本篇將會重點討論一下等保中對等級保護網(wǎng)絡(luò)安全的要求，這里說明一下，文中內(nèi)容全是本人個人觀點，如有不對的地方歡迎糾正。文章已等保三級系統(tǒng)為基礎(chǔ)，從合規(guī)角度解讀要求?？吹接型瑢W吐槽等保沒用，其實換個角度去思考，等保是國家對信息安全的基線，不保證做到了系統(tǒng)就不會被黑，但是做不到必然會被黑，各位還是不要在政策層面過于糾結(jié)。

正文

本部分從網(wǎng)絡(luò)安全方向解讀一下標準的要求點。相比物理安全部分，網(wǎng)絡(luò)可擴展的地方不多，廣度縮小，深度增加。

7.1.2 網(wǎng)絡(luò)安全

7.1.2.1 結(jié)構(gòu)安全（G3）

a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；

b)應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要 ；

c)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制建立安全的訪問路徑；

d)應(yīng)繪制與當前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；

e)應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；

f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；

g)應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要主機。

結(jié)構(gòu)安全層面列出了7條要求，主要涉及的都是網(wǎng)絡(luò)工程方向，一條條解釋一下：

a）這里指網(wǎng)絡(luò)中關(guān)鍵設(shè)備（比如核心交換、匯聚交換，出口防火墻、串聯(lián)接入的IPS和WAF），設(shè)備的處理能力必須要遠大于系統(tǒng)實際業(yè)務(wù)的流量，比如A系統(tǒng)1分鐘（高峰期）會有1Gb的流量，那么關(guān)鍵節(jié)點的設(shè)備至少要有1.3Gb（或者1.5Gb）的處理能力，這點理解起來不難，目前除非很大的平臺，不然一般設(shè)備性能都是過剩的。

b)上邊將的是整個網(wǎng)絡(luò)，這里是指內(nèi)部不同系統(tǒng)或部門線路的帶寬，不難理解，所以不再重復解釋了。

c)這里說的其實有些模糊。個人理解是網(wǎng)絡(luò)中的ACL，業(yè)務(wù)系統(tǒng)中終端訪問服務(wù)器要建立安全通道，像VPN或TLS這類的加密傳輸。

d)這個不用說了，大家都懂的。另外提一句題外話，就是等保2.0的云計算擴展要求中要繪制云上的網(wǎng)絡(luò)拓撲圖，有的企業(yè)就懵了，這個要怎么畫。其實也一樣的，云上不過就是虛擬化的vSwitch、vRouter、vFW等等的，和傳統(tǒng)物理結(jié)構(gòu)一樣照著畫就好了。

e)就是安全域的劃分，說的再簡介一點就是劃vlan，劃VPC，然后分網(wǎng)段。當然大型生產(chǎn)環(huán)境沒這么簡單，就是為了大家便于理解，舉個簡單的例子。

f)本條說了2點要求，1是重要系統(tǒng)不能沒有任何策略或限制直接訪問外網(wǎng)（相當于直連，防護設(shè)備未設(shè)置訪問規(guī)則一類的情況），無論是直連還是通過其他網(wǎng)絡(luò)；2是重要系統(tǒng)要限制訪問，與其他系統(tǒng)隔離。有些系統(tǒng)（比如涉密）會做物理隔離，但目前采用較多的還是使用邏輯隔離的方式，通過策略進行隔離。

g)這里說的是SLA，也是目前沒多少企業(yè)做到的，按照業(yè)務(wù)系統(tǒng)重要程度設(shè)置優(yōu)先級，高峰時按照優(yōu)先級分配資源（同樣也適用于系統(tǒng)中的主機），算是比較費時費力的一項工作，大多企業(yè)都是選擇放棄。

PS：補充一下，標準里沒明確提出，但是字里行間也有些關(guān)系的再提一下。

1.外部接入線路至少要有2家（電信、聯(lián)通、移動）且要做出入口網(wǎng)絡(luò)負載均衡；

2.網(wǎng)絡(luò)結(jié)構(gòu)中的主要線路要做冗余雙線；

3.關(guān)鍵節(jié)點設(shè)備要做熱冗余（HSRP、VRRP這種）。

7.1.2.2 訪問控制（G3）

a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；

b)應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力 ，控制粒度為端口級；

c)應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層 HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；

d)應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；

e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；

f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；

g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；

h)應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。

訪問控制層面共8點要求，都是比較繁瑣的部分。

a)這里要求說的是邊界，不是內(nèi)部，就是要邊界部署防火墻，注意，不是部了，加了策略就OK，還要配置必須生效?？赡苡腥擞X得這話說的很白癡，但實際環(huán)境中就有不少這種情況，墻和策略都很完善，但是沒啟用。

b)ACL策略且細致度達到端口的級別，沒什么說的。

舉個例子：R1(config)#access-list101 permit udp 10.10.2.0 0.0.0.255 host 172.16.5.1 eq 69

c)現(xiàn)在的NGFW基本沒壓力，這是當年標準剛出時候的要求，另外提到了一點對內(nèi)容過濾，被一些人關(guān)聯(lián)到了敏感信息審核過濾上，按照當年的要求應(yīng)該沒涉及到這方面，不過描述上這么解釋也說得通，畢竟現(xiàn)在網(wǎng)絡(luò)媒體上的敏感詞過濾還是一項大事，據(jù)了解有些平臺光內(nèi)容過濾團隊就幾百人，而且要倒班，先機審后人審。

de)這兩點放在一起，其實要求都是很基礎(chǔ)的，但是認真去做的不多。d是說，設(shè)備建立連接后，一段時間要自動斷開連接。比如管理員通過跳板機先登堡壘機，然后登錄交換機要開放一個端口，操作期間接了個電話，20分鐘后回來繼續(xù)操作。這期間如果有其他人用這臺跳板機做一些非計劃的操作，可能造成嚴重影響。當然，這里只是一個常見的情況，還有很多其他利用方式。e是說，要設(shè)置設(shè)備的最大流量和連接數(shù)，一方面是防止一些簡單攻擊，再一方面避免業(yè)務(wù)請求過多把設(shè)備搞崩了。

f)該項要求從當年的角度來看就是為了防ARP欺騙，那個年代一旦中招主機一攤一大片，放在今天已經(jīng)不算什么了。

g)這項就是用戶權(quán)限管理，放在現(xiàn)在用高大上的叫法：IAM或者PAM。當前環(huán)境要注意的就是越權(quán)問題。

h)這項要求一直沒理解，查了一些資料也問了幾個老專家，還是沒給我說明白。當年檢查的時候老的防火墻之類設(shè)備中有關(guān)于撥號用戶的設(shè)置，這里就不亂說了，有了解的可以幫忙留言解釋一下。（個人理解，就是可以遠程登錄的賬戶，不能設(shè)置過多此類賬戶）

7.1.2.3 安全審計（G3）

a)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；

b)審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；

c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；

d)應(yīng)對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。

這部分是測評時的重點，有時候可以一票否決，所以說比較關(guān)鍵。

不分別解釋了，放在一起說，簡單概括：企業(yè)要對網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量（業(yè)務(wù)、訪問、攻擊等）、操作（登錄、退出、創(chuàng)建、刪除、變更等）進行記錄，且要保存至少6個月；同時要對網(wǎng)絡(luò)設(shè)備（包括安全設(shè)備）的運行狀況進行監(jiān)控，并形成周報或月報留存，同樣至少6個月；此外對于網(wǎng)絡(luò)日志至少要包括b)中要求的信息，系統(tǒng)中要有日志審計系統(tǒng)能夠分析和統(tǒng)計日志，并且生成審計報表以供檢查用；對于保存的日志要場外備份，有專人管理，保證日志的完整性，不能有未預期的刪除、更改、覆蓋情況。這是等保三對安全審計的要求。（對于流量很大的企業(yè)，這項要求是很坑的，比如每天幾個TB流量的平臺，網(wǎng)絡(luò)日志要保存6個月，呵呵，都是淚）

7.1.2.4 邊界完整性檢查（S3）

a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷；

b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷。

這部分要求當年理解起來挺困難的，結(jié)合現(xiàn)在的一些技術(shù)來看，才理解標準的前瞻性。要求簡單來說就是，系統(tǒng)功能自動檢測和發(fā)現(xiàn)不符合策略和規(guī)則的外聯(lián)內(nèi)和內(nèi)聯(lián)外行為。當前的態(tài)勢感知、蜜罐都可以搞定外聯(lián)內(nèi)的情況，對于內(nèi)聯(lián)外的檢測，個人認為更多的還是管理層面的事情，技術(shù)手段解決起來難度較大。比如私接無線網(wǎng)卡，辦公筆記本網(wǎng)線接公司網(wǎng)，無線接熱點，這種情況想第一時間發(fā)現(xiàn)和阻斷都很難。

7.1.2.5 入侵防范（G3）

a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；

b)當檢測到 攻擊行為源 時，記錄攻擊源 IP 、攻擊類型、攻擊目的、攻擊時間， 在發(fā)生嚴重入侵事件時應(yīng)提供報警。

簡單點，IPS和WAF就好了。當年能配備這些設(shè)備的企業(yè)不多，現(xiàn)在不配備的不多。（這里是符合要求，不是給各位的建議，舉例是便于大家理解）

7.1.2.6 惡意代碼防范（G3）

a)應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除；

b)應(yīng)維護惡意代碼庫的升級和檢測系統(tǒng)的更新。

算是歷史遺留問題了，當年的時候有專門的防毒墻，防火墻會惡意代碼防護模塊。但是針對當前來說，惡意代碼已經(jīng)不是威脅，最大的威脅是系統(tǒng)自身的漏洞。這里如果是被檢查，記得開啟設(shè)備中的惡意代碼防范功能就好，一般NGFW和IPS都具備這種防護能力。

7.1.2.7 網(wǎng)絡(luò)設(shè)備防護（G3）

a)應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；

b)應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；

c)網(wǎng)絡(luò)設(shè)備用戶的標識應(yīng)唯一；

d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；

e)身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復雜度要求并定期更換；

f)應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡(luò)登錄連接超時自動退出等措施；

g) 當對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；

h) 應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。

網(wǎng)絡(luò)設(shè)備防護也算是檢查的一個重點了，這里不逐條解釋，統(tǒng)一總結(jié)一下：

1.網(wǎng)絡(luò)中要有堡壘機，所有關(guān)鍵設(shè)備必須要通過堡壘機訪問和登錄；

2.系統(tǒng)中要有3A或4A認證，保證對登錄管理用戶進行認證和審計。（3A就是認證、授權(quán)、審計；4A在此基礎(chǔ)上增加了可追溯/可問責性）

3.重要設(shè)備要限制登錄地址（一般就是堡壘機，如特殊情況要遠程登錄，可在堡壘機開放遠程登錄功能，采用VPN方式登錄），有的環(huán)境下可能會設(shè)置幾臺跳板機的IP。

4.網(wǎng)絡(luò)設(shè)備的標識要簡單易懂，運維人員一看就知道是什么設(shè)備，且標識不能重復。

5.采用兩種以上登錄方式，一般有堡壘機開啟雙因素認證就OK了，什么虹膜、指紋、聲控都是扯淡。目前比較多的還是用戶名密碼配合3A認證。

6.登錄失敗設(shè)置，要求（1）密碼輸入超過N此后，自動鎖定該賬戶M分鐘（通常是N=5，M>15，只是建議，不是要求）；（2）登陸后無操作，S分鐘后要自動斷開（一般是S<5）。

7.重要設(shè)備不要多人使用一個超級管理員賬戶，按照不同的人，不同的部分設(shè)置不同的賬戶，根據(jù)需要設(shè)定權(quán)限，采用最小權(quán)限原則；如果有能力，對于超級用戶一般使用前會先申請，審批后方可由專人發(fā)放賬戶，并規(guī)定操作內(nèi)容和操作時間。

結(jié)尾

以上是網(wǎng)絡(luò)安全部分的解釋和說明。最近各種工作還沒開始，所有有空寫點東西。關(guān)于網(wǎng)絡(luò)部分除了上述描述外，檢查中還會涉及到網(wǎng)絡(luò)設(shè)備和安全設(shè)備的上機檢查，具體內(nèi)容有興趣的可以看看這兩個標準《YD/T 2698-2014》、《YD/T 2699-2014》。里邊具體的檢查點和檢查方法都是配合等保要求來的。后續(xù)會陸續(xù)更新，謝謝各位支持。

等級保護測評系列介紹

等級保護測評（一）：物理安全

等級保護測評（二）：網(wǎng)絡(luò)安全

等級保護測評（三）：主機安全

等級保護測評（四）：應(yīng)用與數(shù)據(jù)安全

等級保護測評（五）：制度與人員安全

等級保護測評（六）：系統(tǒng)建設(shè)管理

等級保護測評（七）：系統(tǒng)運維管理