等保测评之安全区域边界
安全区域边界
1. 边界防护
a)应保证跨越边界的访问和数据流通过边界设备提供的受控接⼝进⾏通信; 1)应核查⽹络拓扑图与实际的⽹络链路是否⼀致,是否明确了⽹络边界,且明确边界设备端⼝。 2)应核查路由配置信息及边界设备配置信息,确认是否指定物理端⼝进⾏跨越边界的⽹络通信。
以Cisco I0S为例,输⼊命令“router#show running - config”,查看相关配置。 3)应采⽤其他技术⼿段核查是否不存在其他未受控端⼝进⾏跨越边界的⽹络通信,例如检测⽆线访问情况,可使⽤⽆线嗅探器、⽆线⼊侵检测/防御系统、⼿持式⽆线信号检测系统等相关⼯具进⾏检测 b)应能够对⾮授权设备私⾃联到内部⽹络的⾏为进⾏检查或限制;
1)应访谈⽹络管理员,询问采⽤何种技术⼿段或管理措施对⾮授权设备私⾃联到内部⽹络的⾏为进⾏管控,并在⽹络管理员的配合下验证其有效性
2)应核查所有路由器和交换机等设备闲置端⼝是否均已关闭。
以Cisco I0S为例,输⼊命令""show ip interfaces brief”
3)如通过部署内⽹安全管理系统实现系统准⼊,应检查各终端设备是否统⼀进⾏了部署,是否存在不可控特殊权限接⼊设备
4)如果采⽤了IP/MAC地址绑定的⽅式进⾏准⼊控制,应核查接⼊层⽹络设备是否配置了IP/MAC地址绑定等措施
以Cisco I0S为例,输⼊命令""show ip arp”
c)应能够对内部⽤户⾮授权联到外部⽹络的⾏为进⾏检查或限制;
1)应核查是否采⽤内⽹安全管理系统或其它技术⼿段,对内部⽤户⾮授权连接到外部⽹络的⾏为进⾏限制或检查
2)应核查是否限制终端设备相关端⼝的使⽤,如禁⽤双⽹卡、USB接⼝、Modem、⽆线⽹络等,防⽌内部⽤户⾮授权外连⾏为
d)应限制⽆线⽹络的使⽤,保证⽆线⽹络通过受控的边界设备接⼊内部⽹络;
1)应访谈⽹络管理员是否有授权的⽆线⽹络,是否单独组⽹后接⼊到有线⽹络
2)应核查⽆线⽹络部署⽅式,是否部署⽆线接⼊⽹关,⽆线⽹络控制器等设备。应检查该类型设备配置是否合理,如⽆线⽹络设备信道使⽤是否合理,⽤户⼝令是否具备⾜够强度、 是否使⽤WPA2加密⽅式等喇叭网罩
3)应核查⽹络中是否部署了对⾮授权⽆线设备管控措施,能够对⾮授权⽆线设备进⾏检查、屏蔽。如使⽤⽆线嗅探器、⽆线⼊侵检测/防御系统、⼿持式⽆线信号检测系统等相关⼯具进⾏检测、限制
2.访问控制
a)应在⽹络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接⼝拒绝所有通信;
1)应核查在⽹络边界或区域之间是否部署访问控制设备,是否启⽤访问控制策略
2)应核查设备的访问控制策略是否为⽩名单机制,仅允许授权的⽤户访问⽹络资源,禁⽌其他所有的⽹络访问⾏为
3)应该检查配置的访问控制策略是否实际应⽤到相应的接⼝的进或出⽅向。
以Cisco I0S为例,输⼊命令"""“Show running-config”",检查配置⽂件中访问控制策略
b)应删除多余或⽆效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最⼩化;
1)应访谈安全管理员访问控制策略配置情况,核查相关安全设备的访问控制策略与业务及管理需求的⼀致性,结合策略命中数分析策略是否有效
2)应检查访问控制策略中是否已禁⽌了全通策略或端⼝、地址限制范围过⼤的策略。
3)应核查设备的不同访问控制策略之间的逻辑关系是否合理。
以Cisco IOS为例,输⼊命令”show running-config“,检查配置⽂件中访问控制列表配置项
水田打浆机
c)应对源地址、⽬的地址、源端⼝、⽬的端⼝和协议等进⾏检查,以允许/拒绝数据包进出;
1)应核查设备中访问控制策略是否明确设定了源地址、⽬的地址、源端⼝、⽬的端只和协议等相关配置参数。
以Ciso IOS为例 拒绝所有从172.16.4.0到172.16.3.0的ftp通信流量通过F0/0接⼝,输⼊命令:”show running-config“,检查配置⽂件中访问控制列表配置项
d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能⼒;
1)应核查状态检测防⽕墙访问控制策略中是否明确设定了源地址、⽬的地址、源端⼝、⽬的端⼝和协议
以Cisco IOS为例,输⼊命令: show running0-config.
"
e)应对进出⽹络的数据流实现基于应⽤协议和应⽤内容的访问控制;
1)应核查在关键⽹络节点处是否部署访问控制设备
2)应检查访问控制设备是否配置了相关策略,对应⽤协议、应⽤内容进⾏访问控制,并对策略有效性进⾏测试
3. ⼊侵防范
a)应在关键⽹络节点处检测、防⽌或限制从外部发起的⽹络攻击⾏为;
1)应核查相关系统或设备是否能够检测从外部发起的⽹络玫击⾏为
2)应核查相关系统或设备的规则库版本是否已经更新到最新版本
3)应核查相关系统或设备配置信息或安全策略是否能够覆盖⽹络所有关键节点
4. 应测试验证相关系统或设备的安全策略是否有效
b)应在关键⽹络节点处检测、防⽌或限制从内部发起的⽹络攻击⾏为;
1)应核查相关系统或设备是否能够检测到从内部发起的⽹络攻击⾏为
2)应核查相关系统或设备的规则库版本是否已经更新到最新版本
3)应核查相关系统或设备配置信息或安全策略是否能够覆盖⽹络所有关键节点
4)应测试验证相关系统或设备的安全策略是否有效
c)应采取技术措施对⽹络⾏为进⾏分析,实现对⽹络攻击特别是新型⽹络攻击⾏为的分析;
1)应核查是否部署回溯系统或抗APT攻击系统,实现对新型⽹络攻击⾏为进⾏检测和分析
2)应核查相关系统或设备的的规则库版本是否已经更新到最新版本
3)应测试验证是否对⽹络⾏为进⾏分析,实现对⽹络攻击特别是未知的新型⽹络攻击的检测和分析
d)当检测到攻击⾏为时,记录攻击源 IP、攻击类型、攻击⽬标、攻击时间,在发⽣严重⼊侵事件时应提供报警;
1)访谈⽹络管理员和查看⽹络拓扑结构,查看在⽹络边界处是否部署了包含⼊侵防范功能的设备。如果部署了相应设备,则检查设备的⽇志记录,查看是否记录了攻击源IP、攻击类型、攻击⽬的和攻击时间等信息,查看设备采⽤何种⽅式进⾏报警
2)应测试验证相关系统或设备的报警策略是否有效
4. 恶意代码和垃圾邮件防范
a)应在关键⽹络节点处对恶意代码进⾏检测和清除,并维护恶意代码防护机制的升级和更新;
1)应访谈⽹络管理员和检查⽹络拓结构,查看在⽹络边界处是否部署了防恶意代码产品。如果部署了相关产品,则查看是否启⽤了恶意代码检测并查看⽩志记录中是否有相关阻断信息
2)应访谈⽹络管理员,是否对防恶意代码产品的特征库进升级及具体的升级⽅式,并登录相应的防恶意代码产品,核查其特征库升级情况,当前是否为最新版本
3)应测试验证相关系统或设备的安全策略是否有效
b)应在关键⽹络节点处对垃圾邮件进⾏检测和防护,并维护垃圾邮件防护机制的升级和更新;
1)应核查在关键⽹络节点处是否部署了防垃圾邮件设备或系统
2)应核查防垃圾邮件产品运⾏是否正常,防垃投邮件规则库是否已经更新到最新
3)应测试验证相关系统或设备的安全策略是否有效录播服务
5. 安全审计
a)应在⽹络边界、重要⽹络节点进⾏安全审计,审计覆盖到每个⽤户,对重要的⽤户⾏为和重要安全事件进⾏审计;
1)核查是否部署了综合安全审计系统或类似功能的系统平台
2)核查安全审计范围是否覆盖到每个⽤户并对重要的⽤户⾏为和重要安全事件进⾏了审计
烘手机b)审计记录应包括事件的⽇期和时间、⽤户、事件类型、事件是否成功及其他与审计相关的信息;
1)核查审计记录信意是否包括事件的⽇期和时间、⽤户、事件类型、事件是否成功及其他与审计相关的信息。
-般来说,对于主流路由器和交换机设备,可以实现对系统错误、⽹络和接⼝的变化、登录失败、ACL匹配等进⾏审计,审计内容向括了时间、类型、⽤户等相关信息。因此,只要这些路由器和交换机设备启⽤审计功能就能符合该项要求。但对于防⽕墙等安全设备来说,由于其访同控制策略命中⽇志需要⼿动启⽤,因此应重点核查其访问控制策命中⽇志是否启⽤
c)应对审计记录进⾏保护,定期备份,避免受到未预期的删除、修改或覆盖等;
1)核查是否采取了技术措施对审计记录进⾏保护
2)核查审计记录的备份机制和备份策略是否合理
d)应能对远程访问的⽤户⾏为、访问互联⽹的⽤户⾏为等单独进⾏⾏为审计和数据分析;
准入控制系统1)核查是否对远程访问⽤户及互联风访问⽤户⾏为单独进⾏审计分析,并核查审计分析的记录是否包含了⽤于管理远程访同⾏为、访问互联⽹⽤户⾏为必要的信息
6.可信验证
聚氨酯筒料a)可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应⽤程序等进⾏可信验证,并在应⽤程序的关键执⾏环节进⾏动态可信验证,在检测到其可信性受到破坏后进⾏报警,并将验证结果形成审计记录送⾄安全管理中⼼;
1)应核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和关键应⽤程序等进⾏可信验证
2)应核查是否应⽤程序的关键执⾏环节进⾏动态可信验证
3)应测试验证当检测到设备的可信性受到破坏后是否进⾏报警
4)应测试验证结果是否以审计记录形式送⾄安全管理中⼼
1)边界设备(⽹闸、防⽕墙、交换机、路由器或其他边界防护设备)具有可信根芯⽚或硬件
2)启动过程基于可信根对系统引导程序、系统程序、重要配置参数和关键应⽤程序等进⾏可信验证度量
3)在检测到其可信性受到破坏后进⾏报警,并将验证结果形成审计记录送⾄安全管理中⼼
4) 安全管理中⼼可以接收设备的验证结果记录
7.安全扩展要求部分
云服务商
访问控制
a)应在虚拟化⽹络边界部署访问控制机制,并设置访问控制规则;
b)应在不同等级的⽹络区域边界部署访问控制机制,设置访问控制规则;
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议