高风险判定指引:判例内容及其建议(技术部分3)

  • A+
所属分类:安全闲碎

3/安全区域边界/边界防护

6.3.1无线网络管控措施缺失

本判例包括以下内容:

a)标准要求:应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。

b)适用范围:三级及以上系统。

c)判例场景:内部重要网络与无线网络互联,且不通过任何受控的边界设备,或边界设备控制策略设置不当,一旦非授权接入无线网络即可访问内部重要资源。

d)补偿因素:对于必须使用无线网络的场景,可从无线接入设备的管控和身份认证措施、非授权接入的可能性等角度进行综合风险分析,根据分析结果,酌情判定风险等级。

无特殊需要,建议内部重要网络不应与无线网络互联;若因业务需要,则建议加强对无线网络设备接入的管控,并通过边界设备对无线网络的接入设备对内部重要网络的访问进行限制,降低攻击者利用无线网络入侵内部重要网络的可能性。

 

3/安全区域边界/访问控制

6.3.2重要网络区域边界访问控制配置不当

本判例包括以下内容:

a)标准要求:应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。

b)适用范围:二级及以上系统。

c)判例场景:重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)访问控制设备配置不当或控制措施失效,存在较大安全隐患。例如办公网络任意网络终端均可访问核心生产服务器和网络设备;无线网络接入区终端可直接访问生产网络设备等。

d)补偿因素:无。

建议对重要网络区域与其他网络区域之间的边界进行梳理,明确访问地址、端口、协议等信息,并通过访问控制设备,合理配置相关控制策略,确保控制措施有效。

 

3/安全区域边界/入侵防范

6.3.3外部网络攻击防御措施缺失

本判例包括以下内容:

a)标准要求:应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。

b)适用范围:二级及以上系统。

c)判例场景(任意):

1)二级系统关键网络节点无任何网络攻击行为检测手段,例如未部署入侵检测系统;

2)三级及以上系统关键网络节点对外部发起的攻击行为无任何防护手段,例如未部署IPS入侵防御设备、应用防火墙、反垃圾邮件、态势感知系统或抗DDoS设备等;

3)网络攻击/防护检测措施的策略库、规则库半年及以上未更新,无法满足防护需求。

d)补偿因素:主机设备部署入侵防范产品,且策略库、规则库更新及时,能够对攻击行为进行检测、阻断或限制,可根据实际措施效果,酌情判定风险等级。

注1:策略库、规则库的更新周期可根据部署环境、行业或设备特性缩短或延长。

注2:所列举的防护设备仅为举例使用。测评过程中,应分析定级对象所面临的威胁、风险以及安全防护需求,并以此为依据检查是否合理配备了对应的防护设备。

建议在关键网络节点(如互联网边界处)合理部署具备攻击行为检测、防止或限制功能的安全防护设备(如入侵防御设备、WEB应用防火墙、抗DDoS攻击设备等),或采用云防、流量清洗等外部抗攻击服务;相关安全防护设备应及时升级策略库、规则库。

 

3/安全区域边界/入侵防范

6.3.4内部网络攻击防御措施缺失

本判例包括以下内容:

a)标准要求:应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。

b)适用范围:三级及以上系统。

c)判例场景(任意):

1)关键网络节点对内部发起的攻击行为无任何检测、防护手段,例如未部署入侵检测系统、IPS入侵防御设备、态势感知系统等;

2)网络攻击/防护检测措施的策略库、规则库半年及以上未更新,无法满足防护需求。

d)补偿因素:

1)对于主机设备部署入侵防范产品的情况,可从策略库、规则库更新情况,对攻击行为的防护能力等角度进行综合风险分析,根据分析结果,酌情判定风险等级;

2)对于重要网络区域与其他内部网络之间部署防火墙等访问控制设备,且对访问的目标地址、目标端口、源地址、源端口、访问协议等有严格限制的情况,可从现有措施能否对内部网络攻击起到限制作用等角度进行综合风险分析,根据分析结果,酌情判定风险等级;

3)对于与互联网完全物理隔离或强逻辑隔离的系统,可从网络、终端采取的管控,攻击源进入内部网络的可能性等角度进行综合风险分析,根据分析结果,酌情判定风险等级。

建议在关键网络节点处进行严格的访问控制措施,并部署相关的防护设备,检测、防止或限制从内部发起的网络攻击行为(包括其他内部网络区域对核心服务器区的攻击行为、服务器之间的攻击行为、内部网络向互联网目标发起的攻击等)。对于服务器之间的内部攻击行为,建议合理划分网络区域,加强不同服务器之间的访问控制,部署主机入侵防范产品,或通过部署流量探针的方式,检测异常攻击流量。

 

3/安全区域边界/恶意代码和垃圾邮件防范

6.3.5恶意代码防范措施缺失

本判例包括以下内容:

a)标准要求:应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的更新。

b)适用范围:二级及以上系统。

c)判例场景(所有):

1)主机层无恶意代码检测和清除措施,或恶意代码库一个月以上未更新;2)网络层无恶意代码检测和清除措施,或恶意代码库一个月以上未更新。

d)补偿因素:

1)对于使用Linux、Unix、Solaris、CentOS、AIX、Mac等非Windows操作系统的二级系统,主机和网络层均未部署恶意代码检测和清除产品,可从总体防御措施、恶意代码入侵的可能性等角度进行综合风险分析,根据分析结果,酌情判定风险等级;

2)与互联网完全物理隔离或强逻辑隔离的系统,其网络环境可控,并采取USB介质管控、部署主机防护软件、软件白名单等技术措施,能有效防范恶意代码进入被测主机或网络,可根据实际措施效果,酌情判定风险等级;

3)主机设备采用可信基的防控技术,对设备运行环境进行有效度量,可根据实际措施效果,酌情判定风险等级。

建议在关键网络节点及主机操作系统上均部署恶意代码检测和清除|产品,并及时更新恶意代码库,网络层与主机层恶意代码防范产品宜形成异构模式,有效检测及清除可能出现的恶意代码攻击。

 

3/安全区域边界/安全审计

6.3.6网络安全审计措施缺失

本判例包括以下内容:

a)标准要求:应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。

b)适用范围:二级及以上系统。

c)判例场景(所有):

1)在网络边界、关键网络节点无法对重要的用户行为进行日志审计;

2)在网络边界、关键网络节点无法对重要安全事件进行日志审计。

d)补偿因素:无。

注:网络安全审计指通过对网络边界或重要网络节点的流量数据进行分析,从而形成的网络安全审计数据。网络安全审计包括网络流量审计和网络安全事件审计,其中网络流量审计主要是通过对网络流量进行统计、关联分析、识别和筛选,实现对网络中特定重要行为的审计,例如对各种违规的访问协议及其流量的审计、对访问敏感数据的人员行为或系统行为的审计等;网络安全事件审计包括但不限于对网络入侵检测、网络入侵防御、防病毒产品等设备检测到的网络攻击行为、恶意代码传播行为的审计等。

建议在网络边界、关键网络节点处部署具备网络行为审计以及网络安全审计功能的设备(例如网络安全审计系统、网络流量分析设备、入侵防御设备、态势感知设备等),并保留相关审计数据,同时设备审计范围覆盖每个用户,能够对重要的用户行为和重要安全事件进行日志审计,便于对相关事件或行为进行追溯。


本文始发于微信公众号(网络安全等保测评):高风险判定指引:判例内容及其建议(技术部分3)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: