如何判定網絡和通信安全的高風險項
事例一
重要區域與非重要網絡在同一子網或網段
判定依據
網絡架構:應劃分不同的網絡區域,并按照方便管理和控制的原則為各網絡區域分配地址
整改措施
涉及資金類交易的支付類系統與辦公網劃分不同網段
面向互聯網提供服務的系統與內部系統劃分不同網段
不同級別的系統劃分不同網段
事例二
互聯網出口無任何訪問控制措施。如未部署防火墻、網絡訪問控制設備等,判為高風險
辦公網與生產網之間無訪問控制措施,辦公環境任意網絡接入均可對核心生產服務器和網絡設備進行管理
判定依據
網絡架構應劃分不同的網絡區域,并按照方便管理和控制的原則為各網絡區域分配地址
整改措施
系統在互聯網出口部署專用的訪問控制設備;不同網絡區域間應部署訪問控制設備如防火墻等,并合理配置訪問控制控制策略
事例三
在三級及四級系統中,口令、密鑰等重要敏感信息在網絡中明文傳輸的,可判定為高風險
判定依據
通信傳輸應采用密碼技術保證通信過程中敏感信息字段或整個報文的保密性
整改措施
網絡設備開啟SSH或HTTPS協議,并通過這些加密方式傳輸鑒別信息
事例四
與互聯網互連的系統,邊界處如無專用的訪問控制設備或未對與互聯網通信的接口進行控制
互聯網邊界租用運營商邊界訪問控制設備的,若沒有設備管理權限且未提供具體訪問控制策略,可判高風險
判定依據
應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信
整改措施
在互聯網邊界部署訪問控制設備,并對通信接口進行控制。部署自有的防火墻或租用有管理權限的防火墻
事例五
在三級及四級系統中,非授權設備能夠直接接入重要網絡區域,如服務器區、管理網段等,且無任何告警、限制、阻斷等措施
判定依據
應能夠對非授權設備私自聯到內部網絡的行為進行限制或檢查, 并對其進行有效阻斷
整改措施
部署能夠對非法內聯行為進行檢查、定位和阻斷的安全準入產品
事例六
在三級及四級系統中,對于核心重要服務器、重要核心管理終端存在旁路、繞過邊界訪問控制設備私自外聯互聯網的可能且無任何控制措施
判定依據
邊界防護應能夠對內部用戶非授權聯到外部網絡的行為進行限制或檢查, 并對其進行有效阻斷
整改措施
部署能夠對非法外聯行為進行檢查、定位和阻斷的安全準入產品
事例七
與互聯網互連的系統,邊界處如無專用的訪問控制設備或配置了全通策略
判定依據
應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則,默認情況下除允許通信外受控接口拒絕所有通信
整改措施
在互聯網邊界部署訪問控制設備,并合理設置訪問控制策略
事例八
在三級及四級系統中,關鍵網絡節點(通常為互聯網邊界處)未采取任何防護措施檢測、阻止或限制互聯網發起的攻擊行為
判定依據
應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為
整改措施
建議在關鍵網絡節點部署入侵防御、WAF等對可攻擊行為進行檢測、阻斷或限制的設備,或購買云防等外部抗攻擊服務
事例九
在網絡邊界、重要網絡節點無任何安全審計措施,無法對重要的用戶行為和重要安全事件進行日志審計
判定依據
在網絡邊界、重要網絡節點無任何安全審計措施,無法對重要的用戶行為和重要安全事件進行日志審計,可判高風險
整改措施
建議在網絡邊界、重要網絡節點,對重要的用戶行為和重要安全事件進行日志審計,便于對相關事件或行為進行追溯
對于企事業單位而言,滿足等保要求將不僅僅是對信息系統本身可靠性的資質證明,更是符合法律法規的合規要求。
