網(wǎng)絡(luò)安全等級保護測評高風險判定指引等保0

1、網(wǎng)絡(luò)安全等級保護測評高風險判定指引信息安全測評聯(lián)盟2019年6月目錄 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 適用范圍 1 HYPERLINK l bookmark6 o Current Document 術(shù)語和定義 1 HYPERLINK l bookmark8 o Current Document 參考依據(jù) 2安全物理環(huán)境 2物理訪問控制 2防盜竊和防破壞 2防火 3溫濕度控制 4電力供應(yīng) 4電磁防護 6安全通信網(wǎng)絡(luò) 6網(wǎng)絡(luò)架構(gòu) 6通信傳輸 10安全區(qū)域邊界 11邊界防護 11訪問控制 13入侵防范 15惡意代碼和垃圾郵

2、件防范 16安全審計 16安全計算環(huán)境 17網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機設(shè)備等17身份鑒別 17訪問控制 19安全審計20入侵防范21惡意代碼防范23應(yīng)用系統(tǒng) 24身份鑒別24 HYPERLINK l bookmark175 o Current Document 訪問控制27 HYPERLINK l bookmark181 o Current Document 安全審計28入侵防范29數(shù)據(jù)完整性31數(shù)據(jù)保密性31 HYPERLINK l bookmark217 o Current Document 數(shù)據(jù)備份恢復32剩余信息保護35個人信息保護36安全區(qū)域邊界 37集中管控 37安全管理制度 38管

3、理制度 38 HYPERLINK l bookmark277 o Current Document 安全管理機構(gòu) 39崗位設(shè)置 39安全建設(shè)管理 40產(chǎn)品采購和使用 40外包軟件開發(fā) 40測試驗收 41安全運維管理 42漏洞和風險管理 42網(wǎng)絡(luò)和系統(tǒng)安全管理 43惡意代碼防范管理 45變更管理 45備份與恢復管理 46應(yīng)急預(yù)案管理 47 HYPERLINK l bookmark332 o Current Document 附件基本要求與判例對應(yīng)表49網(wǎng)絡(luò)安全等級保護測評高風險判定指引適用范圍本指引是依據(jù)GB/T 22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求有關(guān)條 款，對測評過程中所

4、發(fā)現(xiàn)的安全性問題進行風險判斷的指引性文件。指引內(nèi)容包括對應(yīng)要 求、判例內(nèi)容、適用范圍、補償措施、整改建議等要素。需要指出的是，本指引無法涵蓋所有高風險案例，測評機構(gòu)須根據(jù)安全問題所實際面臨 的風險做出客觀判斷。本指引適用于網(wǎng)絡(luò)安全等級保護測評活動、安全檢查等工作。信息系統(tǒng)建設(shè)單位亦可參 考本指引描述的案例編制系統(tǒng)安全需求。術(shù)語和定義1、可用性要求較高的系統(tǒng)指出現(xiàn)短時故障無法提供服務(wù)，可能對社會秩序、公共利益等造成嚴重損害的系統(tǒng)，即 可用性級別大于等于99.9%，年度停機時間小于等于8.8小時的系統(tǒng)；一般包括但不限于銀 行、證券、非金融支付機構(gòu)、互聯(lián)網(wǎng)金融等交易類系統(tǒng)，提供公共服務(wù)的民生類系統(tǒng)、

5、工業(yè) 控制類系統(tǒng)等。2、核心網(wǎng)絡(luò)設(shè)備指部署在核心網(wǎng)絡(luò)節(jié)點的關(guān)鍵設(shè)備，一般包括但不限于核心交換機、核心路由器、核心 邊界防火墻等。3、數(shù)據(jù)傳輸完整性要求較高的系統(tǒng)指數(shù)據(jù)在傳輸過程中遭受惡意破壞或篡改，可能造成較大的財產(chǎn)損失，或造成嚴重破壞 的系統(tǒng)，一般包括但不限于銀行、證券、非金融支付機構(gòu)、互聯(lián)網(wǎng)金融等交易類系統(tǒng)等。 4、不可控網(wǎng)絡(luò)環(huán)境指互聯(lián)網(wǎng)、公共網(wǎng)絡(luò)環(huán)境、內(nèi)部辦公環(huán)境等無管控措施，可能存在惡意攻擊、數(shù)據(jù)竊聽 等安全隱患的網(wǎng)絡(luò)環(huán)境。5、可被利用的漏洞指可被攻擊者用來進行網(wǎng)絡(luò)攻擊，可造成嚴重后果的漏洞，一般包括但不限于緩沖區(qū)溢 出、提權(quán)漏洞、遠程代碼執(zhí)行、嚴重邏輯缺陷、敏感數(shù)據(jù)泄露等。參考依據(jù)G

6、B/T 22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T 28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求GB/T 25069-2010信息安全技術(shù)術(shù)語安全物理環(huán)境物理訪問控制機房出入口控制措施對應(yīng)要求：機房出入口應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。判例內(nèi)容：機房出入口區(qū)域無任何訪問控制措施，機房無電子或機械門鎖，機房入口也 無專人值守；辦公或外來人員可隨意進出機房，無任何管控、監(jiān)控措施，存在較大安全隱患， 可判高風險。適用范圍：所有系統(tǒng)。滿足條件（同時）：1、機房出入口區(qū)域無任何訪問控制措施；2、機房無電子或機械門鎖，機房入口也無專人值守；3、辦公或外來人

7、員可隨意進出機房，無任何管控、監(jiān)控措施。補償措施：如機房無電子門禁系統(tǒng)，但有其他防護措施，如機房出入配備24小時專人值 守，采用攝像頭實時監(jiān)控等，可酌情降低風險等級。整改建議：機房出入口配備電子門禁系統(tǒng)，通過電子門禁鑒別、記錄進入的人員信息。防盜竊和防破壞機房防盜措施對應(yīng)要求：應(yīng)設(shè)置機房防盜報警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)。判例內(nèi)容：機房無防盜報警系統(tǒng)，也未設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)，出現(xiàn)盜竊事件 無法進行告警、追溯的，可判高風險。適用范圍：3級及以上系統(tǒng)。滿足條件（同時）：1、3級及以上系統(tǒng)所在機房；2、機房無防盜報警系統(tǒng)；3、未設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)；4、機房環(huán)境不可控；5、

8、如發(fā)生盜竊事件無法進行告警、追溯。補償措施：如果機房有專人24小時值守，并且能對進出人員進出物品進行登記的（如部 分IDC機房有要求設(shè)備進出需單登記），可酌情降低風險等級。整改建議：建議機房部署防盜報警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)，如發(fā)生盜竊 事件可及時告警或進行追溯，確保機房環(huán)境的安全可控。防火機房防火措施對應(yīng)要求：機房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火。判例內(nèi)容：機房內(nèi)無防火措施（既無自動滅火，也無手持滅火器/或手持滅火器藥劑已 過期），一旦發(fā)生火情，無任何消防處置措施，可判高風險。適用范圍：所有系統(tǒng)。滿足條件（同時）：機房內(nèi)無任何防火措施（既無自動滅火，

9、也無手持滅火器/或手持滅火器藥劑已過期）。補償措施：無。整改建議：建議機房設(shè)置火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅 火，相關(guān)消防設(shè)備如滅火器等應(yīng)定級檢查，確保防火措施有效。溫濕度控制機房溫濕度控制措施對應(yīng)要求：應(yīng)設(shè)置溫濕度自動調(diào)節(jié)設(shè)施，使機房溫濕度的變化在設(shè)備運行所允許的范圍 之內(nèi)。判例內(nèi)容：機房無有效的溫濕度控制措施，或溫濕度長期高于或低于設(shè)備允許的溫濕度 范圍，可能加速設(shè)備損害，提高設(shè)備的故障率，對設(shè)備的正常運行帶來安全隱患，可判高風 險。適用范圍：所有系統(tǒng)。滿足條件（同時）：1、機房無溫濕度調(diào)節(jié)措施；2、機房溫濕度長期處于設(shè)備運運行的范圍之外。補償措施：對于一些特殊自然

10、條件或特殊用途的系統(tǒng)，可酌情降低風險等級。整改建議：建議機房設(shè)置溫、濕度自動調(diào)節(jié)設(shè)備，確保機房溫、濕度的變化在設(shè)備運行 所允許的范圍之內(nèi)。電力供應(yīng)機房短期的備用電力供應(yīng)措施對應(yīng)要求：應(yīng)提供短期的備用電力供應(yīng)，至少滿足設(shè)備在斷電情況下的正常運行要求。判例內(nèi)容：對于可用性要求較高的系統(tǒng)，如銀行、證券等交易類系統(tǒng)，提供公共服務(wù)的 民生類系統(tǒng)、工控類系統(tǒng)等，機房未配備短期備用電力供應(yīng)設(shè)備（如UPS）或配備的設(shè)備無 法在短時間內(nèi)滿足斷電情況下的正常運行要求的，可判高風險。適用范圍：對可用性要求較高的3級及以上系統(tǒng)。滿足條件（同時）：1、3級及以上系統(tǒng)；2、系統(tǒng)可用性要求較高；3、無法提供短期備用電力供應(yīng)

11、或備用電力供應(yīng)無法滿足系統(tǒng)短期正常運行。補償措施：如機房配備多路供電，且供電方同時斷電概率較低的情況下，可酌情降低風 險等級。整改建議：建議配備容量合理的后備電源，并定期對UPS進行巡檢，確保在在外部電力 供應(yīng)中斷的情況下，備用供電設(shè)備能滿足系統(tǒng)短期正常運行。機房電力線路冗余措施對應(yīng)要求：應(yīng)設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電。判例內(nèi)容：機房未配備冗余或并行電力線路供電來自于同一變電站，可判高風險。適用范圍：對可用性要求較高的3級及以上系統(tǒng)。滿足條件（同時）：1、3級及以上系統(tǒng)；2、系統(tǒng)可用性要求較高；3、機房未配備冗余或并行電力線路供電來自于同一變電站。補償措施：如機房配備大容量UP

12、S，且足夠保障斷電情況下，一定時間內(nèi)系統(tǒng)可正常運 行或保障數(shù)據(jù)存儲完整的，可酌情降低風險等級。整改建議：建議配備冗余或并行的電力線路，電力線路應(yīng)來自于不同的變電站；對于可 用性要求較高的系統(tǒng)（4級系統(tǒng)），建議變電站來自于不同的市電。機房應(yīng)急供電措施對應(yīng)要求：應(yīng)提供應(yīng)急供電設(shè)施。判例內(nèi)容：系統(tǒng)所在的機房必須配備應(yīng)急供電措施，如未配備，或應(yīng)急供電措施無法使 用，可判高風險。適用范圍：4級系統(tǒng)。滿足條件（同時）：1、4級系統(tǒng)；2、機房未配備應(yīng)急供電措施，或應(yīng)急供電措施不可用/無法滿足系統(tǒng)正常允許需求。補償措施：如果系統(tǒng)采用多數(shù)據(jù)中心方式部署，且通過技術(shù)手段能夠?qū)崿F(xiàn)應(yīng)用級災(zāi)備， 一定程度上可降低單一機

13、房發(fā)生故障所帶來的可用性方面影響，可酌情降低風險等級。整改建議：建議配備應(yīng)急供電設(shè)施，如備用發(fā)電設(shè)備。電磁防護機房電磁防護措施對應(yīng)要求：應(yīng)對關(guān)鍵設(shè)備或關(guān)鍵區(qū)域?qū)嵤╇姶牌帘?。判例?nèi)容：對于涉及大量核心數(shù)據(jù)的系統(tǒng)，如機房或關(guān)鍵設(shè)備所在的機柜未采取電磁屏 蔽措施，可判高風險。適用范圍：對于數(shù)據(jù)防泄漏要求較高的4級系統(tǒng)。滿足條件（同時）：1、4級系統(tǒng)；2、系統(tǒng)存儲數(shù)據(jù)敏感性較高，有較高的保密性需求；3、機房環(huán)境復雜，有電磁泄露的風險。補償措施：如該4級系統(tǒng)涉及的信息對保密性要求不高，或者機房環(huán)境相對可控，可酌 情降低風險等級。整改建議：建議機房或重要設(shè)備或重要設(shè)備所在的機柜采用電磁屏蔽技術(shù)，且相關(guān)產(chǎn)品

14、 或技術(shù)獲得相關(guān)檢測認證資質(zhì)的證明。安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力對應(yīng)要求：應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要。判例內(nèi)容：對可用性要求較高的系統(tǒng)，網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力不足，高峰時可能導致 設(shè)備宕機或服務(wù)中斷，影響金融秩序或引發(fā)群體事件，若無任何技術(shù)應(yīng)對措施，可判定為高 風險。適用范圍：對可用性要求較高的3級及以上系統(tǒng)。滿足條件（同時）：1、3級及以上系統(tǒng)；2、系統(tǒng)可用性要求較高；3、核心網(wǎng)絡(luò)設(shè)備性能無法滿足高峰期需求，存在業(yè)務(wù)中斷隱患，如業(yè)務(wù)高峰期，核心 設(shè)備性能指標平均達到80%以上。補償措施：針對設(shè)備宕機或服務(wù)中斷制定了應(yīng)急預(yù)案并落實執(zhí)行，可酌情降低風險等級。整改建

15、議：建議更換性能滿足業(yè)務(wù)高峰期需要的設(shè)備，并合理預(yù)計業(yè)務(wù)增長，制定合適 的擴容計劃。網(wǎng)絡(luò)區(qū)域劃分對應(yīng)要求：應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地 址。判例內(nèi)容：應(yīng)按照不同網(wǎng)絡(luò)的功能、重要程度進行網(wǎng)絡(luò)區(qū)域劃分，如存在重要區(qū)域與非 重要網(wǎng)絡(luò)在同一子網(wǎng)或網(wǎng)段的，可判定為高風險。適用范圍：所有系統(tǒng)。滿足條件（任意條件）：1、涉及資金類交易的支付類系統(tǒng)與辦公網(wǎng)同一網(wǎng)段；2、面向互聯(lián)網(wǎng)提供服務(wù)的系統(tǒng)與內(nèi)部系統(tǒng)同一網(wǎng)段；3、重要核心網(wǎng)絡(luò)區(qū)域與非重要網(wǎng)絡(luò)在同一網(wǎng)段。補償措施：無。整改建議：建議根據(jù)各工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的 網(wǎng)絡(luò)區(qū)域，并做好各區(qū)域之間

16、的訪問控制措施。網(wǎng)絡(luò)訪問控制設(shè)備不可控對應(yīng)要求：應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng) 采取可靠的技術(shù)隔離手段。判例內(nèi)容：互聯(lián)網(wǎng)邊界訪問控制設(shè)備無管理權(quán)限，且無其他邊界防護措施的，難以保證 邊界防護的有效性，也無法根據(jù)業(yè)務(wù)需要或所發(fā)生的安全事件及時調(diào)整訪問控制策略，可判 定為高風險。適用范圍：所有系統(tǒng)。滿足條件（同時）：1、互聯(lián)網(wǎng)邊界訪問控制設(shè)備無管理權(quán)限；2、無其他任何有效訪問控制措施；3、無法根據(jù)業(yè)務(wù)需要或所發(fā)生的安全事件及時調(diào)整訪問控制策略。補償措施：無。整改建議：建議部署自有的邊界訪問控制設(shè)備或租用有管理權(quán)限的邊界訪問控制設(shè)備， 且對相關(guān)設(shè)備進行合理配置?；?/p>

17、聯(lián)網(wǎng)邊界訪問控制對應(yīng)要求：應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng) 采取可靠的技術(shù)隔離手段。判例內(nèi)容：互聯(lián)網(wǎng)出口無任何訪問控制措施，或訪問控制措施配置失效，存在較大安全 隱患，可判定為高風險。適用范圍：所有系統(tǒng)。滿足條件（任意條件）：1、互聯(lián)網(wǎng)出口無任何訪問控制措施。2、互聯(lián)網(wǎng)出口訪問控制措施配置不當，存在較大安全隱患。3、互聯(lián)網(wǎng)出口訪問控制措施配置失效，無法起到相關(guān)控制功能。補償措施：邊界訪問控制設(shè)備不一定一定要是防火墻，只要是能實現(xiàn)相關(guān)的訪問控制功 能，形態(tài)為專用設(shè)備，且有相關(guān)功能能夠提供相應(yīng)的檢測報告，可視為等效措施，判符合。 如通過路由器、交換機或者帶ACL功

18、能的負載均衡器等設(shè)備實現(xiàn)，可根據(jù)系統(tǒng)重要程度，設(shè) 備性能壓力等因素，酌情判定風險等級。整改建議：建議在互聯(lián)網(wǎng)出口部署專用的訪問控制設(shè)備，并合理配置相關(guān)控制策略，確 ?？刂拼胧┯行?。不同區(qū)域邊界訪問控制對應(yīng)要求：應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng) 采取可靠的技術(shù)隔離手段。判例內(nèi)容：辦公網(wǎng)與生產(chǎn)網(wǎng)之間無訪問控制措施，辦公環(huán)境任意網(wǎng)絡(luò)接入均可對核心生 產(chǎn)服務(wù)器和網(wǎng)絡(luò)設(shè)備進行管理，可判定為高風險。適用范圍：所有系統(tǒng)。滿足條件（同時）：1、辦公網(wǎng)與生產(chǎn)網(wǎng)之間無訪問控制措施；2、辦公環(huán)境任意網(wǎng)絡(luò)接入均可對核心生產(chǎn)服務(wù)器和網(wǎng)絡(luò)設(shè)備進行管理。補償措施：邊界訪問控制設(shè)備不一定一定

19、要是防火墻，只要是能實現(xiàn)相關(guān)的訪問控制功 能，形態(tài)為專用設(shè)備，且有相關(guān)功能能夠提供相應(yīng)的檢測報告，可視為等效措施，判符合。 如通過路由器、交換機或者帶ACL功能的負載均衡器等設(shè)備實現(xiàn)，可根據(jù)系統(tǒng)重要程度，設(shè) 備性能壓力等因素，酌情判定風險等級。整改建議：建議不同網(wǎng)絡(luò)區(qū)域間應(yīng)部署訪問控制設(shè)備，并合理配置訪問控制策略，確保 控制措施有效。關(guān)鍵線路、設(shè)備冗余對應(yīng)要求：應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計算設(shè)備的硬件冗余，保證系統(tǒng)的可 用性。判例內(nèi)容：對可用性要求較高的系統(tǒng)，若網(wǎng)絡(luò)鏈路為單鏈路，核心網(wǎng)絡(luò)節(jié)點、核心網(wǎng)絡(luò) 設(shè)備或關(guān)鍵計算設(shè)備無冗余設(shè)計，一旦出現(xiàn)故障，可能導致業(yè)務(wù)中斷，可判定為高風險。適用范

20、圍：對可用性要求較高的3級及以上系統(tǒng)。滿足條件（同時）：1、3級及以上系統(tǒng)；2、系統(tǒng)可用性要求較高；3、關(guān)鍵鏈路、核心網(wǎng)絡(luò)設(shè)備或關(guān)鍵計算設(shè)備無任何無冗余措施，存在單點故障。補償措施：1、如系統(tǒng)采取多數(shù)據(jù)中心部署，或有應(yīng)用級災(zāi)備環(huán)境，能在生產(chǎn)環(huán)境出現(xiàn)故障情況下 提供服務(wù)的，可酌情降低風險等級。2、對于系統(tǒng)可用性要求不高的其他3級系統(tǒng)，如無冗余措施，可酌情降低風險等級。3、如核心安全設(shè)備采用并聯(lián)方式部署，對安全防護能力有影響，但不會形成單點故障， 也不會造成重大安全隱患的，可酌情降低風險等級。整改建議：建議關(guān)鍵網(wǎng)絡(luò)鏈路、核心網(wǎng)絡(luò)設(shè)備、關(guān)鍵計算設(shè)備采用冗余設(shè)計和部署（如 采用熱備、負載均衡等部署方式

21、），保證系統(tǒng)的高可用性。通信傳輸傳輸完整性保護對應(yīng)要求：應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。判例內(nèi)容：對數(shù)據(jù)傳輸完整性要求較高的系統(tǒng)，數(shù)據(jù)在網(wǎng)絡(luò)層傳輸無完整性保護措施， 一旦數(shù)據(jù)遭到篡改，可能造成財產(chǎn)損失的，可判定為高風險。適用范圍：對數(shù)據(jù)傳輸完整性要求較高的3級及以上系統(tǒng)。滿足條件（同時）：1、3級及以上系統(tǒng)；2、系統(tǒng)數(shù)據(jù)傳輸完整性要求較高；3、數(shù)據(jù)在網(wǎng)絡(luò)層傳輸無任何完整性保護措施。補償措施：如應(yīng)用層提供完整性校驗等措施，或采用可信網(wǎng)絡(luò)傳輸，可酌情降低風險等 級。整改建議：建議采用校驗技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。傳輸保密性保護對應(yīng)要求：應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保

22、密性。判例內(nèi)容：口令、密鑰等重要敏感信息在網(wǎng)絡(luò)中明文傳輸，可判定為高風險。適用范圍：3級及以上系統(tǒng)。滿足條件（同時）：1、3級及以上系統(tǒng)；2、設(shè)備、主機、數(shù)據(jù)庫、應(yīng)用等口令、密鑰等重要敏感信息在網(wǎng)絡(luò)中明文傳輸；3、該網(wǎng)絡(luò)管控措施不到位，存在口令被竊取并遠程登錄的風險。補償措施：1、如網(wǎng)絡(luò)接入管控較好且網(wǎng)絡(luò)環(huán)境為內(nèi)網(wǎng)封閉可控環(huán)境，確保密碼被竊取難度較大， 或使用多因素等措施確保即使密碼被竊取也無法進行管理，可酌情降低風險等級。2、如業(yè)務(wù)形態(tài)上必須使用遠程Internet訪問的相關(guān)設(shè)備，設(shè)備采用多因素認證，且嚴格 限制管理地址的，可酌情降低風險等級。整改建議：建議相關(guān)設(shè)備開啟SSH或HTTPS協(xié)議

23、或創(chuàng)建加密通道，通過這些加密方式傳 輸敏感信息。安全區(qū)域邊界邊界防護互聯(lián)網(wǎng)邊界訪問控制對應(yīng)要求：應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通信。判例內(nèi)容：互聯(lián)網(wǎng)出口無任何訪問控制措施，或訪問控制措施配置失效，存在較大安全 隱患，可判定為高風險。適用范圍：所有系統(tǒng)。滿足條件（任意條件）：1、互聯(lián)網(wǎng)出口無任何訪問控制措施。2、互聯(lián)網(wǎng)出口訪問控制措施配置不當，存在較大安全隱患。3、互聯(lián)網(wǎng)出口訪問控制措施配置失效，無法起到相關(guān)控制功能。補償措施：邊界訪問控制設(shè)備不一定一定要是防火墻，只要是能實現(xiàn)相關(guān)的訪問控制功 能，形態(tài)為專用設(shè)備，且有相關(guān)功能能夠提供相應(yīng)的檢測報告，可視為等效措施，判

24、符合。 如通過路由器、交換機或者帶ACL功能的負載均衡器等設(shè)備實現(xiàn)，可根據(jù)系統(tǒng)重要程度，設(shè) 備性能壓力等因素，酌情判定風險等級。整改建議：建議在互聯(lián)網(wǎng)出口部署專用的訪問控制設(shè)備，并合理配置相關(guān)控制策略，確 保控制措施有效。網(wǎng)絡(luò)訪問控制設(shè)備不可控對應(yīng)要求：應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通信。判例內(nèi)容：互聯(lián)網(wǎng)邊界訪問控制設(shè)備若無管理權(quán)限，且未按需要提供訪問控制策略，無 法根據(jù)業(yè)務(wù)需要或所發(fā)生的安全事件及時調(diào)整訪問控制策略，可判定為高風險。適用范圍：所有系統(tǒng)。滿足條件（同時）：1、互聯(lián)網(wǎng)邊界訪問控制設(shè)備無管理權(quán)限；2、無其他任何有效訪問控制措施；3、無法根據(jù)業(yè)務(wù)需要或所發(fā)

25、生的安全事件及時調(diào)整訪問控制策略。補償措施：無。整改建議：建議部署自有的邊界訪問控制設(shè)備或租用有管理權(quán)限的邊界訪問控制設(shè)備， 且對相關(guān)設(shè)備進行合理配置。違規(guī)內(nèi)聯(lián)檢查措施對應(yīng)要求：應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查或限制。判例內(nèi)容：非授權(quán)設(shè)備能夠直接接入重要網(wǎng)絡(luò)區(qū)域，如服務(wù)器區(qū)、管理網(wǎng)段等，且無任 何告警、限制、阻斷等措施的，可判定為高風險。適用范圍：3級及以上系統(tǒng)。滿足條件（同時）：1、3級及以上系統(tǒng)；2、機房、網(wǎng)絡(luò)等環(huán)境不可控，存在非授權(quán)接入可能；3、可非授權(quán)接入網(wǎng)絡(luò)重要區(qū)域，如服務(wù)器區(qū)、管理網(wǎng)段等；4、無任何控制措施，控制措施包括限制、檢查、阻斷等。補償措施：如接入的區(qū)域有嚴

26、格的物理訪問控制，采用靜態(tài)P地址分配，關(guān)閉不必要的 接入端口，IP-MAC地址綁定等措施的，可酌情降低風險等級。整改建議：建議部署能夠?qū)`規(guī)內(nèi)聯(lián)行為進行檢查、定位和阻斷的安全準入產(chǎn)品。違規(guī)外聯(lián)檢查措施對應(yīng)要求：應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查或限制。判例內(nèi)容：核心重要服務(wù)器設(shè)備、重要核心管理終端，如無法對非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的 行為進行檢查或限制，或內(nèi)部人員可旁路、繞過邊界訪問控制設(shè)備私自外聯(lián)互聯(lián)網(wǎng)，可判定 為高風險。適用范圍：3級及以上系統(tǒng)。滿足條件（同時）：1、3級及以上系統(tǒng)；2、機房、網(wǎng)絡(luò)等環(huán)境不可控，存在非授權(quán)外聯(lián)可能；3、對于核心重要服務(wù)器、重要核心管理終端存在私自外聯(lián)

27、互聯(lián)網(wǎng)可能；4、無任何控制措施，控制措施包括限制、檢查、阻斷等。補償措施：如機房、網(wǎng)絡(luò)等環(huán)境可控，非授權(quán)外聯(lián)可能較小，相關(guān)設(shè)備上QSB接口、 無線網(wǎng)卡等有管控措施，對網(wǎng)絡(luò)異常進行監(jiān)控及日志審查，可酌情降低風險等級。整改建議：建議部署能夠?qū)`規(guī)外聯(lián)行為進行檢查、定位和阻斷的安全管理產(chǎn)品。無線網(wǎng)絡(luò)管控措施對應(yīng)要求：應(yīng)限制無線網(wǎng)絡(luò)的使用，保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)。判例內(nèi)容：內(nèi)部核心網(wǎng)絡(luò)與無線網(wǎng)絡(luò)互聯(lián)，且之間無任何管控措施，一旦非授權(quán)接入無 線網(wǎng)絡(luò)即可訪問內(nèi)部核心網(wǎng)絡(luò)區(qū)域，存在較大安全隱患，可判定為高風險。適用范圍：3級及以上系統(tǒng)。滿足條件（同時）：1、3級及以上系統(tǒng)；2、內(nèi)部核心網(wǎng)

28、絡(luò)與無線網(wǎng)絡(luò)互聯(lián)，且不通過任何受控的邊界設(shè)備，或邊界設(shè)備控制策 略設(shè)置不當；3、非授權(quán)接入無線網(wǎng)絡(luò)將對內(nèi)部核心網(wǎng)絡(luò)帶來較大安全隱患。補償措施：1、在特殊應(yīng)用場景下，無線覆蓋區(qū)域較小，且嚴格受控，僅有授權(quán)人員方可進入覆蓋 區(qū)域的，可酌情降低風險等級；2、對無線接入有嚴格的管控及身份認證措施，非授權(quán)接入可能較小，可根據(jù)管控措施 的情況酌情降低風險等級。整改建議：如無特殊需要，內(nèi)部核心網(wǎng)絡(luò)不應(yīng)與無線網(wǎng)絡(luò)互聯(lián)；如因業(yè)務(wù)需要，則建議 加強對無線網(wǎng)絡(luò)設(shè)備接入的管控，并通過邊界設(shè)備對無線網(wǎng)絡(luò)的接入設(shè)備對內(nèi)部核心網(wǎng)絡(luò)的 訪問進行限制，降低攻擊者利用無線網(wǎng)絡(luò)入侵內(nèi)部核心網(wǎng)絡(luò)。訪問控制互聯(lián)網(wǎng)邊界訪問控制對應(yīng)要求：

29、應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認情況下 除允許通信外受控接口拒絕所有通信。判例內(nèi)容：與互聯(lián)網(wǎng)互連的系統(tǒng)，邊界處如無專用的訪問控制設(shè)備或配置了全通策略， 可判定為高風險。適用范圍：所有系統(tǒng)。滿足條件（任意條件）：1、互聯(lián)網(wǎng)出口無任何訪問控制措施。2、互聯(lián)網(wǎng)出口訪問控制措施配置不當，存在較大安全隱患。3、互聯(lián)網(wǎng)出口訪問控制措施配置失效，啟用透明模式，無法起到相關(guān)控制功能。補償措施：邊界訪問控制設(shè)備不一定一定要是防火墻，只要是能實現(xiàn)相關(guān)的訪問控制功 能，形態(tài)為專用設(shè)備，且有相關(guān)功能能夠提供相應(yīng)的檢測報告，可視為等效措施，判符合。 如通過路由器、交換機或者帶ACL功能的負載

30、均衡器等設(shè)備實現(xiàn)，可根據(jù)系統(tǒng)重要程度，設(shè) 備性能壓力等因素，酌情判定風險等級。整改建議：建議在互聯(lián)網(wǎng)出口部署專用的訪問控制設(shè)備，并合理配置相關(guān)控制策略，確 ?？刂拼胧┯行?。通信協(xié)議轉(zhuǎn)換及隔離措施對應(yīng)要求：應(yīng)在網(wǎng)絡(luò)邊界通過通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等方式進行數(shù)據(jù)交換。判例內(nèi)容：可控網(wǎng)絡(luò)環(huán)境與不可控網(wǎng)絡(luò)環(huán)境之間數(shù)據(jù)傳輸未采用通信協(xié)議轉(zhuǎn)換或通信協(xié) 議隔離等方式進行數(shù)據(jù)轉(zhuǎn)換，可判定為高風險。適用范圍：4級系統(tǒng)。滿足條件（同時）：1、4級系統(tǒng)；2、可控網(wǎng)絡(luò)環(huán)境與不可控網(wǎng)絡(luò)環(huán)境之間數(shù)據(jù)傳輸未進行數(shù)據(jù)格式或協(xié)議轉(zhuǎn)化，也未采 用通訊協(xié)議隔離措施。補償措施：如通過相關(guān)技術(shù)/安全專家論證，系統(tǒng)由于業(yè)務(wù)場景需要，無

31、法通過通信協(xié) 議轉(zhuǎn)換或通信協(xié)議隔離等方式進行數(shù)據(jù)轉(zhuǎn)換的，但有其他安全保障措施的，可酌情降低風險 等級。整改建議：建議數(shù)據(jù)在不同等級網(wǎng)絡(luò)邊界之間傳輸時，通過通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔 離等方式進行數(shù)據(jù)交換。入侵防范外部網(wǎng)絡(luò)攻擊防御對應(yīng)要求：應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為。判例內(nèi)容：關(guān)鍵網(wǎng)絡(luò)節(jié)點（如互聯(lián)網(wǎng)邊界處）未采取任何防護措施，無法檢測、阻止或 限制互聯(lián)網(wǎng)發(fā)起的攻擊行為，可判定為高風險。適用范圍：3級及以上系統(tǒng)。滿足條件（同時）：1、3級及以上系統(tǒng)；2、關(guān)鍵網(wǎng)絡(luò)節(jié)點（如互聯(lián)網(wǎng)邊界處）無任何入侵防護手段（如入侵防御設(shè)備、云防、 WAF等對外部網(wǎng)絡(luò)發(fā)起的攻擊行為進行檢測、

32、阻斷或限制）。補償措施：如具備入侵檢測能力QDS），且監(jiān)控措施較為完善，能夠及時對入侵行為 進行干預(yù)的，可酌情降低風險等級。整改建議：建議在關(guān)鍵網(wǎng)絡(luò)節(jié)點（如互聯(lián)網(wǎng)邊界處）合理部署可對攻擊行為進行檢測、 阻斷或限制的防護設(shè)備（如PT攻擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)、威脅情報檢測系統(tǒng)、入侵防護 系統(tǒng)等），或購買云防等外部抗攻擊服務(wù)。內(nèi)部網(wǎng)絡(luò)攻擊防御對應(yīng)要求：應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。判例內(nèi)容：關(guān)鍵網(wǎng)絡(luò)節(jié)點（如核心服務(wù)器區(qū)與其他內(nèi)部網(wǎng)絡(luò)區(qū)域邊界處）未采取任何防 護措施，無法檢測、阻止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為，可判定為高風險。適用范圍：3級及以上系統(tǒng)。滿足條件（同時）：1

33、、3級及以上系統(tǒng)；2、關(guān)鍵網(wǎng)絡(luò)節(jié)點（如核心服務(wù)器區(qū)與其他內(nèi)部網(wǎng)絡(luò)區(qū)域邊界處）無任何入侵防護手段 （如入侵防御、防火墻等對內(nèi)部網(wǎng)絡(luò)發(fā)起的攻擊行為進行檢測、阻斷或限制）。補償措施：如核心服務(wù)器區(qū)與其他內(nèi)部網(wǎng)絡(luò)之間部署了防火墻等訪問控制設(shè)備，且訪問 控制措施較為嚴格，發(fā)生內(nèi)部網(wǎng)絡(luò)攻擊可能性較小或有一定的檢測、防止或限制能力，可酌 情降低風險等級。整改建議：建議在關(guān)鍵網(wǎng)絡(luò)節(jié)點處（如核心服務(wù)器區(qū)與其他內(nèi)部網(wǎng)絡(luò)區(qū)域邊界處）進行 嚴格的訪問控制措施，并部署相關(guān)的防護設(shè)備，檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行 為。惡意代碼和垃圾郵件防范網(wǎng)絡(luò)層惡意代碼防范對應(yīng)要求：應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對惡意代碼進行檢測和清除，

34、并維護惡意代碼防護機制 的升級和更新。判例內(nèi)容：主機和網(wǎng)絡(luò)層均無任何惡意代碼檢測和清除措施的，可判定為高風險。適用范圍：所有系統(tǒng)。滿足條件（同時）：1、主機層無惡意代碼檢測和清除措施；2、網(wǎng)絡(luò)層無惡意代碼檢測和清除措施。補償措施：1、如主機層部署惡意代碼檢測和清除產(chǎn)品，且惡意代碼庫保持更新，可酌情降低風險 等級。2、如2級及以下系統(tǒng)，使用Linux、Unix系統(tǒng)，主機和網(wǎng)絡(luò)層均未部署惡意代碼檢測和 清除產(chǎn)品，可視總體防御措施酌情降低風險等級。3、對與外網(wǎng)完全物理隔離的系統(tǒng)，其網(wǎng)絡(luò)環(huán)境、USB介質(zhì)等管控措施較好，可酌情降 低風險等級。整改建議：建議在關(guān)鍵網(wǎng)絡(luò)節(jié)點處部署惡意代碼檢測和清除產(chǎn)品，且與

35、主機層惡意代碼 防范產(chǎn)品形成異構(gòu)模式，有效檢測及清除可能出現(xiàn)的惡意代碼攻擊。安全審計網(wǎng)絡(luò)安全審計措施對應(yīng)要求：應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要 的用戶行為和重要安全事件進行審計。判例內(nèi)容：在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點無任何安全審計措施，無法對重要的用戶行為和 重要安全事件進行日志審計，可判定為高風險。適用范圍：所有系統(tǒng)。滿足條件（同時）：1、無法對重要的用戶行為和重要安全事件進行日志審計。補償措施：無。整改建議：建議在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點，對重要的用戶行為和重要安全事件進行日 志審計，便于對相關(guān)事件或行為進行追溯。安全計算環(huán)境7.1網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機設(shè)備等

36、身份鑒別設(shè)備弱口令對應(yīng)要求：應(yīng)對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息 具有復雜度要求并定期更換。判例內(nèi)容：網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等存在空口令或弱口令帳戶，并可 通過該弱口令帳戶登錄，可判定為高風險。適用范圍：所有系統(tǒng)。滿足條件（同時）：1、存在空口令或弱口令帳戶；2、可使用該弱口令帳戶登錄。補償措施：1、如采用雙因素認證等管控手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關(guān)設(shè) 備，可酌情降低風險等級。2、如測評對象重要性較低，不會對整個信息系統(tǒng)安全性產(chǎn)生任何影響，可酌情降低風 險等級。整改建議：建議刪除或重命名默認賬戶，制定相關(guān)管理制度，規(guī)范口令的最小

37、長度、復 雜度與生存周期，并根據(jù)管理制度要求，合理配置賬戶口令策略，提高口令質(zhì)量。遠程管理防護對應(yīng)要求：當進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。判例內(nèi)容：通過不可控網(wǎng)絡(luò)環(huán)境遠程管理的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等， 鑒別信息明文傳輸，容易被監(jiān)聽，造成數(shù)據(jù)泄漏，可判定為高風險。適用范圍：所有系統(tǒng)。滿足條件（同時）：1、通過不可控網(wǎng)絡(luò)環(huán)境遠程進行管理；2、管理帳戶口令以明文方式傳輸；3、使用截獲的帳號可遠程登錄。補償措施：1、如整個遠程管理過程中，只能使用加密傳輸通道進行鑒別信息傳輸?shù)?，可視為等?措施，判符合。2、如采用多因素身份認證、訪問地址限定、僅允許內(nèi)部

38、可控網(wǎng)絡(luò)進行訪問的措施時， 竊聽到口令而無法直接進行遠程登錄的，可酌情降低風險等級。3、如通過其他技術(shù)管控手段（如準入控制、桌面管理、行為管理等），降低數(shù)據(jù)竊聽 隱患的，可酌情降低風險等級。4、在有管控措施的情況下，如果默認采用加密進行管理，但同時也開啟非加密管理方 式，可根據(jù)實際管理情況，酌情判斷風險等級。5、可根據(jù)被測對象的作用以及重要程度，可根據(jù)實際情況，酌情判斷風險等級。整改建議：建議盡可能避免通過不可控網(wǎng)絡(luò)對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫 等進行遠程管理，如確有需要，則建議采取措施或使用加密機制（如VPN加密通道、開啟 SSH、HTTPS協(xié)議等），防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被

39、竊聽。 雙因素認證對應(yīng)要求：應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶 進行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)。判例內(nèi)容：重要核心設(shè)備、操作系統(tǒng)等未采用兩種或兩種以上鑒別技術(shù)對用戶身份進行 鑒別。例如僅使用用戶名/口令方式進行身份驗證，削弱了管理員賬戶的安全性，無法避免 賬號的未授權(quán)竊取或違規(guī)使用，可判定為高風險。適用范圍：3級及以上系統(tǒng)。滿足條件（同時）：1、3級及以上系統(tǒng)；2、重要核心設(shè)備、操作系統(tǒng)等通過不可控網(wǎng)絡(luò)環(huán)境遠程進行管理；3、設(shè)備未啟用兩種或兩種以上鑒別技術(shù)對用戶身份進行鑒別；4級系統(tǒng)多種鑒別技術(shù)中 未用到密碼技術(shù)或生物技術(shù)。補償措施：1

40、、如設(shè)備通過本地登錄方式（非網(wǎng)絡(luò)方式）維護，本地物理環(huán)境可控，可酌情降低風 險等級。2、采用兩重用戶名/口令認證措施（兩重口令不同），例如身份認證服務(wù)器、堡壘機等 手段，可酌情降低風險等級。3、如設(shè)備所在物理環(huán)境、網(wǎng)絡(luò)環(huán)境安全可控，網(wǎng)絡(luò)竊聽、違規(guī)接入等隱患較小，口令 策略和復雜度、長度符合要求的情況下，可酌情降低風險等級。4、可根據(jù)被測對象的作用以及重要程度，根據(jù)實際情況，酌情判斷風險等級。整改建議：建議重要核心設(shè)備、操作系統(tǒng)等增加除用戶名/口令以外的身份鑒別技術(shù)， 如密碼/令牌、生物鑒別方式等，實現(xiàn)雙因子身份鑒別，增強身份鑒別的安全力度。訪問控制默認口令處理對應(yīng)要求：應(yīng)重命名或刪除默認賬戶，

41、修改默認賬戶的默認口令。判例內(nèi)容：網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等默認賬號的默認口令未修改，使 用默認口令進行登錄設(shè)備，可判定為高風險。適用范圍：所有系統(tǒng)。滿足條件（同時）：1、未修改默認帳戶的默認口令；2、可使用該默認口令賬號登錄。補償措施：無。整改建議：建議網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等重命名或刪除默認管理員賬 戶，修改默認密碼，使其具備一定的強度，增強賬戶安全性。安全審計設(shè)備安全審計措施對應(yīng)要求：應(yīng)啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全 事件進行審計。判例內(nèi)容：重要核心網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等未開啟任何審計功能， 無法對重要的用戶行為

42、和重要安全事件進行審計，也無法對事件進行溯源，可判定為高風險。適用范圍：3級及以上系統(tǒng)。滿足條件（同時）：1、3級及以上系統(tǒng)2、重要核心網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等未開啟任何審計功能，無法對 重要的用戶行為和重要安全事件進行審計；3、無其他技術(shù)手段對重要的用戶行為和重要安全事件進行溯源。補償措施：1、如使用堡壘機或其他第三方審計工具進行日志審計，能有效記錄用戶行為和重要安 全事件，可視為等效措施，判符合。2、如通過其他技術(shù)或管理手段能對事件進行溯源的，可酌情降低風險等級。3、如核查對象非重要核心設(shè)備，對整個信息系統(tǒng)影響有限的情況下，可酌情降低風險 等級。整改建議：建議在重要核心設(shè)備、

43、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫性能允許的前提下，開 啟用戶操作類和安全事件類審計策略或使用第三方日志審計工具，實現(xiàn)對相關(guān)設(shè)備操作與安 全行為的全面審計記錄，保證發(fā)生安全問題時能夠及時溯源。入侵防范不必要服務(wù)處置對應(yīng)要求：應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認共享和高危端口。判例內(nèi)容：網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)等存在多余系統(tǒng)服務(wù)/默認共享/高危端口存 在，且存在可被利用的高危漏洞或重大安全隱患，可判定為高風險。適用范圍：所有系統(tǒng)。滿足條件：操作系統(tǒng)上的多余系統(tǒng)服務(wù)/默認共享/高危端口存在可被利用的高風險漏洞 或重大安全隱患。補償措施：如通過其他技術(shù)手段能降低漏洞影響，可酌情降低風險等級。整改建議：建議網(wǎng)絡(luò)設(shè)

44、備、安全設(shè)備、操作系統(tǒng)等關(guān)閉不必要的服務(wù)和端口，減少后門 等安全漏洞；根據(jù)自身應(yīng)用需求，需要開啟共享服務(wù)的，應(yīng)合理設(shè)置相關(guān)配置，如設(shè)置賬戶 權(quán)限等。管理終端管控措施對應(yīng)要求：應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進行管理的管理終端進 行限制。判例內(nèi)容：通過不可控網(wǎng)絡(luò)環(huán)境遠程管理的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等， 未采取技術(shù)手段對管理終端進行限制，可判定為高風險。適用范圍：3級及以上系統(tǒng)。滿足條件（同時）：1、3級及以上系統(tǒng)；2、可通過不可控網(wǎng)絡(luò)環(huán)境遠程進行管理；3、未采取技術(shù)手段對管理終端進行管控（管控措施包括但不限于終端接入管控、網(wǎng)絡(luò)地址范圍限制、堡壘機等）。補償措施：如管理

45、終端部署在運維區(qū)、可控網(wǎng)絡(luò)或采用多種身份鑒別方式等技術(shù)措施， 可降低終端管控不善所帶來的安全風險的，可酌情降低風險等級。整改建議：建議通過技術(shù)手段，對管理終端進行限制。已知重大漏洞修補對應(yīng)要求：應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補漏洞。判例內(nèi)容：對于一些互聯(lián)網(wǎng)直接能夠訪問到的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫 等，如存在外界披露的重大漏洞，未及時修補更新，無需考慮是否有OC攻擊代碼，可判定 為高風險。適用范圍：所有系統(tǒng)。滿足條件（同時）：1、該設(shè)備可通過互聯(lián)網(wǎng)訪問；2、該設(shè)備型號、版本存在外界披露的重大安全漏洞；3、未及時采取修補或其他有效防范措施。補償措施：1、如相

46、關(guān)漏洞暴露在可控的網(wǎng)絡(luò)環(huán)境，可酌情降低風險等級。2、如某網(wǎng)絡(luò)設(shè)備的WEB管理界面存在高風險漏洞，而該WEB管理界面只能通過特定IP 或特定可控環(huán)境下才可訪問，可酌情降低風險等級。整改建議：建議訂閱安全廠商漏洞推送或本地安裝安全軟件，及時了解漏洞動態(tài)，在充 分測試評估的基礎(chǔ)上，彌補嚴重安全漏洞。測試發(fā)現(xiàn)漏洞修補對應(yīng)要求：應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補漏洞。判例內(nèi)容：通過驗證測試或滲透測試能夠確認并利用的，可對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操 作系統(tǒng)、數(shù)據(jù)庫等造成重大安全隱患的漏洞（包括但不限于緩沖區(qū)溢出、提權(quán)漏洞、遠程代 碼執(zhí)行、嚴重邏輯缺陷、敏感數(shù)據(jù)泄露等），可判定為高風險

47、。適用范圍：所有系統(tǒng)。滿足條件（同時）：1、存在可被利用的高風險漏洞；2、通過驗證測試或滲透測試確認該高風險漏洞可能對該設(shè)備造成重大安全隱患。補償措施：只有在相關(guān)設(shè)備所在的物理、網(wǎng)絡(luò)、管理環(huán)境嚴格受控，發(fā)生攻擊行為可能 性較小的情況下，方可酌情降低風險等級；對于互聯(lián)網(wǎng)可訪問到的設(shè)備，原則上不宜降低其 風險等級。整改建議：建議在充分測試的情況下，及時對設(shè)備進行補丁更新，修補已知的高風險安 全漏洞；此外，還應(yīng)定期對設(shè)備進行漏掃，及時處理發(fā)現(xiàn)的風險漏洞，提高設(shè)備穩(wěn)定性與安 全性。惡意代碼防范操作系統(tǒng)惡意代碼防范對應(yīng)要求：應(yīng)采用主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效阻斷。判例內(nèi)容：Wi

48、ndows操作系統(tǒng)未安裝防惡意代碼軟件，并進行統(tǒng)一管理，無法防止來自 外部的惡意攻擊或系統(tǒng)漏洞帶來的危害，可判定為高風險。適用范圍：所有系統(tǒng)。滿足條件（任意條件）：1、Windows操作系統(tǒng)未安裝殺毒軟件。2、Windows操作系統(tǒng)安裝的殺毒軟件病毒庫一月以上未更新。（可根據(jù)服務(wù)器部署環(huán) 境、行業(yè)或系統(tǒng)特性縮短或延長病毒庫更新周期）補償措施：1、如一個月以上未更新，但有完備的補丁更新/測試計劃，且有歷史計劃執(zhí)行記錄的， 可根據(jù)服務(wù)器部署環(huán)境、行業(yè)或系統(tǒng)特性酌情降低風險等級。2、可與網(wǎng)絡(luò)安全部分中的入侵防范和訪問控制措施相結(jié)合來綜合評定風險，如網(wǎng)絡(luò)層 部署了惡意代碼防范設(shè)備，可酌情降低風險等級。

49、3、對與外網(wǎng)完全物理隔離的系統(tǒng)，其網(wǎng)絡(luò)環(huán)境、USB介質(zhì)等管控措施較好，可酌情降 低風險等級。整改建議：建議操作系統(tǒng)統(tǒng)一部署防病毒軟件，或采用集成性質(zhì)防病毒服務(wù)器或虛擬化 底層防病毒措施，并及時更新病毒庫，抵擋外部惡意代碼攻擊。7.2應(yīng)用系統(tǒng)身份鑒別口令策略對應(yīng)要求：應(yīng)對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息 具有復雜度要求并定期更換。判例內(nèi)容：應(yīng)用系統(tǒng)無任何用戶口令復雜度校驗機制，校驗機制包括口令的長度、復雜 度等，可判定為高風險。適用范圍：所有系統(tǒng)。滿足條件（同時）：1、應(yīng)用系統(tǒng)無口令長度、復雜度校驗機制；2、可設(shè)置6位以下，單個數(shù)字或連續(xù)數(shù)字或相同數(shù)字等易猜測的口令

50、。補償措施：1、如應(yīng)用系統(tǒng)采用多種身份鑒別認證技術(shù)的，即使有口令也無法直接登錄應(yīng)用系統(tǒng)的， 可酌情降低風險等級。2、如應(yīng)用系統(tǒng)僅為內(nèi)部管理系統(tǒng)，只能內(nèi)網(wǎng)訪問，且訪問人員相對可控，可酌情降低 風險等級。3、如應(yīng)用系統(tǒng)口令校驗機制不完善，如只有部分校驗機制，可根據(jù)實際情況，酌情降 低風險等級。4、特定應(yīng)用場景中的口令（如PIN碼）可根據(jù)相關(guān)要求，酌情判斷風險等級。整改建議：建議應(yīng)用系統(tǒng)對用戶的賬戶口令長度、復雜度進行校驗，如要求系統(tǒng)賬戶口 令至少8位，由數(shù)字、字母或特殊字符中2種方式組成；對于如PIN碼等特殊用途的口令，應(yīng) 設(shè)置弱口令庫，通過對比方式，提高用戶口令質(zhì)量。弱口令對應(yīng)要求：應(yīng)對登錄的用

51、戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息 具有復雜度要求并定期更換。判例內(nèi)容：應(yīng)用系統(tǒng)存在易被猜測的常用/弱口令帳戶，可判定為高風險。適用范圍：所有系統(tǒng)。滿足條件：通過滲透測試或常用/弱口令嘗試，發(fā)現(xiàn)應(yīng)用系統(tǒng)中存在可被登錄弱口令帳 戶。補償措施：如該弱口令帳號為前臺自行注冊，自行修改的普通用戶帳戶，被猜測登錄后 只會影響單個用戶，而不會對整個應(yīng)用系統(tǒng)造成安全影響的，可酌情降低風險等級。整改建議：建議應(yīng)用系統(tǒng)通過口令長度、復雜度校驗、常用/弱口令庫比對等方式，提 高應(yīng)用系統(tǒng)口令質(zhì)量。登錄失敗處理對應(yīng)要求：應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當 登錄連接超

52、時自動退出等相關(guān)措施。判例內(nèi)容：可通過互聯(lián)網(wǎng)登錄的應(yīng)用系統(tǒng)未提供任何登錄失敗處理措施，攻擊者可進行 口令猜測，可判定為高風險。適用范圍：3級及以上系統(tǒng)。滿足條件：1、3級及以上系統(tǒng)；2、可通過互聯(lián)網(wǎng)登錄，且對帳號安全性要求較高，如帳戶涉及金融、個人隱私信息、 后臺管理等；3、對連續(xù)登錄失敗無任何處理措施；4、攻擊者可利用登錄界面進行口令猜測。補償措施：1、如應(yīng)用系統(tǒng)采用多種身份鑒別認證技術(shù)的，可酌情降低風險等級。2、僅通過內(nèi)部網(wǎng)絡(luò)訪問的內(nèi)部/后臺管理系統(tǒng)，如訪問人員相對可控，可酌情降低風險等級。3、如登錄頁面采用圖像驗證碼等技術(shù)可在一定程度上提高自動化手段進行口令暴力破 解難度的，可酌情降低風

53、險等級。4、可根據(jù)登錄帳戶的重要程度、影響程度，可酌情判斷風險等級。但如果登錄帳戶涉 及到金融行業(yè)、個人隱私信息、信息發(fā)布、后臺管理等，不宜降低風險等級。整改建議：建議應(yīng)用系統(tǒng)提供登錄失敗處理功能（如帳戶鎖定、多重認證等），防止攻 擊者進行口令暴力破解。雙因素認證對應(yīng)要求：應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶 進行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)。判例內(nèi)容：通過互聯(lián)網(wǎng)方式訪問，且涉及大額資金交易、核心業(yè)務(wù)等操作的系統(tǒng)，在進 行重要操作前應(yīng)采用兩種或兩種以上方式進行身份鑒別，如只采用一種驗證方式進行鑒別， 可判定為高風險。適用范圍：3級及以上系統(tǒng)

54、。滿足條件（同時）：1、3級及以上系統(tǒng)；2、通過互聯(lián)網(wǎng)方式訪問的系統(tǒng)，在進行涉及大額資金交易、核心業(yè)務(wù)等重要操作前未 啟用兩種或兩種以上鑒別技術(shù)對用戶身份進行鑒別；4級系統(tǒng)多種鑒別技術(shù)中未用到密碼技 術(shù)或生物技術(shù)。補償措施：1、采用兩重用戶名/口令認證措施，且兩重口令不可相同等情況，可酌情降低風險等級。2、如應(yīng)用服務(wù)訪問的網(wǎng)絡(luò)環(huán)境安全可控，網(wǎng)絡(luò)竊聽、違規(guī)接入等隱患較小，口令策略 和復雜度、長度符合要求的情況下，可酌情降低風險等級。3、在完成重要操作前的不同階段兩次或兩次以上使用不同的方式進行身份鑒別，可根 據(jù)實際情況，酌情降低風險等級。4、涉及到主管部門認可的業(yè)務(wù)形態(tài)，例如快捷支付、小額免密支

55、付等，可酌情降低風 險等級。5、可根據(jù)被測對象中用戶的作用以及重要程度，在口令策略和復雜度、長度符合要求 的情況下，可根據(jù)實際情況，酌情判斷風險等級。6、系統(tǒng)用戶群體為互聯(lián)網(wǎng)用戶，且冒名登錄、操作不會對系統(tǒng)或個人造成重大惡劣影 響或經(jīng)濟損失的，可酌情判斷風險等級。整改建議：建議應(yīng)用系統(tǒng)增加除用戶名/口令以外的身份鑒別技術(shù)，如密碼/令牌、生物 鑒別方式等，實現(xiàn)雙因子身份鑒別，增強身份鑒別的安全力度。訪問控制登錄用戶權(quán)限控制對應(yīng)要求：應(yīng)對登錄的用戶分配賬戶和權(quán)限。判例內(nèi)容：應(yīng)用系統(tǒng)訪問控制功能存在缺失，無法按照設(shè)計策略控制用戶對系統(tǒng)功能、 數(shù)據(jù)的訪問；可通過直接訪問URL等方式，在不登錄系統(tǒng)的情況

56、下，非授權(quán)訪問系統(tǒng)功能模 塊，可判定為高風險。適用范圍：所有系統(tǒng)。滿足條件：可通過直接訪問URL等方式，在不登錄系統(tǒng)的情況下，非授權(quán)訪問系統(tǒng)重要 功能模塊。補償措施：1、如應(yīng)用系統(tǒng)部署在可控網(wǎng)絡(luò)，有其他防護措施能限制、監(jiān)控用戶行為的，可酌情降 低風險等級。2、可根據(jù)非授權(quán)訪問模塊的重要程度、越權(quán)訪問的難度，酌情提高/減低風險等級。整改建議：建議完善訪問控制措施，對系統(tǒng)重要頁面、功能模塊進行訪問控制，確保應(yīng) 用系統(tǒng)不存在訪問控制失效情況。默認口令處理對應(yīng)要求：應(yīng)重命名或刪除默認賬戶，修改默認賬戶的默認口令。判例內(nèi)容：應(yīng)用系統(tǒng)默認賬號的默認口令未修改，可利用該默認口令登錄系統(tǒng)，可判定 為高風險。適

57、用范圍：所有系統(tǒng)。滿足條件（同時）：1、未修改默認帳戶的默認口令；2、可使用該默認口令賬號登錄。補償措施：無。整改建議：建議應(yīng)用系統(tǒng)重命名或刪除默認管理員賬戶，修改默認密碼，使其具備一定 的強度，增強賬戶安全性。訪問控制策略對應(yīng)要求：應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則。判例內(nèi)容：應(yīng)用系統(tǒng)訪問控制策略存在缺陷，可越權(quán)訪問系統(tǒng)功能模塊或查看、操作其 他用戶的數(shù)據(jù)。如存在平行權(quán)限漏洞，低權(quán)限用戶越權(quán)訪問高權(quán)限功能模塊等，可判定為高 風險。適用范圍：所有系統(tǒng)。滿足條件：系統(tǒng)訪問控制策略存在缺陷，可越權(quán)訪問系統(tǒng)功能模塊或查看、操作其他用 戶的數(shù)據(jù)。如存在平行權(quán)限漏洞，低權(quán)

58、限用戶越權(quán)訪問高權(quán)限功能模塊等。補償措施：1、如應(yīng)用系統(tǒng)部署在可控網(wǎng)絡(luò)，有其他防護措施能限制、監(jiān)控用戶行為的，可酌情降 低風險等級。2、可根據(jù)非授權(quán)訪問模塊的重要程度、越權(quán)訪問的難度，酌情提高/減低風險等級。整改建議：建議完善訪問控制措施，對系統(tǒng)重要頁面、功能模塊進行重新進行身份、權(quán) 限鑒別，確保應(yīng)用系統(tǒng)不存在訪問控制失效情況。安全審計安全審計措施對應(yīng)要求：應(yīng)啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全 事件進行審計。判例內(nèi)容：應(yīng)用系統(tǒng)（包括前端系統(tǒng)和后臺管理系統(tǒng)）無任何日志審計功能，無法對用 戶的重要行為進行審計，也無法對事件進行溯源，可判定為高風險。適用范圍：3級及以上

59、系統(tǒng)。滿足條件（同時）：1、3級及以上系統(tǒng)2、應(yīng)用系統(tǒng)無任何日志審計功能，無法對用戶的重要行為進行審計；3、無其他技術(shù)手段對重要的用戶行為和重要安全事件進行溯源。補償措施：1、如有其他技術(shù)手段對重要的用戶行為進行審計、溯源，可酌情降低風險等級。2、如審計記錄不全或?qū)徲嬘涗浻杏涗?，但無直觀展示，可根據(jù)實際情況，酌情降低風 險等級。整改建議：建議應(yīng)用系統(tǒng)完善審計模塊，對重要用戶操作、行為進行日志審計，審計范 圍不僅針對前端用戶的操作、行為，也包括后臺管理員的重要操作。入侵防范數(shù)據(jù)有效性檢驗功能對應(yīng)要求：應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的 內(nèi)容符合系統(tǒng)設(shè)定要求。判例內(nèi)

60、容：由于校驗機制缺失導致的應(yīng)用系統(tǒng)存在如SQL注入、跨站腳本、上傳漏洞等 高風險漏洞，可判定為高風險。適用范圍：所有系統(tǒng)。滿足條件：1、應(yīng)用系統(tǒng)存在如SQL注入、跨站腳本、上傳漏洞等可能導致敏感數(shù)據(jù)泄露、網(wǎng)頁篡 改、服務(wù)器被入侵等安全事件的發(fā)生，造成嚴重后果的高風險漏洞；2、無其他技術(shù)手段對該漏洞進行防范。補償措施：1、如應(yīng)用系統(tǒng)存在SQL注入、跨站腳本等高風險漏洞，但是系統(tǒng)部署了亞人云盾等 應(yīng)用防護產(chǎn)品，在防護體系下無法成功利用，可酌情降低風險等級。2、不與互聯(lián)網(wǎng)交互的內(nèi)網(wǎng)系統(tǒng)，可根據(jù)系統(tǒng)重要程度、漏洞危害情況等，酌情判斷風 險等級。整改建議：建議通過修改代碼的方式，對數(shù)據(jù)有效性進行校驗，提