安全区域边界
1. 边界防护
a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;
1)应核查网络拓扑图与实际的网络链路是否一致,是否明确了网络边界,且明确边界设备端口。
2)应核查路由配置信息及边界设备配置信息,确认是否指定物理端口进行跨越边界的网络通信。
以Cisco I0S为例,输入命令“router#show running - config”,查看相关配置。
3)应采用其他技术手段核查是否不存在其他未受控端口进行跨越边界的网络通信,例如检测无线访问情况,可使用无线嗅探器、无线入侵检测/防御系统、手持式无线信号检测系统等相关工具进行检测
b)应能够对非授权设备私自联到内部网络的行为进行检查或限制;
1)应访谈网络管理员,询问采用何种技术手段或管理措施对非授权设备私自联到内部网络的行为进行管控,并在网络管理员的配合下验证其有效性
2)应核查所有路由器和交换机等设备闲置端口是否均已关闭。
以Cisco I0S为例,输入命令""show ip interfaces brief”
3)如通过部署内网安全管理系统实现系统准入,应检查各终端设备是否统一进行了部署,是否存在不可控特殊权限接入设备
4)如果采用了IP/MAC地址绑定的方式进行准入控制,应核查接入层网络设备是否配置了IP/MAC地址绑定等措施
以Cisco I0S为例,输入命令""show ip arp”
c)应能够对内部用户非授权联到外部网络的行为进行检查或限制;
1)应核查是否采用内网安全管理系统或其它技术手段,对内部用户非授权连接到外部网络的行为进行限制或检查
2)应核查是否限制终端设备相关端口的使用,如禁用双网卡、USB接口、Modem、无线网络等,防止内部用户非授权外连行为
d)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络;
1)应访谈网络管理员是否有授权的无线网络,是否单独组网后接入到有线网络
2)应核查无线网络部署方式,是否部署无线接入网关,无线网络控制器等设备。应检查该类型设备配置是否合理,如无线网络设备信道使用是否合理,用户口令是否具备足够强度、 是否使用WPA2加密方式等
3)应核查网络中是否部署了对非授权无线设备管控措施,能够对非授权无线设备进行检查、屏蔽。如使用无线嗅探器、无线入侵检测/防御系统、手持式无线信号检测系统等相关工具进行检测、限制
2.访问控制
a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
1)应核查在网络边界或区域之间是否部署访问控制设备,是否启用访问控制策略
2)应核查设备的访问控制策略是否为白名单机制,仅允许授权的用户访问网络资源,禁止其他所有的网络访问行为
3)应该检查配置的访问控制策略是否实际应用到相应的接口的进或出方向。
以Cisco I0S为例,输入命令"""“Show running-config”",检查配置文件中访问控制策略
b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
1)应访谈安全管理员访问控制策略配置情况,核查相关安全设备的访问控制策略与业务及管理需求的一致性,结合策略命中数分析策略是否有效
2)应检查访问控制策略中是否已禁止了全通策略或端口、地址限制范围过大的策略。
3)应核查设备的不同访问控制策略之间的逻辑关系是否合理。
以Cisco IOS为例,输入命令”show running-config“,检查配置文件中访问控制列表配置项
c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
1)应核查设备中访问控制策略是否明确设定了源地址、目的地址、源端口、目的端只和协议等相关配置参数。
以Ciso IOS为例 拒绝所有从172.16.4.0到172.16.3.0的ftp通信流量通过F0/0接口,输入命令:”show running-config“,检查配置文件中访问控制列表配置项
d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;
1)应核查状态检测防火墙访问控制策略中是否明确设定了源地址、目的地址、源端口、目的端口和协议
以Cisco IOS为例,输入命令: show running0-config.
"
e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制;
1)应核查在关键网络节点处是否部署访问控制设备
2)应检查访问控制设备是否配置了相关策略,对应用协议、应用内容进行访问控制,并对策略有效性进行测试
3. 入侵防范
a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
1)应核查相关系统或设备是否能够检测从外部发起的网络玫击行为
2)应核查相关系统或设备的规则库版本是否已经更新到最新版本
3)应核查相关系统或设备配置信息或安全策略是否能够覆盖网络所有关键节点
- 应测试验证相关系统或设备的安全策略是否有效
b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;
1)应核查相关系统或设备是否能够检测到从内部发起的网络攻击行为
2)应核查相关系统或设备的规则库版本是否已经更新到最新版本
3)应核查相关系统或设备配置信息或安全策略是否能够覆盖网络所有关键节点
4)应测试验证相关系统或设备的安全策略是否有效
c)应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;
1)应核查是否部署回溯系统或抗APT攻击系统,实现对新型网络攻击行为进行检测和分析
2)应核查相关系统或设备的的规则库版本是否已经更新到最新版本
3)应测试验证是否对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析
d)当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警;
1)访谈网络管理员和查看网络拓扑结构,查看在网络边界处是否部署了包含入侵防范功能的设备。如果部署了相应设备,则检查设备的日志记录,查看是否记录了攻击源IP、攻击类型、攻击目的和攻击时间等信息,查看设备采用何种方式进行报警
2)应测试验证相关系统或设备的报警策略是否有效
4. 恶意代码和垃圾邮件防范
a)应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;
1)应访谈网络管理员和检查网络拓结构,查看在网络边界处是否部署了防恶意代码产品。如果部署了相关产品,则查看是否启用了恶意代码检测并查看白志记录中是否有相关阻断信息
2)应访谈网络管理员,是否对防恶意代码产品的特征库进升级及具体的升级方式,并登录相应的防恶意代码产品,核查其特征库升级情况,当前是否为最新版本
3)应测试验证相关系统或设备的安全策略是否有效
b)应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新;
1)应核查在关键网络节点处是否部署了防垃圾邮件设备或系统
2)应核查防垃圾邮件产品运行是否正常,防垃投邮件规则库是否已经更新到最新
3)应测试验证相关系统或设备的安全策略是否有效
5. 安全审计
a)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
1)核查是否部署了综合安全审计系统或类似功能的系统平台
2)核查安全审计范围是否覆盖到每个用户并对重要的用户行为和重要安全事件进行了审计
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
1)核查审计记录信意是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
-般来说,对于主流路由器和交换机设备,可以实现对系统错误、网络和接口的变化、登录失败、ACL匹配等进行审计,审计内容向括了时间、类型、用户等相关信息。因此,只要这些路由器和交换机设备启用审计功能就能符合该项要求。但对于防火墙等安全设备来说,由于其访同控制策略命中日志需要手动启用,因此应重点核查其访问控制策命中日志是否启用
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
1)核查是否采取了技术措施对审计记录进行保护
2)核查审计记录的备份机制和备份策略是否合理
d)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析;
1)核查是否对远程访问用户及互联风访问用户行为单独进行审计分析,并核查审计分析的记录是否包含了用于管理远程访同行为、访问互联网用户行为必要的信息
6.可信验证
a)可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心;
1)应核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和关键应用程序等进行可信验证
2)应核查是否应用程序的关键执行环节进行动态可信验证
3)应测试验证当检测到设备的可信性受到破坏后是否进行报警
4)应测试验证结果是否以审计记录形式送至安全管理中心
1)边界设备(网闸、防火墙、交换机、路由器或其他边界防护设备)具有可信根芯片或硬件
2)启动过程基于可信根对系统引导程序、系统程序、重要配置参数和关键应用程序等进行可信验证度量
3)在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
4) 安全管理中心可以接收设备的验证结果记录
7.安全扩展要求部分
云服务商
访问控制
a)应在虚拟化网络边界部署访问控制机制,并设置访问控制规则;
b)应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则;
入侵防范
a)应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
b)应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
c)应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量;
d)应在检测到网络攻击行为、异常流量时进行告警;
安全审计
a)应对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启;
b)应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计;