等級保護要求解讀之安全計算環境

前言

等保2.0明確對企業、安全廠家、系統集成商提出要求，強調使用漏洞掃描工具及時發現可能存在的漏洞，企業在進行網絡安全防護建設時要充分考慮計算環境的入侵防范能力，本文就針對網絡安全計算環境中入侵防范要求進行解讀。

一、安全計算環境要求解讀

1、基本要求

安全計算環境主要對象為邊界內部的所有對象，涉及的安全控制點包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份恢復、剩余信息保護、個人信息保護。以下將以三級保護對象為例，描述漏洞掃描類防護產品在入侵防范控制點的應用。

2、高風險項解讀

針對互聯網設備及內網設備的漏洞要定期進行掃描，發現已知漏洞并及時進行修復，可以有效地阻斷外部的威脅，防止高危漏洞帶來的潛在風險，提升各類設備及系統抵御安全風險的能力。

二、安全要求對標

三、合規產品應用部署示例

1、部署示例

漏洞掃描類防護產品一般建議旁路部署在安全管理中心位置，針對網絡中設備、服務器等資產進行漏洞掃描，發現安全漏洞和隱患并提供修補建議，詳細部署如下圖所示：

圖1 漏洞掃描類防護設備部署示意圖

2、等保合規扣分占比

以三級系統單個測評對象為示例，三級系統共計232個控制點。

假設所有項都為適用項，技術部分與管理部分各占50%，技術部分總分為100分（單項基準分為100/232），以下為其扣分情況：

從綜合扣分情況看，漏洞掃描類防護產品對于重要業務及關鍵網絡節點占比達到0.4310/100=0.4310%，雖然在測評中得分占比不高，但是考慮到網絡安全中的多樣化的攻擊手段，使用漏洞掃描類防護產品可以幫助用戶增強“漏洞管理”，幫助用戶側重“修復能力”，實現問題的事前修復。因此，建議企業在網絡安全建設中關注漏洞掃描類相關防護產品，提升安全防護能力。

四、合規產品實際應用擴展建議

在等保合規的基礎上，為了更大的發揮產品的作用，建議在選購對應的漏洞掃描類防護的合規產品時，仍需關注如下部分能力：

1、關注掃描對象的豐富性

關注產品的掃描能力，強調其掃描對象的豐富性，例如可掃描操作系統、網絡設備、數據庫系統、安全設備、應用系統、工控設備等。

2、關注產品的安全能力

漏洞掃描類防護產品的安全防護能力與其強大的漏洞知識庫息息相關，是否包含經CNNVD認證的多類系統漏洞，是否覆蓋了當前網絡環境中重要的、主流的系統和數據庫漏洞，并能夠根據網絡環境變化及時調整更新，確保漏洞識別的全面性和時效性，這些產品能力建議企業在選購時多加關注。

3、關注掃描效率

漏洞掃描類防護產品在使用過程中，建議企業用戶綜合評估探測速度及安全性，例如是否綜合運用多種探測技術（例如預探測、漸進式、多線程的掃描技術等），采用多線程進行并發掃描等，確保高安全性下的高效運維。