網(wǎng)絡安全等級保護測評

高風險判定指引

信息安全測評聯(lián)盟

1       適用范圍

本指引是依據(jù)GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》有關(guān)條款，對測評過程中所發(fā)現(xiàn)的安全性問題進行風險判斷的指引性文件。指引內(nèi)容包括對應要求、判例內(nèi)容、適用范圍、補償措施、整改建議等要素。

需要指出的是，本指引無法涵蓋所有高風險案例，測評機構(gòu)須根據(jù)安全問題所實際面臨的風險做出客觀判斷。

本指引適用于網(wǎng)絡安全等級保護測評活動、安全檢查等工作。信息系統(tǒng)建設單位亦可參考本指引描述的案例編制系統(tǒng)安全需求。

2       術(shù)語和定義

1、  可用性要求較高的系統(tǒng)

指出現(xiàn)短時故障無法提供服務，可能對社會秩序、公共利益等造成嚴重損害的系統(tǒng)，即可用性級別大于等于99.9%，年度停機時間小于等于8.8小時的系統(tǒng)；一般包括但不限于銀行、證券、非金融支付機構(gòu)、互聯(lián)網(wǎng)金融等交易類系統(tǒng)，提供公共服務的民生類系統(tǒng)、工業(yè)控制類系統(tǒng)等。

2、  核心網(wǎng)絡設備

指部署在核心網(wǎng)絡節(jié)點的關(guān)鍵設備，一般包括但不限于核心交換機、核心路由器、核心邊界防火墻等。

3、  數(shù)據(jù)傳輸完整性要求較高的系統(tǒng)

指數(shù)據(jù)在傳輸過程中遭受惡意破壞或篡改，可能造成較大的財產(chǎn)損失，或造成嚴重破壞的系統(tǒng)，一般包括但不限于銀行、證券、非金融支付機構(gòu)、互聯(lián)網(wǎng)金融等交易類系統(tǒng)等。

4、 不可控網(wǎng)絡環(huán)境

指互聯(lián)網(wǎng)、公共網(wǎng)絡環(huán)境、內(nèi)部辦公環(huán)境等無管控措施，可能存在惡意攻擊、數(shù)據(jù)竊聽等安全隱患的網(wǎng)絡環(huán)境。

5、 可被利用的漏洞

指可被攻擊者用來進行網(wǎng)絡攻擊，可造成嚴重后果的漏洞，一般包括但不限于緩沖區(qū)溢出、提權(quán)漏洞、遠程代碼執(zhí)行、嚴重邏輯缺陷、敏感數(shù)據(jù)泄露等。

3       參考依據(jù)

GB/T 22239-2019 信息安全技術(shù)網(wǎng)絡安全等級保護基本要求

GB/T 28448-2019 信息安全技術(shù)網(wǎng)絡安全等級保護測評要求

GB/T 25069-2010 信息安全技術(shù)術(shù)語

4       安全物理環(huán)境

4.1物理訪問控制

4.1.1  機房出入口控制措施

對應要求：機房出入口應配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。

判例內(nèi)容：機房出入口區(qū)域無任何訪問控制措施，機房無電子或機械門鎖，機房入口也無專人值守；辦公或外來人員可隨意進出機房，無任何管控、監(jiān)控措施，存在較大安全隱患，可判高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：

1、機房出入口區(qū)域無任何訪問控制措施；

2、機房無電子或機械門鎖，機房入口也無專人值守；

3、辦公或外來人員可隨意進出機房，無任何管控、監(jiān)控措施。

補償措施：如機房無電子門禁系統(tǒng)，但有其他防護措施，如機房出入配備24小時專人值守，采用攝像頭實時監(jiān)控等，可酌情降低風險等級。

整改建議：機房出入口配備電子門禁系統(tǒng)，通過電子門禁鑒別、記錄進入的人員信息。

4.2防盜竊和防破壞

4.2.1  機房防盜措施

對應要求：應設置機房防盜報警系統(tǒng)或設置有專人值守的視頻監(jiān)控系統(tǒng)。

判例內(nèi)容：機房無防盜報警系統(tǒng)，也未設置有專人值守的視頻監(jiān)控系統(tǒng)，出現(xiàn)盜竊事件無法進行告警、追溯的，可判高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)所在機房；

2、機房無防盜報警系統(tǒng)；

3、未設置有專人值守的視頻監(jiān)控系統(tǒng)；

4、機房環(huán)境不可控；

5、如發(fā)生盜竊事件無法進行告警、追溯。

補償措施：如果機房有專人24小時值守，并且能對進出人員進出物品進行登記的（如部分IDC機房有要求設備進出需單登記），可酌情降低風險等級。

整改建議：建議機房部署防盜報警系統(tǒng)或設置有專人值守的視頻監(jiān)控系統(tǒng)，如發(fā)生盜竊事件可及時告警或進行追溯，確保機房環(huán)境的安全可控。

4.3防火

4.3.1  機房防火措施

對應要求：機房應設置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火。

判例內(nèi)容：機房內(nèi)無防火措施（既無自動滅火，也無手持滅火器/或手持滅火器藥劑已過期），一旦發(fā)生火情，無任何消防處置措施，可判高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：

機房內(nèi)無任何防火措施（既無自動滅火，也無手持滅火器/或手持滅火器藥劑已過期）。

補償措施：無。

整改建議：建議機房設置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火，相關(guān)消防設備如滅火器等應定級檢查，確保防火措施有效。

4.4溫濕度控制

4.4.1  機房溫濕度控制措施

對應要求：應設置溫濕度自動調(diào)節(jié)設施，使機房溫濕度的變化在設備運行所允許的范圍之內(nèi)。

判例內(nèi)容：機房無有效的溫濕度控制措施，或溫濕度長期高于或低于設備允許的溫濕度范圍，可能加速設備損害，提高設備的故障率，對設備的正常運行帶來安全隱患，可判高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：

1、機房無溫濕度調(diào)節(jié)措施；

2、機房溫濕度長期處于設備運運行的范圍之外。

補償措施：對于一些特殊自然條件或特殊用途的系統(tǒng)，可酌情降低風險等級。

整改建議：建議機房設置溫、濕度自動調(diào)節(jié)設備，確保機房溫、濕度的變化在設備運行所允許的范圍之內(nèi)。

4.5電力供應

4.5.1  機房短期的備用電力供應措施

對應要求：應提供短期的備用電力供應，至少滿足設備在斷電情況下的正常運行要求。

判例內(nèi)容：對于可用性要求較高的系統(tǒng)，如銀行、證券等交易類系統(tǒng)，提供公共服務的民生類系統(tǒng)、工控類系統(tǒng)等，機房未配備短期備用電力供應設備（如UPS）或配備的設備無法在短時間內(nèi)滿足斷電情況下的正常運行要求的，可判高風險。

適用范圍：對可用性要求較高的3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、系統(tǒng)可用性要求較高；

3、無法提供短期備用電力供應或備用電力供應無法滿足系統(tǒng)短期正常運行。

補償措施：如機房配備多路供電，且供電方同時斷電概率較低的情況下，可酌情降低風險等級。

整改建議：建議配備容量合理的后備電源，并定期對UPS進行巡檢，確保在在外部電力供應中斷的情況下，備用供電設備能滿足系統(tǒng)短期正常運行。

4.5.2  機房電力線路冗余措施

對應要求：應設置冗余或并行的電力電纜線路為計算機系統(tǒng)供電。

判例內(nèi)容：機房未配備冗余或并行電力線路供電來自于同一變電站，可判高風險。

適用范圍：對可用性要求較高的3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、系統(tǒng)可用性要求較高；

3、機房未配備冗余或并行電力線路供電來自于同一變電站。

補償措施：如機房配備大容量UPS，且足夠保障斷電情況下，一定時間內(nèi)系統(tǒng)可正常運行或保障數(shù)據(jù)存儲完整的，可酌情降低風險等級。

整改建議：建議配備冗余或并行的電力線路，電力線路應來自于不同的變電站；對于可用性要求較高的系統(tǒng)（4級系統(tǒng)），建議變電站來自于不同的市電。

4.5.3  機房應急供電措施

對應要求：應提供應急供電設施。

判例內(nèi)容：系統(tǒng)所在的機房必須配備應急供電措施，如未配備，或應急供電措施無法使用，可判高風險。

適用范圍：4級系統(tǒng)。

滿足條件（同時）：

1、4級系統(tǒng)；

2、機房未配備應急供電措施，或應急供電措施不可用/無法滿足系統(tǒng)正常允許需求。

補償措施：如果系統(tǒng)采用多數(shù)據(jù)中心方式部署，且通過技術(shù)手段能夠?qū)崿F(xiàn)應用級災備，一定程度上可降低單一機房發(fā)生故障所帶來的可用性方面影響，可酌情降低風險等級。

整改建議：建議配備應急供電設施，如備用發(fā)電設備。

4.6電磁防護

4.6.1  機房電磁防護措施

對應要求：應對關(guān)鍵設備或關(guān)鍵區(qū)域?qū)嵤╇姶牌帘巍?/span>

判例內(nèi)容：對于涉及大量核心數(shù)據(jù)的系統(tǒng)，如機房或關(guān)鍵設備所在的機柜未采取電磁屏蔽措施，可判高風險。

適用范圍：對于數(shù)據(jù)防泄漏要求較高的4級系統(tǒng)。

滿足條件（同時）：

1、4級系統(tǒng)；

2、系統(tǒng)存儲數(shù)據(jù)敏感性較高，有較高的保密性需求；

3、機房環(huán)境復雜，有電磁泄露的風險。

補償措施：如該4級系統(tǒng)涉及的信息對保密性要求不高，或者機房環(huán)境相對可控，可酌情降低風險等級。

整改建議：建議機房或重要設備或重要設備所在的機柜采用電磁屏蔽技術(shù)，且相關(guān)產(chǎn)品或技術(shù)獲得相關(guān)檢測認證資質(zhì)的證明。

5      安全通信網(wǎng)絡

5.1網(wǎng)絡架構(gòu)

5.1.1  網(wǎng)絡設備業(yè)務處理能力

對應要求：應保證網(wǎng)絡設備的業(yè)務處理能力滿足業(yè)務高峰期需要。

判例內(nèi)容：對可用性要求較高的系統(tǒng)，網(wǎng)絡設備的業(yè)務處理能力不足，高峰時可能導致設備宕機或服務中斷，影響金融秩序或引發(fā)群體事件，若無任何技術(shù)應對措施，可判定為高風險。

適用范圍：對可用性要求較高的3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、系統(tǒng)可用性要求較高；

3、核心網(wǎng)絡設備性能無法滿足高峰期需求，存在業(yè)務中斷隱患，如業(yè)務高峰期，核心設備性能指標平均達到80%以上。

補償措施：針對設備宕機或服務中斷制定了應急預案并落實執(zhí)行，可酌情降低風險等級。

整改建議：建議更換性能滿足業(yè)務高峰期需要的設備，并合理預計業(yè)務增長，制定合適的擴容計劃。

5.1.2  網(wǎng)絡區(qū)域劃分

對應要求：應劃分不同的網(wǎng)絡區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡區(qū)域分配地址。

判例內(nèi)容：應按照不同網(wǎng)絡的功能、重要程度進行網(wǎng)絡區(qū)域劃分，如存在重要區(qū)域與非重要網(wǎng)絡在同一子網(wǎng)或網(wǎng)段的，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（任意條件）：

1、涉及資金類交易的支付類系統(tǒng)與辦公網(wǎng)同一網(wǎng)段；

2、面向互聯(lián)網(wǎng)提供服務的系統(tǒng)與內(nèi)部系統(tǒng)同一網(wǎng)段；

3、重要核心網(wǎng)絡區(qū)域與非重要網(wǎng)絡在同一網(wǎng)段。

補償措施：無。

整改建議：建議根據(jù)各工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的網(wǎng)絡區(qū)域，并做好各區(qū)域之間的訪問控制措施。

5.1.3  網(wǎng)絡訪問控制設備不可控

對應要求：應避免將重要網(wǎng)絡區(qū)域部署在邊界處，重要網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域之間應采取可靠的技術(shù)隔離手段。

判例內(nèi)容：互聯(lián)網(wǎng)邊界訪問控制設備無管理權(quán)限，且無其他邊界防護措施的，難以保證邊界防護的有效性，也無法根據(jù)業(yè)務需要或所發(fā)生的安全事件及時調(diào)整訪問控制策略，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：

1、互聯(lián)網(wǎng)邊界訪問控制設備無管理權(quán)限；

2、無其他任何有效訪問控制措施；

3、無法根據(jù)業(yè)務需要或所發(fā)生的安全事件及時調(diào)整訪問控制策略。

補償措施：無。

整改建議：建議部署自有的邊界訪問控制設備或租用有管理權(quán)限的邊界訪問控制設備，且對相關(guān)設備進行合理配置。

5.1.4  互聯(lián)網(wǎng)邊界訪問控制

對應要求：應避免將重要網(wǎng)絡區(qū)域部署在邊界處，重要網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域之間應采取可靠的技術(shù)隔離手段。

判例內(nèi)容：互聯(lián)網(wǎng)出口無任何訪問控制措施，或訪問控制措施配置失效，存在較大安全隱患，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（任意條件）：

1、互聯(lián)網(wǎng)出口無任何訪問控制措施。

2、互聯(lián)網(wǎng)出口訪問控制措施配置不當，存在較大安全隱患。

3、互聯(lián)網(wǎng)出口訪問控制措施配置失效，無法起到相關(guān)控制功能。

補償措施：邊界訪問控制設備不一定一定要是防火墻，只要是能實現(xiàn)相關(guān)的訪問控制功能，形態(tài)為專用設備，且有相關(guān)功能能夠提供相應的檢測報告，可視為等效措施，判符合。如通過路由器、交換機或者帶ACL功能的負載均衡器等設備實現(xiàn)，可根據(jù)系統(tǒng)重要程度，設備性能壓力等因素，酌情判定風險等級。

整改建議：建議在互聯(lián)網(wǎng)出口部署專用的訪問控制設備，并合理配置相關(guān)控制策略，確保控制措施有效。

5.1.5  不同區(qū)域邊界訪問控制

對應要求：應避免將重要網(wǎng)絡區(qū)域部署在邊界處，重要網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域之間應采取可靠的技術(shù)隔離手段。

判例內(nèi)容：辦公網(wǎng)與生產(chǎn)網(wǎng)之間無訪問控制措施，辦公環(huán)境任意網(wǎng)絡接入均可對核心生產(chǎn)服務器和網(wǎng)絡設備進行管理，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：

1、辦公網(wǎng)與生產(chǎn)網(wǎng)之間無訪問控制措施；

2、辦公環(huán)境任意網(wǎng)絡接入均可對核心生產(chǎn)服務器和網(wǎng)絡設備進行管理。

補償措施：邊界訪問控制設備不一定一定要是防火墻，只要是能實現(xiàn)相關(guān)的訪問控制功能，形態(tài)為專用設備，且有相關(guān)功能能夠提供相應的檢測報告，可視為等效措施，判符合。如通過路由器、交換機或者帶ACL功能的負載均衡器等設備實現(xiàn)，可根據(jù)系統(tǒng)重要程度，設備性能壓力等因素，酌情判定風險等級。

整改建議：建議不同網(wǎng)絡區(qū)域間應部署訪問控制設備，并合理配置訪問控制策略，確?？刂拼胧┯行А?/span>

5.1.6  關(guān)鍵線路、設備冗余

對應要求：應提供通信線路、關(guān)鍵網(wǎng)絡設備和關(guān)鍵計算設備的硬件冗余，保證系統(tǒng)的可用性。

判例內(nèi)容：對可用性要求較高的系統(tǒng)，若網(wǎng)絡鏈路為單鏈路，核心網(wǎng)絡節(jié)點、核心網(wǎng)絡設備或關(guān)鍵計算設備無冗余設計，一旦出現(xiàn)故障，可能導致業(yè)務中斷，可判定為高風險。

適用范圍：對可用性要求較高的3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、系統(tǒng)可用性要求較高；

3、關(guān)鍵鏈路、核心網(wǎng)絡設備或關(guān)鍵計算設備無任何無冗余措施，存在單點故障。

補償措施：

1、如系統(tǒng)采取多數(shù)據(jù)中心部署，或有應用級災備環(huán)境，能在生產(chǎn)環(huán)境出現(xiàn)故障情況下提供服務的，可酌情降低風險等級。

2、對于系統(tǒng)可用性要求不高的其他3級系統(tǒng)，如無冗余措施，可酌情降低風險等級。

3、如核心安全設備采用并聯(lián)方式部署，對安全防護能力有影響，但不會形成單點故障，也不會造成重大安全隱患的，可酌情降低風險等級。

整改建議：建議關(guān)鍵網(wǎng)絡鏈路、核心網(wǎng)絡設備、關(guān)鍵計算設備采用冗余設計和部署（如采用熱備、負載均衡等部署方式），保證系統(tǒng)的高可用性。

5.2通信傳輸

5.2.1  傳輸完整性保護

對應要求：應采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。

判例內(nèi)容：對數(shù)據(jù)傳輸完整性要求較高的系統(tǒng)，數(shù)據(jù)在網(wǎng)絡層傳輸無完整性保護措施，一旦數(shù)據(jù)遭到篡改，可能造成財產(chǎn)損失的，可判定為高風險。

適用范圍：對數(shù)據(jù)傳輸完整性要求較高的3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、系統(tǒng)數(shù)據(jù)傳輸完整性要求較高；

3、數(shù)據(jù)在網(wǎng)絡層傳輸無任何完整性保護措施。

補償措施：如應用層提供完整性校驗等措施，或采用可信網(wǎng)絡傳輸，可酌情降低風險等級。

整改建議：建議采用校驗技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。

5.2.2  傳輸保密性保護

對應要求：應采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性。

判例內(nèi)容：口令、密鑰等重要敏感信息在網(wǎng)絡中明文傳輸，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、設備、主機、數(shù)據(jù)庫、應用等口令、密鑰等重要敏感信息在網(wǎng)絡中明文傳輸；

3、該網(wǎng)絡管控措施不到位，存在口令被竊取并遠程登錄的風險。

補償措施：

1、如網(wǎng)絡接入管控較好且網(wǎng)絡環(huán)境為內(nèi)網(wǎng)封閉可控環(huán)境，確保密碼被竊取難度較大，或使用多因素等措施確保即使密碼被竊取也無法進行管理，可酌情降低風險等級。

2、如業(yè)務形態(tài)上必須使用遠程Internet訪問的相關(guān)設備，設備采用多因素認證，且嚴格限制管理地址的，可酌情降低風險等級。

整改建議：建議相關(guān)設備開啟SSH或HTTPS協(xié)議或創(chuàng)建加密通道，通過這些加密方式傳輸敏感信息。

6      安全區(qū)域邊界

6.1邊界防護

6.1.1  互聯(lián)網(wǎng)邊界訪問控制

對應要求：應保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設備提供的受控接口進行通信。

判例內(nèi)容：互聯(lián)網(wǎng)出口無任何訪問控制措施，或訪問控制措施配置失效，存在較大安全隱患，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（任意條件）：

1、互聯(lián)網(wǎng)出口無任何訪問控制措施。

2、互聯(lián)網(wǎng)出口訪問控制措施配置不當，存在較大安全隱患。

3、互聯(lián)網(wǎng)出口訪問控制措施配置失效，無法起到相關(guān)控制功能。

補償措施：邊界訪問控制設備不一定一定要是防火墻，只要是能實現(xiàn)相關(guān)的訪問控制功能，形態(tài)為專用設備，且有相關(guān)功能能夠提供相應的檢測報告，可視為等效措施，判符合。如通過路由器、交換機或者帶ACL功能的負載均衡器等設備實現(xiàn)，可根據(jù)系統(tǒng)重要程度，設備性能壓力等因素，酌情判定風險等級。

整改建議：建議在互聯(lián)網(wǎng)出口部署專用的訪問控制設備，并合理配置相關(guān)控制策略，確?？刂拼胧┯行А?/span>

6.1.2  網(wǎng)絡訪問控制設備不可控

對應要求：應保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設備提供的受控接口進行通信。

判例內(nèi)容：互聯(lián)網(wǎng)邊界訪問控制設備若無管理權(quán)限，且未按需要提供訪問控制策略，無法根據(jù)業(yè)務需要或所發(fā)生的安全事件及時調(diào)整訪問控制策略，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：

1、互聯(lián)網(wǎng)邊界訪問控制設備無管理權(quán)限；

2、無其他任何有效訪問控制措施；

3、無法根據(jù)業(yè)務需要或所發(fā)生的安全事件及時調(diào)整訪問控制策略。

補償措施：無。

整改建議：建議部署自有的邊界訪問控制設備或租用有管理權(quán)限的邊界訪問控制設備，且對相關(guān)設備進行合理配置。

6.1.3  違規(guī)內(nèi)聯(lián)檢查措施

對應要求：應能夠?qū)Ψ鞘跈?quán)設備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查或限制。

判例內(nèi)容：非授權(quán)設備能夠直接接入重要網(wǎng)絡區(qū)域，如服務器區(qū)、管理網(wǎng)段等，且無任何告警、限制、阻斷等措施的，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、機房、網(wǎng)絡等環(huán)境不可控，存在非授權(quán)接入可能；

3、可非授權(quán)接入網(wǎng)絡重要區(qū)域，如服務器區(qū)、管理網(wǎng)段等；

4、無任何控制措施，控制措施包括限制、檢查、阻斷等。

補償措施：如接入的區(qū)域有嚴格的物理訪問控制，采用靜態(tài)IP地址分配，關(guān)閉不必要的接入端口，IP-MAC地址綁定等措施的，可酌情降低風險等級。

整改建議：建議部署能夠?qū)`規(guī)內(nèi)聯(lián)行為進行檢查、定位和阻斷的安全準入產(chǎn)品。

6.1.4  違規(guī)外聯(lián)檢查措施

對應要求：應能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡的行為進行檢查或限制。

判例內(nèi)容：核心重要服務器設備、重要核心管理終端，如無法對非授權(quán)聯(lián)到外部網(wǎng)絡的行為進行檢查或限制，或內(nèi)部人員可旁路、繞過邊界訪問控制設備私自外聯(lián)互聯(lián)網(wǎng)，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、機房、網(wǎng)絡等環(huán)境不可控，存在非授權(quán)外聯(lián)可能；

3、對于核心重要服務器、重要核心管理終端存在私自外聯(lián)互聯(lián)網(wǎng)可能；

4、無任何控制措施，控制措施包括限制、檢查、阻斷等。

補償措施：如機房、網(wǎng)絡等環(huán)境可控，非授權(quán)外聯(lián)可能較小，相關(guān)設備上的USB接口、無線網(wǎng)卡等有管控措施，對網(wǎng)絡異常進行監(jiān)控及日志審查，可酌情降低風險等級。

整改建議：建議部署能夠?qū)`規(guī)外聯(lián)行為進行檢查、定位和阻斷的安全管理產(chǎn)品。

6.1.5  無線網(wǎng)絡管控措施

對應要求：應限制無線網(wǎng)絡的使用，保證無線網(wǎng)絡通過受控的邊界設備接入內(nèi)部網(wǎng)絡。

判例內(nèi)容：內(nèi)部核心網(wǎng)絡與無線網(wǎng)絡互聯(lián)，且之間無任何管控措施，一旦非授權(quán)接入無線網(wǎng)絡即可訪問內(nèi)部核心網(wǎng)絡區(qū)域，存在較大安全隱患，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、內(nèi)部核心網(wǎng)絡與無線網(wǎng)絡互聯(lián)，且不通過任何受控的邊界設備，或邊界設備控制策略設置不當；

3、非授權(quán)接入無線網(wǎng)絡將對內(nèi)部核心網(wǎng)絡帶來較大安全隱患。

補償措施：

1、在特殊應用場景下，無線覆蓋區(qū)域較小，且嚴格受控，僅有授權(quán)人員方可進入覆蓋區(qū)域的，可酌情降低風險等級；

2、對無線接入有嚴格的管控及身份認證措施，非授權(quán)接入可能較小，可根據(jù)管控措施的情況酌情降低風險等級。

整改建議：如無特殊需要，內(nèi)部核心網(wǎng)絡不應與無線網(wǎng)絡互聯(lián)；如因業(yè)務需要，則建議加強對無線網(wǎng)絡設備接入的管控，并通過邊界設備對無線網(wǎng)絡的接入設備對內(nèi)部核心網(wǎng)絡的訪問進行限制，降低攻擊者利用無線網(wǎng)絡入侵內(nèi)部核心網(wǎng)絡。

6.2訪問控制

6.2.1  互聯(lián)網(wǎng)邊界訪問控制

對應要求：應在網(wǎng)絡邊界或區(qū)域之間根據(jù)訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信。

判例內(nèi)容：與互聯(lián)網(wǎng)互連的系統(tǒng)，邊界處如無專用的訪問控制設備或配置了全通策略，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（任意條件）：

1、互聯(lián)網(wǎng)出口無任何訪問控制措施。

2、互聯(lián)網(wǎng)出口訪問控制措施配置不當，存在較大安全隱患。

3、互聯(lián)網(wǎng)出口訪問控制措施配置失效，啟用透明模式，無法起到相關(guān)控制功能。

補償措施：邊界訪問控制設備不一定一定要是防火墻，只要是能實現(xiàn)相關(guān)的訪問控制功能，形態(tài)為專用設備，且有相關(guān)功能能夠提供相應的檢測報告，可視為等效措施，判符合。如通過路由器、交換機或者帶ACL功能的負載均衡器等設備實現(xiàn)，可根據(jù)系統(tǒng)重要程度，設備性能壓力等因素，酌情判定風險等級。

整改建議：建議在互聯(lián)網(wǎng)出口部署專用的訪問控制設備，并合理配置相關(guān)控制策略，確保控制措施有效。

6.2.2  通信協(xié)議轉(zhuǎn)換及隔離措施

對應要求：應在網(wǎng)絡邊界通過通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等方式進行數(shù)據(jù)交換。

判例內(nèi)容：可控網(wǎng)絡環(huán)境與不可控網(wǎng)絡環(huán)境之間數(shù)據(jù)傳輸未采用通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等方式進行數(shù)據(jù)轉(zhuǎn)換，可判定為高風險。

適用范圍：4級系統(tǒng)。

滿足條件（同時）：

1、4級系統(tǒng)；

2、可控網(wǎng)絡環(huán)境與不可控網(wǎng)絡環(huán)境之間數(shù)據(jù)傳輸未進行數(shù)據(jù)格式或協(xié)議轉(zhuǎn)化，也未采用通訊協(xié)議隔離措施。

補償措施：如通過相關(guān)技術(shù)/安全專家論證，系統(tǒng)由于業(yè)務場景需要，無法通過通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等方式進行數(shù)據(jù)轉(zhuǎn)換的，但有其他安全保障措施的，可酌情降低風險等級。

整改建議：建議數(shù)據(jù)在不同等級網(wǎng)絡邊界之間傳輸時，通過通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等方式進行數(shù)據(jù)交換。

6.3入侵防范

6.3.1  外部網(wǎng)絡攻擊防御

對應要求：應在關(guān)鍵網(wǎng)絡節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡攻擊行為。

判例內(nèi)容：關(guān)鍵網(wǎng)絡節(jié)點（如互聯(lián)網(wǎng)邊界處）未采取任何防護措施，無法檢測、阻止或限制互聯(lián)網(wǎng)發(fā)起的攻擊行為，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、關(guān)鍵網(wǎng)絡節(jié)點（如互聯(lián)網(wǎng)邊界處）無任何入侵防護手段（如入侵防御設備、云防、WAF等對外部網(wǎng)絡發(fā)起的攻擊行為進行檢測、阻斷或限制）。

補償措施：如具備入侵檢測能力（IDS），且監(jiān)控措施較為完善，能夠及時對入侵行為進行干預的，可酌情降低風險等級。

整改建議：建議在關(guān)鍵網(wǎng)絡節(jié)點（如互聯(lián)網(wǎng)邊界處）合理部署可對攻擊行為進行檢測、阻斷或限制的防護設備（如抗APT攻擊系統(tǒng)、網(wǎng)絡回溯系統(tǒng)、威脅情報檢測系統(tǒng)、入侵防護系統(tǒng)等），或購買云防等外部抗攻擊服務。

6.3.2  內(nèi)部網(wǎng)絡攻擊防御

對應要求：應在關(guān)鍵網(wǎng)絡節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡攻擊行為。

判例內(nèi)容：關(guān)鍵網(wǎng)絡節(jié)點（如核心服務器區(qū)與其他內(nèi)部網(wǎng)絡區(qū)域邊界處）未采取任何防護措施，無法檢測、阻止或限制從內(nèi)部發(fā)起的網(wǎng)絡攻擊行為，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、關(guān)鍵網(wǎng)絡節(jié)點（如核心服務器區(qū)與其他內(nèi)部網(wǎng)絡區(qū)域邊界處）無任何入侵防護手段（如入侵防御、防火墻等對內(nèi)部網(wǎng)絡發(fā)起的攻擊行為進行檢測、阻斷或限制）。

補償措施：如核心服務器區(qū)與其他內(nèi)部網(wǎng)絡之間部署了防火墻等訪問控制設備，且訪問控制措施較為嚴格，發(fā)生內(nèi)部網(wǎng)絡攻擊可能性較小或有一定的檢測、防止或限制能力，可酌情降低風險等級。

整改建議：建議在關(guān)鍵網(wǎng)絡節(jié)點處（如核心服務器區(qū)與其他內(nèi)部網(wǎng)絡區(qū)域邊界處）進行嚴格的訪問控制措施，并部署相關(guān)的防護設備，檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡攻擊行為。

6.4惡意代碼和垃圾郵件防范

6.4.1  網(wǎng)絡層惡意代碼防范

對應要求：應在關(guān)鍵網(wǎng)絡節(jié)點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的升級和更新。

判例內(nèi)容：主機和網(wǎng)絡層均無任何惡意代碼檢測和清除措施的，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：

1、主機層無惡意代碼檢測和清除措施；

2、網(wǎng)絡層無惡意代碼檢測和清除措施。

補償措施：

1、如主機層部署惡意代碼檢測和清除產(chǎn)品，且惡意代碼庫保持更新，可酌情降低風險等級。

2、如2級及以下系統(tǒng)，使用Linux、Unix系統(tǒng)，主機和網(wǎng)絡層均未部署惡意代碼檢測和清除產(chǎn)品，可視總體防御措施酌情降低風險等級。

3、對與外網(wǎng)完全物理隔離的系統(tǒng)，其網(wǎng)絡環(huán)境、USB介質(zhì)等管控措施較好，可酌情降低風險等級。

整改建議：建議在關(guān)鍵網(wǎng)絡節(jié)點處部署惡意代碼檢測和清除產(chǎn)品，且與主機層惡意代碼防范產(chǎn)品形成異構(gòu)模式，有效檢測及清除可能出現(xiàn)的惡意代碼攻擊。

6.5安全審計

6.5.1  網(wǎng)絡安全審計措施

對應要求：應在網(wǎng)絡邊界、重要網(wǎng)絡節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。

判例內(nèi)容：在網(wǎng)絡邊界、重要網(wǎng)絡節(jié)點無任何安全審計措施，無法對重要的用戶行為和重要安全事件進行日志審計，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：

1、無法對重要的用戶行為和重要安全事件進行日志審計。

補償措施：無。

整改建議：建議在網(wǎng)絡邊界、重要網(wǎng)絡節(jié)點，對重要的用戶行為和重要安全事件進行日志審計，便于對相關(guān)事件或行為進行追溯。

7      安全計算環(huán)境

7.1網(wǎng)絡設備、安全設備、主機設備等

7.1.1  身份鑒別

7.1.1.1 設備弱口令

對應要求：應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換。

判例內(nèi)容：網(wǎng)絡設備、安全設備、操作系統(tǒng)、數(shù)據(jù)庫等存在空口令或弱口令帳戶，并可通過該弱口令帳戶登錄，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：

1、存在空口令或弱口令帳戶；

2、可使用該弱口令帳戶登錄。

補償措施：

1、如采用雙因素認證等管控手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關(guān)設備，可酌情降低風險等級。

2、如測評對象重要性較低，不會對整個信息系統(tǒng)安全性產(chǎn)生任何影響，可酌情降低風險等級。

整改建議：建議刪除或重命名默認賬戶，制定相關(guān)管理制度，規(guī)范口令的最小長度、復雜度與生存周期，并根據(jù)管理制度要求，合理配置賬戶口令策略，提高口令質(zhì)量。

7.1.1.2 遠程管理防護

對應要求：當進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。

判例內(nèi)容：通過不可控網(wǎng)絡環(huán)境遠程管理的網(wǎng)絡設備、安全設備、操作系統(tǒng)、數(shù)據(jù)庫等，鑒別信息明文傳輸，容易被監(jiān)聽，造成數(shù)據(jù)泄漏，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：

1、通過不可控網(wǎng)絡環(huán)境遠程進行管理；

2、管理帳戶口令以明文方式傳輸；

3、使用截獲的帳號可遠程登錄。

補償措施：

1、如整個遠程管理過程中，只能使用加密傳輸通道進行鑒別信息傳輸?shù)?，可視為等效措施，判符合?/span>

2、如采用多因素身份認證、訪問地址限定、僅允許內(nèi)部可控網(wǎng)絡進行訪問的措施時，竊聽到口令而無法直接進行遠程登錄的，可酌情降低風險等級。

3、如通過其他技術(shù)管控手段（如準入控制、桌面管理、行為管理等），降低數(shù)據(jù)竊聽隱患的，可酌情降低風險等級。

4、在有管控措施的情況下，如果默認采用加密進行管理，但同時也開啟非加密管理方式，可根據(jù)實際管理情況，酌情判斷風險等級。

5、可根據(jù)被測對象的作用以及重要程度，可根據(jù)實際情況，酌情判斷風險等級。

整改建議：建議盡可能避免通過不可控網(wǎng)絡對網(wǎng)絡設備、安全設備、操作系統(tǒng)、數(shù)據(jù)庫等進行遠程管理，如確有需要，則建議采取措施或使用加密機制（如VPN加密通道、開啟SSH、HTTPS協(xié)議等），防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。

7.1.1.3 雙因素認證

對應要求：應采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別，且其中一種鑒別技術(shù)至少應使用密碼技術(shù)來實現(xiàn)。

判例內(nèi)容：重要核心設備、操作系統(tǒng)等未采用兩種或兩種以上鑒別技術(shù)對用戶身份進行鑒別。例如僅使用用戶名/口令方式進行身份驗證，削弱了管理員賬戶的安全性，無法避免賬號的未授權(quán)竊取或違規(guī)使用，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、重要核心設備、操作系統(tǒng)等通過不可控網(wǎng)絡環(huán)境遠程進行管理；

3、設備未啟用兩種或兩種以上鑒別技術(shù)對用戶身份進行鑒別；4級系統(tǒng)多種鑒別技術(shù)中未用到密碼技術(shù)或生物技術(shù)。

補償措施：

1、如設備通過本地登錄方式（非網(wǎng)絡方式）維護，本地物理環(huán)境可控，可酌情降低風險等級。

2、采用兩重用戶名/口令認證措施（兩重口令不同），例如身份認證服務器、堡壘機等手段，可酌情降低風險等級。

3、如設備所在物理環(huán)境、網(wǎng)絡環(huán)境安全可控，網(wǎng)絡竊聽、違規(guī)接入等隱患較小，口令策略和復雜度、長度符合要求的情況下，可酌情降低風險等級。

4、可根據(jù)被測對象的作用以及重要程度，根據(jù)實際情況，酌情判斷風險等級。

整改建議：建議重要核心設備、操作系統(tǒng)等增加除用戶名/口令以外的身份鑒別技術(shù)，如密碼/令牌、生物鑒別方式等，實現(xiàn)雙因子身份鑒別，增強身份鑒別的安全力度。

7.1.2  訪問控制

7.1.2.1 默認口令處理

對應要求：應重命名或刪除默認賬戶，修改默認賬戶的默認口令。

判例內(nèi)容：網(wǎng)絡設備、安全設備、操作系統(tǒng)、數(shù)據(jù)庫等默認賬號的默認口令未修改，使用默認口令進行登錄設備，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：

1、未修改默認帳戶的默認口令；

2、可使用該默認口令賬號登錄。

補償措施：無。

整改建議：建議網(wǎng)絡設備、安全設備、操作系統(tǒng)、數(shù)據(jù)庫等重命名或刪除默認管理員賬戶，修改默認密碼，使其具備一定的強度，增強賬戶安全性。

7.1.3  安全審計

7.1.3.1 設備安全審計措施

對應要求：應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。

判例內(nèi)容：重要核心網(wǎng)絡設備、安全設備、操作系統(tǒng)、數(shù)據(jù)庫等未開啟任何審計功能，無法對重要的用戶行為和重要安全事件進行審計，也無法對事件進行溯源，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)

2、重要核心網(wǎng)絡設備、安全設備、操作系統(tǒng)、數(shù)據(jù)庫等未開啟任何審計功能，無法對重要的用戶行為和重要安全事件進行審計；

3、無其他技術(shù)手段對重要的用戶行為和重要安全事件進行溯源。

補償措施：

1、如使用堡壘機或其他第三方審計工具進行日志審計，能有效記錄用戶行為和重要安全事件，可視為等效措施，判符合。

2、如通過其他技術(shù)或管理手段能對事件進行溯源的，可酌情降低風險等級。

3、如核查對象非重要核心設備，對整個信息系統(tǒng)影響有限的情況下，可酌情降低風險等級。

整改建議：建議在重要核心設備、安全設備、操作系統(tǒng)、數(shù)據(jù)庫性能允許的前提下，開啟用戶操作類和安全事件類審計策略或使用第三方日志審計工具，實現(xiàn)對相關(guān)設備操作與安全行為的全面審計記錄，保證發(fā)生安全問題時能夠及時溯源。

7.1.4  入侵防范

7.1.4.1 不必要服務處置

對應要求：應關(guān)閉不需要的系統(tǒng)服務、默認共享和高危端口。

判例內(nèi)容：網(wǎng)絡設備、安全設備、操作系統(tǒng)等存在多余系統(tǒng)服務/默認共享/高危端口存在，且存在可被利用的高危漏洞或重大安全隱患，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件：操作系統(tǒng)上的多余系統(tǒng)服務/默認共享/高危端口存在可被利用的高風險漏洞或重大安全隱患。

補償措施：如通過其他技術(shù)手段能降低漏洞影響，可酌情降低風險等級。

整改建議：建議網(wǎng)絡設備、安全設備、操作系統(tǒng)等關(guān)閉不必要的服務和端口，減少后門等安全漏洞；根據(jù)自身應用需求，需要開啟共享服務的，應合理設置相關(guān)配置，如設置賬戶權(quán)限等。

7.1.4.2 管理終端管控措施

對應要求：應通過設定終端接入方式或網(wǎng)絡地址范圍對通過網(wǎng)絡進行管理的管理終端進行限制。

判例內(nèi)容：通過不可控網(wǎng)絡環(huán)境遠程管理的網(wǎng)絡設備、安全設備、操作系統(tǒng)、數(shù)據(jù)庫等，未采取技術(shù)手段對管理終端進行限制，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、可通過不可控網(wǎng)絡環(huán)境遠程進行管理；

3、未采取技術(shù)手段對管理終端進行管控（管控措施包括但不限于終端接入管控、網(wǎng)絡地址范圍限制、堡壘機等）。

補償措施：如管理終端部署在運維區(qū)、可控網(wǎng)絡或采用多種身份鑒別方式等技術(shù)措施，可降低終端管控不善所帶來的安全風險的，可酌情降低風險等級。

整改建議：建議通過技術(shù)手段，對管理終端進行限制。

7.1.4.3 已知重大漏洞修補

對應要求：應能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補漏洞。

判例內(nèi)容：對于一些互聯(lián)網(wǎng)直接能夠訪問到的網(wǎng)絡設備、安全設備、操作系統(tǒng)、數(shù)據(jù)庫等，如存在外界披露的重大漏洞，未及時修補更新，無需考慮是否有POC攻擊代碼，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：

1、該設備可通過互聯(lián)網(wǎng)訪問；

2、該設備型號、版本存在外界披露的重大安全漏洞；

3、未及時采取修補或其他有效防范措施。

補償措施：

1、如相關(guān)漏洞暴露在可控的網(wǎng)絡環(huán)境，可酌情降低風險等級。

2、如某網(wǎng)絡設備的WEB管理界面存在高風險漏洞，而該WEB管理界面只能通過特定IP或特定可控環(huán)境下才可訪問，可酌情降低風險等級。

整改建議：建議訂閱安全廠商漏洞推送或本地安裝安全軟件，及時了解漏洞動態(tài)，在充分測試評估的基礎上，彌補嚴重安全漏洞。

7.1.4.4 測試發(fā)現(xiàn)漏洞修補

對應要求：應能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補漏洞。

判例內(nèi)容：通過驗證測試或滲透測試能夠確認并利用的，可對網(wǎng)絡設備、安全設備、操作系統(tǒng)、數(shù)據(jù)庫等造成重大安全隱患的漏洞（包括但不限于緩沖區(qū)溢出、提權(quán)漏洞、遠程代碼執(zhí)行、嚴重邏輯缺陷、敏感數(shù)據(jù)泄露等），可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：

1、存在可被利用的高風險漏洞；

2、通過驗證測試或滲透測試確認該高風險漏洞可能對該設備造成重大安全隱患。

補償措施：只有在相關(guān)設備所在的物理、網(wǎng)絡、管理環(huán)境嚴格受控，發(fā)生攻擊行為可能性較小的情況下，方可酌情降低風險等級；對于互聯(lián)網(wǎng)可訪問到的設備，原則上不宜降低其風險等級。

整改建議：建議在充分測試的情況下，及時對設備進行補丁更新，修補已知的高風險安全漏洞；此外，還應定期對設備進行漏掃，及時處理發(fā)現(xiàn)的風險漏洞，提高設備穩(wěn)定性與安全性。

7.1.5  惡意代碼防范

7.1.5.1 操作系統(tǒng)惡意代碼防范

對應要求：應采用主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效阻斷。

判例內(nèi)容：Windows操作系統(tǒng)未安裝防惡意代碼軟件，并進行統(tǒng)一管理，無法防止來自外部的惡意攻擊或系統(tǒng)漏洞帶來的危害，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（任意條件）：

1、Windows操作系統(tǒng)未安裝殺毒軟件。

2、Windows操作系統(tǒng)安裝的殺毒軟件病毒庫一月以上未更新。（可根據(jù)服務器部署環(huán)境、行業(yè)或系統(tǒng)特性縮短或延長病毒庫更新周期）

補償措施：

1、如一個月以上未更新，但有完備的補丁更新/測試計劃，且有歷史計劃執(zhí)行記錄的，可根據(jù)服務器部署環(huán)境、行業(yè)或系統(tǒng)特性酌情降低風險等級。

2、可與網(wǎng)絡安全部分中的入侵防范和訪問控制措施相結(jié)合來綜合評定風險，如網(wǎng)絡層部署了惡意代碼防范設備，可酌情降低風險等級。

3、對與外網(wǎng)完全物理隔離的系統(tǒng)，其網(wǎng)絡環(huán)境、USB介質(zhì)等管控措施較好，可酌情降低風險等級。

整改建議：建議操作系統(tǒng)統(tǒng)一部署防病毒軟件，或采用集成性質(zhì)防病毒服務器或虛擬化底層防病毒措施，并及時更新病毒庫，抵擋外部惡意代碼攻擊。

 

7.2應用系統(tǒng)

7.2.1  身份鑒別

7.2.1.1 口令策略

對應要求：應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換。

判例內(nèi)容：應用系統(tǒng)無任何用戶口令復雜度校驗機制，校驗機制包括口令的長度、復雜度等，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：

1、應用系統(tǒng)無口令長度、復雜度校驗機制；

2、可設置6位以下，單個數(shù)字或連續(xù)數(shù)字或相同數(shù)字等易猜測的口令。

補償措施：

1、如應用系統(tǒng)采用多種身份鑒別認證技術(shù)的，即使有口令也無法直接登錄應用系統(tǒng)的，可酌情降低風險等級。

2、如應用系統(tǒng)僅為內(nèi)部管理系統(tǒng)，只能內(nèi)網(wǎng)訪問，且訪問人員相對可控，可酌情降低風險等級。

3、如應用系統(tǒng)口令校驗機制不完善，如只有部分校驗機制，可根據(jù)實際情況，酌情降低風險等級。

4、特定應用場景中的口令（如PIN碼）可根據(jù)相關(guān)要求，酌情判斷風險等級。

整改建議：建議應用系統(tǒng)對用戶的賬戶口令長度、復雜度進行校驗，如要求系統(tǒng)賬戶口令至少8位，由數(shù)字、字母或特殊字符中2種方式組成；對于如PIN碼等特殊用途的口令，應設置弱口令庫，通過對比方式，提高用戶口令質(zhì)量。

7.2.1.2 弱口令

對應要求：應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換。

判例內(nèi)容：應用系統(tǒng)存在易被猜測的常用/弱口令帳戶，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件：通過滲透測試或常用/弱口令嘗試，發(fā)現(xiàn)應用系統(tǒng)中存在可被登錄弱口令帳戶。

補償措施：如該弱口令帳號為前臺自行注冊，自行修改的普通用戶帳戶，被猜測登錄后只會影響單個用戶，而不會對整個應用系統(tǒng)造成安全影響的，可酌情降低風險等級。

整改建議：建議應用系統(tǒng)通過口令長度、復雜度校驗、常用/弱口令庫比對等方式，提高應用系統(tǒng)口令質(zhì)量。

7.2.1.3 登錄失敗處理

對應要求：應具有登錄失敗處理功能，應配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關(guān)措施。

判例內(nèi)容：可通過互聯(lián)網(wǎng)登錄的應用系統(tǒng)未提供任何登錄失敗處理措施，攻擊者可進行口令猜測，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件：

1、3級及以上系統(tǒng)；

2、可通過互聯(lián)網(wǎng)登錄，且對帳號安全性要求較高，如帳戶涉及金融、個人隱私信息、后臺管理等；

3、對連續(xù)登錄失敗無任何處理措施；

4、攻擊者可利用登錄界面進行口令猜測。

補償措施：

1、如應用系統(tǒng)采用多種身份鑒別認證技術(shù)的，可酌情降低風險等級。

2、僅通過內(nèi)部網(wǎng)絡訪問的內(nèi)部/后臺管理系統(tǒng)，如訪問人員相對可控，可酌情降低風險等級。

3、如登錄頁面采用圖像驗證碼等技術(shù)可在一定程度上提高自動化手段進行口令暴力破解難度的，可酌情降低風險等級。

4、可根據(jù)登錄帳戶的重要程度、影響程度，可酌情判斷風險等級。但如果登錄帳戶涉及到金融行業(yè)、個人隱私信息、信息發(fā)布、后臺管理等，不宜降低風險等級。

整改建議：建議應用系統(tǒng)提供登錄失敗處理功能（如帳戶鎖定、多重認證等），防止攻擊者進行口令暴力破解。

7.2.1.4 雙因素認證

對應要求：應采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別，且其中一種鑒別技術(shù)至少應使用密碼技術(shù)來實現(xiàn)。

判例內(nèi)容：通過互聯(lián)網(wǎng)方式訪問，且涉及大額資金交易、核心業(yè)務等操作的系統(tǒng)，在進行重要操作前應采用兩種或兩種以上方式進行身份鑒別，如只采用一種驗證方式進行鑒別，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、通過互聯(lián)網(wǎng)方式訪問的系統(tǒng)，在進行涉及大額資金交易、核心業(yè)務等重要操作前未啟用兩種或兩種以上鑒別技術(shù)對用戶身份進行鑒別；4級系統(tǒng)多種鑒別技術(shù)中未用到密碼技術(shù)或生物技術(shù)。

補償措施：

1、采用兩重用戶名/口令認證措施，且兩重口令不可相同等情況，可酌情降低風險等級。

2、如應用服務訪問的網(wǎng)絡環(huán)境安全可控，網(wǎng)絡竊聽、違規(guī)接入等隱患較小，口令策略和復雜度、長度符合要求的情況下，可酌情降低風險等級。

3、在完成重要操作前的不同階段兩次或兩次以上使用不同的方式進行身份鑒別，可根據(jù)實際情況，酌情降低風險等級。

4、涉及到主管部門認可的業(yè)務形態(tài)，例如快捷支付、小額免密支付等，可酌情降低風險等級。

5、可根據(jù)被測對象中用戶的作用以及重要程度，在口令策略和復雜度、長度符合要求的情況下，可根據(jù)實際情況，酌情判斷風險等級。

6、系統(tǒng)用戶群體為互聯(lián)網(wǎng)用戶，且冒名登錄、操作不會對系統(tǒng)或個人造成重大惡劣影響或經(jīng)濟損失的，可酌情判斷風險等級。

整改建議：建議應用系統(tǒng)增加除用戶名/口令以外的身份鑒別技術(shù)，如密碼/令牌、生物鑒別方式等，實現(xiàn)雙因子身份鑒別，增強身份鑒別的安全力度。

7.2.2  訪問控制

7.2.2.1 登錄用戶權(quán)限控制

對應要求：應對登錄的用戶分配賬戶和權(quán)限。

判例內(nèi)容：應用系統(tǒng)訪問控制功能存在缺失，無法按照設計策略控制用戶對系統(tǒng)功能、數(shù)據(jù)的訪問；可通過直接訪問URL等方式，在不登錄系統(tǒng)的情況下，非授權(quán)訪問系統(tǒng)功能模塊，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件：可通過直接訪問URL等方式，在不登錄系統(tǒng)的情況下，非授權(quán)訪問系統(tǒng)重要功能模塊。

補償措施：

1、如應用系統(tǒng)部署在可控網(wǎng)絡，有其他防護措施能限制、監(jiān)控用戶行為的，可酌情降低風險等級。

2、可根據(jù)非授權(quán)訪問模塊的重要程度、越權(quán)訪問的難度，酌情提高/減低風險等級。

整改建議：建議完善訪問控制措施，對系統(tǒng)重要頁面、功能模塊進行訪問控制，確保應用系統(tǒng)不存在訪問控制失效情況。

7.2.2.2 默認口令處理

對應要求：應重命名或刪除默認賬戶，修改默認賬戶的默認口令。

判例內(nèi)容：應用系統(tǒng)默認賬號的默認口令未修改，可利用該默認口令登錄系統(tǒng)，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：

1、未修改默認帳戶的默認口令；

2、可使用該默認口令賬號登錄。

補償措施：無。

整改建議：建議應用系統(tǒng)重命名或刪除默認管理員賬戶，修改默認密碼，使其具備一定的強度，增強賬戶安全性。

7.2.2.3 訪問控制策略

對應要求：應由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則。

判例內(nèi)容：應用系統(tǒng)訪問控制策略存在缺陷，可越權(quán)訪問系統(tǒng)功能模塊或查看、操作其他用戶的數(shù)據(jù)。如存在平行權(quán)限漏洞，低權(quán)限用戶越權(quán)訪問高權(quán)限功能模塊等，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件：系統(tǒng)訪問控制策略存在缺陷，可越權(quán)訪問系統(tǒng)功能模塊或查看、操作其他用戶的數(shù)據(jù)。如存在平行權(quán)限漏洞，低權(quán)限用戶越權(quán)訪問高權(quán)限功能模塊等。

補償措施：

1、如應用系統(tǒng)部署在可控網(wǎng)絡，有其他防護措施能限制、監(jiān)控用戶行為的，可酌情降低風險等級。

2、可根據(jù)非授權(quán)訪問模塊的重要程度、越權(quán)訪問的難度，酌情提高/減低風險等級。

整改建議：建議完善訪問控制措施，對系統(tǒng)重要頁面、功能模塊進行重新進行身份、權(quán)限鑒別，確保應用系統(tǒng)不存在訪問控制失效情況。

7.2.3  安全審計

7.2.3.1 安全審計措施

對應要求：應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。

判例內(nèi)容：應用系統(tǒng)（包括前端系統(tǒng)和后臺管理系統(tǒng)）無任何日志審計功能，無法對用戶的重要行為進行審計，也無法對事件進行溯源，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)

2、應用系統(tǒng)無任何日志審計功能，無法對用戶的重要行為進行審計；

3、無其他技術(shù)手段對重要的用戶行為和重要安全事件進行溯源。

補償措施：

1、如有其他技術(shù)手段對重要的用戶行為進行審計、溯源，可酌情降低風險等級。

2、如審計記錄不全或?qū)徲嬘涗浻杏涗?，但無直觀展示，可根據(jù)實際情況，酌情降低風險等級。

整改建議：建議應用系統(tǒng)完善審計模塊，對重要用戶操作、行為進行日志審計，審計范圍不僅針對前端用戶的操作、行為，也包括后臺管理員的重要操作。

7.2.4  入侵防范

7.2.4.1 數(shù)據(jù)有效性檢驗功能

對應要求：應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設定要求。

判例內(nèi)容：由于校驗機制缺失導致的應用系統(tǒng)存在如SQL注入、跨站腳本、上傳漏洞等高風險漏洞，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件：

1、應用系統(tǒng)存在如SQL注入、跨站腳本、上傳漏洞等可能導致敏感數(shù)據(jù)泄露、網(wǎng)頁篡改、服務器被入侵等安全事件的發(fā)生，造成嚴重后果的高風險漏洞；

2、無其他技術(shù)手段對該漏洞進行防范。

補償措施：

1、如應用系統(tǒng)存在SQL注入、跨站腳本等高風險漏洞，但是系統(tǒng)部署了WAF、云盾等應用防護產(chǎn)品，在防護體系下無法成功利用，可酌情降低風險等級。

2、不與互聯(lián)網(wǎng)交互的內(nèi)網(wǎng)系統(tǒng)，可根據(jù)系統(tǒng)重要程度、漏洞危害情況等，酌情判斷風險等級。

整改建議：建議通過修改代碼的方式，對數(shù)據(jù)有效性進行校驗，提交應用系統(tǒng)的安全性，防止相關(guān)漏洞的出現(xiàn)。

7.2.4.2 已知重大漏洞修補

對應要求：應能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補漏洞。

判例內(nèi)容：應用系統(tǒng)所使用的環(huán)境、框架、組件等存在可被利用的高風險漏洞，導致敏感數(shù)據(jù)泄露、網(wǎng)頁篡改、服務器被入侵等安全事件的發(fā)生，可能造成嚴重后果的，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：

1、應用系統(tǒng)所使用的環(huán)境、框架、組件等存在可被利用的，可能導致敏感數(shù)據(jù)泄露、網(wǎng)頁篡改、服務器被入侵等安全事件的發(fā)生，造成嚴重后果的高風險漏洞；

2、無其他有效技術(shù)手段對該漏洞進行防范。

補償措施：

1、如應用系統(tǒng)使用的環(huán)境、框架、組件等存在高風險漏洞，但是系統(tǒng)部署了WAF、云盾等應用防護產(chǎn)品，在防護體系下無法成功利用，可酌情降低風險等級。

2、不與互聯(lián)網(wǎng)交互的內(nèi)網(wǎng)系統(tǒng)，可通過分析內(nèi)網(wǎng)環(huán)境對相關(guān)漏洞的影響、危害以及利用難度，酌情提高/降低風險等級。

整改建議：建議定期對應用系統(tǒng)進行漏洞掃描，對可能存在的已知漏洞，在重復測試評估后及時進行修補，降低安全隱患。

7.2.4.3 測試發(fā)現(xiàn)漏洞修補

對應要求：應能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補漏洞。

判例內(nèi)容：如應用系統(tǒng)的業(yè)務功能（如密碼找回功能等）存在高風險安全漏洞或嚴重邏輯缺陷，可能導致修改任意用戶密碼、繞過安全驗證機制非授權(quán)訪問等情況，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件：通過測試，發(fā)現(xiàn)應用系統(tǒng)的業(yè)務功能（如密碼找回功能等）存在高風險安全漏洞或嚴重邏輯缺陷，可能導致修改任意用戶密碼、繞過安全驗證機制非授權(quán)訪問等情況。

補償措施：無。

整改建議：建議通過修改應用程序的方式對發(fā)現(xiàn)的高風險/嚴重邏輯缺陷進行修補，避免出現(xiàn)安全隱患。

7.2.5  數(shù)據(jù)完整性

7.2.5.1 傳輸完整性保護

對應要求：應采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。

判例內(nèi)容：對傳輸完整性要求較高的系統(tǒng)，如未采取任何措施保障重要數(shù)據(jù)傳輸完整性，重要數(shù)據(jù)在傳輸過程中被篡改可能造成嚴重后果的，可判定為高風險。

適用范圍：對數(shù)據(jù)傳輸完整性要求較高的3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、未對傳輸?shù)闹匾獢?shù)據(jù)進行完整性保護；

3、通過中間人劫持等攻擊技術(shù)修改傳輸數(shù)據(jù)，可能對系統(tǒng)造成重大安全影響。

補償措施：

1、如通過技術(shù)手段確保無法對傳輸數(shù)據(jù)進行修改，可酌情降低風險等級。

2、可根據(jù)傳輸數(shù)據(jù)的重要程度、傳輸數(shù)據(jù)篡改的難度、篡改后造成的影響等情況，酌情提高/降低風險等級。

整改建議：建議在應用層通過密碼技術(shù)確保傳輸數(shù)據(jù)的完整性，并在服務器端對數(shù)據(jù)有效性進行校驗，確保只處理未經(jīng)修改的數(shù)據(jù)。

7.2.6  數(shù)據(jù)保密性

7.2.6.1 傳輸保密性保護

對應要求：應采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等。

判例內(nèi)容：用戶鑒別信息、公民敏感信息數(shù)據(jù)或重要業(yè)務數(shù)據(jù)等以明文方式在不可控網(wǎng)絡中傳輸，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、用戶身份認證信息、個人敏感信息數(shù)據(jù)或重要業(yè)務數(shù)據(jù)等以明文方式在不可控網(wǎng)絡中傳輸。

補償措施：

1、如使用網(wǎng)絡加密的技術(shù)確保數(shù)據(jù)在加密通道中傳輸，可根據(jù)實際情況，視為等效措施，判為符合。

2、如敏感信息在可控網(wǎng)絡中傳輸，網(wǎng)絡竊聽等風險較低，可酌情降低風險等級。

整改建議：建議采用密碼技術(shù)確保重要數(shù)據(jù)在傳輸過程中的保密性。

7.2.6.2 存儲保密性保護

對應要求：應采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等。

判例內(nèi)容：用戶身份認證信息、個人敏感信息數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、行業(yè)主管部門定義的非明文存儲類數(shù)據(jù)等以明文方式存儲，且無其他有效保護措施，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：

1、用戶身份認證信息、個人敏感信息數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、行業(yè)主管部門定義的非明文存儲類數(shù)據(jù)等以明文方式存儲；

2、無其他有效數(shù)據(jù)保護措施。

補償措施：如采取區(qū)域隔離、部署數(shù)據(jù)庫安全審計等安全防護措施的，可通過分析造成信息泄露的難度和影響程度，酌情降低風險等級。

整改建議：采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性。

7.2.7  數(shù)據(jù)備份恢復

7.2.7.1 數(shù)據(jù)備份措施

對應要求：應提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復功能。

判例內(nèi)容：應用系統(tǒng)未提供任何數(shù)據(jù)備份措施，一旦遭受數(shù)據(jù)破壞，無法進行數(shù)據(jù)恢復的，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件：應用系統(tǒng)未提供任何數(shù)據(jù)備份措施，一旦遭受數(shù)據(jù)破壞，無法進行數(shù)據(jù)恢復。

補償措施：無。

整改建議：建議建立備份恢復機制，定期對重要數(shù)據(jù)進行備份以及恢復測試，確保在出現(xiàn)數(shù)據(jù)破壞時，可利用備份數(shù)據(jù)進行恢復。

7.2.7.2 異地備份措施

對應要求：應提供異地實時備份功能，利用通信網(wǎng)絡將重要數(shù)據(jù)實時備份至備份場地。

判例內(nèi)容：對系統(tǒng)、數(shù)據(jù)容災要求較高的系統(tǒng)，如金融、醫(yī)療衛(wèi)生、社會保障等行業(yè)系統(tǒng)，如無異地數(shù)據(jù)災備措施，或異地備份機制無法滿足業(yè)務需要，可判定為高風險。

適用范圍：對系統(tǒng)、數(shù)據(jù)容災要求較高的3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、對容災要求較高的系統(tǒng)；

3、系統(tǒng)無異地數(shù)據(jù)備份措施，或異地備份機制無法滿足業(yè)務需要。

補償措施：

1、一般來說同城異地機房直接距離不低于為30公里，跨省市異地機房直線距離不低于100公里，如距離上不達標，可酌情降低風險等級。

2、系統(tǒng)數(shù)據(jù)備份機制存在一定時間差，若被測單位評估可接受時間差內(nèi)數(shù)據(jù)丟失，可酌情降低風險等級。

3、可根據(jù)系統(tǒng)容災要求及行業(yè)主管部門相關(guān)要求，根據(jù)實際情況酌情提高/減低風險等級。

整改建議：建議設置異地災備機房，并利用通信網(wǎng)絡將重要數(shù)據(jù)實時備份至備份場地。

7.2.7.3 數(shù)據(jù)處理冗余措施

對應要求：應提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。

判例內(nèi)容：對數(shù)據(jù)處理可用性要求較高系統(tǒng)（如金融行業(yè)系統(tǒng)、競拍系統(tǒng)、大數(shù)據(jù)平臺等），應采用熱冗余技術(shù)提高系統(tǒng)的可用性，若核心處理節(jié)點（如服務器、DB等）存在單點故障，可判定為高風險。

適用范圍：對數(shù)據(jù)處理可用性要求較高的3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、對數(shù)據(jù)處理可用性要求較高系統(tǒng)；

3、處理重要數(shù)據(jù)的設備（如服務器、DB等）未采用熱冗余技術(shù)，發(fā)生故障可能導致系統(tǒng)停止運行。

補償措施：如當前采取的恢復手段，能夠確保被測單位評估的RTO在可接受范圍內(nèi)，可根據(jù)實際情況酌情降低風險等級。

整改建議：建議對重要數(shù)據(jù)處理系統(tǒng)采用熱冗余技術(shù)，提高系統(tǒng)的可用性。

7.2.7.4 異地災難備份中心

對應要求：應建立異地災難備份中心，提供業(yè)務應用的實時切換。

判例內(nèi)容：對容災、可用性要求較高的系統(tǒng)，如金融行業(yè)系統(tǒng)，如未設立異地應用級容災中心，或異地應用級容災中心無法實現(xiàn)業(yè)務切換，可判定為高風險。

適用范圍：對容災、可用性要求較高的4級系統(tǒng)。

滿足條件（同時）：

1、4級系統(tǒng)；

2、對容災、可用性要求較高的系統(tǒng)；

3、未設立異地應用級容災中心，或異地應用級容災中心無法實現(xiàn)業(yè)務切換。

補償措施：如當前采取的恢復手段，能夠確保被測單位評估的RTO在可接受范圍內(nèi)，可根據(jù)實際情況酌情降低風險等級。

整改建議：建議對重要數(shù)據(jù)處理系統(tǒng)采用熱冗余技術(shù)，提高系統(tǒng)的可用性。

7.2.8  剩余信息保護

7.2.8.1 鑒別信息釋放措施

對應要求：應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除。

判例內(nèi)容：身份鑒別信息釋放或清除機制存在缺陷，如在正常進行釋放或清除身份鑒別信息操作后，仍可非授權(quán)訪問系統(tǒng)資源或進行操作，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：

1、身份鑒別信息釋放或清除機制存在缺陷；

2、利用剩余鑒別信息，可非授權(quán)訪問系統(tǒng)資源或進行操作。

補償措施：無。

整改建議：建議完善鑒別信息釋放/清除機制，確保在執(zhí)行釋放/清除相關(guān)操作后，鑒別信息得到完全釋放/清除。

7.2.8.2 敏感數(shù)據(jù)釋放措施

對應要求：應保證存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配前得到完全清除。

判例內(nèi)容：身份鑒別信息釋放或清除機制存在缺陷，如在正常進行釋放或清除身份鑒別信息操作后，仍可非授權(quán)訪問系統(tǒng)資源或進行操作，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、敏感數(shù)據(jù)釋放或清除機制存在缺陷；

3、利用剩余信息，可非授權(quán)獲得相關(guān)敏感數(shù)據(jù)。

補償措施：如因特殊業(yè)務需要，需要在存儲空間保留敏感數(shù)據(jù)，相關(guān)敏感數(shù)據(jù)進行了有效加密/脫敏處理的，且有必要的提示信息，可根據(jù)實際情況，酌情降低風險等級。

整改建議：建議完善敏感數(shù)據(jù)釋放/清除機制，確保在執(zhí)行釋放/清除相關(guān)操作后，敏感數(shù)據(jù)得到完全釋放/清除。

7.2.9  個人信息保護

7.2.9.1 個人信息采集、存儲

對應要求：應僅采集和保存業(yè)務必需的用戶個人信息。

判例內(nèi)容：在采集和保存用戶個人信息時，應通過正式渠道獲得用戶同意、授權(quán)，如在未授權(quán)情況下，采取、存儲用戶個人隱私信息，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（任意條件）：

1、在未授權(quán)情況下，采取、存儲用戶個人隱私信息，無論該信息是否是業(yè)務需要。

2、采集、保存法律法規(guī)、主管部門嚴令禁止采集、保存的用戶隱私信息。

補償措施：如在用戶同意、授權(quán)的情況下，采集和保存業(yè)務非必需的用戶個人信息，可根據(jù)實際情況，酌情提高/降低風險等級。

整改建議：建議通過官方正式渠道向用戶表明采集信息的內(nèi)容、用途以及相關(guān)的安全責任，并在用戶同意、授權(quán)的情況下采集、保存業(yè)務必需的用戶個人信息。

7.2.9.2 個人信息訪問、使用

對應要求：應禁止未授權(quán)訪問和非法使用用戶個人信息。

判例內(nèi)容：未授權(quán)訪問和非法使用個人信息，如在未授權(quán)情況下將用戶信息提交給第三方處理，未脫敏的情況下用于其他業(yè)務用途，未嚴格控制個人信息查詢以及導出權(quán)限，非法買賣、泄露用戶個人信息等，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（任意條件）：

1、在未授權(quán)情況下將用戶個人信息共享給其他公司、機構(gòu)、個人（國家、法律規(guī)定的公安、司法機構(gòu)除外）。

2、未脫敏的情況下用于其他非核心業(yè)務系統(tǒng)或測試環(huán)境等。

3、未嚴格控制個人信息查詢以及導出權(quán)限。

4、非法買賣、泄露用戶個人信息。

補償措施：如互聯(lián)網(wǎng)系統(tǒng)在收集用戶的個人敏感信息前，數(shù)據(jù)收集方明確數(shù)據(jù)的用途，可能涉及使用數(shù)據(jù)的單位、機構(gòu)，權(quán)責清晰，并根據(jù)各自職責與用戶簽訂個人信息保密協(xié)議和個人信息收集聲明許可協(xié)議的，可根據(jù)實際情況酌情提降低風險等級。

整改建議：建議通過官方正式渠道向用戶表明采集信息的內(nèi)容、用途以及相關(guān)的安全責任，并在用戶同意、授權(quán)的情況下采集、保存業(yè)務必需的用戶個人信息，通過技術(shù)和管理手段，防止未授權(quán)訪問和非法使用

8      安全區(qū)域邊界

8.1集中管控

8.1.1  運行監(jiān)控措施

對應要求：應對網(wǎng)絡鏈路、安全設備、網(wǎng)絡設備和服務器等的運行狀況進行集中監(jiān)測。

判例內(nèi)容：對可用性要求較高的系統(tǒng)，若沒有任何監(jiān)測措施，發(fā)生故障時難以及時對故障進行定位和處理，可判定為高風險。

適用范圍：可用性要求較高的3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、對可用性要求較高的系統(tǒng)；

3、無任何監(jiān)控措施，發(fā)生故障也無法及時對故障進行定位和處理。

補償措施：無。

整改建議：建議對網(wǎng)絡鏈路、安全設備、網(wǎng)絡設備和服務器等的運行狀況進行集中監(jiān)測。

8.1.2  日志集中收集存儲

對應要求：應對分散在各個設備上的審計數(shù)據(jù)進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規(guī)要求。

判例內(nèi)容：《網(wǎng)絡安全法》要求“采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡日志不少于六個月”；因此，如相關(guān)設備日志留存不滿足法律法規(guī)相關(guān)要求，可判定為高風險。

適用范圍： 3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、對網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件等日志的留存不滿足法律法規(guī)規(guī)定的相關(guān)要求（不少于六個月）。

補償措施：對于一些特殊行業(yè)或日志時效性短于6個月的，可根據(jù)實際情況，可酌情降低風險等級。

整改建議：建議部署日志服務器，統(tǒng)一收集各設備的審計數(shù)據(jù)，進行集中分析，并根據(jù)法律法規(guī)的要求留存日志。

8.1.3  安全事件發(fā)現(xiàn)處置措施

對應要求：應能對網(wǎng)絡中發(fā)生的各類安全事件進行識別、報警和分析。

判例內(nèi)容：未部署相關(guān)安全設備，識別網(wǎng)絡中發(fā)生的安全事件，并對重要安全事件進行報警的，可判定為高風險。

適用范圍： 3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、無法對網(wǎng)絡中發(fā)生的安全事件（包括但不限于網(wǎng)絡攻擊事件、惡意代碼傳播事件等）進行識別、告警和分析。

補償措施：無。

整改建議：建議部署相關(guān)專業(yè)防護設備，對網(wǎng)絡中發(fā)生的各類安全事件進行識別、報警和分析，確保相關(guān)安全事件得到及時發(fā)現(xiàn)，及時處置。

9      安全管理制度

9.1管理制度

9.1.1  管理制度建設

對應要求：應對安全管理活動中的各類管理內(nèi)容建立安全管理制度。

判例內(nèi)容：未建立任何與安全管理活動相關(guān)的管理制度或相關(guān)管理制度無法適用于當前被測系統(tǒng)的，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（任意條件）：

1、未建立任何與安全管理活動相關(guān)的管理制度。

2、相關(guān)管理制度無法適用于當前被測系統(tǒng)。

補償措施：無。

整改建議：建議按照等級保護的相關(guān)要求，建立包括總體方針、安全策略在內(nèi)的各類與安全管理活動相關(guān)的管理制度。

10  安全管理機構(gòu)

10.1    崗位設置

10.1.1  網(wǎng)絡安全領(lǐng)導小組建立

對應要求：應成立指導和管理網(wǎng)絡安全工作的委員會或領(lǐng)導小組，其最高領(lǐng)導由單位主管領(lǐng)導擔任或授權(quán)。

判例內(nèi)容：未成立指導和管理信息安全工作的委員會或領(lǐng)導小組，或其最高領(lǐng)導不是由單位主管領(lǐng)導委任或授權(quán)，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、未成立指導和管理信息安全工作的委員會或領(lǐng)導小組，或領(lǐng)導小組最高領(lǐng)導不是由單位主管領(lǐng)導委任或授權(quán)。

補償措施：無。

整改建議：建議成立指導和管理網(wǎng)絡安全工作的委員會或領(lǐng)導小組，其最高領(lǐng)導由單位主管領(lǐng)導擔任或授權(quán)。

11  安全建設管理

11.1    產(chǎn)品采購和使用

11.1.1  網(wǎng)絡安全產(chǎn)品采購和使用

對應要求：應確保網(wǎng)絡安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定。

判例內(nèi)容：網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品的使用違反國家有關(guān)規(guī)定，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件：網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品的使用違反國家有關(guān)規(guī)定。

補償措施：無。

整改建議：建議依據(jù)國家有關(guān)規(guī)定，采購和使用網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品。（《網(wǎng)絡安全法》第二十三條規(guī)定網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品應當按照相關(guān)國家標準的強制性要求，由具備資格的機構(gòu)安全認證合格或者安全檢測符合要求后，方可銷售或者提供。國家網(wǎng)信部門會同國務院有關(guān)部門制定、公布網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄，并推動安全認證和安全檢測結(jié)果互認，避免重復認證、檢測。）

11.1.2  密碼產(chǎn)品與服務采購和使用

對應要求：應確保密碼產(chǎn)品與服務的采購和使用符合國家密碼管理主管部門的要求。

判例內(nèi)容：密碼產(chǎn)品與服務的使用違反國家密碼管理主管部門的要求，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件：密碼產(chǎn)品與服務的使用違反國家密碼管理主管部門的要求。

補償措施：無。

整改建議：建議依據(jù)國家密碼管理主管部門的要求，使用密碼產(chǎn)品與服務。（如《商用密碼產(chǎn)品使用管理規(guī)定》等）

11.2    外包軟件開發(fā)

11.2.1  外包開發(fā)代碼審計

對應要求：應保證開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道。

判例內(nèi)容：對于涉及金融、民生、基礎設施等重要行業(yè)的業(yè)務核心系統(tǒng)由外包公司開發(fā)，上線前未對外包公司開發(fā)的系統(tǒng)進行源代碼審查，外包商也無法提供相關(guān)安全檢測證明，可判定為高風險。

適用范圍：涉及金融、民生、基礎設施等重要核心領(lǐng)域的3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、涉及金融、民生、基礎設施等重要行業(yè)的業(yè)務核心系統(tǒng)；

3、被測單位為對外包公司開發(fā)的系統(tǒng)進行源代碼安全審查；

4、外包公司也無法提供第三方安全檢測證明。

補償措施：

1、開發(fā)公司可提供國家認可的第三方機構(gòu)出具的源代碼安全審查報告/證明，可視為等效措施，判符合。

2、可根據(jù)系統(tǒng)的用途以及外包開發(fā)公司的開發(fā)功能的重要性，根據(jù)實際情況，酌情提高/減低風險等級。

3、如第三方可提供軟件安全性測試證明（非源碼審核），可視實際情況，酌情減低風險等級。

4、如被測方通過合同等方式與外包開發(fā)公司明確安全責任或采取相關(guān)技術(shù)手段進行防控的，可視實際情況，酌情降低風險等級。

5、如被測系統(tǒng)建成時間較長，但定期對系統(tǒng)進行安全檢測，當前管理制度中明確規(guī)定外包開發(fā)代碼審計的，可根據(jù)實際情況，酌情減低風險等級。

整改建議：建議對外包公司開發(fā)的核心系統(tǒng)進行源代碼審查，檢查是否存在后門和隱蔽信道。如沒有技術(shù)手段進行源碼審查的，可聘請第三方專業(yè)機構(gòu)對相關(guān)代碼進行安全檢測。

11.3    測試驗收

11.3.1  上線前安全測試

對應要求：應進行上線前的安全性測試，并出具安全測試報告，安全測試報告應包含密碼應用安全性測試相關(guān)內(nèi)容。

判例內(nèi)容：系統(tǒng)上線前未通過安全性測試，或未對相關(guān)高風險問題進行安全評估仍舊“帶病”上線的，可判定為高風險。安全檢查內(nèi)容可以包括但不限于掃描滲透測試、安全功能驗證、源代碼安全審核。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、系統(tǒng)上線前未進行任何安全性測試，或未對相關(guān)高風險問題進行安全評估仍舊“帶病”上線。

補償措施：

1、如被測系統(tǒng)建成時間較長，定期對系統(tǒng)進行安全檢測，管理制度中相關(guān)的上線前安全測試要求，可根據(jù)實際情況，酌情減低風險等級。

2、如系統(tǒng)安全性方面是按照技術(shù)協(xié)議中的約定在開發(fā)過程中進行控制，并能提供相關(guān)控制的證明，可根據(jù)實際情況，酌情減低風險等級。

2、可視系統(tǒng)的重要程度，被測單位的技術(shù)實力，根據(jù)自檢和第三方檢測的情況，酌情提高/減低風險等級。

整改建議：建議在新系統(tǒng)上線前，對系統(tǒng)進行安全性評估，及時修補評估過程中發(fā)現(xiàn)的問題，確保系統(tǒng)不“帶病”上線。

12  安全運維管理

12.1    漏洞和風險管理

12.1.1  安全漏洞和隱患的識別與修補

對應要求：應采取必要的措施識別安全漏洞和隱患，對發(fā)現(xiàn)的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補。

判例內(nèi)容：未對發(fā)現(xiàn)的安全漏洞和隱患及時修補，會導致系統(tǒng)存在較大的安全隱患，黑客有可能利用安全漏洞對系統(tǒng)實施惡意攻擊，如果安全漏洞和隱患能夠構(gòu)成高危風險，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、通過漏洞掃描，發(fā)現(xiàn)存在可被利用的高風險漏洞；

3、未對相關(guān)漏洞進行評估或修補，對系統(tǒng)安全構(gòu)成重大隱患。

補償措施：如果安全漏洞修補可能會對系統(tǒng)的正常運行造成沖突，應對發(fā)現(xiàn)的安全漏洞和隱患進行評估，分析被利用的可能性，判斷安全風險的等級，在可接受的范圍內(nèi)進行殘余風險評估，明確風險等級，若無高危風險，可酌情降低風險。

整改建議：建議對發(fā)現(xiàn)的安全漏洞和隱患進行及時修補評估，對必須修補的安全漏洞和隱患進行加固測試，測試無誤后，備份系統(tǒng)數(shù)據(jù)，再從生產(chǎn)環(huán)境進行修補，對于剩余安全漏洞和隱患進行殘余風險分析，明確安全風險整改原則。

12.2    網(wǎng)絡和系統(tǒng)安全管理

12.2.1  重要運維操作變更管理

對應要求：應嚴格控制變更性運維，經(jīng)過審批后才可改變連接、安裝系統(tǒng)組件或調(diào)整配置參數(shù)，操作過程中應保留不可更改的審計日志，操作結(jié)束后應同步更新配置信息庫。

判例內(nèi)容：未對運維過程中改變連接、安裝系統(tǒng)組件或調(diào)整配置參數(shù)進行變更審批，且未進行變更性測試，一旦安裝系統(tǒng)組件或調(diào)整配置參數(shù)對系統(tǒng)造成影響，有可能導致系統(tǒng)無法正常訪問，出現(xiàn)異常，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、未建立變更管理制度，對于重大變更性運維過程無審批流程；

3、變更過程未保留相關(guān)操作日志及備份措施，出現(xiàn)問題不發(fā)進行恢復還原。

補償措施：無。

整改建議：建議對需要作出變更性運維的動作進行審批，并對變更內(nèi)容進行測試，在測試無誤后，備份系統(tǒng)數(shù)據(jù)和參數(shù)配置，再從生產(chǎn)環(huán)境進行變更，并明確變更流程以及回退方案，變更完成后進行配置信息庫更新。

12.2.2  運維工具的管控

對應要求：應嚴格控制運維工具的使用，經(jīng)過審批后才可接入進行操作，操作過程中應保留不可更改的審計日志，操作結(jié)束后應刪除工具中的敏感數(shù)據(jù)。

判例內(nèi)容：未對各類運維工具（特別是未商業(yè)化的運維工具）進行有效性檢查，未對運維工具的接入進行嚴格的控制和審批，運維工具中可能存在漏洞或后門，一旦被黑客利用有可能造成數(shù)據(jù)泄漏，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、未對各類運維工具（特別是未商業(yè)化的運維工具）進行有效性檢查，如病毒、漏洞掃描等；對運維工具的接入也未進行嚴格的控制和審批；操作結(jié)束后也未要求刪除可能臨時存放的敏感數(shù)據(jù)。

補償措施：

1、如使用官方正版商用化工具，或自行開發(fā)的，安全可供的運維工具，可根據(jù)實際情況，酌情降低風險等級。

2、如對于運維工具的接入有嚴格的控制措施，且有審計系統(tǒng)對相關(guān)運維操作進行審計，可根據(jù)實際情況，酌情降低風險等級。

整改建議：如果必須使用運維工具，建議使用商業(yè)化的運維工具，嚴禁運維人員私自下載第三方未商業(yè)化的運維工具。

12.2.3  運維外聯(lián)的管控

對應要求：應保證所有與外部的連接均得到授權(quán)和批準，應定期檢查違反規(guī)定無線上網(wǎng)及其他違反網(wǎng)絡安全策略的行為。

判例內(nèi)容：制度上服務器及終端與外部連接的授權(quán)和批準制度，也未定期對相關(guān)違反網(wǎng)絡安全策略的行為進行檢查，存在違規(guī)外聯(lián)的安全隱患，一旦內(nèi)網(wǎng)服務器或終端違規(guī)外聯(lián)，可能造成涉密信息（商密信息）的泄露，同時增加了感染病毒的可能性，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、管理制度上無關(guān)于外部連接的授權(quán)和審批流程，也未定期進行相關(guān)的巡檢；

3、無技術(shù)手段檢查違規(guī)上網(wǎng)及其他網(wǎng)絡安全策略的行為。

補償措施：在網(wǎng)絡部署了相關(guān)的準入控制設備，可有效控制、檢查、阻斷違規(guī)無線上網(wǎng)及其他違反網(wǎng)絡安全策略行為的情況下，如未建立相關(guān)制度，未定期進行巡檢，可酌情降低風險等級。

整改建議：建議制度上明確所有與外部連接的授權(quán)和批準制度，并定期對相關(guān)違反行為進行檢查，可采取終端管理系統(tǒng)實現(xiàn)違規(guī)外聯(lián)和違規(guī)接入，設置合理的安全策略，在出現(xiàn)違規(guī)外聯(lián)和違規(guī)接入時能第一時間進行檢測和阻斷。

12.3    惡意代碼防范管理

12.3.1  外來接入設備惡意代碼檢查

對應要求：應提高所有用戶的防惡意代碼意識，對外來計算機或存儲設備接入系統(tǒng)前進行惡意代碼檢查等。

判例內(nèi)容：外來計算機或存儲設備本身可能已被感染病毒或木馬，未對其接入系統(tǒng)前進行惡意代碼檢查，可能導致系統(tǒng)感染病毒或木馬，對信息系統(tǒng)極大的危害，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：

1、未在管理制度或安全培訓手冊中明確外來計算機或存儲設備接入安全操作流程；

2、外來計算機或存儲設備接入系統(tǒng)前未進行惡意代碼檢查。

補償措施：無。

整改建議：建議制定外來接入設備檢查制度，對任何外來計算機或存儲設備接入系統(tǒng)前必須經(jīng)過惡意代碼檢查，再檢查無誤后，經(jīng)過審批，設備方可接入系統(tǒng)。

12.4    變更管理

12.4.1  需求變更管理

對應要求：應明確變更需求，變更前根據(jù)變更需求制定變更方案，變更方案經(jīng)過評審、審批后方可實施。

判例內(nèi)容：未明確變更管理流程，未對需要變更的內(nèi)容進行分析與論證，未制定詳細的變更方案，無法明確變更的需求與必要性；變更的同時也伴隨著可能導致系統(tǒng)無法正常訪問的風險，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、無變更管理制度，或變更管理制度中無變更管理流程、變更內(nèi)容分析與論證、變更方案審批流程等相關(guān)內(nèi)容。

補償措施：無。

整改建議：建議系統(tǒng)的任何變更均需要管理流程，必須組織相關(guān)人員（業(yè)務部門人員與系統(tǒng)運維人員等）進行分析與論證，在確定必須變更后，制定詳細的變更方案，在經(jīng)過審批后，先對系統(tǒng)進行備份，然后在實施變更。

12.5    備份與恢復管理

12.5.1  數(shù)據(jù)備份策略

對應要求：應根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復策略、備份程序和恢復程序等。

判例內(nèi)容：未明確數(shù)據(jù)備份策略和數(shù)據(jù)恢復策略，以及備份程序和恢復程序，無法實現(xiàn)重要數(shù)據(jù)的定期備份與恢復性測試，一旦系統(tǒng)出現(xiàn)故障，需要恢復數(shù)據(jù)，存在無數(shù)據(jù)可恢復的情況，或者備份的數(shù)據(jù)未經(jīng)過恢復性測試，無法確保備份的數(shù)據(jù)可用，可判定為高危風險。此外，如有相關(guān)制度，但未實施，視為制度內(nèi)容未落實，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、無備份與恢復等相關(guān)的安全管理制度，或未按照相關(guān)策略落實數(shù)據(jù)備份。

補償措施：

1、未建立相關(guān)數(shù)據(jù)備份制度，但若已實施數(shù)據(jù)備份措施，且備份機制符合業(yè)務需要，可酌情降低風險等級。

2、如系統(tǒng)還未正式上線，則可檢查是否制定了相關(guān)的管理制度，目前的技術(shù)措施（如環(huán)境、存儲等）是否可以滿足制度中規(guī)定的備份恢復策略要求，可根據(jù)實際情況判斷風險等級。

整改建議：建議制定備份與恢復相關(guān)的制度，明確數(shù)據(jù)備份策略和數(shù)據(jù)恢復策略，以及備份程序和恢復程序，實現(xiàn)重要數(shù)據(jù)的定期備份與恢復性測試，保證備份數(shù)據(jù)的高可用性與可恢復性。

12.6    應急預案管理

12.6.1  應急預案制定

對應要求：應制定重要事件的應急預案，包括應急處理流程、系統(tǒng)恢復流程等內(nèi)容。

判例內(nèi)容：未制定重要事件的應急預案，未明確重要事件的應急處理流程、系統(tǒng)恢復流程等內(nèi)容，一旦出現(xiàn)應急事件，無法合理有序的進行應急事件處置過程，造成應急響應時間增長，導致系統(tǒng)不能在最短的事件內(nèi)進行恢復，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件：未制定重要事件的應急預案。

補償措施：如制定了應急預演，但內(nèi)容不全，可根據(jù)實際情況，酌情降低風險等級。

整改建議：建議制定重要事件的應急預案，明確重要事件的應急處理流程、系統(tǒng)恢復流程等內(nèi)容，并對應急預案進行演練。

12.6.2  應急預案培訓演練

對應要求：應定期對系統(tǒng)相關(guān)的人員進行應急預案培訓，并進行應急預案的演練。

判例內(nèi)容：未定期對相關(guān)人員進行應急預案培訓，未根據(jù)不同的應急預案進行應急演練，無法提供應急預案培訓和演練記錄，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件：

1、3級及以上系統(tǒng)；

2、未定期對系統(tǒng)相關(guān)的人員進行應急預案培訓；

3、未進行過應急預案的演練。

補償措施：如系統(tǒng)還未正式上線，可根據(jù)培訓演練制度及相關(guān)培訓計劃，根據(jù)實際情況判斷風險等級。

整改建議：建議定期對相關(guān)人員進行應急預案培訓與演練，并保留應急預案培訓和演練記錄，使參與應急的人員熟練掌握應急的整個過程。

 

 

 

 

附件基本要求與判例對應表

序號	層面	控制點	控制項	對應編號	對于案例	適用范圍
1	安全物理環(huán)境	物理訪問控制	a) 機房出入口應配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員；	4.1.1	機房出入口控制措施	所有系統(tǒng)
2		防盜竊和防破壞	c) 應設置機房防盜報警系統(tǒng)或設置有專人值守的視頻監(jiān)控系統(tǒng)。	4.2.1	機房防盜措施	3級及以上系統(tǒng)
3		防火	a) 機房應設置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；	4.3.1	機房防火措施	所有系統(tǒng)
4		溫濕度控制	應設置溫濕度自動調(diào)節(jié)設施，使機房溫濕度的變化在設備運行所允許的范圍之內(nèi)。	4.4.1	機房溫濕度控制	所有系統(tǒng)
5		電力供應	b) 應提供短期的備用電力供應，至少滿足設備在斷電情況下的正常運行要求；	4.5.1	機房短期的備用電力供應措施	對可用性要求較高的3級及以上系統(tǒng)
6			c) 應設置冗余或并行的電力電纜線路為計算機系統(tǒng)供電；	4.5.2	機房電力線路冗余措施	對可用性要求較高的3級及以上系統(tǒng)
7			d) 應提供應急供電設施。	4.5.3	機房應急供電措施	4級系統(tǒng)
8		電磁防護	b) 應對關(guān)鍵設備或關(guān)鍵區(qū)域?qū)嵤╇姶牌帘巍?/span>	4.6.1	機房電磁防護措施	對于數(shù)據(jù)防泄漏要求較高的4級系統(tǒng)
9	安全通信網(wǎng)絡	網(wǎng)絡架構(gòu)	a) 應保證網(wǎng)絡設備的業(yè)務處理能力滿足業(yè)務高峰期需要；	5.1.1	網(wǎng)絡設備業(yè)務處理能力	對可用性要求較高的3級及以上系統(tǒng)
10			c) 應劃分不同的網(wǎng)絡區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡區(qū)域分配	5.1.2	網(wǎng)絡區(qū)域劃分	所有系統(tǒng)
11			d) 應避免將重要網(wǎng)絡區(qū)域部署在邊界處，重要網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域之間應采取可靠的技術(shù)隔離手段；	5.1.3	網(wǎng)絡訪問控制設備不可控	所有系統(tǒng)
12			d) 應避免將重要網(wǎng)絡區(qū)域部署在邊界處，重要網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域之間應采取可靠的技術(shù)隔離手段；	5.1.4	互聯(lián)網(wǎng)邊界訪問控制	所有系統(tǒng)
13			d) 應避免將重要網(wǎng)絡區(qū)域部署在邊界處，重要網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域之間應采取可靠的技術(shù)隔離手段；	5.1.5	不同區(qū)域邊界訪問控制	所有系統(tǒng)
14			e) 應提供通信線路、關(guān)鍵網(wǎng)絡設備和關(guān)鍵計算設備的硬件冗余，保證系統(tǒng)的可用	5.1.6	關(guān)鍵線路、設備冗余	對可用性要求較高的3級及以上系統(tǒng)
15		通信傳輸	a) 應采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性；	5.2.1	傳輸完整性保護	對數(shù)據(jù)傳輸完整性要求較高的3級及以上系統(tǒng)
16			b) 應采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性；	5.2.2	傳輸保密性保護	3級及以上系統(tǒng)
17	安全區(qū)域邊界	邊界防護	a) 應保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設備提供的受控接口進行通信；	6.1.1	互聯(lián)網(wǎng)邊界訪問控制	所有系統(tǒng)
18				6.1.2	網(wǎng)絡訪問控制設備不可控	所有系統(tǒng)
19			b) 應能夠?qū)Ψ鞘跈?quán)設備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查或限制；	6.1.3	違規(guī)內(nèi)聯(lián)檢查措施	3級及以上系統(tǒng)
20			c) 應能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡的行為進行檢查或限制；	6.1.4	違規(guī)外聯(lián)檢查措施	3級及以上系統(tǒng)
21			d) 應限制無線網(wǎng)絡的使用，保證無線網(wǎng)絡通過受控的邊界設備接入內(nèi)部網(wǎng)絡；	6.1.5	無線網(wǎng)絡管控措施	3級及以上系統(tǒng)
22		訪問控制	a) 應在網(wǎng)絡邊界或區(qū)域之間根據(jù)訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信；	6.2.1	互聯(lián)網(wǎng)邊界訪問控制	所有系統(tǒng)
23			e) 應在網(wǎng)絡邊界通過通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等方式進行數(shù)據(jù)交換。	6.2.2	通信協(xié)議轉(zhuǎn)換及隔離措施	4級系統(tǒng)
24		入侵防范	a) 應在關(guān)鍵網(wǎng)絡節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡攻擊行為；	6.3.1	外部網(wǎng)絡攻擊防御	3級及以上系統(tǒng)
25			b) 應在關(guān)鍵網(wǎng)絡節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡攻擊行為；	6.3.2	內(nèi)部網(wǎng)絡攻擊防御	3級及以上系統(tǒng)
26		惡意代碼和垃圾郵件防范	a) 應在關(guān)鍵網(wǎng)絡節(jié)點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的升級和更	6.4.1	網(wǎng)絡層惡意代碼防范	所有系統(tǒng)
27		安全審計	a) 應在網(wǎng)絡邊界、重要網(wǎng)絡節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；	6.5.1	網(wǎng)絡安全審計措施	所有系統(tǒng)
28	安全計算環(huán)境	身份鑒別	a) 應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換；	7.1.1.1	設備弱口令（網(wǎng)絡設備、安全設備、主機設備等）	所有系統(tǒng)
29				7.2.1.1	口令策略（應用系統(tǒng)）	所有系統(tǒng)
30				7.2.1.2	弱口令（應用系統(tǒng)）	所有系統(tǒng)
31			b) 應具有登錄失敗處理功能，應配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關(guān)措施；	7.2.1.3	登錄失敗處理（應用系統(tǒng)）	3級及以上系統(tǒng)
32			c) 當進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊	7.1.1.2	遠程管理防護（網(wǎng)絡設備、安全設備、主機設備等）	所有系統(tǒng)
33			d) 應采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別，且其中一種鑒別技術(shù)至少應使用密碼技術(shù)來實現(xiàn)。	7.1.1.3	雙因素認證（網(wǎng)絡設備、安全設備、主機設備等）	3級及以上系統(tǒng)
34				7.2.1.4	雙因素認證（應用系統(tǒng)）	3級及以上系統(tǒng)
35		訪問控制	b) 應重命名或刪除默認賬戶，修改默認賬戶的默認口	7.1.2.1	默認口令處理（網(wǎng)絡設備、安全設備、主機設備等）	所有系統(tǒng)
36				7.2.2.2	默認口令處理（應用系統(tǒng)）	所有系統(tǒng)
37			a) 應對登錄的用戶分配賬戶和權(quán)	7.2.2.1	登錄用戶權(quán)限控制（應用系統(tǒng)）	所有系統(tǒng)
38			e) 應由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則；	7.2.2.3	訪問控制策略（應用系統(tǒng)）	所有系統(tǒng)
39		安全審計	a) 應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；	7.1.3.1	設備安全審計措施（網(wǎng)絡設備、安全設備、主機設備等）	3級及以上系統(tǒng)
40				7.2.3.1	安全審計措施（應用系統(tǒng)）	3級及以上系統(tǒng)
41		入侵防范	b) 應關(guān)閉不需要的系統(tǒng)服務、默認共享和高危端口；	7.1.4.1	不必要服務處置（網(wǎng)絡設備、安全設備、主機設備等）	所有系統(tǒng)
42			c) 應通過設定終端接入方式或網(wǎng)絡地址范圍對通過網(wǎng)絡進行管理的管理終端進行限制；	7.1.4.2	管理終端管控措施（網(wǎng)絡設備、安全設備、主機設備等）	3級及以上系統(tǒng)
43			d) 應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設定要求；	7.2.4.1	數(shù)據(jù)有效性檢驗功能（應用系統(tǒng)）	所有系統(tǒng)
44			e) 應能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補漏洞；	7.1.4.3	已知重大漏洞修補（網(wǎng)絡設備、安全設備等）	所有系統(tǒng)
45				7.1.4.4	測試發(fā)現(xiàn)漏洞修補（網(wǎng)絡設備、安全設備等）	所有系統(tǒng)
46				7.2.4.2	已知重大漏洞修補（應用系統(tǒng)）	所有系統(tǒng)
47				7.2.4.3	測試發(fā)現(xiàn)漏洞修補  （應用系統(tǒng)）	所有系統(tǒng)
48		惡意代碼防范	應采用主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效阻斷。	7.1.5.1	操作系統(tǒng)惡意代碼防范（網(wǎng)絡設備、安全設備、主機設備等）	所有系統(tǒng)
49		數(shù)據(jù)完整性	a) 應采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等；	7.2.5.1	傳輸完整性保護（應用系統(tǒng)）	對數(shù)據(jù)傳輸完整性要求較高的3級及以上系統(tǒng)
50		數(shù)據(jù)保密性	a) 應采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等；	7.2.6.1	傳輸保密性保護（應用系統(tǒng)）	3級及以上系統(tǒng)
51			b) 應采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等。	7.2.6.2	存儲保密性保護（應用系統(tǒng)）	所有系統(tǒng)
52		數(shù)據(jù)備份恢復	a) 應提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復功能；	7.2.7.1	數(shù)據(jù)備份措施（應用系統(tǒng)）	所有系統(tǒng)
53			b) 應提供異地實時備份功能，利用通信網(wǎng)絡將重要數(shù)據(jù)實時備份至備份場地；	7.2.7.2	異地備份措施（應用系統(tǒng)）	對系統(tǒng)、數(shù)據(jù)容災要求較高的3級及以上系統(tǒng)
54			c) 應提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性	7.2.7.3	數(shù)據(jù)處理冗余措施（應用系統(tǒng)）	對數(shù)據(jù)處理可用性要求較高的3級及以上系統(tǒng)
55			d) 應建立異地災難備份中心，提供業(yè)務應用的實時切換。	7.2.7.4	異地災難備份中心（應用系統(tǒng)）	對容災、可用性要求較高的4級系統(tǒng)
56		剩余信息保護	a) 應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除；	7.2.8.1	鑒別信息釋放措施（應用系統(tǒng)）	所有系統(tǒng)
57			b) 應保證存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配前得到完全清除。	7.2.8.2	敏感數(shù)據(jù)釋放措施（應用系統(tǒng)）	3級及以上系統(tǒng)
58		個人信息保護	a) 應僅采集和保存業(yè)務必需的用戶個人信息；	7.2.9.1	個人信息采集、存儲（應用系統(tǒng)）	所有系統(tǒng)
59			b) 應禁止未授權(quán)訪問和非法使用用戶個人信	7.2.9.2	個人信息訪問、使用（應用系統(tǒng)）	所有系統(tǒng)
60	安全區(qū)域邊界	集中管控	c) 應對網(wǎng)絡鏈路、安全設備、網(wǎng)絡設備和服務器等的運行狀況進行集中監(jiān)測；	8.1.1	運行監(jiān)控措施	可用性要求較高的3級及以上系統(tǒng)
61			d) 應對分散在各個設備上的審計數(shù)據(jù)進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規(guī)要求；	8.1.2	日志集中收集存儲	3級及以上系統(tǒng)
62			f) 應能對網(wǎng)絡中發(fā)生的各類安全事件進行識別、報警和分析；	8.1.3	安全事件發(fā)現(xiàn)處置措施	3級及以上系統(tǒng)
63	安全管理制度	管理制度	a) 應對安全管理活動中的各類管理內(nèi)容建立安全管理制度；	9.1.1	管理制度建設	所有系統(tǒng)
64	安全管理機構(gòu)	崗位設置	a) 應成立指導和管理網(wǎng)絡安全工作的委員會或領(lǐng)導小組，其最高領(lǐng)導由單位主管領(lǐng)導擔任或授權(quán)	10.1.1	網(wǎng)絡安全領(lǐng)導小組建立	3級及以上系統(tǒng)
65	安全建設管理	產(chǎn)品采購和使用	a) 應確保網(wǎng)絡安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)	11.1.1	網(wǎng)絡安全產(chǎn)品采購和使用	所有系統(tǒng)
66			b) 應確保密碼產(chǎn)品與服務的采購和使用符合國家密碼管理主管部門的要求；	11.1.2	密碼產(chǎn)品與服務采購和使用	所有系統(tǒng)
67		外包軟件開發(fā)	c) 應保證開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道。	11.2.1	外包開發(fā)代碼審計	涉及金融、民生、基礎設施等重要核心領(lǐng)域的3級及以上系統(tǒng)
68		測試驗收	b) 應進行上線前的安全性測試，并出具安全測試報告，安全測試報告應包含密碼應用安全性測試相關(guān)內(nèi)容。	11.3.1	上線前安全測試	3級及以上系統(tǒng)
69	安全運維管理	漏洞和風險管理	a) 應采取必要的措施識別安全漏洞和隱患，對發(fā)現(xiàn)的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補；	12.1.1	安全漏洞和隱患的識別與修補	3級及以上系統(tǒng)
70		網(wǎng)絡和系統(tǒng)安全管理	g) 應嚴格控制變更性運維，經(jīng)過審批后才可改變連接、安裝系統(tǒng)組件或調(diào)整配置參數(shù)，操作過程中應保留不可更改的審計日志，操作結(jié)束后應同步更新配置信息庫；	12.2.1	重要運維操作變更管理	3級及以上系統(tǒng)
71			h) 應嚴格控制運維工具的使用，經(jīng)過審批后才可接入進行操作，操作過程中應保留不可更改的審計日志，操作結(jié)束后應刪除工具中的敏感數(shù)據(jù)；	12.2.2	運維工具的管控	3級及以上系統(tǒng)
72			j) 應保證所有與外部的連接均得到授權(quán)和批準，應定期檢查違反規(guī)定無線上網(wǎng)及其他違反網(wǎng)絡安全策略的行為。	12.2.3	運維外聯(lián)的管控	3級及以上系統(tǒng)
73		惡意代碼防范管理	a) 應采取必要的措施識別安全漏洞和隱患，對發(fā)現(xiàn)的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補；	12.3.1	安全漏洞和隱患的識別與修補	3級及以上系統(tǒng)
74		變更管理	a) 應明確變更需求，變更前根據(jù)變更需求制定變更方案，變更方案經(jīng)過評審、審批后方可實施；	12.4.1	需求變更管理	3級及以上系統(tǒng)
75		備份與恢復管理	c) 應根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復策略、備份程序和恢復程序等。	12.5.1	數(shù)據(jù)備份策略	3級及以上系統(tǒng)
76		應急預案管理	b) 應制定重要事件的應急預案，包括應急處理流程、系統(tǒng)恢復流程等內(nèi)容；	12.6.1	應急預案制定	所有系統(tǒng)
77			c) 應定期對系統(tǒng)相關(guān)的人員進行應急預案培訓，并進行應急預案的演練；	12.6.2	應急預案培訓演練	3級及以上系統(tǒng)

網(wǎng)絡安全等級保護測評高風險判定指引2019定稿版完整版請聯(lián)系靈狐科技客服索取。