網絡安全等級保護測評中部分控制點的應用探究

張敏

摘要：網絡安全等級保護（以下簡稱等保）制度是國家網絡安全保障工作的一項基本制度，是貫徹落實《網絡安全法》的關鍵支撐之一。按照相關標準和規范進行網絡安全等保測評工作，可以判斷信息系統的安全技術和安全管理狀況，其結論可以作為進一步完善系統安全策略及安全技術防護措施的依據。在實際等級保護工作和測評反饋中，往往存在一些普遍性的重要控制點應用問題，如可信驗證、惡意代碼防范、入侵防范、訪問控制、剩余信息保護等。本文針對以上問題，對惡意代碼防范、入侵防范、訪問控制、剩余信息保護共4個控制點開展了實際應用探索工作，對可信驗證進行了初步研究。總體上，著力于探索研究控制點應用的可行性與擴展性，致力于縮減重要信息系統實際安防措施與相應安全等保要求之間的差距，為各類系統的實際等保工作提供經驗參考。

關鍵詞：網絡安全等級保護;入侵防范;訪問控制

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）15-0040-03

1 引言

隨著云計算、移動互聯、物聯網等新型技術迅速發展，各類網絡攻擊層出不窮，我國在網絡安全保障工作方向面臨著新形勢、新挑戰。自等保1.0開始，為應對越來越多樣化復雜化的網絡新形勢，我國對網絡安全等級保護要求逐步提高，等保2.0新要求應運而生。等保2.0具有完整的包括事前、事中、事后防護的保障體系思路，還可在事后進行溯源分析[1]。新標準為了更好地適應新型技術的發展，將一些新型技術也列入了范圍中，使得要求內容構成了“安全通用要求+新型應用安全擴展要求” [2]。等保2.0新增了對各類新技術的要求覆蓋，加大了管控要求范圍，可以提升整體網絡的全周期安全防護能力[1]。此外，針對要求的內容，由安全要求轉變為安全通用要求與安全擴展要求[2]。在具體技術上，舊標準中的物理、網絡、主機、應用、數據五大安全，重新整合，并歸類為新的安全的物理環境、通信網絡、區域邊界、計算環境和管理中心要求[2]。新標準中還加強了使用可信計算技術的要求，將可信驗證這個控制點加入了不同級別等保要求系統中，要求從底層開始做到可信的系統。

2 實際應用部分

2.1 關于惡意代碼防范問題

惡意代碼，也常稱為惡意軟件，是人為編制的計算機程序或指令集合，具有形態多樣化、迭代快速等特點，其目的是惡意的，主要用來干擾計算機正常運行，有時會造成計算機軟硬件故障，甚至破壞數據。在計算機系統上執行惡意任務的有病毒、蠕蟲和木馬等。

針對惡意代碼的危害性及無序性，惡意代碼的防范日趨重要，其通常是利用合適有效防御體系的建立，發現遭受惡意代碼影響的主機及系統，幫助其回歸至正常狀態，避免惡意代碼攻擊的可能性及有效性[3]。防范惡意代碼主要是從惡意代碼的安全管理和惡意代碼的防御技術入手的。技術方面主要是從四個方面入手，一是惡意代碼檢測預警，包括安全通告、威脅報警等;二是惡意代碼預防，包括安裝殺毒軟件、安全加固、訪問控制等;三是惡意代碼檢測，包括漏洞掃描等;四是惡意代碼應急響應，包括恢復、備份等。

新的等保要求修訂了惡意代碼和垃圾郵件防范、訪問控制和入侵防范。其中，對于惡意代碼，共有五點要求，其中兩點較為核心：一是要在關鍵節點處確保惡意代碼防護機制的實施部署并處于正常運行的狀態;二是保障惡意代碼相關特征庫處于最新版本[4]。這需要在網絡邊界等關鍵節點處針對惡意代碼部署相應的檢測和清除系統，同時對惡意代碼特征庫做好定期更新的工作。若沒有在相關節點處部署惡意代碼檢測清除系統，則存在無法及時識別攔截網頁、郵件被嵌入惡意代碼的風險。

惡意代碼的防范可以通過部署具有防病毒功能的網關、包含防病毒模塊的多功能安全網關等實現。此外，惡意代碼的特征庫變化較快，因此對于惡意代碼進行防范的重點是及時更新特征庫。在部署防病毒安全網關的基礎上，應將版本更新作為常態化工作機制，持續加強對防火墻防病毒策略模塊等的管理，定期升級病毒庫至最新版本，落實防火墻系統管理及其所含惡意代碼防范功能的維護。在有條件的情況下，還可以啟用專網邊界防火墻配套的惡意代碼檢測模塊，防控從專網引入惡意代碼至內網的風險。

2.2 關于入侵防范問題

等保2.0中對入侵防范有4個要求項，如表1所示。目前，入侵防范主要是通過在網絡邊界部署包含入侵防范功能的安全設備實現的，如抗APT攻擊系統、包含入侵防范模塊的多功能安全網關等。同時，應當在關鍵網絡節點處部署入侵防御系統，如網絡邊界和核心等節點，以便及時有效針對內部發起的網絡攻擊行為進行預防和快速應對。當然，這也可以通過在防火墻、UTM啟用入侵防護功能實現。第一和第二項要求可以通過在網絡邊界、核心等關鍵網絡節點處部署IPS等系統，或者在防火墻、UTM中啟用入侵防護功能來實現。第三和第四項要求可以通過部署網絡回溯系統或抗APT攻擊系統等，實現對新型網絡各類攻擊行為的分析檢測。系統設備需記錄攻擊行為中的詳細信息以便有效溯源，典型的信息有攻擊源IP、目標、時間以及類型等。

在具體部署網絡回溯系統或抗APT攻擊系統等時，可以選擇相關安全廠商的成熟產品。以安全態勢感知產品天眼為例，可以通過旁路鏡像部署檢測全網流量，具備旁路阻斷功能，還可以通過產品聯動方式對惡意代碼、入侵防御進行有效的阻斷和清理。同時，可以通過產品多級部署的方式，實現多級平臺內容統一分析。下級組織可以同步部署天眼系統與上級組織做級聯，把下級組織的安全態勢情況上報到上級組織。下級組織的流量探針將告警信息發送給同級分析平臺進行分析，再將分析后的告警日志發送至上級組織的分析平臺。上級組織可以對分析平臺中的內容進行統一管理、威脅發現和運營處置。

2.3 關于訪問控制問題

等保2.0要求操作系統或數據庫設置主客體標記，通過比較主體、客體安全級別和安全范疇的信息標記來判斷是否主體訪問客體。等保2.0中對訪問控制有5個要求項，如表2表2。為實現訪問控制的功能，應啟用有效的訪問控制策略并采用白名單機制，僅授權用戶能夠訪問網絡資源;應根據業務訪問的需要，對源地址、源端口、目的地址、目的端口和協議驚醒管控;應能夠對進出網絡的數據流多包換的內容及協議進行管控[5]。B071053F-FFEC-4FBC-9986-1D2660FD51B5

關于訪問控制這個控制點，首先應當規定合適的訪問控制策略。在訪問時分為訪問主體和訪問客體，應當使得訪問主體擁有配置訪問控制策略的權限。在進行訪問控制時，在訪問主體層面，其粒度應該達到用戶級或者進程級;在訪問客體層面，其粒度應該達到文件和數據庫表級。其次，在對一些重要的主體和客體進行訪問控制時，應當可以設置特殊的安全標記，在對具有特殊的安全標記客體進行訪問時進行控制。此功能的實現可以通過部署相應產品，通過在被控端部署agent來實現。以椒圖云鎖系統為例，可以通過加固提升主機操作系統安全級別來實現主機操作系統安全、業務系統安全。在測試過程中，可以選取不同類型操作系統環境服務器設備（Windows、Linux）安裝客戶端程序進行測試驗證。主體包括用戶、進程和IP。控制的客體范圍很廣，不僅包含控制端應用層面的文件、進程、服務、共享資源等，還包括注冊表（僅windows）、硬件磁盤、網絡方面的端口等。同時，此項功能支持將用戶與進程進行綁定，方便更精準地控制。

2.4 關于剩余信息保護問題

等保2.0要求存儲空間中含有敏感的數據和一些鑒別信息時，無論這些敏感數據和鑒別信息在硬盤還是在內存中，在其被釋放或者被重新分配空間時，應當完全清除原有的內容[5]。現有的操作系統有其自帶的刪除功能，用來對系統中的文檔、數據、信息等進行清除。但被刪除的內容僅在操作系統層面實現了刪除，使得用戶無法從操作系統中查找到文檔等。在硬件、內存存儲空間層面，被刪除的文檔等信息還存在其痕跡，很多恢復工具可以利用這些存儲空間中的“剩余信息”重新恢復數據信息。剩余信息主要的邏輯載體有操作系統、數據庫系統、應用系統等，對應剩余信息的保護主要挑戰在于內存和硬盤中，對實現“完全清除”有著一定的難度[6]。部分產品中含有剩余信息保護功能，如開啟椒圖云鎖系統中的“剩余信息保護”功能，可以實現剩余信息在存儲空間中的清除。

3 關于可信驗證問題的探索與思考

可信計算是從可信系統發展而來，需以安全芯片為信任根，使得系統平臺在運行過程中可鑒別各組件的完整性[7]。可信計算是網絡信息安全的核心關鍵技術。可信驗證的技術原理是從構建的信任根出發，建立一條信任鏈，從信任根逐漸到硬件平臺、操作系統和平臺逐級認證，逐級信任，從而擴展到整個系統，保證系統的可信。一般來講，可信系統由可信根、可信硬件平臺、可信操作系統和可信應用系統組成。

在等保2.0中加入的“可信驗證”控制點，在各級要求中都有所體現，逐級增加相關要求。針對一級系統，要求在可信根的基礎下，對設備的系統程序和引導程序等進行可信驗證，破壞可信性后，應當及時成功檢測并同步報警。到四級要求時，逐步增加了重要配置參數和通信應用程序等的可信驗證要求，安全管理中心中驗證的可信性破壞審計報告和動態的關聯感知以及所有環節中的動態可信驗證[4]。驗證過程是從底層開始，芯片、硬件、BIOS、操作系統、軟件等都需要國產化才能從根本上解決“可信驗證”要求，需要由通信設備轉變為邊界和計算設備。在實際場景中，較難實現基于可信根的可信驗證，無法動態驗證應用程序關鍵執行環節情況。目前，經過市場了解和調研，暫無成熟的支持可信驗證的產品及解決方案。

近年來，以密碼標準為基礎的我國可信計算結構框架逐步建立，主動免疫作為新型可信計算創新技術為實現新時代可信計算打下了堅實基礎[7]。加入主動免疫的可信架構系統通過加入芯片和軟件，就可以實現可信驗證，對于已有系統的影響較小，改造更為便捷，對于節約資源、降低成本以及增高可信計算成效有著良好的效果，是目前可信化改造頗具前景化的一個方向。

4 總結與展望

當前國際形勢愈發嚴峻，從日常生活到國家安全各個層面，網絡安全作用日益凸顯。網絡安全相關法律依據近年來逐步出臺，2021年發布了多項網絡安全相關法律法規，如數據安全法、關鍵信息基礎設施安全保護條例等。網絡安全作為一個更為廣闊的安全保障領域，所需的保障要求及支撐體系越來越龐大，越來越厚重。網絡安全等級保護制度作為應對信息系統網絡安全保障中關鍵的一環，熟悉掌握其新要求至關重要，其表明了系統網絡安全保障的底線以及新趨勢、新發展和新動向。當前，業界產品功能多樣，常形成產品矩陣共同協作解決越來越復雜的網絡安全問題，抵御各類網絡風險點。在實際應用過程中，可以通過啟用原有產品設備新功能、部署新產品的方式，解決本文所提的部分控制點問題。使用人員需考慮如何持續發揮已有產品的功能與優勢，及時做好病毒特征庫的及時更新等，進一步扎實系統等級保護和日常工作，保障網絡安全系統設備平穩高效運行。在當今網絡形勢下，可信計算屬于網絡安全中的核心技術，對于重要信息系統及各類新型技術的設備進行網絡安全等級保護起著至關重要的作用。可信驗證將逐步成為網絡安全工作的有力趨勢，對網絡安全等保十分重要，從業者應及時跟進研究進展，做好可信相關部署準備。

參考文獻：

[1] 李丹，楊向東，馬卓元，等.等保2.0視域下的網絡安全工作思考[J].網絡安全技術與應用，2019（10）：11-12.

[2] 馬力，祝國邦，陸磊.《網絡安全等級保護基本要求》（GB/T 22239-2019）標準解讀[J].信息網絡安全，2019（2）：77-84.

[3] 楊晨霞.惡意代碼與病毒防范研究[J].電腦知識與技術，2020，16（7）：29-31.

[4] 張珂.網絡安全等級保護測評中的網絡及通信安全測評[J].微型電腦應用，2020，36（1）：130-133.

[5] 國家市場監督管理總局，國家標準化管理委員會.信息安全技術 網絡安全等級保護基本要求：GB/T 22239—2019[S].北京：中國標準出版社，2019.

[6] 徐麗娟，李杺恬，唐剛.數據安全之剩余信息保護[J].網絡空間安全，2019，10（1）：1-7.

[7] 沈昌祥.用主動免疫可信計算3.0筑牢網絡安全防線營造清朗的網絡空間[J].信息安全研究，2018，4（4）：282-302.

【通聯編輯：代影】B071053F-FFEC-4FBC-9986-1D2660FD51B5