freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

網絡安全等級保護安全區域邊界
2020-04-18 16:04:17

《GB/T 22239-2019 信息安全技術?網絡安全等級保護基本要求》(以下簡稱“基本要求”)于2019年5月13日發布,2019年12月1日起正式實施?;疽笾?/span>等級保護對象在傳統信息系統的基礎上,綜合考慮了云計算、物聯網等新應用、新技術,等級保護對象調整為基礎信息網絡、信息系統(含采用移動互聯技術的系統)、云計算平臺/系統、大數據應用/平臺/資源、物聯網和工業控制系統等;

安全要求部分包括安全通用要求和安全擴展要求, 安全擴展要求包括云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求以及工業控制系統安全擴展要求。其中,安全通用要求是不管等級保護對象形態如何必須滿足的要求,而針對云計算、移動互聯、物聯網、工業控制系統和大數據提出的特殊要求稱為安全擴展要求。

安全通用可分為技術類要求和管理類要求,其中技術要求包括安全物理環境、安全通信網絡、安全區域邊界、安全計算環境和安全管理中心; 管理要求包括安全管理制度、安全管理機構、安全管理人員 、安全建設管理和安全運維管理。

1583567599293767.png在通用要求技術部分,關于網絡安全涉及安全通信網絡和安全區域邊界兩個安全類。 安全通信網絡主要針對通信網絡(廣域網、城域網或局域網)提出安全要求,而安全區域邊界主要針對等級保護對象網絡邊界和區域邊界提出的安全要求。不同等級(第一級到第四級)的等級保護對象的安全要求存在一定的差異,安全通信網絡和安全區域邊界在不同等級的控制點和要求項條款數如下表,本文以第三級為例,對安全通用要求部分關于“網絡安全(安全區域邊界)”部分的要求項進行簡要介紹。

1583568528775086.png

網絡安全等級保護2.0安全區域邊界通用要求基本條款如下:

邊界防護【要求項】

a) 應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信;

b) 應能夠對非授權設備私自聯到內部網絡的行為進行檢查或限制;

c) 應能夠對內部用戶非授權聯到外部網絡的行為進行檢查或限制;

d) 應限制無線網絡的使用,保證無線網絡通過受控的邊界設備接入內部網絡。

【適用保護對象】

網絡全局

【條款導讀】

邊界防護是構建網絡安全縱生防御體系的重要一環,缺少邊界安全防護就無法實現網絡安全。邊界防護相關要求項針對邊界安全準入、準出的相關安全策略,條款a)要求邊界要有訪問控制設備,并明確邊界設備物理端口,跨越邊界的訪問和數據流僅能通過指定的設備端口進行數據通信,條款b、c)要求通過技術手段和管理措施對“非法接入”、“非法外聯”行為進行檢查、限制。

條款a)是邊界安全的基礎,為保障數據通過受控邊界進行通信,要求邊界要有訪問控制設備,并明確邊界設備物理端口,跨越邊界的訪問和數據流僅能通過指定的設備端口進行數據通信。

非授權設備私自連到內部網絡的“非法接入”行為可能破壞原有的邊界防護策略。條款b)要求通過技術手段和管理措施對“非法接入”行為進行檢查、限制。通過部署內網安全管理系統、終端準入控制系統等,關閉網絡設備未使用的端口或進行IP/MAC地址綁定等措施,可實現“非法接入”行為控制。

條款c)主要防止內網用戶非法建立通路連接到外部網絡的行為,要求通過技術手段和管理措施對“非法外聯”行為進行檢查、限制?!胺欠ㄍ饴摗毙袨槔@過邊界安全設備的通用管理,使得內部網絡面臨風險增大。通成部署全網行為管理系統的非授權外聯管控功能或者防非法外聯系統對“非法外聯”行為控制,從而減少安全風險的引入。

無線網絡信號的開放性使得其安全隱患更大,條款d)要求限制非授權的無線網絡接入,并且無線網絡通過無線接入網關等受控的邊界防護設備接入到內部有線網絡。此外,應部署無線網絡管控措施,對非授權無線網絡進行檢測、屏蔽。

訪問控制【要求項】:

a) 應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則,默認情況下除允許通信外受控接口拒絕所有通信;

b) 應刪除多余或無效的訪問控制規則,優化訪問控制列表,并保證訪問控制規則數量最小化;

c) 應對源地址、目的地址、源端口、目的端口和協議等進行檢查,以允許/拒絕數據包進出;

d) 應能根據會話狀態信息為進出數據流提供明確的允許/拒絕訪問的能力;

e) 應對進出網絡的數據流實現基于應用協議和應用內容的訪問控制。

【適用保護對象】

網絡全局

【條款導讀】

訪問控制這一控制點相關要求是針對網絡安全策略中訪問控制策略提出的相關要求,不同安全級別的網絡相連,產生了網絡邊界。為防止來自網絡外界的入侵,應在網絡邊界設置安全訪問控制措施。常見措施包括設計VLAN、劃分網段、部署防火墻、IP地址與MAC地址綁定等。關于訪問控制,應保證:嚴格的安全防護機制,安全性較高的防火墻(支持會話層和應用層訪問控制策略)。

條款a)要求部署在網絡邊界或區域間的訪問控制設備或組件,應根據訪問控制策略設置有效的訪問控制規則,訪問控制規采用白名單機制僅允許被授權的對象能夠訪問網絡資源;條款b)要求刪除過多的、冗余的、邏輯關系混亂的訪問控制規則,根據實際業務需求配置訪問控制策略,保障訪問控制規則數量最小化。

網絡邊界訪問控制設備的策略規則基本匹配項有源地址、目的地址、源端口、目的端口和協議等。條款c)要求訪問控制規則應列明這些控制元素,實現端口級的訪問控制功能;條款d)要求邊界訪問控制設備在端口級訪問控制粒度的基礎上,需具有基于狀態檢測和會話機制的方式對數據流進行控制的能力;條款e)要求訪問控制設備具有應用層的應用協議及應用內容的控制功能,如對實時通訊流量、視頻流量、WEB服務等進行識別與控制,保證跨邊界訪問的安全。

入侵防范要求項】:

a) 應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為;

b) 應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為;

c) 應采取技術措施對網絡行為進行分析,實現對網絡攻擊特別是新型網絡攻擊行為的分析;

d) 當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間,在發生嚴重入侵事件時應提供報警。

【適用保護對象】

網絡全局

【條款導讀】

入侵防范控制點要求項主要針對流量安全檢測,網絡流量檢測措施包括部署入侵檢測系統/入侵防御系統、防病毒網關、抗拒絕服務攻擊系統以及漏洞掃描系統等。采用基于特征或基于行為的檢測方法對數據包的特征進行深度分析,發現網絡攻擊行為和異常訪問行為,并設置告警機制。

入侵防范是一種可識別潛在的威脅并迅速地做出應對的網絡安全防范辦法。入侵防范技術作為一種積極主動地安全防護技術,提供了對外部攻擊、內部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。入侵防范被認為是防火墻之后的第二道安全閘門,在不影響網絡和主機性能的情況下能對網絡和主機的入侵行為進行監測。

安全區域邊界入侵防范主要指在關鍵網絡節點處對從外部或內部發起的網絡攻擊進行入侵防范。

條款a)、b)要求對網絡邊界內部或外部發起的攻擊行為進行有效檢測、防止或限制,要求在網絡邊界、核心等關鍵網絡節點處部署入侵檢測系統IDS、入侵防御系統IPS、包含入侵防范功能模塊的防火墻等,并結合流量分析系統進行綜合監控。條款c)要求對網絡行為進行檢測分析,并能夠發現新型網絡攻擊行為,用戶可通過部署部署APT攻擊監測與防護系統、態勢安全感知系統SIP、網絡回溯分析系統RSA、網絡全流量安全分析系統TSA等實現對新型網絡攻擊行為進行檢測和分析。

新型攻擊行為如APT(Advanced persistent threat),APT是指高級持續性威脅,其本質是針對性攻擊。APT可繞過傳統的基于代碼的安全方案(如防火墻、IPS、防病毒軟件),長時間的潛伏在系統,使得傳統的防御體系難以偵測。

條款d)要求在檢測到攻擊行為時能夠準確的記錄攻擊信息,包括攻擊源IP、攻擊類型、攻擊目標和攻擊時間等。通過詳細的攻擊信息可以對攻擊行為進行深度分析,及時作出響應;當發生嚴重入侵事件時,應能夠及時向相關人員通過短信、郵件、手機APP聯動、聲光控制等方式告警。

惡意代碼和垃圾郵件防范要求項】:

a) 應在關鍵網絡節點處對惡意代碼進行檢測和清除,并維護惡意代碼防護機制的升級和更新;

b) 應在關鍵網絡節點處對垃圾郵件進行檢測和防護,并維護垃圾郵件防護機制的升級和更新。

【適用保護對象】

網絡全局

【條款導讀】

惡意代碼是一種可執行程序,惡意代碼以普通病毒、木馬、網絡蠕蟲、移動代碼和復合型病毒等多種形態存在,惡意代碼具有非授權可執行性、隱蔽性、傳染性、破壞性、潛伏性及變化快等多種特性,主要通過網頁、郵件等網絡載體進行傳播。因此,在關鍵網絡節點處(網絡邊界和核心業務網)部署防病毒網關、UTM或其他惡意代碼防范產品,是最直接、高效的惡意代碼防范方法。

條款a)要求在網絡關鍵節點部署的防惡意代碼產品至少應具備的功能包括:惡意代碼分析檢查能力、惡意代碼清除或阻斷能力以及發現惡意代碼后日志記錄能力。由于惡意代碼變化性快,惡意代碼特征庫應定期升級、更新。

垃圾郵件是指電子郵件使用者事先未提出要求或同意接收的電子郵件,條款b)主要是為防止惡意代碼通過垃圾郵件進入到網絡,在關鍵網絡節點部署垃圾郵件網關或或其他相關措施對垃圾郵件進行識別和處理,并保證惡意代碼規則庫定期更新到最新。

安全審計要求項】:

a) 應在網絡邊界、重要網絡節點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;

b) 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;

c) 應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等。

d) 應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析。

【適用保護對象】

網絡全局

【條款導讀】

網絡區域邊界安全審計重點關注的是網絡邊界、重要節點(安全設備、核心設備、匯聚層設備等)的網絡用戶行為和安全事件的審計。

安全審計控制點針對網絡安全審計策略,網絡安全審計策略,可以加強網絡和系統的審計安全。常見措施包括部署網絡安全審計系統、設置操作系統日志及其審計措施、設計應用程序日志及其審計措施等。

網絡安全是動態的可以部署網絡安全審計系統,對網絡安全狀態進行實時可視化審計,?并對審計記錄進行定期的備份轉存,主要針對網絡行為和安全事件審計。

條款a)要求在網絡邊界和重要網絡節點進行安全審計,可部署綜合安全審計系統、上網行為管理或其他技術措施對所有跨網絡邊界訪問的用戶行為、各類安全事件進行收集、分析,以日志的形式進行審計;為保證事后分析事件的準確性,條款b)要求審計記錄內容包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;條款c)要求對審計記錄進行定期的備份、轉存,防止未授權修改、刪除和破壞,并限制非授權人員對審計記錄的訪問;遠程訪問和互聯網訪問增加了網絡安全風險,對于這兩類網絡訪問行為應強化審計,并將這兩類用戶行為進行單獨的審計和分析。

可信驗證要求項】:

可基于可信根對邊界設備的系統引導程序、系統程序、重要配置參數和邊界防護應用程序等進行可信驗證,并在應用程序的所有執行環節進行動態可信驗證,在檢測到其可信性受到破壞后進行報警,并將驗證結果形成審計記錄送至安全管理中心,并進行動態關聯感知。

【適用保護對象】

邊界網絡安全設備

【條款導讀】

主要針對網絡安全設備可信啟動。

本文作者:, 轉載請注明來自FreeBuf.COM

# 網絡安全 # 網絡安全等級保護2.0 # 安全區域邊界
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网