0


安全区域边界(举例设备为互联网防火墙)

边界防护

a)应保证跨越边界的访问和数据流通过边界设备提高的受控接口进行通信;

(1)描述所有边界访问控制设备如:

 👉在网络边界部署了互联网防火墙

(2)描述边界访问控制设备指定的端口的相关安全

 👉跨边界访问控制和数据流通过互联网防火墙提供的受控接口进行通信

(3)描述边界访问控制设备是否关闭多余端口

 👉互联网防火墙配置了非全通访问控制策略,不存在其他未受控端口进行跨边界的网络通信

b)应能够对非授权设备私自联到内部网络的行为进行限制或检测;

(1)描述所有网络设备是否关闭限制端口

 👉所有路由器和交换机灯相关设备限制端口均已关闭

(2)描述是否采取安全设备或安全措施防止非法内联

 👉未部署准入控制系统对外部的用户非授权联到内部网络的行为进行检查或限制

c)应能够对内部用户非授权联到外部网络的行为进行限制检查;

(1)描述是否采取安全设备或安全措施防止非法外联

 👉部署的终端管理系统未对私自连接到外部网络的行为进行检查或限制

d)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。

(1)系统中未部署无线网络,则为不适用,系统中部署了无线网络,则需描述无线网络区域接入是否通过了受控的边界设备接入

 👉该系统不涉及无线网络

访问控制

a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;

(1)描述所有网络边界或区域之间的访问控制设备是否启用了访问控制策略

 👉边界部署了互联网防火墙,启用了访问控制策略,仅允许指定的业务组放行,默认情况下除允许通信外,受控接口拒绝所有通信

(2)描述所有网络边界或区域之间的访问控制设备最后一条访问控制策略是否为禁止所有网络通信

 👉访问控制设备最后一条访问控制策略如:名称:默认策略 源区域:全部 源地址:全部 目的区域:全部 目的地址:全部 服务/应用:全部/全部 生效时间:全天 动作:拒绝

b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;

(1)描述是否存在多余或无效的访问控制策略

 👉不存在多余或无效的访问控制策略

(2)描述所有网络边界或区域之间的访问控制设备访问控制策略是否合理

 👉不同的访问控制策略之间的逻辑关系及前后排列顺序合理

c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;

(1)描述设备的访问控制策略中设定了源地址、目的地址、源地址、目的端口和协议等

 👉边界处部署了互联网防火墙,启用了访问控制策略,对源区域、源地址、目的区域、目的地址、服务/应用和动作等进行检查

(2)描述并验证访问控制策略是否生效

 👉经验证访问控制策略生效

d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;

(1)描述安全策略的控制粒度

 👉边界处部署了互联网防火墙,能够根据会话状态为进出数据流提供明确的允许/拒绝访问的能力

(2)摘抄部分安全策略

 👉摘抄如下:

e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。

(1)描述是否使用安全设备对进出网络的数据流实现基于应用协议和应用内容的访问控制

 👉边界部署的互联网防火墙和全网行为管理系统,互联网防火墙具有应用识别特征库,全网行为管理系统具有应用识别&URL库,可对进出网络的数据流实现基于应用协议和应用内容的访问控制

(2)摘抄部分安全策略

 👉摘抄如下:

入侵防范

a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;

(1)描述是否采取安全设备对外部发起的网络攻击行为

 👉部署了互联网防火墙和态势感知系统,互联网防火墙具有入侵防御模块,态势感知系统具有安全检测特征识别库、IOC威胁情报库模块,能够检测并阻止从外部发起的网络攻击行为

(2)描述相关特征库版本,最新更新时间

 👉特征库每月定期更新,互联网防火墙当前漏洞攻击特征识别库版本为:,态势感知系统当前安全检测特征识别库版本为:,IOC威胁情报库版本为:

b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;

(1)描述是否采取安全设备对内部发起的网络攻击行为

 👉部署了互联网防火墙和态势感知系统,互联网防火墙具有入侵防御模块,态势感知系统具有安全检测特征识别库、IOC威胁情报库模块,能够检测并阻止从内部发起的网络攻击行为

(2)描述相关特征库版本,最新更新时间

 👉特征库每月定期更新,互联网防火墙当前漏洞攻击特征识别库版本为:,态势感知系统当前安全检测特征识别库版本为:,IOC威胁情报库版本为:

c)应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;

(1)描述是否采取安全设备对新型网络攻击行为进行分析

 👉部署了态势感知系统,设备配置了安全策略,可对已知的网络攻击行为和新型网络攻击行为进行分析

(2)描述相关特征库版本,最新更新时间

 👉特征库每月定期更新,态势感知系统当前安全检测特征识别库版本为:,IOC威胁情报库版本为:;

d)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵时间时应提供报警。

(1)描述安全设备的报警机制

 👉互联网防火墙、态势感知系统等安全设备均可对网络攻击行为进行记录,记录内容包含:时间、日志类型、威胁类型、源IP、目的IP/URL、严重等级、动作、操作等

(2)描述安全设备报警日志记录的内容

 👉发生严重入侵事件时,在设备平台上对安全事件进行告警

恶意代码和垃圾邮件防范

a)应在关键网络节点处对恶意代码进行检测和消除,并维持恶意代码防护机制的升级和更新;

(1)描述是否采取安全设备对关键网络节点处对恶意代码进行检测和消除

 👉边界部署了互联网防火墙,具有防病毒模块授权,能够对网络流量中的恶意代码进行检测和清除

(2)描述相关特征库版本,最新更新时间

 👉特征库每月定期更新,互联网防火墙当前僵尸网络与病毒防护库版本为;

b)应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新;

(1)描述是否采取安全设备对关键网络节点处对垃圾邮件进行检测和消除

(2)描述相关特征库版本,最新更新时间

有的话就像上面一条那样描述,但是一般都没有,可描述为

 👉本系统未提供任何邮件服务,未开启邮件服务协议,本项不适用

安全审计

a)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

(1)描述是否采取安全设备对重要节点进行安全审计

 👉互联网防火墙、全网行为管理系统、态势感知系统和核心交换机等重要设备均开启了日志审计功能

(2)描述覆盖范围是否达到每个用户

 👉覆盖到每个用户

(3)审计范围是否包含了重要用户行为和重要安全事件

 👉包括但不限于用户的登录登出、操作行为、网络安全事件等

b)审计记录应包括事件的日期和事件、用户、事件类型、事件是否成功及其他与审计相关的信息;

(1)记录摘抄安全审计日志

 👉审计记录应包括xxxxx,摘抄如下

c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

(1)描述是否采取对安全审计记录进行收集,描述是否有专人进行审计管理,日志保存需达到6个月

 👉部署了日志审计系统,对重要网络设备、安全设备日志进行集中存储,审计管理员对审计内容进行管理,日志保存时间可满足180天;

d)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。

(1)描述是否采取安全设备对互联网行为进行单独审计

 👉部署了堡垒机和VPN,所有网络设备、安全设备和服务器均纳入堡垒机集中运维管理,能够对远程访问的用户行为进行审计

(2)描述是否采取安全措施对远程访问进行审计

 👉部署了全网行为管理系统,可对访问互联网的用户行为进行审计分析

可信计算

a)可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

(1)描述是系统中是否采用可信根芯片,当前很多系统均未采用可信根验证一般描述如:

 👉未对边界设备采取基于可信根的可信验证
标签: 网络 网络安全

本文转载自: https://blog.csdn.net/m0_52527037/article/details/137223984
版权归原作者 泙渊 所有, 如有侵权,请联系我们删除。

“安全区域边界(举例设备为互联网防火墙)”的评论:

还没有评论