等保2.0標準更加注重主動防御。等保2.0從被動防御到事前、事中、事后全流程的安全,實現了對傳統信息系統、基礎信息網絡、云計算、大數據、物聯網、移動互聯網和工業控制系統的全覆蓋。企業應該要用更加有效的網絡安全手段來面對等保2.0。
作為國內知名網絡安全廠商,薔薇靈動通過研究發現,在很多技術理念上,等級保護2.0都有了巨大的變化,比如“源地址”訪問控制問題。當我們把防御的視線從邊界轉向內網,很多安全思路都會發生變化,等保2.0時代,我們可以用更有效的對抗手段來應對可能的安全威脅。
首先,面對等保2.0,我們必須得控源,因為當我們做面向互聯網邊界安全的時候,很難對源進行控制,因為你完全不知道誰會訪問你,你只能對內部的服務進行訪問控制。為了應對這個挑戰,業界發展出了威脅情報技術,于是我們可以在邊界上加一些黑名單,這樣會對邊界安全有所幫助,但它最終也無法回答究竟誰是好人,所以在互聯網邊界,白名單是不可行的。
但是,在行業性專網或者純粹的內網,情況是不一樣的。無論是訪問者還是服務者都是已知的,都是可以被管理的。面對等保2.0,我們完全可以有更有效的管理手段,也就是基于源地址的白名單訪問控制。我們可以只對明確認識的人開放服務,在內部環境中有無數種辦法對一個終端的身份進行驗證,相較于黑名單繞過而言,白名單欺騙無疑要難的多。
等保2.0時代,除了可以對源地址進行限定外,更重要的是,在一個完全可控的網絡內,我們不僅可以在近服務側的位置進行訪問控制,還可以在整個網絡的所有可能位置對訪問進行控制,尤其是可以做到“近源防護”。比如說一臺主機要進行超越其業務需求的445端口訪問,那么除了在開放相關服務的服務器前進行阻攔,我們還可以在其接入處的隔離設備上直接對其進行阻攔,因為這臺機器的業務需求是已知的,它的業務路徑也是已知的,我們可以在全路徑上對其進行訪問控制。
所以,在可控的網絡內(專網/內網)對源進行白名單訪問控制,顯然是更有效的防護手段。遺憾的是,我們看到了太多的真實案例中,用戶在內網仍然延續了互聯網邊界的安全策略,只對被保護對象進行基于目的地址的訪問控制,某種意義上說,這就是一種自廢武功的防御策略,我們本來可以打造出一個天羅地網,而實際上只是建構了幾個孤立的碉堡。這不利于企業應對等保2.0。
等保2.0確實是這個時代我國網絡安全工作的智慧結晶,展現出了很高的理論和技術水平。等保2.0之前的等級保護1.0(GB/T22239-2008)中,在“網絡安全”的“訪問控制章節“中,并未明確指出要對源地址做訪問控制。而在等級保護2.0(GB/T22239-2019)中,在“安全區域邊界”的“訪問控制”章節中則明確強調:“要對源地址,目的地址,源端口,目的端口和協議等進行檢查,以允許/拒絕數據包進出”(8.1.3.2 c)。同時還指出:“默認情況下除允許通信外受控接口拒絕所有通信”(8.1.3.2 a)。等保2.0明明白白的指出在網絡內部應該進行白名單訪問控制。當然,針對”8.1.3.2 a”可能會產生一個漏洞,那就是——什么才算允許通信呢?管理員是否可以允許所有通信呢?關于這一漏洞,等保2.0用另一條要求予以回答:“應刪除多余或無效的訪問控制規則,優化訪問控制列表,并保證訪問控制規則數量最小化”(8.1.3.2 b)。這同樣是一條在等保2.0里新加入的規則,因為在黑名單機制下,這條要求基本沒什么意義。阻斷規則多一些,并不會對安全造成影響,最多就是會拖慢網絡速度,因此,過去的策略優化主要是從效率的角度進行的,而不是從安全的角度進行的。但是在等保2.0制度下,在白名單模式下,策略集的最小化就有了非常重要的意義。因為此時的策略都是關于對已知訪問源和已知服務的“允許“規則,那么這個策略集一定是越小越好,應該將最少的服務開放給最少的人,這樣才是最安全的做法。
一方面,等保2.0在安全防御理念上取得了長足的進步;另一方面,等保2.0也對網絡安全的管理工作提出了遠超過去的要求。在過去,如果在系統的關鍵節點處部署了防火墻,然后針對一些已知威脅配置了一些黑名單策略,那么基本就符合了等級保護的要求。但是在等保2.0時代則明確對訪問策略做了白名單化要求。這意味著管理員必須對內網業務完全掌握,必須對全部資產完全掌握,必須對每一個終端設備的業務訪問需求完全掌握,對業務之間的關系要完全掌握,并且還要保證,在這個網絡發生任何風吹草動(業務調整,上下線,終端增減等等)時,能及時準確的做出策略重構。
