网络安全等级保护时代更加有效的网络安全手段-近源防护

网络安全等级保护标准更加注重主动防御。网络安全等级保护从被动防御到事前、事中、事后全流程的安全，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制系统的全覆盖。企业应该要用更加有效的网络安全手段来面对网络安全等级保护。

亿林数据通过研究发现，在很多技术理念上，等级保护2.0都有了巨大的变化，比如“源地址”访问控制问题。当我们把防御的视线从边界转向内网，很多安全思路都会发生变化，网络安全等级保护时代，我们可以用更有效的对抗手段来应对可能的安全威胁。

首先，面对网络安全等级保护，我们必须得控源，因为当我们做面向互联网边界安全的时候，很难对源进行控制，因为你完全不知道谁会访问你，你只能对内部的服务进行访问控制。为了应对这个挑战，业界发展出了威胁情报技术，于是我们可以在边界上加一些黑名单，这样会对边界安全有所帮助，但它最终也无法回答究竟谁是好人，所以在互联网边界，白名单是不可行的。

但是，在行业性专网或者纯粹的内网，情况是不一样的。无论是访问者还是服务者都是已知的，都是可以被管理的。面对网络安全等级保护，我们完全可以有更有效的管理手段，也就是基于源地址的白名单访问控制。我们可以只对明确认识的人开放服务，在内部环境中有无数种办法对一个终端的身份进行验证，相较于黑名单绕过而言，白名单欺骗无疑要难的多。

网络安全等级保护时代，除了可以对源地址进行限定外，更重要的是，在一个完全可控的网络内，我们不仅可以在近服务侧的位置进行访问控制，还可以在整个网络的所有可能位置对访问进行控制，尤其是可以做到“近源防护”。比如说一台主机要进行超越其业务需求的445端口访问，那么除了在开放相关服务的服务器前进行阻拦，我们还可以在其接入处的隔离设备上直接对其进行阻拦，因为这台机器的业务需求是已知的，它的业务路径也是已知的，我们可以在全路径上对其进行访问控制。

所以，在可控的网络内（专网/内网）对源进行白名单访问控制，显然是更有效的防护手段。遗憾的是，我们看到了太多的真实案例中，用户在内网仍然延续了互联网边界的安全策略，只对被保护对象进行基于目的地址的访问控制，某种意义上说，这就是一种自废武功的防御策略，我们本来可以打造出一个天罗地网，而实际上只是建构了几个孤立的碉堡。这不利于企业应对网络安全等级保护。

网络安全等级保护确实是这个时代我国网络安全工作的智慧结晶，展现出了很高的理论和技术水平。网络安全等级保护2.0之前的等级保护1.0（GB/T22239-2008）中，在“网络安全”的“访问控制章节“中，并未明确指出要对源地址做访问控制。而在等级保护2.0（GB/T22239-2019）中，在“安全区域边界”的“访问控制”章节中则明确强调：“要对源地址，目的地址，源端口，目的端口和协议等进行检查，以允许/拒绝数据包进出”（8.1.3.2 c）。同时还指出：“默认情况下除允许通信外受控接口拒绝所有通信”（8.1.3.2 a）。网络安全等级保护明明白白的指出在网络内部应该进行白名单访问控制。当然，针对”8.1.3.2 a”可能会产生一个漏洞，那就是——什么才算允许通信呢？管理员是否可以允许所有通信呢？关于这一漏洞，网络安全等级保护用另一条要求予以回答：“应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化”（8.1.3.2 b）。这同样是一条在网络安全等级保护里新加入的规则，因为在黑名单机制下，这条要求基本没什么意义。阻断规则多一些，并不会对安全造成影响，最多就是会拖慢网络速度，因此，过去的策略优化主要是从效率的角度进行的，而不是从安全的角度进行的。但是在网络安全等级保护制度下，在白名单模式下，策略集的最小化就有了非常重要的意义。因为此时的策略都是关于对已知访问源和已知服务的“允许“规则，那么这个策略集一定是越小越好，应该将最少的服务开放给最少的人，这样才是最安全的做法。