本篇將會(huì)重點(diǎn)討論一下等保中對(duì)等級(jí)保護(hù)網(wǎng)絡(luò)安全的要求，這里說(shuō)明一下，文中內(nèi)容全是本人個(gè)人觀點(diǎn)，如有不對(duì)的地方歡迎糾正。文章已等保三級(jí)系統(tǒng)為基礎(chǔ)，從合規(guī)角度解讀要求?？吹接型瑢W(xué)吐槽等保沒(méi)用，其實(shí)換個(gè)角度去思考，等保是國(guó)家對(duì)信息安全的基線，不保證做到了系統(tǒng)就不會(huì)被黑，但是做不到必然會(huì)被黑，各位還是不要在政策層面過(guò)于糾結(jié)。

正文

本部分從網(wǎng)絡(luò)安全方向解讀一下標(biāo)準(zhǔn)的要求點(diǎn)。相比物理安全部分，網(wǎng)絡(luò)可擴(kuò)展的地方不多，廣度縮小，深度增加。

7.1.2 網(wǎng)絡(luò)安全

7.1.2.1 結(jié)構(gòu)安全（G3）

a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；

b)應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要 ；

c)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑；

d)應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；

e)應(yīng)根據(jù)各部門(mén)的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；

f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；

g)應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。

結(jié)構(gòu)安全層面列出了7條要求，主要涉及的都是網(wǎng)絡(luò)工程方向，一條條解釋一下：

a）這里指網(wǎng)絡(luò)中關(guān)鍵設(shè)備（比如核心交換、匯聚交換，出口防火墻、串聯(lián)接入的IPS和WAF），設(shè)備的處理能力必須要遠(yuǎn)大于系統(tǒng)實(shí)際業(yè)務(wù)的流量，比如A系統(tǒng)1分鐘（高峰期）會(huì)有1Gb的流量，那么關(guān)鍵節(jié)點(diǎn)的設(shè)備至少要有1.3Gb（或者1.5Gb）的處理能力，這點(diǎn)理解起來(lái)不難，目前除非很大的平臺(tái)，不然一般設(shè)備性能都是過(guò)剩的。

b)上邊將的是整個(gè)網(wǎng)絡(luò)，這里是指內(nèi)部不同系統(tǒng)或部門(mén)線路的帶寬，不難理解，所以不再重復(fù)解釋了。

c)這里說(shuō)的其實(shí)有些模糊。個(gè)人理解是網(wǎng)絡(luò)中的ACL，業(yè)務(wù)系統(tǒng)中終端訪問(wèn)服務(wù)器要建立安全通道，像VPN或TLS這類的加密傳輸。

d)這個(gè)不用說(shuō)了，大家都懂的。另外提一句題外話，就是等保2.0的云計(jì)算擴(kuò)展要求中要繪制云上的網(wǎng)絡(luò)拓?fù)鋱D，有的企業(yè)就懵了，這個(gè)要怎么畫(huà)。其實(shí)也一樣的，云上不過(guò)就是虛擬化的vSwitch、vRouter、vFW等等的，和傳統(tǒng)物理結(jié)構(gòu)一樣照著畫(huà)就好了。

e)就是安全域的劃分，說(shuō)的再簡(jiǎn)介一點(diǎn)就是劃vlan，劃VPC，然后分網(wǎng)段。當(dāng)然大型生產(chǎn)環(huán)境沒(méi)這么簡(jiǎn)單，就是為了大家便于理解，舉個(gè)簡(jiǎn)單的例子。

f)本條說(shuō)了2點(diǎn)要求，1是重要系統(tǒng)不能沒(méi)有任何策略或限制直接訪問(wèn)外網(wǎng)（相當(dāng)于直連，防護(hù)設(shè)備未設(shè)置訪問(wèn)規(guī)則一類的情況），無(wú)論是直連還是通過(guò)其他網(wǎng)絡(luò)；2是重要系統(tǒng)要限制訪問(wèn)，與其他系統(tǒng)隔離。有些系統(tǒng)（比如涉密）會(huì)做物理隔離，但目前采用較多的還是使用邏輯隔離的方式，通過(guò)策略進(jìn)行隔離。

g)這里說(shuō)的是SLA，也是目前沒(méi)多少企業(yè)做到的，按照業(yè)務(wù)系統(tǒng)重要程度設(shè)置優(yōu)先級(jí)，高峰時(shí)按照優(yōu)先級(jí)分配資源（同樣也適用于系統(tǒng)中的主機(jī)），算是比較費(fèi)時(shí)費(fèi)力的一項(xiàng)工作，大多企業(yè)都是選擇放棄。

PS：補(bǔ)充一下，標(biāo)準(zhǔn)里沒(méi)明確提出，但是字里行間也有些關(guān)系的再提一下。

1.外部接入線路至少要有2家（電信、聯(lián)通、移動(dòng)）且要做出入口網(wǎng)絡(luò)負(fù)載均衡；

2.網(wǎng)絡(luò)結(jié)構(gòu)中的主要線路要做冗余雙線；

3.關(guān)鍵節(jié)點(diǎn)設(shè)備要做熱冗余（HSRP、VRRP這種）。

7.1.2.2 訪問(wèn)控制（G3）

a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；

b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力 ，控制粒度為端口級(jí)；

c)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層 HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；

d)應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；

e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；

f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；

g)應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶；

h)應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量。

訪問(wèn)控制層面共8點(diǎn)要求，都是比較繁瑣的部分。

a)這里要求說(shuō)的是邊界，不是內(nèi)部，就是要邊界部署防火墻，注意，不是部了，加了策略就OK，還要配置必須生效?？赡苡腥擞X(jué)得這話說(shuō)的很白癡，但實(shí)際環(huán)境中就有不少這種情況，墻和策略都很完善，但是沒(méi)啟用。

b)ACL策略且細(xì)致度達(dá)到端口的級(jí)別，沒(méi)什么說(shuō)的。

舉個(gè)例子：R1(config)#access-list101 permit udp 10.10.2.0 0.0.0.255 host 172.16.5.1 eq 69

c)現(xiàn)在的NGFW基本沒(méi)壓力，這是當(dāng)年標(biāo)準(zhǔn)剛出時(shí)候的要求，另外提到了一點(diǎn)對(duì)內(nèi)容過(guò)濾，被一些人關(guān)聯(lián)到了敏感信息審核過(guò)濾上，按照當(dāng)年的要求應(yīng)該沒(méi)涉及到這方面，不過(guò)描述上這么解釋也說(shuō)得通，畢竟現(xiàn)在網(wǎng)絡(luò)媒體上的敏感詞過(guò)濾還是一項(xiàng)大事，據(jù)了解有些平臺(tái)光內(nèi)容過(guò)濾團(tuán)隊(duì)就幾百人，而且要倒班，先機(jī)審后人審。

de)這兩點(diǎn)放在一起，其實(shí)要求都是很基礎(chǔ)的，但是認(rèn)真去做的不多。d是說(shuō)，設(shè)備建立連接后，一段時(shí)間要自動(dòng)斷開(kāi)連接。比如管理員通過(guò)跳板機(jī)先登堡壘機(jī)，然后登錄交換機(jī)要開(kāi)放一個(gè)端口，操作期間接了個(gè)電話，20分鐘后回來(lái)繼續(xù)操作。這期間如果有其他人用這臺(tái)跳板機(jī)做一些非計(jì)劃的操作，可能造成嚴(yán)重影響。當(dāng)然，這里只是一個(gè)常見(jiàn)的情況，還有很多其他利用方式。e是說(shuō)，要設(shè)置設(shè)備的最大流量和連接數(shù)，一方面是防止一些簡(jiǎn)單攻擊，再一方面避免業(yè)務(wù)請(qǐng)求過(guò)多把設(shè)備搞崩了。

f)該項(xiàng)要求從當(dāng)年的角度來(lái)看就是為了防ARP欺騙，那個(gè)年代一旦中招主機(jī)一攤一大片，放在今天已經(jīng)不算什么了。

g)這項(xiàng)就是用戶權(quán)限管理，放在現(xiàn)在用高大上的叫法：IAM或者PAM。當(dāng)前環(huán)境要注意的就是越權(quán)問(wèn)題。

h)這項(xiàng)要求一直沒(méi)理解，查了一些資料也問(wèn)了幾個(gè)老專家，還是沒(méi)給我說(shuō)明白。當(dāng)年檢查的時(shí)候老的防火墻之類設(shè)備中有關(guān)于撥號(hào)用戶的設(shè)置，這里就不亂說(shuō)了，有了解的可以幫忙留言解釋一下。（個(gè)人理解，就是可以遠(yuǎn)程登錄的賬戶，不能設(shè)置過(guò)多此類賬戶）

7.1.2.3 安全審計(jì)（G3）

a)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；

b)審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；

c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；

d)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。

這部分是測(cè)評(píng)時(shí)的重點(diǎn)，有時(shí)候可以一票否決，所以說(shuō)比較關(guān)鍵。

不分別解釋了，放在一起說(shuō)，簡(jiǎn)單概括：企業(yè)要對(duì)網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量（業(yè)務(wù)、訪問(wèn)、攻擊等）、操作（登錄、退出、創(chuàng)建、刪除、變更等）進(jìn)行記錄，且要保存至少6個(gè)月；同時(shí)要對(duì)網(wǎng)絡(luò)設(shè)備（包括安全設(shè)備）的運(yùn)行狀況進(jìn)行監(jiān)控，并形成周報(bào)或月報(bào)留存，同樣至少6個(gè)月；此外對(duì)于網(wǎng)絡(luò)日志至少要包括b)中要求的信息，系統(tǒng)中要有日志審計(jì)系統(tǒng)能夠分析和統(tǒng)計(jì)日志，并且生成審計(jì)報(bào)表以供檢查用；對(duì)于保存的日志要場(chǎng)外備份，有專人管理，保證日志的完整性，不能有未預(yù)期的刪除、更改、覆蓋情況。這是等保三對(duì)安全審計(jì)的要求。（對(duì)于流量很大的企業(yè)，這項(xiàng)要求是很坑的，比如每天幾個(gè)TB流量的平臺(tái)，網(wǎng)絡(luò)日志要保存6個(gè)月，呵呵，都是淚）

7.1.2.4 邊界完整性檢查（S3）

a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；

b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。

這部分要求當(dāng)年理解起來(lái)挺困難的，結(jié)合現(xiàn)在的一些技術(shù)來(lái)看，才理解標(biāo)準(zhǔn)的前瞻性。要求簡(jiǎn)單來(lái)說(shuō)就是，系統(tǒng)功能自動(dòng)檢測(cè)和發(fā)現(xiàn)不符合策略和規(guī)則的外聯(lián)內(nèi)和內(nèi)聯(lián)外行為。當(dāng)前的態(tài)勢(shì)感知、蜜罐都可以搞定外聯(lián)內(nèi)的情況，對(duì)于內(nèi)聯(lián)外的檢測(cè)，個(gè)人認(rèn)為更多的還是管理層面的事情，技術(shù)手段解決起來(lái)難度較大。比如私接無(wú)線網(wǎng)卡，辦公筆記本網(wǎng)線接公司網(wǎng)，無(wú)線接熱點(diǎn)，這種情況想第一時(shí)間發(fā)現(xiàn)和阻斷都很難。

7.1.2.5 入侵防范（G3）

a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等；

b)當(dāng)檢測(cè)到 攻擊行為源 時(shí)，記錄攻擊源 IP 、攻擊類型、攻擊目的、攻擊時(shí)間， 在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。

簡(jiǎn)單點(diǎn)，IPS和WAF就好了。當(dāng)年能配備這些設(shè)備的企業(yè)不多，現(xiàn)在不配備的不多。（這里是符合要求，不是給各位的建議，舉例是便于大家理解）

7.1.2.6 惡意代碼防范（G3）

a)應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；

b)應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新。

算是歷史遺留問(wèn)題了，當(dāng)年的時(shí)候有專門(mén)的防毒墻，防火墻會(huì)惡意代碼防護(hù)模塊。但是針對(duì)當(dāng)前來(lái)說(shuō)，惡意代碼已經(jīng)不是威脅，最大的威脅是系統(tǒng)自身的漏洞。這里如果是被檢查，記得開(kāi)啟設(shè)備中的惡意代碼防范功能就好，一般NGFW和IPS都具備這種防護(hù)能力。

7.1.2.7 網(wǎng)絡(luò)設(shè)備防護(hù)（G3）

a)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；

b)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；

c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；

d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別；

e)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；

f)應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；

g) 當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；

h) 應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。

網(wǎng)絡(luò)設(shè)備防護(hù)也算是檢查的一個(gè)重點(diǎn)了，這里不逐條解釋，統(tǒng)一總結(jié)一下：

1.網(wǎng)絡(luò)中要有堡壘機(jī)，所有關(guān)鍵設(shè)備必須要通過(guò)堡壘機(jī)訪問(wèn)和登錄；

2.系統(tǒng)中要有3A或4A認(rèn)證，保證對(duì)登錄管理用戶進(jìn)行認(rèn)證和審計(jì)。（3A就是認(rèn)證、授權(quán)、審計(jì)；4A在此基礎(chǔ)上增加了可追溯/可問(wèn)責(zé)性）

3.重要設(shè)備要限制登錄地址（一般就是堡壘機(jī)，如特殊情況要遠(yuǎn)程登錄，可在堡壘機(jī)開(kāi)放遠(yuǎn)程登錄功能，采用VPN方式登錄），有的環(huán)境下可能會(huì)設(shè)置幾臺(tái)跳板機(jī)的IP。

4.網(wǎng)絡(luò)設(shè)備的標(biāo)識(shí)要簡(jiǎn)單易懂，運(yùn)維人員一看就知道是什么設(shè)備，且標(biāo)識(shí)不能重復(fù)。

5.采用兩種以上登錄方式，一般有堡壘機(jī)開(kāi)啟雙因素認(rèn)證就OK了，什么虹膜、指紋、聲控都是扯淡。目前比較多的還是用戶名密碼配合3A認(rèn)證。

6.登錄失敗設(shè)置，要求（1）密碼輸入超過(guò)N此后，自動(dòng)鎖定該賬戶M分鐘（通常是N=5，M>15，只是建議，不是要求）；（2）登陸后無(wú)操作，S分鐘后要自動(dòng)斷開(kāi)（一般是S<5）。

7.重要設(shè)備不要多人使用一個(gè)超級(jí)管理員賬戶，按照不同的人，不同的部分設(shè)置不同的賬戶，根據(jù)需要設(shè)定權(quán)限，采用最小權(quán)限原則；如果有能力，對(duì)于超級(jí)用戶一般使用前會(huì)先申請(qǐng)，審批后方可由專人發(fā)放賬戶，并規(guī)定操作內(nèi)容和操作時(shí)間。

結(jié)尾

以上是網(wǎng)絡(luò)安全部分的解釋和說(shuō)明。最近各種工作還沒(méi)開(kāi)始，所有有空寫(xiě)點(diǎn)東西。關(guān)于網(wǎng)絡(luò)部分除了上述描述外，檢查中還會(huì)涉及到網(wǎng)絡(luò)設(shè)備和安全設(shè)備的上機(jī)檢查，具體內(nèi)容有興趣的可以看看這兩個(gè)標(biāo)準(zhǔn)《YD/T 2698-2014》、《YD/T 2699-2014》。里邊具體的檢查點(diǎn)和檢查方法都是配合等保要求來(lái)的。后續(xù)會(huì)陸續(xù)更新，謝謝各位支持。

等級(jí)保護(hù)測(cè)評(píng)系列介紹

等級(jí)保護(hù)測(cè)評(píng)（一）：物理安全

等級(jí)保護(hù)測(cè)評(píng)（二）：網(wǎng)絡(luò)安全

等級(jí)保護(hù)測(cè)評(píng)（三）：主機(jī)安全

等級(jí)保護(hù)測(cè)評(píng)（四）：應(yīng)用與數(shù)據(jù)安全

等級(jí)保護(hù)測(cè)評(píng)（五）：制度與人員安全

等級(jí)保護(hù)測(cè)評(píng)（六）：系統(tǒng)建設(shè)管理

等級(jí)保護(hù)測(cè)評(píng)（七）：系統(tǒng)運(yùn)維管理