我理解的等保2.0条目解读2-安全区域边界

1.0时代只关注互联网或整个网络出口的边界，2.0划分更细致，与外部系统的边界、内部不同区域如服务器区与办公区的防护措施。

一、边界防护

a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；

——首先，需要有边界访问控制设备，如防火墙、路由器，其次，要通过指定端口进行跨越边界的网络通信，指定端口应配置并启用安全策略。

b)应能够对非授权设备私自联到内部网络的行为进行检查或限制；

——使用违规内联检查产品，补偿措施：关闭不必要的端口，使用静态IP，启用IP和MAC地址绑定。

高风险项：机房、网络等环境不可控，存在非授权接入网络重要区域，如服务器区、管理网段、业务网段的可能；

c)应能够对内部用户非授权联到外部网络的行为进行检查或限制；

——非授权外联监测、内网主机监测设备。

d)应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。

——如果系统涉及无线网络，应单独组网后通过受控的边界防护设备接入有线网络。

二、访问控制

a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；

b) 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；

c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；

d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力；

——防火墙或路由器等边界访问控制设备上，应根据业务要求按照最小化原则配置访问控制规则，如应用服务器仅对外开放443端口。检查现有规则的有效性、必要性。禁止全通策略。

e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。

——通过WEB应用防火墙（WAF）实现对应用层的控制。

三、入侵防范

a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；

b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；

——通过防火墙、WAF、IPS防御外部攻击，2.0新增防御内部攻击和新型攻击要求，避免内部人员、或内部主机被利用造成的风险，可部署IDS提供一定抵御内部攻击能力。

c)应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；

——态势感知。

d)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。

四、恶意代码和垃圾邮件防范

a) 应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新；

——防病毒网关。

b) 应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。

——反垃圾邮件。

五、安全审计

a) 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

c) 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。

——谜一样出现的安全审计，首先不是指网络安全设备的审计日志，不是应用的审计日志，因为在安全计算环境中对这两者有单独的要求了；也不是攻击日志（在入侵防范要求过了）；只能把所有审计的内容再复制一遍。

通过上网行为管理记录远程访问的用户行为、访问互联网的用户行为。