等保2.0標(biāo)準(zhǔn)更加注重主動(dòng)防御。等保2.0從被動(dòng)防御到事前、事中、事后全流程的安全,實(shí)現(xiàn)了對(duì)傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)的全覆蓋。企業(yè)應(yīng)該要用更加有效的網(wǎng)絡(luò)安全手段來(lái)面對(duì)等保2.0。
作為國(guó)內(nèi)知名網(wǎng)絡(luò)安全廠商,薔薇靈動(dòng)通過(guò)研究發(fā)現(xiàn),在很多技術(shù)理念上,等級(jí)保護(hù)2.0都有了巨大的變化,比如“源地址”訪問(wèn)控制問(wèn)題。當(dāng)我們把防御的視線從邊界轉(zhuǎn)向內(nèi)網(wǎng),很多安全思路都會(huì)發(fā)生變化,等保2.0時(shí)代,我們可以用更有效的對(duì)抗手段來(lái)應(yīng)對(duì)可能的安全威脅。
首先,面對(duì)等保2.0,我們必須得控源,因?yàn)楫?dāng)我們做面向互聯(lián)網(wǎng)邊界安全的時(shí)候,很難對(duì)源進(jìn)行控制,因?yàn)槟阃耆恢勒l(shuí)會(huì)訪問(wèn)你,你只能對(duì)內(nèi)部的服務(wù)進(jìn)行訪問(wèn)控制。為了應(yīng)對(duì)這個(gè)挑戰(zhàn),業(yè)界發(fā)展出了威脅情報(bào)技術(shù),于是我們可以在邊界上加一些黑名單,這樣會(huì)對(duì)邊界安全有所幫助,但它最終也無(wú)法回答究竟誰(shuí)是好人,所以在互聯(lián)網(wǎng)邊界,白名單是不可行的。
但是,在行業(yè)性專網(wǎng)或者純粹的內(nèi)網(wǎng),情況是不一樣的。無(wú)論是訪問(wèn)者還是服務(wù)者都是已知的,都是可以被管理的。面對(duì)等保2.0,我們完全可以有更有效的管理手段,也就是基于源地址的白名單訪問(wèn)控制。我們可以只對(duì)明確認(rèn)識(shí)的人開放服務(wù),在內(nèi)部環(huán)境中有無(wú)數(shù)種辦法對(duì)一個(gè)終端的身份進(jìn)行驗(yàn)證,相較于黑名單繞過(guò)而言,白名單欺騙無(wú)疑要難的多。
等保2.0時(shí)代,除了可以對(duì)源地址進(jìn)行限定外,更重要的是,在一個(gè)完全可控的網(wǎng)絡(luò)內(nèi),我們不僅可以在近服務(wù)側(cè)的位置進(jìn)行訪問(wèn)控制,還可以在整個(gè)網(wǎng)絡(luò)的所有可能位置對(duì)訪問(wèn)進(jìn)行控制,尤其是可以做到“近源防護(hù)”。比如說(shuō)一臺(tái)主機(jī)要進(jìn)行超越其業(yè)務(wù)需求的445端口訪問(wèn),那么除了在開放相關(guān)服務(wù)的服務(wù)器前進(jìn)行阻攔,我們還可以在其接入處的隔離設(shè)備上直接對(duì)其進(jìn)行阻攔,因?yàn)檫@臺(tái)機(jī)器的業(yè)務(wù)需求是已知的,它的業(yè)務(wù)路徑也是已知的,我們可以在全路徑上對(duì)其進(jìn)行訪問(wèn)控制。
所以,在可控的網(wǎng)絡(luò)內(nèi)(專網(wǎng)/內(nèi)網(wǎng))對(duì)源進(jìn)行白名單訪問(wèn)控制,顯然是更有效的防護(hù)手段。遺憾的是,我們看到了太多的真實(shí)案例中,用戶在內(nèi)網(wǎng)仍然延續(xù)了互聯(lián)網(wǎng)邊界的安全策略,只對(duì)被保護(hù)對(duì)象進(jìn)行基于目的地址的訪問(wèn)控制,某種意義上說(shuō),這就是一種自廢武功的防御策略,我們本來(lái)可以打造出一個(gè)天羅地網(wǎng),而實(shí)際上只是建構(gòu)了幾個(gè)孤立的碉堡。這不利于企業(yè)應(yīng)對(duì)等保2.0。
等保2.0確實(shí)是這個(gè)時(shí)代我國(guó)網(wǎng)絡(luò)安全工作的智慧結(jié)晶,展現(xiàn)出了很高的理論和技術(shù)水平。等保2.0之前的等級(jí)保護(hù)1.0(GB/T22239-2008)中,在“網(wǎng)絡(luò)安全”的“訪問(wèn)控制章節(jié)“中,并未明確指出要對(duì)源地址做訪問(wèn)控制。而在等級(jí)保護(hù)2.0(GB/T22239-2019)中,在“安全區(qū)域邊界”的“訪問(wèn)控制”章節(jié)中則明確強(qiáng)調(diào):“要對(duì)源地址,目的地址,源端口,目的端口和協(xié)議等進(jìn)行檢查,以允許/拒絕數(shù)據(jù)包進(jìn)出”(8.1.3.2 c)。同時(shí)還指出:“默認(rèn)情況下除允許通信外受控接口拒絕所有通信”(8.1.3.2 a)。等保2.0明明白白的指出在網(wǎng)絡(luò)內(nèi)部應(yīng)該進(jìn)行白名單訪問(wèn)控制。當(dāng)然,針對(duì)”8.1.3.2 a”可能會(huì)產(chǎn)生一個(gè)漏洞,那就是——什么才算允許通信呢?管理員是否可以允許所有通信呢?關(guān)于這一漏洞,等保2.0用另一條要求予以回答:“應(yīng)刪除多余或無(wú)效的訪問(wèn)控制規(guī)則,優(yōu)化訪問(wèn)控制列表,并保證訪問(wèn)控制規(guī)則數(shù)量最小化”(8.1.3.2 b)。這同樣是一條在等保2.0里新加入的規(guī)則,因?yàn)樵诤诿麊螜C(jī)制下,這條要求基本沒(méi)什么意義。阻斷規(guī)則多一些,并不會(huì)對(duì)安全造成影響,最多就是會(huì)拖慢網(wǎng)絡(luò)速度,因此,過(guò)去的策略優(yōu)化主要是從效率的角度進(jìn)行的,而不是從安全的角度進(jìn)行的。但是在等保2.0制度下,在白名單模式下,策略集的最小化就有了非常重要的意義。因?yàn)榇藭r(shí)的策略都是關(guān)于對(duì)已知訪問(wèn)源和已知服務(wù)的“允許“規(guī)則,那么這個(gè)策略集一定是越小越好,應(yīng)該將最少的服務(wù)開放給最少的人,這樣才是最安全的做法。
一方面,等保2.0在安全防御理念上取得了長(zhǎng)足的進(jìn)步;另一方面,等保2.0也對(duì)網(wǎng)絡(luò)安全的管理工作提出了遠(yuǎn)超過(guò)去的要求。在過(guò)去,如果在系統(tǒng)的關(guān)鍵節(jié)點(diǎn)處部署了防火墻,然后針對(duì)一些已知威脅配置了一些黑名單策略,那么基本就符合了等級(jí)保護(hù)的要求。但是在等保2.0時(shí)代則明確對(duì)訪問(wèn)策略做了白名單化要求。這意味著管理員必須對(duì)內(nèi)網(wǎng)業(yè)務(wù)完全掌握,必須對(duì)全部資產(chǎn)完全掌握,必須對(duì)每一個(gè)終端設(shè)備的業(yè)務(wù)訪問(wèn)需求完全掌握,對(duì)業(yè)務(wù)之間的關(guān)系要完全掌握,并且還要保證,在這個(gè)網(wǎng)絡(luò)發(fā)生任何風(fēng)吹草動(dòng)(業(yè)務(wù)調(diào)整,上下線,終端增減等等)時(shí),能及時(shí)準(zhǔn)確的做出策略重構(gòu)。
