前言
本期继续对GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》中第三级测评要求的安全测评通用要求进行解读,本期主要对安全区域边界进行解读。
一、边界防护
8.1.3.1 边界防护
8.1.3.1.1 测评单元(L3-ABS1-01)
该测评单元包括以下要求:
a)测评指标:应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
b)测评对象:网闸、防火墙、路由器、交换机和无线接人网关设备等提供访问控制功能的设备或相关组件。
c) 测评实施包括以下内容:
1)应核查在网络边界处是否部署访问控制设备;
2)应核查设备配置信息是否指定端口进行跨越边界的网络通信,指定端口是否配置并启用了安全策略;
3)应采用其他技术手段(如非法无线网络设备定位、核查设备配置信息等)核查或测试验证是否不存在其未受 控端口进行跨越边界的网络通信。
d)单元判定:如果1)~3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
1)查看网络拓扑图,并比对实际的网络链路,确认是否明确了网络边界,并且网络边界处是否部署了边界防护设备;
2)查看是否明确了边界设备端口,以及端口安全策略配置情况。通过相关命令查看设备端口、Vlan信息,以Cisco I0S为例,输入命令“router#show running - config”,可查看相关配置;
3)可使用无线嗅探器、无线入侵检测/防御系统、手持式无线信号检测系统等相关工具进行检测,不过一般都通过访谈形式进行测试。
8.1.3.1.2 测评单元(L3-ABS1-02)
该测评单元包括以下要求:
a)测评指标:应能够对非授权设备私自联到内部网络的行为进行检查或限制。
b)测评对象:终端管理系统或相关设备。
c)测评实施包括以下内容:
1)应核查是否采用技术措施防止非授权设备接入内部网络;
2)应核查所有路由器和交换机等相关设备闲置端口是否均已关闭。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
1)询问管理员是否采用技术措施防止非授权设备接入内部网络,技术措施包括部署准入系统、IP-MAC地址绑定等措施;
2)对网络设备闲置端口进行检查,以Cisco IOS为例,输入命令"show ip interfaces brief”,可查看相关端口配置信息。
8.1.3.1.3 测评单元(L3-ABS1-03)
该测评单元包括以下要求:
a)测评指标:应能够对内部用户非授权联到外部网络的行为进行检查或限制。
b)测评对象:终端管理系统或相关设备。
c)测评实施:应核查是否采用技术措施防止内部用户存在非法外联行为。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
核查是否限制终端设备相关端口的使用,如禁用双网卡、USB接口、modem、无线网络等,防止内部用户非授权外连行为。
8.1.3.1.4 测评单元(L3-ABS1-04)
该测评单元包括以下要求:
a)测评指标:应限制无线网络的使用,保证无线网络通过受控的边界设备接人内部网络。
b)测评对象:网络拓扑和无线网络设备。
c)测评实施包括以下内容:
1)应核查无线网络的部署方式,是否单独组网后再连接到有线网络;
2)应核查无线网络是否通过受控的边界防护设备接人到内部有线网络。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
1)访谈网络管理员是否有授权的无线网络,如有,询问是否单独组网后接入到有线网络。
2)应核查无线网络部署方式,是否部署无线接入网关,无线网络控制器等设备。应检查该类型设备配置是否合理,如无线网络设备信道使用是否合理,用户口令是否具备足够强度、 是否使用WPA2加密方式等。还应核查网络中是否部署了对非授权无线设备管控措施,能够对非授权无线设备进行检查、屏蔽。如使用无线嗅探器、无线入侵检测/防御系统、手持式无线信号检测系统等相关工具进行检测、限制。
二、访问控制
8.1.3.2 访问控制
8.1.3.2.1 测评单元(L3-ABS1-05)
该测评单元包括以下要求:
a)测评指标:应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。
b)测评对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件。
c)测评实施包括以下 内容:
1)应核查在网络边界或区域之间是否部署访问控制设备并启用访问控制策略;
2)应核查设备的最后一条访问控制策略是否为禁止所有网络通信。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
1)检查网络边界或区域之间是否部署访问控制设备并启用访问控制策略。其中访问控制设备包括防火墙、网闸、准入系统、IPS等,访问控制策略包括设置白名单/黑名单、设置访问时间、禁用高危端口、禁用不必要的服务等。
2)与互联网互连的系统,边界处如无专用的访问控制设备或配置了全通策略,可判定为高风险。
8.1.3.2.2 测评单元(L3-ABS1-06)
该测评单元包括以”下要求:
a)测评指标:应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化。
b)测评对象:网闸、防火墙、路由器、交换机和无线接人网关设备等提供访问控制功能的设备或相关组件。
c))测评实施包括以下内容:
1)应核查是否不存在多余或无效的访问控制策略;
2)应核查不同的访问控制策略之间的逻辑关系及前后排列顺序是否合理。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
1)应访谈安全管理员访问控制策略配置情况,核查相关安全设备的访问控制策略与业务及管理需求的一致性,结合策略命中数分析策略是否有效;
2)应核查设备的不同访问控制策略之间的逻辑关系是否合理。
8.1.3.2.3 测评单元(L3-ABS1-07)
该测评单元包括以下要求
a)测评指标:应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出。
b)测评对象:网闸、防火墙、路由器、交换机和无线接人网关设备等提供访问控制功能的设备或相关组件。
c)测评实施包括以下内容:
1)应核查设备的访问控制策略中是否设定了源地址、目的地址、源端口、目的端口和协议等相关配置参数;
2)应测试验证访问控制策略中设定的相关配置参数是否有效。
d)单元判定:如果 1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
1)应核查设备中访问控制策略是否明确设定了源地址、目的地址、源端口、目的端只和协议等相关配置参数。
以Ciso IOS为例 拒绝所有从172.16.4.0到172.16.3.0的ftp通信流量通过F0/0接口,输入命令:”show running-config“,检查配置文件中访问控制列表配置项;
2)测试验证访问控制策略中设定的相关配置参数是否有效。
8.1.3.2.4 测评单元(L3-ABS1-08)
该测评单元包括以下要求
a)测评指标:应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。
b)测评对象:网闸、防火墙、路由器、交换机和无线接人网关设备等提供访问控制功能的设备或相关组件。
c)测评实施包括以下内容:
1)应核查是否采用会话认证等机制为进出数据流提供明确的允许/拒绝访问的能力;
2)应测试验证是否为进出数据流提供明确的允许/拒绝访问的能力。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
1)会话认证等机制一般第三代防火墙(状态检测防火墙)可以实现此机制,登录防火墙查看相关策略配置情况即可;
2)测试验证策略对进出数据流控制是否有效。
8.1.3.2.5 测评单元(L3-ABS1-09)
该测评单元包括以下要求:
a)测评指标:应对进出网络的数据流实现基于应用协议和应用内容的访问控制。
b)测评对象:第二代防火墙等提供应用层访问控制功能的设备或相关组件。
c)测评实施包括以下内容:
1)应核查是否部署访问控制设备并启用访问控制策略;
2)应测试验证设备访问控制策略是否能够对进出网络的数据流实现基于应用协议和应用内容的访问控制。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
1)检查访问控制设备部署情况,并查看访问控制策略启动情况;
2)能够实现基于应用协议和应用内容的访问控制,这是公安部对第二代防火墙产品的标准要求,所以部署有第二代防火墙都满足该条件。
中华人民共和国公安部于2014年7月24日正式出台适用于国内网络环境的《信息安全技术 第二代防火墙安全技术要求》,该标准对第二代防火墙提出新的功能要求如下:
1 应用协议访问控制
第二代防火墙应能够基于应用层协议分析识别各种应用协议并进行控制,应用协议识别库不低于2000种,包括但不限于:
a) HTTP、FTP、TFLNET、SSH、SMTP、POP3等常见应用,如HTTP文件下载/内容提交,FTP上传/下载等;
b) 即时消息、P2P应用、网络流媒体、网络游戏、股票软件;
c) 动态开放端口的应用识别;
d) 采用隧道加密技术的应用,如翻墙软件或加密代理等;
e) 自定义应用类型的识别。
2 应用内容访问控制
第二代防火墙应能够支持基于应用内容的访问控制策略,具体技术要求如下:
a) 安全策略包含基于URL的访问控制,并可针对网站类型进行分类过滤,如成人类,赌博类,娱乐类等;
b) 具备恶意网站过滤的功能,并支持自定义恶意网站;
c) 安全策略包含基于文件类型的访问控制,并可基于文件类型进行下载过滤。包括HTTP、FTP、邮件附件等;
d) 能够对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET 、SMTP和POP3等协议命令级的控制。
3 用户管控
第二代防火墙应具备内网用户管理与识别的功能,应支持:
a) 基于用户名/密码的本地认证方式;
b) LDAP、Radius等第三方认证服务器对用户身份进行鉴别;
c) 基于用户/用户组进行访问控制。
三、入侵防范
8.1.3.3 入侵防范
8.1.3.3.1 测评单元(L3-ABS1-10)
该测评单元包括以下要求:
a)测评指标:应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。
b)测评对象:抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统和入侵保护系统或相关组件。
c)测评实施包括以下内容:
1)应核查相关系统或组件是否能够检测从外部发起的网络攻击行为;
2)应核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本;
3)应核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点;
4)立测试验证相美系統或组件的配畳信息或安全策略是否有效。
d)単元判定:如果1)~4)均カ肯定,則符合本测评単元指柝要求,否則不符合或部分符合本测评単元指柝要求。
1)一般有部署IPS、防火墙、动态防御系统、WAF、威胁情报监测等设备的,此项基本都满足。
一般从外部发起的网络攻击行为有:端口渗透、系统漏洞利用、爆破、网络监听、DDos攻击等。
2)检查相关设备的规则库版本或威胁情报库是否已经更新到最新版本;
3)要保证所有关键节点均受相关设备保护;
4)针对有入侵风险的动作应予以告警或拦截,查看警告或拦截等策略是否生效。
8.1.3.3.2 测评单元(L3-ABS1-11)
该测评单元包括以下要求:
a)测评指标:应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。
b)测评对象:抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统和人侵保护系统或相关组件。
c)测评实施包括以下 内容:
1)应核查相关系统或组件是否能够检测到从内部发起的网络攻击行为;
2)应核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本;
3)应核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点;
4)应测试验证相关系统或组件的配置信息或安全策略是否有效。
d)单元判定:如果1)~4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
此测评单元参照8.1.3.3.1 ,需要注意的是等保2.0里面要求能够检测到从内部发起的网络攻击行为,因此需要检查是否部署双向流量检测产品,以满足从外部到内部、内部到外部的攻击行为检测。
8.1.3.3.3 测评单元(L3-ABS1-12)
该测评单元包括以下要求:
a)测评指标:应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。
b)测评对象:抗APT攻击系统、网络回溯系统和威胁情报检测系统或相关组件。
c)测评实施包括以下内容:
1)应核查是否部署相关系统或组件对新型网络攻击进行检测和分析;
2)应测试验证是否对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
1)应核查是否部署相关系统或组件对新型网络攻击进行检测和分析。
新型网络攻击是指日益智能化和复杂化的网络攻击,如勒索病毒、恶意挖矿、APT攻击、0day攻击等。
2)应检查部署的新型网络攻击防范设备,对新型网络攻击行为是否能有效检测到。
8.1.3.3.4 测评单元(L3-ABS1-13)
该测评单元包括以下要求:
a)测评指标:当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重人侵事件时应提供报警。
b)测评对象:抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统和人侵保护系统或相关组件。
c)测评实施包括以下内容:
1)应核查相关系统或组件的记录是否包括攻击源IP、攻击类型、攻击目标、攻击时间等相关内容;
2)应测试验证相关系统或组件的报警策略是否有效。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
1)应检查入侵防范设备(IPS、防火墙、动态防御系统、WAF、威胁情报监测等)对攻击行为进行记录情况,日志内容包括但不限于攻击源IP、攻击类型、攻击目标、攻击时间;
2)应检查入侵防范设备报警策略是否有效。
四、恶意代码和垃圾邮件防范
8.1.3.4 恶意代码和垃圾邮件防范
8.1.3.4.1 测评单元(L3-ABS1-14)
该测评单元包括以下要求:
a)测评指标:应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。
b)测评对象:防病毒网关和UTM等提供防恶意代码功能的系统或相关组件。
c)测评实施包括以下内容:
1)应核查在关键网络节点处是否部署防恶意代码产品等技术措施;
2)应核查防恶意代码产品运行是否正常,恶意代码库是否已经更新到最新;
3)应测试验证相关系统或组件的安全策略是否有效。
d)单元判定:如果1)~3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
1)应访谈网络管理员和检查网络拓结构,查看在网络边界处是否部署了防恶意代码检测产品;
2)如果部署了相关产品,,则查看是否启用了恶意代码检测功能以及功能是否正常(可以查看日志记录),访谈网络管理员恶意代码库是否更新到最新版本以及具体的升级方式;
3)应测试验证相关系统或设备的安全策略是否有效。
8.1.3.4.2 测评单元(L3-ABS1-15)
该测评单元包括以下要求:
a)测评指标:应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
b)测评对象:防垃圾邮件网关等提供防垃圾邮件功能的系统或相关组件。
c)测评实施包括以下内容:
1)应核查在关键网络节点处是否部署了防垃圾邮件产品等技术措施;
2)应核查防垃圾邮件产品运行是否正常,防垃圾邮件规则库是否已经更新到最新;
3)应测试验证相关系统或组件的安全策略是否有效。
d)单元判定:如果1)~3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
1)应访谈网络管理员和检查网络拓结构,查看在网络边界处是否部署了垃圾邮件防范产品;
2)如果部署了相关产品,,则查看是否启用了垃圾邮件防范功能以及功能是否正常(可以查看日志记录),访谈网络管理员垃圾邮件规则库是否更新到最新版本以及具体的升级方式;
3)应测试验证相关系统或设备的安全策略是否有效。
五、安全审计
8.1.3.5 安全审计
8.1.3.5.1 测评单元(L3-ABS1-16)
该测评单元包括以下要求:
a)测评指标: 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
b)测评对象:综合安 全审计系统等。
c)测评实施包括以下内容:
1)应核查是否部署了综合安全审计系统或类似功能的系统平台;
2)应核查安全审计范围是否覆盖到每个用户;
3)应核查是否对重要的用户行为和重要安全事件进行了审计。
d)单元判定:如果1)~3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
1)核查是否部署了日志审计系统或类似功能的系统平台;
2)日志审计系统是否覆盖到系统中每个用户;
3)是否对重要的用户行为和重要安全事件进行了审,重要的用户行为一般包含登录、登出、修改账户信息等,重要安全事件一般包含系统敏感信息的增、删、改等。
8.1.3.5.2 测评单元(L3-ABS1-17)
该测评单元包括以下要求:
a) 测评指标:审计记录应包括事件的日期和时间、用户、事件类型、 事件是否成功及其他与审计相关的信息。
b) 测评对象:综合安全审计系统等。
c)测评实施:应核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
核查具体的审计记录信息,查看是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。一般来说,对于主流路由器和交换机等网络设备,可以实现对系统错误、网络和接口的变化、登录失败、ACL匹配等进行审计,审计内容向括了时间、类型、用户等相关信息。但是对于防火墙等安全设备则不一定启用了日志审计策略,日志记录内容也不一定满足要求,需要重点检查。
8.1.3.5.3 测评单元(L3-ABS1-18)
该测评单元包括以下要求:
a)测评指标:应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
b)测评对象:综合安全审计系统等。
c)测评实施包括以下内容:
1)应核查是否采取了技术措施对审计记录进行保护;
2)应核查是否采取技术措施对审计记录进行定期备份,并核查其备份策略。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
1)核查是否采取了技术措施对审计记录进行保护,访谈管理员日志记录是否不可删除;
2)核查是否采取技术措施对审计记录进行定期备份,并核查其备份策略。包括手动备份和自动备份,同时还需要查看备份记录和备份结果。
ps:关于设备审计日志留存时间问题会在后面的安全管理中心的文章进行集中解答。
8.1.3.5.4 测评单元(L3-ABS1-19)
该测评单元包括以下要求:
a)测评指标:应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
b)测评对象:上网行为管理系统或综合安全审计系统。
c)测评实施:应核查是否对远程访问用户及互联网访问用户行为单独进行审计分析。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
核查是否对远程访问用户及互联网访问用户行为单独进行审计分析,并核查审计分析的记录是否包含了用于管理远程访同行为、访问互联网用户行为必要的信息。
六、可信验证
8.1.3.6 可信验证
8.1.3.6.1 测评单元(L3-ABS1-20)
该测评单元包括以下要求:
a)测评指标:可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
b)测评对象:提供可信验证的设备或组件、提供集中审计功能的系统。
c)测评实施包括以下内容:
1)应核查是否基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证;
2)应核查是否在应用程序的关键执行环节进行动态可信验证;
3)应测试验证当检测到边界设备的可信性受到破坏后是否进行报警;
4)应测试验证结果是否以审计记录的形式送至安全管理中心。
d)单元判定:如果1)~4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
1)边界设备(网闸、防火墙、交换机、路由器或其他边界防护设备)是否具有可信根芯片或硬件;
2)启动过程基于可信根对系统引导程序、系统程序、重要配置参数和关键应用程序等进行可信验证度量;
3)在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心;
4) 安全管理中心可以接收设备的验证结果记录。
可信验证这个现在行业内虽然有厂商宣称有解决方案,但是真正将可信验证落实到业务系统中去,还有很多的阻力,这一测评项基本上都没有企业能够满足,默认不符合。可信验证也是2.0的新要求,关于可信验证后面我会单独写一篇文章介绍。
总结
本期就GB/T 28448-2019三级系统中的安全区域边界测评进行了简单的解读,有不对的地方,欢迎指正。下期将对安全计算环境进行解读。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
