本篇將會重點討論一下等保中對等級保護網(wǎng)絡安全的要求，這里說明一下，文中內(nèi)容全是本人個人觀點，如有不對的地方歡迎糾正。文章已等保三級系統(tǒng)為基礎，從合規(guī)角度解讀要求?？吹接型瑢W吐槽等保沒用，其實換個角度去思考，等保是國家對信息安全的基線，不保證做到了系統(tǒng)就不會被黑，但是做不到必然會被黑，各位還是不要在政策層面過于糾結(jié)。

正文

本部分從網(wǎng)絡安全方向解讀一下標準的要求點。相比物理安全部分，網(wǎng)絡可擴展的地方不多，廣度縮小，深度增加。

7.1.2 網(wǎng)絡安全

7.1.2.1 結(jié)構(gòu)安全（G3）

a)應保證主要網(wǎng)絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要；

b)應保證網(wǎng)絡各個部分的帶寬滿足業(yè)務高峰期需要 ；

c)應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑；

d)應繪制與當前運行情況相符的網(wǎng)絡拓撲結(jié)構(gòu)圖；

e)應根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；

f)應避免將重要網(wǎng)段部署在網(wǎng)絡邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術隔離手段；

g)應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡發(fā)生擁堵的時候優(yōu)先保護重要主機。

結(jié)構(gòu)安全層面列出了7條要求，主要涉及的都是網(wǎng)絡工程方向，一條條解釋一下：

a）這里指網(wǎng)絡中關鍵設備（比如核心交換、匯聚交換，出口防火墻、串聯(lián)接入的IPS和WAF），設備的處理能力必須要遠大于系統(tǒng)實際業(yè)務的流量，比如A系統(tǒng)1分鐘（高峰期）會有1Gb的流量，那么關鍵節(jié)點的設備至少要有1.3Gb（或者1.5Gb）的處理能力，這點理解起來不難，目前除非很大的平臺，不然一般設備性能都是過剩的。

b)上邊將的是整個網(wǎng)絡，這里是指內(nèi)部不同系統(tǒng)或部門線路的帶寬，不難理解，所以不再重復解釋了。

c)這里說的其實有些模糊。個人理解是網(wǎng)絡中的ACL，業(yè)務系統(tǒng)中終端訪問服務器要建立安全通道，像VPN或TLS這類的加密傳輸。

d)這個不用說了，大家都懂的。另外提一句題外話，就是等保2.0的云計算擴展要求中要繪制云上的網(wǎng)絡拓撲圖，有的企業(yè)就懵了，這個要怎么畫。其實也一樣的，云上不過就是虛擬化的vSwitch、vRouter、vFW等等的，和傳統(tǒng)物理結(jié)構(gòu)一樣照著畫就好了。

e)就是安全域的劃分，說的再簡介一點就是劃vlan，劃VPC，然后分網(wǎng)段。當然大型生產(chǎn)環(huán)境沒這么簡單，就是為了大家便于理解，舉個簡單的例子。

f)本條說了2點要求，1是重要系統(tǒng)不能沒有任何策略或限制直接訪問外網(wǎng)（相當于直連，防護設備未設置訪問規(guī)則一類的情況），無論是直連還是通過其他網(wǎng)絡；2是重要系統(tǒng)要限制訪問，與其他系統(tǒng)隔離。有些系統(tǒng)（比如涉密）會做物理隔離，但目前采用較多的還是使用邏輯隔離的方式，通過策略進行隔離。

g)這里說的是SLA，也是目前沒多少企業(yè)做到的，按照業(yè)務系統(tǒng)重要程度設置優(yōu)先級，高峰時按照優(yōu)先級分配資源（同樣也適用于系統(tǒng)中的主機），算是比較費時費力的一項工作，大多企業(yè)都是選擇放棄。

PS：補充一下，標準里沒明確提出，但是字里行間也有些關系的再提一下。

1.外部接入線路至少要有2家（電信、聯(lián)通、移動）且要做出入口網(wǎng)絡負載均衡；

2.網(wǎng)絡結(jié)構(gòu)中的主要線路要做冗余雙線；

3.關鍵節(jié)點設備要做熱冗余（HSRP、VRRP這種）。

7.1.2.2 訪問控制（G3）

a)應在網(wǎng)絡邊界部署訪問控制設備，啟用訪問控制功能；

b)應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力 ，控制粒度為端口級；

c)應對進出網(wǎng)絡的信息內(nèi)容進行過濾，實現(xiàn)對應用層 HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；

d)應在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡連接；

e)應限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)；

f)重要網(wǎng)段應采取技術手段防止地址欺騙；

g)應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；

h)應限制具有撥號訪問權限的用戶數(shù)量。

訪問控制層面共8點要求，都是比較繁瑣的部分。

a)這里要求說的是邊界，不是內(nèi)部，就是要邊界部署防火墻，注意，不是部了，加了策略就OK，還要配置必須生效?？赡苡腥擞X得這話說的很白癡，但實際環(huán)境中就有不少這種情況，墻和策略都很完善，但是沒啟用。

b)ACL策略且細致度達到端口的級別，沒什么說的。

舉個例子：R1(config)#access-list101 permit udp 10.10.2.0 0.0.0.255 host 172.16.5.1 eq 69

c)現(xiàn)在的NGFW基本沒壓力，這是當年標準剛出時候的要求，另外提到了一點對內(nèi)容過濾，被一些人關聯(lián)到了敏感信息審核過濾上，按照當年的要求應該沒涉及到這方面，不過描述上這么解釋也說得通，畢竟現(xiàn)在網(wǎng)絡媒體上的敏感詞過濾還是一項大事，據(jù)了解有些平臺光內(nèi)容過濾團隊就幾百人，而且要倒班，先機審后人審。

de)這兩點放在一起，其實要求都是很基礎的，但是認真去做的不多。d是說，設備建立連接后，一段時間要自動斷開連接。比如管理員通過跳板機先登堡壘機，然后登錄交換機要開放一個端口，操作期間接了個電話，20分鐘后回來繼續(xù)操作。這期間如果有其他人用這臺跳板機做一些非計劃的操作，可能造成嚴重影響。當然，這里只是一個常見的情況，還有很多其他利用方式。e是說，要設置設備的最大流量和連接數(shù)，一方面是防止一些簡單攻擊，再一方面避免業(yè)務請求過多把設備搞崩了。

f)該項要求從當年的角度來看就是為了防ARP欺騙，那個年代一旦中招主機一攤一大片，放在今天已經(jīng)不算什么了。

g)這項就是用戶權限管理，放在現(xiàn)在用高大上的叫法：IAM或者PAM。當前環(huán)境要注意的就是越權問題。

h)這項要求一直沒理解，查了一些資料也問了幾個老專家，還是沒給我說明白。當年檢查的時候老的防火墻之類設備中有關于撥號用戶的設置，這里就不亂說了，有了解的可以幫忙留言解釋一下。（個人理解，就是可以遠程登錄的賬戶，不能設置過多此類賬戶）

7.1.2.3 安全審計（G3）

a)應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄；

b)審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；

c)應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；

d)應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。

這部分是測評時的重點，有時候可以一票否決，所以說比較關鍵。

不分別解釋了，放在一起說，簡單概括：企業(yè)要對網(wǎng)絡中的網(wǎng)絡流量（業(yè)務、訪問、攻擊等）、操作（登錄、退出、創(chuàng)建、刪除、變更等）進行記錄，且要保存至少6個月；同時要對網(wǎng)絡設備（包括安全設備）的運行狀況進行監(jiān)控，并形成周報或月報留存，同樣至少6個月；此外對于網(wǎng)絡日志至少要包括b)中要求的信息，系統(tǒng)中要有日志審計系統(tǒng)能夠分析和統(tǒng)計日志，并且生成審計報表以供檢查用；對于保存的日志要場外備份，有專人管理，保證日志的完整性，不能有未預期的刪除、更改、覆蓋情況。這是等保三對安全審計的要求。（對于流量很大的企業(yè)，這項要求是很坑的，比如每天幾個TB流量的平臺，網(wǎng)絡日志要保存6個月，呵呵，都是淚）

7.1.2.4 邊界完整性檢查（S3）

a)應能夠?qū)Ψ鞘跈嘣O備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；

b)應能夠?qū)?nèi)部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。

這部分要求當年理解起來挺困難的，結(jié)合現(xiàn)在的一些技術來看，才理解標準的前瞻性。要求簡單來說就是，系統(tǒng)功能自動檢測和發(fā)現(xiàn)不符合策略和規(guī)則的外聯(lián)內(nèi)和內(nèi)聯(lián)外行為。當前的態(tài)勢感知、蜜罐都可以搞定外聯(lián)內(nèi)的情況，對于內(nèi)聯(lián)外的檢測，個人認為更多的還是管理層面的事情，技術手段解決起來難度較大。比如私接無線網(wǎng)卡，辦公筆記本網(wǎng)線接公司網(wǎng)，無線接熱點，這種情況想第一時間發(fā)現(xiàn)和阻斷都很難。

7.1.2.5 入侵防范（G3）

a)應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡蠕蟲攻擊等；

b)當檢測到 攻擊行為源 時，記錄攻擊源 IP 、攻擊類型、攻擊目的、攻擊時間， 在發(fā)生嚴重入侵事件時應提供報警。

簡單點，IPS和WAF就好了。當年能配備這些設備的企業(yè)不多，現(xiàn)在不配備的不多。（這里是符合要求，不是給各位的建議，舉例是便于大家理解）

7.1.2.6 惡意代碼防范（G3）

a)應在網(wǎng)絡邊界處對惡意代碼進行檢測和清除；

b)應維護惡意代碼庫的升級和檢測系統(tǒng)的更新。

算是歷史遺留問題了，當年的時候有專門的防毒墻，防火墻會惡意代碼防護模塊。但是針對當前來說，惡意代碼已經(jīng)不是威脅，最大的威脅是系統(tǒng)自身的漏洞。這里如果是被檢查，記得開啟設備中的惡意代碼防范功能就好，一般NGFW和IPS都具備這種防護能力。

7.1.2.7 網(wǎng)絡設備防護（G3）

a)應對登錄網(wǎng)絡設備的用戶進行身份鑒別；

b)應對網(wǎng)絡設備的管理員登錄地址進行限制；

c)網(wǎng)絡設備用戶的標識應唯一；

d)主要網(wǎng)絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；

e)身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；

f)應具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退出等措施；

g) 當對網(wǎng)絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽；

h) 應實現(xiàn)設備特權用戶的權限分離。

網(wǎng)絡設備防護也算是檢查的一個重點了，這里不逐條解釋，統(tǒng)一總結(jié)一下：

1.網(wǎng)絡中要有堡壘機，所有關鍵設備必須要通過堡壘機訪問和登錄；

2.系統(tǒng)中要有3A或4A認證，保證對登錄管理用戶進行認證和審計。（3A就是認證、授權、審計；4A在此基礎上增加了可追溯/可問責性）

3.重要設備要限制登錄地址（一般就是堡壘機，如特殊情況要遠程登錄，可在堡壘機開放遠程登錄功能，采用VPN方式登錄），有的環(huán)境下可能會設置幾臺跳板機的IP。

4.網(wǎng)絡設備的標識要簡單易懂，運維人員一看就知道是什么設備，且標識不能重復。

5.采用兩種以上登錄方式，一般有堡壘機開啟雙因素認證就OK了，什么虹膜、指紋、聲控都是扯淡。目前比較多的還是用戶名密碼配合3A認證。

6.登錄失敗設置，要求（1）密碼輸入超過N此后，自動鎖定該賬戶M分鐘（通常是N=5，M>15，只是建議，不是要求）；（2）登陸后無操作，S分鐘后要自動斷開（一般是S<5）。

7.重要設備不要多人使用一個超級管理員賬戶，按照不同的人，不同的部分設置不同的賬戶，根據(jù)需要設定權限，采用最小權限原則；如果有能力，對于超級用戶一般使用前會先申請，審批后方可由專人發(fā)放賬戶，并規(guī)定操作內(nèi)容和操作時間。

結(jié)尾

以上是網(wǎng)絡安全部分的解釋和說明。最近各種工作還沒開始，所有有空寫點東西。關于網(wǎng)絡部分除了上述描述外，檢查中還會涉及到網(wǎng)絡設備和安全設備的上機檢查，具體內(nèi)容有興趣的可以看看這兩個標準《YD/T 2698-2014》、《YD/T 2699-2014》。里邊具體的檢查點和檢查方法都是配合等保要求來的。后續(xù)會陸續(xù)更新，謝謝各位支持。

等級保護測評系列介紹

等級保護測評（一）：物理安全

等級保護測評（二）：網(wǎng)絡安全

等級保護測評（三）：主機安全

等級保護測評（四）：應用與數(shù)據(jù)安全

等級保護測評（五）：制度與人員安全

等級保護測評（六）：系統(tǒng)建設管理

等級保護測評（七）：系統(tǒng)運維管理