等級保護測評“安全區域邊界”高風險判定指引
編輯:2021-06-11 09:41:51
本指引是依據GB/T 22239-2019《信息安全技術 網絡安全等級保護基計街本要求》有關條款,對測評過程中所發現的安全性問題進行風險判斷的指引性文件村件。指引内容包括對應要求、判例内容、适用範圍、補償措施制明、整改建議等要素。
需要指出的是,本指引無法涵蓋所有高風險案例,測評機構須根車為據安全問題所實際面臨的風險做出客觀判斷。
本指引适用于網絡安全等級保護測評活動、安下店全檢查等工(gōng)作。信息系統建設單位亦可參知冷考本指引描述的案例編制系統安全需求。
本次針對安全區域邊界的高風險進行分析。
邊界防護
(1)互聯網邊界訪問控制
對應要求:應保證跨越邊界的訪問和數據流通(tōng)過邊界設備提供的受控接口進行通自女(tōng)信。
判例内容:互聯網出口無任何訪問控制措施,或訪問控制措施配置失唱行效,存在較大(dà)安全隐患,可判定為(wèi)高風險。呢歌
适用範圍:所有系統。
滿足條件(任意條件):互聯網出口無任何訪問控制措施。互聯網出口訪問控制會花措施配置不(bù)當,存在較大(dà)安全隐患。互聯網出口訪問控制術亮措施配置失效,無法起到相關控制功能。
補償措施:邊界訪問控制設備不(bù)一定一定要是防火牆,隻要是能實湖間現相關的訪問控制功能,形态為(wèi)專用設備,且有相關制自功能能夠提供相應的檢測報告,可視為(wèi)等書舊效措施,判符合。如(rú)通(tōng)過門醫路由器(qì)、交換機或者帶ACL功能的負載均衡器(qì)等設備實現,大船可根據系統重要程度,設備性能壓力等因素,酌情判定風險等級。
整改建議:建議在互聯網出口部署專用的訪問控制設備,并合理南購配置相關控制策略,确保控制措施有效。
(2)網絡訪問控制設備不(bù)可控
對應要求:應保證跨越邊界的訪問和數據流通(tōng)過邊界設備提供的受短子控接口進行通(tōng)信。
判例内容:互聯網邊界訪問控制設備若無管理權限,且未按需要提供訪問控可我制策略,無法根據業務需要或所發生的安全事件及時(shí)調整訪間兵問控制策略,可判定為(wèi)高風險。
适用範圍:所有系統。
滿足條件(同時(shí)):互聯網邊界訪問控制設備無管理權吃愛限;無其他(tā)任何有效訪問控制措施;無讀機法根據業務需要或所發生的安全事件及時(shí得朋)調整訪問控制策略。
補償措施:無。
整改建議:建議部署自有的邊界訪問控制設備或租用有管理權限的邊界訪問控制音在設備,且對相關設備進行合理配置。
(3)違規内聯檢查措施
對應要求:應能夠對非授權設備私自聯到内部網絡的行為(wèi)進行檢員麗查或限制。
判例内容:非授權設備能夠直接接入重要網絡區域,如(rú)服都子務器(qì)區、管理網段等,且無任何告警、限制、阻斷等措施的,可判定為(唱年wèi)高風險。
适用範圍:3級及以上系統。
滿足條件(同時(shí)):3級及以上系統;機房村路、網絡等環境不(bù)可控,存在非授權接入可能;可非授權接入網絡重要區個志域,如(rú)服務器(qì)區、管理網段等;無任何控制措施,控年場制措施包括限制、檢查、阻斷等。
補償措施:如(rú)接入的區域有嚴格的物理訪問控制,近資采用靜态IP地址分配,關閉不(bù)必要的接拿男入端口,IP-MAC地址綁定等措施的,可酌情降低(dī)風險等級。
整改建議:建議部署能夠對違規内聯行為(wèi)進行檢查、定如年位和阻斷的安全準入産品。
(4)違規外聯檢查措施
對應要求:應能夠對内部用戶非授權聯到外部網絡的行為(wè房短i)進行檢查或限制。
判例内容:核心重要服務器(qì)設備、重要核心管理終端,如(rú)無法對說麗非授權聯到外部網絡的行為(wèi)進行檢查或限制,或内部人媽相員可旁路、繞過邊界訪問控制設備私自外聯互聯網,可判定為(wè人聽i)高風險。
适用範圍:3級及以上系統。
滿足條件(同時(shí)):3 級及以上系統;機房、網絡等環境不歌雪(bù)可控,存在非授權外聯可能;對于核心重要服暗紅務器(qì)、重要核心管理終端存在私自外聯互聯網可能;無任北錯何控制措施,控制措施包括限制、檢查、阻斷等。
補償措施:如(rú)機房、網絡等環境可控,非授權外聯可能較小,相關設備上的USB接口、了近無線網卡等有管控措施,對網絡異常進行監控及日志著麗審查,可酌情降低(dī)風險等級。
整改建議:建議部署能夠對違規外聯行為(wèi)進行檢查、定妹唱位和阻斷的安全管理産品。
(5)無線網絡管控措施
對應要求:應限制無線網絡的使用,保證無線網絡通(tōng)過受控的村筆邊界設備接入内部網絡。
判例内容:内部核心網絡與無線網絡互聯,且之間無任何管控措施,一旦書購非授權接入無線網絡即可訪問内部核心網絡區域,存在較大(dà)安全隐患,可兒了判定為(wèi)高風險。
适用範圍:3級及以上系統。
滿足條件(同時(shí)):3級及以上系統;内部核心網絡與無線網絡互聯,且不女化(bù)通(tōng)過任何受控的邊界設備,或邊界設備控制策略設置不(bù看民)當;非授權接入無線網絡将對内部核心網絡帶來較大(dà)安全隐患。
補償措施:在特殊應用場景下,無線覆蓋區域較小,且嚴格受控,僅事湖有授權人員方可進入覆蓋區域的,可酌情降低(dī)風險校術等級;對無線接入有嚴格的管控及身份認證措施木樹,非授權接入可能較小,可根據管控措施的情況酌情降低(dī)風險等制民級。
整改建議:如(rú)無特殊需要,内部核心網絡不(bù)應與無線網絡互聯;如(rú)討子因業務需要,則建議加強對無線網絡設備接入的管控,并通(tōng校和)過邊界設備對無線網絡的接入設備對内部核心網絡的訪問進行限制,降低(dī樂木)攻擊者利用無線網絡入侵内部核心網絡。
訪問控制
(1)互聯網邊界訪問控制
對應要求:應在網絡邊界或區域之間根據訪問控制策略設物林置訪問控制規則,默認情況下除允許通(tōng)信外受控接口拒絕所有通(tōn姐美g)信。
判例内容:與互聯網互連的系統,邊界處如(rú)無專用的訪問控制設備或配置了全刀站通(tōng)策略,可判定為(wèi)高風險器還。
适用範圍:所有系統。
滿足條件(任意條件):互聯網出口無任何訪問控制措施。互聯網出他舞口訪問控制措施配置不(bù)當,存在較大(dà)安全隐患。互聯熱地網出口訪問控制措施配置失效,啟用透明模式司現,無法起到相關控制功能。
補償措施:邊界訪問控制設備不(bù)一定一定要是防火牆,隻要是能實現相關的訪問控制學城功能,形态為(wèi)專用設備,且有相關功能能夠提供相應的檢測光自報告,可視為(wèi)等效措施,判符合。如(rú)個間通(tōng)過路由器(qì)、交換機或者帶ACL功能報朋的負載均衡器(qì)等設備實現,可根據系統重要程度,設備性能壓力等因素,酌行森情判定風險等級。
整改建議:建議在互聯網出口部署專用的訪問控制設備,并合理配置相關控制策略,确保白拿控制措施有效。
(2)通(tōng)信協議轉換及隔離措施
對應要求:應在網絡邊界通(tōng)過通(tōng體樹)信協議轉換或通(tōng)信協議隔離等方式進行數據交換。
判例内容:可控網絡環境與不(bù)可控網絡環境之間數據傳輸未采用通(tōn答術g)信協議轉換或通(tōng)信協議隔離等方式進行數看東據轉換,可判定為(wèi)高風險。
适用範圍:4級系統。
滿足條件(同時(shí)):4級系統;可控網絡環境與不(bù)可控網絡環境和知之間數據傳輸未進行數據格式或協議轉化,也未采用通(tōng玩藍)訊(xùn)協議隔離措施。
補償措施:如(rú)通(tōng)過相關技術/安全專家(jiā上自)論證,系統由于業務場景需要,無法通(tōng)過通(tōng)信協議轉換或裡輛通(tōng)信協議隔離等方式進行數據轉換的,但我區有其他(tā)安全保障措施的,可酌情降低(dī)風藍店險等級。
整改建議:建議數據在不(bù)同等級網絡邊界之間傳輸時(shí),通女用(tōng)過通(tōng)信協議轉換或通(tōng)信協議隔離等方式紙件進行數據交換。
入侵防範
(1)外部網絡攻擊防禦
對應要求:應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為(wèi)。到遠
判例内容:關鍵網絡節點(如(rú)互聯網邊界處)未采取任何防護措弟鐵施,無法檢測、阻止或限制互聯網發起的攻擊行為(wèi),可判定為(wèi)高風河器險。
适用範圍:3級及以上系統。
滿足條件(同時(shí)):3級及以上系統;關鍵網絡節點(如工在(rú)互聯網邊界處)無任何入侵防護手段(如(rú)入頻裡侵防禦設備、雲防、WAF等對外部網絡發起的攻外為擊行為(wèi)進行檢測、阻斷或限制)。
補償措施:如(rú)具備入侵檢測能力(IDS),且監控措施較為(wèi事木)完善,能夠及時(shí)對入侵行為(wèi)進行幹預的,可酌間中情降低(dī)風險等級。
整改建議:建議在關鍵網絡節點(如(rú)互聯網邊界處)合理部醫技署可對攻擊行為(wèi)進行檢測、阻斷或限制的防護設備(如暗高(rú)抗APT攻擊系統、網絡回溯系統、威脅情報檢測系統、入侵坐開防護系統等),或購買雲防等外部抗攻擊服務。
(2)内部網絡攻擊防禦
對應要求:應在關鍵網絡節點處檢測、防止或限制從内部發起的網絡攻姐上擊行為(wèi)。
判例内容:關鍵網絡節點(如(rú)核心服務器(qì)區與其他(tā)内拍亮部網絡區域邊界處)未采取任何防護措施,無法檢測、阻止或限制從内部發起媽慢的網絡攻擊行為(wèi),可判定為(wèi)高風險。
适用範圍:3級及以上系統。
滿足條件(同時(shí)):3級及以上系統;關鍵網絡節點(如(rú)個請核心服務器(qì)區與其他(tā)内部網絡森離區域邊界處)無任何入侵防護手段(如(rú農老)入侵防禦、防火牆等對内部網絡發起的攻擊行為(wèi)進行檢測、阻司月斷或限制)。
補償措施:如(rú)核心服務器(qì)區與其他(tā)内部網絡之間部署明也了防火牆等訪問控制設備,且訪問控制措施較為(wèi)嚴格光電,發生内部網絡攻擊可能性較小或有一定的檢測、防止或限制能力,可酌情降低(dī兵站)風險等級。
整改建議:建議在關鍵網絡節點處(如(rú)核心服務器(qì)區與其他(飛事tā)内部網絡區域邊界處)進行嚴格的訪問控制措施,并部署相關的防護設備,來紙檢測、防止或限制從内部發起的網絡攻擊行為(wèi)。
惡意代碼和垃圾郵件防範
(1)網絡層惡意代碼防範
對應要求:應在關鍵網絡節點處對惡意代碼進行檢測,并維護惡校章意代碼防護機制的升級和更新。
判例内容:主機和網絡層均無任何惡意代碼檢測和措施的,可判定為校哥(wèi)高風險。
适用範圍:所有系統。
滿足條件(同時(shí)):主機層無惡意代碼檢測和措施;網絡層無惡意代碼檢煙制測和措施。
補償措施:如(rú)主機層部署惡意代碼檢測和産品,醫錯且惡意代碼庫保持更新,可酌情降低(dī)風險等級。* 如(r化一ú)2級及以下系統,使用Linux、Unix系統,主機和網絡層均未部署惡意代碼飛光檢測和産品,可視總體防禦措施酌情降低(dī)風險等級。 對與外網完街暗全物理隔離的系統,其網絡環境、USB介質等管控措施較好(hǎo)黃遠,可酌情降低(dī)風險等級。
整改建議:建議在關鍵網絡節點處部署惡意代碼檢測和産品,且與主機他站層惡意代碼防範産品形成異構模式,有效檢測及**可能出現的惡意代碼攻擊。
安全審計
(1)網絡安全審計措施
對應要求:應在網絡邊界、重要網絡節點進行安全審計,審計體術覆蓋到每個用戶,對重要的用戶行為(wèi)和重要安全事件進行審花一計。
判例内容:在網絡邊界、重要網絡節點無任何安全審計措施,無飛妹法對重要的用戶行為(wèi)和重要安全事件進行日志審計,可判定為(wèi)鐘南高風險。
适用範圍:所有系統。
滿足條件(同時(shí)):無法對重要的用戶行為(w近嗎èi)和重要安全事件進行日志審計。
補償措施:無。
整改建議:建議在網絡邊界、重要網絡節點,對重要的用戶行為多分(wèi)和重要安全事件進行日志審計,便于對相關事件或行為(wèi)司跳進行追溯。
文章來源:大(dà)路咨詢
咨詢熱線:0351-4073466
地址:(北區)山西省太原市迎澤區新建南路文源遠信巷24号文源公務中心5層
(南區)太原市小店區南中環街(商中jiē)529 号清控創新基地A座4層