2022年3月1日，美國國家安全局（NSA）發(fā)布了一份《網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南》技術(shù)報(bào)告。這份網(wǎng)絡(luò)安全技術(shù)報(bào)告旨在向所有組織提供最新的保護(hù)IT網(wǎng)絡(luò)基礎(chǔ)設(shè)施應(yīng)對網(wǎng)絡(luò)攻擊的建議，建議側(cè)重于防止現(xiàn)有網(wǎng)絡(luò)常見漏洞和弱點(diǎn)的設(shè)計(jì)和配置，用于指導(dǎo)網(wǎng)絡(luò)架構(gòu)師和管理員建立網(wǎng)絡(luò)的最佳實(shí)踐。該報(bào)告由NSA網(wǎng)絡(luò)安全局編寫。

　　一

　　發(fā)布背景

　　此前，NSA曾被指出沒有相關(guān)網(wǎng)絡(luò)安全機(jī)構(gòu)，原因在于幾乎從未公開發(fā)表相關(guān)信息。在經(jīng)歷了一系列來自某些國家的高調(diào)黑客攻擊和違規(guī)行為后，該機(jī)構(gòu)認(rèn)為必須提升相關(guān)安全技能，并且同時(shí)設(shè)立相關(guān)組織來幫助某些私營部門。

　　2019年，NSA成立了網(wǎng)絡(luò)安全局，負(fù)責(zé)預(yù)防和消除對美國國家安全系統(tǒng)（NSS）和關(guān)鍵基礎(chǔ)設(shè)施的威脅，最初的重點(diǎn)是國防工業(yè)基地及其服務(wù)提供商。隨后，網(wǎng)絡(luò)安全局利用NSA豐富的信息保障遺產(chǎn)，重新調(diào)整了工作重點(diǎn)，以滿足當(dāng)前和未來的需求。它將NSA網(wǎng)絡(luò)安全任務(wù)的關(guān)鍵部分，如威脅情報(bào)、脆弱性分析、密碼技術(shù)和防御行動進(jìn)行了整合，更加公開透明，旨在提高整個(gè)政府和行業(yè)的網(wǎng)絡(luò)安全門檻，同時(shí)增加美國對手的代價(jià)。

　　網(wǎng)絡(luò)安全局自2019年成立以來，已經(jīng)發(fā)布了50多份網(wǎng)絡(luò)安全報(bào)告。特別地，網(wǎng)絡(luò)安全局利用NSA卓越的技術(shù)能力，針對不斷演變的網(wǎng)絡(luò)安全威脅制定的建議和緩解措施是其中的重要組成?！毒W(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南》技術(shù)報(bào)告，正是網(wǎng)絡(luò)安全局針對國家安全系統(tǒng)、國防部信息系統(tǒng)和國防工業(yè)基地的威脅，制定和發(fā)布的相關(guān)網(wǎng)絡(luò)安全規(guī)范和緩解措施之一，用于指導(dǎo)網(wǎng)絡(luò)架構(gòu)師和管理員建立網(wǎng)絡(luò)的最佳實(shí)踐。

　　二

　　主要內(nèi)容

　　該技術(shù)報(bào)告介紹了總體網(wǎng)絡(luò)安全和保護(hù)單個(gè)網(wǎng)絡(luò)設(shè)備的最佳做法，并指導(dǎo)管理員阻止對手利用其網(wǎng)絡(luò)。該指南是通用的，可以應(yīng)用于多種類型的網(wǎng)絡(luò)設(shè)備。它提供的建議涵蓋網(wǎng)絡(luò)設(shè)計(jì)、設(shè)備密碼和密碼管理、遠(yuǎn)程登錄、安全更新、密鑰交換算法等等。概括起來，有以下主要內(nèi)容：

　　1.網(wǎng)絡(luò)體系架構(gòu)與設(shè)計(jì)采用多層防御

　　報(bào)告認(rèn)為，實(shí)現(xiàn)多層防御的安全網(wǎng)絡(luò)設(shè)計(jì)對于抵御威脅和保護(hù)網(wǎng)絡(luò)中的資源至關(guān)重要。無論網(wǎng)絡(luò)外設(shè)還是內(nèi)部設(shè)備，其設(shè)計(jì)均應(yīng)該遵循安全最佳實(shí)踐和典型零信任原則。對此，報(bào)告建議：（1）在網(wǎng)絡(luò)周邊配置和安裝安全設(shè)備；（2）將網(wǎng)絡(luò)中的類似系統(tǒng)邏輯組合在一起，以防止其他類型系統(tǒng)的對抗性橫向移動；（3）取消所有后門網(wǎng)絡(luò)連接，并在使用多個(gè)網(wǎng)絡(luò)接口連接設(shè)備時(shí)謹(jǐn)慎使用；（4）采用嚴(yán)格的外設(shè)訪問控制策略；（5）實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制（NAC）解決方案，以識別和驗(yàn)證連接到網(wǎng)絡(luò)的唯一設(shè)備；（6）限制和加密虛擬專用網(wǎng)（VPN）。

　　2.定期進(jìn)行安全維護(hù)

　　報(bào)告認(rèn)為，過時(shí)的硬件和軟件可能包含已知的漏洞，并為對手利用網(wǎng)絡(luò)提供了一種簡單的機(jī)制。通過定期將硬件和軟件升級到供應(yīng)商支持的更新版本，可以緩解這些漏洞。對此，報(bào)告建議：（1）驗(yàn)證軟件和配置的完整性；（2）維護(hù)正確的文件系統(tǒng)和引導(dǎo)管理；（3）維護(hù)軟件和操作系統(tǒng)的及時(shí)升級更新；（4）對開發(fā)商提供的過時(shí)或不受支持的硬件設(shè)備應(yīng)立即升級或更換，以確保網(wǎng)絡(luò)服務(wù)和安全支持的可用性。

　　3.采用認(rèn)證、授權(quán)和審計(jì)來實(shí)施訪問控制并減少維護(hù)

　　報(bào)告認(rèn)為，集中式認(rèn)證、授權(quán)和審計(jì)（AAA）服務(wù)器可提高訪問控制的一致性，減少配置維護(hù)，降低管理成本。對此，報(bào)告建議：（1）實(shí)現(xiàn)集中式服務(wù)器；（2）配置集中式的認(rèn)證、授權(quán)和審計(jì)（AAA）；（3）運(yùn)用最小特權(quán)原則；（4）限制身份驗(yàn)證嘗試的次數(shù)。

　　4.創(chuàng)建具有復(fù)雜口令的唯一本地賬戶

　　報(bào)告認(rèn)為，本地賬戶對于網(wǎng)絡(luò)設(shè)備的管理至關(guān)重要。對此，報(bào)告建議：（1）使用唯一的用戶名和賬戶設(shè)置；（2）更改默認(rèn)口令；（3）刪除不必要的賬戶；（4）采用個(gè)人賬戶；（5）使用最安全的算法存儲設(shè)備上的所有口令；（6）為所有級別的訪問（包括用戶訪問和特權(quán)級別訪問）分配唯一和復(fù)雜的口令；（7）為每個(gè)設(shè)備上的每個(gè)賬戶和特權(quán)級別分配唯一、復(fù)雜和安全口令；（8）根據(jù)需要更改口令。

　　5.實(shí)施遠(yuǎn)程記錄和監(jiān)控

　　報(bào)告認(rèn)為，日志記錄是記錄設(shè)備活動和跟蹤網(wǎng)絡(luò)安全事件的重要機(jī)制，為管理員提供了檢查可疑活動日志和調(diào)查事件的能力。對此，報(bào)告建議：啟用日志，至少建立兩個(gè)遠(yuǎn)程集中日志服務(wù)器，以確保設(shè)備日志消息的監(jiān)視、冗余和可用性；將每個(gè)設(shè)備上的陷阱和緩沖區(qū)日志級別至少設(shè)置系統(tǒng)日志的“信息”級別，以收集所有必要的信息；每個(gè)設(shè)備和遠(yuǎn)程日志服務(wù)器至少使用兩個(gè)可信賴和可靠的時(shí)間服務(wù)器，以確保信息的準(zhǔn)確性和可用性，等等。

　　6.實(shí)施遠(yuǎn)程管理和網(wǎng)絡(luò)業(yè)務(wù)

　　報(bào)告認(rèn)為，管理員可通過SSH、HTTP、SNMP和FTP等各種業(yè)務(wù)對網(wǎng)絡(luò)設(shè)備實(shí)施遠(yuǎn)程管理，而這些業(yè)務(wù)也是對手利用和獲得對設(shè)備的特權(quán)級別訪問的攻擊目標(biāo)。為此，報(bào)告建議：使用加密業(yè)務(wù)保護(hù)網(wǎng)絡(luò)通信，并禁用所有明文管理業(yè)務(wù)；確保足夠的加密強(qiáng)度；使用最新版本的協(xié)議，并適當(dāng)啟用安全設(shè)置；限制對業(yè)務(wù)的訪問；設(shè)置可接受的超時(shí)時(shí)間；使傳輸控制協(xié)議保持可用狀態(tài)；禁用出站連接；禁用每個(gè)設(shè)備上的所有不必要的業(yè)務(wù)，禁用特定接口上的發(fā)現(xiàn)協(xié)議，等等。

　　7.配置網(wǎng)絡(luò)應(yīng)用路由器以對抗惡意濫用

　　報(bào)告認(rèn)為，如果路由器本身或動態(tài)選路協(xié)議配置不當(dāng)，則可能讓對手將數(shù)據(jù)包重定向到不同的目的地，從而使敏感數(shù)據(jù)被收集、操縱或丟棄，這將違反機(jī)密性、完整性或可用性。對此，報(bào)告建議：禁用所有設(shè)備上的IP源路由；在外圍路由器的外部接口上啟用單播反向路徑轉(zhuǎn)發(fā)（URPF）；啟用路由認(rèn)證，等等。

　　8.正確配置接口端口

　　報(bào)告認(rèn)為，正確配置的接口端口可以防止對手對網(wǎng)絡(luò)實(shí)施攻擊嘗試。對此，報(bào)告建議：禁用動態(tài)中繼；啟用端口安全；禁用默認(rèn)VLAN ；禁用未使用的端口；禁用端口監(jiān)視；禁用代理地址解析協(xié)議（ARP），等等。

　　三

　　幾點(diǎn)分析

　　該技術(shù)報(bào)告有以下幾個(gè)特點(diǎn)：

　　1.建議詳盡且具有可操作性

　　該份技術(shù)報(bào)告從多個(gè)不同維度對網(wǎng)絡(luò)架構(gòu)師和管理員給出指導(dǎo)，每個(gè)維度下均有具體的細(xì)分建議。本報(bào)告中的指導(dǎo)建議對于客戶評估其網(wǎng)絡(luò)和即時(shí)加固網(wǎng)絡(luò)設(shè)備，無論是從深度和廣度上均具有充分性。管理員除了必要的維護(hù)功能外，還在防御網(wǎng)絡(luò)對抗敵對威脅方面發(fā)揮著關(guān)鍵作用。遵循這一指導(dǎo)意見將有助于這些網(wǎng)絡(luò)維護(hù)者將網(wǎng)絡(luò)安全最佳做法付諸行動，降低受到損害的風(fēng)險(xiǎn)，并確保網(wǎng)絡(luò)更加安全和得到更好的保護(hù)。這些建議是NSA網(wǎng)絡(luò)專家對于網(wǎng)絡(luò)設(shè)計(jì)配置給出的最佳實(shí)踐指南，具有很強(qiáng)的可操作性。

　　2.支持零信任模式

　　該報(bào)告同時(shí)提到了零信任架構(gòu)，這是一種假設(shè)網(wǎng)絡(luò)內(nèi)外都存在威脅并持續(xù)驗(yàn)證用戶、設(shè)備和數(shù)據(jù)的安全模型。利用零信任原則，系統(tǒng)管理員可以控制用戶、進(jìn)程和設(shè)備如何使用數(shù)據(jù)。這些原則可以防止濫用受損的用戶憑據(jù)、遠(yuǎn)程利用或內(nèi)部威脅，甚至可以減輕供應(yīng)鏈攻擊的影響。白宮的指導(dǎo)規(guī)定，所有聯(lián)邦機(jī)構(gòu)都必須采用這種安全模式，并將其放在首位。NSA表示完全支持零信任安全模式，但隨著系統(tǒng)所有者引入新的網(wǎng)絡(luò)設(shè)計(jì)以實(shí)現(xiàn)更成熟的零信任原則，報(bào)告中的指導(dǎo)可能需要修改。

　　3.與相關(guān)技術(shù)指南和管理政策保持高度一致性

　　該份技術(shù)報(bào)告里面涉及的相關(guān)內(nèi)容與CISA 2022年發(fā)布的“通過分段分層網(wǎng)絡(luò)安全”、NSA 2019年發(fā)布的“分部網(wǎng)絡(luò)和部署應(yīng)用程序感知防御”、NSA 2021年發(fā)布的“選擇和強(qiáng)化遠(yuǎn)程訪問VPN解決方案”、NSA 2020年發(fā)布的“配置IPsec虛擬專用網(wǎng)絡(luò)”、NSA 2019年發(fā)布的“緩解最近VPN漏洞”、管理和預(yù)算辦公室2021年發(fā)布的“提高聯(lián)邦政府對網(wǎng)絡(luò)安全事件的調(diào)查和補(bǔ)救能力”等技術(shù)指南具有相關(guān)繼承性；同時(shí)，該技術(shù)報(bào)告遵循了拜登政府2021年發(fā)布的行政命令14028“改善國家的網(wǎng)絡(luò)安全”、DISA和NSA 2021年發(fā)布的“國防部零信任參考體系架構(gòu)”以及NSA 2021年發(fā)布的“擁抱零信任安全模式”等相關(guān)政策和戰(zhàn)略思想?？梢钥闯觯琋SA在制定和實(shí)施改善國家網(wǎng)絡(luò)安全的行政命令方面發(fā)揮了重要作用。

　　四

　　結(jié) 　語

　　目前，NSA已經(jīng)轉(zhuǎn)型為網(wǎng)絡(luò)安全界的一個(gè)開放型領(lǐng)導(dǎo)機(jī)構(gòu)。2021年，NSA發(fā)起了多個(gè)合作論壇，在非密、秘密和絕密級別與NSS、關(guān)鍵基礎(chǔ)設(shè)施和重要資源機(jī)構(gòu)分享威脅、脆弱性和緩解措施。

　　在過去一年中，針對對手當(dāng)前使用的戰(zhàn)術(shù)和技術(shù)，NSA總共發(fā)布了23份報(bào)告，其中有12份報(bào)告是與一個(gè)或多個(gè)合作伙伴共同完成。通過與美國政府和私營部門的合作，NSA和合作伙伴能夠分享更全面的威脅理解和最頂層的防御行動。2022年，NSA已發(fā)布了多份報(bào)告及技術(shù)指南，《網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南》是其中一份建議；未來，NSA將會發(fā)布更多的指南、實(shí)踐與政策，值得持續(xù)關(guān)注。