等保2.0網絡安全和通信安全高風險項判定
2019-04-09 16:03:00 來源:本站 瀏覽:215

事例一、應按照不同網絡的功能、重要程度進行網絡區域劃分,如存在重要區域與非重要網絡在同一子網或網段的,可判高風險。

判定依據:網絡架構:c)應劃分不同的網絡區域,并按照方便管理和控制的原則為各網絡區域分配地址;

整改措施:

1、涉及資金類交易的支付類系統與辦公網劃分不同網段;

2、面向互聯網提供服務的系統與內部系統劃分不同網段;

3、不同級別的系統劃分不同網段。

事例二、互聯網出口無任何訪問控制措施。如未部署防火墻、網絡訪問控制設備等,判為高風險。

判定依據:網絡架構:d) 應避免將重要網絡區域部署在邊界處,重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段;

整改措施:系統在互聯網出口部署專用的訪問控制設備。不同網絡區域間應部署訪問控制設備,并合理配置訪問控制控制策略。訪問控制設備如:防火墻等網關層控制設備。

事例三、與互聯網互連的系統,邊界處如無專用的訪問控制設備或未對與互聯網通信的接口進行控制的,判為高風險。

事例六、互聯網邊界租用運營商邊界訪問控制設備的,若沒有設備管理權限且未提供具體訪問控制策略,可判高風險。

邊界防護:a)應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信;

整改措施:在互聯網邊界部署訪問控制設備,并對通信接口進行控制。部署自有的防火墻或租用有管理權限的防火墻。

事例四、在三級及四級系統中,非授權設備能夠直接接入重要網絡區域,如服務器區、管理網段等,且無任何告警、限制、阻斷等措施的,可判高風險。

判定依據:邊界防護:b) 應能夠對非授權設備私自聯到內部網絡的行為進行限制或檢查, 并對其進行有效阻斷;

整改措施:部署能夠對非法內聯行為進行檢查、定位和阻斷的安全準入產品。

事例五、在三級及四級系統中,對于核心重要服務器、重要核心管理終端存在旁路、繞過邊界訪問控制設備私自外聯互聯網的可能且無任何控制措施的,可判為高危。

判定依據:邊界防護:c) 應能夠對內部用戶非授權聯到外部網絡的行為進行限制或檢查, 并對其進行有效阻斷;

整改措施:部署能夠對非法外聯行為進行檢查、定位和阻斷的安全管理產品。

事例六、與互聯網互連的系統,邊界處如無專用的訪問控制設備或配置了全通策略,判為高風險。

判定依據:訪問控制:a)應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則,默認情況下除允許通信外受控接口拒絕所有通信;

整改措施:在互聯網邊界部署訪問控制設備,并合理設置訪問控制策略。

事例七、在三級及四級系統中,關鍵網絡節點(通常為互聯網邊界處)未采取任何防護措施檢測、阻止或限制互聯網發起的攻擊行為,可判為高風險。

判定依據:入侵防范:a)應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為;

整改措施:建議在關鍵網絡節點部署入侵防御、WAF等對可攻擊行為進行檢測、阻斷或限制的設備,或購買云防等外部抗攻擊服務。

事例八、在網絡邊界、重要網絡節點無任何安全審計措施,無法對重要的用戶行為和重要安全事件進行日志審計,可判高風險。

判定依據:安全審計:在網絡邊界、重要網絡節點無任何安全審計措施,無法對重要的用戶行為和重要安全事件進行日志審計,可判高風險。

整改措施:建議在網絡邊界、重要網絡節點,對重要的用戶行為和重要安全事件進行日志審計,便于對相關事件或行為進行追溯。

事例九、《網絡安全法》要求“采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月”;因此,在三級及四級系統中,如日志留存不滿足法律法規相關要求,可判高風險。

判定依據:安全審計:d)應對分散在各個設備上的審計數據進行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規要求;

整改措施:建議部署日志服務器,統一收集各設備的審計數據,進行集中分析,并根據法律法規的要求留存日志。這也是不得不等在最新的三級整改套餐中將日志審計設為必備設備的原因。沒有日志審計的系統均可判為高危風險。至于二級系統也建議大家配置日志審計。

事例十、在三級及四級系統中,口令、密鑰等重要敏感信息在網絡中明文傳輸的,可判定為高風險。

判定依據:通信傳輸:b)應采用密碼技術保證通信過程中敏感信息字段或整個報文的保密性。

整改措施:網絡設備開啟SSH或HTTPS協議,并通過這些加密方式傳輸鑒別信息。

?版權所有 2011-2015 甘肅安信信息安全技術有限公司 隴ICP備15001871號

Copyright ? 2011-2015 Gansu Anxin information Safe Technology Ltd

聯系地址:甘肅省蘭州市城關區讀者大道東段58號5號樓

黑龙江36选7周即开奖