一、前言
今天我们来说说安全区域边界,顾名思义,安全区域边界就是保障网络边界处,包括网络对外界的边界和内部划分不同区域的交界处,我们的重点就是查看这些边界处是否部署必要的安全设备,包括防火墙、网闸、网关等安全设备,查看这些设备的配置是否合理,满足测评项的测评要求,下面我们言归正传。
二、测评项
2.1.边界防护
a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;
b) 应能够对非授权设备私自连到内部网络的行为进行检查或限制;
c) 应能够对内部用户非授权连到外部网络的行为进行检查或限制;
d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
2.2.访问控制
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;
e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。
2.3.入侵防范
a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;
c) 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;
d) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。
2.4.恶意代码和垃圾邮件防范
a) 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;
b) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
2.5.安全审计
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
2.6.可信验证
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
三、边界防护
3.1.测评项a
a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;
对照网络拓扑图,查看网络边界处包括内部划分的各区域边界处,是否部署访问控制设备;核查安全管理员是否对这些设备具有管理权限;登录设备核查设备是否指定端口对外界进行通信;核查控制策略是否合理。
3.2.测评项b
b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制;
询问网络管理员采用什么安全准入措施,例如Mac-IP绑定、IEEE 802.1x协议、网络准入系统等;查看交换机和路由器是否有闲置的端口未关闭。
建议使用未授权的设备连接内部网络,核查是否有检查或限制。
3.3.测评项c
c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制;
询问网络管理员采用什么方法对内部用户非授权联到外部网络的行为进行检查或限制,例如终端安全管理系统,登录系统查看访问规则是否合理。
建议使用内部的设备连接到外部网络,核查是否有检查或限制。
3.4.测评项d
d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
核查网络拓扑图是否部署无线网络;如果有无线网络是否单独组网接入后再接入有线网络;无线网络配置是否合理,比如使用合适的信道、设置密码、密码强度合理等;无线网络边界处是否部署防火墙或者安全网关,配置是否合理。
四、访问控制
4.1.测评项a
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
核查网络边界或区域边界访问控制设备是否配置了合理的访问控制规则,限制通信接口的进出;核查控制策略最后一条是否拒绝所有通信。
4.2.测评项b
b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
核查访问控制规则,是否存在相同、包含或者相互矛盾的规则,包括逻辑矛盾、顺序矛盾等。
4.3.测评项c
c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
核查访问控制策略中,是否有源地址、目的地址、源端口、目的端口和协议等相关配置参数,根据实际需求设置相关地址和端口的数据包进出规则,并测试访问策略是否有效。
4.4.测评项d
d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;
核查访问控制设备中的策略,是否配置根据回话状态信息,允许/拒绝数据流进出的规则,并测试访问策略是否有效。
4.5.测评项e
e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。
询问管理员系统是否存在对外服务,如果不存在,则该项不适用;如果存在,核查访问控制设备中是否存在内容过滤功能,登录该设备,查看过滤策略是否符合实际需求,并测试过滤策略是否有效。
五、入侵防范
5.1.测评项a
a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
对照网络拓扑图,核查是否在关键网络节点处部署抗APT攻击系统、抗DDoS攻击系统、IPS等安全防护系统;登录这些系统,查看是否配置了相关策略,检测、防止或限制从外部发起的网络攻击行为;使用漏扫设备从外部进行扫描,验证这些策略是否有效。
5.2.测评项b
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;
对照网络拓扑图,核查是否在关键网络节点处部署抗APT攻击系统、抗DDoS攻击系统、IPS等安全防护系统;登录这些系统,查看是否配置了相关策略,检测、防止或限制从内部发起的网络攻击行为;使用漏扫设备从内部进行扫描,验证这些策略是否有效。
5.3.测评项c
c) 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;
核查网络是否部署了网络分析回溯系统、威胁信息检测系统、抗APT攻击系统等,登录这些系统查看是否配置了相关策略,策略库是否更新;通过渗透测试或者漏洞扫描,验证这些网络行为是否进行了分析,得出了正确的结论。
5.4.测评项d
d) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。
核查这些系统日志,是否记录了攻击行为的攻击源IP、攻击类型、攻击目标、攻击时间等信息,通过渗透测试或者漏洞扫描,验证在发生严重入侵事件时是否提供报警。
六、恶意代码和垃圾邮件防范
6.1.测评项a
a) 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;
核查网络在关键节点处是否部署防恶意代码相关设备或者组件,启用相应的安全策略,对恶意代码进行检测和清除,防恶意代码机制是否更新到最新,制定相关策略,验证策略是否有效。
6.2.测评项b
b) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
询问管理员是否存在邮件系统,如果没有,此项不适用,如果有,核查网络在关键节点处是否部署防垃圾邮件的相关设备或者组件,启用相应的安全策略,对垃圾邮件进行检测和防护,垃圾邮件防护机制是否更新到最新,制定相关策略,验证策略是否有效。
七、安全审计
7.1.测评项a
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
核查网络边界,重要节点处网络设备、安全设备是否开启了审计功能;查看审计内容是否覆盖到每个用户;是否对重要用户和重要安全事件进行了审计。
7.2.测评项b
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
查看以上设备的审计日志,是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
7.3.测评项c
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
核查以上设备是否允许授权外的用户对审计功能进行关闭,对审计记录进行删除、修改和覆盖等,查看日志备份策略是否合理,原则保存6个月以上。
7.4.测评项d
d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
询问管理员是否存在远程访问用户和访问互联网的用户,不存在则此项不适用,存在则核查审计日志是否单独对两类用户行为,进行单独审计和数据分析,一般采用VPN和上网行为管理系统对这两类用户进行单独审计和数据分析。
八、可信验证
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
核查网络通信设备是否部署可信根TPCM,根据不同场景可选择CPU内置式TPCM和外置式TPCM(插卡、插卡及修改主板)两种部署模式实现可信验证。
