9.1邊界管控

邊界管控安全要求如下：

a)應在內網邊界按照“最小權限”原則嚴格控制外部機構的訪問權限，管控措施包括但不限于：防火墻、入侵防御、應用安全防護、API網關、數據安全防護等。

b)互聯網區和外聯接入區為不可控區域，應在內部可控區域與不可控區域之間進行隔離，并根據應用需求和數據傳輸需要逐一開通訪問關系，默認為禁止訪問。

c)應避免將重要網段部署在網絡邊界處且直接連接外部信息系統，重要網段與其他網段之間應采取技術手段進行隔離。

d)應明確生產網絡接入和數據傳輸接口開通相關審批流程。

e)數據跨邊界傳輸應通過邊界設備提供的受控接口進行通信。

f)對使用API進行數據跨域流動的邊界， 應使用API防護技術， 對API使用者進行身份認證，并對API訪問行為進行檢查， 對異常訪問行為采取限速、阻斷等措施。

g)應使用設備主動發現等技術及時發現非授權設備私自連接到內部網絡的情況，使用網絡訪問行為管理技術對內部網絡私自連接到外部網絡的行為進行檢查，準確定位接入點，并對其進行有效阻斷。

h)在內部建立WLAN時， 接入終端應經過事先審批授權， 采取網絡準入控制措施， 防止終端非法接入內部網絡，并應采取終端合規檢查、終端安全狀態感知等技術手段防止操作系統管理權限被非法破解的終端設備接入內網WLAN。

i)終端通過互聯網接入內網時，應采取代理或前置機等方式在邊界網絡區域落地，實現技術隔離，避免直接透傳至內部網絡。

j)應通過多因素認證技術，標識和驗證使用者身份，使用設備證書確定設備身份，根據終端常用位置和目前位置、設備屬性、安全狀態、訪問行為等信息動態授權其訪問權限。