如果說網絡安全的攻防對抗是一場持久的戰爭，《網絡安全法》指出了我們的戰略方向，而《等級保護條例》等相關法律法規則是更詳細的戰術布置。等級保護測評的工作專業而繁瑣，這里我們針對等保2．0的要求中，如何判定網絡和通信安全的高風險項進行介紹，希望有所裨益。

案例1

重要區域與非重要網絡在同一子網或網段。

判定依據

網絡架構：應劃分不同的網絡區域，并按照方便管理和控制的原則為各網絡區域分配地址。

整改措施

案例2

1、互聯網出口無任何訪問控制措施。如未部署防火墻、網絡訪問控制設備等，判為高風險；

2、辦公網與生產網之間無訪問控制措施，辦公環境任意網絡接入均可對核心生產服務器和網絡設備進行管理。

判定依據

網絡架構應劃分不同的網絡區域，并按照方便管理和控制的原則為各網絡區域分配地址。

整改措施

案例3

在三級及四級系統中，口令、密鑰等重要敏感信息在網絡中明文傳輸的，可判定為高風險。

判定依據

通信傳輸應采用密碼技術保證通信過程中敏感信息字段或整個報文的保密性。

整改措施

案例4

1、與互聯網互連的系統，邊界處如無專用的訪問控制設備或未對與互聯網通信的接口進行控制；

2、互聯網邊界租用運營商邊界訪問控制設備的，若沒有設備管理權限且未提供具體訪問控制策略，可判高風險。

判定依據

應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信。

整改措施

案例5

在三級及四級系統中，非授權設備能夠直接接入重要網絡區域，如服務器區、管理網段等，且無任何告警、限制、阻斷等措施。

判定依據

應能夠對非授權設備私自聯到內部網絡的行為進行限制或檢查， 并對其進行有效阻斷。

整改措施

案例6

在三級及四級系統中，對于核心重要服務器、重要核心管理終端存在旁路、繞過邊界訪問控制設備私自外聯互聯網的可能且無任何控制措施。

判定依據

邊界防護應能夠對內部用戶非授權聯到外部網絡的行為進行限制或檢查， 并對其進行有效阻斷。

整改措施

案例7

與互聯網互連的系統，邊界處如無專用的訪問控制設備或配置了全通策略。

判定依據

應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外受控接口拒絕所有通信。

整改措施

案例8

在三級及四級系統中，關鍵網絡節點（通常為互聯網邊界處）未采取任何防護措施檢測、阻止或限制互聯網發起的攻擊行為。

判定依據

應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為。

整改措施

案例9

在網絡邊界、重要網絡節點無任何安全審計措施，無法對重要的用戶行為和重要安全事件進行日志審計。

判定依據

在網絡邊界、重要網絡節點無任何安全審計措施，無法對重要的用戶行為和重要安全事件進行日志審計，可判高風險。

整改措施

對于企事業單位而言，滿足等保要求將不僅僅是對信息系統本身可靠性的資質證明，更是符合法律法規的合規要求。