*本文原创作者：宇宸@默安科技合规研究小组，本文属于FreeBuf原创奖励计划， 未经许可禁止转载

序

本篇将会重点讨论一下等保中对网络安全的要求，这里说明一下，文中内容全是本人个人观点，如有不对的地方欢迎纠正。文章已等保三级系统为基础，从合规角度解读要求。看到有同学吐槽等保没用，其实换个角度去思考，等保是国家对信息安全的基线，不保证做到了系统就不会被黑，但是做不到必然会被黑，各位还是不要在政策层面过于纠结。

等保到底是个啥系列文章

等保到底是个啥（一）：物理安全部分

等保到底是个啥（三）：主机安全部分

等保到底是个啥（四）：应用与数据安全部分

等保到底是个啥（五）：制度与人员安全部分

等保到底是个啥（六）：系统建设管理部分

等保到底是个啥（七）：系统运维管理部分

正文

本部分从网络安全方向解读一下标准的要求点。相比物理安全部分，网络可扩展的地方不多，广度缩小，深度增加。

7.1.2 网络安全

7.1.2.1 结构安全（G3）

a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；

b)应保证网络各个部分的带宽满足业务高峰期需要 ；

c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；

d)应绘制与当前运行情况相符的网络拓扑结构图；

e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；

f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；

g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。

结构安全层面列出了7条要求，主要涉及的都是网络工程方向，一条条解释一下：

a）这里指网络中关键设备（比如核心交换、汇聚交换，出口防火墙、串联接入的IPS和WAF），设备的处理能力必须要远大于系统实际业务的流量，比如A系统1分钟（高峰期）会有1Gb的流量，那么关键节点的设备至少要有1.3Gb（或者1.5Gb）的处理能力，这点理解起来不难，目前除非很大的平台，不然一般设备性能都是过剩的。

b)上边将的是整个网络，这里是指内部不同系统或部门线路的带宽，不难理解，所以不再重复解释了。

c)这里说的其实有些模糊。个人理解是网络中的ACL，业务系统中终端访问服务器要建立安全通道，像VPN或TLS这类的加密传输。

d)这个不用说了，大家都懂的。另外提一句题外话，就是等保2.0的云计算扩展要求中要绘制云上的网络拓扑图，有的企业就懵了，这个要怎么画。其实也一样的，云上不过就是虚拟化的vSwitch、vRouter、vFW等等的，和传统物理结构一样照着画就好了。

e)就是安全域的划分，说的再简介一点就是划vlan，划VPC，然后分网段。当然大型生产环境没这么简单，就是为了大家便于理解，举个简单的例子。

f)本条说了2点要求，1是重要系统不能没有任何策略或限制直接访问外网（相当于直连，防护设备未设置访问规则一类的情况），无论是直连还是通过其他网络；2是重要系统要限制访问，与其他系统隔离。有些系统（比如涉密）会做物理隔离，但目前采用较多的还是使用逻辑隔离的方式，通过策略进行隔离。

g)这里说的是SLA，也是目前没多少企业做到的，按照业务系统重要程度设置优先级，高峰时按照优先级分配资源（同样也适用于系统中的主机），算是比较费时费力的一项工作，大多企业都是选择放弃。

PS：补充一下，标准里没明确提出，但是字里行间也有些关系的再提一下。

1.外部接入线路至少要有2家（电信、联通、移动）且要做出入口网络负载均衡；

2.网络结构中的主要线路要做冗余双线；

3.关键节点设备要做热冗余（HSRP、VRRP这种）。

7.1.2.2 访问控制（G3）

a)应在网络边界部署访问控制设备，启用访问控制功能；

b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力 ，控制粒度为端口级；

c)应对进出网络的信息内容进行过滤，实现对应用层 HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；

d)应在会话处于非活跃一定时间或会话结束后终止网络连接；

e)应限制网络最大流量数及网络连接数；

f)重要网段应采取技术手段防止地址欺骗；

g)应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；

h)应限制具有拨号访问权限的用户数量。

访问控制层面共8点要求，都是比较繁琐的部分。

a)这里要求说的是边界，不是内部，就是要边界部署防火墙，注意，不是部了，加了策略就OK，还要配置必须生效。可能有人觉得这话说的很白痴，但实际环境中就有不少这种情况，墙和策略都很完善，但是没启用。

b)ACL策略且细致度达到端口的级别，没什么说的。

举个例子：R1(config)#access-list101 permit udp 10.10.2.0 0.0.0.255 host 172.16.5.1 eq 69

c)现在的NGFW基本没压力，这是当年标准刚出时候的要求，另外提到了一点对内容过滤，被一些人关联到了敏感信息审核过滤上，按照当年的要求应该没涉及到这方面，不过描述上这么解释也说得通，毕竟现在网络媒体上的敏感词过滤还是一项大事，据了解有些平台光内容过滤团队就几百人，而且要倒班，先机审后人审。

de)这两点放在一起，其实要求都是很基础的，但是认真去做的不多。d是说，设备建立连接后，一段时间要自动断开连接。比如管理员通过跳板机先登堡垒机，然后登录交换机要开放一个端口，操作期间接了个电话，20分钟后回来继续操作。这期间如果有其他人用这台跳板机做一些非计划的操作，可能造成严重影响。当然，这里只是一个常见的情况，还有很多其他利用方式。e是说，要设置设备的最大流量和连接数，一方面是防止一些简单攻击，再一方面避免业务请求过多把设备搞崩了。

f)该项要求从当年的角度来看就是为了防ARP欺骗，那个年代一旦中招主机一摊一大片，放在今天已经不算什么了。

g)这项就是用户权限管理，放在现在用高大上的叫法：IAM或者PAM。当前环境要注意的就是越权问题。

h)这项要求一直没理解，查了一些资料也问了几个老专家，还是没给我说明白。当年检查的时候老的防火墙之类设备中有关于拨号用户的设置，这里就不乱说了，有了解的可以帮忙留言解释一下。（个人理解，就是可以远程登录的账户，不能设置过多此类账户）

7.1.2.3 安全审计（G3）

a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；

b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

c)应能够根据记录数据进行分析，并生成审计报表；

d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。

这部分是测评时的重点，有时候可以一票否决，所以说比较关键。

不分别解释了，放在一起说，简单概括：企业要对网络中的网络流量（业务、访问、攻击等）、操作（登录、退出、创建、删除、变更等）进行记录，且要保存至少6个月；同时要对网络设备（包括安全设备）的运行状况进行监控，并形成周报或月报留存，同样至少6个月；此外对于网络日志至少要包括b)中要求的信息，系统中要有日志审计系统能够分析和统计日志，并且生成审计报表以供检查用；对于保存的日志要场外备份，有专人管理，保证日志的完整性，不能有未预期的删除、更改、覆盖情况。这是等保三对安全审计的要求。（对于流量很大的企业，这项要求是很坑的，比如每天几个TB流量的平台，网络日志要保存6个月，呵呵，都是泪）

7.1.2.4 边界完整性检查（S3）

a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；

b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。

这部分要求当年理解起来挺困难的，结合现在的一些技术来看，才理解标准的前瞻性。要求简单来说就是，系统功能自动检测和发现不符合策略和规则的外联内和内联外行为。当前的态势感知、蜜罐都可以搞定外联内的情况，对于内联外的检测，个人认为更多的还是管理层面的事情，技术手段解决起来难度较大。比如私接无线网卡，办公笔记本网线接公司网，无线接热点，这种情况想第一时间发现和阻断都很难。

7.1.2.5 入侵防范（G3）

a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等；

b)当检测到 攻击行为源 时，记录攻击源 IP 、攻击类型、攻击目的、攻击时间， 在发生严重入侵事件时应提供报警。

简单点，IPS和WAF就好了。当年能配备这些设备的企业不多，现在不配备的不多。（这里是符合要求，不是给各位的建议，举例是便于大家理解）

7.1.2.6 恶意代码防范（G3）

a)应在网络边界处对恶意代码进行检测和清除；

b)应维护恶意代码库的升级和检测系统的更新。

算是历史遗留问题了，当年的时候有专门的防毒墙，防火墙会恶意代码防护模块。但是针对当前来说，恶意代码已经不是威胁，最大的威胁是系统自身的漏洞。这里如果是被检查，记得开启设备中的恶意代码防范功能就好，一般NGFW和IPS都具备这种防护能力。

7.1.2.7 网络设备防护（G3）

a)应对登录网络设备的用户进行身份鉴别；

b)应对网络设备的管理员登录地址进行限制；

c)网络设备用户的标识应唯一；

d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；

e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；

f)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；

g) 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

h) 应实现设备特权用户的权限分离。

网络设备防护也算是检查的一个重点了，这里不逐条解释，统一总结一下：

1.网络中要有堡垒机，所有关键设备必须要通过堡垒机访问和登录；

2.系统中要有3A或4A认证，保证对登录管理用户进行认证和审计。（3A就是认证、授权、审计；4A在此基础上增加了可追溯/可问责性）

3.重要设备要限制登录地址（一般就是堡垒机，如特殊情况要远程登录，可在堡垒机开放远程登录功能，采用VPN方式登录），有的环境下可能会设置几台跳板机的IP。

4.网络设备的标识要简单易懂，运维人员一看就知道是什么设备，且标识不能重复。

5.采用两种以上登录方式，一般有堡垒机开启双因素认证就OK了，什么虹膜、指纹、声控都是扯淡。目前比较多的还是用户名密码配合3A认证。

6.登录失败设置，要求（1）密码输入超过N此后，自动锁定该账户M分钟（通常是N=5，M>15，只是建议，不是要求）；（2）登陆后无操作，S分钟后要自动断开（一般是S<5）。

7.重要设备不要多人使用一个超级管理员账户，按照不同的人，不同的部分设置不同的账户，根据需要设定权限，采用最小权限原则；如果有能力，对于超级用户一般使用前会先申请，审批后方可由专人发放账户，并规定操作内容和操作时间。

结尾

以上是网络安全部分的解释和说明。最近各种工作还没开始，所有有空写点东西。关于网络部分除了上述描述外，检查中还会涉及到网络设备和安全设备的上机检查，具体内容有兴趣的可以看看这两个标准《YD/T 2698-2014》、《YD/T 2699-2014》。里边具体的检查点和检查方法都是配合等保要求来的。后续会陆续更新，谢谢各位支持。

*本文原创作者：宇宸@默安科技合规研究小组，本文属于FreeBuf原创奖励计划， 未经许可禁止转载