等保2.0标准执行之高风险判定

　　在等级保护2.0标准“安全通信网络”中主要包括“通信网络结构”、“通信传输”和“可信验证”三个控制点。其中，通信网络结构的核心要求是：1、网络带宽合适，且核心设备的处理能力要和带宽匹配;2、网络层要划分安全区域，且各区域之间有相应的防护措施;3、整个网络设计要考虑冗余问题。而通信传输的核心要求是：保障数据传输的完整性和保密性。因此，《高风险判定指引》在“安全通信网络”方面围绕以上核心问题展开。

　　此外，笔者在编制过程中，不少测评机构和专家提出：对于互联网边界访问控制设备无管理权限等情况，将难以保证边界防护的有效性;一旦发生安全攻击事件，又不能及时开展应急处置，存在较大安全隐患。《高风险判定指引》对以上意见予以采纳。

　　《网络安全等级保护测评高风险判定指引》——通信网络篇

　　安全通信网络

　　1 网络架构

　　1.1 网络设备业务处理能力

　　对应要求：应保证网络设备的业务处理能力满足业务高峰期需要。

　　判例内容：对可用性要求较高的系统，网络设备的业务处理能力不足，高峰时可能导致设备宕机或服务中断，影响金融秩序或引发群体事件，若无任何技术应对措施，可判定为高风险。

　　适用范围：对可用性要求较高的3级及以上系统。

　　满足条件(同时)：

　　1、3级及以上系统;

　　2、系统可用性要求较高;

　　3、核心网络设备性能无法满足高峰期需求，存在业务中断隐患，如业务高峰期，核心设备性能指标平均达到80%以上。

　　补偿措施：针对设备宕机或服务中断制定了应急预案并落实执行，可酌情降低风险等级。

　　整改建议：建议更换性能满足业务高峰期需要的设备，并合理预计业务增长，制定合适的扩容计划。

　　1.2 网络区域划分

　　对应要求：应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址。

　　判例内容：应按照不同网络的功能、重要程度进行网络区域划分，如存在重要区域与非重要网络在同一子网或网段的，可判定为高风险。

　　适用范围：所有系统。

　　满足条件(任意条件)：

　　1、涉及资金类交易的支付类系统与办公网同一网段;

　　2、面向互联网提供服务的系统与内部系统同一网段;

　　3、重要核心网络区域与非重要网络在同一网段。

　　补偿措施：无。

　　整改建议：建议根据各工作职能、重要性和所涉及信息的重要程度等因素，划分不同的网络区域，并做好各区域之间的访问控制措施。

　　1.3 网络访问控制设备不可控

　　对应要求：应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

　　判例内容：互联网边界访问控制设备无管理权限，且无其他边界防护措施的，难以保证边界防护的有效性，也无法根据业务需要或所发生的安全事件及时调整访问控制策略，可判定为高风险。

　　适用范围：所有系统。

　　满足条件(同时)：

　　1、互联网边界访问控制设备无管理权限;

　　2、无其他任何有效访问控制措施;

　　3、无法根据业务需要或所发生的安全事件及时调整访问控制策略。

　　补偿措施：无。

　　整改建议：建议部署自有的边界访问控制设备或租用有管理权限的边界访问控制设备，且对相关设备进行合理配置。

　　1.4 互联网边界访问控制

　　对应要求：应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

　　判例内容：互联网出口无任何访问控制措施，或访问控制措施配置失效，存在较大安全隐患，可判定为高风险。

　　适用范围：所有系统。

　　满足条件(任意条件)：

　　1、互联网出口无任何访问控制措施。

　　2、互联网出口访问控制措施配置不当，存在较大安全隐患。

　　3、互联网出口访问控制措施配置失效，无法起到相关控制功能。

　　补偿措施：边界访问控制设备不一定一定要是防火墙，只要是能实现相关的访问控制功能，形态为专用设备，且有相关功能能够提供相应的检测报告，可视为等效措施，判符合。如通过路由器、交换机或者带ACL功能的负载均衡器等设备实现，可根据系统重要程度，设备性能压力等因素，酌情判定风险等级。

　　整改建议：建议在互联网出口部署专用的访问控制设备，并合理配置相关控制策略，确保控制措施有效。

　　1.5 不同区域边界访问控制

　　对应要求：应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

　　判例内容：办公网与生产网之间无访问控制措施，办公环境任意网络接入均可对核心生产服务器和网络设备进行管理，可判定为高风险。

　　适用范围：所有系统。

　　满足条件(同时)：

　　1、办公网与生产网之间无访问控制措施;

　　2、办公环境任意网络接入均可对核心生产服务器和网络设备进行管理。

　　补偿措施：边界访问控制设备不一定一定要是防火墙，只要是能实现相关的访问控制功能，形态为专用设备，且有相关功能能够提供相应的检测报告，可视为等效措施，判符合。如通过路由器、交换机或者带ACL功能的负载均衡器等设备实现，可根据系统重要程度，设备性能压力等因素，酌情判定风险等级。

　　整改建议：建议不同网络区域间应部署访问控制设备，并合理配置访问控制策略，确保控制措施有效。

　　1.6 关键线路、设备冗余

　　对应要求：应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性。

　　判例内容：对可用性要求较高的系统，若网络链路为单链路，核心网络节点、核心网络设备或关键计算设备无冗余设计，一旦出现故障，可能导致业务中断，可判定为高风险。

　　适用范围：对可用性要求较高的3级及以上系统。

　　满足条件(同时)：

　　1、3级及以上系统;

　　2、系统可用性要求较高;

　　3、关键链路、核心网络设备或关键计算设备无任何无冗余措施，存在单点故障。

　　补偿措施：

　　1、如系统采取多数据中心部署，或有应用级灾备环境，能在生产环境出现故障情况下提供服务的，可酌情降低风险等级。

　　2、对于系统可用性要求不高的其他3级系统，如无冗余措施，可酌情降低风险等级。

　　3、如核心安全设备采用并联方式部署，对安全防护能力有影响，但不会形成单点故障，也不会造成重大安全隐患的，可酌情降低风险等级。

　　整改建议：建议关键网络链路、核心网络设备、关键计算设备采用冗余设计和部署(如采用热备、负载均衡等部署方式)，保证系统的高可用性。

　　2 通信传输

　　2.1 传输完整性保护

　　对应要求：应采用密码技术保证通信过程中数据的完整性。

　　判例内容：对数据传输完整性要求较高的系统，数据在网络层传输无完整性保护措施，一旦数据遭到篡改，可能造成财产损失的，可判定为高风险。

　　适用范围：对数据传输完整性要求较高的3级及以上系统。

　　满足条件(同时)：

　　1、3级及以上系统;

　　2、系统数据传输完整性要求较高;

　　3、数据在网络层传输无任何完整性保护措施。

　　补偿措施：如应用层提供完整性校验等措施，或采用可信网络传输，可酌情降低风险等级。

　　整改建议：建议采用校验技术或密码技术保证通信过程中数据的完整性。

　　2.2 传输保密性保护

　　对应要求：应采用密码技术保证通信过程中数据的保密性。

　　判例内容：口令、密钥等重要敏感信息在网络中明文传输，可判定为高风险。

　　适用范围：3级及以上系统。

　　满足条件(同时)：

　　1、3级及以上系统;

　　2、设备、主机、数据库、应用等口令、密钥等重要敏感信息在网络中明文传输;

　　3、该网络管控措施不到位，存在口令被窃取并远程登录的风险。

　　补偿措施：

　　1、如网络接入管控较好且网络环境为内网封闭可控环境，确保密码被窃取难度较大，或使用多因素等措施确保即使密码被窃取也无法进行管理，可酌情降低风险等级。

　　2、如业务形态上必须使用远程Internet访问的相关设备，设备采用多因素认证，且严格限制管理地址的，可酌情降低风险等级。

　　整改建议：建议相关设备开启SSH或HTTPS协议或创建加密通道，通过这些加密方式传输敏感信息。

　　附表:

　　注①《网络安全等级保护测评高风险判定指引》由中关村信息安全测评联盟组织，上海市信息安全测评认证中心主笔，杭州安信检测技术有限公司、江苏金盾检测技术有限公司、深圳市网安计算机安全检测技术有限公司、合肥天帷信息安全技术有限公司、山东新潮信息技术有限公司、成都安美勤信息技术股份有限公司、甘肃安信信息安全技术有限公司、江苏骏安信息测评认证有限公司、安徽祥盾信息科技有限公司等机构共同参与。

　　注②适用范围：本指引适用于网络安全等级保护测评活动、安全检查等工作。信息系统建设单位亦可参考本指引描述的案例编制系统安全需求。

　　注③在判定过程中，使用者应知晓《高风险判定指引》是基于“一般场景”假设的编制思路。在具体风险判定中，应根据被测对象的实际情况来综合确定该风险严重程度是否为“高”。如初步符合“适用范围”、“需满足的条件”后，还需根据“补偿措施”所引申的方向思考是否可降低风险严重程度;鼓励根据实际情况对于补偿措施中未涉及但确实能起到降低风险等级的安全措施进行深入分析。

　　(来源于安全测评联盟)