上一篇,我们系统介绍了《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)(等保)中二级等保关于机房安全物理环境的审计要点。重点从七个方面开展:机房选址合规性、物理访问控制、防盗防破坏措施、“四防”(防雷、防火、防水、防静电)落实、温湿度控制、电力供应保障及电磁防护规范性。(详见文章:《等保二级机房安全环境审计要点》)审计方法包括现场勘查、文档审阅、符合性测试等,旨在全面评估机房物理环境的安全性与合规性,为信息系统稳定运行提供基础保障。本篇,我们将延续上一篇的对于等保二级审计的探索,根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)(等保)中对于安全通信网络及区域边界的要求,在安全通信网络及区域边界应该关注哪些审计要点。在本阶段的审计重点关注区域划分及隔离、通信传输、访问控制策略合规性、安全区域边界、入侵检测/防御系统部署与有效性、恶意代码防范措施、安全审计日志管理、身份鉴别与管理这八个方面。1、安全分区合理性:核查网络拓扑图与地址规划文档,确认是否依据业务功能与安全需求划分独立安全区域(如办公网、业务服务网、安全管理区等)。确认各安全区域是否规划并使用了独立的IP地址段。2、边界隔离有效性:检查网络架构设计,验证核心业务区域未直接部署于网络边界。检查防火墙或其他隔离设备的部署点位,确认其位于不同安全区域之间。核查设备型号及许可证,确认其具备实现区域隔离的技术能力。1、检查各个系统设计文档或配置,确认在传输重要数据(如身份鉴别信息、管理指令)时使用了校验码技术或密码技术。1、抽样检查防火墙等边界设备的访问控制列表(ACL)策略配置,验证其是否遵循“最小权限原则”。2、核查策略是否仅为业务必需流量授权,是否存在类似默认拒绝规则。3、检查策略变更记录,确认访问控制规则的调整均经过审批流程。4、检查防火墙等访问控制能力,能否提供根据会话状态信息明确允许/拒绝的能力。1、边界防护设备部署与效能:检查网络拓扑及设备配置,确认在关键网络边界(如互联网出口、办公网与业务网之间)均已部署防火墙。对比网络拓扑与实际网络线路,确认网络边界设备及链路接入端口无误。2、核查防火墙的性能规格(如吞吐量、并发连接数、业务高峰期CPU,内存使用率等)是否与当前网络流量匹配,评估其是否存在性能瓶颈风险,高峰期流量不超过设备处理能力的70%。3、(非二级等保硬性要求)检查防火墙高可用集群配置,验证其故障切换功能是否经过测试并有效。1、检查IDS部署方式,确认其部署于互联网出口、核心交换区等关键链路。2、检查IPS部署方式,确认其部署于防火墙后方等关键点位。3、抽样检查IDS/IPS的告警日志与规则库版本,确认其已启用且规则为最新,能够有效检测/防御已知攻击。4、(非二级等保硬性要求)核查IPS的高可用集群配置,验证其业务连续性保障能力。1、检查互联网出口边界,确认是否部署防病毒网关或UTM等设备。2、核查防病毒设备策略配置,确认已对HTTP、FTP、SMTP/POP3等常见协议流量启用病毒、木马扫描功能。3、检查病毒库版本,确认其为最新版本并已开启自动更新。1、抽样检查服务器、网络设备及安全设备的本地日志配置,确认已开启审计功能,记录管理员登录、操作等关键行为。2、抽样检查日志内容,是否包含事件的日期和时间、用户、事件类型、事件是否成功。3、核查审计日志是否备份,有无定期备份策略,日志是否保存180天及以上。1、抽样检查网络设备、安全设备的管理员账户,验证是否已禁用默认账户或修改默认口令。2、核查账户口令策略强度配置,验证口令长度(如8位以上)、复杂度(含大小写字母、数字、特殊字符)是否符合要求。3、检查账户列表,确认是否为每位管理员分配了独立账号,不存在多人共用一个账号的情况。总之,对等保二级安全通信网络及区域边界的审计,是构建纵深防御体系、保障业务连续性与数据安全性的关键环节。通过系统性地审查区域隔离、访问控制、入侵防护、日志审计等八大核心领域,能够全面评估网络架构的安全合规水平,及时发现并消除潜在风险。接下来,我们还将聚焦等保中关于安全计算环境等安全建设中备受关注的环节的审计要点,点关注,不迷路。
