提升网络安防 实现等保三级的 12 个难点分析

企业的安全等级防护建设可以提升信息系统的信息安全防护能力，为企业的业务发展提供安全保障。那么，企业如何做好网络安全工作，达到等保三级要求？

社区上周进行交流活动，重点探讨了安全区域划分、网络架构设计方案、区域边界访问控制、网络安全审计、边界完整性检查、网络设备防护等几个方面。要达到等保三级，以下12个问题需要了解。

[由社区专家张勇整理，以下社区专家及会员参与分享：张勇（ID:aix7）、潘延晟、lisen222、Garyy、doc、cft18 等]

1、安全区域如何划分？划分的原则是什么？

为了实现信息系统的等级划分与保护，需要依据等级保护的相关原则规划与区分不同安全保障对象，并根据保障对象设定不同业务功能及安全级别的安全区域，以根据各区域的重要性进行分等级的安全管理。

某局网络承载信息系统，信息系统是进行等级保护管理的最终对象，为体现重点保护重要信息系统安全，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，在进行信息系统的划分时应考虑以下几个方面：

1.相同的管理机构

信息系统内的各业务子系统在同一个管理机构的管理控制之下，可以保证遵循相同的安全管理策略；

2.相似的业务类型

信息系统内的各业务子系统具有相同的业务类型，安全需求相近，可以保证遵循相同的安全策略；

3.相同的物理位置或相似的运行环境

信息系统内的各业务子系统具有相同的物理位置或相似的运行环境意味着系统所面临的威胁相似，有利于采取统一的安全保护；

4.相似安全控制措施

信息系统内的各业务子系统因面临相似的安全威胁，因此需采用相似的安全控制措施来保证业务子系统的安全。

2、怎样实现区域边界访问控制？

区域边界的访问控制防护可以通过利用各区域边界交换机设置ACL（访问控制列表）实现，但该方法不便于维护管理，并且对于访问控制的粒度把控的效果较差。从便于管理维护及安全性的角度考虑，通过在关键网络区域边界部署防火墙，实现对区域边界的访问控制。访问控制措施满足以下功能需求：

a)应在网络边界部署访问控制设备，启用访问控制功能；

b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；

c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；

d)应在会话处于非活跃一定时间或会话结束后终止网络连接；

e)应限制网络最大流量数及网络连接数；

f)重要网段应采取技术手段防止地址欺骗；

各安全区域针对自身业务特点设定访问控制策略。

3、等保三级对网络安全审计系统有哪些功能上的要求？

安全审计是等级保护第三级要求建设的重要内容，有必要在网络层做好对网络设备运行状况、网络流量、用户行为等要素的审计工作。审计系统需具备以下功能：

a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；

b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

c)应能够根据记录数据进行分析，并生成审计报表；

d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。

综合日志审计系统是运维管理的重要组成部分，通过部署日志审计系统，能够实现等级保护第三级要求的网络安全审计标准，保护日志记录，并对日志进行分析以生成审计报表，能够对设备的运行情况和用户行为进行全面记录，有效提高对安全运行和事件的监控能力和追溯能力。

4、如何做好边界完整性检查？

第三级信息系统应在区域边界部署检测设备实现探测非法外联和非法内联的行为，完成对区域边界的完整性保护。检测需具备以下功能：

a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；

b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。

通过部署桌面终端安全管理系统和安全准入网关，可有效实现以下边界完整性检查功能：

1.终端设备接入管理

对网络中的终端的进行注册管理，根据设定的安全策略允许/禁止终端接入网络，采集硬件设备信息、位置信息；

支持对客户端MAC和IP地址的绑定管理，IP和主机名绑定，任意其中一个发生改变，系统将自动报警，报警后自动恢复原有IP配置；

支持对合法计算机IP地址使用的保护机制，对新接入设备占用他人IP地址的行为进行自动断网，不影响合法计算机在网络中的正常使用；

支持内网完整性管理，对网络中计算机的接入、带出行为进行报警，并能够自动阻断违规行为。

2.非法外联管理

支持监控网络中客户端的非法外联行为，实时检测内部网络（包括物理隔离和逻辑隔离网络）用户通过调制解调器、ADSL、双网卡等设备非法外联互联网行为，并远程告警或断网；

支持监控已注册的设备网络连接行为，如改变网络地址接入其它网络，根据接入网络环境因素判定其是否非法接入其它网络；

客户端非法外联支持详细记录非法上网计算机的名称、单位、上网方式，可以在报警平台和报警查询中获知信息，并且可以对客户端进行提示信息，自动关机，断网等处理；

支持是否允许使用代理服务器上网的控制。

5、如何做好网络设备的防护？

第三级信息系统要求对设备的远程登录使用双因子认证方式，需要符合如下管理要求：

a)应对登录网络设备的用户进行身份鉴别；

b)应对网络设备的管理员登录地址进行限制；

c)网络设备用户的标识应唯一；

d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；

e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；

f)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；

g)当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

h)应实现设备特权用户的权限分离。

6、面对入侵和不可预测的侵入，该如何防范？

防护入侵主要有两种：入侵防御设备和入侵检测设备，他们根据自身的特征库对入侵行为进行判断并连动防火墙做出相应的阻断或禁止的动作，从而起到网络防护入侵的目的。

7、多个子公司的网络安全如何管理？

多个子公司的网络安全通常采用带vpn功能的防火墙做边界防护，实现总公司与分公司之间的vpn专线点对点互联，并且数据采用加密方式传输，密文传输的数据即使被非法获取也是无法查看内容的。

8、企业内网与互联网如何打通，边界需要布署什么安全防护设备？

首先从企业内部来看互联网应用的数据库最好保存在内网上通过网闸供外网应用服务器访问，这样可以提高数据的安全性，对于企业外部的用户通过互联网访问这些应用需要通过usbkey和密码的双重验证，验证通过后才允许访问。

9、针对服务器区域如何做好安全防护网络策略？

服务器托管在IDC机房，采购了入侵检测硬件设备但是没有完全利用起来，操作系统有windows，linux系统。请问：不只是在入侵检测设备做策略，包括服务器操作系统，软件怎么做安全策略？

服务器区需要划到安全区域中来，通过防火墙做访问控制，web墙保护网站，同时启动网页防篡改功能，服务器操作系统要定期更新补钉，安装杀毒软件，服务器通过专用的运维主机访问，访问方式采用双因子认证，同时服务器要加入日志审计功能和数据库审计。

10、对于中小型企业来说，没有专职的搞安全的维护人员，如何做好网络安全维护工作？

随着云计算、大数据的高速发展，数据中心在规模、密度和复杂性上都有所增长，企业都在寻找更有效的工具来降低成本，同时希望提高工作效率，减少能耗。传统功能单一的数据中心基础设施管理系统(DCIM)已难以应付纷繁多变的网络环境，动力环境，成本压力，企业内部管理和运维效率的优化。因此，我们除了要有一款ODCC,CDCC和DCA所定义的 DCIM应该有的功能外，我们还需要有一款能够帮助数据中心或其他大型信息中心的管理者、经营者和运维人员提高管理效率、资源利用率和工作流程，以及业务状况的综合管理系统。

11、网络区域是否需要划分DMZ区，如果去掉会有哪些影响？

划分DMZ区以后，一般只允许内网或者外网访问DMZ区，一旦DMZ区的服务器被攻击，不会通过DMZ攻击到内网。

还有就是内网的防护，放到DMZ区以后，内网访问DMZ区的服务器时可以做相应的安全策略，比如只允许普通用户访问正常业务端口，而管理员可以访问远程桌面、ssh、telnet等服务。

传统的防火墙很大的一个意义就在于DMZ区，用来为网站设置一个安全区域来保证内外网的访问问题。

但是现在的情况又了一些变化，传统防火墙的访问列表只能限制到IP .端口以及协议，无法限制访问行为。而现在更多的黑客攻击都是针对80，25等这些业务端口实现的，所以传统防火墙的规则很难应对这些攻击。一般都是建议针对WEB服务来添加WEB防火墙。或者下一代防火墙来进行行为防护。

另外，DMZ区域在现在的这种情况，个人觉得还是保留的好。作为网站服务的一个独立区域。避免从内网直接开通映射到外网 。还是会减少一些安全的风险和管理上的麻烦的。

总结起来说。DMZ并不能完全解决现有的针对WEB的攻击问题。但DMZ区有助于网络的管理和规划，也可以避免一些基础的安全问题。比如病毒爆发等。

12、等保三级的安全怎样做到安全与成本的兼顾？

等保三级要求的很多。不单单是设备的投入，还有整个管理流程。操作规范等等。而且对硬件的要求也比较明确。确实不太容易降低成本。

不过这种所谓的成本投入其实是相对的。很多企业之前欠缺了太多的安全设备、审计、归档、备份，因为之前没有，所以才觉得到了等保三级要投入很高。其实这些东西对于系统安全本就应该有的。

等保三级测评合格是60分，这时成本是最低的，如果要做到100分成本一定是最高的，即使是60分也要做好以下的工作：

1、安全区域划分

2、网络架构设计方案

3、区域边界访问控制

4、网络安全审计

5、边界完整性检查

6、入侵防范

7、网络设备防护

8、系统运维管理

张勇，长春龙泰科技有限责任公司项目经理。有着丰富的系统集成经验，一直从事网络安全项目的设计与运维，熟悉IBM主机和存储产品,ORACLE数据库、主要负责社保和金融行业数据中心网络安全规划设计与运维。