安全通信网络高风险整改建议指南

测试项

测评对象

脆弱点

等保等级

配置建议

应保证网络设备的业务处理能力满足业务高峰期需要。

核心交换机、核心路由器、边界防火墙等网络链路上的关键设备

核心交换机、核心路由器、边界防火墙等网络链路上的关键设备性能无法满足高峰期需求，可能导致服务质量严重下降或中断，例如性能指标平均达到80%以上。

三级以上（包含三级）

更换性能满足业务高峰期需要的网络设备，并合理预估业务增长情况，制定合适的扩容计划。

应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址。

核心交换机、汇聚交换机等

重要网络区域与非重要网络在同一子网或网段，例如承载业务系统的生产网络与员工日常办公网络，面向互联网提供服务的服务器区域与内部网络区域在同一子网或网段等。

二级以上（包含二级）

根据各工作职能、重要性和所涉及信息的重要程度等因素，按照方便管理和控制的原则为网络划分不同区域和分配地址，并做好各区域之间的访问控制措施。

应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

交换机、防火墙、网闸等

1）网络边界访问控制设备无管理权限；

2）未采取其他任何有效的访问控制措施，例如服务器自带防火墙未配置访问控制策略等；

3）无法根据业务需要或所发生的安全事件及时调整访问控制策略。

4）在网络架构上，重要网络区域与其他网络区域之间（包括内部区域边界和外部区域边界）无访问控制设备实施访问控制措施，例如重要网络区域与互联网等外部非安全可控网络边界处、生产网络与员工日常办公网络之间、生产网络与无线网络接入区之间未部署访问控制设备实施访问控制措施等。

二级以上（包含二级）

合理规划网络架构，避免重要网络区域部署在边界处；重要网络区域与其他网络区域边界处，尤其是外部非安全可控网络、内部不同网络区域之间边界处应部署访问控制设备，并合理配置相关控制策略，确保控制措施有效。合理规划网络架构，避免重要网络区域部署在边界处；重要网络区域与其他网络区域边界处，尤其是外部非安全可控网络、内部不同网络区域之间边界处应部署访问控制设备，并合理配置相关控制策略，确保控制措施有效。

应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性。

核心交换机、防火墙、关键链路上的设备

核心通信线路、关键网络设备和关键计算设备无冗余设计，一旦出现线路或设备故障，就可能导致服务中断。

三级以上（包含三级）

关键网络链路、核心网络设备、关键计算设备采用冗余设计和部署，例如采用热备、负载均衡等部署方式，为系统的高可用性提供保障。

应采用校验技术或密码技术保证通信过程中数据的完整性。

应用系统、网络设备、安全设备、服务器、数据库

网络层或应用层无任何重要数据（如交易类数据、操作指令数据等）传输完整性保护措施，一旦数据遭到篡改，将对系统或个人造成重大影响。

三级以上（包含三级）

采用基于SM2和SM3的密码技术的设备或模块为通信过程中数据的完整性提供保障，相关密码技术应符合国家密码管理主管部门的规定。外部访问部通过VPN,内部访问通过ssh\https协议访问。

应采用密码技术保证通信过程中数据的保密性。

应用系统、网络设备、安全设备、服务器、数据库

鉴别信息、个人敏感信息或重要业务敏感信息等以明文方式在不可控网络环境中传输。

三级以上（包含三级）

采用提供密码技术功能的设备或组件（如VPN、加密机、加密模块）对重要敏感数据在传输过程中的保密性提供保障，相关密码技术应符合国家密码管理主管部门的规定。