等保2.0 | 网络安全&通信安全高风险项判定

判定依据：网络架构：c)应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；

整改措施：

1、涉及资金类交易的支付类系统与办公网划分不同网段；

2、面向互联网提供服务的系统与内部系统划分不同网段；

3、不同级别的系统划分不同网段。

判定依据：网络架构：d) 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段；

整改措施：系统在互联网出口部署专用的访问控制设备。不同网络区域间应部署访问控制设备，并合理配置访问控制控制策略。访问控制设备如：防火墙等网关层控制设备。

判定依据：通信传输：b)应采用密码技术保证通信过程中敏感信息字段或整个报文的保密性。

整改措施：网络设备开启SSH或HTTPS协议，并通过这些加密方式传输鉴别信息。

判定依据：边界防护：a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；

整改措施：在互联网边界部署访问控制设备，并对通信接口进行控制。部署自有的防火墙或租用有管理权限的防火墙。

判定依据：边界防护：b) 应能够对非授权设备私自联到内部网络的行为进行限制或检查， 并对其进行有效阻断；

整改措施：部署能够对非法内联行为进行检查、定位和阻断的安全准入产品。

判定依据：边界防护：c) 应能够对内部用户非授权联到外部网络的行为进行限制或检查， 并对其进行有效阻断；

整改措施：部署能够对非法外联行为进行检查、定位和阻断的安全管理产品。

判定依据：访问控制：a)应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；

整改措施：在互联网边界部署访问控制设备，并合理设置访问控制策略。

判定依据：入侵防范：a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；

整改措施：建议在关键网络节点部署入侵防御、WAF等对可攻击行为进行检测、阻断或限制的设备，或购买云防等外部抗攻击服务。

判定依据：安全审计：在网络边界、重要网络节点无任何安全审计措施，无法对重要的用户行为和重要安全事件进行日志审计，可判高风险。

整改措施：建议在网络边界、重要网络节点，对重要的用户行为和重要安全事件进行日志审计，便于对相关事件或行为进行追溯

判定依据：安全审计：d)应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求；

整改措施：建议部署日志服务器，统一收集各设备的审计数据，进行集中分析，并根据法律法规的要求留存日志。这也是不得不等在最新的三级整改套餐中将日志审计设为必备设备的原因。没有日志审计的系统均可判为高危风险。至于二级系统也建议大家配置日志审计。

在网络和通信安全中涉及到的安全设备有防火墙、下一代防火墙、网闸、IPS/IDS、WAF、云WAF、安全准入、日志审计等设备。