控制点安全要求要求解读边界防护a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信为了保障数据通过受控边界,应明确网络边界设备,并明确边界设备物理端口,网络外连链路仅能通过指定的设备端口进行数据通信b)应能够对非授权设备私自联到内部网络的行为进行检查或限制设备的“非授权接入”可能会破坏原有的边界设计策略,可以采用技术手段和管理措施对“非授权接入”行为进行检查。技术手段包括部署内网安全管理系统,关闭网络设备未使用的端口,绑定IP/MAC地址等c)应能够对内部用户非授权连到外部网络的行为进行检查或限制内网用户设备上的外部连接端口的“非授权外联“行为也可能破坏原有的过界设计策略,可以通成内网安全管理系统的非授权外联管控功能或者防非法外联系统实现“非授权外联”行为的控制,由于内网安全管理系统可实现包括非授权外连管控在内的众多的管理功能,建议c采用该项措施。通过对用户非授权建立网络连接访问非可信网络的行为进行管控,从而减少安全风险的引入a)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络为了防止未经授权的无线网络接入行为,无线网络应单独组网并通过无线接入网关等受控的边界防护设备接入到内部有线网络。同时,应部署无线网络管控措施,对分非授权无线网络进行检测、屏蔽访问控制a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信 应在网络边界或区域之间部署网闸,防火墙、路由器、交换机和无线接入网关等提供访问控制功能的设备或相关组件,想据访问控制策略设置有效的访问控制规则,访问控制规测采用白名单机制b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化根据实际业务需求配置访问控制策略,仅开放业务必须的端口,禁止配置全通策略,保证边界访问控制设备安全策略的有效性。不同访问控制策略之间的逻辑关系应合理,访问控制策略之间不存在相互冲突,重叠或包含的情况;同时,应保障访问控制规则数量最小化。c)应对源地址、目的地址,源端口、目的端口和协议等进行检查,以允许/拒绝数数据包进出应对网络中网闸、防火墙、路由器、交换机和无线接入网关等提供访问控制功能的设备或相关组件进行检查,访问控制策略应明确源地址、目的地址, 源端口、目的端口和协议,以允许/拒绝数据包进出d)应能根据会话状态信息为进 出 数 据 流 提 供 明 确 的 允许/拒绝访问的能力 防火墙能够根据数据包的源地址、目标地址、协议类型、源端口、目标端口等对数据包进行控制,而且能够记录通过防火墙的连接状态,直接对包里的数据进行处理。防火墙还应具有完备的状态检测表来追踪连接会话状态,并结合前后数据包的关系进行综合判断,然后决定是否允许该数据包通过,通过连接状态进行更迅速更安全地过滤e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制在网络边界采用下-代防火墙或相关安全组件,实现基于应用协议和应用内容的访问控制入侵防范a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为 要维护系统安全,必须进行主动监视,以检查是否发生了入侵和攻击。监视入侵和安全事件既包括被动任务也也包括主动任务。很多入侵都是在发生攻击之后,通过检查日志文件才检测到的。这种攻击之后的检测通常被称为被动入侵检测;只有通过检查日志文件,攻击才得以根据日志信息进行复查和再现。其他入侵尝试可以在攻击发生的同时检测到,这种方法称为”主动“入侵检测,它会查找已知的攻击模式或命令,并阻止这些命令的执行。完整的入侵防范应首先实现对事件的特征分析功能,以发现潜在的攻击行为,应能发现目前主流的各种攻击行为,如端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。目前对入侵防范的实现主要是通过在网络边界部署包含入侵防范功能的安全设备,如抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统、入侵检测系统(IDS),入侵防御系统(IPS)、 包含入侵防范模块的多功能安全网关(UTM)等。为了有效...
