2022年3月1日，美國國家安全局（NSA）發(fā)布了一份《網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南》技術(shù)報告。這份網(wǎng)絡(luò)安全技術(shù)報告旨在向所有組織提供最新的保護IT網(wǎng)絡(luò)基礎(chǔ)設(shè)施應(yīng)對網(wǎng)絡(luò)攻擊的建議,，建議側(cè)重于防止現(xiàn)有網(wǎng)絡(luò)常見漏洞和弱點的設(shè)計和配置,，用于指導(dǎo)網(wǎng)絡(luò)架構(gòu)師和管理員建立網(wǎng)絡(luò)的最佳實踐。該報告由NSA網(wǎng)絡(luò)安全局編寫。

　　一

　　發(fā)布背景

　　此前，NSA曾被指出沒有相關(guān)網(wǎng)絡(luò)安全機構(gòu)，原因在于幾乎從未公開發(fā)表相關(guān)信息,。在經(jīng)歷了一系列來自某些國家的高調(diào)黑客攻擊和違規(guī)行為后，該機構(gòu)認為必須提升相關(guān)安全技能,，并且同時設(shè)立相關(guān)組織來幫助某些私營部門,。

　　2019年，NSA成立了網(wǎng)絡(luò)安全局,，負責預(yù)防和消除對美國國家安全系統(tǒng)（NSS）和關(guān)鍵基礎(chǔ)設(shè)施的威脅,，最初的重點是國防工業(yè)基地及其服務(wù)提供商。隨后,，網(wǎng)絡(luò)安全局利用NSA豐富的信息保障遺產(chǎn),，重新調(diào)整了工作重點，以滿足當前和未來的需求,。它將NSA網(wǎng)絡(luò)安全任務(wù)的關(guān)鍵部分,，如威脅情報、脆弱性分析,、密碼技術(shù)和防御行動進行了整合,，更加公開透明,，旨在提高整個政府和行業(yè)的網(wǎng)絡(luò)安全門檻，同時增加美國對手的代價,。

　　網(wǎng)絡(luò)安全局自2019年成立以來,，已經(jīng)發(fā)布了50多份網(wǎng)絡(luò)安全報告。特別地,，網(wǎng)絡(luò)安全局利用NSA卓越的技術(shù)能力,，針對不斷演變的網(wǎng)絡(luò)安全威脅制定的建議和緩解措施是其中的重要組成?！毒W(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南》技術(shù)報告,，正是網(wǎng)絡(luò)安全局針對國家安全系統(tǒng)、國防部信息系統(tǒng)和國防工業(yè)基地的威脅,，制定和發(fā)布的相關(guān)網(wǎng)絡(luò)安全規(guī)范和緩解措施之一,，用于指導(dǎo)網(wǎng)絡(luò)架構(gòu)師和管理員建立網(wǎng)絡(luò)的最佳實踐。

　　二

　　主要內(nèi)容

　　該技術(shù)報告介紹了總體網(wǎng)絡(luò)安全和保護單個網(wǎng)絡(luò)設(shè)備的最佳做法,，并指導(dǎo)管理員阻止對手利用其網(wǎng)絡(luò),。該指南是通用的，可以應(yīng)用于多種類型的網(wǎng)絡(luò)設(shè)備,。它提供的建議涵蓋網(wǎng)絡(luò)設(shè)計,、設(shè)備密碼和密碼管理、遠程登錄,、安全更新,、密鑰交換算法等等,。概括起來,，有以下主要內(nèi)容：

　　1.網(wǎng)絡(luò)體系架構(gòu)與設(shè)計采用多層防御

　　報告認為，實現(xiàn)多層防御的安全網(wǎng)絡(luò)設(shè)計對于抵御威脅和保護網(wǎng)絡(luò)中的資源至關(guān)重要,。無論網(wǎng)絡(luò)外設(shè)還是內(nèi)部設(shè)備,，其設(shè)計均應(yīng)該遵循安全最佳實踐和典型零信任原則。對此,，報告建議：（1）在網(wǎng)絡(luò)周邊配置和安裝安全設(shè)備,；（2）將網(wǎng)絡(luò)中的類似系統(tǒng)邏輯組合在一起，以防止其他類型系統(tǒng)的對抗性橫向移動,；（3）取消所有后門網(wǎng)絡(luò)連接,，并在使用多個網(wǎng)絡(luò)接口連接設(shè)備時謹慎使用；（4）采用嚴格的外設(shè)訪問控制策略,；（5）實現(xiàn)網(wǎng)絡(luò)訪問控制（NAC）解決方案,，以識別和驗證連接到網(wǎng)絡(luò)的唯一設(shè)備；（6）限制和加密虛擬專用網(wǎng)（VPN）,。

　　2.定期進行安全維護

　　報告認為,，過時的硬件和軟件可能包含已知的漏洞,，并為對手利用網(wǎng)絡(luò)提供了一種簡單的機制。通過定期將硬件和軟件升級到供應(yīng)商支持的更新版本,，可以緩解這些漏洞,。對此，報告建議：（1）驗證軟件和配置的完整性,；（2）維護正確的文件系統(tǒng)和引導(dǎo)管理,；（3）維護軟件和操作系統(tǒng)的及時升級更新；（4）對開發(fā)商提供的過時或不受支持的硬件設(shè)備應(yīng)立即升級或更換,，以確保網(wǎng)絡(luò)服務(wù)和安全支持的可用性,。

　　3.采用認證、授權(quán)和審計來實施訪問控制并減少維護

　　報告認為,，集中式認證,、授權(quán)和審計（AAA）服務(wù)器可提高訪問控制的一致性，減少配置維護,，降低管理成本,。對此，報告建議：（1）實現(xiàn)集中式服務(wù)器,；（2）配置集中式的認證,、授權(quán)和審計（AAA）；（3）運用最小特權(quán)原則,；（4）限制身份驗證嘗試的次數(shù),。

　　4.創(chuàng)建具有復(fù)雜口令的唯一本地賬戶

　　報告認為，本地賬戶對于網(wǎng)絡(luò)設(shè)備的管理至關(guān)重要,。對此,，報告建議：（1）使用唯一的用戶名和賬戶設(shè)置；（2）更改默認口令,；（3）刪除不必要的賬戶,；（4）采用個人賬戶；（5）使用最安全的算法存儲設(shè)備上的所有口令,；（6）為所有級別的訪問（包括用戶訪問和特權(quán)級別訪問）分配唯一和復(fù)雜的口令,；（7）為每個設(shè)備上的每個賬戶和特權(quán)級別分配唯一、復(fù)雜和安全口令,；（8）根據(jù)需要更改口令,。

　　5.實施遠程記錄和監(jiān)控

　　報告認為，日志記錄是記錄設(shè)備活動和跟蹤網(wǎng)絡(luò)安全事件的重要機制,，為管理員提供了檢查可疑活動日志和調(diào)查事件的能力,。對此，報告建議：啟用日志,，至少建立兩個遠程集中日志服務(wù)器,，以確保設(shè)備日志消息的監(jiān)視,、冗余和可用性；將每個設(shè)備上的陷阱和緩沖區(qū)日志級別至少設(shè)置系統(tǒng)日志的“信息”級別,，以收集所有必要的信息,；每個設(shè)備和遠程日志服務(wù)器至少使用兩個可信賴和可靠的時間服務(wù)器，以確保信息的準確性和可用性,，等等,。

　　6.實施遠程管理和網(wǎng)絡(luò)業(yè)務(wù)

　　報告認為，管理員可通過SSH,、HTTP,、SNMP和FTP等各種業(yè)務(wù)對網(wǎng)絡(luò)設(shè)備實施遠程管理，而這些業(yè)務(wù)也是對手利用和獲得對設(shè)備的特權(quán)級別訪問的攻擊目標,。為此,，報告建議：使用加密業(yè)務(wù)保護網(wǎng)絡(luò)通信，并禁用所有明文管理業(yè)務(wù),；確保足夠的加密強度,；使用最新版本的協(xié)議，并適當啟用安全設(shè)置,；限制對業(yè)務(wù)的訪問,；設(shè)置可接受的超時時間；使傳輸控制協(xié)議保持可用狀態(tài),；禁用出站連接,；禁用每個設(shè)備上的所有不必要的業(yè)務(wù)，禁用特定接口上的發(fā)現(xiàn)協(xié)議,，等等,。

　　7.配置網(wǎng)絡(luò)應(yīng)用路由器以對抗惡意濫用

　　報告認為，如果路由器本身或動態(tài)選路協(xié)議配置不當,，則可能讓對手將數(shù)據(jù)包重定向到不同的目的地,，從而使敏感數(shù)據(jù)被收集,、操縱或丟棄,，這將違反機密性、完整性或可用性,。對此,，報告建議：禁用所有設(shè)備上的IP源路由；在外圍路由器的外部接口上啟用單播反向路徑轉(zhuǎn)發(fā)（URPF）,；啟用路由認證,，等等。

　　8.正確配置接口端口

　　報告認為,，正確配置的接口端口可以防止對手對網(wǎng)絡(luò)實施攻擊嘗試,。對此,，報告建議：禁用動態(tài)中繼；啟用端口安全,；禁用默認VLAN ,；禁用未使用的端口；禁用端口監(jiān)視,；禁用代理地址解析協(xié)議（ARP）,，等等。

　　三

　　幾點分析

　　該技術(shù)報告有以下幾個特點：

　　1.建議詳盡且具有可操作性

　　該份技術(shù)報告從多個不同維度對網(wǎng)絡(luò)架構(gòu)師和管理員給出指導(dǎo),，每個維度下均有具體的細分建議,。本報告中的指導(dǎo)建議對于客戶評估其網(wǎng)絡(luò)和即時加固網(wǎng)絡(luò)設(shè)備，無論是從深度和廣度上均具有充分性,。管理員除了必要的維護功能外,，還在防御網(wǎng)絡(luò)對抗敵對威脅方面發(fā)揮著關(guān)鍵作用。遵循這一指導(dǎo)意見將有助于這些網(wǎng)絡(luò)維護者將網(wǎng)絡(luò)安全最佳做法付諸行動,，降低受到損害的風(fēng)險,，并確保網(wǎng)絡(luò)更加安全和得到更好的保護。這些建議是NSA網(wǎng)絡(luò)專家對于網(wǎng)絡(luò)設(shè)計配置給出的最佳實踐指南,，具有很強的可操作性,。

　　2.支持零信任模式

　　該報告同時提到了零信任架構(gòu)，這是一種假設(shè)網(wǎng)絡(luò)內(nèi)外都存在威脅并持續(xù)驗證用戶,、設(shè)備和數(shù)據(jù)的安全模型,。利用零信任原則，系統(tǒng)管理員可以控制用戶,、進程和設(shè)備如何使用數(shù)據(jù),。這些原則可以防止濫用受損的用戶憑據(jù)、遠程利用或內(nèi)部威脅,，甚至可以減輕供應(yīng)鏈攻擊的影響,。白宮的指導(dǎo)規(guī)定，所有聯(lián)邦機構(gòu)都必須采用這種安全模式,，并將其放在首位,。NSA表示完全支持零信任安全模式，但隨著系統(tǒng)所有者引入新的網(wǎng)絡(luò)設(shè)計以實現(xiàn)更成熟的零信任原則,，報告中的指導(dǎo)可能需要修改,。

　　3.與相關(guān)技術(shù)指南和管理政策保持高度一致性

　　該份技術(shù)報告里面涉及的相關(guān)內(nèi)容與CISA 2022年發(fā)布的“通過分段分層網(wǎng)絡(luò)安全”、NSA 2019年發(fā)布的“分部網(wǎng)絡(luò)和部署應(yīng)用程序感知防御”,、NSA 2021年發(fā)布的“選擇和強化遠程訪問VPN解決方案”,、NSA 2020年發(fā)布的“配置IPsec虛擬專用網(wǎng)絡(luò)”、NSA 2019年發(fā)布的“緩解最近VPN漏洞”、管理和預(yù)算辦公室2021年發(fā)布的“提高聯(lián)邦政府對網(wǎng)絡(luò)安全事件的調(diào)查和補救能力”等技術(shù)指南具有相關(guān)繼承性,；同時,，該技術(shù)報告遵循了拜登政府2021年發(fā)布的行政命令14028“改善國家的網(wǎng)絡(luò)安全”、DISA和NSA 2021年發(fā)布的“國防部零信任參考體系架構(gòu)”以及NSA 2021年發(fā)布的“擁抱零信任安全模式”等相關(guān)政策和戰(zhàn)略思想,?？梢钥闯觯琋SA在制定和實施改善國家網(wǎng)絡(luò)安全的行政命令方面發(fā)揮了重要作用,。

　　四

　　結(jié) 　語

　　目前,，NSA已經(jīng)轉(zhuǎn)型為網(wǎng)絡(luò)安全界的一個開放型領(lǐng)導(dǎo)機構(gòu)。2021年,，NSA發(fā)起了多個合作論壇,，在非密、秘密和絕密級別與NSS,、關(guān)鍵基礎(chǔ)設(shè)施和重要資源機構(gòu)分享威脅,、脆弱性和緩解措施。

　　在過去一年中,，針對對手當前使用的戰(zhàn)術(shù)和技術(shù),，NSA總共發(fā)布了23份報告，其中有12份報告是與一個或多個合作伙伴共同完成,。通過與美國政府和私營部門的合作,，NSA和合作伙伴能夠分享更全面的威脅理解和最頂層的防御行動。2022年,，NSA已發(fā)布了多份報告及技術(shù)指南,，《網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南》是其中一份建議；未來,，NSA將會發(fā)布更多的指南,、實踐與政策，值得持續(xù)關(guān)注,。