返回
安全区域边界篇.docx

安全区域边界篇.docx

ID:60989108

大小:106.51 KB

页数:7页

时间:2021-01-18

安全区域边界篇.docx_第1页
安全区域边界篇.docx_第2页
安全区域边界篇.docx_第3页
安全区域边界篇.docx_第4页
安全区域边界篇.docx_第5页
资源描述:

《安全区域边界篇.docx》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、等保2.0标准执行之高风险判定(安全区域边界篇)来源:admin 发布日期:2019-08-09在等级保护2.0标准“安全区域边界”层面的核心控制点包括“边界防护”、“访问控制”、“入侵防范”和“安全审计”。其核心防护要求是:1、网络边界处要有有效、可控的访问控制措施,且控制粒度和力度在等保1.0基础上有所升级;2、要能判断出3个非法边界(非法接入、非法外联、无线使用)进行有效控制;3、4级系统要使用协议转换及隔离措施。4、网络中要能对内、外部网络攻击、恶意代码攻击有发现、分析及防御能力,并按《网络安全法》的要求保留相关网络安全审计日志。因此,《高风险判定指引

2、》在“安全区域边界”方面围绕以上核心防护要求展开,给出可判“高风险”的一般场景,强化要求的落地实现。《网络安全等级保护测评高风险判定指引》——安全区域边界篇01边界防护对应要求:应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。判例内容:互联网出口无任何访问控制措施,或访问控制措施配置失效,存在较大安全隐患,可判定为高风险。适用范围:所有系统。满足条件(任意条件):1、互联网出口无任何访问控制措施。2、互联网出口访问控制措施配置不当,存在较大安全隐患。3、互联网出口访问控制措施配置失效,无法起到相关控制功能。补偿措施:边界访问控制设备不一定要是防

3、火墙,只要是能实现相关的访问控制功能,形态为专用设备,且有相关功能能够提供相应的检测报告,可视为等效措施,判符合。如通过路由器、交换机或者带ACL功能的负载均衡器等设备实现,可根据系统重要程度,设备性能压力等因素,酌情判定风险等级。整改建议:建议在互联网出口部署专用的访问控制设备,并合理配置相关控制策略,确保控制措施有效。对应要求:应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。判例内容:互联网边界访问控制设备若无管理权限,且未按需要提供访问控制策略,无法根据业务需要或所发生的安全事件及时调整访问控制策略,可判定为高风险。适用范围:所有系统。满

4、足条件(同时):1、互联网边界访问控制设备无管理权限;2、无其他任何有效访问控制措施;3、无法根据业务需要或所发生的安全事件及时调整访问控制策略。补偿措施:无。整改建议:建议部署自有的边界访问控制设备或租用有管理权限的边界访问控制设备,且对相关设备进行合理配置。 对应要求:应能够对非授权设备私自联到内部网络的行为进行检查或限制。判例内容:非授权设备能够直接接入重要网络区域,如服务器区、管理网段、业务网段等,且无任何告警、限制、阻断等措施的,可判定为高风险。适用范围:3级及以上系统。满足条件(同时):1、3级及以上系统;2、机房、网络等环境不可控,存在非授权接入

5、可能;3、可非授权接入网络重要区域,如服务器区、管理网段业务网段等;4、无任何控制措施,控制措施包括限制、检查、阻断等。补偿措施:如接入的区域有严格的物理访问控制,采用静态IP地址分配,关闭不必要的接入端口,IP-MAC地址绑定等措施的,可酌情降低风险等级。整改建议:建议部署能够对违规内联行为进行检查、定位和阻断的安全准入产品。 对应要求:应能够对内部用户非授权联到外部网络的行为进行检查或限制。判例内容:重要核心管理终端、重要业务终端等关键设备,如无法对非授权联到外部网络的行为进行检查或限制,或内部人员可旁路、绕过边界访问控制设备私自外联互联网,可判定为高风险

6、。适用范围:3级及以上系统。满足条件(同时):1、3级及以上系统;2、物理、网络等环境不可控,存在非授权外联可能;3、重要核心管理终端、重要业务终端等关键设备存在私自外联互联网可能;4、无任何控制措施,控制措施包括限制、检查、阻断等。补偿措施:如物理、网络等环境可控,非授权外联可能较小,相关设备上的USB接口、无线网卡等有管控措施,对网络异常进行监控及日志审查,可酌情降低风险等级。整改建议:建议部署能够对违规外联行为进行检查、定位和阻断的安全管理产品。 对应要求:应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。判例内容:内部核心网络与无线网络

7、互联,且之间无任何管控措施,一旦非授权接入无线网络即可访问内部核心网络区域,存在较大安全隐患,可判定为高风险。适用范围:3级及以上系统。满足条件(同时):1、3级及以上系统;2、内部核心网络与无线网络互联,且不通过任何受控的边界设备,或边界设备控制策略设置不当;3、非授权接入无线网络将对内部核心网络带来较大安全隐患。补偿措施:1、在特殊应用场景下,无线覆盖区域较小,且严格受控,仅有授权人员方可进入覆盖区域的,可酌情降低风险等级;2、对无线接入有严格的管控及身份认证措施,非授权接入可能较小,可根据管控措施的情况酌情降低风险等级。整改建议:如无特殊需要,内部核心网

8、络不应与无线网络互联;如因业务需要,则

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。