等保2.0建設基本要求(技術部分)解讀(上)
作者:啟明星辰
2020-08-26
等保2.0基本要求技術部分��,以四級為例�,安全物理環境�、安全通信網絡��、安全區域邊界的控制點逐項解讀內容如下:
1.安全物理環境
1.1 物理位置選擇
a) 機房場地應選擇在具有防震�、防風和防雨等能力的建筑內�;
b) 機房場地應避免設在建筑物的頂層或地下室���,否則應加強防水和防潮措施�。
解讀:原則上機房不得位于頂層/地下室����,否則需要采取鋪設防水涂料��,建立防水層保護等施工措施���,加強防水能力��。技術上可增加環境動力監控系統的漏水檢測功能�����,自動對漏水報警����。
1.2 物理訪問控制
a) 機房出入口應配置電子門禁系統�,控制�����、鑒別和記錄進入的人員�;
b) 重要區域應配置第二道電子門禁系統�����,控制���、鑒別和記錄進入的人員��。
解讀:機房應有結構設計(如下圖:機房平面圖所示)���,內部劃分為緩沖區�、設備區����。門口配置電子門禁和防盜門����,內部部署視頻監控�、紅外報警等防盜報警設備����。緩沖區隔斷采用防火材料����,起到安保兼顧防火隔離作用����。緩沖區內提供長期/短期運維人員使用的運維終端等設備���,門口配置靜電釋放銅球����。設備區屬于重要區域���,內部署服務器���、網絡安全設備等關鍵設備�,設備區出入口配置第二道電子門禁系統�,起到控制��、鑒別和記錄進入的人員目的���。內部機柜前后通道部署攝像頭����,監控通道物理安全��。設備區內還部署機房空調和無管網式三氟丙烷氣體滅火裝置���。
圖 1機房平面圖
1.3 防盜竊和防破壞
a) 應將設備或主要部件進行固定�,并設置明顯的不易除去的標識����;
b) 應將通信線纜鋪設在隱蔽安全處���;
c) 應設置機房防盜報警系統或設置有專人值守的視頻監控系統���。
解讀:機房內所有設備和線纜按照統一格式打標簽�����,標簽使用黃色標簽紙����,用標簽打印機打印出����,避免手寫或涂改�。并將標簽粘貼于設備表面明顯處(通常粘貼在前面板或上面板)�。具體設備和線纜標簽格式如下:
機房內所有設備統一粘貼設備信息標簽����,范例格式為:
所有設備網絡接口/端口統一粘貼接口/端口標簽�,格式為:
所有通信線纜均部署在線槽及架空鋪設在機房橋架等隱蔽處����,機房緩沖區���、設備區均部署紅外報警系統及視頻監控系統�,紅外報警系統的警報端設置在大樓保安室�,一旦發生安全事件�����,由安全人員第一時間接警處置�。在機柜通道處�����,增設攝像頭視頻覆蓋���。視頻監控服務器位于機房設備區�,視頻監控記錄保存6個月�。
1.4 防雷擊
a) 應將各類機柜�����、設施和設備等通過接地系統安全接地���;
b) 應采取措施防止感應雷���,例如設置防雷保安器或過壓保護裝置等�����。
解讀:設備區的所有機柜和設備都有安全地線����,電源采用UPS����,自帶穩壓及過壓保護裝置�,可有效防止電壓震蕩及感應雷對信息設備的破壞�����。
1.5 防火
a) 機房應設置火災自動消防系統����,能夠自動檢測火情����、自動報警��,并自動滅火�����;
b) 機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料����;
c) 應對機房劃分區域進行管理�����,區域和區域之間設置隔離防火措施�。
解讀:機房內設置早期火災預警系統���,通過與環境動力監控系統聯動���,可自動發現并通過七氟丙烷氣體自動消防滅火�����,自動向控制臺聲光信號報警及管理員手機短信報警�。
機房區域劃分為緩沖區和設備區�����,按分區管理�,區域之間采用防火材料的隔斷���,起到物理隔離和防火隔離雙重功能�����。
1.6 防水和防潮
a) 應采取措施防止雨水通過機房窗戶���、屋頂和墻壁滲透�����;
b) 應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透��;
c) 應安裝對水敏感的檢測儀表或元件�,對機房進行防水檢測和報警��。
解讀:機房內窗戶需長期關閉��,并在邊緣放置遇水變色的檢測試紙���,定期巡查機房���。此外�����,機房地板低洼處部署漏水檢測線�,可對漏水及凝結水自動報警��。通知管理員及時處置����。機房精密空調單獨建設了回水槽和防水壩�,避免凝結水外溢到機房地板�。此外���,機房施工時��,已做防水處理工藝�。
1.7 防靜電
a) 應采用防靜電地板或地面并采用必要的接地防靜電措施��;
b) 應采取措施防止靜電的產生����,例如采用靜電消除器���、佩戴防靜電手環等�。
解讀:機房地面采用防靜電地板�,機房出入口安裝有靜電消除銅球��,進入人員可提前釋放靜電�����。緩沖區辦公桌內有防靜電手環����,可進一步消除及防止人體靜電的產生�����。
1.8 溫濕度控制
應設置溫濕度自動調節設施���,使機房溫濕度的變化在設備運行所允許的范圍之內����。
解讀:機房內部署機房空調�,24小時運行��,設置溫度為24度恒溫(或其他合理溫度區間)��??照{內置狀態監控��,可自動監測運行狀態�,如出現設備故障可自動聲音報警���,并通過環境動力監控系統報警����。
1.9 電力供應
a) 應在機房供電線路上配置穩壓器和過電壓防護設備����;
b) 應提供短期的備用電力供應���,至少滿足設備在斷電情況下的正常運行要求���;
c) 應設置冗余或并行的電力電纜線路為計算機系統供電�;
d) 應提供應急供電設施����。
解讀:機房供電線路上部署UPS短期供電裝置�����,包括UPS主機和配置電池�,電池組支持機房全部設備30分鐘電力供應��,可應對臨時短期斷電��。
機房供電如有條件��,可接兩路市電����,或者柴油發電機組��,實現冗余供電���。
1.10 電磁防護
a) 電源線和通信線纜應隔離鋪設��,避免互相干擾�����;
b) 應對關鍵設備或關鍵區域實施電磁屏蔽��。
解讀:項目中弱電線纜實施綜合集成布線工程�,所有電源線與通信線纜均分開鋪設��,并且�����,本項目所有垂直子系統布線均采用光纖���,水平子系統采用超六類線纜����。確保了數據通信不會被電力線纜電磁干擾�。
項目中的關鍵設備是指服務器��、存儲���、加密機��,均部署在屏蔽機柜中�,或采用屏蔽機房�����,以滿足關鍵設備或關鍵區域電磁屏蔽相關要求��。
2. 安全通信網絡
2.1 網絡架構
a) 應保證網絡設備的業務處理能力滿足業務高峰期需要��;
b) 應保證網絡各個部分的帶寬滿足業務高峰期需要��;
c) 應劃分不同的網絡區域����,并按照方便管理和控制的原則為各網絡區域分配地址����;
d) 應避免將重要網絡區域部署在邊界處����,重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段�;
e) 應提供通信線路���、關鍵網絡設備和關鍵計算設備的硬件冗余��,保證系統的可用性�����;
f) 應按照業務服務的重要程度分配帶寬���,優先保障重要業務�����。
解讀:所有網絡設備����,包括交換機和路由器����,查詢年性能日志�����,如果全部日志設備性能開銷均低于60%�����,則滿足網絡設備的業務處理能力滿足業務高峰期需要的要求��。如果設備性能開銷高于60%��,或出現系統宕機后異常啟動記錄���,則需更換為更高性能的網絡設備���。網絡各個部分的帶寬性能以網絡丟包時延及帶寬速率為主要技術指標��,可通過測試發現是否滿足業務高峰需求�,如果不滿足需求�,可通過集成布線工程實施�,用光纖替換雙絞線滿足帶寬要求�����。對于特定業務所需的大帶寬�����,可通過雙鏈路設計配合鏈路負載均衡設備���,滿足業務高峰期需求���。
網絡區域劃分應依據重要性��、部門等因素劃分不同的區域網絡����。網絡拓撲設計按照不同功能��,不同重要程度分區分域管理原則����,劃分為多個安全域��。重要網絡區域與其他網絡區域之間應采取技術隔離手段�,如網閘�����、防火墻等配合訪問控制列表�。不同安全域的IP地址規劃不同(不同網段)��,按照方便管理和控制的原則為各網絡區域分配地址舉例如下:(以192.168.17.0為基礎網絡地址�,8個部門��,每個部門30臺終端設計����,共240個地址)
表格 1IP地址規劃表
此外����,關鍵區域設備(如多鏈路匯聚處)的網絡設備�、安全設備和關鍵計算設備�,通信鏈路等應采取主備或雙活等方式��,保障系統可用性�。網絡設備(如路由器�����、交換機等)應按照業務重要程度�����,支持并啟用QoS等帶寬控制策略��。
2.2 通信傳輸
a) 應采用密碼技術保證通信過程中數據的完整性��;
b) 應采用密碼技術保證通信過程中數據的保密性�;
c) 應在通信前基于密碼技術對通信的雙方進行驗證或認證�����;
d) 應基于硬件密碼模塊對重要通信過程進行密碼運算和密鑰管理����。
解讀:遠程通信傳輸將采用符合國家密碼管理局商用密碼技術標準的加密機設備��。所用加密機基于國密算法��,符合采用密碼技術保障通信過程中數據的完整性與保密性����。加密機自身通信建立過程也符合通信前基于密碼技術對通信的雙方的認證要求����,自身管理功能滿足基于硬件密碼模塊對重要通信過程進行密碼運算和密鑰管理��。
2.3 可信驗證
應采用具有網絡可信連接保護功能的系統軟件或具有相應功能的信息技術產品���,在設備連接網絡時��,對源和目標進行平臺身份鑒別�、執行程序及其所有執行環節的執行資源進行可信驗證���?����?苫诳尚鸥鶎νㄐ旁O備的系統引導程序���、系統程序��、重要配置參數和通信應用程序等進行可信驗證��,并在應用程序的所有執行環節進行動態可信驗證��,在檢測到其可信性受到破壞后進行報警��,并將驗證結果形成審計記錄送至安全管理中心��,并進行動態關聯感知�。
解讀:可信技術軟件或硬件為選配�。
3.安全區域邊界
3.1 邊界防護
a) 應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信����;
b) 應能夠對非授權設備私自聯到內部網絡的行為進行檢查或限制�����;
c) 應能夠對內部用戶非授權聯到外部網絡的行為進行檢查或限制���;
d) 應限制無線網絡的使用�����,保證無線網絡通過受控的邊界設備接入內部網絡�����;
e) 應能夠在發現非授權設備私自聯到內部網絡的行為或內部用戶非授權聯到外部網絡的行為時��,對其進行有效阻斷���;
f) 應采用可信驗證機制對接入到網絡中的設備進行可信驗證�,保證接入網絡的設備真實可信�����。
解讀:各安全域邊界需部署防火墻��,確?�?缭竭吔缭L問和數據流都通過防火墻受控接口通信����。防火墻設置必要的訪問控制策略�����,未明確的通信統一拒絕���。對于非授權設備私自聯到內部網絡的行為����,即非法內聯行為�����,部署“網絡非法接入檢查系統”(也可部署“網絡準入系統NAC”)����,檢查系統采用旁路部署方式�,基于B/S架構���,可主動探測各類非法內聯行為���,包括但不限于:隨身WiFi接入檢測���、無線AP接入檢測���、以NAT方式接入的路由設備檢測���、網絡共享檢測����、VMWare虛機檢測�����、違規使用Window8操作系統檢測�、違規使用Window10操作系統檢測����、違規路由檢測以及非法IP接入檢測����。針對上述違規內聯行為����,可識別的設備類型包括:自動發現和識別網絡中存在終端PC���、網絡設備���、服務器類設備����、網絡打印機��、網絡攝像機等���。不僅可以通過交換機端口快速定位產生違規行為的主機���,還能快速阻斷違規主機與網絡的連接(處理方式包括發送郵件通知和交換機端口自動阻斷)�����,此外還具備IP追蹤審計等其他附加功能�。
針對內部用戶非授權聯到外部網絡的行為����,即非法外聯�,相比違規內聯���,違規方式更多��,例如以下幾種違規方式:
情形一:用戶將PC網卡切換到外網有線網絡連接����,此時如果用戶將網卡設置改為外網模式(手動分配IP或DHCP分配IP)�����,PC將能直接訪問互聯網���。
情形二:用戶將PC連接到可訪問外網的無線網絡����,此時如果用戶將無線網卡IP改為外網配置��,PC也將能直接訪問互聯網��。
情形三:用戶將可共享網絡的智能手機插到PC上充電��,此時如果用戶開啟了手機共享上網功能��,PC將會通過智能手機的數據網絡訪問互聯網��。
情形四:用戶將USB接口的無線網卡插到PC上����,在進行相應配置后�,PC也將能直接訪問互聯網��。
上述情形是比較常見的違規外聯情形����,因為內網終端通常是PC或虛擬桌面�,因此��,解決違規外聯問題����,可通過部署“內網安全管理系統”(也可部署“網絡準入系統NAC”)實現����,該系統基于C/S架構����,將客戶端直接部署在內網終端上�����,可主動探測并組織違規外聯行為�,能夠對終端的非法外聯行為進行監控和告警�,一旦探測發現終端發生非法外聯行為���,即可根據系統設定處置方式��,進行審計�����、告警��、斷開網絡等任意組合方式(如下圖所示)����,直至非法外聯行為中止后才會解除����。報警及審計方式多種可選����,告警方式包括:終端提示��,上報告警事件及電子郵件告警�����,支持同時對多個用戶發送告警信息�����。
圖2 違規外聯產品阻斷圖
針對內網無線網絡�����,應從規模和網絡防護角度限制使用���。首先明確無線網絡的應用場景�,以及接入無線網絡的必要性���。其次�����,確定需要接入的區域范圍和接入部門人員�。再次����,對于確需使用無線網絡的區域�,安裝無線網絡同時��,要做好無線網絡網絡防護建設��,從拓撲設計和建設上�����,無線AP或無線路由器的上聯端口要接入防火墻受控端口��,并以防火墻為邊界�,與其他網絡區域做隔離�����。如下圖所示:
圖3 無線網絡防護(紅色邊框內)
3.2 訪問控制
a) 應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則����,默認情況下除允許通信外受控接口拒絕所有通信����;
b) 應刪除多余或無效的訪問控制規則�,優化訪問控制列表�����,并保證訪問控制規則數量最小化�����;
c) 應根據區域邊界安全控制策略�,通過檢查數據包的源地址�����、目的地址����、傳輸層協議����、源端口����、目的端口和協議����、請求的服務等進行檢查�,以允許/拒絕數據包進出受保護的區域邊界�����;
d) 應能根據會話狀態信息為進出數據流提供明確的允許/拒絕訪問的能力��;
e) 應在網絡邊界通過通信協議轉換或通信協議隔離等方式進行數據交換��。
解讀:在網絡區域邊界部署防火墻(或UTM����、下一代防火墻)�,依據總體網絡訪問控制策略(體現在管理文檔)����,在防火墻(或UTM�����、下一代防火墻)中設置精簡且必要的訪問控制規則(可借助FLowEye產品的流量監控功能��,梳理出精簡且必要的訪問控制規則)�,默認情況下除允許通信外受控接口拒絕所有通信�。訪問控制規則對數據包的源地址�����、目的地址�、傳輸層協議�����、源端口�����、目的端口和協議���、請求的服務等進行檢查�。
在網絡與網絡邊界處����,通常部署雙向網閘����,將數據與通用協議剝離���,通過網閘的私有協議進行安全數據擺渡��。實現跨網安全數據交換��。
3.3 入侵防范
a) 應在關鍵網絡節點處檢測����、防止或限制從外部發起的網絡攻擊行為�;
b) 應在關鍵網絡節點處檢測����、防止或限制從內部發起的網絡攻擊行為�;
c) 應采取技術措施對網絡行為進行分析���,實現對網絡攻擊特別是新型網絡攻擊行為的分析��;
d) 當檢測到攻擊行為時����,記錄攻擊源IP���、攻擊類型�、攻擊目標�����、攻擊時間��,在發生嚴重入侵事件時應提供報警�。
解讀:在網絡拓撲設計中�,在網絡主干鏈路上串行部署IPS�,在核心交換機旁路部署IDS���,可實現在關鍵網絡節點處檢測���、防止或限制從外部發起的網絡攻擊行為���。在終端用戶域匯聚交換機(或接入交換機)旁邊部署IPS��,可實現在關鍵網絡節點處檢測��、防止或限制從內部發起的網絡攻擊行為����。在網絡接入域部署IPS及DAC�����、Floweye��、APT(部署見下圖所示)�,Floweye和APT可以依托DAC(威脅情報中心)發現APT攻擊并報警��,聯動IPS自動生成阻斷策略�,全自動阻斷APT攻擊����,并生成報警信息和日志信息����。有效預防和阻斷網絡攻擊特別是新型網絡攻擊行為��。上述產品在檢測到攻擊時�,會提供攻擊源IP��、攻擊類型等基本審計信息����,以及具備遭受嚴重入侵時自動報警功能��。
圖4 未知威脅攻擊防御(見紅色背景區域)
3.4 惡意代碼和垃圾郵件防范
a) 應在關鍵網絡節點處對惡意代碼進行檢測和清除�����,并維護惡意代碼防護機制的升級和更新���;
b) 應在關鍵網絡節點處對垃圾郵件進行檢測和防護����,并維護垃圾郵件防護機制的升級和更新��。
解讀:在網絡主干鏈路上部署防病毒網關(防毒墻)�,可對網絡傳播流行的木馬����、病毒��、惡意軟件等進行檢測和清除��。終端配合網絡版殺毒軟件����,形成網絡和終端全方位惡意代碼檢測和清除�����。定期(一個月)對防病毒軟件和防病毒網關的病毒庫及軟件版本進行及時更新和升級��。
在網絡主干鏈路上部署反垃圾郵件網關���,可對垃圾郵件進行檢測和防護����。
3.5 安全審計
a) 應在網絡邊界�、重要網絡節點進行安全審計�,審計覆蓋到每個用戶�,對重要的用戶行為和重要安全事件進行審計�����;
b) 審計記錄應包括事件的日期和時間���、用戶�����、事件類型���、事件是否成功及其他與審計相關的信息�;
c) 應對審計記錄進行保護���,定期備份��,避免受到未預期的刪除�、修改或覆蓋等�。
解讀:在網絡核心交換機旁路部署網絡審計(或網絡審計+綜合日志審計)��,在數據庫服務器所連接的交換機旁路部署數據庫審計��,可滿足內網全流量��、全用戶�、全事件安全審計要求����。并對審計日志進行備份�。
3.6 可信驗證
可基于可信根對邊界設備的系統引導程序���、系統程序���、重要配置參數和邊界防護應用程序等進行可信驗證����,并在應用程序的所有執行環節進行動態可信驗證�,在檢測到其可信性受到破壞后進行報警�����,并將驗證結果形成審計記錄送至安全管理中心���,并進行動態關聯感知�����。
解讀:可信驗證為可選項��。產品自身配置可信計算板卡��,滿足可信驗證要求�����。
京公網安備11010802024551號