安全資訊

等保2.0管理部分測評高風(fēng)險匯總

【時(shí)間】2019-11-21

【編輯】Admin

【瀏覽量】

【等級保護QQ交流群】881590869

適用范圍

     《網(wǎng)絡(luò )安全等級保護測評高風(fēng)險判定指引》是依據GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》有關(guān)條款,對測評過(guò)程中所發(fā)現的安全性問(wèn)題進(jìn)行風(fēng)險判斷的指引性文件。指引內容包括對應要求、判例內容、適用范圍、補償措施、整改建議等要素。

需要指出的是,本指引無(wú)法涵蓋所有高風(fēng)險案例,測評機構須根據安全問(wèn)題所實(shí)際面臨的風(fēng)險做出客觀(guān)判斷。
本指引適用于網(wǎng)絡(luò )安全等級保護測評活動(dòng)、安全檢查等工作。信息系統建設單位亦可參考本指引描述的案例編制系統安全需求。

    

9安全管理制度

9.1管理制度


9.1.1管理制度建設:

對應要求:應對安全管理活動(dòng)中的各類(lèi)管理內容建立安全管理制度。

判例內容:未建立任何與安全管理活動(dòng)相關(guān)的管理制度或相關(guān)管理制度無(wú)法適用于當前被測系統的,可判定為高風(fēng)險。

適用范圍:所有系統。

滿(mǎn)足條件(任意條件):

1、未建立任何與安全管理活動(dòng)相關(guān)的管理制度。

2、相關(guān)管理制度無(wú)法適用于當前被測系統。

補償措施:無(wú)。

整改建議:建議按照等級保護的相關(guān)要求,建立包括總體方針、安全策略在內的各類(lèi)與安全管理活動(dòng)相關(guān)的管理制度。



10安全管理機構

10.1崗位設置


10.1.1網(wǎng)絡(luò )安全領(lǐng)導小組建立:

      對應要求:應成立指導和管理網(wǎng)絡(luò )安全工作的委員會(huì )或領(lǐng)導小組,其最高領(lǐng)導由單位主管領(lǐng)導擔任或授權。
判例內容:未成立指導和管理信息安全工作的委員會(huì )或領(lǐng)導小組,或其最高領(lǐng)導不是由單位主管領(lǐng)導委任或授權,可判定為高風(fēng)險。
適用范圍:3級及以上系統。
滿(mǎn)足條件(同時(shí)):
1、3級及以上系統;
2、未成立指導和管理信息安全工作的委員會(huì )或領(lǐng)導小組,或領(lǐng)導小組最高領(lǐng)導不是由單位主管領(lǐng)導委任或授權。
補償措施:無(wú)。
整改建議:建議成立指導和管理網(wǎng)絡(luò )安全工作的委員會(huì )或領(lǐng)導小組,其最高領(lǐng)導由單位主管領(lǐng)導擔任或授權。


11安全建設管理

11.1產(chǎn)品采購和使用


11.1.1網(wǎng)絡(luò )安全產(chǎn)品采購和使用:

對應要求:應確保網(wǎng)絡(luò )安全產(chǎn)品采購和使用符合國家的有關(guān)規定。
判例內容:網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品的使用違反國家有關(guān)規定,可判定為高風(fēng)險。
適用范圍:所有系統。
滿(mǎn)足條件:網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品的使用違反國家有關(guān)規定。
補償措施:無(wú)。
整改建議:建議依據國家有關(guān)規定,采購和使用網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品。(《網(wǎng)絡(luò )安全法》第二十三條規定網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品應當按照相關(guān)國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求后,方可銷(xiāo)售或者提供。國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)制定、公布網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄,并推動(dòng)安全認證和安全檢測結果互認,避免重復認證、檢測。)


11.1.2密碼產(chǎn)品與服務(wù)采購和使用:

對應要求:應確保密碼產(chǎn)品與服務(wù)的采購和使用符合國家密碼管理主管部門(mén)的要求。
判例內容:密碼產(chǎn)品與服務(wù)的使用違反國家密碼管理主管部門(mén)的要求,可判定為高風(fēng)險。
適用范圍:所有系統。
滿(mǎn)足條件:密碼產(chǎn)品與服務(wù)的使用違反國家密碼管理主管部門(mén)的要求。
補償措施:無(wú)。
整改建議:建議依據國家密碼管理主管部門(mén)的要求,使用密碼產(chǎn)品與服務(wù)。(如《商用密碼產(chǎn)品使用管理規定》等)


11.2外包軟件開(kāi)發(fā)


11.2.1外包開(kāi)發(fā)代碼審計:

對應要求:應保證開(kāi)發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門(mén)和隱蔽信道。
判例內容:對于涉及金融、民生、基礎設施等重要行業(yè)的業(yè)務(wù)核心系統由外包公司開(kāi)發(fā),上線(xiàn)前未對外包公司開(kāi)發(fā)的系統進(jìn)行源代碼審查,外包商也無(wú)法提供相關(guān)安全檢測證明,可判定為高風(fēng)險。
適用范圍:涉及金融、民生、基礎設施等重要核心領(lǐng)域的3級及以上系統。
滿(mǎn)足條件(同時(shí)):
1、3級及以上系統;
2、涉及金融、民生、基礎設施等重要行業(yè)的業(yè)務(wù)核心系統;
3、被測單位為對外包公司開(kāi)發(fā)的系統進(jìn)行源代碼安全審查;
4、外包公司也無(wú)法提供第三方安全檢測證明。
補償措施:
1、開(kāi)發(fā)公司可提供國家認可的第三方機構出具的源代碼安全審查報告/證明,可視為等效措施,判符合。
2、可根據系統的用途以及外包開(kāi)發(fā)公司的開(kāi)發(fā)功能的重要性,根據實(shí)際情況,酌情提高/減低風(fēng)險等級。
3、如第三方可提供軟件安全性測試證明(非源碼審核),可視實(shí)際情況,酌情減低風(fēng)險等級。
4、如被測方通過(guò)合同等方式與外包開(kāi)發(fā)公司明確安全責任或采取相關(guān)技術(shù)手段進(jìn)行防控的,可視實(shí)際情況,酌情降低風(fēng)險等級。
5、如被測系統建成時(shí)間較長(cháng),但定期對系統進(jìn)行安全檢測,當前管理制度中明確規定外包開(kāi)發(fā)代碼審計的,可根據實(shí)際情況,酌情減低風(fēng)險等級。
整改建議:建議對外包公司開(kāi)發(fā)的核心系統進(jìn)行源代碼審查,檢查是否存在后門(mén)和隱蔽信道。如沒(méi)有技術(shù)手段進(jìn)行源碼審查的,可聘請第三方專(zhuān)業(yè)機構對相關(guān)代碼進(jìn)行安全檢測。


11.3測試驗收


11.3.1上線(xiàn)前安全測試:

對應要求:應進(jìn)行上線(xiàn)前的安全性測試,并出具安全測試報告,安全測試報告應包含密碼應用安全性測試相關(guān)內容。
判例內容:系統上線(xiàn)前未通過(guò)安全性測試,或未對相關(guān)高風(fēng)險問(wèn)題進(jìn)行安全評估仍舊帶病上線(xiàn)的,可判定為高風(fēng)險。安全檢查內容可以包括但不限于掃描滲透測試、安全功能驗證、源代碼安全審核。
適用范圍:3級及以上系統。
滿(mǎn)足條件(同時(shí)):
1、3級及以上系統;
2、系統上線(xiàn)前未進(jìn)行任何安全性測試,或未對相關(guān)高風(fēng)險問(wèn)題進(jìn)行安全評估仍舊帶病上線(xiàn)。
補償措施:
1、如被測系統建成時(shí)間較長(cháng),定期對系統進(jìn)行安全檢測,管理制度中相關(guān)的上線(xiàn)前安全測試要求,可根據實(shí)際情況,酌情減低風(fēng)險等級。
2、如系統安全性方面是按照技術(shù)協(xié)議中的約定在開(kāi)發(fā)過(guò)程中進(jìn)行控制,并能提供相關(guān)控制的證明,可根據實(shí)際情況,酌情減低風(fēng)險等級。
2、可視系統的重要程度,被測單位的技術(shù)實(shí)力,根據自檢和第三方檢測的情況,酌情提高/減低風(fēng)險等級。
整改建議:建議在新系統上線(xiàn)前,對系統進(jìn)行安全性評估,及時(shí)修補評估過(guò)程中發(fā)現的問(wèn)題,確保系統不帶病上線(xiàn)。


12安全運維管理

12.1漏洞和風(fēng)險管理


12.1.1安全漏洞和隱患的識別與修補:

對應要求:應采取必要的措施識別安全漏洞和隱患,對發(fā)現的安全漏洞和隱患及時(shí)進(jìn)行修補或評估可能的影響后進(jìn)行修補。
判例內容:未對發(fā)現的安全漏洞和隱患及時(shí)修補,會(huì )導致系統存在較大的安全隱患,黑客有可能利用安全漏洞對系統實(shí)施惡意攻擊,如果安全漏洞和隱患能夠構成高危風(fēng)險,可判定為高風(fēng)險。
適用范圍:3級及以上系統。
滿(mǎn)足條件(同時(shí)):
1、3級及以上系統;
2、通過(guò)漏洞掃描,發(fā)現存在可被利用的高風(fēng)險漏洞;
3、未對相關(guān)漏洞進(jìn)行評估或修補,對系統安全構成重大隱患。
補償措施:如果安全漏洞修補可能會(huì )對系統的正常運行造成沖突,應對發(fā)現的安全漏洞和隱患進(jìn)行評估,分析被利用的可能性,判斷安全風(fēng)險的等級,在可接受的范圍內進(jìn)行殘余風(fēng)險評估,明確風(fēng)險等級,若無(wú)高危風(fēng)險,可酌情降低風(fēng)險。
整改建議:建議對發(fā)現的安全漏洞和隱患進(jìn)行及時(shí)修補評估,對必須修補的安全漏洞和隱患進(jìn)行加固測試,測試無(wú)誤后,備份系統數據,再從生產(chǎn)環(huán)境進(jìn)行修補,對于剩余安全漏洞和隱患進(jìn)行殘余風(fēng)險分析,明確安全風(fēng)險整改原則。


12.2網(wǎng)絡(luò )和系統安全管理


12.2.1重要運維操作變更管理:

對應要求:應嚴格控制變更性運維,經(jīng)過(guò)審批后才可改變連接、安裝系統組件或調整配置參數,操作過(guò)程中應保留不可更改的審計日志,操作結束后應同步更新配置信息庫。
判例內容:未對運維過(guò)程中改變連接、安裝系統組件或調整配置參數進(jìn)行變更審批,且未進(jìn)行變更性測試,一旦安裝系統組件或調整配置參數對系統造成影響,有可能導致系統無(wú)法正常訪(fǎng)問(wèn),出現異常,可判定為高風(fēng)險。
適用范圍:3級及以上系統。
滿(mǎn)足條件(同時(shí)):
1、3級及以上系統;
2、未建立變更管理制度,對于重大變更性運維過(guò)程無(wú)審批流程;
3、變更過(guò)程未保留相關(guān)操作日志及備份措施,出現問(wèn)題不發(fā)進(jìn)行恢復還原。
補償措施:無(wú)。
整改建議:建議對需要作出變更性運維的動(dòng)作進(jìn)行審批,并對變更內容進(jìn)行測試,在測試無(wú)誤后,備份系統數據和參數配置,再從生產(chǎn)環(huán)境進(jìn)行變更,并明確變更流程以及回退方案,變更完成后進(jìn)行配置信息庫更新。

12.2.2運維工具的管控:

對應要求:應嚴格控制運維工具的使用,經(jīng)過(guò)審批后才可接入進(jìn)行操作,操作過(guò)程中應保留不可更改的審計日志,操作結束后應刪除工具中的敏感數據。
判例內容:未對各類(lèi)運維工具(特別是未商業(yè)化的運維工具)進(jìn)行有效性檢查,未對運維工具的接入進(jìn)行嚴格的控制和審批,運維工具中可能存在漏洞或后門(mén),一旦被黑客利用有可能造成數據泄漏,可判定為高風(fēng)險。
適用范圍:3級及以上系統。
滿(mǎn)足條件(同時(shí)):
1、3級及以上系統;
2、未對各類(lèi)運維工具(特別是未商業(yè)化的運維工具)進(jìn)行有效性檢查,如病毒、漏洞掃描等;對運維工具的接入也未進(jìn)行嚴格的控制和審批;操作結束后也未要求刪除可能臨時(shí)存放的敏感數據。
補償措施:
1、如使用官方正版商用化工具,或自行開(kāi)發(fā)的,安全可供的運維工具,可根據實(shí)際情況,酌情降低風(fēng)險等級。
2、如對于運維工具的接入有嚴格的控制措施,且有審計系統對相關(guān)運維操作進(jìn)行審計,可根據實(shí)際情況,酌情降低風(fēng)險等級。
整改建議:如果必須使用運維工具,建議使用商業(yè)化的運維工具,嚴禁運維人員私自下載第三方未商業(yè)化的運維工具。

12.2.3運維外聯(lián)的管控:

對應要求:應保證所有與外部的連接均得到授權和批準,應定期檢查違反規定無(wú)線(xiàn)上網(wǎng)及其他違反網(wǎng)絡(luò )安全策略的行為。
判例內容:制度上服務(wù)器及終端與外部連接的授權和批準制度,也未定期對相關(guān)違反網(wǎng)絡(luò )安全策略的行為進(jìn)行檢查,存在違規外聯(lián)的安全隱患,一旦內網(wǎng)服務(wù)器或終端違規外聯(lián),可能造成涉密信息(商密信息)的泄露,同時(shí)增加了感染病毒的可能性,可判定為高風(fēng)險。
適用范圍:3級及以上系統。
滿(mǎn)足條件(同時(shí)):
1、3級及以上系統;
2、管理制度上無(wú)關(guān)于外部連接的授權和審批流程,也未定期進(jìn)行相關(guān)的巡檢;
3、無(wú)技術(shù)手段檢查違規上網(wǎng)及其他網(wǎng)絡(luò )安全策略的行為。
補償措施:在網(wǎng)絡(luò )部署了相關(guān)的準入控制設備,可有效控制、檢查、阻斷違規無(wú)線(xiàn)上網(wǎng)及其他違反網(wǎng)絡(luò )安全策略行為的情況下,如未建立相關(guān)制度,未定期進(jìn)行巡檢,可酌情降低風(fēng)險等級。
整改建議:建議制度上明確所有與外部連接的授權和批準制度,并定期對相關(guān)違反行為進(jìn)行檢查,可采取終端管理系統實(shí)現違規外聯(lián)和違規接入,設置合理的安全策略,在出現違規外聯(lián)和違規接入時(shí)能第一時(shí)間進(jìn)行檢測和阻斷。


12.3惡意代碼防范管理


12.3.1外來(lái)接入設備惡意代碼檢查:

對應要求:應提高所有用戶(hù)的防惡意代碼意識,對外來(lái)計算機或存儲設備接入系統前進(jìn)行惡意代碼檢查等。
判例內容:外來(lái)計算機或存儲設備本身可能已被感染病毒或木馬,未對其接入系統前進(jìn)行惡意代碼檢查,可能導致系統感染病毒或木馬,對信息系統極大的危害,可判定為高風(fēng)險。
適用范圍:所有系統。
滿(mǎn)足條件(同時(shí)):
1、未在管理制度或安全培訓手冊中明確外來(lái)計算機或存儲設備接入安全操作流程;
2、外來(lái)計算機或存儲設備接入系統前未進(jìn)行惡意代碼檢查。
補償措施:無(wú)。
整改建議:建議制定外來(lái)接入設備檢查制度,對任何外來(lái)計算機或存儲設備接入系統前必須經(jīng)過(guò)惡意代碼檢查,再檢查無(wú)誤后,經(jīng)過(guò)審批,設備方可接入系統。


12.4變更管理


12.4.1需求變更管理:

對應要求:應明確變更需求,變更前根據變更需求制定變更方案,變更方案經(jīng)過(guò)評審、審批后方可實(shí)施。
判例內容:未明確變更管理流程,未對需要變更的內容進(jìn)行分析與論證,未制定詳細的變更方案,無(wú)法明確變更的需求與必要性;變更的同時(shí)也伴隨著(zhù)可能導致系統無(wú)法正常訪(fǎng)問(wèn)的風(fēng)險,可判定為高風(fēng)險。
適用范圍:3級及以上系統。
滿(mǎn)足條件(同時(shí)):
1、3級及以上系統;
2、無(wú)變更管理制度,或變更管理制度中無(wú)變更管理流程、變更內容分析與論證、變更方案審批流程等相關(guān)內容。
補償措施:無(wú)。
整改建議:建議系統的任何變更均需要管理流程,必須組織相關(guān)人員(業(yè)務(wù)部門(mén)人員與系統運維人員等)進(jìn)行分析與論證,在確定必須變更后,制定詳細的變更方案,在經(jīng)過(guò)審批后,先對系統進(jìn)行備份,然后在實(shí)施變更。


12.5備份與恢復管理

12.5.1數據備份策略:

對應要求:應根據數據的重要性和數據對系統運行的影響,制定數據的備份策略和恢復策略、備份程序和恢復程序等。

判例內容:未明確數據備份策略和數據恢復策略,以及備份程序和恢復程序,無(wú)法實(shí)現重要數據的定期備份與恢復性測試,一旦系統出現故障,需要恢復數據,存在無(wú)數據可恢復的情況,或者備份的數據未經(jīng)過(guò)恢復性測試,無(wú)法確保備份的數據可用,可判定為高危風(fēng)險。此外,如有相關(guān)制度,但未實(shí)施,視為制度內容未落實(shí),可判定為高風(fēng)險。

適用范圍:3級及以上系統。

滿(mǎn)足條件(同時(shí)):

1、3級及以上系統;

2、無(wú)備份與恢復等相關(guān)的安全管理制度,或未按照相關(guān)策略落實(shí)數據備份。

補償措施:

1、未建立相關(guān)數據備份制度,但若已實(shí)施數據備份措施,且備份機制符合業(yè)務(wù)需要,可酌情降低風(fēng)險等級。

2、如系統還未正式上線(xiàn),則可檢查是否制定了相關(guān)的管理制度,目前的技術(shù)措施(如環(huán)境、存儲等)是否可以滿(mǎn)足制度中規定的備份恢復策略要求,可根據實(shí)際情況判斷風(fēng)險等級。

整改建議:建議制定備份與恢復相關(guān)的制度,明確數據備份策略和數據恢復策略,以及備份程序和恢復程序,實(shí)現重要數據的定期備份與恢復性測試,保證備份數據的高可用性與可恢復性。



12.6應急預案管理


12.6.1應急預案制定:

對應要求:應制定重要事件的應急預案,包括應急處理流程、系統恢復流程等內容。

判例內容:未制定重要事件的應急預案,未明確重要事件的應急處理流程、系統恢復流程等內容,一旦出現應急事件,無(wú)法合理有序的進(jìn)行應急事件處置過(guò)程,造成應急響應時(shí)間增長(cháng),導致系統不能在最短的事件內進(jìn)行恢復,可判定為高風(fēng)險。

適用范圍:所有系統。

滿(mǎn)足條件:未制定重要事件的應急預案。

補償措施:如制定了應急預演,但內容不全,可根據實(shí)際情況,酌情降低風(fēng)險等級。

整改建議:建議制定重要事件的應急預案,明確重要事件的應急處理流程、系統恢復流程等內容,并對應急預案進(jìn)行演練。


12.6.2應急預案培訓演練:

對應要求:應定期對系統相關(guān)的人員進(jìn)行應急預案培訓,并進(jìn)行應急預案的演練。
判例內容:未定期對相關(guān)人員進(jìn)行應急預案培訓,未根據不同的應急預案進(jìn)行應急演練,無(wú)法提供應急預案培訓和演練記錄,可判定為高風(fēng)險。
適用范圍:3級及以上系統。
滿(mǎn)足條件:
1、3級及以上系統;
2、未定期對系統相關(guān)的人員進(jìn)行應急預案培訓;
3、未進(jìn)行過(guò)應急預案的演練。
補償措施:如系統還未正式上線(xiàn),可根據培訓演練制度及相關(guān)培訓計劃,根據實(shí)際情況判斷風(fēng)險等級。
整改建議:建議定期對相關(guān)人員進(jìn)行應急預案培訓與演練,并保留應急預案培訓和演練記錄,使參與應急的人員熟練掌握應急的整個(gè)過(guò)程。

服務(wù)熱線(xiàn)

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò )公眾號

微信公眾號

午夜成人无码免费看网站_97国语自产拍在线_无码一区精油按摩视频_国产色婷婷五月精品综合在线