网络安全等级保护基本要求--安全通信网络&安全区域边界
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》(以下简称“基本要求”)于2019年5月13日发布,2019年12月1日起正式实施。基本要求中等级保护对象在传统信息系统的基础上,综合考虑了云计算、物联网等新应用、新技术,等级保护对象调整为基础信息网络、信息系统(含采用移动互联技术的系统)、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等;
安全要求部分包括安全通用要求和安全扩展要求, 安全扩展要求包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求。其中,安全通用要求是不管等级保护对象形态如何必须满足的要求,而针对云计算、移动互联、物联网、工业控制系统和大数据提出的特殊要求称为安全扩展要求。
安全通用可分为技术类要求和管理类要求,其中技术要求包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心; 管理要求包括安全管理制度、安全管理机构、安全管理人员 、安全建设管理和安全运维管理。
在通用要求技术部分,关于网络安全涉及安全通信网络和安全区域边界两个安全类。安全通信网络主要针对通信网络(广域网、城域网或局域网)提出安全要求,而安全区域边界主要针对等级保护对象网络边界和区域边界提出的安全要求。不同等级(第一级到第四级)的等级保护对象的安全要求存在一定的差异,安全通信网络和安全区域边界在不同等级的控制点和要求项条款数如下表,本文以第三级为例,对安全通用要求部分关于“网络安全(安全通信网络和安全区域边界)”部分的要求项进行简要介绍。
1
安全通信网络
网络架构:
a) 应保证网络设备的业务处理能力满足业务高峰期需要;
b) 应保证网络各个部分的带宽满足业务高峰期需要;
c) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;
e) 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
条款a、b、e要求网络架构应配置冗余策略,网络冗余策略包括网络线路冗余、网络重要设备冗余及网络重要系统和数据备份策略等。
为保证网络冗余策略,应保证:
◇采用不同运营商线路,相互备份且互不影响;
◇重要网络设备热冗余,如采用双机热备或服务器集群部署;
◇保证网络带宽和网络设备业务处理能力具备冗余空间。
条款c要求划分安全域、制定网络IP地址分配策略,条款d要求为避免重要的安全域暴露在边界处,在网络边界部署访问控制类安全设备。
划分网络安全域是指按照不同区域的不同功能目的和安全要求,将网络划分为不同的安全域,以便实施不同的安全策略。制定网络IP地址分配策略是指根据IP编址特点,为设计的网络中的节点和设备分配合适的IP地址,网络IP地址分配策略要和网络层次规划、路由协议规划和流量规划等结合起来考虑。IP地址分配包括静态分配地址、动态分配地址以及网络地址转换(Network Aclclress Translation,NAT)分配地址等方式。
通常情况网络划分为内部网络安全域、互联网安全域和外部网络安全域。基于业务需求,可进一步划分,如核心业务安全域、数据安全域等。网络安全域的划分,应遵循如下原则:
1)网络整体的拓扑结构严格规划、设计和管理;
2)按照网络分层设计的原则进行规划,便于扩充和管理,易于故障隔离和排除;
3)网络按访问控制策略划分成不同的安全域,将有相同安全需求的网络设备划分到一 个安全域中,采取相同或类似的安全策略,对重要网段进行重点保护;
4)使用防火墙等安全设备、VLAN或其他访问控制方式与技术,将重要网段与其他网段隔离开,在不同安全域之间设置访问控制措施。(条款d要求)
虚拟局域网( Virtual Local Area Network,VLAN)是一种划分互相隔离子网的技术。通过VLAN隔离技术,可以把一个网络系统中众多的网络设备逻辑地分成若干个虚拟工作组,组和组之间的网络设备在第二层网络上相互隔离,形成不同的安全区域,同时将广播流量限制在不同的广播域。
通信传输
a) 应采用密码技术保证通信过程中数据的完整性;
b) 应采用密码技术保证通信过程中数据的保密性。
为避免数据在通信过程中被非法截获、非法篡改等破坏数据可用性的风险,保证远程安全接入、保证通信过程中数据的安全,可部署IPSec、SSL VPN等通信设备,保证通信的安全性。VPN技术通过建立了一条安全隧道,既保证了通信完整性,也保证了通信保密性。
可信验证
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。
2
安全区域边界
边界防护
a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;
b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制;
c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制;
d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
边界防护是构建网络安全纵生防御体系的重要一环,缺少边界安全防护就无法实现网络安全。边界防护相关要求项针对边界安全准入、准出的相关安全策略,条款a)要求边界要有访问控制设备,并明确边界设备物理端口,跨越边界的访问和数据流仅能通过指定的设备端口进行数据通信,条款b、c)要求通过技术手段和管理措施对“非法接入”、“非法外联”行为进行检查、限制。
访问控制
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;
e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。
访问控制这一控制点相关要求是针对网络安全策略中访问控制策略提出的相关要求,不同安全级别的网络相连,产生了网络边界。为防止来自网络外界的入侵,应在网络边界设置安全访问控制措施。常见措施包括设计VLAN、划分网段、部署防火墙、IP地址与MAC地址绑定等。关于访问控制,应保证:严格的安全防护机制,安全性较高的防火墙(支持会话层和应用层访问控制策略)。
入侵防范
a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;
c) 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;
d) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。
入侵防范控制点要求项主要针对流量安全检测,网络流量检测措施包括部署入侵检测系统/入侵防御系统、防病毒网关、抗拒绝服务攻击系统以及漏洞扫描系统等。采用基于特征或基于行为的检测方法对数据包的特征进行深度分析,发现网络攻击行为和异常访问行为,并设置告警机制。
恶意代码和垃圾邮件防范
a) 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;
b) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
恶意代码是一种可执行程序,恶意代码以普通病毒、木马、网络蠕虫、移动代码和复合型病毒等多种形态存在,恶意代码具有非授权可执行性、隐蔽性、传染性、破坏性、潜伏性及变化快等多种特性,主要通过网页、邮件等网络载体进行传播。因此,在关键网络节点处(网络边界和核心业务网)部署防病毒网关、UTM或其他恶意代码防范产品,是最直接、高效的恶意代码防范方法。
安全审计
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
安全审计控制点针对网络安全审计策略,网络安全审计策略,可以加强网络和系统的审计安全。常见措施包括部署网络安全审计系统、设置操作系统日志及其审计措施、设计应用程序日志及其审计措施等。
网络安全是动态的可以部署网络安全审计系统,对网络安全状态进行实时可视化审计, 并对审计记录进行定期的备份转存,主要针对网络行为和安全事件审计。
可信验证
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。