网络安全等级保护测评高风险判定指引(2019定稿).doc

精品文档，仅供学习与交流，如有侵权请联系网站删除网络安全等级保护测评高风险判定指引信息安全测评联盟2019年6月目 录1 适用范围 12 术语和定义 13 参考依据 24 安全物理环境 24.1 物理访问控制 24.2 防盗窃和防破坏 34.3 防火 44.4 温湿度控制 54.5 电力供应 54.6 电磁防护 75 安全通信网络 85.1 网络架构 85.2 通信传输 136 安全区域边界 146.1 边界防护 146.2 访问控制 196.3 入侵防范 206.4 恶意代码和垃圾邮件防范 226.5 安全审计 237 安全计算环境 247.1 网络设备、安全设备、主机设备等 247.1.1 身份鉴别 247.1.2 访问控制 277.1.3 安全审计 287.1.4 入侵防范 297.1.5 恶意代码防范 327.2 应用系统 337.2.1 身份鉴别 337.2.2 访问控制 377.2.3 安全审计 397.2.4 入侵防范 407.2.5 数据完整性 437.2.6 数据保密性 447.2.7 数据备份恢复 457.2.8 剩余信息保护 487.2.9 个人信息保护 498 安全区域边界 518.1 集中管控 519 安全管理制度 539.1 管理制度 5310 安全管理机构 5410.1 岗位设置 5411 安全建设管理 5511.1 产品采购和使用 5511.2 外包软件开发 5611.3 测试验收 5712 安全运维管理 5812.1 漏洞和风险管理 5812.2 网络和系统安全管理 5912.3 恶意代码防范管理 6212.4 变更管理 6312.5 备份与恢复管理 6412.6 应急预案管理 65附件 基本要求与判例对应表 67【精品文档】第 页网络安全等级保护测评高风险判定指引1 适用范围本指引是依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》有关条款，对测评过程中所发现的安全性问题进行风险判断的指引性文件。

指引内容包括对应要求、判例内容、适用范围、补偿措施、整改建议等要素需要指出的是，本指引无法涵盖所有高风险案例，测评机构须根据安全问题所实际面临的风险做出客观判断本指引适用于网络安全等级保护测评活动、安全检查等工作信息系统建设单位亦可参考本指引描述的案例编制系统安全需求2 术语和定义1、 可用性要求较高的系统指出现短时故障无法提供服务，可能对社会秩序、公共利益等造成严重损害的系统，即可用性级别大于等于99.9%，年度停机时间小于等于8.8小时的系统；一般包括但不限于银行、证券、非金融支付机构、互联网金融等交易类系统，提供公共服务的民生类系统、工业控制类系统等2、 核心网络设备指部署在核心网络节点的关键设备，一般包括但不限于核心交换机、核心路由器、核心边界防火墙等3、 数据传输完整性要求较高的系统指数据在传输过程中遭受恶意破坏或篡改，可能造成较大的财产损失，或造成严重破坏的系统，一般包括但不限于银行、证券、非金融支付机构、互联网金融等交易类系统等4、 不可控网络环境指互联网、公共网络环境、内部办公环境等无管控措施，可能存在恶意攻击、数据窃听等安全隐患的网络环境5、 可被利用的漏洞指可被攻击者用来进行网络攻击，可造成严重后果的漏洞，一般包括但不限于缓冲区溢出、提权漏洞、远程代码执行、严重逻辑缺陷、敏感数据泄露等。

3 参考依据GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求GB/T 25069-2010 信息安全技术术语4 安全物理环境4.1 物理访问控制4.1.1 机房出入口控制措施对应要求：机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员判例内容：机房出入口区域无任何访问控制措施，机房无电子或机械门锁，机房入口也无专人值守；办公或外来人员可随意进出机房，无任何管控、监控措施，存在较大安全隐患，可判高风险适用范围：所有系统满足条件（同时）：1、机房出入口区域无任何访问控制措施；2、机房无电子或机械门锁，机房入口也无专人值守；3、办公或外来人员可随意进出机房，无任何管控、监控措施补偿措施：如机房无电子门禁系统，但有其他防护措施，如机房出入配备24小时专人值守，采用摄像头实时监控等，可酌情降低风险等级整改建议：机房出入口配备电子门禁系统，通过电子门禁鉴别、记录进入的人员信息4.2 防盗窃和防破坏4.2.1 机房防盗措施对应要求：应设置机房防盗报警系统或设置有专人值守的视频监控系统判例内容：机房无防盗报警系统，也未设置有专人值守的视频监控系统，出现盗窃事件无法进行告警、追溯的，可判高风险。

适用范围：3级及以上系统满足条件（同时）：1、3级及以上系统所在机房；2、机房无防盗报警系统；3、未设置有专人值守的视频监控系统；4、机房环境不可控；5、如发生盗窃事件无法进行告警、追溯补偿措施：如果机房有专人24小时值守，并且能对进出人员进出物品进行登记的（如部分IDC机房有要求设备进出需单登记），可酌情降低风险等级整改建议：建议机房部署防盗报警系统或设置有专人值守的视频监控系统，如发生盗窃事件可及时告警或进行追溯，确保机房环境的安全可控4.3 防火4.3.1 机房防火措施对应要求：机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火判例内容：机房内无防火措施（既无自动灭火，也无手持灭火器/或手持灭火器药剂已过期），一旦发生火情，无任何消防处置措施，可判高风险适用范围：所有系统满足条件（同时）：机房内无任何防火措施（既无自动灭火，也无手持灭火器/或手持灭火器药剂已过期）补偿措施：无整改建议：建议机房设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火，相关消防设备如灭火器等应定级检查，确保防火措施有效4.4 温湿度控制4.4.1 机房温湿度控制措施对应要求：应设置温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的范围之内。

判例内容：机房无有效的温湿度控制措施，或温湿度长期高于或低于设备允许的温湿度范围，可能加速设备损害，提高设备的故障率，对设备的正常运行带来安全隐患，可判高风险适用范围：所有系统满足条件（同时）：1、机房无温湿度调节措施；2、机房温湿度长期处于设备运运行的范围之外补偿措施：对于一些特殊自然条件或特殊用途的系统，可酌情降低风险等级整改建议：建议机房设置温、湿度自动调节设备，确保机房温、湿度的变化在设备运行所允许的范围之内4.5 电力供应4.5.1 机房短期的备用电力供应措施对应要求：应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求判例内容：对于可用性要求较高的系统，如银行、证券等交易类系统，提供公共服务的民生类系统、工控类系统等，机房未配备短期备用电力供应设备（如UPS）或配备的设备无法在短时间内满足断电情况下的正常运行要求的，可判高风险适用范围：对可用性要求较高的3级及以上系统满足条件（同时）：1、3级及以上系统；2、系统可用性要求较高；3、无法提供短期备用电力供应或备用电力供应无法满足系统短期正常运行补偿措施：如机房配备多路供电，且供电方同时断电概率较低的情况下，可酌情降低风险等级。

整改建议：建议配备容量合理的后备电源，并定期对UPS进行巡检，确保在在外部电力供应中断的情况下，备用供电设备能满足系统短期正常运行4.5.2 机房电力线路冗余措施对应要求：应设置冗余或并行的电力电缆线路为计算机系统供电判例内容：机房未配备冗余或并行电力线路供电来自于同一变电站，可判高风险适用范围：对可用性要求较高的3级及以上系统满足条件（同时）：1、3级及以上系统；2、系统可用性要求较高；3、机房未配备冗余或并行电力线路供电来自于同一变电站补偿措施：如机房配备大容量UPS，且足够保障断电情况下，一定时间内系统可正常运行或保障数据存储完整的，可酌情降低风险等级整改建议：建议配备冗余或并行的电力线路，电力线路应来自于不同的变电站；对于可用性要求较高的系统（4级系统），建议变电站来自于不同的市电4.5.3 机房应急供电措施对应要求：应提供应急供电设施判例内容：系统所在的机房必须配备应急供电措施，如未配备，或应急供电措施无法使用，可判高风险适用范围：4级系统满足条件（同时）：1、4级系统；2、机房未配备应急供电措施，或应急供电措施不可用/无法满足系统正常允许需求补偿措施：如果系统采用多数据中心方式部署，且通过技术手段能够实现应用级灾备，一定程度上可降低单一机房发生故障所带来的可用性方面影响，可酌情降低风险等级。

整改建议：建议配备应急供电设施，如备用发电设备4.6 电磁防护4.6.1 机房电磁防护措施对应要求：应对关键设备或关键区域实施电磁屏蔽判例内容：对于涉及大量核心数据的系统，如机房或关键设备所在的机柜未采取电磁屏蔽措施，可判高风险适用范围：对于数据防泄漏要求较高的4级系统满足条件（同时）：1、4级系统；2、系统存储数据敏感性较高，有较高的保密性需求；3、机房环境复杂，有电磁泄露的风险补偿措施：如该4级系统涉及的信息对保密性要求不高，或者机房环境相对可控，可酌情降低风险等级整改建议：建议机房或重要设备或重要设备所在的机柜采用电磁屏蔽技术，且相关产品或技术获得相关检测认证资质的证明5 安全通信网络5.1 网络架构5.1.1 网络设备业务处理能力对应要求：应保证网络设备的业务处理能力满足业务高峰期需要判例内容：对可用性要求较高的系统，网络设备的业务处理能力不足，高峰时可能导致设备宕机或服务中断，影响金融秩序或引发群体事件，若无任何技术应对措施，可判定为高风险适用范围：对可用性要求较高的3级及以上系统满足条件（同时）：1、3级及以上系统；2、系统可用性要求较高；3、核心网络设备性能无法满足高峰期需求，存在业务中断隐患，如业务高峰期，核心设备性能指标平均达到80%以上。

补偿措施：针对设备宕机或服务中断制定了应急预案并落实执行，可酌情降低风险等级整改建议：建议更换性能满足业务高峰期需要的设备，并合理预计业务增长，制定合适的扩容计划5.1.2 网络区域划分对应要求：应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址判例内容：应按照不同网络的功能、重要程度进行网络区域划分，如存在重要区域与非重要网络在同一子网或网段的，可判定为高风险适用范围：所有系统满足条件（任意条件）：1、涉及资金类交易的支付类系统与办公网同一网段；2、面向互联网提供服务的系统与内部系统同一网段；3、重要核心网络区域与非重要网络在同一网段补偿措施：无整改建议：建议根据各工作职能、重要性和所涉及信息的重要程度等因素，划分不同的网络区域，并做好各区域之间的访问控制措施5.1.3 网络访问控制设备不可控对应要求：应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段判例内容：互联网边界访问控制设备无管理权限，且无其他边界防护措施的，难以保证边界防护的有效性，也无法根据业务。