网络安全等级保护测评中部分控制点的应用探究

来源:用户上传      作者:张敏

　　摘要：网络安全等级保护（以下简称等保）制度是国家网络安全保障工作的一项基本制度，是贯彻落实《网络安全法》的关键支撑之一。按照相关标准和规范进行网络安全等保测评工作，可以判断信息系统的安全技术和安全管理状况，其结论可以作为进一步完善系统安全策略及安全技术防护措施的依据。在实际等级保护工作和测评反馈中，往往存在一些普遍性的重要控制点应用问题，如可信验证、恶意代码防范、入侵防范、访问控制、剩余信息保护等。本文针对以上问题，对恶意代码防范、入侵防范、访问控制、剩余信息保护共4个控制点开展了实际应用探索工作，对可信验证进行了初步研究。总体上，着力于探索研究控制点应用的可行性与扩展性，致力于缩减重要信息系统实际安防措施与相应安全等保要求之间的差距，为各类系统的实际等保工作提供经验参考。
　　关键词：网络安全等级保护;入侵防范;访问控制
　　中图分类号：TP393 文献标识码：A
　　文章编号：1009-3044（2022）15-0040-03
　　1 引言
　　随着云计算、移动互联、物联网等新型技术迅速发展，各类网络攻击层出不穷，我国在网络安全保障工作方向面临着新形势、新挑战。自等保1.0开始，为应对越来越多样化复杂化的网络新形势，我国对网络安全等级保护要求逐步提高，等保2.0新要求应运而生。等保2.0具有完整的包括事前、事中、事后防护的保障体系思路，还可在事后进行溯源分析[1]。新标准为了更好地适应新型技术的发展，将一些新型技术也列入了范围中，使得要求内容构成了“安全通用要求+新型应用安全扩展要求” [2]。等保2.0新增了对各类新技术的要求覆盖，加大了管控要求范围，可以提升整体网络的全周期安全防护能力[1]。此外，针对要求的内容，由安全要求转变为安全通用要求与安全扩展要求[2]。在具体技术上，旧标准中的物理、网络、主机、应用、数据五大安全，重新整合，并归类为新的安全的物理环境、通信网络、区域边界、计算环境和管理中心要求[2]。新标准中还加强了使用可信计算技术的要求，将可信验证这个控制点加入了不同级别等保要求系统中，要求从底层开始做到可信的系统。
　　2 实际应用部分
　　2.1 关于恶意代码防范问题
　　恶意代码，也常称为恶意软件，是人为编制的计算机程序或指令集合，具有形态多样化、迭代快速等特点，其目的是阂獾模主要用来干扰计算机正常运行，有时会造成计算机软硬件故障，甚至破坏数据。在计算机系统上执行恶意任务的有病毒、蠕虫和木马等。
　　针对恶意代码的危害性及无序性，恶意代码的防范日趋重要，其通常是利用合适有效防御体系的建立，发现遭受恶意代码影响的主机及系统，帮助其回归至正常状态，避免恶意代码攻击的可能性及有效性[3]。防范恶意代码主要是从恶意代码的安全管理和恶意代码的防御技术入手的。技术方面主要是从四个方面入手，一是恶意代码检测预警，包括安全通告、威胁报警等;二是恶意代码预防，包括安装杀毒软件、安全加固、访问控制等;三是恶意代码检测，包括漏洞扫描等;四是恶意代码应急响应，包括恢复、备份等。
　　新的等保要求修订了恶意代码和垃圾邮件防范、访问控制和入侵防范。其中，对于恶意代码，共有五点要求，其中两点较为核心：一是要在关键节点处确保恶意代码防护机制的实施部署并处于正常运行的状态;二是保障恶意代码相关特征库处于最新版本[4]。这需要在网络边界等关键节点处针对恶意代码部署相应的检测和清除系统，同时对恶意代码特征库做好定期更新的工作。若没有在相关节点处部署恶意代码检测清除系统，则存在无法及时识别拦截网页、邮件被嵌入恶意代码的风险。
　　恶意代码的防范可以通过部署具有防病毒功能的网关、包含防病毒模块的多功能安全网关等实现。此外，恶意代码的特征库变化较快，因此对于恶意代码进行防范的重点是及时更新特征库。在部署防病毒安全网关的基础上，应将版本更新作为常态化工作机制，持续加强对防火墙防病毒策略模块等的管理，定期升级病毒库至最新版本，落实防火墙系统管理及其所含恶意代码防范功能的维护。在有条件的情况下，还可以启用专网边界防火墙配套的恶意代码检测模块，防控从专网引入恶意代码至内网的风险。
　　2.2 关于入侵防范问题
　　等保2.0中对入侵防范有4个要求项，如表1所示。目前，入侵防范主要是通过在网络边界部署包含入侵防范功能的安全设备实现的，如抗APT攻击系统、包含入侵防范模块的多功能安全网关等。同时，应当在关键网络节点处部署入侵防御系统，如网络边界和核心等节点，以便及时有效针对内部发起的网络攻击行为进行预防和快速应对。当然，这也可以通过在防火墙、UTM启用入侵防护功能实现。第一和第二项要求可以通过在网络边界、核心等关键网络节点处部署IPS等系统，或者在防火墙、UTM中启用入侵防护功能来实现。第三和第四项要求可以通过部署网络回溯系统或抗APT攻击系统等，实现对新型网络各类攻击行为的分析检测。系统设备需记录攻击行为中的详细信息以便有效溯源，典型的信息有攻击源IP、目标、时间以及类型等。
　　在具体部署网络回溯系统或抗APT攻击系统等时，可以选择相关安全厂商的成熟产品。以安全态势感知产品天眼为例，可以通过旁路镜像部署检测全网流量，具备旁路阻断功能，还可以通过产品联动方式对恶意代码、入侵防御进行有效的阻断和清理。同时，可以通过产品多级部署的方式，实现多级平台内容统一分析。下级组织可以同步部署天眼系统与上级组织做级联，把下级组织的安全态势情况上报到上级组织。下级组织的流量探针将告警信息发送给同级分析平台进行分析，再将分析后的告警日志发送至上级组织的分析平台。上级组织可以对分析平台中的内容进行统一管理、威胁发现和运营处置。
　　2.3 关于访问控制问题
　　等保2.0要求操作系统或数据库设置主客体标记，通过比较主体、客体安全级别和安全范畴的信息标记来判断是否主体访问客体。等保2.0中对访问控制有5个要求项，如表2表2。为实现访问控制的功能，应启用有效的访问控制策略并采用白名单机制，仅授权用户能够访问网络资源;应根据业务访问的需要，对源地址、源端口、目的地址、目的端口和协议惊醒管控;应能够对进出网络的数据流多包换的内容及协议进行管控[5]。

nlc202207151150

转载注明来源:https://www.xzbu.com/8/view-15435994.htm