如果说网络安全的攻防对抗是一场持久的战争，《网络安全法》指出了我们的战略方向，而《等级保护条例》等相关法律法规则是更详细的战术布置。等级保护测评的工作专业而繁琐，这里我们针对等保2．0的要求中，如何判定网络和通信安全的高风险项进行介绍，希望有所裨益。

案例1

重要区域与非重要网络在同一子网或网段。

判定依据

网络架构：应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址。

整改措施

案例2

1、互联网出口无任何访问控制措施。如未部署防火墙、网络访问控制设备等，判为高风险；

2、办公网与生产网之间无访问控制措施，办公环境任意网络接入均可对核心生产服务器和网络设备进行管理。

判定依据

网络架构应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址。

整改措施

案例3

在三级及四级系统中，口令、密钥等重要敏感信息在网络中明文传输的，可判定为高风险。

判定依据

通信传输应采用密码技术保证通信过程中敏感信息字段或整个报文的保密性。

整改措施

案例4

1、与互联网互连的系统，边界处如无专用的访问控制设备或未对与互联网通信的接口进行控制；

2、互联网边界租用运营商边界访问控制设备的，若没有设备管理权限且未提供具体访问控制策略，可判高风险。

判定依据

应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。

整改措施

案例5

在三级及四级系统中，非授权设备能够直接接入重要网络区域，如服务器区、管理网段等，且无任何告警、限制、阻断等措施。

判定依据

应能够对非授权设备私自联到内部网络的行为进行限制或检查， 并对其进行有效阻断。

整改措施

案例6

在三级及四级系统中，对于核心重要服务器、重要核心管理终端存在旁路、绕过边界访问控制设备私自外联互联网的可能且无任何控制措施。

判定依据

边界防护应能够对内部用户非授权联到外部网络的行为进行限制或检查， 并对其进行有效阻断。

整改措施

案例7

与互联网互连的系统，边界处如无专用的访问控制设备或配置了全通策略。

判定依据

应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信。

整改措施

案例8

在三级及四级系统中，关键网络节点（通常为互联网边界处）未采取任何防护措施检测、阻止或限制互联网发起的攻击行为。

判定依据

应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。

整改措施

案例9

在网络边界、重要网络节点无任何安全审计措施，无法对重要的用户行为和重要安全事件进行日志审计。

判定依据

在网络边界、重要网络节点无任何安全审计措施，无法对重要的用户行为和重要安全事件进行日志审计，可判高风险。

整改措施

对于企事业单位而言，满足等保要求将不仅仅是对信息系统本身可靠性的资质证明，更是符合法律法规的合规要求。