等保技术要求（安全区域边界）

安全区域边界

主要是针对边界做的一些防护要求

一般隐藏条件：特征库 / 规则库 / 病毒库等相关库要求最新版本

边界防护

a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；

边界处是否有部署访问控制设备，如防火墙等，是否有配置策略，策略是否合规

边界防火墙，策略合规

b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制；

防内联，安全接入控制系统或终端管理系统等具有安全准入功能，并配置准入策略

边界防火墙具有安全准入功能，未配置有效策略

c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制；

防外联，上网行为管理等相关具有上网行为管理功能

d) 应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。

如果没有无线，则不适应；如果有无线，查看是否有 AC（无线控制器），并查看是否有做基于 IP 或者基于 MAC 的限制

不适用

访问控制

a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；

网络边界处或区域之间是否有部署访问控制设备，如防火墙，策略是否合规

边界防火墙，策略合规
核心防火墙，存在全通策略

b) 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；

策略是否合规

c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许 / 拒绝数据包进出；

是否有部署访问控制设备，如防火墙，策略是否合规

d) 应能根据会话状态信息为进出数据流提供明确的允许 / 拒绝访问的能力；

是否有部署状态检测防火墙、下一代防火墙

e) 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。

是否有部署 web 应用防火墙，是否有配置策略，特征库版本是否最新

入侵防范

a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；

检测、防止 或 检测、限制

网络关键节点处是否有部署 IDS 或 IPS，是否有策略，特征库版本是否最新

入侵防御系统，有策略，特征库已过期

b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；

检测、防止 或 检测、限制

网络关键节点处是否有部署 IDS 或 IPS，是否有策略，特征库版本是否最新

入侵检测系统，有启用告警功能，特征库已过期

c) 应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；

检测、分析

入侵检测系统，特征库是否过期

d) 当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。

检测、告警

入侵检测系统，是否有启用告警功能，特征库是否过期

恶意代码和垃圾邮件防范

a)应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新； b) 应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。

是否有防恶意代码、防垃圾邮件相关功能的设备，特征库 / 病毒库 / 规则库是否过期

防病毒网关，未启用防垃圾邮件功能，病毒库已过期

安全审计

一般隐藏条件：覆盖所有资产

a）应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

是否有部署日审相关具有审计功能的设备，是否有覆盖所有资产

日志审计系统，未采集核心交换机

b）审计记录应包括事件的日期和时间用户、事件类型、事件是否成功及其他与审计相关的信息；

日志格式是否满足要求

一般日志格式符合该要求，未采集核心交换机

c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

是否定期备份日志，日志查询时间不少于法律法规要求的 180 天（连续保存超过 180 天）

日志审计系统，未采集核心交换机，未定期备份日审设备的日志

d）应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析；

是否有部署具有审计功能相关的设备

日志审计系统，未采集核心交换机

整改：

网络设备 --- snmp

安全设备 --- syslog 配置

服务器 --- 安装探针

可信验证

不符合