精品免费视频在线观看|亚洲 欧美 日韩 水滴|a级精品—区二区|青青草原亚洲之五月婷

安全資訊

等級(jí)保護(hù)測(cè)評(píng)“安全建設(shè)管理”高風(fēng)險(xiǎn)判定指引

【時(shí)間】2020-06-15

【編輯】Admin

【瀏覽量】

【等級(jí)保護(hù)QQ交流群】881590869

本指引是依據(jù)GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》有關(guān)條款,對(duì)測(cè)評(píng)過程中所發(fā)現(xiàn)的安全性問題進(jìn)行風(fēng)險(xiǎn)判斷的指引性文件。指引內(nèi)容包括對(duì)應(yīng)要求、判例內(nèi)容、適用范圍、補(bǔ)償措施、整改建議等要素。


需要指出的是,本指引無法涵蓋所有高風(fēng)險(xiǎn)案例,測(cè)評(píng)機(jī)構(gòu)須根據(jù)安全問題所實(shí)際面臨的風(fēng)險(xiǎn)做出客觀判斷。

本指引適用于網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)活動(dòng)、安全檢查等工作。信息系統(tǒng)建設(shè)單位亦可參考本指引描述的案例編制系統(tǒng)安全需求。

本次針對(duì)“安全建設(shè)管理”進(jìn)行分析。


1、產(chǎn)品采購(gòu)和使用


(1)網(wǎng)絡(luò)安全產(chǎn)品采購(gòu)和使用


對(duì)應(yīng)要求:應(yīng)確保網(wǎng)絡(luò)安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定。


判例內(nèi)容:網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的使用違反國(guó)家有關(guān)規(guī)定,可判定為高風(fēng)險(xiǎn)。


適用范圍:所有系統(tǒng)。


滿足條件:網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的使用違反國(guó)家有關(guān)規(guī)定。


補(bǔ)償措施:無。


整改建議:建議依據(jù)國(guó)家有關(guān)規(guī)定,采購(gòu)和使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品。(《網(wǎng)絡(luò)安全法》第二十三條規(guī)定網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求,由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后,方可銷售或者提供。國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,并推動(dòng)安全認(rèn)證和安全檢測(cè)結(jié)果互認(rèn),避免重復(fù)認(rèn)證、檢測(cè)。)


(2)密碼產(chǎn)品與服務(wù)采購(gòu)和使用


對(duì)應(yīng)要求:應(yīng)確保密碼產(chǎn)品與服務(wù)的采購(gòu)和使用符合國(guó)家密碼管理主管部門的要求。


判例內(nèi)容:密碼產(chǎn)品與服務(wù)的使用違反國(guó)家密碼管理主管部門的要求,可判定為高風(fēng)險(xiǎn)。


適用范圍:所有系統(tǒng)。


滿足條件:密碼產(chǎn)品與服務(wù)的使用違反國(guó)家密碼管理主管部門的要求。


補(bǔ)償措施:無。


整改建議:建議依據(jù)國(guó)家密碼管理主管部門的要求,使用密碼產(chǎn)品與服務(wù)。(如《商用密碼產(chǎn)品使用管理規(guī)定》等)


2、外包軟件開發(fā)


外包開發(fā)代碼審計(jì)


對(duì)應(yīng)要求:應(yīng)保證開發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門和隱蔽信道。


判例內(nèi)容:對(duì)于涉及金融、民生、基礎(chǔ)設(shè)施等重要行業(yè)的業(yè)務(wù)核心系統(tǒng)由外包公司開發(fā),上線前未對(duì)外包公司開發(fā)的系統(tǒng)進(jìn)行源代碼審查,外包商也無法提供相關(guān)安全檢測(cè)證明,可判定為高風(fēng)險(xiǎn)。


適用范圍:涉及金融、民生、基礎(chǔ)設(shè)施等重要核心領(lǐng)域的3級(jí)及以上系統(tǒng)。

滿足條件(同時(shí)):


● 3級(jí)及以上系統(tǒng);

● 涉及金融、民生、基礎(chǔ)設(shè)施等重要行業(yè)的業(yè)務(wù)核心系統(tǒng);

● 被測(cè)單位為對(duì)外包公司開發(fā)的系統(tǒng)進(jìn)行源代碼安全審查;

● 外包公司也無法提供第三方安全檢測(cè)證明。


補(bǔ)償措施:


● 開發(fā)公司可提供國(guó)家認(rèn)可的第三方機(jī)構(gòu)出具的源代碼安全審查  報(bào)告/證明,可視為等效措施,判符合。

● 可根據(jù)系統(tǒng)的用途以及外包開發(fā)公司的開發(fā)功能的重要性,根據(jù)實(shí)際情況,酌情提高/減低風(fēng)險(xiǎn)等級(jí)。

● 如第三方可提供軟件安全性測(cè)試證明(非源碼審核),可視實(shí)際情況,酌情減低風(fēng)險(xiǎn)等級(jí)。

● 如被測(cè)方通過合同等方式與外包開發(fā)公司明確安全責(zé)任或采取相關(guān)技術(shù)手段進(jìn)行防控的,可視實(shí)際情況,酌情降低風(fēng)險(xiǎn)等級(jí)。

● 如被測(cè)系統(tǒng)建成時(shí)間較長(zhǎng),但定期對(duì)系統(tǒng)進(jìn)行安全檢測(cè),當(dāng)前管理制度中明確規(guī)定外包開發(fā)代碼審計(jì)的,可根據(jù)實(shí)際情況,酌情減低風(fēng)險(xiǎn)等級(jí)。


整改建議:建議對(duì)外包公司開發(fā)的核心系統(tǒng)進(jìn)行源代碼審查,檢查是否存在后門和隱蔽信道。如沒有技術(shù)手段進(jìn)行源碼審查的,可聘請(qǐng)第三方專業(yè)機(jī)構(gòu)對(duì)相關(guān)代碼進(jìn)行安全檢測(cè)。


3、測(cè)試驗(yàn)收


上線前安全測(cè)試


對(duì)應(yīng)要求:應(yīng)進(jìn)行上線前的安全性測(cè)試,并出具安全測(cè)試報(bào)告,安全測(cè)試報(bào)告應(yīng)包含密碼應(yīng)用安全性測(cè)試相關(guān)內(nèi)容。


判例內(nèi)容:系統(tǒng)上線前未通過安全性測(cè)試,或未對(duì)相關(guān)高風(fēng)險(xiǎn)問題進(jìn)行安全評(píng)估仍舊“帶病”上線的,可判定為高風(fēng)險(xiǎn)。安全檢查內(nèi)容可以包括但不限于掃描滲透測(cè)試、安全功能驗(yàn)證、源代碼安全審核。


適用范圍:3級(jí)及以上系統(tǒng)。


滿足條件(同時(shí)):


● 3級(jí)及以上系統(tǒng);

● 系統(tǒng)上線前未進(jìn)行任何安全性測(cè)試,或未對(duì)相關(guān)高風(fēng)險(xiǎn)問題進(jìn)行安全評(píng)估仍舊“帶病”上線。


補(bǔ)償措施:


● 如被測(cè)系統(tǒng)建成時(shí)間較長(zhǎng),定期對(duì)系統(tǒng)進(jìn)行安全檢測(cè),管理制度中相關(guān)的上線前安全測(cè)試要求,可根據(jù)實(shí)際情況,酌情減低風(fēng)險(xiǎn)等級(jí)。

● 如系統(tǒng)安全性方面是按照技術(shù)協(xié)議中的約定在開發(fā)過程中進(jìn)行控制,并能提供相關(guān)控制的證明,可根據(jù)實(shí)際情況,酌情減低風(fēng)險(xiǎn)等級(jí)。

● 可視系統(tǒng)的重要程度,被測(cè)單位的技術(shù)實(shí)力,根據(jù)自檢和第三方檢測(cè)的情況,酌情提高/減低風(fēng)險(xiǎn)等級(jí)。


整改建議:建議在新系統(tǒng)上線前,對(duì)系統(tǒng)進(jìn)行安全性評(píng)估,及時(shí)修補(bǔ)評(píng)估過程中發(fā)現(xiàn)的問題,確保系統(tǒng)不“帶病”上線。

服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號(hào)

微信公眾號(hào)