等保高风险项之安全的计算机环境（网络设备、安全设备、主机等）

随着等保2.0正式生效以来，各行各业都在为了过每年等保测评操碎了心。很多单位安全负责人以为买几台安全设备就可以大摇大摆的通过等保测评，殊不知过等保2.0的要求是具有相应的安全防护能力或措施，尤其是一些高压线条例，更是要求实打实的满足。借着最近在研究等保高风险项说明《网络安全等级保护测评高风险判定指引》，我给大家分享一下我对等保2.0中高危项的理解。本次介绍的安全的计算机环境（针对网络设备、安全设备、主机等,应用系统下次再详细介绍），包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范。

身份鉴别

账号、口令安全性

要求：针对所有业务系统（主要是重要的网络设备、安全设备、主机等），采用账号密码认证时，存在弱口令、空口令时，或者通过不可控网络传输鉴别信息（例如账号、密码信息）管理资产时（终端、网络设备、安全设等），导致数据泄露、资产处于高风险下，可以判定为高风险。

高风险原因：账号密码、生物特征校验等技术都是为了确保使用人员的身份可靠，就像是门上了把铁锁，而弱口令等于是将这把铁锁换成纸做的，不法分子入侵终端系统的成本将大大降低。

解决方案：建议认证方式采用双因素认证（账号+短信、USB KEY、生物特征等），对于远程登录设备时，建议采用VPN、限定访问源IP等方式，确保重要信息传输的安全性。

个人补充：分为以下两点：

1.账号的重要性大家都知道，弱口令、空密码的危害我们都明白，但是暗箭难防，谁也不能保证自己终端上不会出现僵尸账号、孤儿账号（复杂的口令输入真麻烦，弱口令真香，人类永远无法摆脱王境泽定律），没有及时发现的能力，这些问题那都是白说。很多时候，对于资产账号、密码的统一监管可以避免这种尴尬。
2.一般鉴别人员身份的账号我们叫主账号，而业务系统的一般称为从账号，主从账号间没有关联系但在日常登录过程中，用户访问多个系统，要登录多个页面，输入多次账号密码，大大降低访问业务系统的效率，从侧面也导致弱口令等事件频发，所以简化人员登录的方式，例如采用应用统一登录界面、SSO等方式，使系统用起来更方便。

多因素强认证

要求：针对三级以上的系统（主要是重要的网络设备、安全设备、主机等），通过非安全网络进行远程操作时采用一种身份认证方式（例如仅仅采用账户+密码的认证方式，实现用户身份鉴别），可判定为高风险。

高风险原因：当出现账号信息泄露时（例如存储账号密码的系统被攻破、办公人员直接将账号密码贴在桌面上），唯一认证手段将不能实现准确的身份鉴别。

解决方案：建议采用双因素认证方式（例如口令+短信、口令+生物特征识别等），此外，当重要资产只能在本地进行运维，物理环境、网络环境均可控，或者采用多重账号+口令认证的方式（例如堡垒机、身份认证服务器等），可降低风险等级。

个人补充：网络安全源于现实安全，现实生活中我们进入重要场所时不仅仅是身份验证，还会打电话联系对接人做确认，同理，网络环境中，访问主体的身份是不同的ID号。确认每个用户ID号的方式就是各种认证手段，单个认证手段无法保证人员的真实可靠，我只要获取到“你”的认证的信息，那我就会在网络中成为“你”，比现实更魔幻，所以多一层认证就多一层保障，起码冒充成本将会大大增加。

访问控制

要求：针对所有系统（主要是重要的网络设备、安全设备、主机等），当存在默认初始账户和密码，并且可以通过该口令登录目标系统，可判定为高风险。

高风险原因：产品的默认账号、密码可能早已在互联网上、社交圈内传播开来，身份鉴别的效果形同虚设。

解决方案：建议修改或删除默认账号与密码，并且密码避免采用弱口令的方式。

个人补充：设备的默认账号、密码也属于一种弱口令，但这种弱口令危害更大。普通的弱口令还要账号、密码字典跑一下才能知道，而默认的账号、密码直接通过搜索引擎、致电厂家400客服就可以获取到，入侵成本太低，并且这种情况在各行各业都很常见，最直观的例子就是我们周围街道上各式各样的摄像头，如果被SHODAN、FOFA等搜索引擎搜寻到登录界面，直接可以尝试默认的账号、密码登录，成功率很高。

因此建议做好网络环境中的安全基线核查，及时处理默认账号、密码。

安全审计

要求：针对三级以上系统（主要是重要的网络设备、安全设备、主机等），未开启任何审计功能，并且无法通过其他技术手段对安全事件、用户行为进行溯源，可判定为高风险。

高风险原因：当设备发生异常或出现入侵事件时，往往设备上的日志系统可以协助我们分析问题发生的原因，缺少日志意味着问题发生之后只能处于被动挨打的局面，无法通过原因分析而制定相应的防护策略。

解决方案：采用堡垒机、日志审计等措施实现对设备的日志采集、存储、分析，或者有其他技术手段实现问题溯源。

个人补充：分为以下两点：

1）网络安全事件并不可怕，可怕的是不知道为何发生，后面还会再发生多少次。日志就是坏人作案留下的指纹、物证，将日志记录、留存下来，才能更好的解决安全问题。甚至当日志量达到一定量级时，利用大数据分析技术，设置能够预测未来网络安全状态，达到网络安全态势感知的能力。

2）理想很丰满，现实很骨感，事件分析的准确性让用户日常运维头疼不已，如何才能摆脱误报的苦海。事件的分析是不能够单纯依靠一条日志来分析，需要动员网络内所有设备（包括终端、网络设备、安全设备）进行关联分析，才能准确了解事件的原貌。

例如某台终端电脑最近CPU利用率持续超过95%，有可能是电脑运行程序太多，或者电脑中了毒。这时，通过分析网络中安全设备的日志信息，发现有对这个终端发起挖矿攻击的事件，这时候再排查终端上运行进程，发现疑似挖矿的恶意进程，关闭后系统恢复正常。上述环境中，单纯依靠终端日志无法准确判断事件原因，当结合网络中其他的产品的日志，可以大幅提供事件分析的准确性，这也就是日志关联分析的重要性。

入侵防范

高危端口/多余服务管理

要求：针对所有业务系统（主要是重要的网络设备、安全设备、主机等），当系统存在多余系统服务、默认共享、高危端口，并且是可以被利用的高危漏洞和重大安全隐患时，可判定为高风险。

高风险原因：系统对外提供的端口、服务越多，暴露的风险就越广，而高危端口更是意味着将系统的死穴毫无保留的直接展示给外部攻击者。

解决方案：通过升级、打补丁或者通过策略等方式（例如限制访问源IP、端口）降低高危漏洞的影响，可以降低风险。

个人补充：分为以下两点：

1）多余的服务往往会被人们所忽视，在没有完善的资产统计、端口扫描时，很容易就将网络中某台测试服务器、终端上开启的临时服务给忘记。因此，技术上利用网络管理设备、漏洞扫描设备可以发现这些不常用的端口，管理上做好测试申请、服务申请的授权，在项目完成后关闭相关系统或端口。

2）高危端口一直都是网络安全中攻防的重点，以前勒索病毒爆发时，SMB的常用端口445成为了众矢之的，大家都知道要关闭这个端口，但有时部分应用还是会利用到，可能会造成误杀，这时候源IP限制、ACL策略就成为了很好的规避手段。

终端管理措施

要求：针对三级以上的系统（主要是重要的网络设备、安全设备、主机等），通过不可控网络（例如互联网）远程管理网络设备、安全设备、操作系统、数据库等目标，并且没有任何限制措施（例如终端接入管理、IP限制等），可判定为高风险。

高风险原因：来自于不可控网络的操作风险极大，任何人只要知道目标的IP、账号等信息，那么就可以登录上去做任意操作，从删配置到跑路一气呵成。

解决方案：可以通过堡垒机实现对远程接入的运维人员实现身份、操作管控，或者通过IP限制等操作对接入人员做控制。

个人补充：分为以下两点：

1）在以前，对网络设备、安全设备、操作系统等终端的远程操作，无法准确识别操作的对象、监控操作的过程、留存操作的记录，哪天设备上删条路由，多配置个登录账户都无从知晓。对于此类目标的远程管理，推荐采用统一运维平台的方式，运维人员都通过这个入口接受检查认证，所有的操作都会先通过运维管理平台做初认证或二次认证，并且留下操作记录防抵赖。

2）道高一尺，魔高一丈，现实往往比理想更魔幻，运维人员很多情况下为了方便，可以不从统一入口操作，直接自己挖个小道，直达目标进行操作。鲁迅曾今说过：世界上本没有路，走的人多了，自然而然就有路了。这中“走”出来的小路，往往也是安全隐患之一。对此，除了技术上的防绕行功能外（例如防火墙控制，只允许制定IP访问目标系统、其他IP全部禁止），管理角度的制度规范威慑、人员操作规范意识配置也需要考虑进网络安全建设的范围之中。

漏洞管理

要求：针对所有系统（主要是重要的网络设备、安全设备、主机等），如果能从互联网上直接访问，并且存在重大的安全漏洞（版本、系统存在漏洞），未采取相关措施降低风险，可判定为高风险；如果通过渗透测试等方式发现重大安全隐患漏洞，存在巨大安全隐患（例如缓冲区溢出、代码执行、逻辑缺陷等），可判定为高风险。

高风险原因：一旦漏洞被利用，轻则系统运行异常，重则系统被破坏、重要数据信息泄露。

解决方案：定期对网络资产进行漏洞扫描，及时更新补丁或者版本；或者通过规章制度，对物理、网络等环境进行严格管控，可以降低风险级别。

个人补充：

安全设备除了不安全其他都没毛病，自从今年各个安全厂家产品系统漏洞频出，用户发现未部署安全设备比部署了更安全。其实只要是电子产品，多多少少会存在安全漏洞，只是漏洞何时被发现、何时会被利用。参考这条高风险项，我们可以在漏洞造成影响前通过检测、修复等手段降低漏洞影响范围。一般来讲，漏洞可以分为已知漏洞和未知漏洞，对付已知漏洞，利用漏洞检测工具配合人工校验的方式，基本可以发现绝大数漏洞，发现后通过打补丁（只有确保主机兼容该补丁才能打，否则容易获得蓝屏、死机套餐）、配置限制策略（例如存在SSH漏洞，可以细化访问TCP 22端口的策略）等方式处理；对于未知漏洞，除了烧香，祈祷未被发现之外，技术上通过沙箱等动态检测机制、零信任架构（细粒度动态访问控制）、拟态防御（动态冗余业务系统防护）等方式，管理上通过构建安全管理制度（可以包括信息系统操作规范、违规操作的惩罚）、加强信息安全人员意识（未知软件不要下、未知邮件不要点、未知人员不要信）。

恶意代码防范

要求：针对所有系统（主要是Windows等操作系统），未部署恶意代码防护软件，或者安装了杀毒软件超过一个月未更新，可以判定为高风险。

高风险原因：操作系统自身隐含很多漏洞，除了主机防火墙之外没有专业的攻击、病毒的识别、防御机制，很容易感染病毒，造成系统损坏。

解决方案：终端上及时安装恶意代码防护软件，及时更新恶意软件病毒库版本，或者网络上有着专门的病毒防御技术产品（例如防毒墙），或者制度上有着完备的补丁更新、测试计划。

个人补充：

1）恶意代码的执行主要利用的是系统漏洞，及时打补丁是降低主机上安全风险的一个很好手段。

2）免费的杀毒软件和收费的杀毒软件一样，是可以满足等保2.0的要求，前提是对于病毒库需要及时做更新（但是免费的杀毒软件缺少集中性的管控，对于整网终端病毒库更新、补丁情况无法统一管理）。

总结

此次主要总结网络设备、安全设备以及主机设备的等保高风险项，总结来说有以下几点：

1）减少终端上弱口令、默认口令的数量，对于员工认证最好采取多因素认证，避免单认证方式强度过低。

2）运维、使用过程中产生的日志信息建议做好记录、存储，以便问题溯源时使用。

3）高危端口及时关闭、高风险漏洞及时修补、安全系统特征库及时更新。

此外，之前写的几篇等保高风险项时，有几个问题大家问的最多，我在这边集中做个解答：

Q:等保2.0有没有套餐，就是那种用了就能铁定过的

首先，各家都有自己的一套等保2.0的二级或者三级套餐，都说用了保证能过，但过等保不是我怼了这个产品到我网络中后，测评公司看一下有这个产品就直接过的。等保2.0关注的是网络架构是否合理（例如串接设备双冗余架构，多链路聚合）、安全策略是否合规（例如防火墙是否做了细粒度的访问控制），人员操作是否合法（例如用户入网身份鉴别、权限分配），往往这些要求供应商不会和你明说。

实现等保2.0最好的方式还是要通过技术+管理+运维，三者相结合，技术提供安全防御能力，管理规范安全行为准则，运维催化安全能力落地。

Q:等保2.0 测评这个钱到底该怎么算？

等保测评价格是按照用户业务系统量来进行计算的，这里的业务系统不是指的一台电脑、终端，而是具有信息系统基本要素的对象，例如OA系统、ERP系统等。

价格可能根据不同地区有所差异，不同级别系统测评的价格也不一样。

一般用户会把许多业务系统通过统一登录平台界面做整合，形成看似一套信息系统来定级，具体是否合规要看当地部门的要求。