网络安全等级保护测评高风险判定-安全区域边界-3_未在关键网络节点处监视网络攻击行为
赞
踩
目录
1.边界防护
1.1网络边界访问控制设备不可控
对应要求:应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
判例内容:在网络架构上,重要网络区域与其他网络区域之间的边界处(包括内/外部网络区域、内/外部网络边界)未部署访问控制设备实施访问控制,可判定为高风险。例如重要网络区域与互联网等外部非安全可控网络边界处、生产网与员工日常办公网之间、生产网与无线网络接入区之间未部署访问控制设备实现访问控制措施等情况。
补偿措施:边界访问控制设备包括但不限于防火墙、UTM,能实现相关访问控制功能的专用设备,且相关功能通过具备资格的检测机构检测,并出具检测报告,可视为等效措施。如通过路由器、交换机或者带ACL功能的负载均衡器等设备实现,应根据系统重要程度,设备性能压力等因素综合分析,酌情判断风险等级。
整改建议:建议合理规划网络架构,避免重要网络区域部署在边界处;重要网络区域与其他网络边界处,尤其是外部非安全可控网络、内部非重要网络区域之间边界处应部署访问控制设备,并合理配置相关控制策略,确保控制措施有效。
1.2无违规内联检查措施
对应要求:应能够对非授权设备私自联到内部网络的行为进行检查或限制。
判例内容 :非授权设备能够直接接入重要网络区域,如服务器区、管理网段等,且无任何告警、限制、阻断等措施,可判定为高风险。
补偿措施:
- 重点区域出入控制严格,非受权人员访问重要区域有专人陪同等措施,可酌情降低风险等级;
- 技术上采用静态IP地址分配,关闭设备非必要的物理接入端口,IP-MAC地址绑定,限制多级路由等措施,可酌情降低风险等级;
整改建议:建议部署能够对违规内联行为进行检查、定位和阻断的安全准入产品 。
1.3无违规外联检查措施
对应要求:应能够对内部用户非授权联到外部网络的行为进行检查或限制。
判例内容:重要管理终端、重要业务终端等仅允许在特定网络环境使用的重要设备,如无法对非授权联到外部网络的行为进行检查或限制,或存在旁路、绕过边界访问控制设备私自连接外部网络,可判定为高风险。
补偿措施:设备所在物理环境、操作人员可控,仅特定授权人员可操作,相关设备上的USB接口、无线网卡等有管控措施,对网络异常进行监控及日志审查,可酌情降低风险等级。
整改建议:建议部署能够对违规外联行为进行检查、定位和阻断的安全管理产品。
1.4无线网络无管控措施
对应要求:应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
判例内容:内部重要网络与无线网络互联,且无任何管控措施,一旦非授权接入无线网络即可访问内部重要网络区域,存在较大安全隐患,可判定为高风险。
补偿措施:必须使用无线网络的场景,若对无线接入设备有严格的管控及身份认证措施,非授权接入可能较小,可根据管控措施的情况,酌情降低风险等级。
整改建议:无特殊需要,内部核心网络不应与无线网络互联;若因业务需要,则建议加强对无线网络设备接入的管控,并通过边界设备对无线网络的接入设备对内部核心网络的访问进行限制,降低攻击者利用无线网络入侵内部核心网络。
2访问控制
2.1重要网络区域边界访问控制配置不当
对应要求:应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。
判例内容:重要网络区域与其他网络区域之间的边界处(包括内/外部网络区域、内/外部网络边界)访问控制设置不当(例如配置策略全通、策略不严等情况)或控制措施失效,对重要网络区域造成安全隐患,可判定为高风险。例如重要网络区域与互联网等外部非安全可控网络边界处、生产网与员工日常办公网之间、生产网与无线网络接入区之间访问控制设备配置全通策略或控制措施存在旁路、失效等情况。
补偿措施:边界访问控制设备包括但不限于防火墙、UTM,能实现相关访问控制功能的专用设备,且相关功能通过具备资格的检测机构检测,并出具检测报告,可视为等效措施。如通过路由器、交换机或者带ACL功能的负载均衡器等设备实现,应根据系统重要程度,设备性能压力等因素综合分析,酌情判断风险等级。
整改建议:建议对重要网络区域与其他网络区域之间的边界进行梳理,明确访问地址、端口、协议等信息,并通过访问控制设备,合理配置相关控制策略,确保控制措施有效。
2.2通信协议无转换或隔离措施
对应要求:应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换。
判例内容:可控网络环境与不可控网络环境之间数据传输未采用通信协议转换或通信协议隔离等方式进行数据转换,可判定为高风险。
补偿措施:通过相关技术/安全专家论证,有论证/评审意见证明,系统由于业务场景需要,无法通过通信协议转换或通信协议隔离等方式进行数据转换,但有其他安全保障措施,可酌情降低风险等级。
整改建议:建议数据在不同等级网络边界之间传输时,通过通信协议转换或通信协议隔离等方式进行数据交换。
3入侵防范
3.1无外部网络攻击防御措施
对应要求:
(2级)应在关键网络节点处监视网络攻击行为。
(3级、4级)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。
判例内容:关键网络节点(如互联网边界处)未采取任何防护措施(如未部署入侵防御设备、云防、WAF、态势感知系统或抗DDOS设备等对外部网络发起的攻击行为进行检测、阻断或限制),无法检测、阻止、限制外部发起的攻击行为,或防护措施的策略库/规则库长期未更新,导致防护措施无法满足防护需要,可判定为高风险。
补偿措施:若主机部署入侵防范产品,且策略库、规则库更新及时,能够对攻击行为进行检测、防止或限制,可酌情降低风险等级,但主机入侵防范设备不能完全代替网络入侵检测作用。
整改建议:建议在关键网络节点(如互联网边界处)合理部署可对攻击行为进行检测、阻断或限制的防护设备(如抗APT攻击系统、网络回溯系统、威胁情报检测系统或入侵防护系统等设备),或购买云防等外部抗攻击服务。
3.2无内部网络攻击防御措施
对应要求:应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。
判例内容:关键网络节点(如核心服务器区与其他内部网络区域边界处)未采取任何防护措施,无法检测、阻止或限制从内部发起的网络攻击行为(包括其他内部网络区域对核心服务器区的攻击行为、服务器之间的攻击行为、内部网络向互联网目标发起攻击等),或防护措施的策略库/规则库长期未更新,导致防护措施无法满足防护需要,可判定为高风险。
补偿措施:
- 核心服务器区与其他内部网络之间部署防火墙等访问控制设备,且访问控制措施较为严格(如仅开放应用服务端口、对源地址进行了范围限制等),降低了可被攻击的范围,一定程度上对内部网络攻击防范起到限制作用,可酌情降低风险等级;
- 服务器部署入侵防范产品,且策略库、规则库更新及时,能够对攻击行为进行检测、防止或限制,可酌情降低风险等级,但主机入侵防范设备不能完全代替网络入侵检测作用;
- 工控系统等部署在封闭网络,通过技术手段对网络、终端采取严格管控,降低了攻击源进入内部网络的可能性,可酌情降低风险等级。
整改建议:建议在关键网络节点处进行严格的访问控制措施,并部署相关的防护设备,检测、防止或限制从内部发起的网络攻击行为(包括其他内部网络区域对核心服务器区的攻击行为、服务器之间的攻击行为、内部网络向互联网目标发起攻击等)。对于服务器之间的内部攻击行为,建议合理划分网络区域,加强不同服务器之间的访问控制,部署主机入侵防范产品,或通过部署流量探针的方式,检测异常攻击流量。
4恶意代码和垃圾邮件防范
4.1无恶意代码防范措施
对应要求:应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。
判例内容:主机和网络层均无任何恶意代码检测和清除措施,或恶意代码库一月以上未更新(可根据行业或系统特性缩短或延长病毒库更新周期),无法对恶意代码攻击进行有效检测、防范、清除,可判定为高风险。
补偿措施:
- 2级系统,使用Linux、Unix、Solaris、CenterOS、AIX等非Windows系统,主机和网络层均未部署恶意代码检测和清除产品,可视总体防御措施酌情降低风险等级;
- 与互联网完全物理隔离或强逻辑隔离的系统,其网络环境可控,并采取USB介质管控、部署主机防护软件、白名单软件等技术措施,能有效防范恶意代码进入被测网络,可酌情降低风险等级;
- 主机操作系统采用可信基的防控技术,对操作系统运行环境进行有效度量,可酌情降低风险等级。
整改建议:建议在关键网络节点及主机操作系统上均部署恶意代码检测和清除产品,并及时更新恶意代码库,网络层与主机层恶意代码防范产品宜形成异构模式,有效检测及清除可能出现的恶意代码攻击。
5安全审计
5.1无网络安全审计措施
对应要求:应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
判例内容:网络边界、关键网络节点无任何网络安全审计措施,无法对重要的用户行为和重要安全事件进行日志审计,可判定为高风险。
补偿措施:当前部署的设备仅能对重要的用户行为或重要安全事件进行审计,可酌情降低风险等级;例如仅部署防护类设备,只对网络攻击事件进行详细日志记录,无法对重要的用户行为进行审计。
整改建议:建议在网络边界、关键网络节点,对重要的用户行为和重要安全事件进行日志审计,便于对相关事件或行为进行追溯。
