美國國家安全局發布網絡基礎設施安全指南

2022年3月1日，美國國家安全局（NSA）發布了一份《網絡基礎設施安全指南》技術報告。這份網絡安全技術報告旨在向所有組織提供最新的保護IT網絡基礎設施應對網絡攻擊的建議，建議側重于防止現有網絡常見漏洞和弱點的設計和配置，用于指導網絡架構師和管理員建立網絡的最佳實踐。該報告由NSA網絡安全局編寫。

一發布背景

此前，NSA曾被指出沒有相關網絡安全機構，原因在于幾乎從未公開發表相關信息。在經歷了一系列來自某些國家的高調黑客攻擊和違規行為后，該機構認為必須提升相關安全技能，并且同時設立相關組織來幫助某些私營部門。

2019年，NSA成立了網絡安全局，負責預防和消除對美國國家安全系統（NSS）和關鍵基礎設施的威脅，最初的重點是國防工業基地及其服務提供商。隨后，網絡安全局利用NSA豐富的信息保障遺產，重新調整了工作重點，以滿足當前和未來的需求。它將NSA網絡安全任務的關鍵部分，如威脅情報、脆弱性分析、密碼技術和防御行動進行了整合，更加公開透明，旨在提高整個政府和行業的網絡安全門檻，同時增加美國對手的代價。

網絡安全局自2019年成立以來，已經發布了50多份網絡安全報告。特別地，網絡安全局利用NSA卓越的技術能力，針對不斷演變的網絡安全威脅制定的建議和緩解措施是其中的重要組成。《網絡基礎設施安全指南》技術報告，正是網絡安全局針對國家安全系統、國防部信息系統和國防工業基地的威脅，制定和發布的相關網絡安全規范和緩解措施之一，用于指導網絡架構師和管理員建立網絡的最佳實踐。

二主要內容

該技術報告介紹了總體網絡安全和保護單個網絡設備的最佳做法，并指導管理員阻止對手利用其網絡。該指南是通用的，可以應用于多種類型的網絡設備。它提供的建議涵蓋網絡設計、設備密碼和密碼管理、遠程登錄、安全更新、密鑰交換算法等等。概括起來，有以下主要內容：

1.網絡體系架構與設計采用多層防御

報告認為，實現多層防御的安全網絡設計對于抵御威脅和保護網絡中的資源至關重要。無論網絡外設還是內部設備，其設計均應該遵循安全最佳實踐和典型零信任原則。對此，報告建議：（1）在網絡周邊配置和安裝安全設備；（2）將網絡中的類似系統邏輯組合在一起，以防止其他類型系統的對抗性橫向移動；（3）取消所有后門網絡連接，并在使用多個網絡接口連接設備時謹慎使用；（4）采用嚴格的外設訪問控制策略；（5）實現網絡訪問控制（NAC）解決方案，以識別和驗證連接到網絡的唯一設備；（6）限制和加密虛擬專用網（VPN）。

2.定期進行安全維護

報告認為，過時的硬件和軟件可能包含已知的漏洞，并為對手利用網絡提供了一種簡單的機制。通過定期將硬件和軟件升級到供應商支持的更新版本，可以緩解這些漏洞。對此，報告建議：（1）驗證軟件和配置的完整性；（2）維護正確的文件系統和引導管理；（3）維護軟件和操作系統的及時升級更新；（4）對開發商提供的過時或不受支持的硬件設備應立即升級或更換，以確保網絡服務和安全支持的可用性。

3.采用認證、授權和審計來實施訪問控制并減少維護

報告認為，集中式認證、授權和審計（AAA）服務器可提高訪問控制的一致性，減少配置維護，降低管理成本。對此，報告建議：（1）實現集中式服務器；（2）配置集中式的認證、授權和審計（AAA）；（3）運用最小特權原則；（4）限制身份驗證嘗試的次數。

4.創建具有復雜口令的唯一本地賬戶

報告認為，本地賬戶對于網絡設備的管理至關重要。對此，報告建議：（1）使用唯一的用戶名和賬戶設置；（2）更改默認口令；（3）刪除不必要的賬戶；（4）采用個人賬戶；（5）使用最安全的算法存儲設備上的所有口令；（6）為所有級別的訪問（包括用戶訪問和特權級別訪問）分配唯一和復雜的口令；（7）為每個設備上的每個賬戶和特權級別分配唯一、復雜和安全口令；（8）根據需要更改口令。

5.實施遠程記錄和監控

報告認為，日志記錄是記錄設備活動和跟蹤網絡安全事件的重要機制，為管理員提供了檢查可疑活動日志和調查事件的能力。對此，報告建議：啟用日志，至少建立兩個遠程集中日志服務器，以確保設備日志消息的監視、冗余和可用性；將每個設備上的陷阱和緩沖區日志級別至少設置系統日志的“信息”級別，以收集所有必要的信息；每個設備和遠程日志服務器至少使用兩個可信賴和可靠的時間服務器，以確保信息的準確性和可用性，等等。

6.實施遠程管理和網絡業務

報告認為，管理員可通過SSH、HTTP、SNMP和FTP等各種業務對網絡設備實施遠程管理，而這些業務也是對手利用和獲得對設備的特權級別訪問的攻擊目標。為此，報告建議：使用加密業務保護網絡通信，并禁用所有明文管理業務；確保足夠的加密強度；使用最新版本的協議，并適當啟用安全設置；限制對業務的訪問；設置可接受的超時時間；使傳輸控制協議保持可用狀態；禁用出站連接；禁用每個設備上的所有不必要的業務，禁用特定接口上的發現協議，等等。

7.配置網絡應用路由器以對抗惡意濫用

報告認為，如果路由器本身或動態選路協議配置不當，則可能讓對手將數據包重定向到不同的目的地，從而使敏感數據被收集、操縱或丟棄，這將違反機密性、完整性或可用性。對此，報告建議：禁用所有設備上的IP源路由；在外圍路由器的外部接口上啟用單播反向路徑轉發（URPF）；啟用路由認證，等等。

8.正確配置接口端口

報告認為，正確配置的接口端口可以防止對手對網絡實施攻擊嘗試。對此，報告建議：禁用動態中繼；啟用端口安全；禁用默認VLAN ；禁用未使用的端口；禁用端口監視；禁用代理地址解析協議（ARP），等等。

三幾點分析

該技術報告有以下幾個特點：

1.建議詳盡且具有可操作性

該份技術報告從多個不同維度對網絡架構師和管理員給出指導，每個維度下均有具體的細分建議。本報告中的指導建議對于客戶評估其網絡和即時加固網絡設備，無論是從深度和廣度上均具有充分性。管理員除了必要的維護功能外，還在防御網絡對抗敵對威脅方面發揮著關鍵作用。遵循這一指導意見將有助于這些網絡維護者將網絡安全最佳做法付諸行動，降低受到損害的風險，并確保網絡更加安全和得到更好的保護。這些建議是NSA網絡專家對于網絡設計配置給出的最佳實踐指南，具有很強的可操作性。

2.支持零信任模式

該報告同時提到了零信任架構，這是一種假設網絡內外都存在威脅并持續驗證用戶、設備和數據的安全模型。利用零信任原則，系統管理員可以控制用戶、進程和設備如何使用數據。這些原則可以防止濫用受損的用戶憑據、遠程利用或內部威脅，甚至可以減輕供應鏈攻擊的影響。白宮的指導規定，所有聯邦機構都必須采用這種安全模式，并將其放在首位。NSA表示完全支持零信任安全模式，但隨著系統所有者引入新的網絡設計以實現更成熟的零信任原則，報告中的指導可能需要修改。

3.與相關技術指南和管理政策保持高度一致性

該份技術報告里面涉及的相關內容與CISA 2022年發布的“通過分段分層網絡安全”、NSA 2019年發布的“分部網絡和部署應用程序感知防御”、NSA 2021年發布的“選擇和強化遠程訪問VPN解決方案”、NSA 2020年發布的“配置IPsec虛擬專用網絡”、NSA 2019年發布的“緩解最近VPN漏洞”、管理和預算辦公室2021年發布的“提高聯邦政府對網絡安全事件的調查和補救能力”等技術指南具有相關繼承性；同時，該技術報告遵循了拜登政府2021年發布的行政命令14028“改善國家的網絡安全”、DISA和NSA 2021年發布的“國防部零信任參考體系架構”以及NSA 2021年發布的“擁抱零信任安全模式”等相關政策和戰略思想。可以看出，NSA在制定和實施改善國家網絡安全的行政命令方面發揮了重要作用。

四結 語

目前，NSA已經轉型為網絡安全界的一個開放型領導機構。2021年，NSA發起了多個合作論壇，在非密、秘密和絕密級別與NSS、關鍵基礎設施和重要資源機構分享威脅、脆弱性和緩解措施。

在過去一年中，針對對手當前使用的戰術和技術，NSA總共發布了23份報告，其中有12份報告是與一個或多個合作伙伴共同完成。通過與美國政府和私營部門的合作，NSA和合作伙伴能夠分享更全面的威脅理解和最頂層的防御行動。2022年，NSA已發布了多份報告及技術指南，《網絡基礎設施安全指南》是其中一份建議；未來，NSA將會發布更多的指南、實踐與政策，值得持續關注。