近源防护，等保2.0时代更加有效的网络安全手段

等保2.0标准更加注重主动防御。等保2.0从被动防御到事前、事中、事后全流程的安全，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动 互联网 和工业控制系统的全覆盖。企业应该要用更加有效的网络安全手段来面对等保2.0。

作为国内知名网络安全厂商，蔷薇灵动通过研究发现，在很多技术理念上，等级保护2.0都有了巨大的变化，比如“源地址”访问控制问题。当我们把防御的视线从边界转向内网，很多安全思路都会发生变化，等保2.0时代，我们可以用更有效的对抗手段来应对可能的安全威胁。

首先，面对等保2.0，我们必须得控源，因为当我们做面向互联网边界安全的时候，很难对源进行控制，因为你完全不知道谁会访问你，你只能对内部的服务进行访问控制。为了应对这个挑战，业界发展出了威胁情报技术，于是我们可以在边界上加一些黑名单，这样会对边界安全有所帮助，但它最终也无法回答究竟谁是好人，所以在互联网边界，白名单是不可行的。

但是，在行业性专网或者纯粹的内网，情况是不一样的。无论是访问者还是服务者都是已知的，都是可以被管理的。面对等保2.0，我们完全可以有更有效的管理手段，也就是基于源地址的白名单访问控制。我们可以只对明确认识的人开放服务，在内部环境中有无数种办法对一个终端的身份进行验证，相较于黑名单绕过而言，白名单欺骗无疑要难的多。

等保2.0时代，除了可以对源地址进行限定外，更重要的是，在一个完全可控的网络内，我们不仅可以在近服务侧的位置进行访问控制，还可以在整个网络的所有可能位置对访问进行控制，尤其是可以做到“近源防护”。比如说一台主机要进行超越其业务需求的445端口访问，那么除了在开放相关服务的服务器前进行阻拦，我们还可以在其接入处的隔离设备上直接对其进行阻拦，因为这台机器的业务需求是已知的，它的业务路径也是已知的，我们可以在全路径上对其进行访问控制。

所以，在可控的网络内（专网/内网）对源进行白名单访问控制，显然是更有效的防护手段。遗憾的是，我们看到了太多的真实案例中，用户在内网仍然延续了互联网边界的安全策略，只对被保护对象进行基于目的地址的访问控制，某种意义上说，这就是一种自废武功的防御策略，我们本来可以打造出一个天罗地网，而实际上只是建构了几个孤立的碉堡。这不利于企业应对等保2.0。

等保2.0确实是这个时代我国网络安全工作的智慧结晶，展现出了很高的理论和技术水平。等保2.0之前的等级保护1.0（GB/T22239-2008）中，在“网络安全”的“访问控制章节“中，并未明确指出要对源地址做访问控制。而在等级保护2.0（GB/T22239-2019）中，在“安全区域边界”的“访问控制”章节中则明确强调：“要对源地址，目的地址，源端口，目的端口和协议等进行检查，以允许/拒绝数据包进出”（8.1.3.2 c）。同时还指出：“默认情况下除允许通信外受控接口拒绝所有通信”（8.1.3.2 a）。等保2.0明明白白的指出在网络内部应该进行白名单访问控制。当然，针对”8.1.3.2 a”可能会产生一个漏洞，那就是——什么才算允许通信呢？管理员是否可以允许所有通信呢？关于这一漏洞，等保2.0用另一条要求予以回答：“应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化”（8.1.3.2 b）。这同样是一条在等保2.0里新加入的规则，因为在黑名单机制下，这条要求基本没什么意义。阻断规则多一些，并不会对安全造成影响，最多就是会拖慢网络速度，因此，过去的策略优化主要是从效率的角度进行的，而不是从安全的角度进行的。但是在等保2.0制度下，在白名单模式下，策略集的最小化就有了非常重要的意义。因为此时的策略都是关于对已知访问源和已知服务的“允许“规则，那么这个策略集一定是越小越好，应该将最少的服务开放给最少的人，这样才是最安全的做法。

一方面，等保2.0在安全防御理念上取得了长足的进步；另一方面，等保2.0也对网络安全的管理工作提出了远超过去的要求。在过去，如果在系统的关键节点处部署了防火墙，然后针对一些已知威胁配置了一些黑名单策略，那么基本就符合了等级保护的要求。但是在等保2.0时代则明确对访问策略做了白名单化要求。这意味着管理员必须对内网业务完全掌握，必须对全部资产完全掌握，必须对每一个终端设备的业务访问需求完全掌握，对业务之间的关系要完全掌握，并且还要保证，在这个网络发生任何风吹草动（业务调整，上下线，终端增减等等）时，能及时准确的做出策略重构。