《网络安全等级保护测评高风险判定指引.docx》由会员分享,可在线阅读,更多相关《网络安全等级保护测评高风险判定指引.docx(61页珍藏版)》请在第一文库网上搜索。
1、网络安全等级保护测评高风险判定指引信息安全测评联盟2019年6月1 适用范围12 术语和定义13 参考依据24 安全物理环境2物理访问控制2防盗窃和防破坏3防火3温湿度控制4电力供应4电磁防护65 安全通信网络6网络架构6通信传输106 安全区域边界11边界防护11访问控制14入侵防范15恶意代码和垃圾邮件防范17安全审计177 安全计算环境188 络设备、安全设备、主机设备等18身份鉴别18访问控制20安全审计21入侵防范22恶意代码防范24应用系统25身份鉴别25访问控制28安全审计29入侵防范30数据完整性32数据保密性33数据备份恢复34剩余信息保护36个人信息保护378 安全区域边界
2、38集中管控389 安全管理制度40管理制度4010安全管理机构41岗位设置4111安全建设管理41产品采购和使用41外包软件开发42测试验收4312安全运维管理44漏洞和风险管理44网络和系统安全管理45恶意代码防范管理47变更管理47备份与恢复管理48应急预案管理49附件基本要求与判例对应表51网络安全等级保护测评高风险判定指引1适用范围本指引是依据GB/T22239-2019信息安全技术网络安全等级保护基本要求有关条款,对测评过程中所发现的安全性问题进行风险判断的指引性文件。指引内容包括对应要求、判例内容、适用范围、补偿措施、整改建议等要素。需要指出的是,本指引无法涵盖所有高风险案例,测
3、评机构须根据安全问题所实际面临的风险做出客观判断。本指引适用于网络安全等级保护测评活动、安全检查等工作。信息系统建设单位亦可参考本指引描述的案例编制系统安全需求。2术语和定义1、可用性要求较高的系统指出现短时故障无法提供服务,可能对社会秩序、公共利益等造成严重损害的系统,即可用性级别大于等于,年度停机时间小于等于小时的系统;一般包括但不限于银行、证券、非金融支付机构、互联网金融等交易类系统,提供公共服务的民生类系统、工业控制类系统等。2、核心网络设备指部署在核心网络节点的关键设备,一般包括但不限于核心交换机、核心路由器、核心边界防火墙等。3、数据传输完整性要求较高的系统指数据在传输过程中遭受恶
4、意破坏或篡改,可能造成较大的财产损失,或造成严重破坏的系统,一般包括但不限于银行、证券、非金融支付机构、互联网金融等交易类系统等。4、不可控网络环境指互联网、公共网络环境、内部办公环境等无管控措施,可能存在恶意攻击、数据窃听等安全隐患的网络环境。5、可被利用的漏洞指可被攻击者用来进行网络攻击,可造成严重后果的漏洞,一般包括但不限于缓冲区溢出、提权漏洞、远程代码执行、严重逻辑缺陷、敏感数据泄露等。3参考依据GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T28448-2019信息安全技术网络安全等级保护测评要求GB/T25069-2010信息安全技术术语4安全物理环境4.1
5、 物理访问控制4.1.1 机房出入口控制措施对应要求:机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。判例内容:机房出入口区域无任何访问控制措施,机房无电子或机械门锁,机房入口也无专人值守;办公或外来人员可随意进出机房,无任何管控、监控措施,存在较大安全隐患,可判高风险。适用范围:所有系统。满足条件(同时):1、机房出入口区域无任何访问控制措施;2、机房无电子或机械门锁,机房入口也无专人值守;3、办公或外来人员可随意进出机房,无任何管控、监控措施。补偿措施:如机房无电子门禁系统,但有其他防护措施,如机房出入配备24小时专人值守,采用摄像头实时监控等,可酌情降低风险等级。整改建议:机房
6、出入口配备电子门禁系统,通过电子门禁鉴别、记录进入的人员信息。4. 2防盗窃和防破坏5. 2.1机房防盗措施对应要求:应设置机房防盗报警系统或设置有专人值守的视频监控系统。判例内容:机房无防盗报警系统,也未设置有专人值守的视频监控系统,出现盗窃事件无法进行告警、追溯的,可判高风险。适用范围:3级及以上系统。满足条件(同时):1、3级及以上系统所在机房;2、机房无防盗报警系统;3、未设置有专人值守的视频监控系统;4、机房环境不可控;5、如发生盗窃事件无法进行告警、追溯。补偿措施:如果机房有专人24小时值守,并且能对进出人员进出物品进行登记的(如部分IDC机房有要求设备进出需单登记),可酌情降低风
7、险等级。整改建议:建议机房部署防盗报警系统或设置有专人值守的视频监控系统,如发生盗窃事件可及时告警或进行追溯,确保机房环境的安全可控。43防火4. 3.1机房防火措施对应要求:机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。判例内容:机房内无防火措施(既无自动灭火,也无手持灭火器/或手持灭火器药剂已过期),一旦发生火情,无任何消防处置措施,可判高风险。适用范围:所有系统。满足条件(同时):机房内无任何防火措施(既无自动灭火,也无手持灭火器/或手持灭火器药剂已过期)。补偿措施:无。整改建议:建议机房设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火,相关消防设备如灭
8、火器等应定级检查,确保防火措施有效。4.4温湿度控制4. 4.1机房温湿度控制措施对应要求:应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。判例内容:机房无有效的温湿度控制措施,或温湿度长期高于或低于设备允许的温湿度范围,可能加速设备损害,提高设备的故障率,对设备的正常运行带来安全隐患,可判高风险。适用范围:所有系统。满足条件(同时):1、机房无温湿度调节措施;2、机房温湿度长期处于设备运运行的范围之外。补偿措施:对于一些特殊自然条件或特殊用途的系统,可酌情降低风险等级。整改建议:建议机房设置温、湿度自动调节设备,确保机房温、湿度的变化在设备运行所允许的范围之内。4.5
9、电力供应4.5.1机房短期的备用电力供应措施对应要求:应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。判例内容:对于可用性要求较高的系统,如银行、证券等交易类系统,提供公共服务的民生类系统、工控类系统等,机房未配备短期备用电力供应设备(如UPS)或配备的设备无法在短时间内满足断电情况下的正常运行要求的,可判高风险。适用范围:对可用性要求较高的3级及以上系统。满足条件(同时):1、3级及以上系统;2、系统可用性要求较高;3、无法提供短期备用电力供应或备用电力供应无法满足系统短期正常运行。补偿措施:如机房配备多路供电,且供电方同时断电概率较低的情况下,可酌情降低风险等级。整改建议
10、:建议配备容量合理的后备电源,并定期对UPS进行巡检,确保在在外部电力供应中断的情况下,备用供电设备能满足系统短期正常运行。4. 5.2机房电力线路冗余措施对应要求:应设置冗余或并行的电力电缆线路为计算机系统供电。判例内容:机房未配备冗余或并行电力线路供电来自于同一变电站,可判高风险。适用范围:对可用性要求较高的3级及以上系统。满足条件(同时):1、3级及以上系统;2、系统可用性要求较高;3、机房未配备冗余或并行电力线路供电来自于同一变电站。补偿措施:如机房配备大容量UPS,且足够保障断电情况下,一定时间内系统可正常运行或保障数据存储完整的,可酌情降低风险等级。整改建议:建议配备冗余或并行的电
11、力线路,电力线路应来自于不同的变电站;对于可用性要求较高的系统(4级系统),建议变电站来自于不同的市电。4. 5.3机房应急供电措施对应要求:应提供应急供电设施。判例内容:系统所在的机房必须配备应急供电措施,如未配备,或应急供电措施无法使用,可判高风险。适用范围:4级系统。满足条件(同时):1、4级系统;2、机房未配备应急供电措施,或应急供电措施不可用/无法满足系统正常允许需求。补偿措施:如果系统采用多数据中心方式部署,且通过技术手段能够实现应用级灾备,一定程度上可降低单一机房发生故障所带来的可用性方面影响,可酌情降低风险等级。整改建议:建议配备应急供电设施,如备用发电设备。4. 6电磁防护5
12、. 6.1机房电磁防护措施对应要求:应对关键设备或关键区域实施电磁屏蔽。判例内容:对于涉及大量核心数据的系统,如机房或关键设备所在的机柜未采取电磁屏蔽措施,可判高风险。适用范围:对于数据防泄漏要求较高的4级系统。满足条件(同时):1、4级系统;2、系统存储数据敏感性较高,有较高的保密性需求;3、机房环境复杂,有电磁泄露的风险。补偿措施:如该4级系统涉及的信息对保密性要求不高,或者机房环境相对可控,可酌情降低风险等级。整改建议:建议机房或重要设备或重要设备所在的机柜采用电磁屏蔽技术,且相关产品或技术获得相关检测认证资质的证明。5安全通信网络5.1 网络架构5.1.1 网络设备业务处理能力对应要求
13、:应保证网络设备的业务处理能力满足业务高峰期需要。判例内容:对可用性要求较高的系统,网络设备的业务处理能力不足,高峰时可能导致设备宕机或服务中断,影响金融秩序或引发群体事件,若无任何技术应对措施,可判定为高风险。适用范围:对可用性要求较高的3级及以上系统。满足条件(同时):1、3级及以上系统;2、系统可用性要求较高;3、核心网络设备性能无法满足高峰期需求,存在业务中断隐患,如业务高峰期,核心设备性能指标平均达到80%以上。补偿措施:针对设备宕机或服务中断制定了应急预案并落实执行,可酌情降低风险等级。整改建议:建议更换性能满足业务高峰期需要的设备,并合理预计业务增长,制定合适的扩容计划。5.1.
14、2 网络区域划分对应要求:应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。判例内容:应按照不同网络的功能、重要程度进行网络区域划分,如存在重要区域与非重要网络在同一子网或网段的,可判定为高风险。适用范围:所有系统。满足条件(任意条件):1、涉及资金类交易的支付类系统与办公网同网段;2、面向互联网提供服务的系统与内部系统同一网段;3、重要核心网络区域与非重要网络在同一网段。补偿措施:无。整改建议:建议根据各工作职能、重要性和所涉及信息的重要程度等因素,划分不同的网络区域,并做好各区域之间的访问控制措施。5.1.3 网络访问控制设备不可控对应要求:应避免将重要网络区域部署在边
15、界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。判例内容:互联网边界访问控制设备无管理权限,且无其他边界防护措施的,难以保证边界防护的有效性,也无法根据业务需要或所发生的安全事件及时调整访问控制策略,可判定为高风险。适用范围:所有系统。满足条件(同时):1、互联网边界访问控制设备无管理权限;2、无其他任何有效访问控制措施;3、无法根据业务需要或所发生的安全事件及时调整访问控制策略。补偿措施:无。整改建议:建议部署自有的边界访问控制设备或租用有管理权限的边界访问控制设备,且对相关设备进行合理配置。5.1.4 互联网边界访问控制对应要求:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。判例内容:互联网出口无任何访问控制措施,或访问控制措