您所在的位置: 首頁 >
新聞資訊 >
技術前沿 >
金瀚信息:等級保護測評“安全區(qū)域邊界”高風險判定指引
本指引是依據GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》有關條款,對測評過程中所發(fā)現(xiàn)的安全性問題進行風險判斷的指引性文件。指引內容包括對應要求、判例內容、適用范圍、補償措施、整改建議等要素。
需要指出的是,本指引無法涵蓋所有高風險案例,測評機構須根據安全問題所實際面臨的風險做出客觀判斷。
本指引適用于網絡安全等級保護測評活動、安全檢查等工作。信息系統(tǒng)建設單位亦可參考本指引描述的案例編制系統(tǒng)安全需求。
本次針對安全區(qū)域邊界的高風險進行分析。
邊界防護
(1)互聯(lián)網邊界訪問控制
對應要求:應保證跨越邊界的訪問和數(shù)據流通過邊界設備提供的受控接口進行通信。
判例內容:互聯(lián)網出口無任何訪問控制措施,或訪問控制措施配置失效,存在較大安全隱患,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件(任意條件):
* 互聯(lián)網出口無任何訪問控制措施。
* 互聯(lián)網出口訪問控制措施配置不當,存在較大安全隱患。
* 互聯(lián)網出口訪問控制措施配置失效,無法起到相關控制功能。
補償措施:邊界訪問控制設備不一定一定要是防火墻,只要是能實現(xiàn)相關的訪問控制功能,形態(tài)為專用設備,且有相關功能能夠提供相應的檢測報告,可視為等效措施,判符合。如通過路由器、交換機或者帶ACL功能的負載均衡器等設備實現(xiàn),可根據系統(tǒng)重要程度,設備性能壓力等因素,酌情判定風險等級。
整改建議:建議在互聯(lián)網出口部署專用的訪問控制設備,并合理配置相關控制策略,確??刂拼胧┯行?。
(2)網絡訪問控制設備不可控
對應要求:應保證跨越邊界的訪問和數(shù)據流通過邊界設備提供的受控接口進行通信。
判例內容:互聯(lián)網邊界訪問控制設備若無管理權限,且未按需要提供訪問控制策略,無法根據業(yè)務需要或所發(fā)生的安全事件及時調整訪問控制策略,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件(同時):
* 互聯(lián)網邊界訪問控制設備無管理權限;
* 無其他任何有效訪問控制措施;
* 無法根據業(yè)務需要或所發(fā)生的安全事件及時調整訪問控制策略。
補償措施:無。
整改建議:建議部署自有的邊界訪問控制設備或租用有管理權限的邊界訪問控制設備,且對相關設備進行合理配置。
(3)違規(guī)內聯(lián)檢查措施
對應要求:應能夠對非授權設備私自聯(lián)到內部網絡的行為進行檢查或限制。
判例內容:非授權設備能夠直接接入重要網絡區(qū)域,如服務器區(qū)、管理網段等,且無任何告警、限制、阻斷等措施的,可判定為高風險。
適用范圍:3級及以上系統(tǒng)。
滿足條件(同時):
* 3級及以上系統(tǒng);
* 機房、網絡等環(huán)境不可控,存在非授權接入可能;
* 可非授權接入網絡重要區(qū)域,如服務器區(qū)、管理網段等;
* 無任何控制措施,控制措施包括限制、檢查、阻斷等。
補償措施:如接入的區(qū)域有嚴格的物理訪問控制,采用靜態(tài)IP地址分配,關閉不必要的接入端口,IP-MAC地址綁定等措施的,可酌情降低風險等級。
整改建議:建議部署能夠對違規(guī)內聯(lián)行為進行檢查、定位和阻斷的安全準入產品。
(4)違規(guī)外聯(lián)檢查措施
對應要求:應能夠對內部用戶非授權聯(lián)到外部網絡的行為進行檢查或限制。
適用范圍:3級及以上系統(tǒng)。
滿足條件(同時):
*3 級及以上系統(tǒng);
* 機房、網絡等環(huán)境不可控,存在非授權外聯(lián)可能;
* 對于核心重要服務器、重要核心管理終端存在私自外聯(lián)互聯(lián)網可能;
* 無任何控制措施,控制措施包括限制、檢查、阻斷等。
補償措施:如機房、網絡等環(huán)境可控,非授權外聯(lián)可能較小,相關設備上的USB接口、無線網卡等有管控措施,對網絡異常進行監(jiān)控及日志審查,可酌情降低風險等級。
整改建議:建議部署能夠對違規(guī)外聯(lián)行為進行檢查、定位和阻斷的安全管理產品。
(5)無線網絡管控措施
對應要求:應限制無線網絡的使用,保證無線網絡通過受控的邊界設備接入內部網絡。
判例內容:內部核心網絡與無線網絡互聯(lián),且之間無任何管控措施,一旦非授權接入無線網絡即可訪問內部核心網絡區(qū)域,存在較大安全隱患,可判定為高風險。
適用范圍:3級及以上系統(tǒng)。
滿足條件(同時):
* 3級及以上系統(tǒng);
* 內部核心網絡與無線網絡互聯(lián),且不通過任何受控的邊界設備,或邊界設備控制策略設置不當;
* 非授權接入無線網絡將對內部核心網絡帶來較大安全隱患。
補償措施:
* 在特殊應用場景下,無線覆蓋區(qū)域較小,且嚴格受控,僅有授權人員方可進入覆蓋區(qū)域的,可酌情降低風險等級;
* 對無線接入有嚴格的管控及身份認證措施,非授權接入可能較小,可根據管控措施的情況酌情降低風險等級。
整改建議:如無特殊需要,內部核心網絡不應與無線網絡互聯(lián);如因業(yè)務需要,則建議加強對無線網絡設備接入的管控,并通過邊界設備對無線網絡的接入設備對內部核心網絡的訪問進行限制,降低攻擊者利用無線網絡入侵內部核心網絡。
訪問控制
(1)互聯(lián)網邊界訪問控制
對應要求:應在網絡邊界或區(qū)域之間根據訪問控制策略設置訪問控制規(guī)則,默認情況下除允許通信外受控接口拒絕所有通信。
判例內容:與互聯(lián)網互連的系統(tǒng),邊界處如無專用的訪問控制設備或配置了全通策略,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件(任意條件):
* 互聯(lián)網出口無任何訪問控制措施。
* 互聯(lián)網出口訪問控制措施配置不當,存在較大安全隱患。
* 互聯(lián)網出口訪問控制措施配置失效,啟用透明模式,無法起到相關控制功能。
補償措施:邊界訪問控制設備不一定一定要是防火墻,只要是能實現(xiàn)相關的訪問控制功能,形態(tài)為專用設備,且有相關功能能夠提供相應的檢測報告,可視為等效措施,判符合。如通過路由器、交換機或者帶ACL功能的負載均衡器等設備實現(xiàn),可根據系統(tǒng)重要程度,設備性能壓力等因素,酌情判定風險等級。
整改建議:建議在互聯(lián)網出口部署專用的訪問控制設備,并合理配置相關控制策略,確??刂拼胧┯行А?/span>
(2)通信協(xié)議轉換及隔離措施
對應要求:應在網絡邊界通過通信協(xié)議轉換或通信協(xié)議隔離等方式進行數(shù)據交換。
判例內容:可控網絡環(huán)境與不可控網絡環(huán)境之間數(shù)據傳輸未采用通信協(xié)議轉換或通信協(xié)議隔離等方式進行數(shù)據轉換,可判定為高風險。
適用范圍:4級系統(tǒng)。
滿足條件(同時):
* 4級系統(tǒng);
* 可控網絡環(huán)境與不可控網絡環(huán)境之間數(shù)據傳輸未進行數(shù)據格式或協(xié)議轉化,也未采用通訊協(xié)議隔離措施。
補償措施:如通過相關技術/安全專家論證,系統(tǒng)由于業(yè)務場景需要,無法通過通信協(xié)議轉換或通信協(xié)議隔離等方式進行數(shù)據轉換的,但有其他安全保障措施的,可酌情降低風險等級。
整改建議:建議數(shù)據在不同等級網絡邊界之間傳輸時,通過通信協(xié)議轉換或通信協(xié)議隔離等方式進行數(shù)據交換。
入侵防范
(1)外部網絡攻擊防御
對應要求:應在關鍵網絡節(jié)點處檢測、防止或限制從外部發(fā)起的網絡攻擊行為。
判例內容:關鍵網絡節(jié)點(如互聯(lián)網邊界處)未采取任何防護措施,無法檢測、阻止或限制互聯(lián)網發(fā)起的攻擊行為,可判定為高風險。
適用范圍:3級及以上系統(tǒng)。
滿足條件(同時):
* 3級及以上系統(tǒng);
* 關鍵網絡節(jié)點(如互聯(lián)網邊界處)無任何入侵防護手段(如入侵防御設備、云防、WAF等對外部網絡發(fā)起的攻擊行為進行檢測、阻斷或限制)。
補償措施:如具備入侵檢測能力(IDS),且監(jiān)控措施較為完善,能夠及時對入侵行為進行干預的,可酌情降低風險等級。
整改建議:建議在關鍵網絡節(jié)點(如互聯(lián)網邊界處)合理部署可對攻擊行為進行檢測、阻斷或限制的防護設備(如抗APT攻擊系統(tǒng)、網絡回溯系統(tǒng)、威脅情報檢測系統(tǒng)、入侵防護系統(tǒng)等),或購買云防等外部抗攻擊服務。
(2)內部網絡攻擊防御
對應要求:應在關鍵網絡節(jié)點處檢測、防止或限制從內部發(fā)起的網絡攻擊行為。
判例內容:關鍵網絡節(jié)點(如核心服務器區(qū)與其他內部網絡區(qū)域邊界處)未采取任何防護措施,無法檢測、阻止或限制從內部發(fā)起的網絡攻擊行為,可判定為高風險。
適用范圍:3級及以上系統(tǒng)。
滿足條件(同時):
* 3級及以上系統(tǒng);
* 關鍵網絡節(jié)點(如核心服務器區(qū)與其他內部網絡區(qū)域邊界處)無任何入侵防護手段(如入侵防御、防火墻等對內部網絡發(fā)起的攻擊行為進行檢測、阻斷或限制)。
補償措施:如核心服務器區(qū)與其他內部網絡之間部署了防火墻等訪問控制設備,且訪問控制措施較為嚴格,發(fā)生內部網絡攻擊可能性較小或有一定的檢測、防止或限制能力,可酌情降低風險等級。
整改建議:建議在關鍵網絡節(jié)點處(如核心服務器區(qū)與其他內部網絡區(qū)域邊界處)進行嚴格的訪問控制措施,并部署相關的防護設備,檢測、防止或限制從內部發(fā)起的網絡攻擊行為。
惡意代碼和垃圾郵件防范
(1)網絡層惡意代碼防范
對應要求:應在關鍵網絡節(jié)點處對惡意代碼進行檢測和清除,并維護惡意代碼防護機制的升級和更新。
判例內容:主機和網絡層均無任何惡意代碼檢測和清除措施的,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件(同時):
* 主機層無惡意代碼檢測和清除措施;
* 網絡層無惡意代碼檢測和清除措施。
補償措施:
* 如主機層部署惡意代碼檢測和清除產品,且惡意代碼庫保持更新,可酌情降低風險等級。
* 如2級及以下系統(tǒng),使用Linux、Unix系統(tǒng),主機和網絡層均未部署惡意代碼檢測和清除產品,可視總體防御措施酌情降低風險等級。
* 對與外網完全物理隔離的系統(tǒng),其網絡環(huán)境、USB介質等管控措施較好,可酌情降低風險等級。
整改建議:建議在關鍵網絡節(jié)點處部署惡意代碼檢測和清除產品,且與主機層惡意代碼防范產品形成異構模式,有效檢測及清除可能出現(xiàn)的惡意代碼攻擊。
安全審計
(1)網絡安全審計措施
對應要求:應在網絡邊界、重要網絡節(jié)點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計。
判例內容:在網絡邊界、重要網絡節(jié)點無任何安全審計措施,無法對重要的用戶行為和重要安全事件進行日志審計,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件(同時):
* 無法對重要的用戶行為和重要安全事件進行日志審計。
補償措施:無。
整改建議:建議在網絡邊界、重要網絡節(jié)點,對重要的用戶行為和重要安全事件進行日志審計,便于對相關事件或行為進行追溯。