本指引是依據(jù)GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》有關(guān)條款，對測評過程中所發(fā)現(xiàn)的安全性問題進行風(fēng)險判斷的指引性文件。指引內(nèi)容包括對應(yīng)要求、判例內(nèi)容、適用范圍、補償措施、整改建議等要素。

需要指出的是，本指引無法涵蓋所有高風(fēng)險案例，測評機構(gòu)須根據(jù)安全問題所實際面臨的風(fēng)險做出客觀判斷。

本指引適用于網(wǎng)絡(luò)安全等級保護測評活動、安全檢查等工作。信息系統(tǒng)建設(shè)單位亦可參考本指引描述的案例編制系統(tǒng)安全需求。

本次針對安全區(qū)域邊界的高風(fēng)險進行分析。

邊界防護

（1）互聯(lián)網(wǎng)邊界訪問控制

對應(yīng)要求：應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通信。

判例內(nèi)容：互聯(lián)網(wǎng)出口無任何訪問控制措施，或訪問控制措施配置失效，存在較大安全隱患，可判定為高風(fēng)險。

適用范圍：所有系統(tǒng)。

滿足條件（任意條件）：互聯(lián)網(wǎng)出口無任何訪問控制措施?；ヂ?lián)網(wǎng)出口訪問控制措施配置不當，存在較大安全隱患?；ヂ?lián)網(wǎng)出口訪問控制措施配置失效，無法起到相關(guān)控制功能。

補償措施：邊界訪問控制設(shè)備不一定一定要是防火墻，只要是能實現(xiàn)相關(guān)的訪問控制功能，形態(tài)為專用設(shè)備，且有相關(guān)功能能夠提供相應(yīng)的檢測報告，可視為等效措施，判符合。如通過路由器、交換機或者帶ACL功能的負載均衡器等設(shè)備實現(xiàn)，可根據(jù)系統(tǒng)重要程度，設(shè)備性能壓力等因素，酌情判定風(fēng)險等級。

整改建議：建議在互聯(lián)網(wǎng)出口部署專用的訪問控制設(shè)備，并合理配置相關(guān)控制策略，確?？刂拼胧┯行А?/p>

（2）網(wǎng)絡(luò)訪問控制設(shè)備不可控

對應(yīng)要求：應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通信。

判例內(nèi)容：互聯(lián)網(wǎng)邊界訪問控制設(shè)備若無管理權(quán)限，且未按需要提供訪問控制策略，無法根據(jù)業(yè)務(wù)需要或所發(fā)生的安全事件及時調(diào)整訪問控制策略，可判定為高風(fēng)險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：互聯(lián)網(wǎng)邊界訪問控制設(shè)備無管理權(quán)限；無其他任何有效訪問控制措施；無法根據(jù)業(yè)務(wù)需要或所發(fā)生的安全事件及時調(diào)整訪問控制策略。

補償措施：無。

整改建議：建議部署自有的邊界訪問控制設(shè)備或租用有管理權(quán)限的邊界訪問控制設(shè)備，且對相關(guān)設(shè)備進行合理配置。

（3）違規(guī)內(nèi)聯(lián)檢查措施

對應(yīng)要求：應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查或限制。

判例內(nèi)容：非授權(quán)設(shè)備能夠直接接入重要網(wǎng)絡(luò)區(qū)域，如服務(wù)器區(qū)、管理網(wǎng)段等，且無任何告警、限制、阻斷等措施的，可判定為高風(fēng)險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：3級及以上系統(tǒng)；機房、網(wǎng)絡(luò)等環(huán)境不可控，存在非授權(quán)接入可能；可非授權(quán)接入網(wǎng)絡(luò)重要區(qū)域，如服務(wù)器區(qū)、管理網(wǎng)段等；無任何控制措施，控制措施包括限制、檢查、阻斷等。

補償措施：如接入的區(qū)域有嚴格的物理訪問控制，采用靜態(tài)IP地址分配，關(guān)閉不必要的接入端口，IP-MAC地址綁定等措施的，可酌情降低風(fēng)險等級。

整改建議：建議部署能夠?qū)`規(guī)內(nèi)聯(lián)行為進行檢查、定位和阻斷的安全準入產(chǎn)品。

（4）違規(guī)外聯(lián)檢查措施

對應(yīng)要求：應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查或限制。

判例內(nèi)容：核心重要服務(wù)器設(shè)備、重要核心管理終端，如無法對非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查或限制，或內(nèi)部人員可旁路、繞過邊界訪問控制設(shè)備私自外聯(lián)互聯(lián)網(wǎng)，可判定為高風(fēng)險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：3 級及以上系統(tǒng)；機房、網(wǎng)絡(luò)等環(huán)境不可控，存在非授權(quán)外聯(lián)可能；對于核心重要服務(wù)器、重要核心管理終端存在私自外聯(lián)互聯(lián)網(wǎng)可能；無任何控制措施，控制措施包括限制、檢查、阻斷等。

補償措施：如機房、網(wǎng)絡(luò)等環(huán)境可控，非授權(quán)外聯(lián)可能較小，相關(guān)設(shè)備上的USB接口、無線網(wǎng)卡等有管控措施，對網(wǎng)絡(luò)異常進行監(jiān)控及日志審查，可酌情降低風(fēng)險等級。

整改建議：建議部署能夠?qū)`規(guī)外聯(lián)行為進行檢查、定位和阻斷的安全管理產(chǎn)品。

（5）無線網(wǎng)絡(luò)管控措施

對應(yīng)要求：應(yīng)限制無線網(wǎng)絡(luò)的使用，保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)。

判例內(nèi)容：內(nèi)部核心網(wǎng)絡(luò)與無線網(wǎng)絡(luò)互聯(lián)，且之間無任何管控措施，一旦非授權(quán)接入無線網(wǎng)絡(luò)即可訪問內(nèi)部核心網(wǎng)絡(luò)區(qū)域，存在較大安全隱患，可判定為高風(fēng)險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：3級及以上系統(tǒng)；內(nèi)部核心網(wǎng)絡(luò)與無線網(wǎng)絡(luò)互聯(lián)，且不通過任何受控的邊界設(shè)備，或邊界設(shè)備控制策略設(shè)置不當；非授權(quán)接入無線網(wǎng)絡(luò)將對內(nèi)部核心網(wǎng)絡(luò)帶來較大安全隱患。

補償措施：在特殊應(yīng)用場景下，無線覆蓋區(qū)域較小，且嚴格受控，僅有授權(quán)人員方可進入覆蓋區(qū)域的，可酌情降低風(fēng)險等級；對無線接入有嚴格的管控及身份認證措施，非授權(quán)接入可能較小，可根據(jù)管控措施的情況酌情降低風(fēng)險等級。

整改建議：如無特殊需要，內(nèi)部核心網(wǎng)絡(luò)不應(yīng)與無線網(wǎng)絡(luò)互聯(lián)；如因業(yè)務(wù)需要，則建議加強對無線網(wǎng)絡(luò)設(shè)備接入的管控，并通過邊界設(shè)備對無線網(wǎng)絡(luò)的接入設(shè)備對內(nèi)部核心網(wǎng)絡(luò)的訪問進行限制，降低攻擊者利用無線網(wǎng)絡(luò)入侵內(nèi)部核心網(wǎng)絡(luò)。

訪問控制

（1）互聯(lián)網(wǎng)邊界訪問控制

對應(yīng)要求：應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信。

判例內(nèi)容：與互聯(lián)網(wǎng)互連的系統(tǒng)，邊界處如無專用的訪問控制設(shè)備或配置了全通策略，可判定為高風(fēng)險。

適用范圍：所有系統(tǒng)。

滿足條件（任意條件）：互聯(lián)網(wǎng)出口無任何訪問控制措施?；ヂ?lián)網(wǎng)出口訪問控制措施配置不當，存在較大安全隱患?；ヂ?lián)網(wǎng)出口訪問控制措施配置失效，啟用透明模式，無法起到相關(guān)控制功能。

補償措施：邊界訪問控制設(shè)備不一定一定要是防火墻，只要是能實現(xiàn)相關(guān)的訪問控制功能，形態(tài)為專用設(shè)備，且有相關(guān)功能能夠提供相應(yīng)的檢測報告，可視為等效措施，判符合。如通過路由器、交換機或者帶ACL功能的負載均衡器等設(shè)備實現(xiàn)，可根據(jù)系統(tǒng)重要程度，設(shè)備性能壓力等因素，酌情判定風(fēng)險等級。

整改建議：建議在互聯(lián)網(wǎng)出口部署專用的訪問控制設(shè)備，并合理配置相關(guān)控制策略，確?？刂拼胧┯行А?/p>

（2）通信協(xié)議轉(zhuǎn)換及隔離措施

對應(yīng)要求：應(yīng)在網(wǎng)絡(luò)邊界通過通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等方式進行數(shù)據(jù)交換。

判例內(nèi)容：可控網(wǎng)絡(luò)環(huán)境與不可控網(wǎng)絡(luò)環(huán)境之間數(shù)據(jù)傳輸未采用通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等方式進行數(shù)據(jù)轉(zhuǎn)換，可判定為高風(fēng)險。

適用范圍：4級系統(tǒng)。

滿足條件（同時）：4級系統(tǒng)；可控網(wǎng)絡(luò)環(huán)境與不可控網(wǎng)絡(luò)環(huán)境之間數(shù)據(jù)傳輸未進行數(shù)據(jù)格式或協(xié)議轉(zhuǎn)化，也未采用通訊協(xié)議隔離措施。

補償措施：如通過相關(guān)技術(shù)/安全專家論證，系統(tǒng)由于業(yè)務(wù)場景需要，無法通過通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等方式進行數(shù)據(jù)轉(zhuǎn)換的，但有其他安全保障措施的，可酌情降低風(fēng)險等級。

整改建議：建議數(shù)據(jù)在不同等級網(wǎng)絡(luò)邊界之間傳輸時，通過通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等方式進行數(shù)據(jù)交換。

入侵防范

（1）外部網(wǎng)絡(luò)攻擊防御

對應(yīng)要求：應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為。

判例內(nèi)容：關(guān)鍵網(wǎng)絡(luò)節(jié)點（如互聯(lián)網(wǎng)邊界處）未采取任何防護措施，無法檢測、阻止或限制互聯(lián)網(wǎng)發(fā)起的攻擊行為，可判定為高風(fēng)險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：3級及以上系統(tǒng)；關(guān)鍵網(wǎng)絡(luò)節(jié)點（如互聯(lián)網(wǎng)邊界處）無任何入侵防護手段（如入侵防御設(shè)備、云防、WAF等對外部網(wǎng)絡(luò)發(fā)起的攻擊行為進行檢測、阻斷或限制）。

補償措施：如具備入侵檢測能力（IDS），且監(jiān)控措施較為完善，能夠及時對入侵行為進行干預(yù)的，可酌情降低風(fēng)險等級。

整改建議：建議在關(guān)鍵網(wǎng)絡(luò)節(jié)點（如互聯(lián)網(wǎng)邊界處）合理部署可對攻擊行為進行檢測、阻斷或限制的防護設(shè)備（如抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)、威脅情報檢測系統(tǒng)、入侵防護系統(tǒng)等），或購買云防等外部抗攻擊服務(wù)。

（2）內(nèi)部網(wǎng)絡(luò)攻擊防御

對應(yīng)要求：應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。

判例內(nèi)容：關(guān)鍵網(wǎng)絡(luò)節(jié)點（如核心服務(wù)器區(qū)與其他內(nèi)部網(wǎng)絡(luò)區(qū)域邊界處）未采取任何防護措施，無法檢測、阻止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為，可判定為高風(fēng)險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：3級及以上系統(tǒng)；關(guān)鍵網(wǎng)絡(luò)節(jié)點（如核心服務(wù)器區(qū)與其他內(nèi)部網(wǎng)絡(luò)區(qū)域邊界處）無任何入侵防護手段（如入侵防御、防火墻等對內(nèi)部網(wǎng)絡(luò)發(fā)起的攻擊行為進行檢測、阻斷或限制）。

補償措施：如核心服務(wù)器區(qū)與其他內(nèi)部網(wǎng)絡(luò)之間部署了防火墻等訪問控制設(shè)備，且訪問控制措施較為嚴格，發(fā)生內(nèi)部網(wǎng)絡(luò)攻擊可能性較小或有一定的檢測、防止或限制能力，可酌情降低風(fēng)險等級。

整改建議：建議在關(guān)鍵網(wǎng)絡(luò)節(jié)點處（如核心服務(wù)器區(qū)與其他內(nèi)部網(wǎng)絡(luò)區(qū)域邊界處）進行嚴格的訪問控制措施，并部署相關(guān)的防護設(shè)備，檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。

惡意代碼和垃圾郵件防范

（1）網(wǎng)絡(luò)層惡意代碼防范

對應(yīng)要求：應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對惡意代碼進行檢測，并維護惡意代碼防護機制的升級和更新。

判例內(nèi)容：主機和網(wǎng)絡(luò)層均無任何惡意代碼檢測和措施的，可判定為高風(fēng)險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：主機層無惡意代碼檢測和措施；網(wǎng)絡(luò)層無惡意代碼檢測和措施。

補償措施：如主機層部署惡意代碼檢測和產(chǎn)品，且惡意代碼庫保持更新，可酌情降低風(fēng)險等級。* 如2級及以下系統(tǒng)，使用Linux、Unix系統(tǒng)，主機和網(wǎng)絡(luò)層均未部署惡意代碼檢測和產(chǎn)品，可視總體防御措施酌情降低風(fēng)險等級。 對與外網(wǎng)完全物理隔離的系統(tǒng)，其網(wǎng)絡(luò)環(huán)境、USB介質(zhì)等管控措施較好，可酌情降低風(fēng)險等級。

整改建議：建議在關(guān)鍵網(wǎng)絡(luò)節(jié)點處部署惡意代碼檢測和產(chǎn)品，且與主機層惡意代碼防范產(chǎn)品形成異構(gòu)模式，有效檢測及**可能出現(xiàn)的惡意代碼攻擊。

安全審計

（1）網(wǎng)絡(luò)安全審計措施

對應(yīng)要求：應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。

判例內(nèi)容：在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點無任何安全審計措施，無法對重要的用戶行為和重要安全事件進行日志審計，可判定為高風(fēng)險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：無法對重要的用戶行為和重要安全事件進行日志審計。

補償措施：無。

整改建議：建議在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點，對重要的用戶行為和重要安全事件進行日志審計，便于對相關(guān)事件或行為進行追溯。

文章來源：大路咨詢