網(wǎng)絡(luò)安全等級保護(hù)基本要求--安全通信網(wǎng)絡(luò)&安全區(qū)域邊界
《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》(以下簡稱“基本要求”)于2019年5月13日發(fā)布,2019年12月1日起正式實(shí)施?;疽笾械燃壉Wo(hù)對象在傳統(tǒng)信息系統(tǒng)的基礎(chǔ)上,綜合考慮了云計(jì)算、物聯(lián)網(wǎng)等新應(yīng)用、新技術(shù),等級保護(hù)對象調(diào)整為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)(含采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng))、云計(jì)算平臺/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺/資源、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等;
安全要求部分包括安全通用要求和安全擴(kuò)展要求, 安全擴(kuò)展要求包括云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求以及工業(yè)控制系統(tǒng)安全擴(kuò)展要求。其中,安全通用要求是不管等級保護(hù)對象形態(tài)如何必須滿足的要求,而針對云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和大數(shù)據(jù)提出的特殊要求稱為安全擴(kuò)展要求。
安全通用可分為技術(shù)類要求和管理類要求,其中技術(shù)要求包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心; 管理要求包括安全管理制度、安全管理機(jī)構(gòu)、安全管理人員 、安全建設(shè)管理和安全運(yùn)維管理。
在通用要求技術(shù)部分,關(guān)于網(wǎng)絡(luò)安全涉及安全通信網(wǎng)絡(luò)和安全區(qū)域邊界兩個(gè)安全類。安全通信網(wǎng)絡(luò)主要針對通信網(wǎng)絡(luò)(廣域網(wǎng)、城域網(wǎng)或局域網(wǎng))提出安全要求,而安全區(qū)域邊界主要針對等級保護(hù)對象網(wǎng)絡(luò)邊界和區(qū)域邊界提出的安全要求。不同等級(第一級到第四級)的等級保護(hù)對象的安全要求存在一定的差異,安全通信網(wǎng)絡(luò)和安全區(qū)域邊界在不同等級的控制點(diǎn)和要求項(xiàng)條款數(shù)如下表,本文以第三級為例,對安全通用要求部分關(guān)于“網(wǎng)絡(luò)安全(安全通信網(wǎng)絡(luò)和安全區(qū)域邊界)”部分的要求項(xiàng)進(jìn)行簡要介紹。
1
安全通信網(wǎng)絡(luò)
網(wǎng)絡(luò)架構(gòu):
a) 應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要;
b) 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要;
c) 應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域,并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址;
d) 應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處,重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段;
e) 應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備的硬件冗余,保證系統(tǒng)的可用性。
條款a、b、e要求網(wǎng)絡(luò)架構(gòu)應(yīng)配置冗余策略,網(wǎng)絡(luò)冗余策略包括網(wǎng)絡(luò)線路冗余、網(wǎng)絡(luò)重要設(shè)備冗余及網(wǎng)絡(luò)重要系統(tǒng)和數(shù)據(jù)備份策略等。
為保證網(wǎng)絡(luò)冗余策略,應(yīng)保證:
◇采用不同運(yùn)營商線路,相互備份且互不影響;
◇重要網(wǎng)絡(luò)設(shè)備熱冗余,如采用雙機(jī)熱備或服務(wù)器集群部署;
◇保證網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力具備冗余空間。
條款c要求劃分安全域、制定網(wǎng)絡(luò)IP地址分配策略,條款d要求為避免重要的安全域暴露在邊界處,在網(wǎng)絡(luò)邊界部署訪問控制類安全設(shè)備。
劃分網(wǎng)絡(luò)安全域是指按照不同區(qū)域的不同功能目的和安全要求,將網(wǎng)絡(luò)劃分為不同的安全域,以便實(shí)施不同的安全策略。制定網(wǎng)絡(luò)IP地址分配策略是指根據(jù)IP編址特點(diǎn),為設(shè)計(jì)的網(wǎng)絡(luò)中的節(jié)點(diǎn)和設(shè)備分配合適的IP地址,網(wǎng)絡(luò)IP地址分配策略要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃和流量規(guī)劃等結(jié)合起來考慮。IP地址分配包括靜態(tài)分配地址、動(dòng)態(tài)分配地址以及網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Aclclress Translation,NAT)分配地址等方式。
通常情況網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)絡(luò)安全域、互聯(lián)網(wǎng)安全域和外部網(wǎng)絡(luò)安全域?;跇I(yè)務(wù)需求,可進(jìn)一步劃分,如核心業(yè)務(wù)安全域、數(shù)據(jù)安全域等。網(wǎng)絡(luò)安全域的劃分,應(yīng)遵循如下原則:
1)網(wǎng)絡(luò)整體的拓?fù)浣Y(jié)構(gòu)嚴(yán)格規(guī)劃、設(shè)計(jì)和管理;
2)按照網(wǎng)絡(luò)分層設(shè)計(jì)的原則進(jìn)行規(guī)劃,便于擴(kuò)充和管理,易于故障隔離和排除;
3)網(wǎng)絡(luò)按訪問控制策略劃分成不同的安全域,將有相同安全需求的網(wǎng)絡(luò)設(shè)備劃分到一 個(gè)安全域中,采取相同或類似的安全策略,對重要網(wǎng)段進(jìn)行重點(diǎn)保護(hù);
4)使用防火墻等安全設(shè)備、VLAN或其他訪問控制方式與技術(shù),將重要網(wǎng)段與其他網(wǎng)段隔離開,在不同安全域之間設(shè)置訪問控制措施。(條款d要求)
虛擬局域網(wǎng)( Virtual Local Area Network,VLAN)是一種劃分互相隔離子網(wǎng)的技術(shù)。通過VLAN隔離技術(shù),可以把一個(gè)網(wǎng)絡(luò)系統(tǒng)中眾多的網(wǎng)絡(luò)設(shè)備邏輯地分成若干個(gè)虛擬工作組,組和組之間的網(wǎng)絡(luò)設(shè)備在第二層網(wǎng)絡(luò)上相互隔離,形成不同的安全區(qū)域,同時(shí)將廣播流量限制在不同的廣播域。
通信傳輸
a) 應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性;
b) 應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性。
為避免數(shù)據(jù)在通信過程中被非法截獲、非法篡改等破壞數(shù)據(jù)可用性的風(fēng)險(xiǎn),保證遠(yuǎn)程安全接入、保證通信過程中數(shù)據(jù)的安全,可部署IPSec、SSL VPN等通信設(shè)備,保證通信的安全性。VPN技術(shù)通過建立了一條安全隧道,既保證了通信完整性,也保證了通信保密性。
可信驗(yàn)證
可基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證,并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證,在檢測到其可信性受到破壞后進(jìn)行報(bào)警,并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心,并進(jìn)行動(dòng)態(tài)關(guān)聯(lián)感知。
2
安全區(qū)域邊界
邊界防護(hù)
a) 應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信;
b) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制;
c) 應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制;
d) 應(yīng)限制無線網(wǎng)絡(luò)的使用,保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)。
邊界防護(hù)是構(gòu)建網(wǎng)絡(luò)安全縱生防御體系的重要一環(huán),缺少邊界安全防護(hù)就無法實(shí)現(xiàn)網(wǎng)絡(luò)安全。邊界防護(hù)相關(guān)要求項(xiàng)針對邊界安全準(zhǔn)入、準(zhǔn)出的相關(guān)安全策略,條款a)要求邊界要有訪問控制設(shè)備,并明確邊界設(shè)備物理端口,跨越邊界的訪問和數(shù)據(jù)流僅能通過指定的設(shè)備端口進(jìn)行數(shù)據(jù)通信,條款b、c)要求通過技術(shù)手段和管理措施對“非法接入”、“非法外聯(lián)”行為進(jìn)行檢查、限制。
訪問控制
a) 應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則,默認(rèn)情況下除允許通信外受控接口拒絕所有通信;
b) 應(yīng)刪除多余或無效的訪問控制規(guī)則,優(yōu)化訪問控制列表,并保證訪問控制規(guī)則數(shù)量最小化;
c) 應(yīng)對源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查,以允許/拒絕數(shù)據(jù)包進(jìn)出;
d) 應(yīng)能根據(jù)會話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力;
e) 應(yīng)對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制。
訪問控制這一控制點(diǎn)相關(guān)要求是針對網(wǎng)絡(luò)安全策略中訪問控制策略提出的相關(guān)要求,不同安全級別的網(wǎng)絡(luò)相連,產(chǎn)生了網(wǎng)絡(luò)邊界。為防止來自網(wǎng)絡(luò)外界的入侵,應(yīng)在網(wǎng)絡(luò)邊界設(shè)置安全訪問控制措施。常見措施包括設(shè)計(jì)VLAN、劃分網(wǎng)段、部署防火墻、IP地址與MAC地址綁定等。關(guān)于訪問控制,應(yīng)保證:嚴(yán)格的安全防護(hù)機(jī)制,安全性較高的防火墻(支持會話層和應(yīng)用層訪問控制策略)。
入侵防范
a) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為;
b) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為;
c) 應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析,實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析;
d) 當(dāng)檢測到攻擊行為時(shí),記錄攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間,在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。
入侵防范控制點(diǎn)要求項(xiàng)主要針對流量安全檢測,網(wǎng)絡(luò)流量檢測措施包括部署入侵檢測系統(tǒng)/入侵防御系統(tǒng)、防病毒網(wǎng)關(guān)、抗拒絕服務(wù)攻擊系統(tǒng)以及漏洞掃描系統(tǒng)等。采用基于特征或基于行為的檢測方法對數(shù)據(jù)包的特征進(jìn)行深度分析,發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為和異常訪問行為,并設(shè)置告警機(jī)制。
惡意代碼和垃圾郵件防范
a) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對惡意代碼進(jìn)行檢測和清除,并維護(hù)惡意代碼防護(hù)機(jī)制的升級和更新;
b) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對垃圾郵件進(jìn)行檢測和防護(hù),并維護(hù)垃圾郵件防護(hù)機(jī)制的升級和更新。
惡意代碼是一種可執(zhí)行程序,惡意代碼以普通病毒、木馬、網(wǎng)絡(luò)蠕蟲、移動(dòng)代碼和復(fù)合型病毒等多種形態(tài)存在,惡意代碼具有非授權(quán)可執(zhí)行性、隱蔽性、傳染性、破壞性、潛伏性及變化快等多種特性,主要通過網(wǎng)頁、郵件等網(wǎng)絡(luò)載體進(jìn)行傳播。因此,在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處(網(wǎng)絡(luò)邊界和核心業(yè)務(wù)網(wǎng))部署防病毒網(wǎng)關(guān)、UTM或其他惡意代碼防范產(chǎn)品,是最直接、高效的惡意代碼防范方法。
安全審計(jì)
a) 應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì),審計(jì)覆蓋到每個(gè)用戶,對重要的用戶行為和重要安全事件進(jìn)行審計(jì);
b) 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息;
c) 應(yīng)對審計(jì)記錄進(jìn)行保護(hù),定期備份,避免受到未預(yù)期的刪除、修改或覆蓋等。
d) 應(yīng)能對遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析。
安全審計(jì)控制點(diǎn)針對網(wǎng)絡(luò)安全審計(jì)策略,網(wǎng)絡(luò)安全審計(jì)策略,可以加強(qiáng)網(wǎng)絡(luò)和系統(tǒng)的審計(jì)安全。常見措施包括部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、設(shè)置操作系統(tǒng)日志及其審計(jì)措施、設(shè)計(jì)應(yīng)用程序日志及其審計(jì)措施等。
網(wǎng)絡(luò)安全是動(dòng)態(tài)的可以部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng),對網(wǎng)絡(luò)安全狀態(tài)進(jìn)行實(shí)時(shí)可視化審計(jì), 并對審計(jì)記錄進(jìn)行定期的備份轉(zhuǎn)存,主要針對網(wǎng)絡(luò)行為和安全事件審計(jì)。
可信驗(yàn)證
可基于可信根對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證,并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證,在檢測到其可信性受到破壞后進(jìn)行報(bào)警,并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心,并進(jìn)行動(dòng)態(tài)關(guān)聯(lián)感知。