一、邊界防護

 1、互聯(lián)網(wǎng)邊界訪(fǎng)問(wèn)控制

對應要求：應保證跨越邊界的訪(fǎng)問(wèn)和數據流通過(guò)邊界設備提供的受控接口進(jìn)行通信。

判例內容：互聯(lián)網(wǎng)出口無(wú)任何訪(fǎng)問(wèn)控制措施，或訪(fǎng)問(wèn)控制措施配置失效，存在較大安全隱患，可判定為高風(fēng)險。

適用范圍：所有系統。

滿(mǎn)足條件（任意條件）：

1、互聯(lián)網(wǎng)出口無(wú)任何訪(fǎng)問(wèn)控制措施。

2、互聯(lián)網(wǎng)出口訪(fǎng)問(wèn)控制措施配置不當，存在較大安全隱患。

3、互聯(lián)網(wǎng)出口訪(fǎng)問(wèn)控制措施配置失效，無(wú)法起到相關(guān)控制功能。

補償措施：邊界訪(fǎng)問(wèn)控制設備不一定一定要是防火墻，只要是能實(shí)現相關(guān)的訪(fǎng)問(wèn)控制功能，形態(tài)為專(zhuān)用設備，且有相關(guān)功能能夠提供相應的檢測報告，可視為等效措施，判符合。如通過(guò)路由器、交換機或者帶ACL功能的負載均衡器等設備實(shí)現，可根據系統重要程度，設備性能壓力等因素，酌情判定風(fēng)險等級。

整改建議：建議在互聯(lián)網(wǎng)出口部署專(zhuān)用的訪(fǎng)問(wèn)控制設備，并合理配置相關(guān)控制策略，確?？刂拼胧┯行?。

2、網(wǎng)絡(luò )訪(fǎng)問(wèn)控制設備不可控

對應要求：應保證跨越邊界的訪(fǎng)問(wèn)和數據流通過(guò)邊界設備提供的受控接口進(jìn)行通信。

判例內容：互聯(lián)網(wǎng)邊界訪(fǎng)問(wèn)控制設備若無(wú)管理權限，且未按需要提供訪(fǎng)問(wèn)控制策略，無(wú)法根據業(yè)務(wù)需要或所發(fā)生的安全事件及時(shí)調整訪(fǎng)問(wèn)控制策略，可判定為高風(fēng)險。

適用范圍：所有系統。

滿(mǎn)足條件（同時(shí)）：

1、互聯(lián)網(wǎng)邊界訪(fǎng)問(wèn)控制設備無(wú)管理權限；

2、無(wú)其他任何有效訪(fǎng)問(wèn)控制措施；

3、無(wú)法根據業(yè)務(wù)需要或所發(fā)生的安全事件及時(shí)調整訪(fǎng)問(wèn)控制策略。

補償措施：無(wú)。

整改建議：建議部署自有的邊界訪(fǎng)問(wèn)控制設備或租用有管理權限的邊界訪(fǎng)問(wèn)控制設備，且對相關(guān)設備進(jìn)行合理配置。

3、違規內聯(lián)檢查措施

對應要求：應能夠對非授權設備私自聯(lián)到內部網(wǎng)絡(luò )的行為進(jìn)行檢查或限制。

判例內容：非授權設備能夠直接接入重要網(wǎng)絡(luò )區域，如服務(wù)器區、管理網(wǎng)段等，且無(wú)任何告警、限制、阻斷等措施的，可判定為高風(fēng)險。

適用范圍：3級及以上系統。

滿(mǎn)足條件（同時(shí)）：

1、3級及以上系統；

2、機房、網(wǎng)絡(luò )等環(huán)境不可控，存在非授權接入可能；

3、可非授權接入網(wǎng)絡(luò )重要區域，如服務(wù)器區、管理網(wǎng)段等；

4、無(wú)任何控制措施，控制措施包括限制、檢查、阻斷等。

補償措施：如接入的區域有嚴格的物理訪(fǎng)問(wèn)控制，采用靜態(tài)IP地址分配，關(guān)閉不必要的接入端口，IP-MAC地址綁定等措施的，可酌情降低風(fēng)險等級。

整改建議：建議部署能夠對違規內聯(lián)行為進(jìn)行檢查、定位和阻斷的安全準入產(chǎn)品。

4、 違規外聯(lián)檢查措施

對應要求：應能夠對內部用戶(hù)非授權聯(lián)到外部網(wǎng)絡(luò )的行為進(jìn)行檢查或限制。

判例內容：核心重要服務(wù)器設備、重要核心管理終端，如無(wú)法對非授權聯(lián)到外部網(wǎng)絡(luò )的行為進(jìn)行檢查或限制，或內部人員可旁路、繞過(guò)邊界訪(fǎng)問(wèn)控制設備私自外聯(lián)互聯(lián)網(wǎng)，可判定為高風(fēng)險。

適用范圍：3級及以上系統。

滿(mǎn)足條件（同時(shí)）：

1、3級及以上系統；

2、機房、網(wǎng)絡(luò )等環(huán)境不可控，存在非授權外聯(lián)可能；

3、對于核心重要服務(wù)器、重要核心管理終端存在私自外聯(lián)互聯(lián)網(wǎng)可能；

4、無(wú)任何控制措施，控制措施包括限制、檢查、阻斷等。

補償措施：如機房、網(wǎng)絡(luò )等環(huán)境可控，非授權外聯(lián)可能較小，相關(guān)設備上的USB接口、無(wú)線(xiàn)網(wǎng)卡等有管控措施，對網(wǎng)絡(luò )異常進(jìn)行監控及日志審查，可酌情降低風(fēng)險等級。

整改建議：建議部署能夠對違規外聯(lián)行為進(jìn)行檢查、定位和阻斷的安全管理產(chǎn)品。

5、無(wú)線(xiàn)網(wǎng)絡(luò )管控措施

對應要求：應限制無(wú)線(xiàn)網(wǎng)絡(luò )的使用，保證無(wú)線(xiàn)網(wǎng)絡(luò )通過(guò)受控的邊界設備接入內部網(wǎng)絡(luò )。

判例內容：內部核心網(wǎng)絡(luò )與無(wú)線(xiàn)網(wǎng)絡(luò )互聯(lián)，且之間無(wú)任何管控措施，一旦非授權接入無(wú)線(xiàn)網(wǎng)絡(luò )即可訪(fǎng)問(wèn)內部核心網(wǎng)絡(luò )區域，存在較大安全隱患，可判定為高風(fēng)險。

適用范圍：3級及以上系統。

滿(mǎn)足條件（同時(shí)）：

1、3級及以上系統；

2、內部核心網(wǎng)絡(luò )與無(wú)線(xiàn)網(wǎng)絡(luò )互聯(lián)，且不通過(guò)任何受控的邊界設備，或邊界設備控制策略設置不當；

3、非授權接入無(wú)線(xiàn)網(wǎng)絡(luò )將對內部核心網(wǎng)絡(luò )帶來(lái)較大安全隱患。

補償措施：

1、在特殊應用場(chǎng)景下，無(wú)線(xiàn)覆蓋區域較小，且嚴格受控，僅有授權人員方可進(jìn)入覆蓋區域的，可酌情降低風(fēng)險等級；

2、對無(wú)線(xiàn)接入有嚴格的管控及身份認證措施，非授權接入可能較小，可根據管控措施的情況酌情降低風(fēng)險等級。

整改建議：如無(wú)特殊需要，內部核心網(wǎng)絡(luò )不應與無(wú)線(xiàn)網(wǎng)絡(luò )互聯(lián)；如因業(yè)務(wù)需要，則建議加強對無(wú)線(xiàn)網(wǎng)絡(luò )設備接入的管控，并通過(guò)邊界設備對無(wú)線(xiàn)網(wǎng)絡(luò )的接入設備對內部核心網(wǎng)絡(luò )的訪(fǎng)問(wèn)進(jìn)行限制，降低攻擊者利用無(wú)線(xiàn)網(wǎng)絡(luò )入侵內部核心網(wǎng)絡(luò )。

二、訪(fǎng)問(wèn)控制

1、互聯(lián)網(wǎng)邊界訪(fǎng)問(wèn)控制

對應要求：應在網(wǎng)絡(luò )邊界或區域之間根據訪(fǎng)問(wèn)控制策略設置訪(fǎng)問(wèn)控制規則，默認情況下除允許通信外受控接口拒絕所有通信。

判例內容：與互聯(lián)網(wǎng)互連的系統，邊界處如無(wú)專(zhuān)用的訪(fǎng)問(wèn)控制設備或配置了全通策略，可判定為高風(fēng)險。

適用范圍：所有系統。

滿(mǎn)足條件（任意條件）：

1、互聯(lián)網(wǎng)出口無(wú)任何訪(fǎng)問(wèn)控制措施。

2、互聯(lián)網(wǎng)出口訪(fǎng)問(wèn)控制措施配置不當，存在較大安全隱患。

3、互聯(lián)網(wǎng)出口訪(fǎng)問(wèn)控制措施配置失效，啟用透明模式，無(wú)法起到相關(guān)控制功能。

補償措施：邊界訪(fǎng)問(wèn)控制設備不一定一定要是防火墻，只要是能實(shí)現相關(guān)的訪(fǎng)問(wèn)控制功能，形態(tài)為專(zhuān)用設備，且有相關(guān)功能能夠提供相應的檢測報告，可視為等效措施，判符合。如通過(guò)路由器、交換機或者帶ACL功能的負載均衡器等設備實(shí)現，可根據系統重要程度，設備性能壓力等因素，酌情判定風(fēng)險等級。

整改建議：建議在互聯(lián)網(wǎng)出口部署專(zhuān)用的訪(fǎng)問(wèn)控制設備，并合理配置相關(guān)控制策略，確?？刂拼胧┯行?。

2、通信協(xié)議轉換及隔離措施

對應要求：應在網(wǎng)絡(luò )邊界通過(guò)通信協(xié)議轉換或通信協(xié)議隔離等方式進(jìn)行數據交換。

判例內容：可控網(wǎng)絡(luò )環(huán)境與不可控網(wǎng)絡(luò )環(huán)境之間數據傳輸未采用通信協(xié)議轉換或通信協(xié)議隔離等方式進(jìn)行數據轉換，可判定為高風(fēng)險。

適用范圍：4級系統。

滿(mǎn)足條件（同時(shí)）：

1、4級系統；

2、可控網(wǎng)絡(luò )環(huán)境與不可控網(wǎng)絡(luò )環(huán)境之間數據傳輸未進(jìn)行數據格式或協(xié)議轉化，也未采用通訊協(xié)議隔離措施。

補償措施：如通過(guò)相關(guān)技術(shù)/安全專(zhuān)家論證，系統由于業(yè)務(wù)場(chǎng)景需要，無(wú)法通過(guò)通信協(xié)議轉換或通信協(xié)議隔離等方式進(jìn)行數據轉換的，但有其他安全保障措施的，可酌情降低風(fēng)險等級。

整改建議：建議數據在不同等級網(wǎng)絡(luò )邊界之間傳輸時(shí)，通過(guò)通信協(xié)議轉換或通信協(xié)議隔離等方式進(jìn)行數據交換。

三、入侵防范

1、外部網(wǎng)絡(luò )攻擊防御

對應要求：應在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò )攻擊行為。

判例內容：關(guān)鍵網(wǎng)絡(luò )節點(diǎn)（如互聯(lián)網(wǎng)邊界處）未采取任何防護措施，無(wú)法檢測、阻止或限制互聯(lián)網(wǎng)發(fā)起的攻擊行為，可判定為高風(fēng)險。

適用范圍：3級及以上系統。

滿(mǎn)足條件（同時(shí)）：

1、3級及以上系統；

2、關(guān)鍵網(wǎng)絡(luò )節點(diǎn)（如互聯(lián)網(wǎng)邊界處）無(wú)任何入侵防護手段（如入侵防御設備、云防、WAF等對外部網(wǎng)絡(luò )發(fā)起的攻擊行為進(jìn)行檢測、阻斷或限制）。

補償措施：如具備入侵檢測能力（IDS），且監控措施較為完善，能夠及時(shí)對入侵行為進(jìn)行干預的，可酌情降低風(fēng)險等級。

整改建議：建議在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)（如互聯(lián)網(wǎng)邊界處）合理部署可對攻擊行為進(jìn)行檢測、阻斷或限制的防護設備（如抗APT攻擊系統、網(wǎng)絡(luò )回溯系統、威脅情報檢測系統、入侵防護系統等），或購買(mǎi)云防等外部抗攻擊服務(wù)。

2、內部網(wǎng)絡(luò )攻擊防御

對應要求：應在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處檢測、防止或限制從內部發(fā)起的網(wǎng)絡(luò )攻擊行為。

判例內容：關(guān)鍵網(wǎng)絡(luò )節點(diǎn)（如核心服務(wù)器區與其他內部網(wǎng)絡(luò )區域邊界處）未采取任何防護措施，無(wú)法檢測、阻止或限制從內部發(fā)起的網(wǎng)絡(luò )攻擊行為，可判定為高風(fēng)險。

適用范圍：3級及以上系統。

滿(mǎn)足條件（同時(shí)）：

1、3級及以上系統；

2、關(guān)鍵網(wǎng)絡(luò )節點(diǎn)（如核心服務(wù)器區與其他內部網(wǎng)絡(luò )區域邊界處）無(wú)任何入侵防護手段（如入侵防御、防火墻等對內部網(wǎng)絡(luò )發(fā)起的攻擊行為進(jìn)行檢測、阻斷或限制）。

補償措施：如核心服務(wù)器區與其他內部網(wǎng)絡(luò )之間部署了防火墻等訪(fǎng)問(wèn)控制設備，且訪(fǎng)問(wèn)控制措施較為嚴格，發(fā)生內部網(wǎng)絡(luò )攻擊可能性較小或有一定的檢測、防止或限制能力，可酌情降低風(fēng)險等級。

整改建議：建議在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處（如核心服務(wù)器區與其他內部網(wǎng)絡(luò )區域邊界處）進(jìn)行嚴格的訪(fǎng)問(wèn)控制措施，并部署相關(guān)的防護設備，檢測、防止或限制從內部發(fā)起的網(wǎng)絡(luò )攻擊行為。

四、惡意代碼和垃圾郵件防范

1、 網(wǎng)絡(luò )層惡意代碼防范

對應要求：應在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處對惡意代碼進(jìn)行檢測和清除，并維護惡意代碼防護機制的升級和更新。

判例內容：主機和網(wǎng)絡(luò )層均無(wú)任何惡意代碼檢測和清除措施的，可判定為高風(fēng)險。

適用范圍：所有系統。

滿(mǎn)足條件（同時(shí)）：

1、主機層無(wú)惡意代碼檢測和清除措施；

2、網(wǎng)絡(luò )層無(wú)惡意代碼檢測和清除措施。

補償措施：

1、如主機層部署惡意代碼檢測和清除產(chǎn)品，且惡意代碼庫保持更新，可酌情降低風(fēng)險等級。

2、如2級及以下系統，使用Linux、Unix系統，主機和網(wǎng)絡(luò )層均未部署惡意代碼檢測和清除產(chǎn)品，可視總體防御措施酌情降低風(fēng)險等級。

3、對與外網(wǎng)完全物理隔離的系統，其網(wǎng)絡(luò )環(huán)境、USB介質(zhì)等管控措施較好，可酌情降低風(fēng)險等級。

整改建議：建議在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處部署惡意代碼檢測和清除產(chǎn)品，且與主機層惡意代碼防范產(chǎn)品形成異構模式，有效檢測及清除可能出現的惡意代碼攻擊。

五、安全審計

1、 網(wǎng)絡(luò )安全審計措施

對應要求：應在網(wǎng)絡(luò )邊界、重要網(wǎng)絡(luò )節點(diǎn)進(jìn)行安全審計，審計覆蓋到每個(gè)用戶(hù)，對重要的用戶(hù)行為和重要安全事件進(jìn)行審計。

判例內容：在網(wǎng)絡(luò )邊界、重要網(wǎng)絡(luò )節點(diǎn)無(wú)任何安全審計措施，無(wú)法對重要的用戶(hù)行為和重要安全事件進(jìn)行日志審計，可判定為高風(fēng)險。

適用范圍：所有系統。

滿(mǎn)足條件（同時(shí)）：

1、無(wú)法對重要的用戶(hù)行為和重要安全事件進(jìn)行日志審計。

補償措施：無(wú)。

整改建議：建議在網(wǎng)絡(luò )邊界、重要網(wǎng)絡(luò )節點(diǎn)，對重要的用戶(hù)行為和重要安全事件進(jìn)行日志審計，便于對相關(guān)事件或行為進(jìn)行追溯。

來(lái)源：信安在線(xiàn)資訊