安全区域边界

文章目录

• 安全区域边界
• • 边界防护
  • • 跨边界流量通过受控接口通信
    • 非法内联
    • 非法外联
    • 限制无线网络
  • 访问控制
  • • 启用基于白名单的访问控制策略
    • 优化访问控制表
    • 根据五元组控制
    • 根据会话状态控制
    • 根据应用协议和内容控制
  • 入侵防范
  • • 外部发起的攻击
    • 内部发起的攻击
    • 对新型攻击防范
    • 及时检测攻击行为
  • 恶意代码和垃圾邮件防范
  • • 恶意代码防范
    • 垃圾邮件防范
  • 安全审计
  • • 开启安全审计，对重要行为事件进行审计
    • 审计记录内容
    • 审计记录保护
    • 远程行为审计
  • 可信验证
  • • 可信验证机制

---

安全区域边界

网络边界防护按照"一个中心，三重防御"的纵深防御思想，构成了安全防御的第二道防线。

在不同的网络之间实现互联互通的同时，在网络边界采取必要的授权接入、访问控制、入侵防范等措施，实现对内部的保护。

边界防护

边界防护主要从三个方面考虑。首先是防止非授权的网络链路接入。其次是对内联外联行为管控。最后是对无线网络进行管控。

跨边界流量通过受控接口通信

应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。

受控接口（三级新增）

1）应核查网络拓扑图与实际的网络链路是否一致，是否明确了网络边界，且明确边界设备端口。

2）应核查路由配置信息及边界设备配置信息，确认是否指定物理端口进行跨越边界的网络通信。

以Cisco为例，输入命令"show running - config"，查看相关配置。

3）应采用其他技术手段核查是否不存在其他未受控端口进行跨越边界的网络通信,例如检测无线访问情况，可使用无线嗅探器、无线入侵检测/防御系统、手持式无线信号检测系统等相关工具进行检测。

非法内联

应能够对非授权设备私自联到内部网络的行为进行检查或限制。（三级新增）

1）应访谈网络管理员，询问采用何种技术手段或管理措施对非授权设备私自联到内部网络的行为进行管控，并在网络管理员的配合下验证其有效性

2）应核查所有路由器和交换机等设备闲置端口是否均已关闭。

以Cisco I0S为例，输入命令""show ip interfaces brief"

3）如通过部署内网安全管理系统实现系统准入，应检查各终端设备是否统一进行了部署，是否存在不可控特殊权限接入设备

4）如果采用了IP/MAC地址绑定的方式进行准入控制，应核查接入层网络设备是否配置了IP/MAC地址绑定等措施

以Cisco为例，输入命令""show ip arp"

非法外联

应能够对内部用户非授权联到外部网络的行为进行检查或限制。（三级新增）

1）应核查是否采用内网安全管理系统或其它技术手段，对内部用户非授权连接到外部网络的行为进行限制或检查。

2）应核查是否限制终端设备相关端口的使用，如禁用双网卡、USB接口、Modem、无线网络等，防止内部用户非授权外连行为。

限制无线网络

应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。（高风险三级新增）

1）应访谈网络管理员是否有授权的无线网络，是否单独组网后接入到有线网络。

2）应核查无线网络部署方式，是否部署无线接入网关，无线网络控制器等设备。应检查该类型设备配置是否合理，如无线网络设备信道使用是否合理，用户口令是否具备足够强度、 是否使用WPA2加密方式等。

3）应核查网络中是否部署了对非授权无线设备管控措施，能够对非授权无线设备进行检查、屏蔽。如使用无线嗅探器、无线入侵检测/防御系统、手持式无线信号检测系统等相关工具进行检测、限制。

访问控制

通过访问控制技术防止未授权访问网络资源，从而使计算机系统在合法的范围内使用。

启用基于白名单的访问控制策略

应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信。（高风险）

1）应核查在网络边界或区域之间是否部署访问控制设备，是否启用访问控制策略

2）应核查设备的访问控制策略是否为白名单机制，仅允许授权的用户访问网络资源，禁止其他所有的网络访问行为

3）应该检查配置的访问控制策略是否实际应用到相应的接口的进或出方向。

以Cisco为例，输入命令"Show running-config"，检查配置文件中访问控制策略

优化访问控制表

应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。

1）应访谈安全管理员访问控制策略配置情况,核查相关安全设备的访问控制策略与业务及管理需求的一致性，结合策略命中数分析策略是否有效。

2）应检查访问控制策略中是否已禁止了全通策略或端口、地址限制范围过大的策略。

3）应核查设备的不同访问控制策略之间的逻辑关系是否合理。

以Cisco为例，输入命令"show running-config",检查配置文件中访问控制列表配置项。

根据五元组控制

应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出。

1）应核查设备中访问控制策略是否明确设定了源地址、目的地址、源端口、目的端只和协议等相关配置参数。

根据会话状态控制

应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。

1）应核查状态检测防火墙访问控制策略中是否明确设定了源地址、目的地址、源端口、目的端口和协议。

根据应用协议和内容控制

应对进出网络的数据流实现基于应用协议和应用内容的访问控制。（三级新增）

1）应核查在关键网络节点处是否部署访问控制设备。

2）应检查访问控制设备是否配置了相关策略，对应用协议、应用内容进行访问控制，并对策略有效性进行测试。

入侵防范

要维护系统安全，必须进行主动监视，以检查网络是否发生了人侵和遭受了攻击。基于网络的入侵检测，被认为是网络访问控制之后网络安全的第二道安全闸门。

外部发起的攻击

应在关键网络节点处检测、防止或限制从外部（互联网对内网）发起的网络攻击行为。（高风险三级新增）

1）应核查相关系统或设备是否能够检测从外部发起的网络玫击行为。

2）应核查相关系统或设备的规则库版本是否已经更新到最新版本。

3）应核查相关系统或设备配置信息或安全策略是否能够覆盖网络所有关键节点。

4）应测试验证相关系统或设备的安全策略是否有效。

内部发起的攻击

应在关键网络节点处检测、防止或限制从内部（运维区对服务器区）发起的网络攻击行为；

1）应核查相关系统或设备是否能够检测到从内部发起的网络攻击行为。

2）应核查相关系统或设备的规则库版本是否已经更新到最新版本。

3）应核查相关系统或设备配置信息或安全策略是否能够覆盖网络所有关键节点。

4）应测试验证相关系统或设备的安全策略是否有效。

对新型攻击防范

应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析。（三级新增）

1）应核查是否部署回溯系统或抗APT攻击系统，实现对新型网络攻击行为进行检测和分析。

2）应核查相关系统或设备的的规则库版本是否已经更新到最新版本。

3）应测试验证是否对网络行为进行分析，实现对网络攻击特别是未知的新型网络攻击的检测和分析。

及时检测攻击行为

当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。（三级新增）

1）访谈网络管理员和查看网络拓扑结构，查看在网络边界处是否部署了包含入侵防范功能的设备。如果部署了相应设备，则检查设备的日志记录,查看是否记录了攻击源IP、攻击类型、攻击目的和攻击时间等信息，查看设备采用何种方式进行报警。

2）应测试验证相关系统或设备的报警策略是否有效。

恶意代码和垃圾邮件防范

恶意代码是指怀有恶意目的的可执行程序。计算机病毒、木马和蠕虫的泛滥使防范恶意代码的破坏显得尤为重要，恶意代码的传播方式正在迅速演化。目前，恶意代码主要通过网页、电子邮件等网络载体传播，恶意代码防范的形势越来越严峻。

恶意代码防范

应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新。（高风险）

1）应访谈网络管理员和检查网络拓结构，查看在网络边界处是否部署了防恶意代码产品。如果部署了相关产品，则查看是否启用了恶意代码检测并查看白志记录中是否有相关阻断信息。

2）应访谈网络管理员，是否对防恶意代码产品的特征库进升级及具体的升级方式，并登录相应的防恶意代码产品，核查其特征库升级情况，当前是否为最新版本。

3）应测试验证相关系统或设备的安全策略是否有效。

垃圾邮件防范

应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。

1）应核查在关键网络节点处是否部署了防垃圾邮件设备或系统。

2）应核查防垃圾邮件产品运行是否正常，防垃投邮件规则库是否已经更新到最新。

3）应测试验证相关系统或设备的安全策略是否有效。

安全审计

开启安全审计，对重要行为事件进行审计

应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。

1）核查是否部署了综合安全审计系统或类似功能的系统平台

2）核查安全审计范围是否覆盖到每个用户并对重要的用户行为和重要安全事件进行了审计

审计记录内容

审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

1）核查审计记录信意是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

一般来说，对于主流路由器和交换机设备，可以实现对系统错误、网络和接口的变化、登录失败、ACL匹配等进行审计，审计内容向括了时间、类型、用户等相关信息。因此，只要这些路由器和交换机设备启用审计功能就能符合该项要求。但对于防火墙等安全设备来说，由于其访同控制策略命中日志需要手动启用，因此应重点核查其访问控制策命中日志是否启用

审计记录保护

应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

1）核查是否采取了技术措施对审计记录进行保护

2）核查审计记录的备份机制和备份策略是否合理

远程行为审计

应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析；

1）核查是否对远程访问用户及互联风访问用户行为单独进行审计分析，并核查审计分析的记录是否包含了用于管理远程访同行为、访问互联网用户行为必要的信息。

可信验证

可信验证机制

可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

应用程序的关键执行环节进行动态可信验证。（三级新增）

1）应核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和关键应用程序等进行可信验证。

2）应核查是否应用程序的关键执行环节进行动态可信验证。

3）应测试验证当检测到设备的可信性受到破坏后是否进行报警。

4）应测试验证结果是否以审计记录形式送至安全管理中心。

预期结果

1）边界设备（网闸、防火墙、交换机、路由器或其他边界防护设备）具有可信根芯片或硬件。

2）启动过程基于可信根对系统引导程序、系统程序、重要配置参数和关键应用程序等进行可信验证度量。

3）在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

4） 安全管理中心可以接收设备的验证结果记录。