安全資訊

    通用部分包括：安全物理環(huán)境、安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理十個(gè)層面。

今天給大家分享的是通用部分【安全區域邊界】（三級）測評指導書(shū)！

8.1.3.1 邊界防護

a) 應保證跨越邊界的訪(fǎng)問(wèn)和數據流通過(guò)邊界設備提供的受控接口進(jìn)行通信；

測評對象：

網(wǎng)閘、防火墻、路由器、交換機和無(wú)線(xiàn)接入網(wǎng)關(guān)設備等提供訪(fǎng)問(wèn)控制功能的設備或相關(guān)組件

測評方法：

1、應核查在網(wǎng)絡(luò )邊界處是否部署訪(fǎng)問(wèn)控制設備；

2、應核查設備配置信息是否指定端口進(jìn)行跨越邊界的網(wǎng)絡(luò )通信，指定端口是否配置并啟用了安全策略；

3、應采用其他技術(shù)手段（如非法無(wú)線(xiàn)網(wǎng)絡(luò )設備定位、核查設備配置信息等）核查或測試驗證是否不存在其他未受控端口進(jìn)行跨越邊界的網(wǎng)絡(luò )通信。

b) 應能夠對非授權設備私自聯(lián)到內部網(wǎng)絡(luò )的行為進(jìn)行檢查或限制；

測評對象：

終端管理系統或相關(guān)設備

測評方法：

1、應核查是否采用技術(shù)措施防止非授權設備接入內部網(wǎng)絡(luò )；

2、應核查所有路由器和交換機等相關(guān)設備閑置端口是否已關(guān)閉。

c) 應能夠對內部用戶(hù)非授權聯(lián)到外部網(wǎng)絡(luò )的行為進(jìn)行檢查或限制；

測評對象：

終端管理系統或相關(guān)設備

測評方法：

應核查是否采用技術(shù)措施防止內部用戶(hù)存在非法外聯(lián)行為。

d) 應限制無(wú)線(xiàn)網(wǎng)絡(luò )的使用，保證無(wú)線(xiàn)網(wǎng)絡(luò )通過(guò)受控的邊界設備接入內部網(wǎng)絡(luò )。

測評對象：

網(wǎng)絡(luò )拓撲和無(wú)線(xiàn)網(wǎng)絡(luò )設備

測評方法：

1、應核查無(wú)線(xiàn)網(wǎng)絡(luò )的部署方式，是否單獨組網(wǎng)后再連接到有限網(wǎng)絡(luò )；

2、應核查無(wú)線(xiàn)網(wǎng)絡(luò )是否通過(guò)受控的邊界防護設備接入到內部有線(xiàn)網(wǎng)絡(luò )。

8.1.3.2 訪(fǎng)問(wèn)控制

a) 應在網(wǎng)絡(luò )邊界或區域之間根據訪(fǎng)問(wèn)控制策略設置訪(fǎng)問(wèn)控制規則，默認情況下除允許通信外受控接口拒絕所有通信；

測評對象：

網(wǎng)閘、防火墻、路由器、交換機和無(wú)線(xiàn)接入網(wǎng)關(guān)設備等提供訪(fǎng)問(wèn)控制功能的設備或相關(guān)組件

測評方法：

1、應核查在網(wǎng)絡(luò )邊界或區域之間是否部署訪(fǎng)問(wèn)控制設備并啟用訪(fǎng)問(wèn)控制策略；

2、應核查設備的最后一條訪(fǎng)問(wèn)控制策略是否為禁止所有網(wǎng)絡(luò )通信。

b) 應刪除多余或無(wú)效的訪(fǎng)問(wèn)控制規則，優(yōu)化訪(fǎng)問(wèn)控制列表，并保證訪(fǎng)問(wèn)控制規則數量最小化；

測評對象：

網(wǎng)閘、防火墻、路由器、交換機和無(wú)線(xiàn)接入網(wǎng)關(guān)設備等提供訪(fǎng)問(wèn)控制功能的設備或相關(guān)組件

測評方法：

1、應核查是否不存在多余或無(wú)效的訪(fǎng)問(wèn)控制策略；

2、應核查不同的訪(fǎng)問(wèn)控制策略之間的邏輯關(guān)系及前后排列順序是否合理。

c) 應對源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數據包進(jìn)出；

測評對象：

網(wǎng)閘、防火墻、路由器、交換機和無(wú)線(xiàn)接入網(wǎng)關(guān)設備等提供訪(fǎng)問(wèn)控制功能的設備或相關(guān)組件

測評方法：

1、應核查設備的訪(fǎng)問(wèn)控制策略中是否設定了源地址、目的地址、源端口、目的端口和協(xié)議等相關(guān)配置參數；

2、應測試驗證訪(fǎng)問(wèn)控制策略中設定的相關(guān)配置參數是否有效。

d) 應能根據會(huì )話(huà)狀態(tài)信息為進(jìn)出數據流提供明確的允許/拒絕訪(fǎng)問(wèn)的能力；

測評對象：

網(wǎng)閘、防火墻、路由器、交換機和無(wú)線(xiàn)接入網(wǎng)關(guān)設備等提供訪(fǎng)問(wèn)控制功能的設備或相關(guān)組件

測評方法：

1、應核查是否采用會(huì )話(huà)認證等機制為進(jìn)出數據流提供明確的允許/拒絕訪(fǎng)問(wèn)的能力；

2、應測試驗證是否為進(jìn)出數據流提供明確的允許/拒絕訪(fǎng)問(wèn)的能力。

e) 應對進(jìn)出網(wǎng)絡(luò )的數據流實(shí)現基于應用協(xié)議和應用內容的訪(fǎng)問(wèn)控制。

測評對象：

第二代防火墻等提供應用層訪(fǎng)問(wèn)控制功能的設備或相關(guān)組件

測評方法：

1、應核查是否部署訪(fǎng)問(wèn)控制設備并啟用訪(fǎng)問(wèn)控制策略；

2、應測試驗證設備訪(fǎng)問(wèn)控制策略是否能夠對進(jìn)出網(wǎng)絡(luò )的數據流實(shí)現基于應用協(xié)議和應用內容的訪(fǎng)問(wèn)控制。

8.1.3.3 入侵防范

a) 應在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò )攻擊行為；

測評對象：

抗APT攻擊系統、網(wǎng)絡(luò )回溯系統、威脅情報檢測系統、抗DDoS攻擊和入侵保護系統或相關(guān)組件

測評方法：

1、應核查相關(guān)系統或組件是否能夠檢測從外部發(fā)起的網(wǎng)絡(luò )攻擊行為；

2、應核查相關(guān)系統或組件的規則庫版本或威脅情報庫是否已經(jīng)更新到最新版本；

3、應核查相關(guān)系統或組件的配置信息或安全策略是否能夠覆蓋網(wǎng)絡(luò )所有關(guān)鍵節點(diǎn)；

4、應測試驗證相關(guān)系統或組件的配置信息或安全策略是否有效。

b) 應在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處檢測、防止或限制從內部發(fā)起的網(wǎng)絡(luò )攻擊行為；

測評對象：

抗APT攻擊系統、網(wǎng)絡(luò )回溯系統、威脅情報檢測系統、抗DDoS攻擊和入侵保護系統或相關(guān)組件

測評方法：

1、應核查相關(guān)系統或組件是否能夠檢測到從內部發(fā)起的網(wǎng)絡(luò )攻擊行為；

2、應核查相關(guān)系統或組件的規則庫版本或威脅情報庫是否已經(jīng)更新到最新版本；

3、應核查相關(guān)系統或組件的配置信息或安全策略是否能夠覆蓋網(wǎng)絡(luò )所有關(guān)鍵節點(diǎn)；

4、應測試驗證相關(guān)系統或組件的配置信息或安全策略是否有效。

c) 應采取技術(shù)措施對網(wǎng)絡(luò )行為進(jìn)行分析，實(shí)現對網(wǎng)絡(luò )攻擊特別是新型網(wǎng)絡(luò )攻擊行為的分析；

測評對象：

抗APT攻擊系統、網(wǎng)絡(luò )回溯系統、威脅情報檢測系統、抗DDoS攻擊和入侵保護系統或相關(guān)組件

測評方法：

1、應核查是否部署相關(guān)系統或組件對新型網(wǎng)絡(luò )攻擊進(jìn)行檢測和分析；

2、應測試驗證是否對網(wǎng)絡(luò )行為進(jìn)行分析，實(shí)現對網(wǎng)絡(luò )攻擊特別是未知的新型網(wǎng)絡(luò )攻擊的檢測和分析。

d) 當檢測到攻擊行為時(shí)，記錄攻擊源 IP、攻擊類(lèi)型、攻擊目標、攻擊時(shí)間，在發(fā)生嚴重入侵事件時(shí)應提供報警。

測評對象：

抗APT攻擊系統、網(wǎng)絡(luò )回溯系統、威脅情報檢測系統、抗DDoS攻擊和入侵保護系統或相關(guān)組件

測評方法：

1、應核查相關(guān)系統或組件的記錄是否包括攻擊源IP、攻擊類(lèi)型、攻擊目標、攻擊時(shí)間等相關(guān)內容；

2、應測試驗證相關(guān)系統或組件的報警策略是否有效。

8.1.3.4 惡意代碼和垃圾郵件防范

a) 應在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處對惡意代碼進(jìn)行檢測和清除，并維護惡意代碼防護機制的升級和更新；

測評對象：

防病毒網(wǎng)關(guān)和UTM等提供防惡意代碼功能的系統或相關(guān)組件

測評方法：

1、應核查在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處是否部署防惡意代碼產(chǎn)品等技術(shù)措施；

2、應核查防惡意代碼產(chǎn)品運行是否正常，惡意代碼庫是否已更新到最新；

3、應測試驗證相關(guān)系統或組件的安全策略是否有效。

b) 應在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處對垃圾郵件進(jìn)行檢測和防護，并維護垃圾郵件防護機制的升級和更新。

測評對象：

防垃圾郵件網(wǎng)關(guān)等提供防垃圾郵件功能的系統或相關(guān)組件

測評方法：

1、應核查在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處是否部署了防垃圾郵件產(chǎn)品等技術(shù)措施；

2、應核查防垃圾郵件產(chǎn)品運行是否正常，防垃圾郵件規則庫是否已經(jīng)更新到最新；

3、應測試驗證相關(guān)系統或組件的安全策略是否有效。

8.1.3.5 安全審計

a) 應在網(wǎng)絡(luò )邊界、重要網(wǎng)絡(luò )節點(diǎn)進(jìn)行安全審計，審計覆蓋到每個(gè)用戶(hù)，對重要的用戶(hù)行為和重要安全事件進(jìn)行審計；

測評對象：

綜合安全審計系統等

測評方法：

1、應核查是否部署了綜合安全審計系統或類(lèi)似功能的系統平臺；

2、應核查安全審計范圍是否覆蓋到每個(gè)用戶(hù)；

3、應核查是否對重要的用戶(hù)行為和重要安全事件進(jìn)行了審計。

b) 審計記錄應包括事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計相關(guān)的信息；

測評對象：

綜合安全審計系統等

測評方法：

應核查審計記錄信息是否包括事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計相關(guān)的信息。

c) 應對審計記錄進(jìn)行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；

測評對象：

綜合安全審計系統等

測評方法：

1、應核查是否采取了技術(shù)措施對審計記錄進(jìn)行保護；

2、應核查是否采取技術(shù)措施對審計記錄進(jìn)行定期備份，并核查其備份策略。

d) 應能對遠程訪(fǎng)問(wèn)的用戶(hù)行為、訪(fǎng)問(wèn)互聯(lián)網(wǎng)的用戶(hù)行為等單獨進(jìn)行行為審計和數據分析。

測評對象：

上網(wǎng)行為管理系統或綜合安全審計系統

測評方法：

應核查是否對遠程訪(fǎng)問(wèn)用戶(hù)及互相聯(lián)網(wǎng)訪(fǎng)問(wèn)用戶(hù)行為單獨進(jìn)行審計分析。

8.1.3.6 可信驗證

可基于可信根對邊界設備的系統引導程序、系統程序、重要配置參數和邊界防護應用程序等進(jìn)行可信驗證，并在應用程序的關(guān)鍵執行環(huán)節進(jìn)行動(dòng)態(tài)可信驗證，在檢測到其可信性受到破壞后進(jìn)行報警，并將驗證結果形成審計記錄送至安全管理中心。

測評對象：

提供可信驗證的設備或組件、提供集中審計功能的系統

測評方法：

1、應核查是否基于可信根對邊界設備的系統引導程序、系統程序、重要配置參數和邊界防護應用程序等進(jìn)行可信驗證；

2、應核查是否在應用程序的關(guān)鍵執行環(huán)節進(jìn)行動(dòng)態(tài)可信驗證；

3、應測試驗證當檢測到邊界設備的可信性受到破壞后是否進(jìn)行報警；

4、應測試驗證結果是否以審計記錄的形式發(fā)送至安全管理中心。