网络安全等级保护三级信息系统安全区域边界测评指导书

网络区域边界的等保测评实施策略

网络区域边界的等保测评实施策略需综合技术、管理和流程三方面，以符合等级保护要求。以下是具体实施要点：

一、技术防护策略

访问控制机制
- 在网络边界部署防火墙、网闸等设备，确保跨越边界的访问和数据流仅通过受控接口进行通信。
- 实施基于源地址、目的地址、端口及协议的精细化访问控制规则，默认拒绝所有非授权通信。
- 划分逻辑安全域，将重要网络区域置于内部，避免部署在边界处，并通过技术手段（如VLAN隔离）实现区域间安全隔离。
入侵与恶意代码防护
- 在关键网络节点部署入侵检测系统（IDS）和入侵防御系统（IPS），实时监测并阻断外部发起的攻击行为。
- 更新规则库以防范最新威胁，检测内部发起的异常网络活动（如非法外联）。
- 部署恶意代码防护系统，阻断病毒、木马等通过边界传播。
非授权设备管控
- 采用网络准入控制（如802.1X认证）和IP-MAC绑定技术，限制非授权设备接入内部网络。
- 关闭网络设备未使用的物理端口，并通过无线嗅探工具监测非法无线网络接入。

二、管理策略

安全策略制定与执行
- 制定明确的边界安全策略，包括数据分类、加密标准和异常行为响应流程，并通过技术手段强制实施。
- 定期审查并优化访问控制列表，删除冗余规则，确保规则最小化和有效性。
边界设备维护
- 对防火墙、路由器等边界设备实施固件/软件更新，修复已知漏洞。
- 提供通信线路、关键网络设备的硬件冗余，确保高可用性。

三、流程与审计

通信安全与可信验证
- 采用校验技术（如哈希算法）或密码技术（如TLS加密）保障通信数据的完整性和保密性。
- 基于可信根对边界设备的系统程序、配置参数等进行动态可信验证，异常时触发告警并记录审计日志。
监控与审计
- 部署网络流量监控工具，记录所有跨越边界的访问行为，生成审计记录并提交至安全管理中心。
- 定期开展渗透测试和漏洞扫描，验证边界防护措施的有效性。

四、合规性保障

文档与证据留存
- 留存网络拓扑图、设备配置信息、安全策略文档等，作为等保测评的合规证明。
- 通过自动化工具（如网络管理系统）验证网络链路和端口配置的合规性。
人员培训与应急响应
- 对运维人员进行边界安全操作培训，规范设备接入、策略变更等流程。
- 建立针对边界安全事件的应急响应机制，明确处置流程和责任人。

控制点	测评项	测评对象	测评方法及步骤
边界防护	a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；	网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件	1、应核查在网络边界处是否部署访问控制设备； 2、应核查设备配置信息是否指定端口进行跨越边界的网络通信，指定端口是否配置并启用了安全策略； 3、应采用其他技术手段（如非法无线网络设备定位、核查设备配置信息等）核查或测试验证是否不存在其他未受控端口进行跨越边界的网络通信。
	b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制；	终端管理系统或相关设备	1、应核查是否采用技术措施防止非授权设备接入内部网络； 2、应核查所有路由器和交换机等相关设备闲置端口是否已关闭。
	c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制；	终端管理系统或相关设备	应核查是否采用技术措施防止内部用户存在非法外联行为。
	d) 应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。	网络拓扑和无线网络设备	1、应核查无线网络的部署方式，是否单独组网后再连接到有限网络； 2、应核查无线网络是否通过受控的边界防护设备接入到内部有线网络。
访问控制	a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；	网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件	1、应核查在网络边界或区域之间是否部署访问控制设备并启用访问控制策略； 2、应核查设备的最后一条访问控制策略是否为禁止所有网络通信。
	b) 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；	网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件	1、应核查是否不存在多余或无效的访问控制策略； 2、应核查不同的访问控制策略之间的逻辑关系及前后排列顺序是否合理。
	c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；	网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件	1、应核查设备的访问控制策略中是否设定了源地址、目的地址、源端口、目的端口和协议等相关配置参数； 2、应测试验证访问控制策略中设定的相关配置参数是否有效。
	d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力；	网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件	1、应核查是否采用会话认证等机制为进出数据流提供明确的允许/拒绝访问的能力； 2、应测试验证是否为进出数据流提供明确的允许/拒绝访问的能力。
	e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。	第二代防火墙等提供应用层访问控制功能的设备或相关组件	1、应核查是否部署访问控制设备并启用访问控制策略； 2、应测试验证设备访问控制策略是否能够对进出网络的数据流实现基于应用协议和应用内容的访问控制。
入侵防范	a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；	抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击和入侵保护系统或相关组件	1、应核查相关系统或组件是否能够检测从外部发起的网络攻击行为； 2、应核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本； 3、应核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点； 4、应测试验证相关系统或组件的配置信息或安全策略是否有效。
	b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；	抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击和入侵保护系统或相关组件	1、应核查相关系统或组件是否能够检测到从内部发起的网络攻击行为； 2、应核查相关系统或组件的规则库版本或威胁情报库是否已经更新到最新版本； 3、应核查相关系统或组件的配置信息或安全策略是否能够覆盖网络所有关键节点； 4、应测试验证相关系统或组件的配置信息或安全策略是否有效。
	c) 应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；	抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击和入侵保护系统或相关组件	1、应核查是否部署相关系统或组件对新型网络攻击进行检测和分析； 2、应测试验证是否对网络行为进行分析，实现对网络攻击特别是未知的新型网络攻击的检测和分析。
	d) 当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。	抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击和入侵保护系统或相关组件	1、应核查相关系统或组件的记录是否包括攻击源IP、攻击类型、攻击目标、攻击时间等相关内容； 2、应测试验证相关系统或组件的报警策略是否有效。
恶意代码防范	a) 应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新；	防病毒网关和UTM等提供防恶意代码功能的系统或相关组件	1、应核查在关键网络节点处是否部署防恶意代码产品等技术措施； 2、应核查防恶意代码产品运行是否正常，恶意代码库是否已更新到最新； 3、应测试验证相关系统或组件的安全策略是否有效。
恶意代码防范	b) 应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。	防垃圾邮件网关等提供防垃圾邮件功能的系统或相关组件	1、应核查在关键网络节点处是否部署了防垃圾邮件产品等技术措施； 2、应核查防垃圾邮件产品运行是否正常，防垃圾邮件规则库是否已经更新到最新； 3、应测试验证相关系统或组件的安全策略是否有效。
安全审计	a) 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；	综合安全审计系统等	1、应核查是否部署了综合安全审计系统或类似功能的系统平台； 2、应核查安全审计范围是否覆盖到每个用户； 3、应核查是否对重要的用户行为和重要安全事件进行了审计。
	b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；	综合安全审计系统等	应核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
	c) 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；	综合安全审计系统等	1、应核查是否采取了技术措施对审计记录进行保护； 2、应核查是否采取技术措施对审计记录进行定期备份，并核查其备份策略。
	d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。	上网行为管理系统或综合安全审计系统	应核查是否对远程访问用户及互相联网访问用户行为单独进行审计分析。
可信验证	可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。	提供可信验证的设备或组件、提供集中审计功能的系统	1、应核查是否基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证； 2、应核查是否在应用程序的关键执行环节进行动态可信验证； 3、应测试验证当检测到边界设备的可信性受到破坏后是否进行报警； 4、应测试验证结果是否以审计记录的形式发送至安全管理中心。