本指引是依據GB/T 22239-2019《信息安(ān)全技(jì )術 網絡安(ān)全等級保護基本要求》有(yǒu)關條款，對測評過程中(zhōng)所發現的安(ān)全性問題進行風險判斷的指引性文(wén)件。指引内容包括對應要求、判例内容、适用(yòng)範圍、補償措施、整改建議等要素。

需要指出的是，本指引無法涵蓋所有(yǒu)高風險案例，測評機構須根據安(ān)全問題所實際面臨的風險做出客觀判斷。

本指引适用(yòng)于網絡安(ān)全等級保護測評活動、安(ān)全檢查等工(gōng)作(zuò)。信息系統建設單位亦可(kě)參考本指引描述的案例編制系統安(ān)全需求。

本次針對安(ān)全區(qū)域邊界的高風險進行分(fēn)析。

邊界防護

（1）互聯網邊界訪問控制

對應要求：應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信。

判例内容：互聯網出口無任何訪問控制措施，或訪問控制措施配置失效，存在較大安(ān)全隐患，可(kě)判定為(wèi)高風險。

适用(yòng)範圍：所有(yǒu)系統。

滿足條件（任意條件）：互聯網出口無任何訪問控制措施。互聯網出口訪問控制措施配置不當，存在較大安(ān)全隐患。互聯網出口訪問控制措施配置失效，無法起到相關控制功能(néng)。

補償措施：邊界訪問控制設備不一定一定要是防火牆，隻要是能(néng)實現相關的訪問控制功能(néng)，形态為(wèi)專用(yòng)設備，且有(yǒu)相關功能(néng)能(néng)夠提供相應的檢測報告，可(kě)視為(wèi)等效措施，判符合。如通過路由器、交換機或者帶ACL功能(néng)的負載均衡器等設備實現，可(kě)根據系統重要程度，設備性能(néng)壓力等因素，酌情判定風險等級。

整改建議：建議在互聯網出口部署專用(yòng)的訪問控制設備，并合理(lǐ)配置相關控制策略，确保控制措施有(yǒu)效。

（2）網絡訪問控制設備不可(kě)控

對應要求：應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信。

判例内容：互聯網邊界訪問控制設備若無管理(lǐ)權限，且未按需要提供訪問控制策略，無法根據業務(wù)需要或所發生的安(ān)全事件及時調整訪問控制策略，可(kě)判定為(wèi)高風險。

适用(yòng)範圍：所有(yǒu)系統。

滿足條件（同時）：互聯網邊界訪問控制設備無管理(lǐ)權限；無其他(tā)任何有(yǒu)效訪問控制措施；無法根據業務(wù)需要或所發生的安(ān)全事件及時調整訪問控制策略。

補償措施：無。

整改建議：建議部署自有(yǒu)的邊界訪問控制設備或租用(yòng)有(yǒu)管理(lǐ)權限的邊界訪問控制設備，且對相關設備進行合理(lǐ)配置。

（3）違規内聯檢查措施

對應要求：應能(néng)夠對非授權設備私自聯到内部網絡的行為(wèi)進行檢查或限制。

判例内容：非授權設備能(néng)夠直接接入重要網絡區(qū)域，如服務(wù)器區(qū)、管理(lǐ)網段等，且無任何告警、限制、阻斷等措施的，可(kě)判定為(wèi)高風險。

适用(yòng)範圍：3級及以上系統。

滿足條件（同時）：3級及以上系統；機房、網絡等環境不可(kě)控，存在非授權接入可(kě)能(néng)；可(kě)非授權接入網絡重要區(qū)域，如服務(wù)器區(qū)、管理(lǐ)網段等；無任何控制措施，控制措施包括限制、檢查、阻斷等。

補償措施：如接入的區(qū)域有(yǒu)嚴格的物(wù)理(lǐ)訪問控制，采用(yòng)靜态IP地址分(fēn)配，關閉不必要的接入端口，IP-MAC地址綁定等措施的，可(kě)酌情降低風險等級。

整改建議：建議部署能(néng)夠對違規内聯行為(wèi)進行檢查、定位和阻斷的安(ān)全準入産(chǎn)品。

（4）違規外聯檢查措施

對應要求：應能(néng)夠對内部用(yòng)戶非授權聯到外部網絡的行為(wèi)進行檢查或限制。

判例内容：核心重要服務(wù)器設備、重要核心管理(lǐ)終端，如無法對非授權聯到外部網絡的行為(wèi)進行檢查或限制，或内部人員可(kě)旁路、繞過邊界訪問控制設備私自外聯互聯網，可(kě)判定為(wèi)高風險。

适用(yòng)範圍：3級及以上系統。

滿足條件（同時）：3 級及以上系統；機房、網絡等環境不可(kě)控，存在非授權外聯可(kě)能(néng)；對于核心重要服務(wù)器、重要核心管理(lǐ)終端存在私自外聯互聯網可(kě)能(néng)；無任何控制措施，控制措施包括限制、檢查、阻斷等。

補償措施：如機房、網絡等環境可(kě)控，非授權外聯可(kě)能(néng)較小(xiǎo)，相關設備上的USB接口、無線(xiàn)網卡等有(yǒu)管控措施，對網絡異常進行監控及日志(zhì)審查，可(kě)酌情降低風險等級。

整改建議：建議部署能(néng)夠對違規外聯行為(wèi)進行檢查、定位和阻斷的安(ān)全管理(lǐ)産(chǎn)品。

（5）無線(xiàn)網絡管控措施

對應要求：應限制無線(xiàn)網絡的使用(yòng)，保證無線(xiàn)網絡通過受控的邊界設備接入内部網絡。

判例内容：内部核心網絡與無線(xiàn)網絡互聯，且之間無任何管控措施，一旦非授權接入無線(xiàn)網絡即可(kě)訪問内部核心網絡區(qū)域，存在較大安(ān)全隐患，可(kě)判定為(wèi)高風險。

适用(yòng)範圍：3級及以上系統。

滿足條件（同時）：3級及以上系統；内部核心網絡與無線(xiàn)網絡互聯，且不通過任何受控的邊界設備，或邊界設備控制策略設置不當；非授權接入無線(xiàn)網絡将對内部核心網絡帶來較大安(ān)全隐患。

補償措施：在特殊應用(yòng)場景下，無線(xiàn)覆蓋區(qū)域較小(xiǎo)，且嚴格受控，僅有(yǒu)授權人員方可(kě)進入覆蓋區(qū)域的，可(kě)酌情降低風險等級；對無線(xiàn)接入有(yǒu)嚴格的管控及身份認證措施，非授權接入可(kě)能(néng)較小(xiǎo)，可(kě)根據管控措施的情況酌情降低風險等級。

整改建議：如無特殊需要，内部核心網絡不應與無線(xiàn)網絡互聯；如因業務(wù)需要，則建議加強對無線(xiàn)網絡設備接入的管控，并通過邊界設備對無線(xiàn)網絡的接入設備對内部核心網絡的訪問進行限制，降低攻擊者利用(yòng)無線(xiàn)網絡入侵内部核心網絡。

訪問控制

（1）互聯網邊界訪問控制

對應要求：應在網絡邊界或區(qū)域之間根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外受控接口拒絕所有(yǒu)通信。

判例内容：與互聯網互連的系統，邊界處如無專用(yòng)的訪問控制設備或配置了全通策略，可(kě)判定為(wèi)高風險。

适用(yòng)範圍：所有(yǒu)系統。

滿足條件（任意條件）：互聯網出口無任何訪問控制措施。互聯網出口訪問控制措施配置不當，存在較大安(ān)全隐患。互聯網出口訪問控制措施配置失效，啓用(yòng)透明模式，無法起到相關控制功能(néng)。

補償措施：邊界訪問控制設備不一定一定要是防火牆，隻要是能(néng)實現相關的訪問控制功能(néng)，形态為(wèi)專用(yòng)設備，且有(yǒu)相關功能(néng)能(néng)夠提供相應的檢測報告，可(kě)視為(wèi)等效措施，判符合。如通過路由器、交換機或者帶ACL功能(néng)的負載均衡器等設備實現，可(kě)根據系統重要程度，設備性能(néng)壓力等因素，酌情判定風險等級。

整改建議：建議在互聯網出口部署專用(yòng)的訪問控制設備，并合理(lǐ)配置相關控制策略，确保控制措施有(yǒu)效。

（2）通信協議轉換及隔離措施

對應要求：應在網絡邊界通過通信協議轉換或通信協議隔離等方式進行數據交換。

判例内容：可(kě)控網絡環境與不可(kě)控網絡環境之間數據傳輸未采用(yòng)通信協議轉換或通信協議隔離等方式進行數據轉換，可(kě)判定為(wèi)高風險。

适用(yòng)範圍：4級系統。

滿足條件（同時）：4級系統；可(kě)控網絡環境與不可(kě)控網絡環境之間數據傳輸未進行數據格式或協議轉化，也未采用(yòng)通訊協議隔離措施。

補償措施：如通過相關技(jì )術/安(ān)全專家論證，系統由于業務(wù)場景需要，無法通過通信協議轉換或通信協議隔離等方式進行數據轉換的，但有(yǒu)其他(tā)安(ān)全保障措施的，可(kě)酌情降低風險等級。

整改建議：建議數據在不同等級網絡邊界之間傳輸時，通過通信協議轉換或通信協議隔離等方式進行數據交換。

入侵防範

（1）外部網絡攻擊防禦

對應要求：應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為(wèi)。

判例内容：關鍵網絡節點（如互聯網邊界處）未采取任何防護措施，無法檢測、阻止或限制互聯網發起的攻擊行為(wèi)，可(kě)判定為(wèi)高風險。

适用(yòng)範圍：3級及以上系統。

滿足條件（同時）：3級及以上系統；關鍵網絡節點（如互聯網邊界處）無任何入侵防護手段（如入侵防禦設備、雲防、WAF等對外部網絡發起的攻擊行為(wèi)進行檢測、阻斷或限制）。

補償措施：如具(jù)備入侵檢測能(néng)力（IDS），且監控措施較為(wèi)完善，能(néng)夠及時對入侵行為(wèi)進行幹預的，可(kě)酌情降低風險等級。

整改建議：建議在關鍵網絡節點（如互聯網邊界處）合理(lǐ)部署可(kě)對攻擊行為(wèi)進行檢測、阻斷或限制的防護設備（如抗APT攻擊系統、網絡回溯系統、威脅情報檢測系統、入侵防護系統等），或購(gòu)買雲防等外部抗攻擊服務(wù)。

（2）内部網絡攻擊防禦

對應要求：應在關鍵網絡節點處檢測、防止或限制從内部發起的網絡攻擊行為(wèi)。

判例内容：關鍵網絡節點（如核心服務(wù)器區(qū)與其他(tā)内部網絡區(qū)域邊界處）未采取任何防護措施，無法檢測、阻止或限制從内部發起的網絡攻擊行為(wèi)，可(kě)判定為(wèi)高風險。

适用(yòng)範圍：3級及以上系統。

滿足條件（同時）：3級及以上系統；關鍵網絡節點（如核心服務(wù)器區(qū)與其他(tā)内部網絡區(qū)域邊界處）無任何入侵防護手段（如入侵防禦、防火牆等對内部網絡發起的攻擊行為(wèi)進行檢測、阻斷或限制）。

補償措施：如核心服務(wù)器區(qū)與其他(tā)内部網絡之間部署了防火牆等訪問控制設備，且訪問控制措施較為(wèi)嚴格，發生内部網絡攻擊可(kě)能(néng)性較小(xiǎo)或有(yǒu)一定的檢測、防止或限制能(néng)力，可(kě)酌情降低風險等級。

整改建議：建議在關鍵網絡節點處（如核心服務(wù)器區(qū)與其他(tā)内部網絡區(qū)域邊界處）進行嚴格的訪問控制措施，并部署相關的防護設備，檢測、防止或限制從内部發起的網絡攻擊行為(wèi)。

惡意代碼和垃圾郵件防範

（1）網絡層惡意代碼防範

對應要求：應在關鍵網絡節點處對惡意代碼進行檢測，并維護惡意代碼防護機制的升級和更新(xīn)。

判例内容：主機和網絡層均無任何惡意代碼檢測和措施的，可(kě)判定為(wèi)高風險。

适用(yòng)範圍：所有(yǒu)系統。

滿足條件（同時）：主機層無惡意代碼檢測和措施；網絡層無惡意代碼檢測和措施。

補償措施：如主機層部署惡意代碼檢測和産(chǎn)品，且惡意代碼庫保持更新(xīn)，可(kě)酌情降低風險等級。* 如2級及以下系統，使用(yòng)Linux、Unix系統，主機和網絡層均未部署惡意代碼檢測和産(chǎn)品，可(kě)視總體(tǐ)防禦措施酌情降低風險等級。 對與外網完全物(wù)理(lǐ)隔離的系統，其網絡環境、USB介質(zhì)等管控措施較好，可(kě)酌情降低風險等級。

整改建議：建議在關鍵網絡節點處部署惡意代碼檢測和産(chǎn)品，且與主機層惡意代碼防範産(chǎn)品形成異構模式，有(yǒu)效檢測及**可(kě)能(néng)出現的惡意代碼攻擊。

安(ān)全審計

（1）網絡安(ān)全審計措施

對應要求：應在網絡邊界、重要網絡節點進行安(ān)全審計，審計覆蓋到每個用(yòng)戶，對重要的用(yòng)戶行為(wèi)和重要安(ān)全事件進行審計。

判例内容：在網絡邊界、重要網絡節點無任何安(ān)全審計措施，無法對重要的用(yòng)戶行為(wèi)和重要安(ān)全事件進行日志(zhì)審計，可(kě)判定為(wèi)高風險。

适用(yòng)範圍：所有(yǒu)系統。

滿足條件（同時）：無法對重要的用(yòng)戶行為(wèi)和重要安(ān)全事件進行日志(zhì)審計。

補償措施：無。

整改建議：建議在網絡邊界、重要網絡節點，對重要的用(yòng)戶行為(wèi)和重要安(ān)全事件進行日志(zhì)審計，便于對相關事件或行為(wèi)進行追溯。

文(wén)章來源：大路咨詢