《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》(以下简称“基本要求”)于2019年5月13日发布,2019年12月1日起正式实施。基本要求中等级保护对象在传统信息系统的基础上,综合考虑了云计算、物联网等新应用、新技术,等级保护对象调整为基础信息网络、信息系统(含采用移动互联技术的系统)、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等;
安全要求部分包括安全通用要求和安全扩展要求, 安全扩展要求包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求。其中,安全通用要求是不管等级保护对象形态如何必须满足的要求,而针对云计算、移动互联、物联网、工业控制系统和大数据提出的特殊要求称为安全扩展要求。
安全通用可分为技术类要求和管理类要求,其中技术要求包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心; 管理要求包括安全管理制度、安全管理机构、安全管理人员 、安全建设管理和安全运维管理。
在通用要求技术部分,关于网络安全涉及安全通信网络和安全区域边界两个安全类。 安全通信网络主要针对通信网络(广域网、城域网或局域网)提出安全要求,而安全区域边界主要针对等级保护对象网络边界和区域边界提出的安全要求。不同等级(第一级到第四级)的等级保护对象的安全要求存在一定的差异,安全通信网络和安全区域边界在不同等级的控制点和要求项条款数如下表,本文以第三级为例,对安全通用要求部分关于“网络安全(安全区域边界)”部分的要求项进行简要介绍。
网络安全等级保护2.0安全区域边界通用要求基本条款如下:
边界防护【要求项】
a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;
b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制;
c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制;
d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
【适用保护对象】
网络全局
【条款导读】
边界防护是构建网络安全纵生防御体系的重要一环,缺少边界安全防护就无法实现网络安全。边界防护相关要求项针对边界安全准入、准出的相关安全策略,条款a)要求边界要有访问控制设备,并明确边界设备物理端口,跨越边界的访问和数据流仅能通过指定的设备端口进行数据通信,条款b、c)要求通过技术手段和管理措施对“非法接入”、“非法外联”行为进行检查、限制。
条款a)是边界安全的基础,为保障数据通过受控边界进行通信,要求边界要有访问控制设备,并明确边界设备物理端口,跨越边界的访问和数据流仅能通过指定的设备端口进行数据通信。
非授权设备私自连到内部网络的“非法接入”行为可能破坏原有的边界防护策略。条款b)要求通过技术手段和管理措施对“非法接入”行为进行检查、限制。通过部署内网安全管理系统、终端准入控制系统等,关闭网络设备未使用的端口或进行IP/MAC地址绑定等措施,可实现“非法接入”行为控制。
条款c)主要防止内网用户非法建立通路连接到外部网络的行为,要求通过技术手段和管理措施对“非法外联”行为进行检查、限制。“非法外联”行为绕过边界安全设备的通用管理,使得内部网络面临风险增大。通成部署全网行为管理系统的非授权外联管控功能或者防非法外联系统对“非法外联”行为控制,从而减少安全风险的引入。
无线网络信号的开放性使得其安全隐患更大,条款d)要求限制非授权的无线网络接入,并且无线网络通过无线接入网关等受控的边界防护设备接入到内部有线网络。此外,应部署无线网络管控措施,对非授权无线网络进行检测、屏蔽。
访问控制【要求项】:
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;
e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。
【适用保护对象】
网络全局
【条款导读】
访问控制这一控制点相关要求是针对网络安全策略中访问控制策略提出的相关要求,不同安全级别的网络相连,产生了网络边界。为防止来自网络外界的入侵,应在网络边界设置安全访问控制措施。常见措施包括设计VLAN、划分网段、部署防火墙、IP地址与MAC地址绑定等。关于访问控制,应保证:严格的安全防护机制,安全性较高的防火墙(支持会话层和应用层访问控制策略)。
条款a)要求部署在网络边界或区域间的访问控制设备或组件,应根据访问控制策略设置有效的访问控制规则,访问控制规采用白名单机制仅允许被授权的对象能够访问网络资源;条款b)要求删除过多的、冗余的、逻辑关系混乱的访问控制规则,根据实际业务需求配置访问控制策略,保障访问控制规则数量最小化。
网络边界访问控制设备的策略规则基本匹配项有源地址、目的地址、源端口、目的端口和协议等。条款c)要求访问控制规则应列明这些控制元素,实现端口级的访问控制功能;条款d)要求边界访问控制设备在端口级访问控制粒度的基础上,需具有基于状态检测和会话机制的方式对数据流进行控制的能力;条款e)要求访问控制设备具有应用层的应用协议及应用内容的控制功能,如对实时通讯流量、视频流量、WEB服务等进行识别与控制,保证跨边界访问的安全。
入侵防范【要求项】:
a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;
c) 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;
d) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。
【适用保护对象】
网络全局
【条款导读】
入侵防范控制点要求项主要针对流量安全检测,网络流量检测措施包括部署入侵检测系统/入侵防御系统、防病毒网关、抗拒绝服务攻击系统以及漏洞扫描系统等。采用基于特征或基于行为的检测方法对数据包的特征进行深度分析,发现网络攻击行为和异常访问行为,并设置告警机制。
入侵防范是一种可识别潜在的威胁并迅速地做出应对的网络安全防范办法。入侵防范技术作为一种积极主动地安全防护技术,提供了对外部攻击、内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵防范被认为是防火墙之后的第二道安全闸门,在不影响网络和主机性能的情况下能对网络和主机的入侵行为进行监测。
安全区域边界入侵防范主要指在关键网络节点处对从外部或内部发起的网络攻击进行入侵防范。
条款a)、b)要求对网络边界内部或外部发起的攻击行为进行有效检测、防止或限制,要求在网络边界、核心等关键网络节点处部署入侵检测系统IDS、入侵防御系统IPS、包含入侵防范功能模块的防火墙等,并结合流量分析系统进行综合监控。条款c)要求对网络行为进行检测分析,并能够发现新型网络攻击行为,用户可通过部署部署APT攻击监测与防护系统、态势安全感知系统SIP、网络回溯分析系统RSA、网络全流量安全分析系统TSA等实现对新型网络攻击行为进行检测和分析。
新型攻击行为如APT(Advanced persistent threat),APT是指高级持续性威胁,其本质是针对性攻击。APT可绕过传统的基于代码的安全方案(如防火墙、IPS、防病毒软件),长时间的潜伏在系统,使得传统的防御体系难以侦测。
条款d)要求在检测到攻击行为时能够准确的记录攻击信息,包括攻击源IP、攻击类型、攻击目标和攻击时间等。通过详细的攻击信息可以对攻击行为进行深度分析,及时作出响应;当发生严重入侵事件时,应能够及时向相关人员通过短信、邮件、手机APP联动、声光控制等方式告警。
恶意代码和垃圾邮件防范【要求项】:
a) 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;
b) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
【适用保护对象】
网络全局
【条款导读】
恶意代码是一种可执行程序,恶意代码以普通病毒、木马、网络蠕虫、移动代码和复合型病毒等多种形态存在,恶意代码具有非授权可执行性、隐蔽性、传染性、破坏性、潜伏性及变化快等多种特性,主要通过网页、邮件等网络载体进行传播。因此,在关键网络节点处(网络边界和核心业务网)部署防病毒网关、UTM或其他恶意代码防范产品,是最直接、高效的恶意代码防范方法。
条款a)要求在网络关键节点部署的防恶意代码产品至少应具备的功能包括:恶意代码分析检查能力、恶意代码清除或阻断能力以及发现恶意代码后日志记录能力。由于恶意代码变化性快,恶意代码特征库应定期升级、更新。
垃圾邮件是指电子邮件使用者事先未提出要求或同意接收的电子邮件,条款b)主要是为防止恶意代码通过垃圾邮件进入到网络,在关键网络节点部署垃圾邮件网关或或其他相关措施对垃圾邮件进行识别和处理,并保证恶意代码规则库定期更新到最新。
安全审计【要求项】:
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
【适用保护对象】
网络全局
【条款导读】
网络区域边界安全审计重点关注的是网络边界、重要节点(安全设备、核心设备、汇聚层设备等)的网络用户行为和安全事件的审计。
安全审计控制点针对网络安全审计策略,网络安全审计策略,可以加强网络和系统的审计安全。常见措施包括部署网络安全审计系统、设置操作系统日志及其审计措施、设计应用程序日志及其审计措施等。
网络安全是动态的可以部署网络安全审计系统,对网络安全状态进行实时可视化审计, 并对审计记录进行定期的备份转存,主要针对网络行为和安全事件审计。
条款a)要求在网络边界和重要网络节点进行安全审计,可部署综合安全审计系统、上网行为管理或其他技术措施对所有跨网络边界访问的用户行为、各类安全事件进行收集、分析,以日志的形式进行审计;为保证事后分析事件的准确性,条款b)要求审计记录内容包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;条款c)要求对审计记录进行定期的备份、转存,防止未授权修改、删除和破坏,并限制非授权人员对审计记录的访问;远程访问和互联网访问增加了网络安全风险,对于这两类网络访问行为应强化审计,并将这两类用户行为进行单独的审计和分析。
可信验证【要求项】:
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。
【适用保护对象】
边界网络安全设备
【条款导读】
主要针对网络安全设备可信启动。
来源:freebuf.com 2020-04-18 16:04:17 by: 艾尔等保之道
请登录后发表评论
注册