7.1.2.4 邊界完整性檢查(S3)
a)應能夠對非授權裝置私自聯到內部網路的行為進行檢查,準確定出位置,並對其進行有效阻斷; b)應能夠對內部網路使用者私自聯到外部網路的行為進行檢查,準確定出位置,並對其進行有效阻斷。
這部分要求當年理解起來挺困難的,結合現在的一些技術來看,才理解標準的前瞻性。要求簡單來說就是,系統功能自動檢測和發現不符合策略和規則的外聯內和內聯外行為。當前的態勢感知、蜜罐都可以搞定外聯內的情況,對於內聯外的檢測,個人認為更多的還是管理層面的事情,技術手段解決起來難度較大。比如私接無線網絡卡,辦公筆記本網線接公司網,無線接熱點,這種情況想第一時間發現和阻斷都很難。
7.1.2.5 入侵防範(G3)
a)應在網路邊界處監視以下攻擊行為:埠掃描、強力攻擊、木馬後門攻擊、拒絕服務攻擊、緩衝區溢位攻擊、IP 碎片攻擊和網路蠕蟲攻擊等; b)當檢測到 攻擊行為源 時,記錄攻擊源 IP 、攻擊型別、攻擊目的、攻擊時間, 在發生嚴重入侵事件時應提供報警。
簡單點,IPS和WAF就好了。當年能配備這些裝置的企業不多,現在不配備的不多。(這裡是符合要求,不是給各位的建議,舉例是便於大家理解)
7.1.2.6 惡意程式碼防範(G3)
a)應在網路邊界處對惡意程式碼進行檢測和清除; b)應維護惡意程式碼庫的升級和檢測系統的更新。
算是歷史遺留問題了,當年的時候有專門的防毒牆,防火牆會惡意程式碼防護模組。但是針對當前來說,惡意程式碼已經不是威脅,最大的威脅是系統自身的漏洞。這裡如果是被檢查,記得開啟裝置中的惡意程式碼防範功能就好,一般NGFW和IPS都具備這種防護能力。
7.1.2.7 網路裝置防護(G3)
a)應對登入網路裝置的使用者進行身份鑑別; b)應對網路裝置的管理員登入地址進行限制; c)網路裝置使用者的標識應唯一; d)主要網路裝置應對同一使用者選擇兩種或兩種以上組合的鑑別技術來進行身份鑑別; e)身份鑑別資訊應具有不易被冒用的特點,口令應有複雜度要求並定期更換; f)應具有登入失敗處理功能,可採取結束會話、限制非法登入次數和當網路登入連線超時自動退出等措施; g) 當對網路裝置進行遠端管理時,應採取必要措施防止鑑別資訊在網路傳輸過程中被竊聽; h) 應實現裝置特權使用者的許可權分離。
網路裝置防護也算是檢查的一個重點了,這裡不逐條解釋,統一總結一下:
1.網路中要有堡壘機,所有關鍵裝置必須要通過堡壘機訪問和登入;
2.系統中要有3A或4A認證,保證對登入管理使用者進行認證和審計。(3A就是認證、授權、審計;4A在此基礎上增加了可追溯/可問責性)
3.重要裝置要限制登入地址(一般就是堡壘機,如特殊情況要遠端登入,可在堡壘機開放遠端登入功能,採用VPN方式登入),有的環境下可能會設定幾臺跳板機的IP。
4.網路裝置的標識要簡單易懂,運維人員一看就知道是什麼裝置,且標識不能重複。
5.採用兩種以上登入方式,一般有堡壘機開啟雙因素認證就OK了,什麼虹膜、指紋、聲控都是扯淡。目前比較多的還是使用者名稱密碼配合3A認證。
6.登入失敗設定,要求(1)密碼輸入超過N此後,自動鎖定該賬戶M分鐘(通常是N=5,M>15,只是建議,不是要求);(2)登陸後無操作,S分鐘後要自動斷開(一般是S<5)。
7.重要裝置不要多人使用一個超級管理員賬戶,按照不同的人,不同的部分設定不同的賬戶,根據需要設定許可權,採用最小許可權原則;如果有能力,對於超級使用者一般使用前會先申請,審批後方可由專人發放賬戶,並規定操作內容和操作時間。
【結尾】
以上是網路安全部分的解釋和說明。最近各種工作還沒開始,所有有空寫點東西。關於網路部分除了上述描述外,檢查中還會涉及到網路裝置和安全裝置的上機檢查,具體內容有興趣的可以看看這兩個標準《YD/T 2698-2014》、《YD/T 2699-2014》。裡邊具體的檢查點和檢查方法都是配合等保要求來的。後續會陸續更新,謝謝各位支援。
*本文原創作者:宇辰,本文屬於FreeBuf原創獎勵計劃, 未經許可禁止轉載