等保测评--区域边界之边界防护安全

信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上一般指信息系统安全等级保护。

边界防护

L3-ABS1-01

应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。

1.核查网络拓扑图与实际网络链路是否一致，是否明确了网络边界设备，且明确边界设备端口

2.核查路由器配置信息及边界设备配置信息，确认是否指定物理端口进行跨越边界的网络通信。

3.采用其他技术手段核查是否不存在其他为受控端口进行跨越边界的网络通信。例如检测无线访问情况，可使用无线嗅探器、无线入侵检测/防御系统、手持式无线信号检测系统等相关工具进行检测。

1）查看网络拓扑图，并比对实际的网络链路，确认网络边界设备及链路接入端口无误。

2）通过相关命令显示设备端口、Vlan信息。dispiay vlan / display interface

3）通过网络管理系统的自动拓扑发现功能，监控是否存在非授权的网络出口链路；通过无线嗅探器排查无线网络的使用情况，确认无非授权WiFi。

L3-ABS1-02

应能够对非授权设备私自连到内部网络的行为进行检测或限制。

1.访谈网络管理员，询问采用何种技术手段或管理措施对非授权设备私自连到内部网络的行为进行管控，并在网络管理员的配合下验证其有效性

2.应核查所有路由器和交换机等设备闲置端口是否均已关闭。

3.如通过部署内网安全管理系统实现系统准入，应检查各终端设备是否统计进行部署，是否存在不可控特殊权限接入设备

4.如采用IP-MAC地址绑定的方式进行准入控制，应核查接入层网络设备是否配置了IP/MAC地址绑定等措施。

1）非使用端口均已关闭

2）网络中部署的终端管理系统已启用，且各终端设备均已有效部署，无特权设备。

3）IP/MAC地址绑定结果

L3-ABS1-03

应能够对内部用户非授权连到外部网络的行为进行检查或限制。

1.核查是否采用内网安全管理系统或其他技术手段，对内部非授权连接到外部网络的行为进行限制或检查。

2.核查是否限制终端设备相关端口的使用，如禁用双网卡、USB接口、modem、无线网络等，防止内部用户非授权外连行为。

1）网络中部署有终端安全管理系统，或非授权外联管控系统。

2）网络中各类型终端设备均已正确部署了终端安全管理系统或外联管控系统，并启用了相关策略，如禁止更改网络配置，禁用双网卡、USB接口、modem、无线网络等。

L3-ABS1-04

应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。

1.访谈管理员是否有授权的无线网络，是否单独组网后进入到有线网络。

2.核查无线网络部署方式，是否部署无线接入网关、无线网络控制器等设备。核查该类型设备配置是否合理，如无线网络设备信道使用是否合理，用户口令是否具备足够强度、是否使用WPA2加密方式。

3.核查网络中是否部署了对非授权无线设备管控措施，能够对非授权无线设备进行检查屏蔽。如使用无线嗅探器、无限入侵检测/防御系统、手持式无线信号检测系统等相关工具进行检测、限制。

1）授权的无线网络通过无线接入网管，并通过防火墙等访问控制设备接入到有线网络。无线网络使用了信道，防止设备间相互干扰；使用WPA2方式进行加密；且用户密码具备复杂度要求，如：口令长度8位以上，由数字、字母、大小写及特殊字符组成。

2）通过无线嗅探器未发现非授权无线设备。