安全資訊

《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》（以下簡(jiǎn)稱(chēng)“基本要求”）于2019年5月13日發(fā)布，2019年12月1日起正式實(shí)施?；疽笾械燃壉Ｗo對象在傳統信息系統的基礎上，綜合考慮了云計算、物聯(lián)網(wǎng)等新應用、新技術(shù)，等級保護對象調整為基礎信息網(wǎng)絡(luò )、信息系統（含采用移動(dòng)互聯(lián)技術(shù)的系統）、云計算平臺/系統、大數據應用/平臺/資源、物聯(lián)網(wǎng)和工業(yè)控制系統等；

安全要求部分包括安全通用要求和安全擴展要求, 安全擴展要求包括云計算安全擴展要求、移動(dòng)互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求以及工業(yè)控制系統安全擴展要求。其中，安全通用要求是不管等級保護對象形態(tài)如何必須滿(mǎn)足的要求，而針對云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統和大數據提出的特殊要求稱(chēng)為安全擴展要求。

安全通用可分為技術(shù)類(lèi)要求和管理類(lèi)要求，其中技術(shù)要求包括安全物理環(huán)境、安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境和安全管理中心; 管理要求包括安全管理制度、安全管理機構、安全管理人員 、安全建設管理和安全運維管理。

在通用要求技術(shù)部分，關(guān)于網(wǎng)絡(luò )安全涉及安全通信網(wǎng)絡(luò )和安全區域邊界兩個(gè)安全類(lèi)。安全通信網(wǎng)絡(luò )主要針對通信網(wǎng)絡(luò )（廣域網(wǎng)、城域網(wǎng)或局域網(wǎng)）提出安全要求，而安全區域邊界主要針對等級保護對象網(wǎng)絡(luò )邊界和區域邊界提出的安全要求。不同等級（第一級到第四級）的等級保護對象的安全要求存在一定的差異，安全通信網(wǎng)絡(luò )和安全區域邊界在不同等級的控制點(diǎn)和要求項條款數如下表，本文以第三級為例，對安全通用要求部分關(guān)于“網(wǎng)絡(luò )安全(安全通信網(wǎng)絡(luò )和安全區域邊界)”部分的要求項進(jìn)行簡(jiǎn)要介紹。

1

安全通信網(wǎng)絡(luò )

網(wǎng)絡(luò )架構：

a) 應保證網(wǎng)絡(luò )設備的業(yè)務(wù)處理能力滿(mǎn)足業(yè)務(wù)高峰期需要；

b) 應保證網(wǎng)絡(luò )各個(gè)部分的帶寬滿(mǎn)足業(yè)務(wù)高峰期需要；

c) 應劃分不同的網(wǎng)絡(luò )區域，并按照方便管理和控制的原則為各網(wǎng)絡(luò )區域分配地址；

d) 應避免將重要網(wǎng)絡(luò )區域部署在邊界處，重要網(wǎng)絡(luò )區域與其他網(wǎng)絡(luò )區域之間應采取可靠的技術(shù)隔離手段；

e) 應提供通信線(xiàn)路、關(guān)鍵網(wǎng)絡(luò )設備和關(guān)鍵計算設備的硬件冗余，保證系統的可用性。

條款a、b、e要求網(wǎng)絡(luò )架構應配置冗余策略，網(wǎng)絡(luò )冗余策略包括網(wǎng)絡(luò )線(xiàn)路冗余、網(wǎng)絡(luò )重要設備冗余及網(wǎng)絡(luò )重要系統和數據備份策略等。

為保證網(wǎng)絡(luò )冗余策略，應保證：

◇采用不同運營(yíng)商線(xiàn)路，相互備份且互不影響；

◇重要網(wǎng)絡(luò )設備熱冗余，如采用雙機熱備或服務(wù)器集群部署；

◇保證網(wǎng)絡(luò )帶寬和網(wǎng)絡(luò )設備業(yè)務(wù)處理能力具備冗余空間。

條款c要求劃分安全域、制定網(wǎng)絡(luò )IP地址分配策略，條款d要求為避免重要的安全域暴露在邊界處，在網(wǎng)絡(luò )邊界部署訪(fǎng)問(wèn)控制類(lèi)安全設備。

劃分網(wǎng)絡(luò )安全域是指按照不同區域的不同功能目的和安全要求，將網(wǎng)絡(luò )劃分為不同的安全域，以便實(shí)施不同的安全策略。制定網(wǎng)絡(luò )IP地址分配策略是指根據IP編址特點(diǎn)，為設計的網(wǎng)絡(luò )中的節點(diǎn)和設備分配合適的IP地址，網(wǎng)絡(luò )IP地址分配策略要和網(wǎng)絡(luò )層次規劃、路由協(xié)議規劃和流量規劃等結合起來(lái)考慮。IP地址分配包括靜態(tài)分配地址、動(dòng)態(tài)分配地址以及網(wǎng)絡(luò )地址轉換（Network Aclclress Translation，NAT）分配地址等方式。

通常情況網(wǎng)絡(luò )劃分為內部網(wǎng)絡(luò )安全域、互聯(lián)網(wǎng)安全域和外部網(wǎng)絡(luò )安全域?；跇I(yè)務(wù)需求，可進(jìn)一步劃分，如核心業(yè)務(wù)安全域、數據安全域等。網(wǎng)絡(luò )安全域的劃分，應遵循如下原則：

1)網(wǎng)絡(luò )整體的拓撲結構嚴格規劃、設計和管理；

2)按照網(wǎng)絡(luò )分層設計的原則進(jìn)行規劃，便于擴充和管理，易于故障隔離和排除；

3)網(wǎng)絡(luò )按訪(fǎng)問(wèn)控制策略劃分成不同的安全域，將有相同安全需求的網(wǎng)絡(luò )設備劃分到一 個(gè)安全域中，采取相同或類(lèi)似的安全策略，對重要網(wǎng)段進(jìn)行重點(diǎn)保護；

4)使用防火墻等安全設備、VLAN或其他訪(fǎng)問(wèn)控制方式與技術(shù)，將重要網(wǎng)段與其他網(wǎng)段隔離開(kāi)，在不同安全域之間設置訪(fǎng)問(wèn)控制措施。（條款d要求）

虛擬局域網(wǎng)( Virtual Local Area Network，VLAN)是一種劃分互相隔離子網(wǎng)的技術(shù)。通過(guò)VLAN隔離技術(shù)，可以把一個(gè)網(wǎng)絡(luò )系統中眾多的網(wǎng)絡(luò )設備邏輯地分成若干個(gè)虛擬工作組，組和組之間的網(wǎng)絡(luò )設備在第二層網(wǎng)絡(luò )上相互隔離，形成不同的安全區域，同時(shí)將廣播流量限制在不同的廣播域。

通信傳輸

a) 應采用密碼技術(shù)保證通信過(guò)程中數據的完整性；

b) 應采用密碼技術(shù)保證通信過(guò)程中數據的保密性。

為避免數據在通信過(guò)程中被非法截獲、非法篡改等破壞數據可用性的風(fēng)險，保證遠程安全接入、保證通信過(guò)程中數據的安全，可部署IPSec、SSL VPN等通信設備，保證通信的安全性。VPN技術(shù)通過(guò)建立了一條安全隧道，既保證了通信完整性，也保證了通信保密性。

可信驗證

可基于可信根對通信設備的系統引導程序、系統程序、重要配置參數和通信應用程序等進(jìn)行可信驗證，并在應用程序的所有執行環(huán)節進(jìn)行動(dòng)態(tài)可信驗證，在檢測到其可信性受到破壞后進(jìn)行報警，并將驗證結果形成審計記錄送至安全管理中心，并進(jìn)行動(dòng)態(tài)關(guān)聯(lián)感知。

2

安全區域邊界

邊界防護

a) 應保證跨越邊界的訪(fǎng)問(wèn)和數據流通過(guò)邊界設備提供的受控接口進(jìn)行通信；

b) 應能夠對非授權設備私自聯(lián)到內部網(wǎng)絡(luò )的行為進(jìn)行檢查或限制；

c) 應能夠對內部用戶(hù)非授權聯(lián)到外部網(wǎng)絡(luò )的行為進(jìn)行檢查或限制；

d) 應限制無(wú)線(xiàn)網(wǎng)絡(luò )的使用，保證無(wú)線(xiàn)網(wǎng)絡(luò )通過(guò)受控的邊界設備接入內部網(wǎng)絡(luò )。

邊界防護是構建網(wǎng)絡(luò )安全縱生防御體系的重要一環(huán)，缺少邊界安全防護就無(wú)法實(shí)現網(wǎng)絡(luò )安全。邊界防護相關(guān)要求項針對邊界安全準入、準出的相關(guān)安全策略，條款a）要求邊界要有訪(fǎng)問(wèn)控制設備，并明確邊界設備物理端口，跨越邊界的訪(fǎng)問(wèn)和數據流僅能通過(guò)指定的設備端口進(jìn)行數據通信，條款b、c)要求通過(guò)技術(shù)手段和管理措施對“非法接入”、“非法外聯(lián)”行為進(jìn)行檢查、限制。

訪(fǎng)問(wèn)控制

a) 應在網(wǎng)絡(luò )邊界或區域之間根據訪(fǎng)問(wèn)控制策略設置訪(fǎng)問(wèn)控制規則，默認情況下除允許通信外受控接口拒絕所有通信；

b) 應刪除多余或無(wú)效的訪(fǎng)問(wèn)控制規則，優(yōu)化訪(fǎng)問(wèn)控制列表，并保證訪(fǎng)問(wèn)控制規則數量最小化；

c) 應對源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數據包進(jìn)出；

d) 應能根據會(huì )話(huà)狀態(tài)信息為進(jìn)出數據流提供明確的允許/拒絕訪(fǎng)問(wèn)的能力；

e) 應對進(jìn)出網(wǎng)絡(luò )的數據流實(shí)現基于應用協(xié)議和應用內容的訪(fǎng)問(wèn)控制。

訪(fǎng)問(wèn)控制這一控制點(diǎn)相關(guān)要求是針對網(wǎng)絡(luò )安全策略中訪(fǎng)問(wèn)控制策略提出的相關(guān)要求，不同安全級別的網(wǎng)絡(luò )相連，產(chǎn)生了網(wǎng)絡(luò )邊界。為防止來(lái)自網(wǎng)絡(luò )外界的入侵，應在網(wǎng)絡(luò )邊界設置安全訪(fǎng)問(wèn)控制措施。常見(jiàn)措施包括設計VLAN、劃分網(wǎng)段、部署防火墻、IP地址與MAC地址綁定等。關(guān)于訪(fǎng)問(wèn)控制，應保證：嚴格的安全防護機制，安全性較高的防火墻（支持會(huì )話(huà)層和應用層訪(fǎng)問(wèn)控制策略）。

入侵防范

a) 應在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò )攻擊行為；

b) 應在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處檢測、防止或限制從內部發(fā)起的網(wǎng)絡(luò )攻擊行為；

c) 應采取技術(shù)措施對網(wǎng)絡(luò )行為進(jìn)行分析，實(shí)現對網(wǎng)絡(luò )攻擊特別是新型網(wǎng)絡(luò )攻擊行為的分析；

d) 當檢測到攻擊行為時(shí)，記錄攻擊源IP、攻擊類(lèi)型、攻擊目標、攻擊時(shí)間，在發(fā)生嚴重入侵事件時(shí)應提供報警。

入侵防范控制點(diǎn)要求項主要針對流量安全檢測，網(wǎng)絡(luò )流量檢測措施包括部署入侵檢測系統／入侵防御系統、防病毒網(wǎng)關(guān)、抗拒絕服務(wù)攻擊系統以及漏洞掃描系統等。采用基于特征或基于行為的檢測方法對數據包的特征進(jìn)行深度分析，發(fā)現網(wǎng)絡(luò )攻擊行為和異常訪(fǎng)問(wèn)行為，并設置告警機制。

惡意代碼和垃圾郵件防范

a) 應在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處對惡意代碼進(jìn)行檢測和清除，并維護惡意代碼防護機制的升級和更新；

b) 應在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處對垃圾郵件進(jìn)行檢測和防護，并維護垃圾郵件防護機制的升級和更新。

惡意代碼是一種可執行程序，惡意代碼以普通病毒、木馬、網(wǎng)絡(luò )蠕蟲(chóng)、移動(dòng)代碼和復合型病毒等多種形態(tài)存在，惡意代碼具有非授權可執行性、隱蔽性、傳染性、破壞性、潛伏性及變化快等多種特性，主要通過(guò)網(wǎng)頁(yè)、郵件等網(wǎng)絡(luò )載體進(jìn)行傳播。因此，在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處（網(wǎng)絡(luò )邊界和核心業(yè)務(wù)網(wǎng)）部署防病毒網(wǎng)關(guān)、UTM或其他惡意代碼防范產(chǎn)品，是最直接、高效的惡意代碼防范方法。

安全審計

a) 應在網(wǎng)絡(luò )邊界、重要網(wǎng)絡(luò )節點(diǎn)進(jìn)行安全審計，審計覆蓋到每個(gè)用戶(hù)，對重要的用戶(hù)行為和重要安全事件進(jìn)行審計；

b) 審計記錄應包括事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計相關(guān)的信息；

c) 應對審計記錄進(jìn)行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。

d) 應能對遠程訪(fǎng)問(wèn)的用戶(hù)行為、訪(fǎng)問(wèn)互聯(lián)網(wǎng)的用戶(hù)行為等單獨進(jìn)行行為審計和數據分析。

安全審計控制點(diǎn)針對網(wǎng)絡(luò )安全審計策略，網(wǎng)絡(luò )安全審計策略，可以加強網(wǎng)絡(luò )和系統的審計安全。常見(jiàn)措施包括部署網(wǎng)絡(luò )安全審計系統、設置操作系統日志及其審計措施、設計應用程序日志及其審計措施等。

網(wǎng)絡(luò )安全是動(dòng)態(tài)的可以部署網(wǎng)絡(luò )安全審計系統，對網(wǎng)絡(luò )安全狀態(tài)進(jìn)行實(shí)時(shí)可視化審計， 并對審計記錄進(jìn)行定期的備份轉存，主要針對網(wǎng)絡(luò )行為和安全事件審計。

可信驗證

可基于可信根對邊界設備的系統引導程序、系統程序、重要配置參數和邊界防護應用程序等進(jìn)行可信驗證，并在應用程序的所有執行環(huán)節進(jìn)行動(dòng)態(tài)可信驗證，在檢測到其可信性受到破壞后進(jìn)行報警，并將驗證結果形成審計記錄送至安全管理中心，并進(jìn)行動(dòng)態(tài)關(guān)聯(lián)感知。