阿里云優(yōu)惠券 先領券再下單

如果說網(wǎng)絡安全的攻防對抗是一場持久的戰(zhàn)爭,《網(wǎng)絡安全法》指出了我們的戰(zhàn)略方向,而《等級保護條例》等相關法律法規(guī)則是更詳細的戰(zhàn)術布置。等級保護測評的工作專業(yè)而繁瑣,這里我們針對等保2.0的要求中,如何判定網(wǎng)絡和通信安全的高風險項進行介紹,希望有所裨益。

案例1:重要區(qū)域與非重要網(wǎng)絡在同一子網(wǎng)或網(wǎng)段

判定依據(jù)

網(wǎng)絡架構:應劃分不同的網(wǎng)絡區(qū)域,并按照方便管理和控制的原則為各網(wǎng)絡區(qū)域分配地址

整改措施

1、涉及資金類交易的支付類系統(tǒng)與辦公網(wǎng)劃分不同網(wǎng)段

2、面向互聯(lián)網(wǎng)提供服務的系統(tǒng)與內(nèi)部系統(tǒng)劃分不同網(wǎng)段

3、不同級別的系統(tǒng)劃分不同網(wǎng)段

案例2

1、互聯(lián)網(wǎng)出口無任何訪問控制措施。如未部署防火墻、網(wǎng)絡訪問控制設備等,判為高風險

2、辦公網(wǎng)與生產(chǎn)網(wǎng)之間無訪問控制措施,辦公環(huán)境任意網(wǎng)絡接入均可對核心生產(chǎn)服務器和網(wǎng)絡設備進行管理

判定依據(jù)

網(wǎng)絡架構應劃分不同的網(wǎng)絡區(qū)域,并按照方便管理和控制的原則為各網(wǎng)絡區(qū)域分配地址

整改措施

系統(tǒng)在互聯(lián)網(wǎng)出口部署專用的訪問控制設備;不同網(wǎng)絡區(qū)域間應部署訪問控制設備如防火墻等,并合理配置訪問控制控制策略

案例3

在三級及四級系統(tǒng)中,口令、密鑰等重要敏感信息在網(wǎng)絡中明文傳輸?shù)?可判定為高風險

判定依據(jù)

通信傳輸應采用密碼技術保證通信過程中敏感信息字段或整個報文的保密性

整改措施

網(wǎng)絡設備開啟SSH或HTTPS協(xié)議,并通過這些加密方式傳輸鑒別信息

案例4

1、與互聯(lián)網(wǎng)互連的系統(tǒng),邊界處如無專用的訪問控制設備或未對與互聯(lián)網(wǎng)通信的接口進行控制

2、互聯(lián)網(wǎng)邊界租用運營商邊界訪問控制設備的,若沒有設備管理權限且未提供具體訪問控制策略,可判高風險

判定依據(jù)

應保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設備提供的受控接口進行通信

整改措施

在互聯(lián)網(wǎng)邊界部署訪問控制設備,并對通信接口進行控制。部署自有的防火墻或租用有管理權限的防火墻

案例5

在三級及四級系統(tǒng)中,非授權設備能夠直接接入重要網(wǎng)絡區(qū)域,如服務器區(qū)、管理網(wǎng)段等,且無任何告警、限制、阻斷等措施

判定依據(jù)

應能夠對非授權設備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行限制或檢查, 并對其進行有效阻斷

整改措施

部署能夠對非法內(nèi)聯(lián)行為進行檢查、定位和阻斷的安全準入產(chǎn)品

案例6

在三級及四級系統(tǒng)中,對于核心重要服務器、重要核心管理終端存在旁路、繞過邊界訪問控制設備私自外聯(lián)互聯(lián)網(wǎng)的可能且無任何控制措施

判定依據(jù)

邊界防護應能夠對內(nèi)部用戶非授權聯(lián)到外部網(wǎng)絡的行為進行限制或檢查, 并對其進行有效阻斷

整改措施

部署能夠對非法外聯(lián)行為進行檢查、定位和阻斷的安全準入產(chǎn)品

案例7

與互聯(lián)網(wǎng)互連的系統(tǒng),邊界處如無專用的訪問控制設備或配置了全通策略

判定依據(jù)

應在網(wǎng)絡邊界或區(qū)域之間根據(jù)訪問控制策略設置訪問控制規(guī)則,默認情況下除允許通信外受控接口拒絕所有通信

整改措施

在互聯(lián)網(wǎng)邊界部署訪問控制設備,并合理設置訪問控制策略

案例8

在三級及四級系統(tǒng)中,關鍵網(wǎng)絡節(jié)點(通常為互聯(lián)網(wǎng)邊界處)未采取任何防護措施檢測、阻止或限制互聯(lián)網(wǎng)發(fā)起的攻擊行為

判定依據(jù)

應在關鍵網(wǎng)絡節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡攻擊行為

整改措施

建議在關鍵網(wǎng)絡節(jié)點部署入侵防御、WAF等對可攻擊行為進行檢測、阻斷或限制的設備,或購買云防等外部抗攻擊服務

案例9

在網(wǎng)絡邊界、重要網(wǎng)絡節(jié)點無任何安全審計措施,無法對重要的用戶行為和重要安全事件進行日志審計

判定依據(jù)

在網(wǎng)絡邊界、重要網(wǎng)絡節(jié)點無任何安全審計措施,無法對重要的用戶行為和重要安全事件進行日志審計,可判高風險

整改措施

建議在網(wǎng)絡邊界、重要網(wǎng)絡節(jié)點,對重要的用戶行為和重要安全事件進行日志審計,便于對相關事件或行為進行追溯

對于企事業(yè)單位而言,滿足等保要求將不僅僅是對信息系統(tǒng)本身可靠性的資質證明,更是符合法律法規(guī)的合規(guī)要求。鑒于等級保護工作本身具有很高的門檻,這里掛一漏萬,小伙伴們也可以在評

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！