Image
全國統一服務(wù)熱線(xiàn)
0351-4073466

等級保護測評“安全區域邊界”高風(fēng)險判定指引

編輯:2021-06-11 09:41:51

本指引是依據GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》有關(guān)條款,對測評過(guò)程中所發(fā)現的安全性問(wèn)題進(jìn)行風(fēng)險判斷的指引性文件。指引內容包括對應要求、判例內容、適用范圍、補償措施、整改建議等要素。

需要指出的是,本指引無(wú)法涵蓋所有高風(fēng)險案例,測評機構須根據安全問(wèn)題所實(shí)際面臨的風(fēng)險做出客觀(guān)判斷。

本指引適用于網(wǎng)絡(luò )安全等級保護測評活動(dòng)、安全檢查等工作。信息系統建設單位亦可參考本指引描述的案例編制系統安全需求。

本次針對安全區域邊界的高風(fēng)險進(jìn)行分析。

邊界防護

(1)互聯(lián)網(wǎng)邊界訪(fǎng)問(wèn)控制

對應要求:應保證跨越邊界的訪(fǎng)問(wèn)和數據流通過(guò)邊界設備提供的受控接口進(jìn)行通信。

判例內容:互聯(lián)網(wǎng)出口無(wú)任何訪(fǎng)問(wèn)控制措施,或訪(fǎng)問(wèn)控制措施配置失效,存在較大安全隱患,可判定為高風(fēng)險。

適用范圍:所有系統。

滿(mǎn)足條件(任意條件):互聯(lián)網(wǎng)出口無(wú)任何訪(fǎng)問(wèn)控制措施?;ヂ?lián)網(wǎng)出口訪(fǎng)問(wèn)控制措施配置不當,存在較大安全隱患?;ヂ?lián)網(wǎng)出口訪(fǎng)問(wèn)控制措施配置失效,無(wú)法起到相關(guān)控制功能。

補償措施:邊界訪(fǎng)問(wèn)控制設備不一定一定要是防火墻,只要是能實(shí)現相關(guān)的訪(fǎng)問(wèn)控制功能,形態(tài)為專(zhuān)用設備,且有相關(guān)功能能夠提供相應的檢測報告,可視為等效措施,判符合。如通過(guò)路由器、交換機或者帶ACL功能的負載均衡器等設備實(shí)現,可根據系統重要程度,設備性能壓力等因素,酌情判定風(fēng)險等級。

整改建議:建議在互聯(lián)網(wǎng)出口部署專(zhuān)用的訪(fǎng)問(wèn)控制設備,并合理配置相關(guān)控制策略,確??刂拼胧┯行?。

(2)網(wǎng)絡(luò )訪(fǎng)問(wèn)控制設備不可控

對應要求:應保證跨越邊界的訪(fǎng)問(wèn)和數據流通過(guò)邊界設備提供的受控接口進(jìn)行通信。

判例內容:互聯(lián)網(wǎng)邊界訪(fǎng)問(wèn)控制設備若無(wú)管理權限,且未按需要提供訪(fǎng)問(wèn)控制策略,無(wú)法根據業(yè)務(wù)需要或所發(fā)生的安全事件及時(shí)調整訪(fǎng)問(wèn)控制策略,可判定為高風(fēng)險。

適用范圍:所有系統。

滿(mǎn)足條件(同時(shí)):互聯(lián)網(wǎng)邊界訪(fǎng)問(wèn)控制設備無(wú)管理權限;無(wú)其他任何有效訪(fǎng)問(wèn)控制措施;無(wú)法根據業(yè)務(wù)需要或所發(fā)生的安全事件及時(shí)調整訪(fǎng)問(wèn)控制策略。

補償措施:無(wú)。

整改建議:建議部署自有的邊界訪(fǎng)問(wèn)控制設備或租用有管理權限的邊界訪(fǎng)問(wèn)控制設備,且對相關(guān)設備進(jìn)行合理配置。

(3)違規內聯(lián)檢查措施

對應要求:應能夠對非授權設備私自聯(lián)到內部網(wǎng)絡(luò )的行為進(jìn)行檢查或限制。

判例內容:非授權設備能夠直接接入重要網(wǎng)絡(luò )區域,如服務(wù)器區、管理網(wǎng)段等,且無(wú)任何告警、限制、阻斷等措施的,可判定為高風(fēng)險。

適用范圍:3級及以上系統。

滿(mǎn)足條件(同時(shí)):3級及以上系統;機房、網(wǎng)絡(luò )等環(huán)境不可控,存在非授權接入可能;可非授權接入網(wǎng)絡(luò )重要區域,如服務(wù)器區、管理網(wǎng)段等;無(wú)任何控制措施,控制措施包括限制、檢查、阻斷等。

補償措施:如接入的區域有嚴格的物理訪(fǎng)問(wèn)控制,采用靜態(tài)IP地址分配,關(guān)閉不必要的接入端口,IP-MAC地址綁定等措施的,可酌情降低風(fēng)險等級。

整改建議:建議部署能夠對違規內聯(lián)行為進(jìn)行檢查、定位和阻斷的安全準入產(chǎn)品。

(4)違規外聯(lián)檢查措施

對應要求:應能夠對內部用戶(hù)非授權聯(lián)到外部網(wǎng)絡(luò )的行為進(jìn)行檢查或限制。

判例內容:核心重要服務(wù)器設備、重要核心管理終端,如無(wú)法對非授權聯(lián)到外部網(wǎng)絡(luò )的行為進(jìn)行檢查或限制,或內部人員可旁路、繞過(guò)邊界訪(fǎng)問(wèn)控制設備私自外聯(lián)互聯(lián)網(wǎng),可判定為高風(fēng)險。

適用范圍:3級及以上系統。

滿(mǎn)足條件(同時(shí)):3 級及以上系統;機房、網(wǎng)絡(luò )等環(huán)境不可控,存在非授權外聯(lián)可能;對于核心重要服務(wù)器、重要核心管理終端存在私自外聯(lián)互聯(lián)網(wǎng)可能;無(wú)任何控制措施,控制措施包括限制、檢查、阻斷等。

補償措施:如機房、網(wǎng)絡(luò )等環(huán)境可控,非授權外聯(lián)可能較小,相關(guān)設備上的USB接口、無(wú)線(xiàn)網(wǎng)卡等有管控措施,對網(wǎng)絡(luò )異常進(jìn)行監控及日志審查,可酌情降低風(fēng)險等級。

整改建議:建議部署能夠對違規外聯(lián)行為進(jìn)行檢查、定位和阻斷的安全管理產(chǎn)品。

(5)無(wú)線(xiàn)網(wǎng)絡(luò )管控措施

對應要求:應限制無(wú)線(xiàn)網(wǎng)絡(luò )的使用,保證無(wú)線(xiàn)網(wǎng)絡(luò )通過(guò)受控的邊界設備接入內部網(wǎng)絡(luò )。

判例內容:內部核心網(wǎng)絡(luò )與無(wú)線(xiàn)網(wǎng)絡(luò )互聯(lián),且之間無(wú)任何管控措施,一旦非授權接入無(wú)線(xiàn)網(wǎng)絡(luò )即可訪(fǎng)問(wèn)內部核心網(wǎng)絡(luò )區域,存在較大安全隱患,可判定為高風(fēng)險。

適用范圍:3級及以上系統。

滿(mǎn)足條件(同時(shí)):3級及以上系統;內部核心網(wǎng)絡(luò )與無(wú)線(xiàn)網(wǎng)絡(luò )互聯(lián),且不通過(guò)任何受控的邊界設備,或邊界設備控制策略設置不當;非授權接入無(wú)線(xiàn)網(wǎng)絡(luò )將對內部核心網(wǎng)絡(luò )帶來(lái)較大安全隱患。

補償措施:在特殊應用場(chǎng)景下,無(wú)線(xiàn)覆蓋區域較小,且嚴格受控,僅有授權人員方可進(jìn)入覆蓋區域的,可酌情降低風(fēng)險等級;對無(wú)線(xiàn)接入有嚴格的管控及身份認證措施,非授權接入可能較小,可根據管控措施的情況酌情降低風(fēng)險等級。

整改建議:如無(wú)特殊需要,內部核心網(wǎng)絡(luò )不應與無(wú)線(xiàn)網(wǎng)絡(luò )互聯(lián);如因業(yè)務(wù)需要,則建議加強對無(wú)線(xiàn)網(wǎng)絡(luò )設備接入的管控,并通過(guò)邊界設備對無(wú)線(xiàn)網(wǎng)絡(luò )的接入設備對內部核心網(wǎng)絡(luò )的訪(fǎng)問(wèn)進(jìn)行限制,降低攻擊者利用無(wú)線(xiàn)網(wǎng)絡(luò )入侵內部核心網(wǎng)絡(luò )。

訪(fǎng)問(wèn)控制

(1)互聯(lián)網(wǎng)邊界訪(fǎng)問(wèn)控制

對應要求:應在網(wǎng)絡(luò )邊界或區域之間根據訪(fǎng)問(wèn)控制策略設置訪(fǎng)問(wèn)控制規則,默認情況下除允許通信外受控接口拒絕所有通信。

判例內容:與互聯(lián)網(wǎng)互連的系統,邊界處如無(wú)專(zhuān)用的訪(fǎng)問(wèn)控制設備或配置了全通策略,可判定為高風(fēng)險。

適用范圍:所有系統。

滿(mǎn)足條件(任意條件):互聯(lián)網(wǎng)出口無(wú)任何訪(fǎng)問(wèn)控制措施?;ヂ?lián)網(wǎng)出口訪(fǎng)問(wèn)控制措施配置不當,存在較大安全隱患?;ヂ?lián)網(wǎng)出口訪(fǎng)問(wèn)控制措施配置失效,啟用透明模式,無(wú)法起到相關(guān)控制功能。

補償措施:邊界訪(fǎng)問(wèn)控制設備不一定一定要是防火墻,只要是能實(shí)現相關(guān)的訪(fǎng)問(wèn)控制功能,形態(tài)為專(zhuān)用設備,且有相關(guān)功能能夠提供相應的檢測報告,可視為等效措施,判符合。如通過(guò)路由器、交換機或者帶ACL功能的負載均衡器等設備實(shí)現,可根據系統重要程度,設備性能壓力等因素,酌情判定風(fēng)險等級。

整改建議:建議在互聯(lián)網(wǎng)出口部署專(zhuān)用的訪(fǎng)問(wèn)控制設備,并合理配置相關(guān)控制策略,確??刂拼胧┯行?。

(2)通信協(xié)議轉換及隔離措施

對應要求:應在網(wǎng)絡(luò )邊界通過(guò)通信協(xié)議轉換或通信協(xié)議隔離等方式進(jìn)行數據交換。

判例內容:可控網(wǎng)絡(luò )環(huán)境與不可控網(wǎng)絡(luò )環(huán)境之間數據傳輸未采用通信協(xié)議轉換或通信協(xié)議隔離等方式進(jìn)行數據轉換,可判定為高風(fēng)險。

適用范圍:4級系統。

滿(mǎn)足條件(同時(shí)):4級系統;可控網(wǎng)絡(luò )環(huán)境與不可控網(wǎng)絡(luò )環(huán)境之間數據傳輸未進(jìn)行數據格式或協(xié)議轉化,也未采用通訊協(xié)議隔離措施。

補償措施:如通過(guò)相關(guān)技術(shù)/安全專(zhuān)家論證,系統由于業(yè)務(wù)場(chǎng)景需要,無(wú)法通過(guò)通信協(xié)議轉換或通信協(xié)議隔離等方式進(jìn)行數據轉換的,但有其他安全保障措施的,可酌情降低風(fēng)險等級。

整改建議:建議數據在不同等級網(wǎng)絡(luò )邊界之間傳輸時(shí),通過(guò)通信協(xié)議轉換或通信協(xié)議隔離等方式進(jìn)行數據交換。

入侵防范

(1)外部網(wǎng)絡(luò )攻擊防御

對應要求:應在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò )攻擊行為。

判例內容:關(guān)鍵網(wǎng)絡(luò )節點(diǎn)(如互聯(lián)網(wǎng)邊界處)未采取任何防護措施,無(wú)法檢測、阻止或限制互聯(lián)網(wǎng)發(fā)起的攻擊行為,可判定為高風(fēng)險。

適用范圍:3級及以上系統。

滿(mǎn)足條件(同時(shí)):3級及以上系統;關(guān)鍵網(wǎng)絡(luò )節點(diǎn)(如互聯(lián)網(wǎng)邊界處)無(wú)任何入侵防護手段(如入侵防御設備、云防、WAF等對外部網(wǎng)絡(luò )發(fā)起的攻擊行為進(jìn)行檢測、阻斷或限制)。

補償措施:如具備入侵檢測能力(IDS),且監控措施較為完善,能夠及時(shí)對入侵行為進(jìn)行干預的,可酌情降低風(fēng)險等級。

整改建議:建議在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)(如互聯(lián)網(wǎng)邊界處)合理部署可對攻擊行為進(jìn)行檢測、阻斷或限制的防護設備(如抗APT攻擊系統、網(wǎng)絡(luò )回溯系統、威脅情報檢測系統、入侵防護系統等),或購買(mǎi)云防等外部抗攻擊服務(wù)。

(2)內部網(wǎng)絡(luò )攻擊防御

對應要求:應在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處檢測、防止或限制從內部發(fā)起的網(wǎng)絡(luò )攻擊行為。

判例內容:關(guān)鍵網(wǎng)絡(luò )節點(diǎn)(如核心服務(wù)器區與其他內部網(wǎng)絡(luò )區域邊界處)未采取任何防護措施,無(wú)法檢測、阻止或限制從內部發(fā)起的網(wǎng)絡(luò )攻擊行為,可判定為高風(fēng)險。

適用范圍:3級及以上系統。

滿(mǎn)足條件(同時(shí)):3級及以上系統;關(guān)鍵網(wǎng)絡(luò )節點(diǎn)(如核心服務(wù)器區與其他內部網(wǎng)絡(luò )區域邊界處)無(wú)任何入侵防護手段(如入侵防御、防火墻等對內部網(wǎng)絡(luò )發(fā)起的攻擊行為進(jìn)行檢測、阻斷或限制)。

補償措施:如核心服務(wù)器區與其他內部網(wǎng)絡(luò )之間部署了防火墻等訪(fǎng)問(wèn)控制設備,且訪(fǎng)問(wèn)控制措施較為嚴格,發(fā)生內部網(wǎng)絡(luò )攻擊可能性較小或有一定的檢測、防止或限制能力,可酌情降低風(fēng)險等級。

整改建議:建議在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處(如核心服務(wù)器區與其他內部網(wǎng)絡(luò )區域邊界處)進(jìn)行嚴格的訪(fǎng)問(wèn)控制措施,并部署相關(guān)的防護設備,檢測、防止或限制從內部發(fā)起的網(wǎng)絡(luò )攻擊行為。

惡意代碼和垃圾郵件防范

(1)網(wǎng)絡(luò )層惡意代碼防范

對應要求:應在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處對惡意代碼進(jìn)行檢測,并維護惡意代碼防護機制的升級和更新。

判例內容:主機和網(wǎng)絡(luò )層均無(wú)任何惡意代碼檢測和措施的,可判定為高風(fēng)險。

適用范圍:所有系統。

滿(mǎn)足條件(同時(shí)):主機層無(wú)惡意代碼檢測和措施;網(wǎng)絡(luò )層無(wú)惡意代碼檢測和措施。

補償措施:如主機層部署惡意代碼檢測和產(chǎn)品,且惡意代碼庫保持更新,可酌情降低風(fēng)險等級。* 如2級及以下系統,使用Linux、Unix系統,主機和網(wǎng)絡(luò )層均未部署惡意代碼檢測和產(chǎn)品,可視總體防御措施酌情降低風(fēng)險等級。 對與外網(wǎng)完全物理隔離的系統,其網(wǎng)絡(luò )環(huán)境、USB介質(zhì)等管控措施較好,可酌情降低風(fēng)險等級。

整改建議:建議在關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處部署惡意代碼檢測和產(chǎn)品,且與主機層惡意代碼防范產(chǎn)品形成異構模式,有效檢測及**可能出現的惡意代碼攻擊。

安全審計

(1)網(wǎng)絡(luò )安全審計措施

對應要求:應在網(wǎng)絡(luò )邊界、重要網(wǎng)絡(luò )節點(diǎn)進(jìn)行安全審計,審計覆蓋到每個(gè)用戶(hù),對重要的用戶(hù)行為和重要安全事件進(jìn)行審計。

判例內容:在網(wǎng)絡(luò )邊界、重要網(wǎng)絡(luò )節點(diǎn)無(wú)任何安全審計措施,無(wú)法對重要的用戶(hù)行為和重要安全事件進(jìn)行日志審計,可判定為高風(fēng)險。

適用范圍:所有系統。

滿(mǎn)足條件(同時(shí)):無(wú)法對重要的用戶(hù)行為和重要安全事件進(jìn)行日志審計。

補償措施:無(wú)。

整改建議:建議在網(wǎng)絡(luò )邊界、重要網(wǎng)絡(luò )節點(diǎn),對重要的用戶(hù)行為和重要安全事件進(jìn)行日志審計,便于對相關(guān)事件或行為進(jìn)行追溯。

文章來(lái)源:大路咨詢(xún)


Image
Image
版權所有:山西科信源科技股份有限公司
咨詢(xún)熱線(xiàn):0351-4073466?
地址:(北區)山西省太原市迎澤區新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區)太原市小店區南中環(huán)街529 號清控創(chuàng )新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術(shù)支持 - 資??萍技瘓F