2019年等保2.0标准的安全区域边界解读

 

更多写作与参考学习材料等可登录ZG文库网http://www.zgwenku.com/下载。

 

标准原文

8.1.3  安全区域边界

8.1.3.1  边界防护 a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信； b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制； c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制； d) 应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。 8.1.3.2  访问控制 a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信； b) 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化； c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出； d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力； e) 应对进出网络的 数据流实现基于应用协议和应用内容的访问控制。 8.1.3.3  入侵防范 a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为； b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为； c) 应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析； d) 当检测到攻击行为时，记录攻击源 IP 、攻击类型、攻击 目标 、攻击时间，在发生严重入侵事件时应提供报警。 8.1.3.4  恶意代码和垃圾邮件防范 a) 应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新； b) 应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和 更新。 8.1.3.5  安全审计 a) 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计； b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； c) 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等； d)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 8.1.3.6  可信验证 可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

主要检查点

边界防护

其实按照以前的旧标准来看，本控制项的部分内容还是属于网络安全的范畴，当前等保2.0 标准中因为重要性将其单独提出结合一些新的要求，形成的 安全区域边界这样一个控制项。

本控制点要求主要是网络层面边界安全的防护能力的检查。共 4 个要求项，可以说只要是做过边界防护工作的企业环境一般都会满足基本要求，在不深入解析的情况下。比如，企业网络边界部署下一代防火墙（包含 IDPS 和 WAF 功能，省去一部分投入预算），根据业务设置合理的 ACL 策略，那么从合规的角度，已经满足一大半的要求了。不过要注意一点，策略和防护必须做双向的，不能再以传统的方法来部署，由内而外的威胁也在逐渐常态化，不能说只考虑别人攻我，我去攻别人就不是安全该管的事了，这种思维就过于偏激和危险了。

对于内部生产网和办公网（也包括管理网在内），建议也在边界设置安全策略，对于未授权设备的接入进行认证和授权，可以部署防火墙或者采用带外管理的方式（堡垒机也可以）来实现。

此外，对于内网人员私接外网的情况必须引起高度重视，此类行为一则难以被及时发现，二则存在极大风险，一定要做好管控工作。常见的就是，员工用手机开热点，机器上开无线或插网卡，这种方式想第一时间发现除非有人举报或者每台机器有相关检测能力的 agent实时反馈到监控平台（后者实践可能性较小），一旦将病毒带入内网，就是一次重大安全事故。某行业企业大面积中招勒索，其实就是内部人员安全意识淡薄，从内部引入病毒，使得边界部署的各种防护设备如同摆设一般，此类问题一定要格外重视，首先从管理层面做好教育和宣传工作，配合技术手段来合理管控。

最后就是无线网络的管理，一般来说大多企业还是将其与生产、办公网络等隔离的，因为大多无线网络是提供互联网访问的。但也有企业内外网均能访问，如果企业自身有信心做好管控也不是不可以，若非如此并不建议。对于无线网络接入的设备必须通过认证和授权，一般来说会由 AC 来进行控制。这里标准要求的还是比较基础的，很容易实现，但是从安全角度来说，要看是什么内部网络，比如生产网，核心业