等级保护制度下,安全测评需要从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理等十个方面,对信息系统进行综合测评。
本篇文章将针对“安全通信网络”的相关要求,对信息系统可能存在的风险项进行分析,并给出整改建议。
一、网络架构
1、网络设备业务处理能力
对可用性要求较高的系统,网络设备的业务处理能力不足,高峰时可能导致设备宕机或服务中断,影响金融秩序或引发群体事件,若无任何技术应对措施,可判定为高风险。
①对应要求:应保证网络设备的业务处理能力满足业务高峰期需要。
②适用范围:对可用性要求较高的3级及以上系统。
③满足条件(同时):
3级及以上系统;
系统可用性要求较高;
核心网络设备性能无法满足高峰期需求,存在业务中断隐患,如业务高峰期,核心设备性能指标平均达到80%以上。
④补偿措施:针对设备宕机或服务中断制定了应急预案并落实执行,可酌情降低风险等级。
⑤整改建议:建议更换性能满足业务高峰期需要的设备,并合理预计业务增长,制定合适的扩容计划。
2、网络区域划分
应按照不同网络的功能、重要程度进行网络区域划分,如存在重要区域与非重要网络在同一子网或网段的,可判定为高风险。
①对应要求:应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。
②适用范围:所有系统。
③满足条件(任意条件):
涉及资金类交易的支付类系统与办公网同一网段;
面向互联网提供服务的系统与内部系统同一网段;
重要核心网络区域与非重要网络在同一网段。
④补偿措施:无。
⑤整改建议:建议根据各工作职能、重要性和所涉及信息的重要程度等因素,划分不同的网络区域,并做好各区域之间的访问控制措施。
3、网络访问控制设备不可控
互联网边界访问控制设备无管理权限,且无其他边界防护措施的,难以保证边界防护的有效性,也无法根据业务需要或所发生的安全事件及时调整访问控制策略,可判定为高风险。
①对应要求:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
②适用范围:所有系统。
③满足条件(同时):
互联网边界访问控制设备无管理权限;
无其他任何有效访问控制措施;
无法根据业务需要或所发生的安全事件及时调整访问控制策略。
④补偿措施:无。
⑤整改建议:建议部署自有的边界访问控制设备或租用有管理权限的边界访问控制设备,且对相关设备进行合理配置。
4、互联网边界访问控制
互联网出口无任何访问控制措施,或访问控制措施配置失效,存在较大安全隐患,可判定为高风险。
①对应要求:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
②适用范围:所有系统。
③满足条件(任意条件):
互联网出口无任何访问控制措施;
互联网出口访问控制措施配置不当,存在较大安全隐患;
互联网出口访问控制措施配置失效,无法起到相关控制功能。
④补偿措施:边界访问控制设备不一定一定要是防火墙,只要是能实现相关的访问控制功能,形态为专用设备,且有相关功能能够提供相应的检测报告,可视为等效措施,判符合。如通过路由器、交换机或者带ACL功能的负载均衡器等设备实现,可根据系统重要程度,设备性能压力等因素,酌情判定风险等级。
⑤整改建议:建议在互联网出口部署专用的访问控制设备,并合理配置相关控制策略,确保控制措施有效。
5、不同区域边界访问控制
办公网与生产网之间无访问控制措施,办公环境任意网络接入均可对核心生产服务器和网络设备进行管理,可判定为高风险。
①对应要求:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
②适用范围:所有系统。
③满足条件(同时):
办公网与生产网之间无访问控制措施;
办公环境任意网络接入均可对核心生产服务器和网络设备进行管理。
④补偿措施:边界访问控制设备不一定一定要是防火墙,只要是能实现相关的访问控制功能,形态为专用设备,且有相关功能能够提供相应的检测报告,可视为等效措施,判符合。如通过路由器、交换机或者带ACL功能的负载均衡器等设备实现,可根据系统重要程度,设备性能压力等因素,酌情判定风险等级。
⑤整改建议:建议不同网络区域间应部署访问控制设备,并合理配置访问控制策略,确保控制措施有效。
6、关键线路 设备冗余
对可用性要求较高的系统,若网络链路为单链路,核心网络节点、核心网络设备或关键计算设备无冗余设计,一旦出现故障,可能导致业务中断,可判定为高风险。
①对应要求:应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
②适用范围:对可用性要求较高的3级及以上系统。
③满足条件(同时):
3级及以上系统;
系统可用性要求较高;
关键链路、核心网络设备或关键计算设备无任何无冗余措施,存在单点故障。
④补偿措施:
如系统采取多数据中心部署,或有应用级灾备环境,能在生产环境出现故障情况下提供服务的,可酌情降低风险等级。
对于系统可用性要求不高的其他3级系统,如无冗余措施,可酌情降低风险等级。
如核心安全设备采用并联方式部署,对安全防护能力有影响,但不会形成单点故障,也不会造成重大安全隐患的,可酌情降低风险等级。
⑤整改建议:建议关键网络链路、核心网络设备、关键计算设备采用冗余设计和部署(如采用热备、负载均衡等部署方式),保证系统的高可用性。
二、通信传输
1、传输完整性保护
对数据传输完整性要求较高的系统,数据在网络层传输无完整性保护措施,一旦数据遭到篡改,可能造成财产损失的,可判定为高风险。
①对应要求:应采用密码技术保证通信过程中数据的完整性。
②适用范围:对数据传输完整性要求较高的3级及以上系统。
③满足条件(同时):
3级及以上系统;
系统数据传输完整性要求较高;
数据在网络层传输无任何完整性保护措施。
④补偿措施:如应用层提供完整性校验等措施,或采用可信网络传输,可酌情降低风险等级。
⑤整改建议:建议采用校验技术或密码技术保证通信过程中数据的完整性。
2、传输保密性保护
口令、密钥等重要敏感信息在网络中明文传输,可判定为高风险。
①对应要求:应采用密码技术保证通信过程中数据的保密性。
②适用范围:3级及以上系统。
③满足条件(同时):
3级及以上系统;
设备、主机、数据库、应用等口令、密钥等重要敏感信息在网络中明文传输;
该网络管控措施不到位,存在口令被窃取并远程登录的风险。
④补偿措施:
如网络接入管控较好且网络环境为内网封闭可控环境,确保密码被窃取难度较大,或使用多因素等措施确保即使密码被窃取也无法进行管理,可酌情降低风险等级。
如业务形态上必须使用远程Internet访问的相关设备,设备采用多因素认证,且严格限制管理地址的,可酌情降低风险等级。
⑤整改建议:
建议相关设备开启SSH或HTTPS协议或创建加密通道,通过这些加密方式传输敏感信息。