等保2.0标准执行之高风险判定（安全区域边界篇）

在等级保护2.0标准“安全区域边界”层面的核心控制点包括“边界防护”、“访问控制”、“入侵防范”和“安全审计”。其核心防护要求是：
1、网络边界处要有有效、可控的访问控制措施，且控制粒度和力度在等保1.0基础上有所升级；
2、要能判断出3个非法边界（非法接入、非法外联、无线使用）进行有效控制；
3、4级系统要使用协议转换及隔离措施。
4、网络中要能对内、外部网络攻击、恶意代码攻击有发现、分析及防御能力，并按《网络安全法》的要求保留相关网络安全审计日志。
因此，《高风险判定指引》在“安全区域边界”方面围绕以上核心防护要求展开，给出可判“高风险”的一般场景，强化要求的落地实现。

01边界防护

1.1 互联网访问控制

对应要求：应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
判例内容：互联网出口无任何访问控制措施，或访问控制措施配置失效，存在较大安全隐患，可判定为高风险。
适用范围：所有系统。
满足条件（任意条件）：
1、互联网出口无任何访问控制措施。
2、互联网出口访问控制措施配置不当，存在较大安全隐患。
3、互联网出口访问控制措施配置失效，无法起到相关控制功能。
补偿措施：边界访问控制设备不一定要是防火墙，只要是能实现相关的访问控制功能，形态为专用设备，且有相关功能能够提供相应的检测报告，可视为等效措施，判符合。如通过路由器、交换机或者带ACL功能的负载均衡器等设备实现，可根据系统重要程度，设备性能压力等因素，酌情判定风险等级。
整改建议：建议在互联网出口部署专用的访问控制设备，并合理配置相关控制策略，确保控制措施有效。

1.2 网络访问控制设备不可控

对应要求：应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
判例内容：互联网边界访问控制设备若无管理权限，且未按需要提供访问控制策略，无法根据业务需要或所发生的安全事件及时调整访问控制策略，可判定为高风险。
适用范围：所有系统。
满足条件（同时）：
1、互联网边界访问控制设备无管理权限；
2、无其他任何有效访问控制措施；
3、无法根据业务需要或所发生的安全事件及时调