Image
全國統一服務熱線
0351-4073466

等級保護測評“安全區域邊界”高風險判定指引

編輯:2021-06-11 09:41:51

本指引是依(yi)據GB/T 22239-2019《信息安(an)全技術 網絡安(an)全等級保護基本要求》有關條款,對(dui)測評過程中所發(fa)現的(de)安(an)全性問題(ti)進行風(feng)險判(pan)斷的(de)指引性文件。指引內容包括(kuo)對(dui)應要求、判(pan)例內容、適用范圍(wei)、補(bu)償措施(shi)、整改建議等要素。

需要指出的是,本指引(yin)無法涵蓋所有高風險(xian)案例,測評機(ji)構須根據安全問題(ti)所實際面(mian)臨(lin)的風險(xian)做(zuo)出客觀判斷。

本(ben)指引適用(yong)于網(wang)絡安全(quan)(quan)等級保護測評活動、安全(quan)(quan)檢查(cha)等工作。信(xin)息系(xi)(xi)統建(jian)設(she)單位亦可參考本(ben)指引描述的案例(li)編制(zhi)系(xi)(xi)統安全(quan)(quan)需求。

本次針對安全區(qu)域邊(bian)界(jie)的高(gao)風險進行分(fen)析(xi)。

邊界(jie)防護

(1)互聯網邊界訪問控(kong)制(zhi)

對應要(yao)求:應保證跨(kua)越邊界(jie)(jie)的訪問和數據流(liu)通過邊界(jie)(jie)設(she)備提供(gong)的受控接(jie)口進行通信。

判(pan)例內容:互聯網(wang)出口無任何訪(fang)問控(kong)制措施,或訪(fang)問控(kong)制措施配置失效,存在較大(da)安全隱患(huan),可判定為高風險。

適用范圍:所有系統。

滿足條件(任意條件(jian)):互(hu)聯網出(chu)口無任何訪問(wen)控制(zhi)(zhi)措施。互(hu)聯網出(chu)口訪問(wen)控制(zhi)(zhi)措施配置(zhi)不當,存在(zai)較(jiao)大安全(quan)隱患(huan)。互(hu)聯網出(chu)口訪問(wen)控制(zhi)(zhi)措施配置(zhi)失效,無法(fa)起到相關(guan)控制(zhi)(zhi)功能。

補償措(cuo)施:邊界訪問(wen)控(kong)制設(she)(she)備不一(yi)定(ding)(ding)一(yi)定(ding)(ding)要是防(fang)火墻(qiang),只要是能(neng)實(shi)(shi)現相關(guan)的訪問(wen)控(kong)制功能(neng),形(xing)態為專用設(she)(she)備,且有相關(guan)功能(neng)能(neng)夠提供相應(ying)的檢(jian)測報告,可視為等(deng)(deng)(deng)效(xiao)措施,判符合。如通過路由器(qi)、交換機或(huo)者帶ACL功能(neng)的負(fu)載均衡器(qi)等(deng)(deng)(deng)設(she)(she)備實(shi)(shi)現,可根(gen)據系統重(zhong)要程度,設(she)(she)備性能(neng)壓力等(deng)(deng)(deng)因(yin)素,酌(zhuo)情判定(ding)(ding)風險等(deng)(deng)(deng)級。

整改建議:建(jian)議在互聯網出口部(bu)署專(zhuan)用(yong)的訪問(wen)控制設備(bei),并合理配置相(xiang)關控制策(ce)略,確保控制措施有(you)效。

(2)網絡訪(fang)問控制設備不可(ke)控

對應要求(qiu):應保證跨越邊(bian)界的(de)訪問和數據流通過邊(bian)界設備提供的(de)受(shou)控接口(kou)進(jin)行通信。

判例內容:互(hu)聯網(wang)邊界訪問控(kong)制(zhi)設備若無管理權限,且未按需(xu)要(yao)提供(gong)訪問控(kong)制(zhi)策略,無法(fa)根據業務需(xu)要(yao)或所發(fa)生的安全事件及時調整訪問控(kong)制(zhi)策略,可判定(ding)為(wei)高風險。

適(shi)用(yong)范圍(wei):所有系統。

滿足(zu)條件(同(tong)時):互聯網邊界訪(fang)問(wen)控制設(she)備無(wu)管理權限(xian);無(wu)其他任何(he)有效訪(fang)問(wen)控制措施;無(wu)法(fa)根據業務(wu)需要或所發(fa)生的安全事(shi)件及(ji)時調整訪(fang)問(wen)控制策(ce)略(lve)。

補償措施:無。

整改建(jian)議:建(jian)議部署自有的邊界(jie)訪問控制設(she)備(bei)(bei)或租用有管理(li)權限的邊界(jie)訪問控制設(she)備(bei)(bei),且對相關(guan)設(she)備(bei)(bei)進行合理(li)配(pei)置。

(3)違規內聯(lian)檢(jian)查措施(shi)

對應要求(qiu):應(ying)能夠對非授(shou)權設(she)備私自聯到內(nei)部網(wang)絡的(de)行(xing)為進行(xing)檢(jian)查或限(xian)制(zhi)。

判例內容:非授權設備能夠直接(jie)接(jie)入重要網絡(luo)區(qu)域,如(ru)服務器區(qu)、管理網段等(deng),且無任何告(gao)警、限制、阻斷等(deng)措施的,可(ke)判定為高風險。

適(shi)用范圍:3級及以上系統。

滿(man)足條件(同時):3級及以上系統;機房(fang)、網(wang)絡(luo)等(deng)環(huan)境(jing)不可(ke)(ke)控(kong)(kong),存(cun)在非授(shou)(shou)權接入可(ke)(ke)能(neng);可(ke)(ke)非授(shou)(shou)權接入網(wang)絡(luo)重要區域,如服(fu)務器區、管理網(wang)段等(deng);無任何控(kong)(kong)制(zhi)措施,控(kong)(kong)制(zhi)措施包(bao)括限制(zhi)、檢查、阻斷(duan)等(deng)。

補償措施:如接入的區域有嚴格(ge)的物理訪問控制(zhi),采用(yong)靜態IP地址(zhi)分配,關(guan)閉(bi)不必要的接入端(duan)口,IP-MAC地址(zhi)綁定(ding)等措施(shi)的,可酌情降低風險(xian)等級(ji)。

整改(gai)建議(yi):建(jian)議部署(shu)能夠對違規內聯行(xing)(xing)為進行(xing)(xing)檢查、定位和阻斷(duan)的安全(quan)準入產品(pin)。

(4)違(wei)規外聯檢查(cha)措施

對應(ying)要求(qiu):應能夠對內部用戶非授(shou)權聯到外部網絡的(de)行為進行檢查或限制。

判(pan)例內容:核心重要服務(wu)器設備(bei)、重要核心管理(li)終端,如無(wu)法(fa)對非授權聯(lian)到外(wai)部網(wang)絡(luo)的(de)行為(wei)進(jin)行檢查(cha)或(huo)限制,或(huo)內(nei)部人員可(ke)旁路、繞過邊界訪問(wen)控制設備(bei)私自外(wai)聯(lian)互聯(lian)網(wang),可(ke)判定為(wei)高風險。

適(shi)用范圍:3級及以上系統。

滿(man)足條件(同時):3 級(ji)及以上(shang)系統;機房、網絡(luo)等(deng)環境(jing)不可(ke)控,存在(zai)非授權外聯可(ke)能;對于核心(xin)重(zhong)(zhong)要服務(wu)器、重(zhong)(zhong)要核心(xin)管理終端存在(zai)私(si)自外聯互聯網可(ke)能;無任何(he)控制(zhi)措施(shi),控制(zhi)措施(shi)包括(kuo)限制(zhi)、檢查(cha)、阻斷等(deng)。

補(bu)償措施(shi):如機房、網(wang)絡等(deng)環(huan)境可(ke)控(kong),非授(shou)權外聯可(ke)能較(jiao)小(xiao),相關(guan)設(she)備(bei)上的(de)USB接口、無線網(wang)卡等(deng)有管控(kong)措施,對網(wang)絡異常進(jin)行監(jian)控(kong)及日志審查(cha),可(ke)酌情降低風險(xian)等(deng)級。

整改(gai)建議:建議部(bu)署能夠對違(wei)規外(wai)聯行(xing)為(wei)進行(xing)檢查、定位(wei)和阻斷(duan)的安全管理產品。

(5)無線網(wang)絡(luo)管控措(cuo)施

對應要求:應限制無線網絡的使用,保(bao)證無線網絡通(tong)過受(shou)控的邊(bian)界設(she)備接入內部(bu)網絡。

判例內容(rong):內部核心(xin)網絡與無線(xian)網絡互聯,且之間(jian)無任何管(guan)控(kong)措施(shi),一(yi)旦非授權接入(ru)無線(xian)網絡即可訪問(wen)內部核心(xin)網絡區(qu)域(yu),存在較大安全(quan)隱患(huan),可判定為高(gao)風險。

適用(yong)范(fan)圍:3級及以上系統。

滿足條(tiao)件(同時):3級及以上系統(tong);內部(bu)(bu)核(he)心(xin)網(wang)絡(luo)與無(wu)線(xian)網(wang)絡(luo)互聯,且不通過(guo)任(ren)何受控(kong)的邊界設備,或邊界設備控(kong)制策略設置不當;非授權接入無(wu)線(xian)網(wang)絡(luo)將對內部(bu)(bu)核(he)心(xin)網(wang)絡(luo)帶來較大安全(quan)隱患。

補償措施:在特殊應用場(chang)景下,無(wu)線覆蓋區(qu)域較(jiao)小(xiao),且嚴格受控(kong)(kong),僅有授權人(ren)員方可(ke)進入(ru)覆蓋區(qu)域的(de),可(ke)酌情(qing)(qing)降(jiang)(jiang)低風險(xian)等級;對無(wu)線接(jie)入(ru)有嚴格的(de)管(guan)控(kong)(kong)及身份(fen)認證措(cuo)施,非授權接(jie)入(ru)可(ke)能較(jiao)小(xiao),可(ke)根(gen)據(ju)管(guan)控(kong)(kong)措(cuo)施的(de)情(qing)(qing)況酌情(qing)(qing)降(jiang)(jiang)低風險(xian)等級。

整改建(jian)議(yi):如無(wu)(wu)特殊需(xu)要(yao),內部(bu)(bu)核(he)(he)心(xin)網絡不(bu)應與無(wu)(wu)線(xian)網絡互(hu)聯;如因業務需(xu)要(yao),則建議加強(qiang)對無(wu)(wu)線(xian)網絡設(she)備(bei)接入的(de)(de)管控(kong),并通過邊界(jie)設(she)備(bei)對無(wu)(wu)線(xian)網絡的(de)(de)接入設(she)備(bei)對內部(bu)(bu)核(he)(he)心(xin)網絡的(de)(de)訪問(wen)進行限制(zhi),降低攻(gong)擊者利用無(wu)(wu)線(xian)網絡入侵內部(bu)(bu)核(he)(he)心(xin)網絡。

訪問控制

(1)互聯網邊界訪問控(kong)制

對應(ying)要求(qiu):應在(zai)網絡邊(bian)界或區域之間根據訪問控制策略(lve)設(she)置訪問控制規則,默認情況下除允許(xu)通(tong)信(xin)(xin)外受控接口拒絕所有通(tong)信(xin)(xin)。

判(pan)例內容:與互(hu)聯網互(hu)連的(de)系統,邊界處如無專用的(de)訪問控制設(she)備或(huo)配(pei)置了全通策(ce)略,可判(pan)定為高(gao)風險。

適用(yong)范圍:所有系統。

滿(man)足條件(任意條件):互(hu)(hu)聯網(wang)出(chu)口(kou)(kou)無任何訪(fang)(fang)問控(kong)制措施。互(hu)(hu)聯網(wang)出(chu)口(kou)(kou)訪(fang)(fang)問控(kong)制措施配置(zhi)(zhi)不當,存在(zai)較大安全(quan)隱患。互(hu)(hu)聯網(wang)出(chu)口(kou)(kou)訪(fang)(fang)問控(kong)制措施配置(zhi)(zhi)失效,啟用透明模式(shi),無法起到相關(guan)控(kong)制功(gong)能(neng)。

補(bu)償措施:邊界(jie)訪問(wen)控制(zhi)設(she)備(bei)不一定一定要(yao)是防火墻,只(zhi)要(yao)是能(neng)(neng)實現(xian)相(xiang)關(guan)(guan)的訪問(wen)控制(zhi)功(gong)能(neng)(neng),形態為(wei)專用設(she)備(bei),且有相(xiang)關(guan)(guan)功(gong)能(neng)(neng)能(neng)(neng)夠(gou)提(ti)供相(xiang)應的檢測(ce)報告,可視為(wei)等(deng)效措施(shi),判符合。如通(tong)過路(lu)由(you)器(qi)、交換(huan)機或者帶(dai)ACL功(gong)能(neng)(neng)的負載均衡(heng)器(qi)等(deng)設(she)備(bei)實現(xian),可根據系統重(zhong)要(yao)程度,設(she)備(bei)性能(neng)(neng)壓力等(deng)因素,酌情判定風險等(deng)級。

整改(gai)建議:建議在(zai)互(hu)聯網出口部署專用的訪問(wen)控制(zhi)設備,并合理配置相關控制(zhi)策略,確保(bao)控制(zhi)措(cuo)施有效(xiao)。

(2)通(tong)信協議轉(zhuan)換及隔離措施

對應要求:應在網絡邊界通(tong)過通(tong)信協議轉換或(huo)通(tong)信協議隔離等方式進(jin)行數據(ju)交換。

判(pan)例內容:可控(kong)(kong)網(wang)絡(luo)環境與不(bu)可控(kong)(kong)網(wang)絡(luo)環境之間數據(ju)傳輸(shu)未(wei)采用通(tong)信協議轉換或通(tong)信協議隔離(li)等(deng)方式進(jin)行數據(ju)轉換,可判定為高風(feng)險。

適用(yong)范圍:4級系統。

滿足條件(同時):4級系統;可(ke)控網絡環(huan)境與不可(ke)控網絡環(huan)境之間數據(ju)傳輸(shu)未進行數據(ju)格(ge)式或協議轉化,也未采用通訊協議隔離(li)措施。

補償措施:如通(tong)過(guo)相關技術(shu)/安(an)全專家論證,系統(tong)由(you)于業務場景需(xu)要,無法(fa)通(tong)過(guo)通(tong)信協(xie)議轉換或通(tong)信協(xie)議隔(ge)離等方式進行數據轉換的,但有其他安(an)全保障措施(shi)的,可(ke)酌情降低風險等級。

整改建議:建議數據(ju)(ju)在不(bu)同等級(ji)網(wang)絡邊界(jie)之間傳輸時(shi),通(tong)過通(tong)信協議轉換或通(tong)信協議隔離等方式進行(xing)數據(ju)(ju)交換。

入侵防范

(1)外部網絡攻擊防御(yu)

對應要求:應在關(guan)鍵網絡節點處檢(jian)測、防止或限制從外部發起(qi)的網絡攻擊行為。

判例內容:關(guan)鍵網(wang)絡節點(如互聯(lian)網(wang)邊(bian)界處)未采取任何防護(hu)措施,無法檢測、阻止(zhi)或限制(zhi)互聯(lian)網(wang)發起(qi)的攻擊(ji)行為,可判(pan)定為高風險。

適(shi)用(yong)范圍:3級及以上系統。

滿足條件(同時):3級(ji)及以上系統;關鍵網絡(luo)節點(如互聯網邊界處)無任何入(ru)侵防護手段(如入(ru)侵防御設備(bei)、云防、WAF等對外部網絡(luo)發起的攻擊行為進行檢測、阻斷或限(xian)制)。

補償(chang)措施:如具備入侵檢測能力(IDS),且監控(kong)措施較為完善,能夠及時(shi)對入侵行(xing)(xing)為進行(xing)(xing)干預的,可酌情降(jiang)低(di)風(feng)險等(deng)級(ji)。

整改建(jian)議:建議(yi)在關鍵網絡(luo)節點(如互聯網邊界處)合理部署可(ke)對攻擊行為(wei)進行檢測(ce)、阻(zu)斷或限制的防護設(she)備(bei)(如抗(kang)(kang)APT攻擊系統(tong)、網絡(luo)回溯系統(tong)、威脅(xie)情(qing)報檢測(ce)系統(tong)、入(ru)侵防護系統(tong)等),或購買云防等外部抗(kang)(kang)攻擊服務。

(2)內部網絡攻擊防御

對應要(yao)求(qiu):應在關(guan)鍵網絡(luo)節點處檢測、防止(zhi)或限制從內部(bu)發起的(de)網絡(luo)攻(gong)擊行為。

判例內容:關鍵網絡節點(如核(he)心服(fu)務(wu)器區(qu)與其他內(nei)部網絡區(qu)域邊(bian)界(jie)處)未采取任何防護措施,無(wu)法檢測、阻止(zhi)或限制從內(nei)部發起的網絡攻擊行為,可判定為高風險。

適用范圍:3級及以上系統。

滿足條件(同時(shi)):3級及以上系統;關鍵網絡(luo)節點(如(ru)(ru)核心服務器(qi)區(qu)與(yu)其他內部網絡(luo)區(qu)域邊(bian)界處)無(wu)任何入(ru)侵(qin)防(fang)護(hu)手(shou)段(如(ru)(ru)入(ru)侵(qin)防(fang)御、防(fang)火墻等對內部網絡(luo)發起的攻擊行(xing)為(wei)進行(xing)檢測、阻(zu)斷或限制)。

補償措施:如核(he)心服務器(qi)區與其他內(nei)部網絡之間部署了防火墻等訪問控制設備,且訪問控制措(cuo)施較(jiao)為嚴格,發(fa)生內(nei)部網絡攻(gong)擊(ji)可能性較(jiao)小或有一定的(de)檢測、防止或限制能力(li),可酌情降(jiang)低風險等級。

整改建議:建(jian)議在關鍵網絡節點處(如核心服務器區(qu)與其他(ta)內部網絡區(qu)域邊界處)進(jin)行嚴格的(de)訪問控制(zhi)措施(shi),并部署(shu)相關的(de)防護設備,檢(jian)測、防止或限制(zhi)從內部發(fa)起的(de)網絡攻擊行為。

惡意代碼和垃圾郵(you)件防范

(1)網絡層惡意代碼(ma)防范

對應要求:應在關鍵(jian)網絡節(jie)點(dian)處對惡(e)(e)意代碼進行檢(jian)測(ce),并維護(hu)惡(e)(e)意代碼防護(hu)機(ji)制的升(sheng)級(ji)和更新。

判(pan)例內容:主機和(he)網絡層均無(wu)任(ren)何惡意代碼檢(jian)測和(he)措(cuo)施的(de),可判定為高(gao)風險。

適用(yong)范(fan)圍:所有系統。

滿足(zu)條件(同時):主機層無(wu)(wu)惡(e)意(yi)代碼檢測和措(cuo)施;網絡層無(wu)(wu)惡(e)意(yi)代碼檢測和措(cuo)施。

補償措施:如主(zhu)機層部(bu)署(shu)惡意代碼檢測和產品,且(qie)惡意代碼庫保(bao)持更新,可(ke)酌(zhuo)情(qing)降(jiang)低(di)風險(xian)等級(ji)(ji)。* 如2級(ji)(ji)及(ji)以下系統(tong),使用Linux、Unix系統(tong),主(zhu)機和網(wang)(wang)絡(luo)層均未部(bu)署(shu)惡意代碼檢測和產品,可(ke)視總體防御(yu)措施酌(zhuo)情(qing)降(jiang)低(di)風險(xian)等級(ji)(ji)。 對與(yu)外網(wang)(wang)完全(quan)物理隔離的(de)系統(tong),其網(wang)(wang)絡(luo)環境、USB介質等管控措施較好,可(ke)酌(zhuo)情(qing)降(jiang)低(di)風險(xian)等級(ji)(ji)。

整改建議:建議在(zai)關鍵網(wang)絡節(jie)點處部(bu)署惡(e)意(yi)代(dai)(dai)碼(ma)檢測和產(chan)品(pin),且與主機層(ceng)惡(e)意(yi)代(dai)(dai)碼(ma)防(fang)范產(chan)品(pin)形成異(yi)構模式,有效檢測及**可(ke)能出現的惡(e)意(yi)代(dai)(dai)碼(ma)攻擊。

安全審(shen)計

(1)網(wang)絡安全(quan)審(shen)計(ji)措施

對應(ying)要求:應在網(wang)絡邊(bian)界、重(zhong)要網(wang)絡節點進行安全審(shen)計,審(shen)計覆蓋到每個用戶(hu),對重(zhong)要的用戶(hu)行為和(he)重(zhong)要安全事件進行審(shen)計。

判(pan)例內容:在網(wang)絡(luo)邊界、重(zhong)要網(wang)絡(luo)節點(dian)無(wu)任何安全審計(ji)(ji)措施,無(wu)法(fa)對(dui)重(zhong)要的用(yong)戶行為和重(zhong)要安全事件進行日志審計(ji)(ji),可判定為高風險。

適用范圍:所有系統。

滿足(zu)條(tiao)件(jian)(同時(shi)):無法對(dui)重要(yao)的用戶行(xing)為和重要(yao)安全(quan)事件(jian)進行(xing)日志審計(ji)。

補(bu)償措施:無。

整(zheng)改建(jian)議:建議在(zai)網絡邊界(jie)、重(zhong)要網絡節(jie)點,對(dui)重(zhong)要的用戶行為和重(zhong)要安全事(shi)件(jian)(jian)進(jin)行日志審計,便于對(dui)相關事(shi)件(jian)(jian)或行為進(jin)行追(zhui)溯。

文章來源:大路咨詢


Image
Image
版權所有:山西科信(xin)源科技股(gu)份有限公(gong)司(si)
咨詢熱線(xian):0351-4073466?
地址:(北(bei)區)山(shan)西省(sheng)太原市迎澤(ze)區新建南路文源巷24號文源公(gong)務中心5層(ceng)
? ? ? ? ? ?(南(nan)區(qu))太原市小店區(qu)南(nan)中環街529 號(hao)清控創新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術支持 - 資海科技集團