如果说网络安全的攻防对抗是一场持久的战争,《网络安全法》指出了我们的战略方向,而《等级保护条例》等相关法律法规则是更详细的战术布置。等级保护测评的工作专业而繁琐,这里我们针对等保2.0的要求中,如何判定网络和通信安全的高风险项进行介绍,希望有所裨益。
案例1:重要区域与非重要网络在同一子网或网段
判定依据
网络架构:应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址
整改措施
1、涉及资金类交易的支付类系统与办公网划分不同网段
2、面向互联网提供服务的系统与内部系统划分不同网段
3、不同级别的系统划分不同网段
案例2
1、互联网出口无任何访问控制措施。如未部署防火墙、网络访问控制设备等,判为高风险
2、办公网与生产网之间无访问控制措施,办公环境任意网络接入均可对核心生产服务器和网络设备进行管理
判定依据
网络架构应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址
整改措施
系统在互联网出口部署专用的访问控制设备;不同网络区域间应部署访问控制设备如防火墙等,并合理配置访问控制控制策略
案例3
在三级及四级系统中,口令、密钥等重要敏感信息在网络中明文传输的,可判定为高风险
判定依据
通信传输应采用密码技术保证通信过程中敏感信息字段或整个报文的保密性
整改措施
网络设备开启SSH或HTTPS协议,并通过这些加密方式传输鉴别信息
案例4
1、与互联网互连的系统,边界处如无专用的访问控制设备或未对与互联网通信的接口进行控制
2、互联网边界租用运营商边界访问控制设备的,若没有设备管理权限且未提供具体访问控制策略,可判高风险
判定依据
应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信
整改措施
在互联网边界部署访问控制设备,并对通信接口进行控制。部署自有的防火墙或租用有管理权限的防火墙
案例5
在三级及四级系统中,非授权设备能够直接接入重要网络区域,如服务器区、管理网段等,且无任何告警、限制、阻断等措施
判定依据
应能够对非授权设备私自联到内部网络的行为进行限制或检查, 并对其进行有效阻断
整改措施
部署能够对非法内联行为进行检查、定位和阻断的安全准入产品
案例6
在三级及四级系统中,对于核心重要服务器、重要核心管理终端存在旁路、绕过边界访问控制设备私自外联互联网的可能且无任何控制措施
判定依据
边界防护应能够对内部用户非授权联到外部网络的行为进行限制或检查, 并对其进行有效阻断
整改措施
部署能够对非法外联行为进行检查、定位和阻断的安全准入产品
案例7
与互联网互连的系统,边界处如无专用的访问控制设备或配置了全通策略
判定依据
应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信
整改措施
在互联网边界部署访问控制设备,并合理设置访问控制策略
案例8
在三级及四级系统中,关键网络节点(通常为互联网边界处)未采取任何防护措施检测、阻止或限制互联网发起的攻击行为
判定依据
应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为
整改措施
建议在关键网络节点部署入侵防御、WAF等对可攻击行为进行检测、阻断或限制的设备,或购买云防等外部抗攻击服务
案例9
在网络边界、重要网络节点无任何安全审计措施,无法对重要的用户行为和重要安全事件进行日志审计
判定依据
在网络边界、重要网络节点无任何安全审计措施,无法对重要的用户行为和重要安全事件进行日志审计,可判高风险
整改措施
建议在网络边界、重要网络节点,对重要的用户行为和重要安全事件进行日志审计,便于对相关事件或行为进行追溯
对于企事业单位而言,满足等保要求将不仅仅是对信息系统本身可靠性的资质证明,更是符合法律法规的合规要求。鉴于等级保护工作本身具有很高的门槛,这里挂一漏万,小伙伴们也可以在评