等保测评过程企业常见疑问

1.关于边界划分

互联网系统分为互联网接入区、服务器区和操作维护区。在过去，我的理解是，服务器区和互联网应该分别划分为一个边界。从数据流入的方向、访问外部网络的方向和运维区访问服务器的方向划分为互联网边界。

2.边界设备是否一定要防火墙？

以等保测评要求来看，可以选择具有访问控制功能的设备或相关组件，如网络门、防火墙、路由器、交换机、无线接入网关设备等作为边界设备，并配置相应的访问控制策略。

3.以堡垒机访问设备时，堡垒机的身份认证措施(如密码复杂度、登录失败处理、二要素认证等)是否可以判断设备是否满足该要求？

在只允许堡垒机访问设备的情况下，则堡垒机策略能够满足设备策略要求。

而如果设备能够直接访问堡垒机的话，则确定设备自己的策略。

但设备缺乏措施的话，堡垒机策略只能适用于部分合规项。

4.安全审计是对象主要为网络边界和重要网络节点。网络边界要求是指每个边界设备的审计，还是指综合审计系统？

安全审计主要是审计网络安全事件以及网络流量，如：对网络流量进行统计、分析、识别、筛选以及对网络中的某些重要行为进行审计。

安全审计主要是对网络入侵检测、防御、APT (Advanced Sustainability Threat detection)检测以及Web应用攻击检测等设备检测到的网络攻击行为进行审计。

上面定义了用户行为和安全事件的范围，但不明确具体条件。评价要求中明确了评价对象是综合安全审计体系。可以暂认为只对重要的用户行为和重要的安全事件进行审计。设备不受限制，可以是防火墙、态势感知、云安全中心等。

5.能够对远程访问和上网的用户行为分别进行行为审计和数据分析。用户上网行为需要记录什么？

当用户以互联网远程访问内部设备时，则需要对用户的访问行为进行记录。若系统不需要连接网络，则不需要记录用户上网行为、办公网络组网行为，如果与被测系统无关，则不纳入评估范围。