安全區域邊界
網絡實現了不同系統的互聯互通,但是現實環境中往往需要根據不同的安全需求對系統進行切割,對網絡進行划分,形成不同系統的網絡邊界或不同等級保護對象的邊界。按照“一個中心,三重防御”的縱深防御思想,網絡邊界防護構成了安全防御的第二道防線。在不同的網絡間實現互聯互通的同時,在網絡邊界采取必要的授權接入、訪問控制、入侵防范等措施實現對內部的保護是安全防御必要的手段。
安全區域邊界針對網絡邊界提出了安全控制要求,主要對象為系統邊界和區域邊界等;涉及的安全控制點包括邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計和可信驗證。以下將以三級等級保護對象為例,描述各個控制點的檢查方法、檢查對象和預期結果等。
控制點
1.邊界防護
邊界安全防護要從幾個方面來考慮,首先應考慮網絡邊界設備端口、鏈路的可靠,通過有效的技術措施保障邊界設備物理端口可信,防止非授權的網絡鏈路接入;其次,通過有效的技術措施對外部設備的網絡接行為及內部設備的網絡外連行為進行管控,減少外部威脅的引入;同時,對無線網絡的使用進行管控,防止因無線網絡的濫用而引入安全威脅。
a)**
安全要求:應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信。
要求解讀:為了保障數據通過受控邊界,應明確網絡邊界設備,並明確邊界設備物理端口,網絡外連鏈路僅能通過指定的設備端口進行數據通信。
檢查方法
1.應核查網絡拓撲圖與實際的網絡鏈路是否一致,是否明確了網絡邊界,且明確邊界設備端口。
2.應核查路由配置信息及邊界設備配置信息,確認是否指定物理端口進行跨越邊界的網絡通信。
以CiscoIOS為例,輸入命令“router#show running-config”,查看相關配置。
3.應采用其他技術手段核查是否不存在其他未受控端口進行跨越邊界的網絡通信。例如檢測無線訪問情況,可使用無線嗅探器、無線入侵檢測/防御系統、手持式無線信號檢測系統等相關工具進行檢測。
測評對象
1.網絡鏈路、設備物理端口
2.配置信息
期望結果
1.查看網絡拓撲圖,並比對實際的網絡鏈路,確認網絡邊界設備及鏈路接入端口無誤。
2.通過相關命令顯示設備端口、Vlan信息。
interfaceIP-Address 0K?Method Status Protocol
FastEehernet0/0 192.168.1 YES manual up up
FastEehernet0/1 192.168.12.1YES manual up up
Vlan1 unassigned YES manual administratively down down
顯示路由信息
IP route 0.0.0.0 0.0.0.0 192.168.12.1
3.通過網絡管理系統的自動拓撲發現功能,監控是否存在非授權的網絡出口鏈路;通過無線嗅探器排查無線網絡的使用情況,確認無非授權WiFi。
b)*
安全要求:應能夠對非授權設備私自聯到內部網絡的行為進行檢查或限制。
要求解讀:設備的“非授權接入”可能會破壞原有的邊界設計策略,可以采用技術手段和管理措施對“非授權接入”行為進行檢查。技術手段包括部署內網安全管理系統,關閉網絡設備未使用的端口,綁定IP/MAC地址等。
檢查方法
1.應訪談網絡管理員,詢問采用何種技術手段或管理措施對非授權設備私自聯到內部網絡的行為進行管控,並在網絡管理員的配合下驗證其有效性。
2.應核查所有路由器和交換機等設備閑置端口是否均已關閉。
以Cisco I0S為例,輸入命令“show ip interfaces brief”
3.如通過部署內網安全管理系統實現系統准入,應檢查各終端設備是否統一進行了部署,是否存在不可控特殊權限接入設備。
4.如采用IP-MAC地址綁定的方式進行准入控制,應核查接入層網絡設備是否配置了IP/MAC地址綁定等措施。
以Cisco IOS為例,輸入命令“show iparp”
測評對象
1.網絡管理員
2.設備閑置端口
期望結果
1.非使用的端口均已關閉,查看設備配置中是否存在如下類似配置:
Interface FastEthernet0/1 shutdown。
2.網絡中部署的終端管理系統已啟用,且各終端設備均已有效部署,無特權設備。
3.IP/MAC地址綁定結果,查看設備配置中是否存在如下類似配置:
arp 10.10.10.1 0000.e268.9980 arpa
c)*
安全要求:應能夠對內部用戶非授權連到外部網絡的行為並行檢查或限制。
要求解讀:內網用戶設備上的外部連接端口的“非授權外聯”行為也可能破壞原有的邊界設計策略,可以通過內網安全管理系統的非授權外聯管控功能或者防非法外聯系統實現“非授權外聯”行為的控制,由於內網安全管理系統可實現包括非授權外連管控在內的眾多的管理功能,建議采用該項措施。通過對用戶非授權建立網絡連接訪問非可信網絡的行為進行管控,從而減少安全風險的引入。
檢查方法
1.應核查是否采用內網安全管理系統或其它技術手段,對內部用戶非授權連接到外部網絡的行為進行限制或檢查。
2.應核查是否限制終端設備相關端口的使用,如禁用雙網卡、USB接口、Modem、無線網絡等,防止內部用戶非授權外連行為。
測評對象
1.內網安全管理措施
2.終端設備相關端口
期望結果
1.網絡中部署有終端安全管理系統,或非授權外聯管控系統。
2.網絡中各類型終端設備均已正確部署了終端安全管理系統或外聯管控系統,並啟用了相關策略,如禁止更改網絡配置,禁用雙網卡、USB接口、Modem、無線網絡等。
d)*
安全要求:應限制無線網絡的使用,保證無線網絡通過受控的邊界設備接入內部網絡。
要求解讀:為了防止未經授權的無線網絡接入行為,無線網絡應單獨組網並通過無線接入網關等受控的邊界防護設備接入到內部有線網絡。同時,應部署無線網絡管控措施,對分非授權無線網絡進行檢測、屏蔽。
檢查方法
1.應訪談網絡管理員是否有授權的無線網絡,是否單獨組網后接入到有線網絡。
2.應核查無線網絡部署方式,是否部署無線接入網關、無線網絡控制器等設備。應檢查該類型設備配置是否合理,如無線網絡設備信道使用是否合理,用戶口令是否具備足夠強度、是否使用WPA2加密方式等。
3.應核查網絡中是否部署了對非授權無線設備管控措施,能夠對非授權無線設備進行檢查、屏蔽。如使用無線嗅探器、無線入侵檢測/防御系統、手持式無線信號檢測系統等相關工具進行檢測、限制。
測評對象
1.網絡管理員
2.無線網絡部署情況、管控措施
期望結果
1.授權的無限網絡通過無線接入網管,並通過防火牆等訪問控制設備接入到有限網絡。無線網絡使用了1信道,防止設備間互相干擾;使用WPA2進行加密;且用戶密碼具備復雜度要求,如:口令長度8位以上,由數字、字母、大小寫及特殊字符組成。
2.通過無線嗅探器未發現非授權無線設備。
高風險判定
滿足以下條件即可判定為高風險:
內部重要網絡與無線網絡互聯,且不通過任何受控的邊界設備,或邊界設備控制策略設置不當;一旦非授權接入無線網絡即可訪問內部重要資源。
補償因素:
對於必須使用無線網絡的場景,可從無線接入設備的管控和身份認證措施、非授權接入的可能性等角度進行綜合分析,酌情判定風險等級。