網(wǎng)絡安全等級保護測評中部分控制點的應用探究

張敏

摘要：網(wǎng)絡安全等級保護（以下簡稱等保）制度是國家網(wǎng)絡安全保障工作的一項基本制度，是貫徹落實《網(wǎng)絡安全法》的關(guān)鍵支撐之一。按照相關(guān)標準和規(guī)范進行網(wǎng)絡安全等保測評工作，可以判斷信息系統(tǒng)的安全技術(shù)和安全管理狀況，其結(jié)論可以作為進一步完善系統(tǒng)安全策略及安全技術(shù)防護措施的依據(jù)。在實際等級保護工作和測評反饋中，往往存在一些普遍性的重要控制點應用問題，如可信驗證、惡意代碼防范、入侵防范、訪問控制、剩余信息保護等。本文針對以上問題，對惡意代碼防范、入侵防范、訪問控制、剩余信息保護共4個控制點開展了實際應用探索工作，對可信驗證進行了初步研究?？傮w上，著力于探索研究控制點應用的可行性與擴展性，致力于縮減重要信息系統(tǒng)實際安防措施與相應安全等保要求之間的差距，為各類系統(tǒng)的實際等保工作提供經(jīng)驗參考。

關(guān)鍵詞：網(wǎng)絡安全等級保護;入侵防范;訪問控制

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）15-0040-03

1 引言

隨著云計算、移動互聯(lián)、物聯(lián)網(wǎng)等新型技術(shù)迅速發(fā)展，各類網(wǎng)絡攻擊層出不窮，我國在網(wǎng)絡安全保障工作方向面臨著新形勢、新挑戰(zhàn)。自等保1.0開始，為應對越來越多樣化復雜化的網(wǎng)絡新形勢，我國對網(wǎng)絡安全等級保護要求逐步提高，等保2.0新要求應運而生。等保2.0具有完整的包括事前、事中、事后防護的保障體系思路，還可在事后進行溯源分析[1]。新標準為了更好地適應新型技術(shù)的發(fā)展，將一些新型技術(shù)也列入了范圍中，使得要求內(nèi)容構(gòu)成了“安全通用要求+新型應用安全擴展要求” [2]。等保2.0新增了對各類新技術(shù)的要求覆蓋，加大了管控要求范圍，可以提升整體網(wǎng)絡的全周期安全防護能力[1]。此外，針對要求的內(nèi)容，由安全要求轉(zhuǎn)變?yōu)榘踩ㄓ靡笈c安全擴展要求[2]。在具體技術(shù)上，舊標準中的物理、網(wǎng)絡、主機、應用、數(shù)據(jù)五大安全，重新整合，并歸類為新的安全的物理環(huán)境、通信網(wǎng)絡、區(qū)域邊界、計算環(huán)境和管理中心要求[2]。新標準中還加強了使用可信計算技術(shù)的要求，將可信驗證這個控制點加入了不同級別等保要求系統(tǒng)中，要求從底層開始做到可信的系統(tǒng)。

2 實際應用部分

2.1 關(guān)于惡意代碼防范問題

惡意代碼，也常稱為惡意軟件，是人為編制的計算機程序或指令集合，具有形態(tài)多樣化、迭代快速等特點，其目的是惡意的，主要用來干擾計算機正常運行，有時會造成計算機軟硬件故障，甚至破壞數(shù)據(jù)。在計算機系統(tǒng)上執(zhí)行惡意任務的有病毒、蠕蟲和木馬等。

針對惡意代碼的危害性及無序性，惡意代碼的防范日趨重要，其通常是利用合適有效防御體系的建立，發(fā)現(xiàn)遭受惡意代碼影響的主機及系統(tǒng)，幫助其回歸至正常狀態(tài)，避免惡意代碼攻擊的可能性及有效性[3]。防范惡意代碼主要是從惡意代碼的安全管理和惡意代碼的防御技術(shù)入手的。技術(shù)方面主要是從四個方面入手，一是惡意代碼檢測預警，包括安全通告、威脅報警等;二是惡意代碼預防，包括安裝殺毒軟件、安全加固、訪問控制等;三是惡意代碼檢測，包括漏洞掃描等;四是惡意代碼應急響應，包括恢復、備份等。

新的等保要求修訂了惡意代碼和垃圾郵件防范、訪問控制和入侵防范。其中，對于惡意代碼，共有五點要求，其中兩點較為核心：一是要在關(guān)鍵節(jié)點處確保惡意代碼防護機制的實施部署并處于正常運行的狀態(tài);二是保障惡意代碼相關(guān)特征庫處于最新版本[4]。這需要在網(wǎng)絡邊界等關(guān)鍵節(jié)點處針對惡意代碼部署相應的檢測和清除系統(tǒng)，同時對惡意代碼特征庫做好定期更新的工作。若沒有在相關(guān)節(jié)點處部署惡意代碼檢測清除系統(tǒng)，則存在無法及時識別攔截網(wǎng)頁、郵件被嵌入惡意代碼的風險。

惡意代碼的防范可以通過部署具有防病毒功能的網(wǎng)關(guān)、包含防病毒模塊的多功能安全網(wǎng)關(guān)等實現(xiàn)。此外，惡意代碼的特征庫變化較快，因此對于惡意代碼進行防范的重點是及時更新特征庫。在部署防病毒安全網(wǎng)關(guān)的基礎(chǔ)上，應將版本更新作為常態(tài)化工作機制，持續(xù)加強對防火墻防病毒策略模塊等的管理，定期升級病毒庫至最新版本，落實防火墻系統(tǒng)管理及其所含惡意代碼防范功能的維護。在有條件的情況下，還可以啟用專網(wǎng)邊界防火墻配套的惡意代碼檢測模塊，防控從專網(wǎng)引入惡意代碼至內(nèi)網(wǎng)的風險。

2.2 關(guān)于入侵防范問題

等保2.0中對入侵防范有4個要求項，如表1所示。目前，入侵防范主要是通過在網(wǎng)絡邊界部署包含入侵防范功能的安全設備實現(xiàn)的，如抗APT攻擊系統(tǒng)、包含入侵防范模塊的多功能安全網(wǎng)關(guān)等。同時，應當在關(guān)鍵網(wǎng)絡節(jié)點處部署入侵防御系統(tǒng)，如網(wǎng)絡邊界和核心等節(jié)點，以便及時有效針對內(nèi)部發(fā)起的網(wǎng)絡攻擊行為進行預防和快速應對。當然，這也可以通過在防火墻、UTM啟用入侵防護功能實現(xiàn)。第一和第二項要求可以通過在網(wǎng)絡邊界、核心等關(guān)鍵網(wǎng)絡節(jié)點處部署IPS等系統(tǒng)，或者在防火墻、UTM中啟用入侵防護功能來實現(xiàn)。第三和第四項要求可以通過部署網(wǎng)絡回溯系統(tǒng)或抗APT攻擊系統(tǒng)等，實現(xiàn)對新型網(wǎng)絡各類攻擊行為的分析檢測。系統(tǒng)設備需記錄攻擊行為中的詳細信息以便有效溯源，典型的信息有攻擊源IP、目標、時間以及類型等。

在具體部署網(wǎng)絡回溯系統(tǒng)或抗APT攻擊系統(tǒng)等時，可以選擇相關(guān)安全廠商的成熟產(chǎn)品。以安全態(tài)勢感知產(chǎn)品天眼為例，可以通過旁路鏡像部署檢測全網(wǎng)流量，具備旁路阻斷功能，還可以通過產(chǎn)品聯(lián)動方式對惡意代碼、入侵防御進行有效的阻斷和清理。同時，可以通過產(chǎn)品多級部署的方式，實現(xiàn)多級平臺內(nèi)容統(tǒng)一分析。下級組織可以同步部署天眼系統(tǒng)與上級組織做級聯(lián)，把下級組織的安全態(tài)勢情況上報到上級組織。下級組織的流量探針將告警信息發(fā)送給同級分析平臺進行分析，再將分析后的告警日志發(fā)送至上級組織的分析平臺。上級組織可以對分析平臺中的內(nèi)容進行統(tǒng)一管理、威脅發(fā)現(xiàn)和運營處置。

2.3 關(guān)于訪問控制問題

等保2.0要求操作系統(tǒng)或數(shù)據(jù)庫設置主客體標記，通過比較主體、客體安全級別和安全范疇的信息標記來判斷是否主體訪問客體。等保2.0中對訪問控制有5個要求項，如表2表2。為實現(xiàn)訪問控制的功能，應啟用有效的訪問控制策略并采用白名單機制，僅授權(quán)用戶能夠訪問網(wǎng)絡資源;應根據(jù)業(yè)務訪問的需要，對源地址、源端口、目的地址、目的端口和協(xié)議驚醒管控;應能夠?qū)M出網(wǎng)絡的數(shù)據(jù)流多包換的內(nèi)容及協(xié)議進行管控[5]。B071053F-FFEC-4FBC-9986-1D2660FD51B5

關(guān)于訪問控制這個控制點，首先應當規(guī)定合適的訪問控制策略。在訪問時分為訪問主體和訪問客體，應當使得訪問主體擁有配置訪問控制策略的權(quán)限。在進行訪問控制時，在訪問主體層面，其粒度應該達到用戶級或者進程級;在訪問客體層面，其粒度應該達到文件和數(shù)據(jù)庫表級。其次，在對一些重要的主體和客體進行訪問控制時，應當可以設置特殊的安全標記，在對具有特殊的安全標記客體進行訪問時進行控制。此功能的實現(xiàn)可以通過部署相應產(chǎn)品，通過在被控端部署agent來實現(xiàn)。以椒圖云鎖系統(tǒng)為例，可以通過加固提升主機操作系統(tǒng)安全級別來實現(xiàn)主機操作系統(tǒng)安全、業(yè)務系統(tǒng)安全。在測試過程中，可以選取不同類型操作系統(tǒng)環(huán)境服務器設備（Windows、Linux）安裝客戶端程序進行測試驗證。主體包括用戶、進程和IP?？刂频目腕w范圍很廣，不僅包含控制端應用層面的文件、進程、服務、共享資源等，還包括注冊表（僅windows）、硬件磁盤、網(wǎng)絡方面的端口等。同時，此項功能支持將用戶與進程進行綁定，方便更精準地控制。

2.4 關(guān)于剩余信息保護問題

等保2.0要求存儲空間中含有敏感的數(shù)據(jù)和一些鑒別信息時，無論這些敏感數(shù)據(jù)和鑒別信息在硬盤還是在內(nèi)存中，在其被釋放或者被重新分配空間時，應當完全清除原有的內(nèi)容[5]?，F(xiàn)有的操作系統(tǒng)有其自帶的刪除功能，用來對系統(tǒng)中的文檔、數(shù)據(jù)、信息等進行清除。但被刪除的內(nèi)容僅在操作系統(tǒng)層面實現(xiàn)了刪除，使得用戶無法從操作系統(tǒng)中查找到文檔等。在硬件、內(nèi)存存儲空間層面，被刪除的文檔等信息還存在其痕跡，很多恢復工具可以利用這些存儲空間中的“剩余信息”重新恢復數(shù)據(jù)信息。剩余信息主要的邏輯載體有操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)等，對應剩余信息的保護主要挑戰(zhàn)在于內(nèi)存和硬盤中，對實現(xiàn)“完全清除”有著一定的難度[6]。部分產(chǎn)品中含有剩余信息保護功能，如開啟椒圖云鎖系統(tǒng)中的“剩余信息保護”功能，可以實現(xiàn)剩余信息在存儲空間中的清除。

3 關(guān)于可信驗證問題的探索與思考

可信計算是從可信系統(tǒng)發(fā)展而來，需以安全芯片為信任根，使得系統(tǒng)平臺在運行過程中可鑒別各組件的完整性[7]?？尚庞嬎闶蔷W(wǎng)絡信息安全的核心關(guān)鍵技術(shù)?？尚膨炞C的技術(shù)原理是從構(gòu)建的信任根出發(fā)，建立一條信任鏈，從信任根逐漸到硬件平臺、操作系統(tǒng)和平臺逐級認證，逐級信任，從而擴展到整個系統(tǒng)，保證系統(tǒng)的可信。一般來講，可信系統(tǒng)由可信根、可信硬件平臺、可信操作系統(tǒng)和可信應用系統(tǒng)組成。

在等保2.0中加入的“可信驗證”控制點，在各級要求中都有所體現(xiàn)，逐級增加相關(guān)要求。針對一級系統(tǒng)，要求在可信根的基礎(chǔ)下，對設備的系統(tǒng)程序和引導程序等進行可信驗證，破壞可信性后，應當及時成功檢測并同步報警。到四級要求時，逐步增加了重要配置參數(shù)和通信應用程序等的可信驗證要求，安全管理中心中驗證的可信性破壞審計報告和動態(tài)的關(guān)聯(lián)感知以及所有環(huán)節(jié)中的動態(tài)可信驗證[4]。驗證過程是從底層開始，芯片、硬件、BIOS、操作系統(tǒng)、軟件等都需要國產(chǎn)化才能從根本上解決“可信驗證”要求，需要由通信設備轉(zhuǎn)變?yōu)檫吔绾陀嬎阍O備。在實際場景中，較難實現(xiàn)基于可信根的可信驗證，無法動態(tài)驗證應用程序關(guān)鍵執(zhí)行環(huán)節(jié)情況。目前，經(jīng)過市場了解和調(diào)研，暫無成熟的支持可信驗證的產(chǎn)品及解決方案。

近年來，以密碼標準為基礎(chǔ)的我國可信計算結(jié)構(gòu)框架逐步建立，主動免疫作為新型可信計算創(chuàng)新技術(shù)為實現(xiàn)新時代可信計算打下了堅實基礎(chǔ)[7]。加入主動免疫的可信架構(gòu)系統(tǒng)通過加入芯片和軟件，就可以實現(xiàn)可信驗證，對于已有系統(tǒng)的影響較小，改造更為便捷，對于節(jié)約資源、降低成本以及增高可信計算成效有著良好的效果，是目前可信化改造頗具前景化的一個方向。

4 總結(jié)與展望

當前國際形勢愈發(fā)嚴峻，從日常生活到國家安全各個層面，網(wǎng)絡安全作用日益凸顯。網(wǎng)絡安全相關(guān)法律依據(jù)近年來逐步出臺，2021年發(fā)布了多項網(wǎng)絡安全相關(guān)法律法規(guī)，如數(shù)據(jù)安全法、關(guān)鍵信息基礎(chǔ)設施安全保護條例等。網(wǎng)絡安全作為一個更為廣闊的安全保障領(lǐng)域，所需的保障要求及支撐體系越來越龐大，越來越厚重。網(wǎng)絡安全等級保護制度作為應對信息系統(tǒng)網(wǎng)絡安全保障中關(guān)鍵的一環(huán)，熟悉掌握其新要求至關(guān)重要，其表明了系統(tǒng)網(wǎng)絡安全保障的底線以及新趨勢、新發(fā)展和新動向。當前，業(yè)界產(chǎn)品功能多樣，常形成產(chǎn)品矩陣共同協(xié)作解決越來越復雜的網(wǎng)絡安全問題，抵御各類網(wǎng)絡風險點。在實際應用過程中，可以通過啟用原有產(chǎn)品設備新功能、部署新產(chǎn)品的方式，解決本文所提的部分控制點問題。使用人員需考慮如何持續(xù)發(fā)揮已有產(chǎn)品的功能與優(yōu)勢，及時做好病毒特征庫的及時更新等，進一步扎實系統(tǒng)等級保護和日常工作，保障網(wǎng)絡安全系統(tǒng)設備平穩(wěn)高效運行。在當今網(wǎng)絡形勢下，可信計算屬于網(wǎng)絡安全中的核心技術(shù)，對于重要信息系統(tǒng)及各類新型技術(shù)的設備進行網(wǎng)絡安全等級保護起著至關(guān)重要的作用?？尚膨炞C將逐步成為網(wǎng)絡安全工作的有力趨勢，對網(wǎng)絡安全等保十分重要，從業(yè)者應及時跟進研究進展，做好可信相關(guān)部署準備。

參考文獻：

[1] 李丹，楊向東，馬卓元，等.等保2.0視域下的網(wǎng)絡安全工作思考[J].網(wǎng)絡安全技術(shù)與應用，2019（10）：11-12.

[2] 馬力，祝國邦，陸磊.《網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）標準解讀[J].信息網(wǎng)絡安全，2019（2）：77-84.

[3] 楊晨霞.惡意代碼與病毒防范研究[J].電腦知識與技術(shù)，2020，16（7）：29-31.

[4] 張珂.網(wǎng)絡安全等級保護測評中的網(wǎng)絡及通信安全測評[J].微型電腦應用，2020，36（1）：130-133.

[5] 國家市場監(jiān)督管理總局，國家標準化管理委員會.信息安全技術(shù) 網(wǎng)絡安全等級保護基本要求：GB/T 22239—2019[S].北京：中國標準出版社，2019.

[6] 徐麗娟，李杺恬，唐剛.數(shù)據(jù)安全之剩余信息保護[J].網(wǎng)絡空間安全，2019，10（1）：1-7.

[7] 沈昌祥.用主動免疫可信計算3.0筑牢網(wǎng)絡安全防線營造清朗的網(wǎng)絡空間[J].信息安全研究，2018，4（4）：282-302.

【通聯(lián)編輯：代影】B071053F-FFEC-4FBC-9986-1D2660FD51B5