今天不得不等说说在2.0通用要求中网络和通信安全有哪些情况可以判为高风险项,供大家参考学习。
事例一、应按照不同网络的功能、重要程度进行网络区域划分,如存在重要区域与非重要网络在同一子网或网段的,可判高风险。
判定依据:网络架构:c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
整改措施:
1、涉及资金类交易的支付类系统与办公网划分不同网段; 2、面向互联网提供服务的系统与内部系统划分不同网段; 3、不同级别的系统划分不同网段。事例二、互联网出口无任何访问控制措施。如未部署防火墙、网络访问控制设备等,判为高风险。
事例三、办公网与生产网之间无访问控制措施,办公环境任意网络接入均可对核心生产服务器和网络设备进行管理,判定为高风险。
判定依据:网络架构:d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;
整改措施:系统在互联网出口部署专用的访问控制设备。不同网络区域间应部署访问控制设备,并合理配置访问控制控制策略。访问控制设备如:防火墙等网关层控制设备。
事例四、在三级及四级系统中,口令、密钥等重要敏感信息在网络中明文传输的,可判定为高风险。
判定依据:通信传输:b)应采用密码技术保证通信过程中敏感信息字段或整个报文的保密性。
整改措施:网络设备开启SSH或HTTPS协议,并通过这些加密方式传输鉴别信息。
事例五、与互联网互连的系统,边界处如无专用的访问控制设备或未对与互联网通信的接口进行控制的,判为高风险。
事例六、互联网边界租用运营商边界访问控制设备的,若没有设备管理权限且未提供具体访问控制策略,可判高风险。
判定依据:边界防护:a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;
整改措施:在互联网边界部署访问控制设备,并对通信接口进行控制。部署自有的防火墙或租用有管理权限的防火墙。
事例七、在三级及四级系统中,非授权设备能够直接接入重要网络区域,如服务器区、管理网段等,且无任何告警、限制、阻断等措施的,可判高风险。
判定依据:边界防护:b) 应能够对非授权设备私自联到内部网络的行为进行限制或检查, 并对其进行有效阻断;
整改措施:部署能够对非法内联行为进行检查、定位和阻断的安全准入产品。
事例八、在三级及四级系统中,对于核心重要服务器、重要核心管理终端存在旁路、绕过边界访问控制设备私自外联互联网的可能且无任何控制措施的,可判为高危;
判定依据:边界防护:c) 应能够对内部用户非授权联到外部网络的行为进行限制或检查, 并对其进行有效阻断;
整改措施:部署能够对非法外联行为进行检查、定位和阻断的安全管理产品。
事例九、与互联网互连的系统,边界处如无专用的访问控制设备或配置了全通策略,判为高风险。
判定依据:访问控制:a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
整改措施:在互联网边界部署访问控制设备,并合理设置访问控制策略。
事例十、在三级及四级系统中,关键网络节点(通常为互联网边界处)未采取任何防护措施检测、阻止或限制互联网发起的攻击行为,可判为高风险。
判定依据:入侵防范:a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
整改措施:建议在关键网络节点部署入侵防御、WAF等对可攻击行为进行检测、阻断或限制的设备,或购买云防等外部抗攻击服务。
事例十一、在网络边界、重要网络节点无任何安全审计措施,无法对重要的用户行为和重要安全事件进行日志审计,可判高风险。
判定依据:安全审计:在网络边界、重要网络节点无任何安全审计措施,无法对重要的用户行为和重要安全事件进行日志审计,可判高风险。
整改措施:建议在网络边界、重要网络节点,对重要的用户行为和重要安全事件进行日志审计,便于对相关事件或行为进行追溯。
事例十二、《网络安全法》要求“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”;因此,在三级及四级系统中,如日志留存不满足法律法规相关要求,可判高风险。
判定依据:安全审计:d)应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;
整改措施:建议部署日志服务器,统一收集各设备的审计数据,进行集中分析,并根据法律法规的要求留存日志。这也是不得不等在最新的三级整改套餐中将日志审计设为必备设备的原因。没有日志审计的系统均可判为高危风险。至于二级系统也建议大家配置日志审计。
在网络和通信安全中涉及到的安全设备有防火墙、下一代防火墙、网闸、IPS/IDS、WAF、云WAF、安全准入、日志审计等设备。
声明:本文来自等级保护测评,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。