等保20标准个人解读：安全区域边界

本控制项也是等保 2.0 标准的新增内容，主要关注网络环境安全，相比旧标准除了可信验证要求外，其他部分和网络安全相似，同属三重防护之一。

标准原文

一、边界防护

1. 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；

2. 应能够对非授权设备私自联到内部网络的行为进行检查或限制；

3. 应能够对内部用户非授权连到外部网络的行为进行检查或限制；

4. 应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。

二、 访问控制

1. 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；

2. 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；

3. 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；

4. 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力；

5. 应对进出网络的 数据流实现基于应用协议和应用内容的访问控制。

三、入侵防范

1.应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；

2.应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；

3.应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；

4.当检测到攻击行为时，记录攻击源 IP 、攻击类型、攻击 目标 、攻击时间，在发生严重入侵事件时应提供报警。

四、恶意代码和垃圾邮件防范

1. 应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新；

2. 应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。

五、安全审计

1. 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

2. 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

3. 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

4. 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。

六、可信验证

可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

主要检查点

边界防护

其实按照以前的旧标准来看，本控制项的部分内容还是属于网络安全的范畴，当前等保2.0 标准中因为重要性将其单独提出结合一些新的要求，形成的 安全区域边界这样一个控制项。

本控制点要求主要是网络层面边界安全的防护能力的检查。共 4 个要求项，可以说只要是做过边界防护工作的企业环境一般都会满足基本要求，在不深入解析的情况下。比如，企业网络边界部署下一代防火墙（包含 IDPS 和 WAF 功能，省去一部分投入预算），根据业务设置合理的 ACL 策略，那么从合规的角度，已经满足一大半的要求了。不过要注意一点，策略和防护必须做双向的，不能再以传统的方法来部署，由内而外的威胁也在逐渐常态化，不能说只考虑别人攻我，我去攻别人就不是安全该管的事了，这种思维就过于偏激和危险了。

对于内部生产网和办公网（也包括管理网在内），建议也在边界设置安全策略，对于未授权设备的接入进行认证和授权，可以部署防火墙或者采用带外管理的方式（堡垒机也可以）来实现。

此外，对于内网人员私接外网的情况必须引起高度重视，此类行为一则难以被及时发现，二则存在极大风险，一定要做好管控工作。常见的就是，员工用手机开热点，机器上开无线或插网卡，这种方式想第一时间发现除非有人举报或者每台机器有相关检测能力的 agent实时反馈到监控平台（后者实践可能性较小），一旦将病毒带入内网，就是一次重大安全事故。某行业企业大面积中招勒索，其实就是内部人员安全意识淡薄，从内部引入病毒，使得边界部署的各种防护设备如同摆设一般，此类问题一定要格外重视，首先从管理层面做好教育和宣传工作，配合技术手段来合理管控。

最后就是无线网络的管理，一般来说大多企业还是将其与生产、办公网络等隔离的，因为大多无线网络是提供互联网访问的。但也有企业内外网均能访问，如果企业自身有信心做好管控也不是不可以，若非如此并不建议。对于无线网络接入的设备必须通过认证和授权，一般来说会由 AC 来进行控制。这里标准要求的还是比较基础的，很容易实现，但是从安全角度来说，要看是什么内部网络，比如生产网，核心业务网，管理网络，不建议接入无线网络，若是办公网或公共网络可以按照要求所说进行权限分配后允许接入，可考虑采用mac+ip 绑定的方式，再经过局域网身份认证后允许内网访问即可。

对于未授权设备私联内网，和内部用户私联外网的检测怎么做？这里提供一些可参考的建议。

（1）基于数据监听

通过旁路监听、分析网络内部的数据包进行检测，适合有公共网络出口的网络（如互联网），其原理是依靠分析数据包包头及传输协议的某些特殊字段来进行判断和区分随身WIFI接入、智能手机接入以及NAT设备接入，如：

1）用IP包的TTL字段变化检测标准的NAT接入设备。

2）用IP包的ID标识的跳变来确认用户私接的设备台数。

3）用HTTP协议中的User-Agent字段来检测私接上网的智能设备。

4）根据随身WIFI和免费WIFI的后门，来识别随身WIFI。

优点：

1）能够比较准确发现部分智能手机以及随身WIFI接入，主要跟监听数据包的覆盖范围相关；

2）能够比较准确识别NAT接入设备，并对通过NAT接入的数量进行统计。

缺点：

1）监听数据的覆盖范围决定其检测范围，存在漏报，适合有公共出口链路的网络，不适合作为检查工具使用；

2）因受限于检测技术，存在误报的可能；

3）主要是以检测为主，基本不具备针对源头的阻断控制能力。

深信服的上网行为管理系统就是采用此类技术，部署位置大多在互联网出口处，可以限制私接WIFI设备无法访问互联网，但无法控制WIFI设备私自接入内部网络。

（2）基于客户端代理

通过在终端桌面系统安装客户端代理来监管无线网络的使用，主要是针对终端自身无线网卡、私接无线WIFI以及使用免费无线WIFI的监管。

优点：

1）检测时间短，能够快速发现上述使用无线网络的违规行为，不会产生误报；

2）响应速度快，可以对上述违规使用无线网络的行为进行快速阻断控制。

缺点：

1）无法针对未安装客户端代理的终端桌面系统进行管控；

2）无法针对无线路由设备的私接进行监管，因为此类设备无法安装客户端代理；

3）实施和维护的工作量大，因客户端代理容易被卸载等原因，影响整体监管效果，容易产生漏报。

北信源的桌面管理系统就是采用此类技术，部署在终端PC上，可以限制使用无线网卡、随身WIFI以及免费WIFI，但无法限制私接无线路由设备。

访问控制

入侵防范+恶意代码和垃圾邮件防范

安全审计

最后

安全帮大讲堂经典回顾