本指引是(yes)依據GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要(want)求》有關條款，對測評過程中所發現的(of)安全性問題進行風險判斷的(of)指引性文件。指引内容包括對應要(want)求、判例内容、适用(use)範圍、補償措施、整改建議等要(want)素。

需要(want)指出(out)的(of)是(yes)，本指引無法涵蓋所有高風險案例，測評機構須根據安全問題所實際面臨的(of)風險做出(out)客觀判斷。

本指引适用(use)于(At)網絡安全等級保護測評活動、安全檢查等工作(do)。信息系統建設單位亦可參考本指引描述的(of)案例編制系統安全需求。

本次針對安全區域邊界的(of)高風險進行分析。

邊界防護

（1）互聯網邊界訪問控制

對應要(want)求：應保證跨越邊界的(of)訪問和(and)數據流通過邊界設備提供的(of)受控接口進行通信。

判例内容：互聯網出(out)口無任何訪問控制措施，或訪問控制措施配置失效，存在(exist)較大(big)安全隐患，可判定爲(for)高風險。

适用(use)範圍：所有系統。

滿足條件（任意條件）：互聯網出(out)口無任何訪問控制措施。互聯網出(out)口訪問控制措施配置不(No)當，存在(exist)較大(big)安全隐患。互聯網出(out)口訪問控制措施配置失效，無法起到(arrive)相關控制功能。

補償措施：邊界訪問控制設備不(No)一(one)定一(one)定要(want)是(yes)防火牆，隻要(want)是(yes)能實現相關的(of)訪問控制功能，形态爲(for)專用(use)設備，且有相關功能能夠提供相應的(of)檢測報告，可視爲(for)等效措施，判符合。如通過路由器、交換機或者帶ACL功能的(of)負載均衡器等設備實現，可根據系統重要(want)程度，設備性能壓力等因素，酌情判定風險等級。

整改建議：建議在(exist)互聯網出(out)口部署專用(use)的(of)訪問控制設備，并合理配置相關控制策略，确保控制措施有效。

（2）網絡訪問控制設備不(No)可控

對應要(want)求：應保證跨越邊界的(of)訪問和(and)數據流通過邊界設備提供的(of)受控接口進行通信。

判例内容：互聯網邊界訪問控制設備若無管理權限，且未按需要(want)提供訪問控制策略，無法根據業務需要(want)或所發生(born)的(of)安全事件及時(hour)調整訪問控制策略，可判定爲(for)高風險。

适用(use)範圍：所有系統。

滿足條件（同時(hour)）：互聯網邊界訪問控制設備無管理權限；無其他(he)任何有效訪問控制措施；無法根據業務需要(want)或所發生(born)的(of)安全事件及時(hour)調整訪問控制策略。

補償措施：無。

整改建議：建議部署自有的(of)邊界訪問控制設備或租用(use)有管理權限的(of)邊界訪問控制設備，且對相關設備進行合理配置。

（3）違規内聯檢查措施

對應要(want)求：應能夠對非授權設備私自聯到(arrive)内部網絡的(of)行爲(for)進行檢查或限制。

判例内容：非授權設備能夠直接接入重要(want)網絡區域，如服務器區、管理網段等，且無任何告警、限制、阻斷等措施的(of)，可判定爲(for)高風險。

适用(use)範圍：3級及以(by)上系統。

滿足條件（同時(hour)）：3級及以(by)上系統；機房、網絡等環境不(No)可控，存在(exist)非授權接入可能；可非授權接入網絡重要(want)區域，如服務器區、管理網段等；無任何控制措施，控制措施包括限制、檢查、阻斷等。

補償措施：如接入的(of)區域有嚴格的(of)物理訪問控制，采用(use)靜态IP地(land)址分配，關閉不(No)必要(want)的(of)接入端口，IP-MAC地(land)址綁定等措施的(of)，可酌情降低風險等級。

整改建議：建議部署能夠對違規内聯行爲(for)進行檢查、定位和(and)阻斷的(of)安全準入産品。

（4）違規外聯檢查措施

對應要(want)求：應能夠對内部用(use)戶非授權聯到(arrive)外部網絡的(of)行爲(for)進行檢查或限制。

判例内容：核心重要(want)服務器設備、重要(want)核心管理終端，如無法對非授權聯到(arrive)外部網絡的(of)行爲(for)進行檢查或限制，或内部人(people)員可旁路、繞過邊界訪問控制設備私自外聯互聯網，可判定爲(for)高風險。

适用(use)範圍：3級及以(by)上系統。

滿足條件（同時(hour)）：3 級及以(by)上系統；機房、網絡等環境不(No)可控，存在(exist)非授權外聯可能；對于(At)核心重要(want)服務器、重要(want)核心管理終端存在(exist)私自外聯互聯網可能；無任何控制措施，控制措施包括限制、檢查、阻斷等。

補償措施：如機房、網絡等環境可控，非授權外聯可能較小，相關設備上的(of)USB接口、無線網卡等有管控措施，對網絡異常進行監控及日志審查，可酌情降低風險等級。

整改建議：建議部署能夠對違規外聯行爲(for)進行檢查、定位和(and)阻斷的(of)安全管理産品。

（5）無線網絡管控措施

對應要(want)求：應限制無線網絡的(of)使用(use)，保證無線網絡通過受控的(of)邊界設備接入内部網絡。

判例内容：内部核心網絡與無線網絡互聯，且之間無任何管控措施，一(one)旦非授權接入無線網絡即可訪問内部核心網絡區域，存在(exist)較大(big)安全隐患，可判定爲(for)高風險。

适用(use)範圍：3級及以(by)上系統。

滿足條件（同時(hour)）：3級及以(by)上系統；内部核心網絡與無線網絡互聯，且不(No)通過任何受控的(of)邊界設備，或邊界設備控制策略設置不(No)當；非授權接入無線網絡将對内部核心網絡帶來(Come)較大(big)安全隐患。

補償措施：在(exist)特殊應用(use)場景下，無線覆蓋區域較小，且嚴格受控，僅有授權人(people)員方可進入覆蓋區域的(of)，可酌情降低風險等級；對無線接入有嚴格的(of)管控及身份認證措施，非授權接入可能較小，可根據管控措施的(of)情況酌情降低風險等級。

整改建議：如無特殊需要(want)，内部核心網絡不(No)應與無線網絡互聯；如因業務需要(want)，則建議加強對無線網絡設備接入的(of)管控，并通過邊界設備對無線網絡的(of)接入設備對内部核心網絡的(of)訪問進行限制，降低攻擊者利用(use)無線網絡入侵内部核心網絡。

訪問控制

（1）互聯網邊界訪問控制

對應要(want)求：應在(exist)網絡邊界或區域之間根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外受控接口拒絕所有通信。

判例内容：與互聯網互連的(of)系統，邊界處如無專用(use)的(of)訪問控制設備或配置了(Got it)全通策略，可判定爲(for)高風險。

适用(use)範圍：所有系統。

滿足條件（任意條件）：互聯網出(out)口無任何訪問控制措施。互聯網出(out)口訪問控制措施配置不(No)當，存在(exist)較大(big)安全隐患。互聯網出(out)口訪問控制措施配置失效，啓用(use)透明模式，無法起到(arrive)相關控制功能。

補償措施：邊界訪問控制設備不(No)一(one)定一(one)定要(want)是(yes)防火牆，隻要(want)是(yes)能實現相關的(of)訪問控制功能，形态爲(for)專用(use)設備，且有相關功能能夠提供相應的(of)檢測報告，可視爲(for)等效措施，判符合。如通過路由器、交換機或者帶ACL功能的(of)負載均衡器等設備實現，可根據系統重要(want)程度，設備性能壓力等因素，酌情判定風險等級。

整改建議：建議在(exist)互聯網出(out)口部署專用(use)的(of)訪問控制設備，并合理配置相關控制策略，确保控制措施有效。

（2）通信協議轉換及隔離措施

對應要(want)求：應在(exist)網絡邊界通過通信協議轉換或通信協議隔離等方式進行數據交換。

判例内容：可控網絡環境與不(No)可控網絡環境之間數據傳輸未采用(use)通信協議轉換或通信協議隔離等方式進行數據轉換，可判定爲(for)高風險。

适用(use)範圍：4級系統。

滿足條件（同時(hour)）：4級系統；可控網絡環境與不(No)可控網絡環境之間數據傳輸未進行數據格式或協議轉化，也未采用(use)通訊協議隔離措施。

補償措施：如通過相關技術/安全專家論證，系統由于(At)業務場景需要(want)，無法通過通信協議轉換或通信協議隔離等方式進行數據轉換的(of)，但有其他(he)安全保障措施的(of)，可酌情降低風險等級。

整改建議：建議數據在(exist)不(No)同等級網絡邊界之間傳輸時(hour)，通過通信協議轉換或通信協議隔離等方式進行數據交換。

入侵防範

（1）外部網絡攻擊防禦

對應要(want)求：應在(exist)關鍵網絡節點處檢測、防止或限制從外部發起的(of)網絡攻擊行爲(for)。

判例内容：關鍵網絡節點（如互聯網邊界處）未采取任何防護措施，無法檢測、阻止或限制互聯網發起的(of)攻擊行爲(for)，可判定爲(for)高風險。

适用(use)範圍：3級及以(by)上系統。

滿足條件（同時(hour)）：3級及以(by)上系統；關鍵網絡節點（如互聯網邊界處）無任何入侵防護手段（如入侵防禦設備、雲防、WAF等對外部網絡發起的(of)攻擊行爲(for)進行檢測、阻斷或限制）。

補償措施：如具備入侵檢測能力（IDS），且監控措施較爲(for)完善，能夠及時(hour)對入侵行爲(for)進行幹預的(of)，可酌情降低風險等級。

整改建議：建議在(exist)關鍵網絡節點（如互聯網邊界處）合理部署可對攻擊行爲(for)進行檢測、阻斷或限制的(of)防護設備（如抗APT攻擊系統、網絡回溯系統、威脅情報檢測系統、入侵防護系統等），或購買雲防等外部抗攻擊服務。

（2）内部網絡攻擊防禦

對應要(want)求：應在(exist)關鍵網絡節點處檢測、防止或限制從内部發起的(of)網絡攻擊行爲(for)。

判例内容：關鍵網絡節點（如核心服務器區與其他(he)内部網絡區域邊界處）未采取任何防護措施，無法檢測、阻止或限制從内部發起的(of)網絡攻擊行爲(for)，可判定爲(for)高風險。

适用(use)範圍：3級及以(by)上系統。

滿足條件（同時(hour)）：3級及以(by)上系統；關鍵網絡節點（如核心服務器區與其他(he)内部網絡區域邊界處）無任何入侵防護手段（如入侵防禦、防火牆等對内部網絡發起的(of)攻擊行爲(for)進行檢測、阻斷或限制）。

補償措施：如核心服務器區與其他(he)内部網絡之間部署了(Got it)防火牆等訪問控制設備，且訪問控制措施較爲(for)嚴格，發生(born)内部網絡攻擊可能性較小或有一(one)定的(of)檢測、防止或限制能力，可酌情降低風險等級。

整改建議：建議在(exist)關鍵網絡節點處（如核心服務器區與其他(he)内部網絡區域邊界處）進行嚴格的(of)訪問控制措施，并部署相關的(of)防護設備，檢測、防止或限制從内部發起的(of)網絡攻擊行爲(for)。

惡意代碼和(and)垃圾郵件防範

（1）網絡層惡意代碼防範

對應要(want)求：應在(exist)關鍵網絡節點處對惡意代碼進行檢測，并維護惡意代碼防護機制的(of)升級和(and)更新。

判例内容：主機和(and)網絡層均無任何惡意代碼檢測和(and)措施的(of)，可判定爲(for)高風險。

适用(use)範圍：所有系統。

滿足條件（同時(hour)）：主機層無惡意代碼檢測和(and)措施；網絡層無惡意代碼檢測和(and)措施。

補償措施：如主機層部署惡意代碼檢測和(and)産品，且惡意代碼庫保持更新，可酌情降低風險等級。* 如2級及以(by)下系統，使用(use)Linux、Unix系統，主機和(and)網絡層均未部署惡意代碼檢測和(and)産品，可視總體防禦措施酌情降低風險等級。 對與外網完全物理隔離的(of)系統，其網絡環境、USB介質等管控措施較好，可酌情降低風險等級。

整改建議：建議在(exist)關鍵網絡節點處部署惡意代碼檢測和(and)産品，且與主機層惡意代碼防範産品形成異構模式，有效檢測及**可能出(out)現的(of)惡意代碼攻擊。

安全審計

（1）網絡安全審計措施

對應要(want)求：應在(exist)網絡邊界、重要(want)網絡節點進行安全審計，審計覆蓋到(arrive)每個(indivual)用(use)戶，對重要(want)的(of)用(use)戶行爲(for)和(and)重要(want)安全事件進行審計。

判例内容：在(exist)網絡邊界、重要(want)網絡節點無任何安全審計措施，無法對重要(want)的(of)用(use)戶行爲(for)和(and)重要(want)安全事件進行日志審計，可判定爲(for)高風險。

适用(use)範圍：所有系統。

滿足條件（同時(hour)）：無法對重要(want)的(of)用(use)戶行爲(for)和(and)重要(want)安全事件進行日志審計。

補償措施：無。

整改建議：建議在(exist)網絡邊界、重要(want)網絡節點，對重要(want)的(of)用(use)戶行爲(for)和(and)重要(want)安全事件進行日志審計，便于(At)對相關事件或行爲(for)進行追溯。

文章來(Come)源：大(big)路咨詢