Image
全國(guó)統(tǒng)一服務(wù)熱線
0351-4073466

等級(jí)保護(hù)測(cè)評(píng)“安全區(qū)域邊界”高風(fēng)險(xiǎn)判定指引


編輯:2021-06-11 09:41:51

本指引是依據(jù)GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》有關(guān)條款,對(duì)測(cè)評(píng)過(guò)程中所發(fā)現(xiàn)的安全性問(wèn)題進(jìn)行風(fēng)險(xiǎn)判斷的指引性文件。指引內(nèi)容包括對(duì)應(yīng)要求、判例內(nèi)容、適用范圍、補(bǔ)償措施、整改建議等要素。

需要指出的是,本指引無(wú)法涵蓋所有高風(fēng)險(xiǎn)案例,測(cè)評(píng)機(jī)構(gòu)須根據(jù)安全問(wèn)題所實(shí)際面臨的風(fēng)險(xiǎn)做出客觀判斷。

本指引適用于網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)活動(dòng)、安全檢查等工作。信息系統(tǒng)建設(shè)單位亦可參考本指引描述的案例編制系統(tǒng)安全需求。

本次針對(duì)安全區(qū)域邊界的高風(fēng)險(xiǎn)進(jìn)行分析。

邊界防護(hù)

(1)互聯(lián)網(wǎng)邊界訪問(wèn)控制

對(duì)應(yīng)要求:應(yīng)保證跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)邊界設(shè)備提供的受控接口進(jìn)行通信。

判例內(nèi)容:互聯(lián)網(wǎng)出口無(wú)任何訪問(wèn)控制措施,或訪問(wèn)控制措施配置失效,存在較大安全隱患,可判定為高風(fēng)險(xiǎn)。

適用范圍:所有系統(tǒng)。

滿足條件(任意條件):互聯(lián)網(wǎng)出口無(wú)任何訪問(wèn)控制措施。互聯(lián)網(wǎng)出口訪問(wèn)控制措施配置不當(dāng),存在較大安全隱患。互聯(lián)網(wǎng)出口訪問(wèn)控制措施配置失效,無(wú)法起到相關(guān)控制功能。

補(bǔ)償措施:邊界訪問(wèn)控制設(shè)備不一定一定要是防火墻,只要是能實(shí)現(xiàn)相關(guān)的訪問(wèn)控制功能,形態(tài)為專用設(shè)備,且有相關(guān)功能能夠提供相應(yīng)的檢測(cè)報(bào)告,可視為等效措施,判符合。如通過(guò)路由器、交換機(jī)或者帶ACL功能的負(fù)載均衡器等設(shè)備實(shí)現(xiàn),可根據(jù)系統(tǒng)重要程度,設(shè)備性能壓力等因素,酌情判定風(fēng)險(xiǎn)等級(jí)。

整改建議:建議在互聯(lián)網(wǎng)出口部署專用的訪問(wèn)控制設(shè)備,并合理配置相關(guān)控制策略,確保控制措施有效。

(2)網(wǎng)絡(luò)訪問(wèn)控制設(shè)備不可控

對(duì)應(yīng)要求:應(yīng)保證跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)邊界設(shè)備提供的受控接口進(jìn)行通信。

判例內(nèi)容:互聯(lián)網(wǎng)邊界訪問(wèn)控制設(shè)備若無(wú)管理權(quán)限,且未按需要提供訪問(wèn)控制策略,無(wú)法根據(jù)業(yè)務(wù)需要或所發(fā)生的安全事件及時(shí)調(diào)整訪問(wèn)控制策略,可判定為高風(fēng)險(xiǎn)。

適用范圍:所有系統(tǒng)。

滿足條件(同時(shí)):互聯(lián)網(wǎng)邊界訪問(wèn)控制設(shè)備無(wú)管理權(quán)限;無(wú)其他任何有效訪問(wèn)控制措施;無(wú)法根據(jù)業(yè)務(wù)需要或所發(fā)生的安全事件及時(shí)調(diào)整訪問(wèn)控制策略。

補(bǔ)償措施:無(wú)。

整改建議:建議部署自有的邊界訪問(wèn)控制設(shè)備或租用有管理權(quán)限的邊界訪問(wèn)控制設(shè)備,且對(duì)相關(guān)設(shè)備進(jìn)行合理配置。

(3)違規(guī)內(nèi)聯(lián)檢查措施

對(duì)應(yīng)要求:應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制。

判例內(nèi)容:非授權(quán)設(shè)備能夠直接接入重要網(wǎng)絡(luò)區(qū)域,如服務(wù)器區(qū)、管理網(wǎng)段等,且無(wú)任何告警、限制、阻斷等措施的,可判定為高風(fēng)險(xiǎn)。

適用范圍:3級(jí)及以上系統(tǒng)。

滿足條件(同時(shí)):3級(jí)及以上系統(tǒng);機(jī)房、網(wǎng)絡(luò)等環(huán)境不可控,存在非授權(quán)接入可能;可非授權(quán)接入網(wǎng)絡(luò)重要區(qū)域,如服務(wù)器區(qū)、管理網(wǎng)段等;無(wú)任何控制措施,控制措施包括限制、檢查、阻斷等。

補(bǔ)償措施:如接入的區(qū)域有嚴(yán)格的物理訪問(wèn)控制,采用靜態(tài)IP地址分配,關(guān)閉不必要的接入端口,IP-MAC地址綁定等措施的,可酌情降低風(fēng)險(xiǎn)等級(jí)。

整改建議:建議部署能夠?qū)`規(guī)內(nèi)聯(lián)行為進(jìn)行檢查、定位和阻斷的安全準(zhǔn)入產(chǎn)品。

(4)違規(guī)外聯(lián)檢查措施

對(duì)應(yīng)要求:應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制。

判例內(nèi)容:核心重要服務(wù)器設(shè)備、重要核心管理終端,如無(wú)法對(duì)非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制,或內(nèi)部人員可旁路、繞過(guò)邊界訪問(wèn)控制設(shè)備私自外聯(lián)互聯(lián)網(wǎng),可判定為高風(fēng)險(xiǎn)。

適用范圍:3級(jí)及以上系統(tǒng)。

滿足條件(同時(shí)):3 級(jí)及以上系統(tǒng);機(jī)房、網(wǎng)絡(luò)等環(huán)境不可控,存在非授權(quán)外聯(lián)可能;對(duì)于核心重要服務(wù)器、重要核心管理終端存在私自外聯(lián)互聯(lián)網(wǎng)可能;無(wú)任何控制措施,控制措施包括限制、檢查、阻斷等。

補(bǔ)償措施:如機(jī)房、網(wǎng)絡(luò)等環(huán)境可控,非授權(quán)外聯(lián)可能較小,相關(guān)設(shè)備上的USB接口、無(wú)線網(wǎng)卡等有管控措施,對(duì)網(wǎng)絡(luò)異常進(jìn)行監(jiān)控及日志審查,可酌情降低風(fēng)險(xiǎn)等級(jí)。

整改建議:建議部署能夠?qū)`規(guī)外聯(lián)行為進(jìn)行檢查、定位和阻斷的安全管理產(chǎn)品。

(5)無(wú)線網(wǎng)絡(luò)管控措施

對(duì)應(yīng)要求:應(yīng)限制無(wú)線網(wǎng)絡(luò)的使用,保證無(wú)線網(wǎng)絡(luò)通過(guò)受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)。

判例內(nèi)容:內(nèi)部核心網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)互聯(lián),且之間無(wú)任何管控措施,一旦非授權(quán)接入無(wú)線網(wǎng)絡(luò)即可訪問(wèn)內(nèi)部核心網(wǎng)絡(luò)區(qū)域,存在較大安全隱患,可判定為高風(fēng)險(xiǎn)。

適用范圍:3級(jí)及以上系統(tǒng)。

滿足條件(同時(shí)):3級(jí)及以上系統(tǒng);內(nèi)部核心網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)互聯(lián),且不通過(guò)任何受控的邊界設(shè)備,或邊界設(shè)備控制策略設(shè)置不當(dāng);非授權(quán)接入無(wú)線網(wǎng)絡(luò)將對(duì)內(nèi)部核心網(wǎng)絡(luò)帶來(lái)較大安全隱患。

補(bǔ)償措施:在特殊應(yīng)用場(chǎng)景下,無(wú)線覆蓋區(qū)域較小,且嚴(yán)格受控,僅有授權(quán)人員方可進(jìn)入覆蓋區(qū)域的,可酌情降低風(fēng)險(xiǎn)等級(jí);對(duì)無(wú)線接入有嚴(yán)格的管控及身份認(rèn)證措施,非授權(quán)接入可能較小,可根據(jù)管控措施的情況酌情降低風(fēng)險(xiǎn)等級(jí)。

整改建議:如無(wú)特殊需要,內(nèi)部核心網(wǎng)絡(luò)不應(yīng)與無(wú)線網(wǎng)絡(luò)互聯(lián);如因業(yè)務(wù)需要,則建議加強(qiáng)對(duì)無(wú)線網(wǎng)絡(luò)設(shè)備接入的管控,并通過(guò)邊界設(shè)備對(duì)無(wú)線網(wǎng)絡(luò)的接入設(shè)備對(duì)內(nèi)部核心網(wǎng)絡(luò)的訪問(wèn)進(jìn)行限制,降低攻擊者利用無(wú)線網(wǎng)絡(luò)入侵內(nèi)部核心網(wǎng)絡(luò)。

訪問(wèn)控制

(1)互聯(lián)網(wǎng)邊界訪問(wèn)控制

對(duì)應(yīng)要求:應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則,默認(rèn)情況下除允許通信外受控接口拒絕所有通信。

判例內(nèi)容:與互聯(lián)網(wǎng)互連的系統(tǒng),邊界處如無(wú)專用的訪問(wèn)控制設(shè)備或配置了全通策略,可判定為高風(fēng)險(xiǎn)。

適用范圍:所有系統(tǒng)。

滿足條件(任意條件):互聯(lián)網(wǎng)出口無(wú)任何訪問(wèn)控制措施。互聯(lián)網(wǎng)出口訪問(wèn)控制措施配置不當(dāng),存在較大安全隱患。互聯(lián)網(wǎng)出口訪問(wèn)控制措施配置失效,啟用透明模式,無(wú)法起到相關(guān)控制功能。

補(bǔ)償措施:邊界訪問(wèn)控制設(shè)備不一定一定要是防火墻,只要是能實(shí)現(xiàn)相關(guān)的訪問(wèn)控制功能,形態(tài)為專用設(shè)備,且有相關(guān)功能能夠提供相應(yīng)的檢測(cè)報(bào)告,可視為等效措施,判符合。如通過(guò)路由器、交換機(jī)或者帶ACL功能的負(fù)載均衡器等設(shè)備實(shí)現(xiàn),可根據(jù)系統(tǒng)重要程度,設(shè)備性能壓力等因素,酌情判定風(fēng)險(xiǎn)等級(jí)。

整改建議:建議在互聯(lián)網(wǎng)出口部署專用的訪問(wèn)控制設(shè)備,并合理配置相關(guān)控制策略,確保控制措施有效。

(2)通信協(xié)議轉(zhuǎn)換及隔離措施

對(duì)應(yīng)要求:應(yīng)在網(wǎng)絡(luò)邊界通過(guò)通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等方式進(jìn)行數(shù)據(jù)交換。

判例內(nèi)容:可控網(wǎng)絡(luò)環(huán)境與不可控網(wǎng)絡(luò)環(huán)境之間數(shù)據(jù)傳輸未采用通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等方式進(jìn)行數(shù)據(jù)轉(zhuǎn)換,可判定為高風(fēng)險(xiǎn)。

適用范圍:4級(jí)系統(tǒng)。

滿足條件(同時(shí)):4級(jí)系統(tǒng);可控網(wǎng)絡(luò)環(huán)境與不可控網(wǎng)絡(luò)環(huán)境之間數(shù)據(jù)傳輸未進(jìn)行數(shù)據(jù)格式或協(xié)議轉(zhuǎn)化,也未采用通訊協(xié)議隔離措施。

補(bǔ)償措施:如通過(guò)相關(guān)技術(shù)/安全專家論證,系統(tǒng)由于業(yè)務(wù)場(chǎng)景需要,無(wú)法通過(guò)通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等方式進(jìn)行數(shù)據(jù)轉(zhuǎn)換的,但有其他安全保障措施的,可酌情降低風(fēng)險(xiǎn)等級(jí)。

整改建議:建議數(shù)據(jù)在不同等級(jí)網(wǎng)絡(luò)邊界之間傳輸時(shí),通過(guò)通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等方式進(jìn)行數(shù)據(jù)交換。

入侵防范

(1)外部網(wǎng)絡(luò)攻擊防御

對(duì)應(yīng)要求:應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為。

判例內(nèi)容:關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)(如互聯(lián)網(wǎng)邊界處)未采取任何防護(hù)措施,無(wú)法檢測(cè)、阻止或限制互聯(lián)網(wǎng)發(fā)起的攻擊行為,可判定為高風(fēng)險(xiǎn)。

適用范圍:3級(jí)及以上系統(tǒng)。

滿足條件(同時(shí)):3級(jí)及以上系統(tǒng);關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)(如互聯(lián)網(wǎng)邊界處)無(wú)任何入侵防護(hù)手段(如入侵防御設(shè)備、云防、WAF等對(duì)外部網(wǎng)絡(luò)發(fā)起的攻擊行為進(jìn)行檢測(cè)、阻斷或限制)。

補(bǔ)償措施:如具備入侵檢測(cè)能力(IDS),且監(jiān)控措施較為完善,能夠及時(shí)對(duì)入侵行為進(jìn)行干預(yù)的,可酌情降低風(fēng)險(xiǎn)等級(jí)。

整改建議:建議在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)(如互聯(lián)網(wǎng)邊界處)合理部署可對(duì)攻擊行為進(jìn)行檢測(cè)、阻斷或限制的防護(hù)設(shè)備(如抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)、威脅情報(bào)檢測(cè)系統(tǒng)、入侵防護(hù)系統(tǒng)等),或購(gòu)買云防等外部抗攻擊服務(wù)。

(2)內(nèi)部網(wǎng)絡(luò)攻擊防御

對(duì)應(yīng)要求:應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。

判例內(nèi)容:關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)(如核心服務(wù)器區(qū)與其他內(nèi)部網(wǎng)絡(luò)區(qū)域邊界處)未采取任何防護(hù)措施,無(wú)法檢測(cè)、阻止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為,可判定為高風(fēng)險(xiǎn)。

適用范圍:3級(jí)及以上系統(tǒng)。

滿足條件(同時(shí)):3級(jí)及以上系統(tǒng);關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)(如核心服務(wù)器區(qū)與其他內(nèi)部網(wǎng)絡(luò)區(qū)域邊界處)無(wú)任何入侵防護(hù)手段(如入侵防御、防火墻等對(duì)內(nèi)部網(wǎng)絡(luò)發(fā)起的攻擊行為進(jìn)行檢測(cè)、阻斷或限制)。

補(bǔ)償措施:如核心服務(wù)器區(qū)與其他內(nèi)部網(wǎng)絡(luò)之間部署了防火墻等訪問(wèn)控制設(shè)備,且訪問(wèn)控制措施較為嚴(yán)格,發(fā)生內(nèi)部網(wǎng)絡(luò)攻擊可能性較小或有一定的檢測(cè)、防止或限制能力,可酌情降低風(fēng)險(xiǎn)等級(jí)。

整改建議:建議在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處(如核心服務(wù)器區(qū)與其他內(nèi)部網(wǎng)絡(luò)區(qū)域邊界處)進(jìn)行嚴(yán)格的訪問(wèn)控制措施,并部署相關(guān)的防護(hù)設(shè)備,檢測(cè)、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。

惡意代碼和垃圾郵件防范

(1)網(wǎng)絡(luò)層惡意代碼防范

對(duì)應(yīng)要求:應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼進(jìn)行檢測(cè),并維護(hù)惡意代碼防護(hù)機(jī)制的升級(jí)和更新。

判例內(nèi)容:主機(jī)和網(wǎng)絡(luò)層均無(wú)任何惡意代碼檢測(cè)和措施的,可判定為高風(fēng)險(xiǎn)。

適用范圍:所有系統(tǒng)。

滿足條件(同時(shí)):主機(jī)層無(wú)惡意代碼檢測(cè)和措施;網(wǎng)絡(luò)層無(wú)惡意代碼檢測(cè)和措施。

補(bǔ)償措施:如主機(jī)層部署惡意代碼檢測(cè)和產(chǎn)品,且惡意代碼庫(kù)保持更新,可酌情降低風(fēng)險(xiǎn)等級(jí)。* 如2級(jí)及以下系統(tǒng),使用Linux、Unix系統(tǒng),主機(jī)和網(wǎng)絡(luò)層均未部署惡意代碼檢測(cè)和產(chǎn)品,可視總體防御措施酌情降低風(fēng)險(xiǎn)等級(jí)。 對(duì)與外網(wǎng)完全物理隔離的系統(tǒng),其網(wǎng)絡(luò)環(huán)境、USB介質(zhì)等管控措施較好,可酌情降低風(fēng)險(xiǎn)等級(jí)。

整改建議:建議在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署惡意代碼檢測(cè)和產(chǎn)品,且與主機(jī)層惡意代碼防范產(chǎn)品形成異構(gòu)模式,有效檢測(cè)及**可能出現(xiàn)的惡意代碼攻擊。

安全審計(jì)

(1)網(wǎng)絡(luò)安全審計(jì)措施

對(duì)應(yīng)要求:應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì),審計(jì)覆蓋到每個(gè)用戶,對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)。

判例內(nèi)容:在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)無(wú)任何安全審計(jì)措施,無(wú)法對(duì)重要的用戶行為和重要安全事件進(jìn)行日志審計(jì),可判定為高風(fēng)險(xiǎn)。

適用范圍:所有系統(tǒng)。

滿足條件(同時(shí)):無(wú)法對(duì)重要的用戶行為和重要安全事件進(jìn)行日志審計(jì)。

補(bǔ)償措施:無(wú)。

整改建議:建議在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn),對(duì)重要的用戶行為和重要安全事件進(jìn)行日志審計(jì),便于對(duì)相關(guān)事件或行為進(jìn)行追溯。

文章來(lái)源:大路咨詢


Image
Image
版權(quán)所有:山西科信源信息科技有限公司??
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號(hào)文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號(hào)清控創(chuàng)新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號(hào) 技術(shù)支持 - 資海科技集團(tuán)