等保2.0--安全通信网络和安全区域边界
阅读 · 发布日期 2020-08-03 14:28 · 管理员通常默认情况,我们 SSL/TLS 的认证是单向的,即只对服务端认证,那么对于四级系统,新标准要求必须开启双向认证,即同时对客户端也要进行认证。这里额外说明一下,根据公安三所专家的解读,通信加密所采用的算法应该基于国密算法(SM1、SM2、SM4、SM9 等),而非国际通用加密算法,不过介于目前大多企业采用的设备不支持国密算法,另一方面国密算法的推广和应用也在逐步完善,因此个人认为此项也非否决项,只是扣分项,不过未来可能会变为强制要求。
安全区域边界
应能够对非授权设备私自联到内部网络的行为进行检查或限制(入侵检测)
应能够对内部用户非授权联到外部网络的行为进行检查或限制(行为管理)
此处两条是东西向的访问检测与限制,目前通过 IDPS 以及行为管理设备基本可以满足相应要求,测评时可能会查看策略启用效果以及检测和阻断记录,需要注意。
应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络
首次在标准中提到有关无线网络安全的要求,这里要求比较基础,只要各无线 AP 或无线路由均通过 AD 进行管理和控制即符合。
应能够在发现非授权设备私自联到内部网络的行为或内部用户非授权联到外部网络的行为时,对其进行有效阻断。
这部分在等保 1.0 中也有过相关要求描述,但没有如此具体,该项要求完全从技术上解决目前基本不太可能(当然,如果企业具备将附近基站的数据和语音分离的权限,那么这想倒是可以从技术上来搞定),通常是管理为主,技术为辅的方式来控制。毕竟个人热点和无线网卡等应用,很难及时发现。建议重点在制度上入手,形成意识、管理、流程上的多方面管控,以此达到要求。
应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化。
新要求,重点是要定期优化和清理 ACL 以及策略路由等配置,测评时会查看当前安全策略配置以及规则优化和清理的记录。
应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。
这里是对策略进行双向(in/out)应用,强调东西双向控制。
应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。
强调对于 APT 和 0day 一类的攻击检测和防护能力,介于目前态势感知和威胁平台的水平,实现起来很难,而且不是每家都有这么强实力的安全团队。所以,如果你又某某家的态势感知产品,通常测评中心不会为难你。对于新型攻击,可以从人的角度(应急团队、安全团队)来强化管控和预警能力。
应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
即对外接口的用户行为以及内部访问互联网的用户进行单独审计,如果在同一套审计平台中可以建立不同的审计任务,那么是可以满足要求的。如果不行,可能就要搭建两套审计平台来实现。不过也不是必须要达到的,属于扣分项。