网络安全
结构安全要求
要求:a应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
解读:网络中关键设备(比如核心交换、汇聚交换,出口防火墙、串联接入的IPS和WAF),设备的处理能力必须要远大于系统实际业务的流量,比如核心交换机峰值业务时会有8Gb的流量,那么关键节点的设备至少要有10Gb的处理能力,这点理解起来不难,目前除非很大的平台,不然一般设备性能都是过剩的,对于分布式云存储+负载均衡设备来说这点就更加的简单了。
要求:b应保证网络各个部分的带宽满足业务高峰期需要;
解读:这一条要求网络各部分之间的带宽要求满足高峰期需求,我认为除了光纤存储网络中重要部分采用40G光模块+MPO光纤外,其他链路都是富足的(这个基本上不是什么事)。
要求:c应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
解读:个人理解是网络中的ACL,业务系统中终端访问服务器要建立安全通道,像VPN或TLS这类的加密传输,看主机所用的路由器是静态路由还是动态路由。静态路由是管理员手工配置的,动态路由是路由器动态建立的,为了保证网络安全,应添加认证功能。
此外,采用内部路由和外部路由。对于外部路由要进行验证,例如ospf协议要进行验证,对于内部路由要按照访问路径进行访问,可以tracert一下,检查是否按照设计的路径进行访问。。
要求:d)应绘制与当前运行情况相符的网络拓扑结构图;
解读:画图吧。
要求:e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
解读:就是安全域的划分,说的再简介一点就是划vlan,划VPC,然后分网段。当然大型生产环境没这么简单,就是为了大家便于理解(可以每个安全域一个网段一个VLAN)。
要求:f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
解读:本条有2点要求,1是重要系统不能没有任何策略或限制直接访问外网(相当于直连,防护设备未设置访问规则一类的情况),无论是直连还是通过其他网络;2是重要系统要限制访问,与其他系统隔离。有些系统(比如涉密)会做物理隔离,但目前采用较多的还是使用逻辑隔离的方式,通过策略进行隔离。
要求:g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
解读:结构安全层面列出了7条要求,主要涉及的都是网络工程方向,一条条解释一下:这里说的是SLA,也是目前没多少企业做到的,按照业务系统重要程度设置优先级,高峰时按照优先级分配资源(同样也适用于系统中的主机),算是比较费时费力的一项工作,大多企业都是选择放弃。
PS:补充一下,标准里没明确提出,但是字里行间也有些关系的再提一下。
1.外部接入线路至少要有2家(电信、联通、移动)且要做出入口网络负载均衡;
2.网络结构中的主要线路要做冗余双线;
3.关键节点设备要做热冗余(HSRP、VRRP这种)。
访问控制(G3)
要求:a)应在网络边界部署访问控制设备,启用访问控制功能;
解读:这里要求说的是边界,不是内部,就是要边界部署防火墙,注意,不是布置了,加了策略就OK,还要配置必须生效。
要求:b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力 ,控制粒度为端口级;
解读:ACL策略且细致度达到端口的级别。
要求:c)应对进出网络的信息内容进行过滤,实现对应用层 HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
解读:这正是下一代防火墙的主要功能
要求:d)应在会话处于非活跃一定时间或会话结束后终止网络连接;
要求:e)应限制网络最大流量数及网络连接数;
解读:这两点放在一起,其实要求都是很基础的,但是认真去做的不多。d是说,设备建立连接后,一段时间要自动断开连接。比如管理员通过跳板机先登堡垒机,然后登录交换机要开放一个端口,操作期间接了个电话,20分钟后回来继续操作。这期间如果有其他人用这台跳板机做一些非计划的操作,可能造成严重影响。当然,这里只是一个常见的情况,还有很多其他利用方式。e是说,要设置设备的最大流量和连接数,一方面是防止一些简单攻击,再一方面避免业务请求过多把设备搞崩了。
要求:f)重要网段应采取技术手段防止地址欺骗;
解读:该项要求从当年的角度来看就是为了防ARP欺骗,那个年代一旦中招主机一摊一大片,放在今天已经不算什么了。
要求:g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
解读:这项就是用户权限管理,放在现在用高大上的叫法:IAM或者PAM。当前环境要注意的就是越权问题。
要求:h)应限制具有拨号访问权限的用户数量。
解读:这项要求一直没理解,查了一些资料也问了几个老专家,还是没给我说明白。当年检查的时候老的防火墙之类设备中有关于拨号用户的设置,这里就不乱说了,有了解的可以帮忙留言解释一下。(个人理解,就是可以远程登录的账户,不能设置过多此类账户)
访问控制层面共8点要求,都是比较繁琐的部分。
安全审计(G3)
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应能够根据记录数据进行分析,并生成审计报表;
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
解读:这部分是测评时的重点,有时候可以一票否决,所以说比较关键。
不分别解释了,放在一起说,简单概括:企业要对网络中的网络流量(业务、访问、攻击等)、操作(登录、退出、创建、删除、变更等)进行记录,且要保存至少6个月;同时要对网络设备(包括安全设备)的运行状况进行监控,并形成周报或月报留存,同样至少6个月;此外对于网络日志至少要包括b)中要求的信息,系统中要有日志审计系统能够分析和统计日志,并且生成审计报表以供检查用;对于保存的日志要场外备份,有专人管理,保证日志的完整性,不能有未预期的删除、更改、覆盖情况。这是等保三对安全审计的要求。(说了这么多废话就是上一套综合日志审计系统LAS)
边界完整性检查(S3)
a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
解读:这部分要求当年理解起来挺困难的,结合现在的一些技术来看,才理解标准的前瞻性。要求简单来说就是,系统功能自动检测和发现不符合策略和规则的外联内和内联外行为。当前的态势感知(设备)、蜜罐(设备)都可以搞定外联内的情况,对于内联外的检测,个人认为更多的还是管理层面的事情,技术手段解决起来难度较大。比如私接无线网卡,办公笔记本网线接公司网,无线接热点,这种情况想第一时间发现和阻断都很难。
入侵防范(G3)
a)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等;
b)当检测到 攻击行为源 时,记录攻击源 IP 、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
解读:简单点,IPS(设备)和WAF(设备)就好了。当年能配备这些设备的企业不多,现在不配备的不多。(这里是符合要求,不是给各位的建议,举例是便于大家理解)
恶意代码防范(G3)
a)应在网络边界处对恶意代码进行检测和清除;
b)应维护恶意代码库的升级和检测系统的更新。
解读:算是历史遗留问题了,当年的时候有专门的防毒墙,防火墙会恶意代码防护模块。但是针对当前来说,恶意代码已经不是威胁,最大的威胁是系统自身的漏洞。这里如果是被检查,记得开启设备中的恶意代码防范功能就好,一般NGFW(设备)和IPS(设备)都具备这种防护能力。
网络设备防护(G3)
a)应对登录网络设备的用户进行身份鉴别;
1.网络中要有堡垒机(设备),所有关键设备必须要通过堡垒机访问和登录;
b)应对网络设备的管理员登录地址进行限制;
解读:2.系统中要有3A或4A认证,保证对登录管理用户进行认证和审计。(3A就是认证、授权、审计;4A在此基础上增加了可追溯/可问责性)堡垒机
c)网络设备用户的标识应唯一;
解读:3.重要设备要限制登录地址(一般就是堡垒机,如特殊情况要远程登录,可在堡垒机开放远程登录功能,采用VPN方式登录),有的环境下可能会设置几台跳板机的IP。
d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
解读:4.网络设备的标识要简单易懂,运维人员一看就知道是什么设备,且标识不能重复。
5.采用两种以上登录方式,一般有堡垒机开启双因素认证就OK了,什么虹膜、指纹、声控都是扯淡。目前比较多的还是用户名密码配合3A认证。
e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
解读:6.登录失败设置,要求(1)密码输入超过N此后,自动锁定该账户M分钟(通常是N=5,M>15,只是建议,不是要求);(2)登陆后无操作,S分钟后要自动断开(一般是S<5)。
g) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
h) 应实现设备特权用户的权限分离。
解读:网络设备防护也算是检查的一个重点了,这里不逐条解释,统一总结一下:
7.重要设备不要多人使用一个超级管理员账户,按照不同的人,不同的部分设置不同的账户,根据需要设定权限,采用最小权限原则;如果有能力,对于超级用户一般使用前会先申请,审批后方可由专人发放账户,并规定操作内容和操作时间。