安全区域边界
网络实现了不同系统的互联互通,但是现实环境中往往需要根据不同的安全需求对系统进行切割,对网络进行划分,形成不同系统的网络边界或不同等级保护对象的边界。按照“一个中心,三重防御”的纵深防御思想,网络边界防护构成了安全防御的第二道防线。在不同的网络间实现互联互通的同时,在网络边界采取必要的授权接入、访问控制、入侵防范等措施实现对内部的保护是安全防御必要的手段。
安全区域边界针对网络边界提出了安全控制要求,主要对象为系统边界和区域边界等;涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。以下将以三级等级保护对象为例,描述各个控制点的检查方法、检查对象和预期结果等。
控制点
1.边界防护
边界安全防护要从几个方面来考虑,首先应考虑网络边界设备端口、链路的可靠,通过有效的技术措施保障边界设备物理端口可信,防止非授权的网络链路接入;其次,通过有效的技术措施对外部设备的网络接行为及内部设备的网络外连行为进行管控,减少外部威胁的引入;同时,对无线网络的使用进行管控,防止因无线网络的滥用而引入安全威胁。
a)**
安全要求:应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
要求解读:为了保障数据通过受控边界,应明确网络边界设备,并明确边界设备物理端口,网络外连链路仅能通过指定的设备端口进行数据通信。
检查方法
1.应核查网络拓扑图与实际的网络链路是否一致,是否明确了网络边界,且明确边界设备端口。
2.应核查路由配置信息及边界设备配置信息,确认是否指定物理端口进行跨越边界的网络通信。
以CiscoIOS为例,输入命令“router#show running-config”,查看相关配置。
3.应采用其他技术手段核查是否不存在其他未受控端口进行跨越边界的网络通信。例如检测无线访问情况,可使用无线嗅探器、无线入侵检测/防御系统、手持式无线信号检测系统等相关工具进行检测。
测评对象
1.网络链路、设备物理端口
2.配置信息
期望结果
1.查看网络拓扑图,并比对实际的网络链路,确认网络边界设备及链路接入端口无误。
2.通过相关命令显示设备端口、Vlan信息。
interfaceIP-Address 0K?Method Status Protocol
FastEehernet0/0 192.168.1 YES manual up up
FastEehernet0/1 192.168.12.1YES manual up up
Vlan1 unassigned YES manual administratively down down
显示路由信息
IP route 0.0.0.0 0.0.0.0 192.168.12.1
3.通过网络管理系统的自动拓扑发现功能,监控是否存在非授权的网络出口链路;通过无线嗅探器排查无线网络的使用情况,确认无非授权WiFi。
b)*
安全要求:应能够对非授权设备私自联到内部网络的行为进行检查或限制。
要求解读:设备的“非授权接入”可能会破坏原有的边界设计策略,可以采用技术手段和管理措施对“非授权接入”行为进行检查。技术手段包括部署内网安全管理系统,关闭网络设备未使用的端口,绑定IP/MAC地址等。
检查方法
1.应访谈网络管理员,询问采用何种技术手段或管理措施对非授权设备私自联到内部网络的行为进行管控,并在网络管理员的配合下验证其有效性。
2.应核查所有路由器和交换机等设备闲置端口是否均已关闭。
以Cisco I0S为例,输入命令“show ip interfaces brief”
3.如通过部署内网安全管理系统实现系统准入,应检查各终端设备是否统一进行了部署,是否存在不可控特殊权限接入设备。
4.如采用IP-MAC地址绑定的方式进行准入控制,应核查接入层网络设备是否配置了IP/MAC地址绑定等措施。
以Cisco IOS为例,输入命令“show iparp”
测评对象
1.网络管理员
2.设备闲置端口
期望结果
1.非使用的端口均已关闭,查看设备配置中是否存在如下类似配置:
Interface FastEthernet0/1 shutdown。
2.网络中部署的终端管理系统已启用,且各终端设备均已有效部署,无特权设备。
3.IP/MAC地址绑定结果,查看设备配置中是否存在如下类似配置:
arp 10.10.10.1 0000.e268.9980 arpa
c)*
安全要求:应能够对内部用户非授权连到外部网络的行为并行检查或限制。
要求解读:内网用户设备上的外部连接端口的“非授权外联”行为也可能破坏原有的边界设计策略,可以通过内网安全管理系统的非授权外联管控功能或者防非法外联系统实现“非授权外联”行为的控制,由于内网安全管理系统可实现包括非授权外连管控在内的众多的管理功能,建议采用该项措施。通过对用户非授权建立网络连接访问非可信网络的行为进行管控,从而减少安全风险的引入。
检查方法
1.应核查是否采用内网安全管理系统或其它技术手段,对内部用户非授权连接到外部网络的行为进行限制或检查。
2.应核查是否限制终端设备相关端口的使用,如禁用双网卡、USB接口、Modem、无线网络等,防止内部用户非授权外连行为。
测评对象
1.内网安全管理措施
2.终端设备相关端口
期望结果
1.网络中部署有终端安全管理系统,或非授权外联管控系统。
2.网络中各类型终端设备均已正确部署了终端安全管理系统或外联管控系统,并启用了相关策略,如禁止更改网络配置,禁用双网卡、USB接口、Modem、无线网络等。
d)*
安全要求:应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
要求解读:为了防止未经授权的无线网络接入行为,无线网络应单独组网并通过无线接入网关等受控的边界防护设备接入到内部有线网络。同时,应部署无线网络管控措施,对分非授权无线网络进行检测、屏蔽。
检查方法
1.应访谈网络管理员是否有授权的无线网络,是否单独组网后接入到有线网络。
2.应核查无线网络部署方式,是否部署无线接入网关、无线网络控制器等设备。应检查该类型设备配置是否合理,如无线网络设备信道使用是否合理,用户口令是否具备足够强度、是否使用WPA2加密方式等。
3.应核查网络中是否部署了对非授权无线设备管控措施,能够对非授权无线设备进行检查、屏蔽。如使用无线嗅探器、无线入侵检测/防御系统、手持式无线信号检测系统等相关工具进行检测、限制。
测评对象
1.网络管理员
2.无线网络部署情况、管控措施
期望结果
1.授权的无限网络通过无线接入网管,并通过防火墙等访问控制设备接入到有限网络。无线网络使用了1信道,防止设备间互相干扰;使用WPA2进行加密;且用户密码具备复杂度要求,如:口令长度8位以上,由数字、字母、大小写及特殊字符组成。
2.通过无线嗅探器未发现非授权无线设备。
高风险判定
满足以下条件即可判定为高风险:
内部重要网络与无线网络互联,且不通过任何受控的边界设备,或边界设备控制策略设置不当;一旦非授权接入无线网络即可访问内部重要资源。
补偿因素:
对于必须使用无线网络的场景,可从无线接入设备的管控和身份认证措施、非授权接入的可能性等角度进行综合分析,酌情判定风险等级。