测等保2.0——安全区域边界

news2024/11/24 14:56:36

一、前言

今天我们来说说安全区域边界,顾名思义,安全区域边界就是保障网络边界处,包括网络对外界的边界和内部划分不同区域的交界处,我们的重点就是查看这些边界处是否部署必要的安全设备,包括防火墙、网闸、网关等安全设备,查看这些设备的配置是否合理,满足测评项的测评要求,下面我们言归正传。

ed345de6d1f84346b3d4e71dc37886ab.png

 

二、测评项

2.1.边界防护

a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;

b) 应能够对非授权设备私自连到内部网络的行为进行检查或限制;

c) 应能够对内部用户非授权连到外部网络的行为进行检查或限制;

d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。

2.2.访问控制

a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;

b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;

c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;

d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;

e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。

2.3.入侵防范

a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;

b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;

c) 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;

d) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。

2.4.恶意代码和垃圾邮件防范

a) 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;

b) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。

2.5.安全审计

a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。

2.6.可信验证

可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

三、边界防护

3.1.测评项a

a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;

对照网络拓扑图,查看网络边界处包括内部划分的各区域边界处,是否部署访问控制设备;核查安全管理员是否对这些设备具有管理权限;登录设备核查设备是否指定端口对外界进行通信;核查控制策略是否合理。

3.2.测评项b

b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制;

询问网络管理员采用什么安全准入措施,例如Mac-IP绑定、IEEE 802.1x协议、网络准入系统等;查看交换机和路由器是否有闲置的端口未关闭。

建议使用未授权的设备连接内部网络,核查是否有检查或限制。

f1b0c0d719394ea98317165e4d227246.png

 

3.3.测评项c

c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制;

询问网络管理员采用什么方法对内部用户非授权联到外部网络的行为进行检查或限制,例如终端安全管理系统,登录系统查看访问规则是否合理。

建议使用内部的设备连接到外部网络,核查是否有检查或限制。

3.4.测评项d

d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。

核查网络拓扑图是否部署无线网络;如果有无线网络是否单独组网接入后再接入有线网络;无线网络配置是否合理,比如使用合适的信道、设置密码、密码强度合理等;无线网络边界处是否部署防火墙或者安全网关,配置是否合理。

四、访问控制

4.1.测评项a

a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;

核查网络边界或区域边界访问控制设备是否配置了合理的访问控制规则,限制通信接口的进出;核查控制策略最后一条是否拒绝所有通信。

4.2.测评项b

b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;

核查访问控制规则,是否存在相同、包含或者相互矛盾的规则,包括逻辑矛盾、顺序矛盾等。

4.3.测评项c

c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;

核查访问控制策略中,是否有源地址、目的地址、源端口、目的端口和协议等相关配置参数,根据实际需求设置相关地址和端口的数据包进出规则,并测试访问策略是否有效。

4ca86a82d23f41b9804da774ef7e709d.png 

4.4.测评项d

d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;

核查访问控制设备中的策略,是否配置根据回话状态信息,允许/拒绝数据流进出的规则,并测试访问策略是否有效。

4.5.测评项e

e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。

询问管理员系统是否存在对外服务,如果不存在,则该项不适用;如果存在,核查访问控制设备中是否存在内容过滤功能,登录该设备,查看过滤策略是否符合实际需求,并测试过滤策略是否有效。

五、入侵防范

5.1.测评项a

a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;

对照网络拓扑图,核查是否在关键网络节点处部署抗APT攻击系统、抗DDoS攻击系统、IPS等安全防护系统;登录这些系统,查看是否配置了相关策略,检测、防止或限制从外部发起的网络攻击行为;使用漏扫设备从外部进行扫描,验证这些策略是否有效。

5.2.测评项b

b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;

对照网络拓扑图,核查是否在关键网络节点处部署抗APT攻击系统、抗DDoS攻击系统、IPS等安全防护系统;登录这些系统,查看是否配置了相关策略,检测、防止或限制从内部发起的网络攻击行为;使用漏扫设备从内部进行扫描,验证这些策略是否有效。

e3bbbcd8b5b047cf966d39b82a3f910a.png 

5.3.测评项c

c) 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;

核查网络是否部署了网络分析回溯系统、威胁信息检测系统、抗APT攻击系统等,登录这些系统查看是否配置了相关策略,策略库是否更新;通过渗透测试或者漏洞扫描,验证这些网络行为是否进行了分析,得出了正确的结论。

5.4.测评项d

d) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。

核查这些系统日志,是否记录了攻击行为的攻击源IP、攻击类型、攻击目标、攻击时间等信息,通过渗透测试或者漏洞扫描,验证在发生严重入侵事件时是否提供报警。

六、恶意代码和垃圾邮件防范

6.1.测评项a

a) 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;

核查网络在关键节点处是否部署防恶意代码相关设备或者组件,启用相应的安全策略,对恶意代码进行检测和清除,防恶意代码机制是否更新到最新,制定相关策略,验证策略是否有效。

6.2.测评项b

b) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。

询问管理员是否存在邮件系统,如果没有,此项不适用,如果有,核查网络在关键节点处是否部署防垃圾邮件的相关设备或者组件,启用相应的安全策略,对垃圾邮件进行检测和防护,垃圾邮件防护机制是否更新到最新,制定相关策略,验证策略是否有效。

860b800a871647568c7532c8dd678001.png

 

七、安全审计

7.1.测评项a

a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

核查网络边界,重要节点处网络设备、安全设备是否开启了审计功能;查看审计内容是否覆盖到每个用户;是否对重要用户和重要安全事件进行了审计。

7.2.测评项b

b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

查看以上设备的审计日志,是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

7.3.测评项c

c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

核查以上设备是否允许授权外的用户对审计功能进行关闭,对审计记录进行删除、修改和覆盖等,查看日志备份策略是否合理,原则保存6个月以上。

7.4.测评项d

d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。

询问管理员是否存在远程访问用户和访问互联网的用户,不存在则此项不适用,存在则核查审计日志是否单独对两类用户行为,进行单独审计和数据分析,一般采用VPN和上网行为管理系统对这两类用户进行单独审计和数据分析。

a4d5a510ea044260a0fdb64de93aa3ef.png

 

八、可信验证

可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

核查网络通信设备是否部署可信根TPCM,根据不同场景可选择CPU内置式TPCM和外置式TPCM(插卡、插卡及修改主板)两种部署模式实现可信验证。

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/784118.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

不止工具:音视频开发「利器」的新机遇

Boxing的制胜关键是快、准、稳,与“音视频开发”有异曲同工之妙。 数字化浪潮席卷、视频化形态加速、终端性能挑战加剧、端侧算力遭遇瓶颈...... 是否存在一种可能性,让所有企业从复杂的音视频开发工程中抽身,重新回归业务本身? …

vue项目启动npm run serve常见报错及解决办法

报错1: 如图: 解决方法:重新安装core-js , npm i core-js 报错2: Syntax Error: EslintPluginImportResolveError: unable to load resolver “alias”. 解决方法:npm install eslint-import-resolver-alias -D 报…

Raft 思想在架构中实践

Raft 诞生背景: 分布式存储系统通常通过维护多个副本来进行容错,提高系统的可用性。要实现此目标,就必须要解决分布式存储系统的最核心问题:维护多个副本的一致性。 首先需要解释一下什么是一致性(consensus&#xf…

ABAP 为N的一个数,在原来基础上浮动在-30~30

需求:为N的一个数,在原来基础上浮动在-30~30 *&---------------------------------------------------------------------* *& Report ZZZZ111 *&---------------------------------------------------------------------* *& 需求&…

揉捻Map-疯狂Java

理论概述 定义 图(Graph)是由节点(Vertex)和连接节点的边(Edge)组成的一种非线性数 据结构。它用于描述事物之间的关系、连接或依赖。图是一种非线性的数据结构, 它广泛应用于计算机科学、数学…

Day_71-76 BP 神经网络

目录 一. 基础概念理解 1. 一点个人理解 2. 神经网络 二. bp神经网络的局部概念 1. 神经元 2. 激活函数 三. bp神经网络的过程 1. 算法流程图 2. 神经网络基础架构 2.1 正向传播过程 2.2 反向传播过程(算法核心) 四. 基本bp神经网络的代码实现 1. 抽象…

一文了解 MySQL 全新版本模型

MySQL 8.1 已经发布了,也宣布 MySQL 开始使用新的版本模型。 作者:Kenny Gryp / Airton Lastori MySQL 产品团队。 原文:https://blogs.oracle.com/mysql/post/introducing-mysql-innovation-and-longterm-support-lts-versions 引子 在 Ora…

边缘提取总结

边缘提取:什么是边缘? 图象的边缘是指图象局部区域亮度变化显著的部分,该区域的灰度剖面一般可以 看作是一个阶跃,既从一个灰度值在很小的缓冲区域内急剧变化到另一个灰度相 差较大的灰度值。 边缘有正负之分,就像…

React AntDesign表批量操作时的selectedRowKeys回显选中

不知道大家是不是在AntDesign的某一个列表想要做一个批量导出或者操作的时候,发现只要选择下一页,即使选中的ids 都有记录下面,但是就是不回显 后来问了chatGPT,对方的回答是: 在Ant Design的DataTable组件中&#xf…

java必学必会之static关键字

java必学必会之static关键字 一、static关键字 原来一个类里面的成员变量,每new一个对象,这个对象就有一份自己的成员变量,因为这些成员变量都不是静态成员变量。对于static成员变量来说,这个成员变量只有一份,而且这…

Tiny Player (js) - 轻量好用、免费开源的 web 视频播放开发组件,内置硬解、软解视频功能

一款简单好用的 JS 视频播放器,完美解决我遇到的移动端播放视频的需求,安利给各位。 关于 Tiny Player Tiny Player 是一个极简的视频播放器 JS 库,内置硬解、软解视频功能,支持原生控件样式以及自定义控件样式,小巧…

一种代码逻辑表达“新范式”:保留编程逻辑,去掉编程语法

逻辑是一个非常古老的话题,很难看到有什么新的东西,特别是新的表达方式。最近被惊艳到了,在分析iVX产品的时候,发现了一种全新的可视化的“逻辑表达范式(或者说新方法)”。看下面有GIF动图演示。 理论上包括…

macbook 软件iMovie for Mac(专业视频剪辑工具)中文版

iMovie mac中文版是一款针对Mac平台量身定做的视频编辑工具,软件凭借流线型设计和直观的编辑功能,可以让您感受前所未有的方式制作好莱坞风格的预告片和精美电影,并且还可以浏览视频资料库,快速共享挚爱瞬间,创建精美的…

手机缺流量?切记,不要买这种卡!

近日,小编在后台看到很多朋友的私信,都在控诉买的流量卡有套路,通过大家的描述,小编发现,很多朋友都是“病急乱投医,犯了一个最大的错误”,只看价格,不看正规性。 ​ 现在网上可能上…

DDL\DML

查询字段 1、查询指定字段 select 字段1, 字段2 ,...] from 表名; select ename, sal from emp; select ename from emp; 2、查询全部字段 select * from 表名; select * from emp; 条件查询 使用 where 语句,放在 from 后 select * from emp where 条件…

UI 自动化稳定性用例实战经验分享!

目录 前言: 大家常说 UI 自动化不稳定,那又如何提高稳定性呢? 操作界面非预期的弹框、广告、浮层 测试系统的 A/B 策略 总结: 前言: 稳定性测试是软件测试的一个重要方面,它旨在评估软件在不同负载和…

[BSidesCF 2020]Had a bad day1

进入环境,一上来就是一段激励的话,没有啥特别的,源码中也没有看见啥有用的提示 但主要是有,参数的传递,加上前面的index.php,想到了PHP伪协议,或许我们可以直接查看一下隐藏源码 报错了&#xf…

nfs服务器的描述,搭建和使用

前言 这是我在这个网站整理的笔记,关注我,接下来还会持续更新。 作者:RodmaChen nfs服务器的描述,搭建和使用 NFS概述工作原理优缺点 nfs服务器搭建服务端客户端 NFS概述 NFS(Network File System)是一种基…

GPT-3.5:ChatGPT的奇妙之处和革命性进步

🌷🍁 博主 libin9iOak带您 Go to New World.✨🍁 🦄 个人主页——libin9iOak的博客🎐 🐳 《面试题大全》 文章图文并茂🦕生动形象🦖简单易学!欢迎大家来踩踩~&#x1f33…

【Koa】[NoSQL] Koa中相关介绍和使用Redis MongoDB增删改查

目录 NoSQL非关系型数据库关系型数据库(RMDB)介绍非关系型数据库(NoSQL)介绍Redis & MongoDB 在 Koa 中使用 Redis (了解)Redis 的安装和使用在 Koa 中连接 和 调用 Redis 在 Koa 中使用 MongoDBMongoDB 的安装MongoShell 操作…