测试项 | 测评对象 | 脆弱点 | 等保等级 | 配置建议 |
应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。 | 无线控制设 | 内部重要网络与无线网络互联,且不通过任何受控的边界设备,或边界设备控制策 略设置不当,一旦非授权接入无线网络即可访问内部重要资源。 | 三级以上(包含三级) | 无线网络单独组网,内部重要网络不应与无线网络互联;若因业务需要,则建议加强对无线网络设备接入的管控,并通过边界设备对无线网络的接入设备对内部重要网络的访问进行限制,降低攻击者利用无线网络入侵内部重要网络。 |
应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许 通信外受控接口拒绝所有通信。 | 防火墙、网闸 | 重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)访问控制设备配置不当或控制措施失效,存在较大安全隐患。例如办公网络任意网络终端均可访问核 心生产服务器和网络设备;无线网络接入区终端可直接访问生产网络设备等。 | 二级以上(包含二级) | 部署网闸、防火墙等提供访问控制功能的设备对网络边界或区域之间进行访问控制,并启用访问控制功能,设备的最后一条访问控制策略配置为禁止所有网络通信。 |
应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 | IPS 入侵防御 设备、应用防火墙、反垃圾邮件、态势感知系统或抗 DDoS 设备 | 1)二级系统关键网络节点无任何网络攻击行为检测手段,例如未部署入侵检测系统; 2)三级及以上系统关键网络节点对外部发起的攻击行为无任何防护手段,例如未部署 IPS 入侵防御设备、应用防火墙、反垃圾邮件、态势感知系统或抗 DDoS 设备等; 3)网络攻击/防护检测措施的策略库、规则库半年及以上未更新,无法满足防护需求。 | 二级以上(包含二级) | 在关键网络节点(如互联网边界处)合理部署具备攻击行为检测、防止或限制功能的安全防护设备(如入侵防御设备、WEB应用防火墙、抗DDoS攻击等设备),或采用云防、流量清洗等外部抗攻击服务;相关安全防护设备应及时升级策略库/规则库。 |
应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 | 入侵检测系统、IPS入侵防御设备、态势感知系统 | 1)关键网络节点对内部发起的攻击行为无任何检测、防护手段,例如未部署入侵检测系统、IPS入侵防御设备、态势感知系统等; 2)网络攻击/防护检测措施的策略库、规则库半年及以上未更新,无法满足防护需求。 | 三级以上(包含三级) | 在关键网络节点处(如核心服务器区与其他内部网络区域边界处)进行严格的访问控制措施,合理部署可对攻击行为进行检测、阻断或限制的防护设备(如抗APT攻击系统、网络回溯系统、威胁情报检测系统、入侵防护系统等),检测、防止或限制从内部发起的网络攻击行为(包括其他内部网络区域对核心服务器区的攻击行为、服务器之间的攻击行为、内部网络向互联网目标发起攻击等)。对于服务器之间的内部攻击行为,建议合理划分网络区域,加强不同服务器之间的访问控制,部署主机入侵防范产品,或通过部署流量探针的方式,检测异常攻击流量。 |
应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的 更新。 | 防病毒网关、防病毒软件 | 1)主机层无恶意代码检测和清除措施,或恶意代码库一个月以上未更新; 2)网络层无恶意代码检测和清除措施,或恶意代码库一个月以上未更新。 | 二级以上(包含二级) | 在网络边界处部署防病毒网关、包含防病毒模块的多功能安全网关或网络版防病毒系统等产品,且与主机恶意代码防范产品形成异构模式,有效检测及清除可能出现的恶意代码攻击,产品应至少具备以下功能:对恶意代码的分析检查功能、对恶意代码的清除或阻断能力、发现恶意代码后记录日志和审计的能力、对恶意代码特征库的升级和更新能力。管理员定期对恶意代码特征库进行升级。 |
应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 | 网络安全审计系统、网络流量分析设备、入侵防御设备、态势感知设备、堡垒机 | 1)在网络边界、关键网络节点无法对重要的用户行为进行日志审计; 2)在网络边界、关键网络节点无法对重要安全事件进行日志审计。 | 二级以上(包含二级) | 在网络边界、关键网络节点部署具备网络行为审计以及网络安全审计功能的设备(例如网络安全审计系统、网络流量分析设备、入侵防御设备、态势感知设备等),并保留相关审计数据,同时设备审计范围覆盖每个用户,对重要的用户行为和重要安全事件进行日志审计,便于对相关事件或行为进行追溯。 |
文章转载自网络安全与等保测评,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
