等级保护测评基本要求安全区域边界笔记

安全区域边界

1.边界保护

a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信

【要求解读】为了保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信，需要在关键网络边界处部署边界安全接入平台、网闸和防火墙等提供访问控制功能的设备或组件，设置指定的设备物理端口进行跨越边界的网络通信，同时需要配置并启用相关安全策略。需要采用或部署其他技术手段 (如无线网络定位设备等) 核查或测试验证是否不存在其他未受控端口进行跨越边界的网络通信的情况。

【实施方法】

1)核查网络拓扑图并比对实际的网络链路，确认网络边界设备及链路接入端口明确无误。

2)核查相关设备的端口配置信息

3)通过网络管理系统的自动拓扑发现功能，未发现非授权的网络出口链路。

b)应能够对非授权设备私自联到内部网络的行为进行检测和限制

【要求解读】为了能够对非授权设备私自联到内部网络的行为进行检查或限制，如外部人员的笔记本电脑未经允许私自接入内部网络等，需要采用网络准入控制和IP-MAC绑定等技术措施防止非授权设备接入内部网络。同时要求排查网络中所有路由器和交换机等相关设备未使用端口是否均已关闭。

【实施方法】

1)网络中部署有终端管理系统实现对终端设备的准入控制。

2. 确认终端管理系统的配置信息，确保各终端设备均已有效部署，无特权设备。3)各接入交换机配置了IP/MAC 地址绑定策略

4)未使用的设备端口均已关闭

5)核查是否采取技术措施对哑终端进行安全管理

c)应能够对内部用户非授权联到外部网络的行为进行检测和限制

【要求解读】为了能够对内部用户非授权联到外部网络的行为进行检查或限制，如内部用户私接共享Wi-Fi上网和服务器插3G/4G/5G上网卡连接互联网等，需采用终端管控技术防止内部用户的非法外联行为，用户需要按照预定的授权进行外部网络连接。

【实施方法】

1)网络中部署有终端安全管理系统或非授权外联管控系统。

2)确保各类型终端设备均已正确部署了终端安全管理系统或外联管控系统，无特权设备。

3)在情况允许情况，禁止终端设备更改网络配置，禁用双网卡、USB接口和Modem等。

4)核查是否采取技术措施对哑终端进行安全管理

d)应能够限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网路

【要求解读】由于无线网络的网络攻击面比较广，也面临很多安全风险，所以内部无线网络需要采用独立组网的方式连接到有线网络,保证无线网络通过受控的边界设备接入到内部网络。需要对通过无线网络接入的设备进行认证和授权，并部署如无线接入安全网关等设备进行控制和管理。

【实施方法】

1. 授权的无限网络通过无线安全接入网关，并通过防火墙等访问控制设备接入到有线网络.

2)无线接入网关实现对终端设备的管理，并针对无线终端设备进行认证、授权及准入。

3)通过综合网管平台实现对无线网络的管理、发现。

2.访问控制

a）应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信

b）应删除多余或过期的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化

【要求解读】为保证访问控制设备的安全规则有效且严谨，访问控制策略的最后一条必须是拒绝所有通信，仅开放业务需要的服务端口访问规则、禁止配置网络通信全通规则。同时不同访问控制策略之间的逻辑关系及排列顺序合理化访问控制规则之问不存在相互冲突、重叠或包含的情况访问控制策略数量最小化。

【实施方法】

1. 网络边界及各区域边界的关键节点，如互联网边界、广域网边界、内部服务器区均部署有访问控制设备。

2. 各访问控制设备均配置了访问控制策略，默认情况下禁止所有访问请求。

3）各设备访问控制需求与安全策略保持一致，且策略有效。

4. 管理员定期针对访问控制策略进行优化，各设备的不同访问控制策略之间的逻辑关系合理。

c）应对源地址、目的地址、源端口、目的端口、协议等进行检查，以允许/拒绝数据报进出

【要求解读】为保证访问控制设备根据业务访问的实际安全需求实现端口级的访问控制机制，需要在访问控制规则中设定源地址、目的地址、源端口、目的端口和协议等相关配置参数。

【实施方法】

1）各设备中访问控制策略控制细粒度达到IP、端口、协议级、仅授权的访问请求允许访问网络资源

2. 各设备中配置文件中应该按照要求配置并启动安全策略。

a)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力

【要求解读】为了实现更高的访问控制能力，需要访问控制设备具备基于会话认证的功能，为进出网络通信会话提供明确的允许或拒绝访问控制的能力。通过访问控制设备的会话状态检测表来追踪连接会话状态，结合前后数据包的关系进行综合判断决定是否允许该数据包通过，通过连接状态进行更迅速更安全地数据包过滤。

【实施方法】

主流的设备大多都是状态检测防火墙能够根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。传统的包过滤防火墙比较少。

b)应对进出网络的数据流实现基于应用协议和应用内容的访问控制

【要求解读】为了保障对业务流量的有效监测，访问控制设备需要对进出网络的数据所包含的内容及协议进行管控，实现基于应用协议和应用内容的访问控制，如对即时通信流量、视频流量、WEB服务、FTP服务及相关业务流量等进行识别与控制。

【实施方法】

1. 网络边界及各区域边界的关键节点(互联网边界、广域网边界、内部服务器区) 均部署有下一代防火墙设备

2)各防火墙配置应用访问控制策略，对应用协议、命令和应用内容进行访问控制，例如对即时通信工具、在线视频及Web服务和FTP服务等进行管控。

3.入侵防范

a)应在关键的网络节点处检测、防止和限制从外部发起的网络攻击行为

b)应在关键的网络节点处检测、防止和限制从内部发起的网络攻击行为

【要求解读】

为了提高整网入侵防范能力，需要网络关键边界处实施双向攻击行为的检测和限制措施在关键网络节点处如互联网核心交换机、DMZ区核心交换机和内部服务器区核心交换机等部署网络回溯分析系统、威胁情报检测系统、网络攻击阻断系统、抗APT攻击系统、抗DDOS攻击系统、安全态势感知系统或入侵保护系统等相关设备或组件，以发现潜在的攻击行为、如端强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫口扫描、攻击等

【实施方法】

1. 在网络边界部署根据实际需求部署相关设备，能够实现对外部网络发起的恶意攻击行为进行实时监测、报警。

2. 相关系统或设备的规则库进行了更新，更新时间与测评时间较为接近。

3)配置信息、安全策略中制定的规则覆盖网络关键节点。

4)确保设备、系统安全日志信息，设备防护措施安全有效。

c）应采取技术措施对网络行为进行分析，实现对网络攻击特别新型网络攻击行为的分析

【要求解读】针对重点行业和部门等，在网络关键节点处能够对新型网络攻击行为进行检测和分析。

【实施方法】对于APT防御，动态检测只是对抗恶意代码或样本的攻击阶段，对于攻击前和攻击后的行为分析，则需要有异常流量的检测技术和全流量审计的回查技术来配合。因此需要在网络关键处部署抗APT攻击设备、网络回溯系统和威胁情报检测系统等，对网络攻击特别是新型网络攻击行为进行深入分析和发现，保证系统正常和数据不被泄露。

d）当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间、在发生严重入侵时提供报警

【要求解读】当检测到攻击行为时，需要对攻击源IP、攻击类型、攻击目标和攻击时间等信息进行日志记录，通过日志记录可以对攻击行为进行审计分析。当发生严重入侵事件时，需要能够及时向有关人员如安全管理员和系统管理员等报警，报警方式包括短信、邮件、手机APP联动和声光控制等。

【实施方法】

1)具有入侵检测、入侵防御、分析报警等功能的设备日志记录了攻击源IP、攻击类型、攻击目标、攻击时间等信息，通过这些信息，可以对攻击行为进行审计分析和追踪溯源。

2. 发生严重入侵事件时，会实时发出报警。系统通过声、光、短信、邮件等方式进行报警且处于正常工作状态。

4.恶意代码和垃圾邮件防范

a)应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新

【要求解读】为了实现恶意代码防范，需要在关键网络边界处(例如互联网边界和服务器域边界等) 部署防恶意代码安全产品或组件，启用有效的安全防护策略，对网络中的恶意代码进行检测和清除。防恶意代码产品包括防病毒网关和具备防病毒模块的下一代防火墙等安全产品。对于实时性、可靠性要求比较高的系统不建议部署防病毒网关，建议采用其他方式进行防范

【实施方法】

1)在网络边界处部署了防病毒网关设备或UTM等产品。

2)恶意代码库进行了定期升级和更新。

3)设备开启了防恶意代码策略，安全日志显示恶意代码防护策略启动且有效。

b)应在网络的关键节点处对垃圾邮件进行检查和防护，并维护垃圾邮件防护机制的升级和更新

【要求解读】为了实现垃圾邮件和有害邮件防范，需要在关键网络节点处部署邮件安全产品或相关组件启用有效的安全防护策略，不但对网络中传播的垃圾邮件进行检测和拦截，更重要是对邮件含有的恶意代码、鱼又攻击等进行有效检测和防御。邮件安全产品包括针对邮件的抗APT系充、安全邮件网关和具有反垃圾邮件功能的下一代防火墙等安全产品。

【实施方法】

1)在网络关键处部署了邮件安全技术措施，如邮件安全网关等

2)邮件安全网关进行了代码库升级和更新。

3)邮件安全网关开启了安全策略。

4)安全日志显示设备能够对恶意邮件进行采取有效技术措施。

5.安全审计

a)应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等

d)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析

【要求解读】安全审计要求覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。为了对重要用户行为和重要安全事件进行审计，需要部署如网络审计系统、数据库审计系统或安全综合审计系统等，启用重要网络节点相关设备或软件的日志功能，将系统审计记录同时存储在本地和综合安全审计系统中等。审计记录包含内容是否全面将直接影响审计的有效性。审计记录内容需要记录事件的时间、类型、用户事件类型、事件是否成功等必要信息。审计记录能够帮助管理人员及时发现系统状况和网络攻击行为，因此需要对审计记录实施技术层面和管理层面的保护，防止未授权修改、删除和破坏,非授权用户(审计员除外)无权删按照。可以设置专用的综合审计系统(或日志服务器) 来接收设备发送出的审计记录。《网络安全法》的要求安全审计记录至少留存6个月

【实施方法】

1)网络中部署了综合安全审计系统等相关系统。

2)确保日志数据存储周期在6个月以上。

3)实现了对远程访问的用户行为、访问互联网的用户行为进行独立审计。

4. 综合安全审计能够根据审计需要，针对远程访问的用户行为、访问互联网的用户行为进行审计分析。

6.可信验证

a)可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信根收到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

【要求解读】可信计算从理论上避免了因系统内存在脆弱性导致的应用侧安全问题，如安全漏洞等。限于可信计算技术和相关产品发展，标准要求为“可”实现，属于加强措施，具体建设工作可视实际需求来选择是否采用可信计算技术。

【实施方法】

1. 对于已有系统的存量网络通信设备通常采用外置模式植入TPCM可信根，同时依据不同的操作系统环境(如Linux、嵌入式和实时等操作系统) 选择与其匹配的可信软件基软件。外置式可信根板载方式、采用标准PCI-E或M.2卡实现等2种方式

2)新建场景的网络通信设备多采用CPU内置TPCM可信根或外接TPCM插卡方式构建可信插卡方式与已有系统可信改造相同