我先把等保2.0三级对安全区域边界的要求简单罗列并解读一下:
边界防护
1)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
解读:受控接口可以用访问控制设备(比如路由器用ACL、核心交换机用ACL、防火墙)来满足,可以明确边界设备物理端口,跨越边界的访问和数据流仅能通过指定的设备端口进行数据通信。
测评师检查:检查网络边界有没有部署访问控制设备(网闸、防火墙、路由器、交换机、无线接入网关设备都可以),指定的什么端口,端口处是否配置并启用了安全策略。测评师还需要核查一下是否不存在其他未受控端口进行跨越边界的网络通信。怎么核查呢?比如可以使用非法无线网络设备定位、核查设备配置信息等。涉及的产品:网闸、防火墙、路由器、交换机、安全网关、无线接入网关设备都可以
2)应能够对非授权设备私自联到内部网络的行为进行检查或限制。
解读:非授权设备私自联到内部网络会破坏原有的边界防护策略,这种情况一般在内网是无线网络时比较常见。可以通过部署内网安全管理系统、终端准入控制系统等设备来控制,或者关闭网络设备未使用的端口,进行IP/MAC地址绑定等来实现控制。
测评师检查:检查是否采用技术措施防止非授权设备接入内部网络(看看有啥子设备,是否有终端管理系统,可以询问对接人),检查所有路由器和交换机等相关设备闲置端口是否均已关闭。涉及的产品:非法接入检查系统
3)应能够对内部用户非授权联到外部网络的行为进行检查或限制。
解读:非法外联行为绕过了边界安全设备的通用管理,使得内部网络面临的风险增大,可通过部署全网行为管理系统的非授权外联管控功能或防止非法外联系统对该行为进行管控。
测评师检查:检查是否采用技术措施防止非授权设备接入内部网络(看看有啥子设备,是否有终端管理系统,可以询问对接人)涉及的产品:内网安全管理系统
4)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。解读:无线网络可通过无线接入网关等受控的边界防护设备接入内部有线网络。可部署无线网络管控措施,对非授权无线网络进行检测、屏蔽。
测评师检查:检查网络拓扑结构和无线网络设备,看看无线网络的部署方式,是否单独组网后再连接到有线网络。看看无线网络是否通过受控的边界防护设备接入到内部有线网络。涉及的产品:无线安全产品
对于等保2.0的测评项(从要求、检查方式、产品)几个维度分析之后。我们应该怎么来规划建设呢?
一、首先我们肯定要明确区域边界,把网络安全边界给清晰定义。一般我们可以把网络划分为几个区域,比如对外服务区(里面可以部署对外服务的服务器集群、一些IDS或WAF),安全管理区(里面可以部署日志审计、安全管理服务器、运维审计设备),业务服务区(里面可以部署网站后台服务器、备份服务器等),数据库区(里面可以部署网站数据库、应用系统数据库、数据库审计等),办公区(主要就是一些汇聚交换机、楼层接入交换机、VPN、办公终端等)。区域划分好,各个区域间就会形成清晰的逻辑网络边界。
二、边界安全防护策略针对边界防护等保要求的4点,我们应该设计下面4条安全策略:物理设备端口级访问控制控制非法联入内网控制非法联入外网无线网络通过受控的边界设备接入内部网络
三、明确边界安全防护设备需求
有了安全策略,我们要看看现有的设备和手段是否能够满足要求。如果不能需要采取购买设备或者其他技术管理措施来满足。安全设备在前面的描述中都已经说了,现在归纳一下。端口访问:网闸、防火墙、路由器、交换机、安全网关、无线接入网关非法联入内网:非法接入检查系统非法联入外网:内网安全管理系统无线网络通过受控的边界设备接入内部网络:无线安全产品四、边界安全防护设备部署方法
可以在办公区所有终端安全安全管理系统客户端,可以防止非法外联。
在安全管理中心区域部署非法接入检查系统,可以对破坏网络边界的行为进行检测、定位、阻断、控制。
部署好设备后,还需对设备进行操作配置,这又是一个细活儿了,暂且不表。THE END
参考书籍:
1、孙涛等《网络安全等级保护原理与实践》
2、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
本文暂时没有评论,来添加一个吧(●'◡'●)