安全区域边界
控制点
3.入侵防范
随着网络入侵事件的不断增加和黑客攻击水平的不断提高,一方面企业网络感染病毒、遭受攻击的速度日益加快,新型技术的不断涌现,等级保护对象与外部网络互联具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络更易遭受恶意的入侵攻击,威胁网络信息的安全;另一方面网络受到攻击作出响应的时间却越来越滞后,要维护系统安全,必须进行主动监视,以检查是否发生了入侵和攻击。监视入侵和安全事件既包括被动任务也包括主动任务。很多入侵都是在发生攻击之后,通过检查日志文件才检测到的。这种攻击之后的检测通常称为被动入侵检测。只有通过检查日志文件,攻击才得以根据日志信息进行复查和再现。其他入侵尝试可以在攻击发生的同时检测到,这种方法称为“主动”入侵检测,它会查找已知的攻击模式或命令,并阻止这些命令的执行。
入侵防范主要需要从外部网络发起的攻击、内部网络发起的攻击、新型攻击的防范以及检测到入侵攻击时应及时告警几个方面来综合考虑,综合抵御各种来源、各种形式的入侵行为。
a)*
安全要求:应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。
要求解读:要维护系统安全,必须进行主动监视,以检查是否发生了入侵和攻击。监视入侵和安全事件既包括被动任务也包括主动任务。很多入侵都是在发生攻击之后,通过检查日志文件检测到的。这种攻击之后的检测通常称为被动入侵检测。只有通过检查日志文件,攻击得以根据由日志信息进行复查和再现。其他入侵尝试可以在攻击发生的同时检测到,这种方法称为“主动”入侵检测,它会查找已知的攻击模式或命令,并阻止这些命令的执行。
完整的入侵防范应首先实现对事件的特征分析功能,以发现潜在的攻击行为。应能发现目前主流的各种攻击行为,如端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
目前对入侵防范的实现主要是通过在网络边界部署包含入侵防范功能的安全设备,如抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统、入侵检测系统(IDS)、入侵防御系统(IPS)、包含入侵防范模块的多功能安全网关(UTM)等。
为了有效检测、防止或限制从外部发起的网络攻击行为,应在网络边界、核心等关键网络节点处部署IPS等系统,或在防火墙、UTM启用入侵防护功能。
检查方法
1.应检查相关系统或设备是否能够检测从外部发起的网络攻击行为。
2.应检查相关系统或设备的规则库版本是否已经更新到最新版本。
3.应检查相关系统或设备配置信息或安全策略是否能够覆盖网络所有关键节点。
4.应测试验证相关系统或设备的安全策略是否有效。
测评对象
系统安全策略的有效性
期望结果
1.相关系统或设备有检测到外部发起攻击行为的信息;
2.相关系统或设备的规则库进行了更新,更新时间与测评时间较为接近;
3.配置信息、安全策略中制定的规则覆盖系统关键节点的IP地址等。
4.监测到的攻击日志信息与安全策略相符。
高风险判定
满足以下任一条件即可判定为高风险:
(二级及以上系统)
1.二级系统关键网络节点无任何网络攻击行为检测手段,例如未部署入侵检测系统;
2.三级及以上系统关键网络节点对外部发起的攻击行为无任何防护手段,例如未部署IPS入侵防御手段、应用防火墙、反垃圾邮件、态势感知系统或抗DDoS设备等;
3.网络攻击/防护检测措施的策略库,规则库半年及以上未更新,无法满足防护需求。
补偿因素:
主机设备部署入侵防范产品,且策略库、规则库及时更新,能够对攻击行为进行检测、阻断或限制,可根据实际情况酌情判定风险等级。
(注:策略库、规则库的更新周期可根据部署环境、行业或设备特性缩短或延长。)
(注:所举例的防护设备仅为举例使用,测评过程中,应分析定级对象所面临的威胁、风险及安全防护需求,并以此为依据检查是否合理配置了对应的防护设备。)
b)*
安全要求:应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。
要求解读:为了有效检测防止或限制从内部起的网络攻击行为,应在网络边界、核心等关键网络节点处部署IPS等系统,或在防火墙、UTM启用入侵防护功能。
检查方法
1.应检查相关系统或设备是否能够检测到从内部发起的网络攻击行为。
2.应检查相关系统或设备的规则库版本是否已经更新到最新版本。
3.应检查相关系统或设备配置信息或安全策略是否能够覆盖网络所有关键节点。
4.应测试验证相关系统或设备的安全策略是否有效。
测评对象
系统/设备安全策略、配置信息
期望结果
1.相关系统或设备有检测到内部发起攻击行为的信息。
2.相关系统或设备的规则库进行了更新,更新时间与测评时间较为接近。
3.配置信息、安全策略中制定的规则覆盖系统关键节点的IP地址等。
4.监测到的攻击日志信息与安全策略相符。
高风险判定
满足以下任一条件即可判定为高风险:
1.关键网络节点对内部发起的攻击行为无任何检测、防护手段,例如未部署入侵检测系统、IPS入侵防御设备、态势感知系统;
2.网络攻击/防护检测措施的策略库,规则库半年及以上未更新,无法满足防护需求。
补偿因素:
1.对于主机设备部署入侵防范产品的情况,可从策略库、规则库更新情况,对攻击行为的防护能力等角度进行综合风险分析,酌情判定风险等级。
2.对于重要网络区域与其他内部网络之间部署防火墙等控制访问设备,且对访问的目标地址、目标端口、源地址、源端口、访问协议等有严格限制的情况,可从现有措施能否对内部网络攻击起到限制作用等角度进行综合分析,酌情判定风险等级。
3.对于与互联网完全物理隔离或强逻辑隔离的系统,可从网络、终端采取管控,攻击源进入内部网络的可能性等角度进行综合分析,酌情判定风险等级。
c)**
安全要求:应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。
要求解读:部署网络回溯系统或抗APT攻击系统等实现对新型网络攻击行为进行检测和分析。
检查方法
1.应检查是否部署网络回溯系统或抗APT攻击系统等,实现对新型网络攻击进行检测和分析。
2.应检查相关系统或设备的规则库版本是否已经更新到最新版本。
3.应测试验证是否对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析。
测评对象
1.网络回溯系统
2.相关系统或设备的规则库版本
期望结果
1.系统内部署了网络回溯系统或抗APT攻击系统,系统内包含对新型网络攻击检测和分析的功能。
2.网络回溯系统或者抗APT攻击系统的规则库进行了更新,更新时间与测评时间较为接近。
3.经测试验证系统可对网络行为进行分析,且能够进行对未知新型网络攻击的检测和分析。
d)
安全要求:当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。
要求解读:为了保证系统受到攻击时能够及时准确地记录攻击行为并进行安全应急响应,当检测到攻击行为时,应对攻击源IP、攻击类型、攻击目标和攻击时间等信息进行日志记录。通过这些日志记录,可以对攻击行为进行审计分析。当发生严重入侵事件时,应能够及时向有关人员报警,报警方式包括短信、邮件等。
检查方法
1.访谈网络管理员和查看网络拓扑结构,查看在网络边界处是否部署了包含入侵防范功能的设备。如果部署了相应设备,则检查设备的日志记录,查看是否记录了攻击源IP、攻击类型、攻击目的和攻击时间等信息,查看设备采用何种方式进行报警。
2.应测试验证相关系统或设备的报警策略是否有效。
测评对象
1.网络管理员、入侵防范设备/记录文档
2.系统/设备的报警策略
期望结果
1.相关具有入侵防范功能的设备日志记录了攻击源IP、攻击类型、攻击目标、攻击时间等信息。
2.设备的报警功能已开启且处于正常使用状态。