网络安全等级保护测评中部分控制点的应用探究

张敏

摘要：网络安全等级保护（以下简称等保）制度是国家网络安全保障工作的一项基本制度，是贯彻落实《网络安全法》的关键支撑之一。按照相关标准和规范进行网络安全等保测评工作，可以判断信息系统的安全技术和安全管理状况，其结论可以作为进一步完善系统安全策略及安全技术防护措施的依据。在实际等级保护工作和测评反馈中，往往存在一些普遍性的重要控制点应用问题，如可信验证、恶意代码防范、入侵防范、访问控制、剩余信息保护等。本文针对以上问题，对恶意代码防范、入侵防范、访问控制、剩余信息保护共4个控制点开展了实际应用探索工作，对可信验证进行了初步研究。总体上，着力于探索研究控制点应用的可行性与扩展性，致力于缩减重要信息系统实际安防措施与相应安全等保要求之间的差距，为各类系统的实际等保工作提供经验参考。

关键词：网络安全等级保护;入侵防范;访问控制

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2022）15-0040-03

1 引言

随着云计算、移动互联、物联网等新型技术迅速发展，各类网络攻击层出不穷，我国在网络安全保障工作方向面临着新形势、新挑战。自等保1.0开始，为应对越来越多样化复杂化的网络新形势，我国对网络安全等级保护要求逐步提高，等保2.0新要求应运而生。等保2.0具有完整的包括事前、事中、事后防护的保障体系思路，还可在事后进行溯源分析[1]。新标准为了更好地适应新型技术的发展，将一些新型技术也列入了范围中，使得要求内容构成了“安全通用要求+新型应用安全扩展要求” [2]。等保2.0新增了对各类新技术的要求覆盖，加大了管控要求范围，可以提升整体网络的全周期安全防护能力[1]。此外，针对要求的内容，由安全要求转变为安全通用要求与安全扩展要求[2]。在具体技术上，旧标准中的物理、网络、主机、应用、数据五大安全，重新整合，并归类为新的安全的物理环境、通信网络、区域边界、计算环境和管理中心要求[2]。新标准中还加强了使用可信计算技术的要求，将可信验证这个控制点加入了不同级别等保要求系统中，要求从底层开始做到可信的系统。

2 实际应用部分

2.1 关于恶意代码防范问题

恶意代码，也常称为恶意软件，是人为编制的计算机程序或指令集合，具有形态多样化、迭代快速等特点，其目的是惡意的，主要用来干扰计算机正常运行，有时会造成计算机软硬件故障，甚至破坏数据。在计算机系统上执行恶意任务的有病毒、蠕虫和木马等。

针对恶意代码的危害性及无序性，恶意代码的防范日趋重要，其通常是利用合适有效防御体系的建立，发现遭受恶意代码影响的主机及系统，帮助其回归至正常状态，避免恶意代码攻击的可能性及有效性[3]。防范恶意代码主要是从恶意代码的安全管理和恶意代码的防御技术入手的。技术方面主要是从四个方面入手，一是恶意代码检测预警，包括安全通告、威胁报警等;二是恶意代码预防，包括安装杀毒软件、安全加固、访问控制等;三是恶意代码检测，包括漏洞扫描等;四是恶意代码应急响应，包括恢复、备份等。

新的等保要求修订了恶意代码和垃圾邮件防范、访问控制和入侵防范。其中，对于恶意代码，共有五点要求，其中两点较为核心：一是要在关键节点处确保恶意代码防护机制的实施部署并处于正常运行的状态;二是保障恶意代码相关特征库处于最新版本[4]。这需要在网络边界等关键节点处针对恶意代码部署相应的检测和清除系统，同时对恶意代码特征库做好定期更新的工作。若没有在相关节点处部署恶意代码检测清除系统，则存在无法及时识别拦截网页、邮件被嵌入恶意代码的风险。

恶意代码的防范可以通过部署具有防病毒功能的网关、包含防病毒模块的多功能安全网关等实现。此外，恶意代码的特征库变化较快，因此对于恶意代码进行防范的重点是及时更新特征库。在部署防病毒安全网关的基础上，应将版本更新作为常态化工作机制，持续加强对防火墙防病毒策略模块等的管理，定期升级病毒库至最新版本，落实防火墙系统管理及其所含恶意代码防范功能的维护。在有条件的情况下，还可以启用专网边界防火墙配套的恶意代码检测模块，防控从专网引入恶意代码至内网的风险。

2.2 关于入侵防范问题

等保2.0中对入侵防范有4个要求项，如表1所示。目前，入侵防范主要是通过在网络边界部署包含入侵防范功能的安全设备实现的，如抗APT攻击系统、包含入侵防范模块的多功能安全网关等。同时，应当在关键网络节点处部署入侵防御系统，如网络边界和核心等节点，以便及时有效针对内部发起的网络攻击行为进行预防和快速应对。当然，这也可以通过在防火墙、UTM启用入侵防护功能实现。第一和第二项要求可以通过在网络边界、核心等关键网络节点处部署IPS等系统，或者在防火墙、UTM中启用入侵防护功能来实现。第三和第四项要求可以通过部署网络回溯系统或抗APT攻击系统等，实现对新型网络各类攻击行为的分析检测。系统设备需记录攻击行为中的详细信息以便有效溯源，典型的信息有攻击源IP、目标、时间以及类型等。

在具体部署网络回溯系统或抗APT攻击系统等时，可以选择相关安全厂商的成熟产品。以安全态势感知产品天眼为例，可以通过旁路镜像部署检测全网流量，具备旁路阻断功能，还可以通过产品联动方式对恶意代码、入侵防御进行有效的阻断和清理。同时，可以通过产品多级部署的方式，实现多级平台内容统一分析。下级组织可以同步部署天眼系统与上级组织做级联，把下级组织的安全态势情况上报到上级组织。下级组织的流量探针将告警信息发送给同级分析平台进行分析，再将分析后的告警日志发送至上级组织的分析平台。上级组织可以对分析平台中的内容进行统一管理、威胁发现和运营处置。

2.3 关于访问控制问题

等保2.0要求操作系统或数据库设置主客体标记，通过比较主体、客体安全级别和安全范畴的信息标记来判断是否主体访问客体。等保2.0中对访问控制有5个要求项，如表2表2。为实现访问控制的功能，应启用有效的访问控制策略并采用白名单机制，仅授权用户能够访问网络资源;应根据业务访问的需要，对源地址、源端口、目的地址、目的端口和协议惊醒管控;应能够对进出网络的数据流多包换的内容及协议进行管控[5]。B071053F-FFEC-4FBC-9986-1D2660FD51B5

关于访问控制这个控制点，首先应当规定合适的访问控制策略。在访问时分为访问主体和访问客体，应当使得访问主体拥有配置访问控制策略的权限。在进行访问控制时，在访问主体层面，其粒度应该达到用户级或者进程级;在访问客体层面，其粒度应该达到文件和数据库表级。其次，在对一些重要的主体和客体进行访问控制时，应当可以设置特殊的安全标记，在对具有特殊的安全标记客体进行访问时进行控制。此功能的实现可以通过部署相应产品，通过在被控端部署agent来实现。以椒图云锁系统为例，可以通过加固提升主机操作系统安全级别来实现主机操作系统安全、业务系统安全。在测试过程中，可以选取不同类型操作系统环境服务器设备（Windows、Linux）安装客户端程序进行测试验证。主体包括用户、进程和IP。控制的客体范围很广，不仅包含控制端应用层面的文件、进程、服务、共享资源等，还包括注册表（仅windows）、硬件磁盘、网络方面的端口等。同时，此项功能支持将用户与进程进行绑定，方便更精准地控制。

2.4 关于剩余信息保护问题

等保2.0要求存储空间中含有敏感的数据和一些鉴别信息时，无论这些敏感数据和鉴别信息在硬盘还是在内存中，在其被释放或者被重新分配空间时，应当完全清除原有的内容[5]。现有的操作系统有其自带的删除功能，用来对系统中的文档、数据、信息等进行清除。但被删除的内容仅在操作系统层面实现了删除，使得用户无法从操作系统中查找到文档等。在硬件、内存存储空间层面，被删除的文档等信息还存在其痕迹，很多恢复工具可以利用这些存储空间中的“剩余信息”重新恢复数据信息。剩余信息主要的逻辑载体有操作系统、数据库系统、应用系统等，对应剩余信息的保护主要挑战在于内存和硬盘中，对实现“完全清除”有着一定的难度[6]。部分产品中含有剩余信息保护功能，如开启椒图云锁系统中的“剩余信息保护”功能，可以实现剩余信息在存储空间中的清除。

3 关于可信验证问题的探索与思考

可信计算是从可信系统发展而来，需以安全芯片为信任根，使得系统平台在运行过程中可鉴别各组件的完整性[7]。可信计算是网络信息安全的核心关键技术。可信验证的技术原理是从构建的信任根出发，建立一条信任链，从信任根逐渐到硬件平台、操作系统和平台逐级认证，逐级信任，从而扩展到整个系统，保证系统的可信。一般来讲，可信系统由可信根、可信硬件平台、可信操作系統和可信应用系统组成。

在等保2.0中加入的“可信验证”控制点，在各级要求中都有所体现，逐级增加相关要求。针对一级系统，要求在可信根的基础下，对设备的系统程序和引导程序等进行可信验证，破坏可信性后，应当及时成功检测并同步报警。到四级要求时，逐步增加了重要配置参数和通信应用程序等的可信验证要求，安全管理中心中验证的可信性破坏审计报告和动态的关联感知以及所有环节中的动态可信验证[4]。验证过程是从底层开始，芯片、硬件、BIOS、操作系统、软件等都需要国产化才能从根本上解决“可信验证”要求，需要由通信设备转变为边界和计算设备。在实际场景中，较难实现基于可信根的可信验证，无法动态验证应用程序关键执行环节情况。目前，经过市场了解和调研，暂无成熟的支持可信验证的产品及解决方案。

近年来，以密码标准为基础的我国可信计算结构框架逐步建立，主动免疫作为新型可信计算创新技术为实现新时代可信计算打下了坚实基础[7]。加入主动免疫的可信架构系统通过加入芯片和软件，就可以实现可信验证，对于已有系统的影响较小，改造更为便捷，对于节约资源、降低成本以及增高可信计算成效有着良好的效果，是目前可信化改造颇具前景化的一个方向。

4 总结与展望

当前国际形势愈发严峻，从日常生活到国家安全各个层面，网络安全作用日益凸显。网络安全相关法律依据近年来逐步出台，2021年发布了多项网络安全相关法律法规，如数据安全法、关键信息基础设施安全保护条例等。网络安全作为一个更为广阔的安全保障领域，所需的保障要求及支撑体系越来越庞大，越来越厚重。网络安全等级保护制度作为应对信息系统网络安全保障中关键的一环，熟悉掌握其新要求至关重要，其表明了系统网络安全保障的底线以及新趋势、新发展和新动向。当前，业界产品功能多样，常形成产品矩阵共同协作解决越来越复杂的网络安全问题，抵御各类网络风险点。在实际应用过程中，可以通过启用原有产品设备新功能、部署新产品的方式，解决本文所提的部分控制点问题。使用人员需考虑如何持续发挥已有产品的功能与优势，及时做好病毒特征库的及时更新等，进一步扎实系统等级保护和日常工作，保障网络安全系统设备平稳高效运行。在当今网络形势下，可信计算属于网络安全中的核心技术，对于重要信息系统及各类新型技术的设备进行网络安全等级保护起着至关重要的作用。可信验证将逐步成为网络安全工作的有力趋势，对网络安全等保十分重要，从业者应及时跟进研究进展，做好可信相关部署准备。

参考文献：

[1] 李丹，杨向东，马卓元，等.等保2.0视域下的网络安全工作思考[J].网络安全技术与应用，2019（10）：11-12.

[2] 马力，祝国邦，陆磊.《网络安全等级保护基本要求》（GB/T 22239-2019）标准解读[J].信息网络安全，2019（2）：77-84.

[3] 杨晨霞.恶意代码与病毒防范研究[J].电脑知识与技术，2020，16（7）：29-31.

[4] 张珂.网络安全等级保护测评中的网络及通信安全测评[J].微型电脑应用，2020，36（1）：130-133.

[5] 国家市场监督管理总局，国家标准化管理委员会.信息安全技术 网络安全等级保护基本要求：GB/T 22239—2019[S].北京：中国标准出版社，2019.

[6] 徐丽娟，李杺恬，唐刚.数据安全之剩余信息保护[J].网络空间安全，2019，10（1）：1-7.

[7] 沈昌祥.用主动免疫可信计算3.0筑牢网络安全防线营造清朗的网络空间[J].信息安全研究，2018，4（4）：282-302.

【通联编辑：代影】B071053F-FFEC-4FBC-9986-1D2660FD51B5