网络安全系统等级保护测评高风险判定指引(2019定稿子).doc

word网络安全等级保护测评高风险判定指引信息安全测评联盟2019年6月目 录1适用X围12术语和定义13参考依据24安全物理环境22345575安全通信网络88136安全区域边界1414192022237安全计算环境247.1网络设备、安全设备、主机设备等242427282932333337394043444548498安全区域边界51519安全管理制度535310安全管理机构545411安全建设管理5555565712安全运维管理58585962636465附件 根本要求与判例对应表67 / 网络安全等级保护测评高风险判定指引1 适用X围本指引是依据GB/T 22239-2019《信息安全技术 网络安全等级保护根本要求》有关条款，对测评过程中所发现的安全性问题进展风险判断的指引性文件指引内容包括对应要求、判例内容、适用X围、补偿措施、整改建议等要素需要指出的是，本指引无法涵盖所有高风险案例，测评机构须根据安全问题所实际面临的风险做出客观判断本指引适用于网络安全等级保护测评活动、安全检查等工作信息系统建设单位亦可参考本指引描述的案例编制系统安全需求2 术语和定义1、 可用性要求较高的系统指出现短时故障无法提供服务，可能对社会秩序、公共利益等造成严重损害的系统，即可用性级别大于等于99.9%，年度停机时间小于等于8.8小时的系统；一般包括但不限于银行、证券、非金融支付机构、互联网金融等交易类系统，提供公共服务的民生类系统、工业控制类系统等。

2、 核心网络设备指部署在核心网络节点的关键设备，一般包括但不限于核心交换机、核心路由器、核心边界防火墙等3、 数据传输完整性要求较高的系统指数据在传输过程中遭受恶意破坏或篡改，可能造成较大的财产损失，或造成严重破坏的系统，一般包括但不限于银行、证券、非金融支付机构、互联网金融等交易类系统等4、 不可控网络环境指互联网、公共网络环境、内部办公环境等无管控措施，可能存在恶意攻击、数据窃听等安全隐患的网络环境5、 可被利用的漏洞指可被攻击者用来进展网络攻击，可造成严重后果的漏洞，一般包括但不限于缓冲区溢出、提权漏洞、远程代码执行、严重逻辑缺陷、敏感数据泄露等3 参考依据GB/T 22239-2019 信息安全技术 网络安全等级保护根本要求GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求GB/T 25069-2010 信息安全技术术语4 安全物理环境4.1 物理访问控制4.1.1 机房出入口控制措施对应要求：机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员判例内容：机房出入口区域无任何访问控制措施，机房无电子或机械门锁，机房入口也无专人值守；办公或外来人员可随意进出机房，无任何管控、监控措施，存在较大安全隐患，可判高风险。

适用X围：所有系统满足条件〔同时〕：1、机房出入口区域无任何访问控制措施；2、机房无电子或机械门锁，机房入口也无专人值守；3、办公或外来人员可随意进出机房，无任何管控、监控措施补偿措施：如机房无电子门禁系统，但有其他防护措施，如机房出入配备24小时专人值守，采用摄像头实时监控等，可酌情降低风险等级整改建议：机房出入口配备电子门禁系统，通过电子门禁鉴别、记录进入的人员信息4.2 防盗窃和防破坏4.2.1 机房防盗措施对应要求：应设置机房防盗报警系统或设置有专人值守的视频监控系统判例内容：机房无防盗报警系统，也未设置有专人值守的视频监控系统，出现盗窃事件无法进展告警、追溯的，可判高风险适用X围：3级与以上系统满足条件〔同时〕：1、3级与以上系统所在机房；2、机房无防盗报警系统；3、未设置有专人值守的视频监控系统；4、机房环境不可控；5、如发生盗窃事件无法进展告警、追溯补偿措施：如果机房有专人24小时值守，并且能对进出人员进出物品进展登记的〔如局部IDC机房有要求设备进出需单登记〕，可酌情降低风险等级整改建议：建议机房部署防盗报警系统或设置有专人值守的视频监控系统，如发生盗窃事件可与时告警或进展追溯，确保机房环境的安全可控。

4.3 防火4.3.1 机房防火措施对应要求：机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火判例内容：机房内无防火措施〔既无自动灭火，也无手持灭火器/或手持灭火器药剂已过期〕，一旦发生火情，无任何消防处置措施，可判高风险适用X围：所有系统满足条件〔同时〕：机房内无任何防火措施〔既无自动灭火，也无手持灭火器/或手持灭火器药剂已过期〕补偿措施：无整改建议：建议机房设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火，相关消防设备如灭火器等应定级检查，确保防火措施有效4.4 温湿度控制4.4.1 机房温湿度控制措施对应要求：应设置温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的X围之内判例内容：机房无有效的温湿度控制措施，或温湿度长期高于或低于设备允许的温湿度X围，可能加速设备损害，提高设备的故障率，对设备的正常运行带来安全隐患，可判高风险适用X围：所有系统满足条件〔同时〕：1、机房无温湿度调节措施；2、机房温湿度长期处于设备运运行的X围之外补偿措施：对于一些特殊自然条件或特殊用途的系统，可酌情降低风险等级整改建议：建议机房设置温、湿度自动调节设备，确保机房温、湿度的变化在设备运行所允许的X围之内。

4.5 电力供给4.5.1 机房短期的备用电力供给措施对应要求：应提供短期的备用电力供给，至少满足设备在断电情况下的正常运行要求判例内容：对于可用性要求较高的系统，如银行、证券等交易类系统，提供公共服务的民生类系统、工控类系统等，机房未配备短期备用电力供给设备〔如UPS〕或配备的设备无法在短时间内满足断电情况下的正常运行要求的，可判高风险适用X围：对可用性要求较高的3级与以上系统满足条件〔同时〕：1、3级与以上系统；2、系统可用性要求较高；3、无法提供短期备用电力供给或备用电力供给无法满足系统短期正常运行补偿措施：如机房配备多路供电，且供电方同时断电概率较低的情况下，可酌情降低风险等级整改建议：建议配备容量合理的后备电源，并定期对UPS进展巡检，确保在在外部电力供给中断的情况下，备用供电设备能满足系统短期正常运行4.5.2 机房电力线路冗余措施对应要求：应设置冗余或并行的电力电缆线路为计算机系统供电判例内容：机房未配备冗余或并行电力线路供电来自于同一变电站，可判高风险适用X围：对可用性要求较高的3级与以上系统满足条件〔同时〕：1、3级与以上系统；2、系统可用性要求较高；3、机房未配备冗余或并行电力线路供电来自于同一变电站。

补偿措施：如机房配备大容量UPS，且足够保障断电情况下，一定时间内系统可正常运行或保障数据存储完整的，可酌情降低风险等级整改建议：建议配备冗余或并行的电力线路，电力线路应来自于不同的变电站；对于可用性要求较高的系统〔4级系统〕，建议变电站来自于不同的市电4.5.3 机房应急供电措施对应要求：应提供给急供电设施判例内容：系统所在的机房必须配备应急供电措施，如未配备，或应急供电措施无法使用，可判高风险适用X围：4级系统满足条件〔同时〕：1、4级系统；2、机房未配备应急供电措施，或应急供电措施不可用/无法满足系统正常允许需求补偿措施：如果系统采用多数据中心方式部署，且通过技术手段能够实现应用级灾备，一定程度上可降低单一机房发生故障所带来的可用性方面影响，可酌情降低风险等级整改建议：建议配备应急供电设施，如备用发电设备4.6 电磁防护4.6.1 机房电磁防护措施对应要求：应对关键设备或关键区域实施电磁屏蔽判例内容：对于涉与大量核心数据的系统，如机房或关键设备所在的机柜未采取电磁屏蔽措施，可判高风险适用X围：对于数据防泄漏要求较高的4级系统满足条件〔同时〕：1、4级系统；2、系统存储数据敏感性较高，有较高的某某性需求；3、机房环境复杂，有电磁泄露的风险。

补偿措施：如该4级系统涉与的信息对某某性要求不高，或者机房环境相对可控，可酌情降低风险等级整改建议：建议机房或重要设备或重要设备所在的机柜采用电磁屏蔽技术，且相关产品或技术获得相关检测认证资质的证明5 安全通信网络5.1 网络架构5.1.1 网络设备业务处理能力对应要求：应保证网络设备的业务处理能力满足业务顶峰期需要判例内容：对可用性要求较高的系统，网络设备的业务处理能力不足，顶峰时可能导致设备宕机或服务中断，影响金融秩序或引发群体事件，假如无任何技术应对措施，可判定为高风险适用X围：对可用性要求较高的3级与以上系统满足条件〔同时〕：1、3级与以上系统；2、系统可用性要求较高；3、核心网络设备性能无法满足顶峰期需求，存在业务中断隐患，如业务顶峰期，核心设备性能指标平均达到80%以上补偿措施：针对设备宕机或服务中断制定了应急预案并落实执行，可酌情降低风险等级整改建议：建议更换性能满足业务顶峰期需要的设备，并合理预计业务增长，制定适宜的扩容计划5.1.2 网络区域划分对应要求：应划分不同的网络区域，并按照方便管理和控制的原如此为各网络区域分配地址判例内容：应按照不同网络的功能、重要程度进展网络区域划分，如存在重要区域与非重要网络在同一子网或网段的，可判定为高风险。

适用X围：所有系统满足条件〔任意条件〕：1、涉与资金类交易的支付类系统与办公网同一网段；2、面向互联网提供服务的系统与内部系统同一网段；3、重要核心网络区域与非重要网络在同一网段补偿措施：无整改建议：建议根据各工作职能、重要性和所涉与信息的重要程度等因素，划分不同的网络区域，并做好各区域之间的访问控制措施5.1.3 网络访问控制设备不可控对应要求：应防止将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段判例内容：互联网边界访问控制设备无管理权限，且无其他边界防护措施的，难以保证边界防护的有效性，也无法根据业务需要或所发生的安全事件与时调整访问控制策略，可判定为高风险适用X围：所有系统满足条件〔同时〕：1、互联网边界访问控制设备无管理权限；2、无其他任何有效访问控制措施；3、无法根据业务需要或所发生的安全事件与时调整访问控制策略补偿措施：无整改建议：建议部署自有的边界访问控制设备或租用有管理权限的边界访问控制设备，且对相关设备进展合理配置5.1.4 互联网边界访问控制对应要求：应防止将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

判例内容：互联网出口无任何访问控制措施，或访问控制措施配置失效，存在较大安全隐患，可判定为高风险适用X围：所有系统满足条件〔任意条件〕：1、互联网出口无任何访问控制措施2、互联网出口访问控制措施配置不当，存在较大安全隐患3、互联网出口访问控制措施配置失效，无法起到相关控制功能补偿措施：边界访问控制设备不一定一定要是防火墙，只要是能实现相关的访问控制功能，形态为专用设备，且有相关功能能够提。