做门户类网站报价,网站是先制作后上线么,国家高新技术企业名单查询,小学生手工制作大全一、前言
今天我们来说说安全区域边界#xff0c;顾名思义#xff0c;安全区域边界就是保障网络边界处#xff0c;包括网络对外界的边界和内部划分不同区域的交界处#xff0c;我们的重点就是查看这些边界处是否部署必要的安全设备#xff0c;包括防火墙、网闸、网关等安…一、前言
今天我们来说说安全区域边界顾名思义安全区域边界就是保障网络边界处包括网络对外界的边界和内部划分不同区域的交界处我们的重点就是查看这些边界处是否部署必要的安全设备包括防火墙、网闸、网关等安全设备查看这些设备的配置是否合理满足测评项的测评要求下面我们言归正传。 二、测评项
2.1.边界防护 a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信 b) 应能够对非授权设备私自连到内部网络的行为进行检查或限制 c) 应能够对内部用户非授权连到外部网络的行为进行检查或限制 d) 应限制无线网络的使用保证无线网络通过受控的边界设备接入内部网络。 2.2.访问控制 a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则默认情况下除允许通信外受控接口拒绝所有通信 b) 应删除多余或无效的访问控制规则优化访问控制列表并保证访问控制规则数量最小化 c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查以允许/拒绝数据包进出 d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力 e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 2.3.入侵防范 a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为 b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为 c) 应采取技术措施对网络行为进行分析实现对网络攻击特别是新型网络攻击行为的分析 d) 当检测到攻击行为时记录攻击源IP、攻击类型、攻击目标、攻击时间在发生严重入侵事件时应提供报警。 2.4.恶意代码和垃圾邮件防范 a) 应在关键网络节点处对恶意代码进行检测和清除并维护恶意代码防护机制的升级和更新 b) 应在关键网络节点处对垃圾邮件进行检测和防护并维护垃圾邮件防护机制的升级和更新。 2.5.安全审计 a) 应在网络边界、重要网络节点进行安全审计审计覆盖到每个用户对重要的用户行为和重要安全事件进行审计 b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 c) 应对审计记录进行保护定期备份避免受到未预期的删除、修改或覆盖等 d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 2.6.可信验证 可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证并在应用程序的关键执行环节进行动态可信验证在检测到其可信性受到破坏后进行报警并将验证结果形成审计记录送至安全管理中心。 三、边界防护
3.1.测评项a
a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信
对照网络拓扑图查看网络边界处包括内部划分的各区域边界处是否部署访问控制设备核查安全管理员是否对这些设备具有管理权限登录设备核查设备是否指定端口对外界进行通信核查控制策略是否合理。
3.2.测评项b
b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制
询问网络管理员采用什么安全准入措施例如Mac-IP绑定、IEEE 802.1x协议、网络准入系统等查看交换机和路由器是否有闲置的端口未关闭。
建议使用未授权的设备连接内部网络核查是否有检查或限制。 3.3.测评项c
c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制
询问网络管理员采用什么方法对内部用户非授权联到外部网络的行为进行检查或限制例如终端安全管理系统登录系统查看访问规则是否合理。
建议使用内部的设备连接到外部网络核查是否有检查或限制。
3.4.测评项d
d) 应限制无线网络的使用保证无线网络通过受控的边界设备接入内部网络。
核查网络拓扑图是否部署无线网络如果有无线网络是否单独组网接入后再接入有线网络无线网络配置是否合理比如使用合适的信道、设置密码、密码强度合理等无线网络边界处是否部署防火墙或者安全网关配置是否合理。
四、访问控制
4.1.测评项a
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则默认情况下除允许通信外受控接口拒绝所有通信
核查网络边界或区域边界访问控制设备是否配置了合理的访问控制规则限制通信接口的进出核查控制策略最后一条是否拒绝所有通信。
4.2.测评项b
b) 应删除多余或无效的访问控制规则优化访问控制列表并保证访问控制规则数量最小化
核查访问控制规则是否存在相同、包含或者相互矛盾的规则包括逻辑矛盾、顺序矛盾等。
4.3.测评项c
c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查以允许/拒绝数据包进出
核查访问控制策略中是否有源地址、目的地址、源端口、目的端口和协议等相关配置参数根据实际需求设置相关地址和端口的数据包进出规则并测试访问策略是否有效。 4.4.测评项d
d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力
核查访问控制设备中的策略是否配置根据回话状态信息允许/拒绝数据流进出的规则并测试访问策略是否有效。
4.5.测评项e
e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。
询问管理员系统是否存在对外服务如果不存在则该项不适用如果存在核查访问控制设备中是否存在内容过滤功能登录该设备查看过滤策略是否符合实际需求并测试过滤策略是否有效。
五、入侵防范
5.1.测评项a
a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为
对照网络拓扑图核查是否在关键网络节点处部署抗APT攻击系统、抗DDoS攻击系统、IPS等安全防护系统登录这些系统查看是否配置了相关策略检测、防止或限制从外部发起的网络攻击行为使用漏扫设备从外部进行扫描验证这些策略是否有效。
5.2.测评项b
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为
对照网络拓扑图核查是否在关键网络节点处部署抗APT攻击系统、抗DDoS攻击系统、IPS等安全防护系统登录这些系统查看是否配置了相关策略检测、防止或限制从内部发起的网络攻击行为使用漏扫设备从内部进行扫描验证这些策略是否有效。 5.3.测评项c
c) 应采取技术措施对网络行为进行分析实现对网络攻击特别是新型网络攻击行为的分析
核查网络是否部署了网络分析回溯系统、威胁信息检测系统、抗APT攻击系统等登录这些系统查看是否配置了相关策略策略库是否更新通过渗透测试或者漏洞扫描验证这些网络行为是否进行了分析得出了正确的结论。
5.4.测评项d
d) 当检测到攻击行为时记录攻击源IP、攻击类型、攻击目标、攻击时间在发生严重入侵事件时应提供报警。
核查这些系统日志是否记录了攻击行为的攻击源IP、攻击类型、攻击目标、攻击时间等信息通过渗透测试或者漏洞扫描验证在发生严重入侵事件时是否提供报警。
六、恶意代码和垃圾邮件防范
6.1.测评项a
a) 应在关键网络节点处对恶意代码进行检测和清除并维护恶意代码防护机制的升级和更新
核查网络在关键节点处是否部署防恶意代码相关设备或者组件启用相应的安全策略对恶意代码进行检测和清除防恶意代码机制是否更新到最新制定相关策略验证策略是否有效。
6.2.测评项b
b) 应在关键网络节点处对垃圾邮件进行检测和防护并维护垃圾邮件防护机制的升级和更新。
询问管理员是否存在邮件系统如果没有此项不适用如果有核查网络在关键节点处是否部署防垃圾邮件的相关设备或者组件启用相应的安全策略对垃圾邮件进行检测和防护垃圾邮件防护机制是否更新到最新制定相关策略验证策略是否有效。 七、安全审计
7.1.测评项a
a) 应在网络边界、重要网络节点进行安全审计审计覆盖到每个用户对重要的用户行为和重要安全事件进行审计
核查网络边界重要节点处网络设备、安全设备是否开启了审计功能查看审计内容是否覆盖到每个用户是否对重要用户和重要安全事件进行了审计。
7.2.测评项b
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
查看以上设备的审计日志是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
7.3.测评项c
c) 应对审计记录进行保护定期备份避免受到未预期的删除、修改或覆盖等
核查以上设备是否允许授权外的用户对审计功能进行关闭对审计记录进行删除、修改和覆盖等查看日志备份策略是否合理原则保存6个月以上。
7.4.测评项d
d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
询问管理员是否存在远程访问用户和访问互联网的用户不存在则此项不适用存在则核查审计日志是否单独对两类用户行为进行单独审计和数据分析一般采用VPN和上网行为管理系统对这两类用户进行单独审计和数据分析。 八、可信验证
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证并在应用程序的关键执行环节进行动态可信验证在检测到其可信性受到破坏后进行报警并将验证结果形成审计记录送至安全管理中心。
核查网络通信设备是否部署可信根TPCM根据不同场景可选择CPU内置式TPCM和外置式TPCM(插卡、插卡及修改主板)两种部署模式实现可信验证。
