本指引是依據GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要(yào / yāo)求》有關條款，對(duì)測評過(guò)程中所(suǒ)發(fā／fà)現的安全性問題進行(háng / xíng)風險判斷的指引性文件。指引内容包括對(duì)應要(yào / yāo)求、判例内容、适用(yòng)範圍、補償措施、整改建議等要(yào / yāo)素。

需要(yào / yāo)指出的是，本指引無法涵蓋所(suǒ)有高風險案例，測評機構須根據安全問題所(suǒ)實際面臨的風險做出客觀判斷。

本指引适用(yòng)于(yú)網絡安全等級保護測評活動、安全檢查等工作。信息系統建設單位亦可(kě)參考本指引描述的案例編制系統安全需求。

本次針對(duì)安全區域邊界的高風險進行(háng / xíng)分析。

邊界防護

（1）互聯網邊界訪問控制

對(duì)應要(yào / yāo)求：應保證跨越邊界的訪問和數據流通過(guò)邊界設備提供的受控接口進行(háng / xíng)通信。

判例内容：互聯網出口無任何訪問控制措施，或訪問控制措施配置失效，存在較大安全隐患，可(kě)判定爲高風險。

适用(yòng)範圍：所(suǒ)有系統。

滿足條件（任意條件）：互聯網出口無任何訪問控制措施。互聯網出口訪問控制措施配置不當，存在較大安全隐患。互聯網出口訪問控制措施配置失效，無法起到相關控制功能(néng)。

補償措施：邊界訪問控制設備不一定一定要(yào / yāo)是防火牆，隻要(yào / yāo)是能(néng)實現相關的訪問控制功能(néng)，形态爲專用(yòng)設備，且有相關功能(néng)能(néng)夠提供相應的檢測報告，可(kě)視爲等效措施，判符合。如(rú)通過(guò)路由器、交換機或者帶ACL功能(néng)的負載均衡器等設備實現，可(kě)根據系統重要(yào / yāo)程度，設備性能(néng)壓力等因素，酌情判定風險等級。

整改建議：建議在互聯網出口部署專用(yòng)的訪問控制設備，并合理配置相關控制策略，确保控制措施有效。

（2）網絡訪問控制設備不可(kě)控

對(duì)應要(yào / yāo)求：應保證跨越邊界的訪問和數據流通過(guò)邊界設備提供的受控接口進行(háng / xíng)通信。

判例内容：互聯網邊界訪問控制設備若無管理權限，且未按需要(yào / yāo)提供訪問控制策略，無法根據業務需要(yào / yāo)或所(suǒ)發(fā／fà)生(shēng)的安全事(shì)件及時調整訪問控制策略，可(kě)判定爲高風險。

适用(yòng)範圍：所(suǒ)有系統。

滿足條件（同時）：互聯網邊界訪問控制設備無管理權限；無其(qí)他任何有效訪問控制措施；無法根據業務需要(yào / yāo)或所(suǒ)發(fā／fà)生(shēng)的安全事(shì)件及時調整訪問控制策略。

補償措施：無。

整改建議：建議部署自(zì)有的邊界訪問控制設備或租用(yòng)有管理權限的邊界訪問控制設備，且對(duì)相關設備進行(háng / xíng)合理配置。

（3）違規内聯檢查措施

對(duì)應要(yào / yāo)求：應能(néng)夠對(duì)非授權設備私自(zì)聯到内部網絡的行(háng / xíng)爲進行(háng / xíng)檢查或限制。

判例内容：非授權設備能(néng)夠直接接入重要(yào / yāo)網絡區域，如(rú)服務器區、管理網段等，且無任何告警、限制、阻斷等措施的，可(kě)判定爲高風險。

适用(yòng)範圍：3級及以上系統。

滿足條件（同時）：3級及以上系統；機房、網絡等環境不可(kě)控，存在非授權接入可(kě)能(néng)；可(kě)非授權接入網絡重要(yào / yāo)區域，如(rú)服務器區、管理網段等；無任何控制措施，控制措施包括限制、檢查、阻斷等。

補償措施：如(rú)接入的區域有嚴格的物理訪問控制，采用(yòng)靜态IP地址分配，關閉不必要(yào / yāo)的接入端口，IP-MAC地址綁定等措施的，可(kě)酌情降低風險等級。

整改建議：建議部署能(néng)夠對(duì)違規内聯行(háng / xíng)爲進行(háng / xíng)檢查、定位和阻斷的安全準入産品。

（4）違規外聯檢查措施

對(duì)應要(yào / yāo)求：應能(néng)夠對(duì)内部用(yòng)戶非授權聯到外部網絡的行(háng / xíng)爲進行(háng / xíng)檢查或限制。

判例内容：核心重要(yào / yāo)服務器設備、重要(yào / yāo)核心管理終端，如(rú)無法對(duì)非授權聯到外部網絡的行(háng / xíng)爲進行(háng / xíng)檢查或限制，或内部人員可(kě)旁路、繞過(guò)邊界訪問控制設備私自(zì)外聯互聯網，可(kě)判定爲高風險。

适用(yòng)範圍：3級及以上系統。

滿足條件（同時）：3 級及以上系統；機房、網絡等環境不可(kě)控，存在非授權外聯可(kě)能(néng)；對(duì)于(yú)核心重要(yào / yāo)服務器、重要(yào / yāo)核心管理終端存在私自(zì)外聯互聯網可(kě)能(néng)；無任何控制措施，控制措施包括限制、檢查、阻斷等。

補償措施：如(rú)機房、網絡等環境可(kě)控，非授權外聯可(kě)能(néng)較小，相關設備上的USB接口、無線網卡等有管控措施，對(duì)網絡異常進行(háng / xíng)監控及日志審查，可(kě)酌情降低風險等級。

整改建議：建議部署能(néng)夠對(duì)違規外聯行(háng / xíng)爲進行(háng / xíng)檢查、定位和阻斷的安全管理産品。

（5）無線網絡管控措施

對(duì)應要(yào / yāo)求：應限制無線網絡的使用(yòng)，保證無線網絡通過(guò)受控的邊界設備接入内部網絡。

判例内容：内部核心網絡與無線網絡互聯，且之間無任何管控措施，一旦非授權接入無線網絡即可(kě)訪問内部核心網絡區域，存在較大安全隐患，可(kě)判定爲高風險。

适用(yòng)範圍：3級及以上系統。

滿足條件（同時）：3級及以上系統；内部核心網絡與無線網絡互聯，且不通過(guò)任何受控的邊界設備，或邊界設備控制策略設置不當；非授權接入無線網絡将對(duì)内部核心網絡帶來較大安全隐患。

補償措施：在特殊應用(yòng)場景下(xià)，無線覆蓋區域較小，且嚴格受控，僅有授權人員方可(kě)進入覆蓋區域的，可(kě)酌情降低風險等級；對(duì)無線接入有嚴格的管控及身份認證措施，非授權接入可(kě)能(néng)較小，可(kě)根據管控措施的情況酌情降低風險等級。

整改建議：如(rú)無特殊需要(yào / yāo)，内部核心網絡不應與無線網絡互聯；如(rú)因業務需要(yào / yāo)，則建議加強對(duì)無線網絡設備接入的管控，并通過(guò)邊界設備對(duì)無線網絡的接入設備對(duì)内部核心網絡的訪問進行(háng / xíng)限制，降低攻擊者利用(yòng)無線網絡入侵内部核心網絡。

訪問控制

（1）互聯網邊界訪問控制

對(duì)應要(yào / yāo)求：應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則，默認情況下(xià)除允許通信外受控接口拒絕所(suǒ)有通信。

判例内容：與互聯網互連的系統，邊界處如(rú)無專用(yòng)的訪問控制設備或配置了全通策略，可(kě)判定爲高風險。

适用(yòng)範圍：所(suǒ)有系統。

滿足條件（任意條件）：互聯網出口無任何訪問控制措施。互聯網出口訪問控制措施配置不當，存在較大安全隐患。互聯網出口訪問控制措施配置失效，啓用(yòng)透明模式，無法起到相關控制功能(néng)。

補償措施：邊界訪問控制設備不一定一定要(yào / yāo)是防火牆，隻要(yào / yāo)是能(néng)實現相關的訪問控制功能(néng)，形态爲專用(yòng)設備，且有相關功能(néng)能(néng)夠提供相應的檢測報告，可(kě)視爲等效措施，判符合。如(rú)通過(guò)路由器、交換機或者帶ACL功能(néng)的負載均衡器等設備實現，可(kě)根據系統重要(yào / yāo)程度，設備性能(néng)壓力等因素，酌情判定風險等級。

整改建議：建議在互聯網出口部署專用(yòng)的訪問控制設備，并合理配置相關控制策略，确保控制措施有效。

（2）通信協議轉換及隔離措施

對(duì)應要(yào / yāo)求：應在網絡邊界通過(guò)通信協議轉換或通信協議隔離等方式進行(háng / xíng)數據交換。

判例内容：可(kě)控網絡環境與不可(kě)控網絡環境之間數據傳輸未采用(yòng)通信協議轉換或通信協議隔離等方式進行(háng / xíng)數據轉換，可(kě)判定爲高風險。

适用(yòng)範圍：4級系統。

滿足條件（同時）：4級系統；可(kě)控網絡環境與不可(kě)控網絡環境之間數據傳輸未進行(háng / xíng)數據格式或協議轉化，也未采用(yòng)通訊協議隔離措施。

補償措施：如(rú)通過(guò)相關技術/安全專家(jiā)論證，系統由于(yú)業務場景需要(yào / yāo)，無法通過(guò)通信協議轉換或通信協議隔離等方式進行(háng / xíng)數據轉換的，但有其(qí)他安全保障措施的，可(kě)酌情降低風險等級。

整改建議：建議數據在不同等級網絡邊界之間傳輸時，通過(guò)通信協議轉換或通信協議隔離等方式進行(háng / xíng)數據交換。

入侵防範

（1）外部網絡攻擊防禦

對(duì)應要(yào / yāo)求：應在關鍵網絡節點處檢測、防止或限制從外部發(fā／fà)起的網絡攻擊行(háng / xíng)爲。

判例内容：關鍵網絡節點（如(rú)互聯網邊界處）未采取任何防護措施，無法檢測、阻止或限制互聯網發(fā／fà)起的攻擊行(háng / xíng)爲，可(kě)判定爲高風險。

适用(yòng)範圍：3級及以上系統。

滿足條件（同時）：3級及以上系統；關鍵網絡節點（如(rú)互聯網邊界處）無任何入侵防護手段（如(rú)入侵防禦設備、雲防、WAF等對(duì)外部網絡發(fā／fà)起的攻擊行(háng / xíng)爲進行(háng / xíng)檢測、阻斷或限制）。

補償措施：如(rú)具備入侵檢測能(néng)力（IDS），且監控措施較爲完善，能(néng)夠及時對(duì)入侵行(háng / xíng)爲進行(háng / xíng)幹預的，可(kě)酌情降低風險等級。

整改建議：建議在關鍵網絡節點（如(rú)互聯網邊界處）合理部署可(kě)對(duì)攻擊行(háng / xíng)爲進行(háng / xíng)檢測、阻斷或限制的防護設備（如(rú)抗APT攻擊系統、網絡回溯系統、威脅情報檢測系統、入侵防護系統等），或購買雲防等外部抗攻擊服務。

（2）内部網絡攻擊防禦

對(duì)應要(yào / yāo)求：應在關鍵網絡節點處檢測、防止或限制從内部發(fā／fà)起的網絡攻擊行(háng / xíng)爲。

判例内容：關鍵網絡節點（如(rú)核心服務器區與其(qí)他内部網絡區域邊界處）未采取任何防護措施，無法檢測、阻止或限制從内部發(fā／fà)起的網絡攻擊行(háng / xíng)爲，可(kě)判定爲高風險。

适用(yòng)範圍：3級及以上系統。

滿足條件（同時）：3級及以上系統；關鍵網絡節點（如(rú)核心服務器區與其(qí)他内部網絡區域邊界處）無任何入侵防護手段（如(rú)入侵防禦、防火牆等對(duì)内部網絡發(fā／fà)起的攻擊行(háng / xíng)爲進行(háng / xíng)檢測、阻斷或限制）。

補償措施：如(rú)核心服務器區與其(qí)他内部網絡之間部署了防火牆等訪問控制設備，且訪問控制措施較爲嚴格，發(fā／fà)生(shēng)内部網絡攻擊可(kě)能(néng)性較小或有一定的檢測、防止或限制能(néng)力，可(kě)酌情降低風險等級。

整改建議：建議在關鍵網絡節點處（如(rú)核心服務器區與其(qí)他内部網絡區域邊界處）進行(háng / xíng)嚴格的訪問控制措施，并部署相關的防護設備，檢測、防止或限制從内部發(fā／fà)起的網絡攻擊行(háng / xíng)爲。

惡意代碼和垃圾郵件防範

（1）網絡層惡意代碼防範

對(duì)應要(yào / yāo)求：應在關鍵網絡節點處對(duì)惡意代碼進行(háng / xíng)檢測，并維護惡意代碼防護機制的升級和更新。

判例内容：主機和網絡層均無任何惡意代碼檢測和措施的，可(kě)判定爲高風險。

适用(yòng)範圍：所(suǒ)有系統。

滿足條件（同時）：主機層無惡意代碼檢測和措施；網絡層無惡意代碼檢測和措施。

補償措施：如(rú)主機層部署惡意代碼檢測和産品，且惡意代碼庫保持更新，可(kě)酌情降低風險等級。* 如(rú)2級及以下(xià)系統，使用(yòng)Linux、Unix系統，主機和網絡層均未部署惡意代碼檢測和産品，可(kě)視總體防禦措施酌情降低風險等級。 對(duì)與外網完全物理隔離的系統，其(qí)網絡環境、USB介質等管控措施較好，可(kě)酌情降低風險等級。

整改建議：建議在關鍵網絡節點處部署惡意代碼檢測和産品，且與主機層惡意代碼防範産品形成異構模式，有效檢測及**可(kě)能(néng)出現的惡意代碼攻擊。

安全審計

（1）網絡安全審計措施

對(duì)應要(yào / yāo)求：應在網絡邊界、重要(yào / yāo)網絡節點進行(háng / xíng)安全審計，審計覆蓋到每個用(yòng)戶，對(duì)重要(yào / yāo)的用(yòng)戶行(háng / xíng)爲和重要(yào / yāo)安全事(shì)件進行(háng / xíng)審計。

判例内容：在網絡邊界、重要(yào / yāo)網絡節點無任何安全審計措施，無法對(duì)重要(yào / yāo)的用(yòng)戶行(háng / xíng)爲和重要(yào / yāo)安全事(shì)件進行(háng / xíng)日志審計，可(kě)判定爲高風險。

适用(yòng)範圍：所(suǒ)有系統。

滿足條件（同時）：無法對(duì)重要(yào / yāo)的用(yòng)戶行(háng / xíng)爲和重要(yào / yāo)安全事(shì)件進行(háng / xíng)日志審計。

補償措施：無。

整改建議：建議在網絡邊界、重要(yào / yāo)網絡節點，對(duì)重要(yào / yāo)的用(yòng)戶行(háng / xíng)爲和重要(yào / yāo)安全事(shì)件進行(háng / xíng)日志審計，便于(yú)對(duì)相關事(shì)件或行(háng / xíng)爲進行(háng / xíng)追溯。

文章來源：大路咨詢