安全區域邊界
控制點
3.入侵防范
隨着網絡入侵事件的不斷增加和黑客攻擊水平的不斷提高,一方面企業網絡感染病毒、遭受攻擊的速度日益加快,新型技術的不斷涌現,等級保護對象與外部網絡互聯具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互聯性等特征,致使網絡更易遭受惡意的入侵攻擊,威脅網絡信息的安全;另一方面網絡受到攻擊作出響應的時間卻越來越滯后,要維護系統安全,必須進行主動監視,以檢查是否發生了入侵和攻擊。監視入侵和安全事件既包括被動任務也包括主動任務。很多入侵都是在發生攻擊之后,通過檢查日志文件才檢測到的。這種攻擊之后的檢測通常稱為被動入侵檢測。只有通過檢查日志文件,攻擊才得以根據日志信息進行復查和再現。其他入侵嘗試可以在攻擊發生的同時檢測到,這種方法稱為“主動”入侵檢測,它會查找已知的攻擊模式或命令,並阻止這些命令的執行。
入侵防范主要需要從外部網絡發起的攻擊、內部網絡發起的攻擊、新型攻擊的防范以及檢測到入侵攻擊時應及時告警幾個方面來綜合考慮,綜合抵御各種來源、各種形式的入侵行為。
a)*
安全要求:應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為。
要求解讀:要維護系統安全,必須進行主動監視,以檢查是否發生了入侵和攻擊。監視入侵和安全事件既包括被動任務也包括主動任務。很多入侵都是在發生攻擊之后,通過檢查日志文件檢測到的。這種攻擊之后的檢測通常稱為被動入侵檢測。只有通過檢查日志文件,攻擊得以根據由日志信息進行復查和再現。其他入侵嘗試可以在攻擊發生的同時檢測到,這種方法稱為“主動”入侵檢測,它會查找已知的攻擊模式或命令,並阻止這些命令的執行。
完整的入侵防范應首先實現對事件的特征分析功能,以發現潛在的攻擊行為。應能發現目前主流的各種攻擊行為,如端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等。
目前對入侵防范的實現主要是通過在網絡邊界部署包含入侵防范功能的安全設備,如抗APT攻擊系統、網絡回溯系統、威脅情報檢測系統、抗DDoS攻擊系統、入侵檢測系統(IDS)、入侵防御系統(IPS)、包含入侵防范模塊的多功能安全網關(UTM)等。
為了有效檢測、防止或限制從外部發起的網絡攻擊行為,應在網絡邊界、核心等關鍵網絡節點處部署IPS等系統,或在防火牆、UTM啟用入侵防護功能。
檢查方法
1.應檢查相關系統或設備是否能夠檢測從外部發起的網絡攻擊行為。
2.應檢查相關系統或設備的規則庫版本是否已經更新到最新版本。
3.應檢查相關系統或設備配置信息或安全策略是否能夠覆蓋網絡所有關鍵節點。
4.應測試驗證相關系統或設備的安全策略是否有效。
測評對象
系統安全策略的有效性
期望結果
1.相關系統或設備有檢測到外部發起攻擊行為的信息;
2.相關系統或設備的規則庫進行了更新,更新時間與測評時間較為接近;
3.配置信息、安全策略中制定的規則覆蓋系統關鍵節點的IP地址等。
4.監測到的攻擊日志信息與安全策略相符。
高風險判定
滿足以下任一條件即可判定為高風險:
(二級及以上系統)
1.二級系統關鍵網絡節點無任何網絡攻擊行為檢測手段,例如未部署入侵檢測系統;
2.三級及以上系統關鍵網絡節點對外部發起的攻擊行為無任何防護手段,例如未部署IPS入侵防御手段、應用防火牆、反垃圾郵件、態勢感知系統或抗DDoS設備等;
3.網絡攻擊/防護檢測措施的策略庫,規則庫半年及以上未更新,無法滿足防護需求。
補償因素:
主機設備部署入侵防范產品,且策略庫、規則庫及時更新,能夠對攻擊行為進行檢測、阻斷或限制,可根據實際情況酌情判定風險等級。
(注:策略庫、規則庫的更新周期可根據部署環境、行業或設備特性縮短或延長。)
(注:所舉例的防護設備僅為舉例使用,測評過程中,應分析定級對象所面臨的威脅、風險及安全防護需求,並以此為依據檢查是否合理配置了對應的防護設備。)
b)*
安全要求:應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為。
要求解讀:為了有效檢測防止或限制從內部起的網絡攻擊行為,應在網絡邊界、核心等關鍵網絡節點處部署IPS等系統,或在防火牆、UTM啟用入侵防護功能。
檢查方法
1.應檢查相關系統或設備是否能夠檢測到從內部發起的網絡攻擊行為。
2.應檢查相關系統或設備的規則庫版本是否已經更新到最新版本。
3.應檢查相關系統或設備配置信息或安全策略是否能夠覆蓋網絡所有關鍵節點。
4.應測試驗證相關系統或設備的安全策略是否有效。
測評對象
系統/設備安全策略、配置信息
期望結果
1.相關系統或設備有檢測到內部發起攻擊行為的信息。
2.相關系統或設備的規則庫進行了更新,更新時間與測評時間較為接近。
3.配置信息、安全策略中制定的規則覆蓋系統關鍵節點的IP地址等。
4.監測到的攻擊日志信息與安全策略相符。
高風險判定
滿足以下任一條件即可判定為高風險:
1.關鍵網絡節點對內部發起的攻擊行為無任何檢測、防護手段,例如未部署入侵檢測系統、IPS入侵防御設備、態勢感知系統;
2.網絡攻擊/防護檢測措施的策略庫,規則庫半年及以上未更新,無法滿足防護需求。
補償因素:
1.對於主機設備部署入侵防范產品的情況,可從策略庫、規則庫更新情況,對攻擊行為的防護能力等角度進行綜合風險分析,酌情判定風險等級。
2.對於重要網絡區域與其他內部網絡之間部署防火牆等控制訪問設備,且對訪問的目標地址、目標端口、源地址、源端口、訪問協議等有嚴格限制的情況,可從現有措施能否對內部網絡攻擊起到限制作用等角度進行綜合分析,酌情判定風險等級。
3.對於與互聯網完全物理隔離或強邏輯隔離的系統,可從網絡、終端采取管控,攻擊源進入內部網絡的可能性等角度進行綜合分析,酌情判定風險等級。
c)**
安全要求:應采取技術措施對網絡行為進行分析,實現對網絡攻擊特別是新型網絡攻擊行為的分析。
要求解讀:部署網絡回溯系統或抗APT攻擊系統等實現對新型網絡攻擊行為進行檢測和分析。
檢查方法
1.應檢查是否部署網絡回溯系統或抗APT攻擊系統等,實現對新型網絡攻擊進行檢測和分析。
2.應檢查相關系統或設備的規則庫版本是否已經更新到最新版本。
3.應測試驗證是否對網絡行為進行分析,實現對網絡攻擊特別是未知的新型網絡攻擊的檢測和分析。
測評對象
1.網絡回溯系統
2.相關系統或設備的規則庫版本
期望結果
1.系統內部署了網絡回溯系統或抗APT攻擊系統,系統內包含對新型網絡攻擊檢測和分析的功能。
2.網絡回溯系統或者抗APT攻擊系統的規則庫進行了更新,更新時間與測評時間較為接近。
3.經測試驗證系統可對網絡行為進行分析,且能夠進行對未知新型網絡攻擊的檢測和分析。
d)
安全要求:當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間,在發生嚴重入侵事件時應提供報警。
要求解讀:為了保證系統受到攻擊時能夠及時准確地記錄攻擊行為並進行安全應急響應,當檢測到攻擊行為時,應對攻擊源IP、攻擊類型、攻擊目標和攻擊時間等信息進行日志記錄。通過這些日志記錄,可以對攻擊行為進行審計分析。當發生嚴重入侵事件時,應能夠及時向有關人員報警,報警方式包括短信、郵件等。
檢查方法
1.訪談網絡管理員和查看網絡拓撲結構,查看在網絡邊界處是否部署了包含入侵防范功能的設備。如果部署了相應設備,則檢查設備的日志記錄,查看是否記錄了攻擊源IP、攻擊類型、攻擊目的和攻擊時間等信息,查看設備采用何種方式進行報警。
2.應測試驗證相關系統或設備的報警策略是否有效。
測評對象
1.網絡管理員、入侵防范設備/記錄文檔
2.系統/設備的報警策略
期望結果
1.相關具有入侵防范功能的設備日志記錄了攻擊源IP、攻擊類型、攻擊目標、攻擊時間等信息。
2.設備的報警功能已開啟且處於正常使用狀態。