網絡安全等級保護基本要求--安全通信網絡&安全區域邊界
《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》(以下簡稱“基本要求”)于2019年5月13日發布,2019年12月1日起正式實施。基本要求中等級保護對象在傳統信息系統的基礎上,綜合考慮了云計算、物聯網等新應用、新技術,等級保護對象調整為基礎信息網絡、信息系統(含采用移動互聯技術的系統)、云計算平臺/系統、大數據應用/平臺/資源、物聯網和工業控制系統等;
安全要求部分包括安全通用要求和安全擴展要求, 安全擴展要求包括云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求以及工業控制系統安全擴展要求。其中,安全通用要求是不管等級保護對象形態如何必須滿足的要求,而針對云計算、移動互聯、物聯網、工業控制系統和大數據提出的特殊要求稱為安全擴展要求。
安全通用可分為技術類要求和管理類要求,其中技術要求包括安全物理環境、安全通信網絡、安全區域邊界、安全計算環境和安全管理中心; 管理要求包括安全管理制度、安全管理機構、安全管理人員 、安全建設管理和安全運維管理。
在通用要求技術部分,關于網絡安全涉及安全通信網絡和安全區域邊界兩個安全類。安全通信網絡主要針對通信網絡(廣域網、城域網或局域網)提出安全要求,而安全區域邊界主要針對等級保護對象網絡邊界和區域邊界提出的安全要求。不同等級(第一級到第四級)的等級保護對象的安全要求存在一定的差異,安全通信網絡和安全區域邊界在不同等級的控制點和要求項條款數如下表,本文以第三級為例,對安全通用要求部分關于“網絡安全(安全通信網絡和安全區域邊界)”部分的要求項進行簡要介紹。
1
安全通信網絡
網絡架構:
a) 應保證網絡設備的業務處理能力滿足業務高峰期需要;
b) 應保證網絡各個部分的帶寬滿足業務高峰期需要;
c) 應劃分不同的網絡區域,并按照方便管理和控制的原則為各網絡區域分配地址;
d) 應避免將重要網絡區域部署在邊界處,重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段;
e) 應提供通信線路、關鍵網絡設備和關鍵計算設備的硬件冗余,保證系統的可用性。
條款a、b、e要求網絡架構應配置冗余策略,網絡冗余策略包括網絡線路冗余、網絡重要設備冗余及網絡重要系統和數據備份策略等。
為保證網絡冗余策略,應保證:
◇采用不同運營商線路,相互備份且互不影響;
◇重要網絡設備熱冗余,如采用雙機熱備或服務器集群部署;
◇保證網絡帶寬和網絡設備業務處理能力具備冗余空間。
條款c要求劃分安全域、制定網絡IP地址分配策略,條款d要求為避免重要的安全域暴露在邊界處,在網絡邊界部署訪問控制類安全設備。
劃分網絡安全域是指按照不同區域的不同功能目的和安全要求,將網絡劃分為不同的安全域,以便實施不同的安全策略。制定網絡IP地址分配策略是指根據IP編址特點,為設計的網絡中的節點和設備分配合適的IP地址,網絡IP地址分配策略要和網絡層次規劃、路由協議規劃和流量規劃等結合起來考慮。IP地址分配包括靜態分配地址、動態分配地址以及網絡地址轉換(Network Aclclress Translation,NAT)分配地址等方式。
通常情況網絡劃分為內部網絡安全域、互聯網安全域和外部網絡安全域。基于業務需求,可進一步劃分,如核心業務安全域、數據安全域等。網絡安全域的劃分,應遵循如下原則:
1)網絡整體的拓撲結構嚴格規劃、設計和管理;
2)按照網絡分層設計的原則進行規劃,便于擴充和管理,易于故障隔離和排除;
3)網絡按訪問控制策略劃分成不同的安全域,將有相同安全需求的網絡設備劃分到一 個安全域中,采取相同或類似的安全策略,對重要網段進行重點保護;
4)使用防火墻等安全設備、VLAN或其他訪問控制方式與技術,將重要網段與其他網段隔離開,在不同安全域之間設置訪問控制措施。(條款d要求)
虛擬局域網( Virtual Local Area Network,VLAN)是一種劃分互相隔離子網的技術。通過VLAN隔離技術,可以把一個網絡系統中眾多的網絡設備邏輯地分成若干個虛擬工作組,組和組之間的網絡設備在第二層網絡上相互隔離,形成不同的安全區域,同時將廣播流量限制在不同的廣播域。
通信傳輸
a) 應采用密碼技術保證通信過程中數據的完整性;
b) 應采用密碼技術保證通信過程中數據的保密性。
為避免數據在通信過程中被非法截獲、非法篡改等破壞數據可用性的風險,保證遠程安全接入、保證通信過程中數據的安全,可部署IPSec、SSL VPN等通信設備,保證通信的安全性。VPN技術通過建立了一條安全隧道,既保證了通信完整性,也保證了通信保密性。
可信驗證
可基于可信根對通信設備的系統引導程序、系統程序、重要配置參數和通信應用程序等進行可信驗證,并在應用程序的所有執行環節進行動態可信驗證,在檢測到其可信性受到破壞后進行報警,并將驗證結果形成審計記錄送至安全管理中心,并進行動態關聯感知。
2
安全區域邊界
邊界防護
a) 應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信;
b) 應能夠對非授權設備私自聯到內部網絡的行為進行檢查或限制;
c) 應能夠對內部用戶非授權聯到外部網絡的行為進行檢查或限制;
d) 應限制無線網絡的使用,保證無線網絡通過受控的邊界設備接入內部網絡。
邊界防護是構建網絡安全縱生防御體系的重要一環,缺少邊界安全防護就無法實現網絡安全。邊界防護相關要求項針對邊界安全準入、準出的相關安全策略,條款a)要求邊界要有訪問控制設備,并明確邊界設備物理端口,跨越邊界的訪問和數據流僅能通過指定的設備端口進行數據通信,條款b、c)要求通過技術手段和管理措施對“非法接入”、“非法外聯”行為進行檢查、限制。
訪問控制
a) 應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則,默認情況下除允許通信外受控接口拒絕所有通信;
b) 應刪除多余或無效的訪問控制規則,優化訪問控制列表,并保證訪問控制規則數量最小化;
c) 應對源地址、目的地址、源端口、目的端口和協議等進行檢查,以允許/拒絕數據包進出;
d) 應能根據會話狀態信息為進出數據流提供明確的允許/拒絕訪問的能力;
e) 應對進出網絡的數據流實現基于應用協議和應用內容的訪問控制。
訪問控制這一控制點相關要求是針對網絡安全策略中訪問控制策略提出的相關要求,不同安全級別的網絡相連,產生了網絡邊界。為防止來自網絡外界的入侵,應在網絡邊界設置安全訪問控制措施。常見措施包括設計VLAN、劃分網段、部署防火墻、IP地址與MAC地址綁定等。關于訪問控制,應保證:嚴格的安全防護機制,安全性較高的防火墻(支持會話層和應用層訪問控制策略)。
入侵防范
a) 應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為;
b) 應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為;
c) 應采取技術措施對網絡行為進行分析,實現對網絡攻擊特別是新型網絡攻擊行為的分析;
d) 當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間,在發生嚴重入侵事件時應提供報警。
入侵防范控制點要求項主要針對流量安全檢測,網絡流量檢測措施包括部署入侵檢測系統/入侵防御系統、防病毒網關、抗拒絕服務攻擊系統以及漏洞掃描系統等。采用基于特征或基于行為的檢測方法對數據包的特征進行深度分析,發現網絡攻擊行為和異常訪問行為,并設置告警機制。
惡意代碼和垃圾郵件防范
a) 應在關鍵網絡節點處對惡意代碼進行檢測和清除,并維護惡意代碼防護機制的升級和更新;
b) 應在關鍵網絡節點處對垃圾郵件進行檢測和防護,并維護垃圾郵件防護機制的升級和更新。
惡意代碼是一種可執行程序,惡意代碼以普通病毒、木馬、網絡蠕蟲、移動代碼和復合型病毒等多種形態存在,惡意代碼具有非授權可執行性、隱蔽性、傳染性、破壞性、潛伏性及變化快等多種特性,主要通過網頁、郵件等網絡載體進行傳播。因此,在關鍵網絡節點處(網絡邊界和核心業務網)部署防病毒網關、UTM或其他惡意代碼防范產品,是最直接、高效的惡意代碼防范方法。
安全審計
a) 應在網絡邊界、重要網絡節點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;
b) 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;
c) 應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等。
d) 應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析。
安全審計控制點針對網絡安全審計策略,網絡安全審計策略,可以加強網絡和系統的審計安全。常見措施包括部署網絡安全審計系統、設置操作系統日志及其審計措施、設計應用程序日志及其審計措施等。
網絡安全是動態的可以部署網絡安全審計系統,對網絡安全狀態進行實時可視化審計, 并對審計記錄進行定期的備份轉存,主要針對網絡行為和安全事件審計。
可信驗證
可基于可信根對邊界設備的系統引導程序、系統程序、重要配置參數和邊界防護應用程序等進行可信驗證,并在應用程序的所有執行環節進行動態可信驗證,在檢測到其可信性受到破壞后進行報警,并將驗證結果形成審計記錄送至安全管理中心,并進行動態關聯感知。
