T-ISEAA 001-2020 網(wǎng)絡安全等級保護測評高風險判定指引

LCS35.040L80ISEAA團體標準T/ISEAA001-2020網(wǎng)絡安全等級保護測評高風險判定指引HighRiskAssessmentGuidelinesforclassifiedprotectionevaluationofcybersecurity2020-11-05發(fā)布2020-12-1實施中關村信息安全測評聯(lián)盟發(fā)布T/ISEAA001-2020目次前言 III引言 IV1 范圍 12規(guī)范性引用文件 1術語和定義 1縮略語 2概述 2判例概述 2判定原則 2場景釋義 3高風險判例 3安全物理環(huán)境 3安全通信網(wǎng)絡 4安全區(qū)域邊界 7安全計算環(huán)境 9安全管理中心 18安全管理制度和機構 19安全管理人員 19安全建設管理 20安全運維管理 21附錄A（資料性附錄）GB/T22239-2019中第三級安全要求與本文件判例對應關系 24附錄B（資料性附錄）高風險判例整改建議 29參考文獻 35IT/ISEAA001-2020前言本文件按照GB/T1.1—2020《標準化工作導則第1部分:標準化文件的結構和起草規(guī)則》給出的規(guī)則起草。本文件由中關村信息安全測評聯(lián)盟提出并歸口。本文件起草單位:上海市信息安全測評認證中心、國家網(wǎng)絡與信息系統(tǒng)安全產品質量監(jiān)督檢驗中心、江蘇金盾檢測技術有限公司、江蘇駿安信息測評認證有限公司、山東新潮信息技術有限公司、合肥天帷信息安全技術有限公司、深圳市網(wǎng)安計算機安全檢測技術有限公司、杭州安信檢測技術有限公司、成都安美勤信息技術股份有限公司、甘肅安信信息安全技術有限公司、教育信息安全等級保護測評中心、遼寧浪潮創(chuàng)新信息技術有限公司、銀行卡檢測中心、安徽祥盾信息科技有限公司。本文件主要起草人:金銘彥、羅崢、張笑笑、劉靜、徐御、陳清明、陸臻、陳妍、吳曉艷、何欣峰、許曉晨、張杰、武建雙、牛建紅、倪祥煥、何志鵬、嚴維兵、王永琦、范仲偉、武斌、楊凌珺、盛璐褘。IIIT/ISEAA001-2020引言等級保護測評是推動和貫徹網(wǎng)絡安全等級保護工作的重要環(huán)節(jié)之一。為了更好地提升全國等級保護測評機構的能力，規(guī)范測評機構對網(wǎng)絡安全風險嚴重程度的判定規(guī)則，中關村信息安全測評聯(lián)盟組織編寫本等級保護測評行業(yè)指引性文件，旨在促進安全風險判定更加標準化、規(guī)范化，從而更好地規(guī)范等級保護測評活動，提升等級保護測評工作質量。本文件依據(jù)GB/T22239—2019《信息安全技術網(wǎng)絡安全等級保護基本要求》中第二級及以上安全通用要求及云計算安全擴展要求中的基本原則，對測評過程中發(fā)現(xiàn)的安全性問題如何進行高風險判定給出指引。本文件僅考慮一般系統(tǒng)場景，無法涵蓋所有行業(yè)及特殊場景，實際測評活動中應根據(jù)安全問題所處的環(huán)境、面臨的威脅、已采取的措施，并結合本文件內容做出客觀、科學、合理的判定。IVT/ISEAA001-2020網(wǎng)絡安全等級保護測評高風險判定指引1范圍本文件適用于網(wǎng)絡安全等級保護測評、安全檢查等活動。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T2887-2011計算機場地通用規(guī)范GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則GB/T25069-2010信息安全技術術語GB/T22239-2019信息安全技術網(wǎng)絡安全等級保護基本要求GB/T28448-2019信息安全技術網(wǎng)絡安全等級保護測評要求GB/T31168-2014信息安全技術云計算服務安全能力要求GB/T35273-2020信息安全技術個人信息安全規(guī)范3術語和定義GB17859—1999、GB/T25069—2010,GB/T31168—2014和GB/T22239—2019界定的以及下列術語和定義適用于本文件。3.1高可用性系統(tǒng)可用性大于或等于99.9%，年度停機時間小于或等于8.8h的系統(tǒng)，例如，銀行、證券、非銀行支付機構、互聯(lián)網(wǎng)金融等交易類系統(tǒng)，提供公共服務的民生類系統(tǒng)，工業(yè)控制類系統(tǒng)，云計算平臺等。3.2關鍵網(wǎng)絡設備部署在關鍵網(wǎng)絡節(jié)點的重要網(wǎng)絡設備，包括但不限于核心交換機、核心路由器等，一旦該設備遭受攻擊或出現(xiàn)故障將影響整個系統(tǒng)網(wǎng)絡。3.3不可控網(wǎng)絡環(huán)境互聯(lián)網(wǎng)、公共網(wǎng)絡環(huán)境、開放性辦公網(wǎng)絡等缺少網(wǎng)絡安全管控措施，可能存在惡意攻擊、數(shù)據(jù)竊聽等安全隱患的網(wǎng)絡環(huán)境。3.4可被利用的高危漏洞可被攻擊者用于進行網(wǎng)絡攻擊從而導致嚴重后果的漏洞，包括但不限于緩沖區(qū)溢出、權限提升、遠程代碼執(zhí)行、嚴重邏輯缺陷、任意文件上傳等。1T/ISEAA001-20203.5云管理平臺被云服務商或云服務客戶用于對云計算資源進行管理的系統(tǒng)平臺。4縮略語下列縮略語適用于本文件。ACL：訪問控制列表(AccessControlList)CPU：中央處理單元(CentralProcessmgUnit)DDoS：拒絕服務(DistributedDenalofService)IP：互聯(lián)網(wǎng)協(xié)議(InternetProtocol)IPS：入侵防御系統(tǒng)(IntrusonPreventonSystem)PIN：個人識別碼(PersonalIdentificationNumber)RTO：恢復時間目標(RecoveryTimeObjective)SQL：結構化查詢語言(StructuredQuerylanguage)UPS：不間斷電源(UninterruptiblePowerSupply)USB：通用串行總線(UniversalSerialBus)UTM：統(tǒng)一威脅管理(UnifiedThreatManagement)VPN：虛擬專用網(wǎng)絡(VirtualPrvateNetwork)5概述判例概述本文件中每條判例由標準要求、適用范圍、判例場景和補償因素構成。其中，標準要求表述該條判例對應的GB/T22239-2019中的具體要求(以第三級要求為例)；適用范圍表述該條判例適用的定級對象等級或特性;判例場景描述該條判例具體的場景及要素，當出現(xiàn)多個場景時，將通過標注“所有”或“任意”來明確表示是符合所有場景還是任意場景即判為高風險;補償因素則給出可進行綜合風險分析，從而酌情判定風險等級的場景及分析因素。為方便測評人員使用以及為定級對象提出合理的整改建議，本文件在附錄中給出每條判例與GB/T22239-2019中第三級安全要求的對應關系以及整改建議，供測評人員參考，具體參見附錄A和附錄B。判定原則在網(wǎng)絡安全等級保護測評過程中，針對等級測評結果中存在的所有安全問題，應采用風險分析的方法進行危害分析和風險等級判定，分析所產生的安全問題被威脅利用的可能性，判斷其被威脅利用后對業(yè)務信息安全和系統(tǒng)服務安全造成影響的程度，綜合評價對定級對象造成的安全風險。本文件基于以下判定原則，給出應判為高風險的場景：——違反國家法律法規(guī)規(guī)定的相關要求；——不符合或未實現(xiàn)GB/T22239—2019中各等級關鍵安全要求及基本安全功能，且沒有等效或補償措施；2T/ISEAA001-2020——存在可被利用，且能造成嚴重后果的安全漏洞；——通過綜合風險分析，對業(yè)務信息安全和系統(tǒng)服務安全可能產生重大隱患的安全問題。場景釋義定級對象的應用場景、部署方式、面臨威脅、防護措施各不相同，無法枚舉。因此，本文件僅針對一般應用系統(tǒng)場景，給出應判為高風險的場景及補償因素，供現(xiàn)場測評人員在進行風險分析時參考。對于金融、電力、制造業(yè)等特定行業(yè)的系統(tǒng)，各行業(yè)主管部門可基于本文件制定適合本行業(yè)系統(tǒng)特點的判定指引?，F(xiàn)場測評人員可根據(jù)本文件的內容，結合行業(yè)主管部門要求、系統(tǒng)特點、現(xiàn)有措施等綜合進行風險分析。對于本文件未涉及的場景及補償因素，或雖然不在本文件明確的適用范圍內，但確實可能產生安全隱患的情況，測評機構需結合實際情況，對安全問題所引發(fā)的風險等級做出客觀判斷。6高風險判例安全物理環(huán)境機房出入口訪問控制措施缺失本判例包括以下內容：a）標準要求：機房出入口應配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。b）適用范圍：二級及以上系統(tǒng)。c）判例場景：機房出入口無任何訪問控制措施，例如未安裝電子或機械門鎖（包括機房大門處于未上鎖狀態(tài)）、無專人值守等。d）補償因素：機房所在位置處于受控區(qū)域，非授權人員無法隨意進出機房，可根據(jù)實際措施效果,酌情判定風險等級。機房防盜措施缺失本判例包括以下內容：a）標準要求：應設置機房防盜報警系統(tǒng)或設置有專人值守的視頻監(jiān)控系統(tǒng)。b）適用范圍：三級及以上系統(tǒng)。c）判例場景（所有）：1）機房或機房所在區(qū)域無防盜報警系統(tǒng)，無法對盜竊事件進行告警、追溯；2）未設置有專人值守的視頻監(jiān)控系統(tǒng)。d）補償因素：機房出入口或機房所在區(qū)域有其他控制措施，例如機房出入口設有專人值守，機房所在位置處于受控區(qū)域等，非授權人員無法進入該區(qū)域，可根據(jù)實際措施效果，酌情判定風險等級。機房防火措施缺失本判例包括以下內容：a）標準要求：機房應設置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（任意）：1）機房無任何有效消防措施，例如無檢測火情、感應報警設施，手提式滅火器等滅火設施，消3T/ISEAA001-2020防設備未進行年檢或已失效無法正常使用等情況；2）機房所采取的滅火系統(tǒng)或設備不符合國家的相關規(guī)定。d）補償因素：機房安排專人值守或設置了專人值守的視頻監(jiān)控系統(tǒng)，并且機房附近有符合國家消防標準的滅火設備，一旦發(fā)生火災，能及時進行滅火，可根據(jù)實際措施效果，酌情判定風險等級。機房短期備用電力供應措施缺失本判例包括以下內容：a）標準要求：應提供短期的備用電力供應，至少滿足設備在斷電情況下的正常運行要求。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（任意）：1）機房無短期備用電力供應設備，例如UPS、柴油發(fā)電機、應急供電車等；2）機房現(xiàn)有備用電力供應無法滿足定級對象短期正常運行。d）補償因素：對于機房配備多路供電的情況，可從供電方同時斷電發(fā)生概率等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。6.1.5機房應急供電措施缺失本判例包括以下內容：a）標準要求：應提供應急供電設施。b）適用范圍：高可用性的四級系統(tǒng)。c）判例場景（任意）：1）機房未配備應急供電設施，例如柴油發(fā)電機、應急供電車等；2）應急供電措施不可用或無法滿足定級對象正常運行需求。d）補償因素：1）對于機房配備多路供電的情況，可從供電方同時斷電發(fā)生概率等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級；2）對于采用多數(shù)據(jù)中心方式部署，且通過技術手段實現(xiàn)應用級災備，能降低單一機房發(fā)生電力故障所帶來的可用性方面影響的情況，可從影響程度、RTO等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。6.1.6云計算基礎設施物理位置不當本判例包括以下內容：a）標準要求：應保證云計算基礎設施位于中國境內。b）適用范圍：二級及以上云計算平臺。c）判例場景：云計算基礎設施，例如云計算服務器、存儲設備、網(wǎng)絡設備、云管理平臺、信息系統(tǒng)等運行業(yè)務和承載數(shù)據(jù)的軟硬件等不在中國境內。d）補償因素：無。安全通信網(wǎng)絡網(wǎng)絡設備業(yè)務處理能力不足本判例包括以下內容：4T/ISEAA001-2020a）標準要求：應保證網(wǎng)絡設備的業(yè)務處理能力滿足業(yè)務高峰期需要。b）適用范圍：高可用性的三級及以上系統(tǒng)。c）判例場景：核心交換機、核心路由器、邊界防火墻等網(wǎng)絡鏈路上的關鍵設備性能無法滿足高峰期需求，可能導致服務質量嚴重下降或中斷，例如性能指標平均達到80%以上。d）補償因素：對于采用多數(shù)據(jù)中心方式部署，且通過技術手段實現(xiàn)應用級災備，能降低單一機房發(fā)生設備故障所帶來的可用性方面影響的情況，可從影響程度、RTO等角度進行綜合風險分析，根據(jù)分析結果,酌情判定風險等級。注：80%僅為參考值，可根據(jù)設備類型、處理效果等情況綜合判斷；性能指標包括CPU、內存占用率，吞吐量等。網(wǎng)絡區(qū)域劃分不當本判例包括以下內容：a）標準要求：應劃分不同的網(wǎng)絡區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡區(qū)域分配地址。b）適用范圍：二級及以上系統(tǒng)。c）判例場景:重要網(wǎng)絡區(qū)域與非重要網(wǎng)絡在同一子網(wǎng)或網(wǎng)段，例如承載業(yè)務系統(tǒng)的生產網(wǎng)絡與員工日常辦公網(wǎng)絡，面向互聯(lián)網(wǎng)提供服務的服務器區(qū)域與內部網(wǎng)絡區(qū)域在同一子網(wǎng)或網(wǎng)段等。d）補償因素：同一子網(wǎng)之間有技術手段實現(xiàn)訪問控制，可根據(jù)實際措施效果，酌情判定風險等級。網(wǎng)絡邊界訪問控制設備不可控本判例包括以下內容：a）標準要求:應避免將重要網(wǎng)絡區(qū)域部署在邊界處，重要網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域之間應采取可靠的技術隔離手段。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（所有）：1）網(wǎng)絡邊界訪問控制設備無管理權限；2）未采取其他任何有效的訪問控制措施，例如服務器自帶防火墻未配置訪問控制策略等；3）無法根據(jù)業(yè)務需要或所發(fā)生的安全事件及時調整訪問控制策略。d）補償因素：網(wǎng)絡邊界訪問控制措施由云服務商提供或由集團公司統(tǒng)一管理，管理方能夠根據(jù)系統(tǒng)的業(yè)務及安全需要及時調整訪問控制策略，可從策略更改響應時間、策略有效性、執(zhí)行效果等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。重要網(wǎng)絡區(qū)域邊界訪問控制措施缺失本判例包括以下內容：a）標準要求:應避免將重要網(wǎng)絡區(qū)域部署在邊界處，重要網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域之間應采取可靠的技術隔離手段。b）適用范圍：二級及以上系統(tǒng)。c）判例場景:在網(wǎng)絡架構上，重要網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域之間（包括內部區(qū)域邊界和外部區(qū)域邊界）無訪問控制設備實施訪問控制措施，例如重要網(wǎng)絡區(qū)域與互聯(lián)網(wǎng)等外部非安全可控網(wǎng)絡邊界處、生產網(wǎng)絡與員工日常辦公網(wǎng)絡之間、生產網(wǎng)絡與無線網(wǎng)絡接入?yún)^(qū)之間未部署訪問控制設備實施訪問控制措施等。d）補償因素:無。注：互聯(lián)網(wǎng)邊界訪問控制設備包括但不限于防火墻、UTM等能實現(xiàn)相關訪問控制功能的專用設備；對于內部邊界訪問控制，也可使用路由器、交換機或者帶ACL功能的負載均衡器等設備實現(xiàn)。測評過程中應根據(jù)設備部署5T/ISEAA001-2020位置、設備性能壓力等因素綜合進行分析，判斷采用設備的合理性。關鍵線路和設備冗余措施缺失本判例包括以下內容：a）標準要求：應提供通信線路、關鍵網(wǎng)絡設備和關鍵計算設備的硬件冗余，保證系統(tǒng)的可用性。b）適用范圍：高可用性的三級及以上系統(tǒng)。c）判例場景：核心通信線路、關鍵網(wǎng)絡設備和關鍵計算設備無冗余設計，一旦出現(xiàn)線路或設備故障，就可能導致服務中斷。d）補償因素：1）對于采用多數(shù)據(jù)中心方式部署，且通過技術手段實現(xiàn)應用級災備，能降低生產環(huán)境設備故障所帶來的可用性方面影響的情況，可從影響程度、RTO等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級；2）對于關鍵計算設備采用虛擬化技術的情況，可從虛擬化環(huán)境的硬件冗余和虛擬化計算設備（如虛擬機、虛擬網(wǎng)絡設備等）冗余等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。云計算平臺等級低于承載業(yè)務系統(tǒng)等級本判例包括以下內容：a）標準要求：應保證云計算平臺不承載高于其安全保護等級的業(yè)務應用系統(tǒng)。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（任意）：1）云計算平臺承載高于其安全保護等級（SxAxGx）的業(yè)務應用系統(tǒng)；2）業(yè)務應用系統(tǒng)部署在低于其安全保護等級（SxAxGx）的云計算平臺上；3）業(yè)務應用系統(tǒng)部署在未進行等級保護測評、測評報告超出有效期或者等級保護測評結論為差的云計算平臺上。d）補償因素：無。重要數(shù)據(jù)傳輸完整性保護措施缺失本判例包括以下內容：a）標準要求：應采用校驗技術或密碼技術保證通信過程中數(shù)據(jù)的完整性。b）適用范圍：三級及以上系統(tǒng)。c）判例場景：網(wǎng)絡層或應用層無任何重要數(shù)據(jù)（如交易類數(shù)據(jù)、操作指令數(shù)據(jù)等）傳輸完整性保護措施，一旦數(shù)據(jù)遭到篡改，將對系統(tǒng)或個人造成重大影響。d）補償因素：對于重要數(shù)據(jù)在可控網(wǎng)絡中傳輸?shù)那闆r，可從已采取的網(wǎng)絡管控措施、遭受數(shù)據(jù)篡改的可能性等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。重要數(shù)據(jù)明文傳輸本判例包括以下內容：a）標準要求：應采用密碼技術保證通信過程中數(shù)據(jù)的保密性。b）適用范圍：三級及以上系統(tǒng)。c）判例場景：鑒別信息、個人敏感信息或重要業(yè)務敏感信息等以明文方式在不可控網(wǎng)絡環(huán)境中傳輸。6T/ISEAA001-2020d）補償因素：1）使用多種身份鑒別技術、限定管理地址等措施，獲得的鑒別信息無法直接登錄應用系統(tǒng)或設備，可根據(jù)實際措施效果，酌情判定風險等級；2）可從被測對象的作用、重要程度以及信息泄露后對整個系統(tǒng)或個人產生的影響等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。安全區(qū)域邊界無線網(wǎng)絡管控措施缺失本判例包括以下內容：a）標準要求：應限制無線網(wǎng)絡的使用，保證無線網(wǎng)絡通過受控的邊界設備接入內部網(wǎng)絡。b）適用范圍：三級及以上系統(tǒng)。c）判例場景：內部重要網(wǎng)絡與無線網(wǎng)絡互聯(lián)，且不通過任何受控的邊界設備，或邊界設備控制策略設置不當，一旦非授權接入無線網(wǎng)絡即可訪問內部重要資源。d）補償因素：對于必須使用無線網(wǎng)絡的場景，可從無線接入設備的管控和身份認證措施、非授權接入的可能性等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。重要網(wǎng)絡區(qū)域邊界訪問控制配置不當本判例包括以下內容：a）標準要求:應在網(wǎng)絡邊界或區(qū)域之間根據(jù)訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信。b）適用范圍：二級及以上系統(tǒng)。c）判例場景:重要網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域之間（包括內部區(qū)域邊界和外部區(qū)域邊界）訪問控制設備配置不當或控制措施失效，存在較大安全隱患。例如辦公網(wǎng)絡任意網(wǎng)絡終端均可訪問核心生產服務器和網(wǎng)絡設備;無線網(wǎng)絡接入?yún)^(qū)終端可直接訪問生產網(wǎng)絡設備等。d）補償因素:無。外部網(wǎng)絡攻擊防御措施缺失本判例包括以下內容：a）標準要求：應在關鍵網(wǎng)絡節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡攻擊行為。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（任意）：1）二級系統(tǒng)關鍵網(wǎng)絡節(jié)點無任何網(wǎng)絡攻擊行為檢測手段，例如未部署入侵檢測系統(tǒng)；2）三級及以上系統(tǒng)關鍵網(wǎng)絡節(jié)點對外部發(fā)起的攻擊行為無任何防護手段，例如未部署IPS入侵防御設備、應用防火墻、反垃圾郵件、態(tài)勢感知系統(tǒng)或抗DDoS設備等；3）網(wǎng)絡攻擊/防護檢測措施的策略庫、規(guī)則庫半年及以上未更新，無法滿足防護需求。d）補償因素：主機設備部署入侵防范產品，且策略庫、規(guī)則庫更新及時，能夠對攻擊行為進行檢測、阻斷或限制，可根據(jù)實際措施效果，酌情判定風險等級。注1：策略庫、規(guī)則庫的更新周期可根據(jù)部署環(huán)境、行業(yè)或設備特性縮短或延長。注2：所列舉的防護設備僅為舉例使用。測評過程中，應分析定級對象所面臨的威脅、風險以及安全防護需求，并以此為依據(jù)檢查是否合理配備了對應的防護設備。7T/ISEAA001-2020內部網(wǎng)絡攻擊防御措施缺失本判例包括以下內容：a）標準要求：應在關鍵網(wǎng)絡節(jié)點處檢測、防止或限制從內部發(fā)起的網(wǎng)絡攻擊行為。b）適用范圍：三級及以上系統(tǒng)。c）判例場景（任意）：1）關鍵網(wǎng)絡節(jié)點對內部發(fā)起的攻擊行為無任何檢測、防護手段，例如未部署入侵檢測系統(tǒng)、IPS入侵防御設備、態(tài)勢感知系統(tǒng)等；2）網(wǎng)絡攻擊/防護檢測措施的策略庫、規(guī)則庫半年及以上未更新，無法滿足防護需求。d）補償因素：1）對于主機設備部署入侵防范產品的情況，可從策略庫、規(guī)則庫更新情況，對攻擊行為的防護能力等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級；2）對于重要網(wǎng)絡區(qū)域與其他內部網(wǎng)絡之間部署防火墻等訪問控制設備，且對訪問的目標地址、目標端口、源地址、源端口、訪問協(xié)議等有嚴格限制的情況，可從現(xiàn)有措施能否對內部網(wǎng)絡攻擊起到限制作用等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級；3）對于與互聯(lián)網(wǎng)完全物理隔離或強邏輯隔離的系統(tǒng)，可從網(wǎng)絡、終端采取的管控，攻擊源進入內部網(wǎng)絡的可能性等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。惡意代碼防范措施缺失本判例包括以下內容：a）標準要求：應在關鍵網(wǎng)絡節(jié)點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的更新。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（所有）：1）主機層無惡意代碼檢測和清除措施，或惡意代碼庫一個月以上未更新；2）網(wǎng)絡層無惡意代碼檢測和清除措施，或惡意代碼庫一個月以上未更新。d）補償因素：1）對于使用Linux、Unix、Solaris、CentOS、AIX、Mac等非Windows操作系統(tǒng)的二級系統(tǒng),主機和網(wǎng)絡層均未部署惡意代碼檢測和清除產品，可從總體防御措施、惡意代碼入侵的可能性等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級；2）與互聯(lián)網(wǎng)完全物理隔離或強邏輯隔離的系統(tǒng)，其網(wǎng)絡環(huán)境可控，并采取USB介質管控、部署主機防護軟件、軟件白名單等技術措施，能有效防范惡意代碼進入被測主機或網(wǎng)絡，可根據(jù)實際措施效果，酌情判定風險等級；3）主機設備采用可信基的防控技術，對設備運行環(huán)境進行有效度量，可根據(jù)實際措施效果,酌情判定風險等級。網(wǎng)絡安全審計措施缺失本判例包括以下內容：a）標準要求:應在網(wǎng)絡邊界、重要網(wǎng)絡節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。b）適用范圍：二級及以上系統(tǒng)。8T/ISEAA001-2020c）判例場景（所有）：1）在網(wǎng)絡邊界、關鍵網(wǎng)絡節(jié)點無法對重要的用戶行為進行日志審計；2）在網(wǎng)絡邊界、關鍵網(wǎng)絡節(jié)點無法對重要安全事件進行日志審計。d）補償因素:無。注：網(wǎng)絡安全審計指通過對網(wǎng)絡邊界或重要網(wǎng)絡節(jié)點的流量數(shù)據(jù)進行分析，從而形成的網(wǎng)絡安全審計數(shù)據(jù)。網(wǎng)絡安全審計包括網(wǎng)絡流量審計和網(wǎng)絡安全事件審計，其中網(wǎng)絡流量審計主要是通過對網(wǎng)絡流量進行統(tǒng)計、關聯(lián)分析、識別和篩選，實現(xiàn)對網(wǎng)絡中特定重要行為的審計，例如對各種違規(guī)的訪問協(xié)議及其流量的審計、對訪問敏感數(shù)據(jù)的人員行為或系統(tǒng)行為的審計等；網(wǎng)絡安全事件審計包括但不限于對網(wǎng)絡入侵檢測、網(wǎng)絡入侵防御、防病毒產品等設備檢測到的網(wǎng)絡攻擊行為、惡意代碼傳播行為的審計等。安全計算環(huán)境網(wǎng)絡設備、安全設備和主機設備設備存在弱口令或相同口令本判例包括以下內容：a）標準要求：應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（任意）：1）安全設備、主機設備（包括操作系統(tǒng)、數(shù)據(jù)庫等）存在可登錄的弱口令賬戶（包括空口令、無身份鑒別機制）;2）理員賬戶口令相同，單臺設備口令被破解將導致大量設備被控制。d）補償因素：對于因業(yè)務場景需要，使用無法設置口令或口令強度達不到要求的專用設備，可從設備登錄方式、物理訪問控制、訪問權限、其他技術防護措施、相關管理制度落實等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。設備鑒別信息防竊聽措施缺失本判例包括以下內容：a）標準要求：當進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（所有）：1）網(wǎng)絡設備、安全設備、主機設備（包括操作系統(tǒng)、數(shù)據(jù)庫等）的鑒別信息以明文方式在不可控網(wǎng)絡環(huán)境中傳輸；2）未采取多種身份鑒別技術、限定管理地址等技術措施，鑒別信息被截獲后可成功登錄設備。d）補償因素：對于設備提供加密、非加密兩種管理模式，且其非加密通道無法關閉的情況，可從日常運維使用等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。設備未采用多種身份鑒別技術本判例包括以下內容：a）標準要求：應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現(xiàn)。9T/ISEAA001-2020b）適用范圍：三級及以上系統(tǒng)。c）判例場景（所有）：1）關鍵網(wǎng)絡設備、關鍵安全設備、關鍵主機設備（操作系統(tǒng)）通過不可控網(wǎng)絡環(huán)境進行遠程管理；2）設備未采用兩種或兩種以上鑒別技術對用戶身份進行鑒別。d）補償因素：1）遠程管理過程中，多次采用同一種鑒別技術進行身份鑒別，且每次鑒別信息不相同，例如兩次口令認證措施（兩次口令不同），可根據(jù)實際措施效果，酌情判定風險等級；2）對于采取登錄地址限制、綁定管理終端等其他技術手段減輕用戶身份被濫用的威脅的情況，可從措施所起到的防護效果等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。設備默認口令未修改本判例包括以下內容：a）標準要求：應重命名或刪除默認賬戶，修改默認賬戶的默認口令。b）適用范圍：二級及以上系統(tǒng)。c）判例場景：網(wǎng)絡設備、安全設備、主機設備（包括操作系統(tǒng)、數(shù)據(jù)庫等）默認口令未修改，使用默認口令可以登錄設備。d）補償因素：對于因業(yè)務場景需要，無法修改專用設備的默認口令的情況，可從設備登錄方式、物理訪問控制、訪問權限、其他技術防護措施、相關管理制度落實等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。設備安全審計措施缺失本判例包括以下內容：a）標準要求：應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（所有）：1）關鍵網(wǎng)絡設備、關鍵安全設備、關鍵主機設備（包括操作系統(tǒng)、數(shù)據(jù)庫等）未開啟任何審計功能，無法對重要的用戶行為和重要安全事件進行審計；2）未采用堡壘機、第三方審計工具等技術手段或所采用的輔助審計措施存在漏記、旁路等缺陷，無法對重要的用戶行為和重要安全事件進行溯源。d）補償因素：無。設備審計記錄不滿足保護要求本判例包括以下內容：a）標準要求：應對審計記錄進行保護，定期備份，避免其受到非預期的刪除、修改或覆蓋等。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（任意）：1）關鍵網(wǎng)絡設備、關鍵安全設備、關鍵主機設備（包括操作系統(tǒng)、數(shù)據(jù)庫等）的重要操作、安全事件日志可被非預期刪除、修改或覆蓋等；10T/ISEAA001-20202）關鍵網(wǎng)絡設備、關鍵安全設備、關鍵主機設備（包括操作系統(tǒng)、數(shù)據(jù)庫等）的重要操作、安全事件日志的留存時間不滿足法律法規(guī)規(guī)定的要求（不少于六個月兀d）補償因素：對于被測對象上線運行時間不足六個月的情況，可從當前日志保存情況、日志備份策略、日志存儲容量等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。設備開啟多余的服務、高危端口本判例包括以下內容：a）標準要求：應關閉不需要的系統(tǒng)服務、默認共享和高危端口。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（所有）：1）網(wǎng)絡設備、安全設備、主機設備（操作系統(tǒng)）開啟多余的系統(tǒng)服務、默認共享、高危端口；2）未采用地址訪問限制、安全防護設備等技術手段，減少系統(tǒng)服務、默認共享、高危端口開啟所帶來的安全隱患。d）補償因素：對于系統(tǒng)服務、默認共享、高危端口僅能通過可控網(wǎng)絡環(huán)境訪問的情況，可從現(xiàn)有網(wǎng)絡防護措施、所面臨的威脅情況等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。設備管理終端限制措施缺失本判例包括以下內容：a）標準要求：應通過設定終端接入方式或網(wǎng)絡地址范圍對通過網(wǎng)絡進行管理的管理終端進行限制。b）適用范圍：二級及以上系統(tǒng)。c）判例場景：網(wǎng)絡設備、安全設備、主機設備（包括操作系統(tǒng)、數(shù)據(jù)庫等）通過不可控網(wǎng)絡環(huán)境進行遠程管理,未采取終端接入管控、網(wǎng)絡地址范圍限制等技術手段對管理終端進行限制。d）補償因素：采取多種身份鑒別等技術措施，能夠降低管理終端管控不完善所帶來的安全風險,可根據(jù)實際措施效果，酌情判定風險等級。互聯(lián)網(wǎng)設備存在已知高危漏洞本判例包括以下內容：a）標準要求：應能發(fā)現(xiàn)可能存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（所有）：1）網(wǎng)絡設備、安全設備、主機設備（包括操作系統(tǒng)、數(shù)據(jù)庫等）可通過互聯(lián)網(wǎng)管理或訪問（包括服務、管理模塊等）;2）該設備型號、版本存在外界披露的高危安全漏洞；3）未及時采取修補或其他有效防范措施。d）補償因素：通過訪問地址限制或其他有效防護措施，使該高危漏洞無法通過互聯(lián)網(wǎng)被利用，可根據(jù)實際措施效果，酌情判定風險等級。內網(wǎng)設備存在可被利用的高危漏洞本判例包括以下內容：a）標準要求：應能發(fā)現(xiàn)可能存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞。11T/ISEAA001-2020b）適用范圍：二級及以上系統(tǒng)。c）判例場景（所有）：1）網(wǎng)絡設備、安全設備、主機設備（包括操作系統(tǒng)、數(shù)據(jù)庫等）僅能通過內部網(wǎng)絡管理或訪問（包括服務、管理模塊等）；2）通過驗證測試或滲透測試確認設備存在緩沖區(qū)溢出、提權漏洞、遠程代碼執(zhí)行等可能導致重大安全隱患的漏洞。d）補償因素：對于經過充分測試評估，該設備無法進行漏洞修補的情況，可從物理、網(wǎng)絡環(huán)境管控情況，發(fā)生攻擊行為的可能性，現(xiàn)有防范措施等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。惡意代碼防范措施缺失本判例包括以下內容：a）標準要求：應采用主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效阻斷。b）適用范圍、判例場景和補償因素參見6.3.5。應用系統(tǒng)應用系統(tǒng)口令策略缺失本判例包括以下內容：a）標準要求：應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換。b）適用范圍：二級及以上系統(tǒng)。c）判例場景:應用系統(tǒng)無用戶口令長度、復雜度校驗機制，例如可設置6位以下，單個、相同、連續(xù)數(shù)字、字母或字符等易猜測的口令。d）補償因素：1）應用系統(tǒng)采取多種身份鑒別、訪問地址限制等技術措施，獲得的口令無法直接登錄應用系統(tǒng)，可根據(jù)實際措施效果，酌情判定風險等級；2）對于僅內網(wǎng)訪問的內部管理系統(tǒng)，可從內網(wǎng)管控、人員管控、實際用戶口令質量等角度進行綜合風險分析，根據(jù)分析結果,酌情判定風險等級；3）對于部分專用軟件、老舊系統(tǒng)等無法添加口令復雜度校驗功能的情況，可從登錄管控措施、實際用戶口令質量、口令更換頻率等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級；4）對于特定應用場景中的口令，例如PIN碼、電話銀行系統(tǒng)查詢口令等，可從行業(yè)要求、行業(yè)特點等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。應用系統(tǒng)存在弱口令本判例包括以下內容：a）標準要求：應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換。b）適用范圍：二級及以上系統(tǒng)。c）判例場景：通過滲透測試或使用常用口令嘗試登錄，發(fā)現(xiàn)應用系統(tǒng)中存在可被登錄的空口令、弱口令賬戶。12T/ISEAA001-2020d）補償因素：1）對于互聯(lián)網(wǎng)前端系統(tǒng)的注冊用戶存在弱口令的情況，可從對單個用戶、整個應用系統(tǒng)所可能造成的影響等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級；2）對于因業(yè)務場景需要，無身份鑒別功能或口令強度達不到要求的應用系統(tǒng)，可從登錄方式、物理訪問控制、訪問權限、其他技術防護措施、相關管理制度落實等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。6.423應用系統(tǒng)口令暴力破解防范機制缺失本判例包括以下內容：a）標準要求：應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關措施。b）適用范圍：二級及以上系統(tǒng)。c）判例場景：通過互聯(lián)網(wǎng)登錄的應用系統(tǒng)登錄模塊未提供有效的口令暴力破解防范機制。d）補償因素：1）應用系統(tǒng)采取多種身份鑒別、訪問地址限制等技術措施，獲得口令無法直接登錄應用系統(tǒng)，可根據(jù)實際措施效果，酌情判定風險等級；2）對于互聯(lián)網(wǎng)前端系統(tǒng)的注冊用戶，可從登錄后用戶獲得的業(yè)務功能、賬戶被盜后造成的影響程度等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級;涉及資金交易、個人隱私、信息發(fā)布、重要業(yè)務操作等的前端系統(tǒng)，不宜降低風險等級；3）對于無法添加登錄失敗處理功能的應用系統(tǒng)，可從登錄地址、登錄終端限制等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。應用系統(tǒng)鑒別信息明文傳輸本判例包括以下內容：a）標準要求：當進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。b）適用范圍：二級及以上系統(tǒng)。c）判例場景：應用系統(tǒng)的用戶鑒別信息以明文方式在不可控網(wǎng)絡環(huán)境中傳輸。d）補償因素：應用系統(tǒng)采取多種身份鑒別、訪問地址限制等技術措施，獲得口令無法直接登錄應用系統(tǒng)，可根據(jù)實際措施效果，酌情判定風險等級。應用系統(tǒng)未采用多種身份鑒別技術本判例包括以下內容：a）標準要求：應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現(xiàn)。b）適用范圍：三級及以上系統(tǒng)。c）判例場景:通過互聯(lián)網(wǎng)登錄的系統(tǒng)，在進行涉及大額資金交易、核心業(yè)務、關鍵指令等的重要操作前未使用兩種或兩種以上鑒別技術對用戶身份進行鑒別。d）補償因素：1）在身份鑒別過程中，多次采用同一種鑒別技術進行身份鑒別，且每次鑒別信息不相同，例如兩次口令認證措施（兩次口令不同），可根據(jù)實際措施效果，酌情判定風險等級；2）在完成重要操作前的不同階段使用不同的鑒別方式進行身份鑒別，可根據(jù)實際措施效果,酌情判定13T/ISEAA001-2020風險等級；3）對于用戶群體為互聯(lián)網(wǎng)個人用戶的情況，可從行業(yè)主管部門的要求、用戶身份被濫用后對系統(tǒng)或個人造成的影響等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級；4）對于采取登錄地址限制、綁定設備等其他技術手段減輕用戶身份被濫用的威脅的情況，可從措施所起到的防護效果等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。應用系統(tǒng)默認口令未修改本判例包括以下內容：a）標準要求：應重命名或刪除默認賬戶，修改默認賬戶的默認口令。b）適用范圍：二級及以上系統(tǒng)。c）判例場景：應用系統(tǒng)默認口令未修改，使用默認口令可以登錄系統(tǒng)。d）補償因素：對于因業(yè)務場景需要，無法修改應用系統(tǒng)的默認口令的情況，可從設備登錄方式、物理訪問控制、訪問權限、其他技術防護措施、相關管理制度落實等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。應用系統(tǒng)訪問控制機制存在缺陷本判例包括以下內容：a）標準要求：應由授權主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則。b）適用范圍：二級及以上系統(tǒng)。c）判例場景：應用系統(tǒng)訪問控制策略存在缺陷，可越權訪問系統(tǒng)功能模塊或查看、操作其他用戶的數(shù)據(jù)，例如存在非授權訪問系統(tǒng)功能模塊、平行權限漏洞、低權限用戶越權訪問高權限功能模塊等。d）補償因素：1）對于部署在可控網(wǎng)絡環(huán)境的應用系統(tǒng)，可從現(xiàn)有的防護措施、用戶行為監(jiān)控等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級；2）可從非授權訪問模塊的重要程度、影響程度，越權訪問的難度等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。應用系統(tǒng)安全審計措施缺失本判例包括以下內容：a）標準要求：應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（所有）：1）應用系統(tǒng)無任何日志審計功能，無法對重要的用戶行為和重要安全事件進行審計；2）未采取其他審計措施或其他審計措施存在漏記、旁路等缺陷，無法對應用系統(tǒng)重要的用戶行為和重要安全事件進行溯源。d）補償因素：對于日志記錄不全或有審計數(shù)據(jù)但無直觀展示等情況，可從審計記錄內容、事件追溯范圍等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。應用系統(tǒng)審計記錄不滿足保護要求本判例包括以下內容：14T/ISEAA001-2020a）標準要求：應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（任意）：1）應用系統(tǒng)業(yè)務操作類、安全類等重要日志可被惡意刪除、修改或覆蓋等；2）應用系統(tǒng)業(yè)務操作類、安全類等重要日志的留存時間不滿足法律法規(guī)規(guī)定的相關要求（不少于六個月）。d）補償因素：1）對于應用系統(tǒng)提供歷史日志刪除等功能的情況，可從歷史日志時間范圍、追溯時效和意義等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級；2）對于應用系統(tǒng)未正式上線或上線時間不足六個月等情況，可從當前日志保存情況、日志備份策略、日志存儲容量等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。應用系統(tǒng)數(shù)據(jù)有效性檢驗功能缺失本判例包括以下內容：a）標準要求：應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內容符合系統(tǒng)設定要求。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（所有）：1）應用系統(tǒng)存在SQL注入、跨站腳本、上傳漏洞等可能導致敏感數(shù)據(jù)泄露、網(wǎng)頁篡改、服務器被入侵等安全事件的發(fā)生，造成嚴重后果的高危漏洞；2）未采取WEB應用防火墻、云盾等技術防護手段對高危漏洞進行防范。d）補償因素：對于不與互聯(lián)網(wǎng)交互的內網(wǎng)系統(tǒng)，可從應用系統(tǒng)的重要程度、漏洞影響程度、漏洞利用難度、內部網(wǎng)絡管控措施等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。應用系統(tǒng)存在可被利用的高危漏洞本判例包括以下內容：a）標準要求：應能發(fā)現(xiàn)可能存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（所有）：1）應用系統(tǒng)所使用的環(huán)境、框架、組件或業(yè)務功能等存在可被利用的高危漏洞或嚴重邏輯缺陷，可能導致敏感數(shù)據(jù)泄露、網(wǎng)頁篡改、服務器被入侵、繞過安全驗證機制非授權訪問等安全事件的發(fā)生；2）未采取其他有效技術手段對高危漏洞或邏輯缺陷進行防范。d）補償因素：對于不與互聯(lián)網(wǎng)交互的內網(wǎng)系統(tǒng)，可從應用系統(tǒng)的重要程度、漏洞影響程度、漏洞利用難度、內部網(wǎng)絡管控措施等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。數(shù)據(jù)安全重要數(shù)據(jù)傳輸完整性保護措施缺失本判例包括以下內容：a）標準要求:應采用校驗技術或密碼技術保證重要數(shù)據(jù)在傳輸過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。15T/ISEAA001-2020b）適用范圍、判例場景和補償因素參見6.2.7。數(shù)據(jù)明文傳輸本判例包括以下內容：a）標準要求：應采用密碼技術保證重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等。b）適用范圍、判例場景和補償因素參見6.2.8。重要數(shù)據(jù)存儲保密性保護措施缺失本判例包括以下內容：a）標準要求：應采用密碼技術保證重要數(shù)據(jù)在存儲過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等。b）適用范圍：三級及以上系統(tǒng)。c）判例場景（所有）：1）鑒別信息、個人敏感信息、行業(yè)主管部門規(guī)定需加密存儲的數(shù)據(jù)等以明文方式存儲；2）未采取數(shù)據(jù)訪問限制、部署數(shù)據(jù)庫防火墻、使用數(shù)據(jù)防泄露產品等其他有效保護措施。d）補償因素：無。數(shù)據(jù)備份措施缺失本判例包括以下內容：a）標準要求：應提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復功能。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（任意）：1）應用系統(tǒng)未提供任何重要數(shù)據(jù)備份措施，一旦遭受數(shù)據(jù)破壞，將無法進行數(shù)據(jù)恢復；2）重要數(shù)據(jù)、源代碼等備份到互聯(lián)網(wǎng)網(wǎng)盤、代碼托管平臺等不可控環(huán)境，可能造成重要信息泄露。d）補償因素：對于采用多數(shù)據(jù)中心或冗余方式部署，重要數(shù)據(jù)存在多個副本的情況，可從技術實現(xiàn)效果、恢復效果等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。異地備份措施缺失本判例包括以下內容：a）標準要求：應提供異地實時備份功能，利用通信網(wǎng)絡將重要數(shù)據(jù)實時備份至備份場地。b）適用范圍：三級及以上系統(tǒng)。c）判例場景：數(shù)據(jù)容災要求較高的定級對象，無異地數(shù)據(jù)災備措施，或異地備份機制無法滿足業(yè)務或行業(yè)主管部門要求。d）補償因素：無。數(shù)據(jù)處理系統(tǒng)冗余措施缺失本判例包括以下內容：a）標準要求：應提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。b）適用范圍：三級及以上系統(tǒng)。c）判例場景:對于數(shù)據(jù)處理可用性要求較高的定級對象，處理重要數(shù)據(jù)的設備，例如服務器、數(shù)據(jù)16T/ISEAA001-2020庫等未采用熱冗余技術，發(fā)生故障后可能導致系統(tǒng)停止運行。d）補償因素：對于采取其他技術防范措施的情況，可從技術實現(xiàn)效果、恢復方式、RTO等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。未建立異地災難備份中心本判例包括以下內容：a）標準要求：應建立異地災難備份中心，提供業(yè)務應用的實時切換。b）適用范圍：四級系統(tǒng)。c）判例場景:容災、可用性要求較高的系統(tǒng)，未設立異地應用級容災中心，或異地應用級容災中心無法實現(xiàn)業(yè)務切換。d）補償因素：對于采取其他技術防范措施的情況，可從技術實現(xiàn)效果、恢復方式、RTO等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。鑒別信息釋放措施失效本判例包括以下內容：a）標準要求：應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（所有）：1）身份鑒別信息釋放或清除機制存在缺陷，利用剩余鑒別信息，可非授權訪問系統(tǒng)資源或進行操作；2）無其他技術措施，消除或降低非授權訪問系統(tǒng)資源或進行操作所帶來的影響。d）補償因素：無。敏感數(shù)據(jù)釋放措施失效本判例包括以下內容：a）標準要求：應保證存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配前得到完全清除。b）適用范圍：三級及以上系統(tǒng)。c）判例場景:個人敏感信息、業(yè)務敏感信息等敏感數(shù)據(jù)釋放或清除機制存在缺陷，可造成敏感數(shù)據(jù)泄露。d）補償措施:無。違規(guī)采集和存儲個人信息本判例包括以下內容：a）標準要求：應僅采集和保存業(yè)務必需的用戶個人信息。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（任意）：1）在未授權情況下，采集、存儲用戶個人隱私信息；2）采集、保存法律法規(guī)、主管部門嚴令禁止采集、保存的用戶隱私信息。d）補償因素：無。違規(guī)訪問和使用個人信息本判例包括以下內容：17T/ISEAA001-2020a）標準要求：應禁止未授權訪問和非法使用用戶個人信息。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（任意）：1）未按國家、行業(yè)主管部門以及標準的相關規(guī)定使用個人信息，例如在未授權情況下將用戶信息提交給第三方處理，未脫敏的個人信息用于其他非核心業(yè)務系統(tǒng)或測試環(huán)境，非法買賣、泄露用戶個人信息等情況；2）個人信息可非授權訪問，例如未嚴格控制個人信息查詢以及導出權限等。d）補償因素：無。云服務客戶數(shù)據(jù)和用戶個人信息違規(guī)出境本判例包括以下內容：a）標準要求：應確保云服務客戶數(shù)據(jù)、用戶個人信息等存儲于中國境內，如需出境應遵循國家相關規(guī)定。b）適用范圍：二級及以上云計算平臺。c）判例場景：云服務客戶數(shù)據(jù)、用戶個人信息等數(shù)據(jù)出境未遵循國家相關規(guī)定。d）補償因素：無。安全管理中心運行監(jiān)控措施缺失本判例包括以下內容：a）標準要求：應對網(wǎng)絡鏈路、安全設備、網(wǎng)絡設備和服務器等的運行狀況進行集中監(jiān)測。b）適用范圍：高可用性的三級及以上系統(tǒng)。c）判例場景:對網(wǎng)絡鏈路、安全設備、網(wǎng)絡設備和服務器等的運行狀況無任何監(jiān)控措施，發(fā)生故障后無法及時對故障進行定位和處理。d）補償因素：無。審計記錄存儲時間不滿足要求本判例包括以下內容：a）標準要求:應對分散在各個設備上的審計數(shù)據(jù)進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規(guī)要求。b）適用范圍：三級及以上系統(tǒng)。c）判例場景:關鍵網(wǎng)絡設備、關鍵安全設備、關鍵主機設備（包括操作系統(tǒng)、數(shù)據(jù)庫等）的重要操作、安全事件等審計記錄的留存不滿足法律法規(guī)規(guī)定的相關要求（不少于六個月）。d）補償因素：對于被測對象上線運行時間不足六個月的情況，可從當前日志保存情況、日志備份策略、日志存儲容量等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。安全事件發(fā)現(xiàn)處置措施缺失本判例包括以下內容：a）標準要求：應能對網(wǎng)絡中發(fā)生的各類安全事件進行識別、報警和分析。b）適用范圍：三級及以上系統(tǒng)。c）判例場景:無法對網(wǎng)絡中發(fā)生的網(wǎng)絡攻擊、惡意代碼傳播等安全事件進行識別、報警和分析。18T/ISEAA001-2020d）補償因素：對于與互聯(lián)網(wǎng)完全物理隔離的系統(tǒng)，可從網(wǎng)絡管控措施、介質管控措施、應急措施等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。安全管理制度和機構管理制度缺失本判例包括以下內容：a）標準要求：應對安全管理活動中的各類管理內容建立安全管理制度。b）適用范圍：二級及以上系統(tǒng)。c）判例場景：未建立任何與安全管理活動相關的管理制度或相關管理制度無法適用于當前定級對象。d）補償因素：無。未建立網(wǎng)絡安全領導小組本判例包括以下內容：a）標準要求:應成立指導和管理網(wǎng)絡安全工作的委員會或領導小組，其最高領導由單位主管領導擔任或授權。b）適用范圍：三級及以上系統(tǒng)。c）判例場景:未成立指導和管理信息安全工作的委員會或領導小組，或其最高領導未由單位主管領導擔任或授權。d）補償因素:無。安全管理人員未開展安全意識和安全技能培訓本判例包括以下內容：a）標準要求：應對各類人員進行安全意識教育和崗位技能培訓，并告知相關的安全責任和懲戒措施。b）適用范圍：二級及以上系統(tǒng)。c）判例場景：未定期組織開展與安全意識、安全技能相關的培訓。d）補償因素：無。外部人員接入網(wǎng)絡管理措施缺失本判例包括以下內容：a）標準要求:應在外部人員接入受控網(wǎng)絡訪問系統(tǒng)前先提出書面申請，經批準后再由專人開設賬戶、分配權限，并登記備案。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（所有）：1）管理制度中未明確外部人員接入受控網(wǎng)絡訪問系統(tǒng)的申請、審批流程，以及相關安全控制要求；2）無法提供外部人員接入受控網(wǎng)絡訪問系統(tǒng)的申請、審批等相關記錄證據(jù)。d）補償因素:無。19T/ISEAA001-2020安全建設管理違規(guī)采購和使用網(wǎng)絡安全產品本判例包括以下內容：a）標準要求：應確保網(wǎng)絡安全產品的采購和使用符合國家有關規(guī)定。b）適用范圍：三級及以上系統(tǒng)。c）判例場景：網(wǎng)絡安全產品的采購和使用違反國家有關規(guī)定，“例如采購、使用的安全產品未獲得銷售許可證、未通過國家有關機構的安全檢測等”。d）補償因素：對于使用開源、自研的網(wǎng)絡安全產品（非銷售類安全產品）的情況，可從該網(wǎng)絡安全產品的作用、功能、使用場景、國家及行業(yè)主管部門的要求等角度進行綜合風險分析，充分考慮該網(wǎng)絡安全產品未通過專業(yè)機構檢測，一旦出現(xiàn)功能缺陷、安全漏洞等問題對定級對象帶來的影響，根據(jù)分析結果，酌情判定風險等級。外包開發(fā)代碼審計措施缺失本判例包括以下內容：a）標準要求：應保證開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道。b）適用范圍：三級及以上系統(tǒng)。c）判例場景（所有）：1）涉及國計民生的核心業(yè)務系統(tǒng)，被測單位未對開發(fā)單位開發(fā)的系統(tǒng)進行源代碼安全審查;2）開發(fā)單位未提供任何第三方機構提供的安全性檢測證明。d）補償因素：1）定級對象建成時間較長，雖未進行源代碼安全審查，但定期進行安全檢測，并能夠提供安全檢測報告，且當前管理制度中明確規(guī)定外包開發(fā)代碼審計，可根據(jù)實際措施效果，酌情判定風險等級；2）對于被測單位通過合同等方式與開發(fā)單位明確安全責任并采取相關技術手段進行防控的情況，可從已采取的技術防范措施等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級；3）對于部分模塊外包開發(fā)的情況，可從外包開發(fā)模塊的用途、重要性等角度進行綜合風險分析，根據(jù)分析結果,酌情判定風險等級。上線前未開展安全測試本判例包括以下內容：a）標準要求：應進行上線前的安全性測試，并出具安全測試報告，安全測試報告應包含密碼應用安全性測試相關內容。b）適用范圍：三級及以上系統(tǒng)。c）判例場景：系統(tǒng)上線前未開展任何安全性測試，或未對測試發(fā)現(xiàn)的高風險問題進行安全評估和整改。d）補償因素:定級對象建成時間較長，上線前雖未進行安全性測試，但上線后定期開展安全檢測，且檢測未發(fā)現(xiàn)高危風險隱患，可根據(jù)實際措施效果，酌情判定風險等級。注：安全測試內容包括但不限于等級保護測評、掃描滲透測試、安全功能驗證、源代碼安全審核等。20T/ISEAA001-2020安全運維管理運維工具管控措施缺失本判例包括以下內容：a）標準要求：應嚴格控制運維工具的使用，經過審批后才可接入進行操作，操作過程中應保留不可更改的審計日志，操作結束后應刪除工具中的敏感數(shù)據(jù)。b）適用范圍：三級及以上系統(tǒng)。c）判例場景（任意）：1）運維工具（特別是未商業(yè)化的運維工具）使用前未進行有效性檢查，例如病毒、漏洞掃描等；2）對運維工具接入網(wǎng)絡未進行嚴格的控制和審批；3）運維工具使用結束后未要求刪除可能臨時存放的敏感數(shù)據(jù)。d）補償因素：無。設備外聯(lián)管控措施缺失本判例包括以下內容：a）標準要求:應保證所有與外部的連接均得到授權和批準，應定期檢查違反規(guī)定無線上網(wǎng)及其他違反網(wǎng)絡安全策略的行為。b）適用范圍：三級及以上系統(tǒng)。c）判例場景（所有）：1）管理制度中無與外部連接的授權和審批流程，也未定期進行相關的巡檢；2）無技術手段對違規(guī)上網(wǎng)及其他違反網(wǎng)絡安全策略的行為進行有效控制、檢查、阻斷。d）補償因素:無。外來接入設備惡意代碼檢查措施缺失本判例包括以下內容：a）標準要求:應加強所有用戶的防惡意代碼意識，對外來計算機或存儲設備接入系統(tǒng)前進行惡意代碼檢查等。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（所有）：1）管理制度中未明確外來計算機或存儲設備接入安全操作規(guī)程；2）外來計算機或存儲設備接入網(wǎng)絡前未進行惡意代碼檢查。d）補償因素:無。變更管理制度缺失本判例包括以下內容：a）標準要求:應明確變更需求，變更前根據(jù)變更需求制定變更方案，變更方案經過評審、審批后方可實施。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（所有）：1）缺少相關變更管理制度，或變更管理制度中缺少變更管理流程、變更內容分析與論證、變21T/ISEAA001-2020更方案審批流程等相關內容；2）實際變更過程中無任何流程、人員、方案等審核環(huán)節(jié)及記錄。d）補償因素:無。數(shù)據(jù)備份策略缺失本判例包括以下內容：求：應根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復策略、備份程序和恢復程序等。b）適用范圍：二級及以上系統(tǒng)。c）判例場景:無備份與恢復等相關的安全管理制度，或未按照相關策略落實數(shù)據(jù)備份和恢復措施。d）補償因素：1）雖未建立相關數(shù)據(jù)備份與恢復制度，但實際工作中實施了數(shù)據(jù)備份及恢復測試，且能夠提供相關證據(jù)，備份與恢復措施符合業(yè)務需要，可根據(jù)實際措施效果，酌情判定風險等級；2）對于定級對象還未正式上線的情況，可從已制定的備份恢復策略、計劃采取的技術措施,例如環(huán)境、存儲等是否滿足所規(guī)定的備份恢復策略要求等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。重要事件應急預案缺失本判例包括以下內容：a）標準要求：應制定重要事件的應急預案，包括應急處理流程、系統(tǒng)恢復流程等內容。b）適用范圍：二級及以上系統(tǒng)。c）判例場景（任意）：1）未制定重要事件的應急預案；2）應急預案內容不完整，未明確重要事件的應急處理流程、恢復流程等內容，一旦出現(xiàn)應急事件，無法合理有序地進行應急事件處置。d）補償因素：無。未對應急預案進行培訓演練本判例包括以下內容：a）標準要求：應定期對系統(tǒng)相關的人員進行應急預案培訓，并進行應急預案的演練。b）適用范圍：三級及以上系統(tǒng)。c）判例場景:未定期（至少每年一次）對相關人員進行應急預案培訓，未根據(jù)不同的應急預案進行演練，無法提供應急預案培訓和演練記錄。d）補償因素：對于定級對象還未正式上線的情況，可從培訓演練制度、相關培訓計劃等角度進行綜合風險分析，根據(jù)分析結果，酌情判定風險等級。云計算平臺運維方式不當本判例包括以下內容：a）標準要求：云計算平臺的運維地點應位于中國境內，在境外對境內云計算平臺實施運維操作應遵循國家相關規(guī)定。22T/ISEAA001-2020b）適用范圍：二級及以上云計算平臺。c）判例場景（所有）：1）云計算平臺的運維地點不在中國境內；2）境外對境內云計算平臺實施運維操作未遵循國家相關規(guī)定。d）補償因素:無。23T/ISEAA001-2020附錄A

（資料性附錄）

GB/T22239—2019中第三級安全要求與本文件判例對應關系為方便測評人員在測評過程中使用本文件，表A.1給出了本文件中高風險判例與GB/T22239—2019中第三級安全要求的對應關系。表A.1GB/T22239—2019中第三級安全要求與本文件判例對應關系序號層面控制點標準要求對應條款號本文件判例適用范圍1安全物理環(huán)境物理訪問控制機房出入口應配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員6.1.1機房出入口訪問控制措施缺失二級及以上系統(tǒng)2防盜竊和防破壞應設置機房防盜報警系統(tǒng)或設置有專人值守的視頻監(jiān)控系統(tǒng)6.1.2機房防盜措施缺失三級及以上系統(tǒng)3防火機房應設置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火6.1.3機房防火措施缺失二級及以上系統(tǒng)4電力供應應提供短期的備用電力供應，至少滿足設備在斷電情況下的正常運行要求6.1.4機房短期備用電力供應措施缺失二級及以上系統(tǒng)5應提供應急供電設施6.1.5機房應急供電措施缺失高可用性的四級系統(tǒng)6基礎設施位置應保證云計算基礎設施位于中國境內6.1.6云計算基礎設施物理位置不當二級及以上云計算平臺7安全通信網(wǎng)絡網(wǎng)絡架構應保證網(wǎng)絡設備的業(yè)務處理能力滿足業(yè)務高峰期需要6.2.1網(wǎng)絡設備業(yè)務處理能力不足高可用性的三級及以上系統(tǒng)8應劃分不同的網(wǎng)絡區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡區(qū)域分配地址6.2.2網(wǎng)絡區(qū)域劃分不當二級及以上系統(tǒng)9應避免將重要網(wǎng)絡區(qū)域部署在邊界處，重要網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域之間應采取可靠的技術隔離手段6.2.3網(wǎng)絡邊界訪問控制設備不可控二級及以上系統(tǒng)106.2.4重要網(wǎng)絡區(qū)域邊界訪問控制措施缺失二級及以上系統(tǒng)11應提供通信線路、關鍵網(wǎng)絡設備和關鍵計算設備的硬件冗余，保證系統(tǒng)的可用性6.2.5關鍵線路和設備冗余措施缺失高可用性的三級及以上系統(tǒng)12應保證云計算平臺不承載高于其安全保護等級的業(yè)務應用系統(tǒng)6.2.6云計算平臺等級低于承載業(yè)務系統(tǒng)等級二級及以上系統(tǒng)13通信傳輸應采用校驗技術或密碼技術保證通信過程中數(shù)據(jù)的完整性6.2.7重要數(shù)據(jù)傳輸完整性保護措施缺失三級及以上系統(tǒng)14應采用密碼技術保證通信過程中數(shù)據(jù)的保密性6.2.8重要數(shù)據(jù)明文傳輸三級及以上系統(tǒng)24T/ISEAA001-2020表A.1GB/T22239-2019中第三級安全要求與本文件判例對應關系（續(xù)）序號層面控制點標準要求對應條款號本文件判例適用范圍15安全區(qū)域邊界邊界防護應限制無線網(wǎng)絡的使用，保證無線網(wǎng)絡通過受控的邊界設備接入內部網(wǎng)絡6.3.1無線網(wǎng)絡管控措施缺失三級及以上系統(tǒng)16訪問控制應在網(wǎng)絡邊界或區(qū)域之間根據(jù)訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信6.3.2重要網(wǎng)絡區(qū)域邊界訪問控制配置不當二級及以上系統(tǒng)17入侵防范應在關鍵網(wǎng)絡節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡攻擊行為6.3.3外部網(wǎng)絡攻擊防御措施缺失二級及以上系統(tǒng)18應在關鍵網(wǎng)絡節(jié)點處檢測、防止或限制從內部發(fā)起的網(wǎng)絡攻擊行為6.3.4內部網(wǎng)絡攻擊防御措施缺失三級及以上系統(tǒng)19惡意代碼和垃圾郵件防范應在關鍵網(wǎng)絡節(jié)點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的升級和更新6.3.5惡意代碼防范措施缺失二級及以上系統(tǒng)20安全審計應在網(wǎng)絡邊界、重要網(wǎng)絡節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計6.3.6網(wǎng)絡安全審計措施缺失二級及以上系統(tǒng)21安全計算環(huán)境身份鑒別應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換設備存在弱口令或相同口令二級及以上系統(tǒng)應用系統(tǒng)口令策略缺失二級及以上系統(tǒng)應用系統(tǒng)存在弱口令二級及以上系統(tǒng)24應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關措施應用系統(tǒng)口令暴力破解防范機制缺失二級及以上系統(tǒng)25當進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽設備鑒別信息防竊聽措施缺失二級及以上系統(tǒng)2應用系統(tǒng)鑒別信息明文傳輸二級及以上系統(tǒng)27應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現(xiàn)設備未采用多種身份鑒別技術三級及以上系統(tǒng)2應用系統(tǒng)未采用多種身份鑒別技術三級及以上系統(tǒng)29訪問控制應重命名或刪除默認賬戶，修改默認賬戶的默認口令設備默認口令未修改二級及以上系統(tǒng)30應用系統(tǒng)默認口令未修改二級及以上系統(tǒng)31應由授權主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則應用系統(tǒng)訪問控制機制存在缺陷二級及以上系統(tǒng)25T/ISEAA001-2020表A.1GB/T22239-2019中第三級安全要求與本文件判例對應關系（續(xù)）序號層面控制點標準要求對應條款號本文件判例適用范圍32安全計算環(huán)境安全審計應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計設備安全審計措施缺失二級及以上系統(tǒng)3應用系統(tǒng)安全審計措施缺失二級及以上系統(tǒng)34應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等設備審計記錄不滿足保護要求二級及以上系統(tǒng)3應用系統(tǒng)審計記錄不滿足保護要求二級及以上系統(tǒng)36入侵防范應關閉不需要的系統(tǒng)服務、默認共享和高危端口設備開啟多余的服務、高危端口二級及以上系統(tǒng)37應通過設定終端接入方式或網(wǎng)絡地址范圍對通過網(wǎng)絡進行管理的管理終端進行限制設備管理終端限制措施缺失二級及以上系統(tǒng)38應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內容符合系統(tǒng)設定要求0應用系統(tǒng)數(shù)據(jù)有效性檢驗功能缺失二級及以上系統(tǒng)39應能發(fā)現(xiàn)可能存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞互聯(lián)網(wǎng)設備存在已知高危漏洞二級及以上系統(tǒng)400內網(wǎng)設備存在可被利用的高危漏洞二級及以上系統(tǒng)41應用系統(tǒng)存在可被利用的高危漏洞二級及以上系統(tǒng)42惡意代碼防范應采用主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效阻斷1惡意代碼防范措施缺失二級及以上系統(tǒng)43數(shù)據(jù)完整性應采用校驗技術或密碼技術保證重要數(shù)據(jù)在傳輸過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等重要數(shù)據(jù)傳輸完整性保護措施缺失三級及以上系統(tǒng)44數(shù)據(jù)保密性應采用密碼技術保證重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等重要數(shù)據(jù)明文傳輸三級及以上系統(tǒng)45應采用密碼技術保證重要數(shù)據(jù)在存儲過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等重要數(shù)據(jù)存儲保密性保護措施缺失三級及以上系統(tǒng)26T/ISEAA001-2020表A.1GB/T22239-2019中第三級安全要求與本文件判例對應關系（續(xù)）序號層面控制點標準要求對應條款號本文件判例適用范圍46安全計算環(huán)境數(shù)據(jù)備份恢復應提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復功能數(shù)據(jù)備份措施缺失二級及以上系統(tǒng)47應提供異地實時備份功能，利用通信網(wǎng)絡將重要數(shù)據(jù)實時備份至備份場地異地備份措施缺失三級及以上系統(tǒng)48應提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性數(shù)據(jù)處理系統(tǒng)冗余措施缺失三級及以上系統(tǒng)49應建立異地災難備份中心，提供業(yè)務應用的實時切換未建立異地災難備份中心四級系統(tǒng)50剩余信息保護應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除鑒別信息釋放措施失效二級及以上系統(tǒng)51應保證存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配前得到完全清除敏感數(shù)據(jù)釋放措施失效三級及以上系統(tǒng)52個人信息保護應僅采集和保存業(yè)務必需的用戶個人信息0違規(guī)采集和存儲個人信息二級及以上系統(tǒng)53應禁止未授權訪問和非法使用用戶個人信息1違規(guī)訪問和使用個人信息二級及以上系統(tǒng)54數(shù)據(jù)完整性和保密性應確保云服務客戶數(shù)據(jù)、用戶個人信息等存儲于中國境內，如需出境應遵循國家相關規(guī)定2云服務客戶數(shù)據(jù)和用戶個人信息違規(guī)出境二級及以上云計算平臺55安全管理中心集中管控應對網(wǎng)絡鏈路、安全設備、網(wǎng)絡設備和服務器等的運行狀況進行集中監(jiān)測6.5.1運行監(jiān)控措施缺失高可用性的三級及以上系統(tǒng)56應對分散在各個設備上的審計數(shù)據(jù)進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規(guī)要求6.5.2審計記錄存儲時間不滿足要求三級及以上系統(tǒng)57應能對網(wǎng)絡中發(fā)生的各類安全事件進行識別、報警和分析6.5.3安全事件發(fā)現(xiàn)處置措施缺失三級及以上系統(tǒng)58安全管理制度和機構管理制度應對安全管理活動中的各類管理內容建立安全管理制度6.6.1管理制度缺失二級及以上系統(tǒng)59崗位設置應成立指導和管理網(wǎng)絡安全工作的委員會或領導小組，其最高領導由單位主管領導擔任或授權6.6.2未建立網(wǎng)絡安全領導小組三級及以上系統(tǒng)27T/ISEAA001-2020表A.1GB/T22239-2019中第三級安全要求與本文件判例對應關系（續(xù)）序號層面控制點標準要求對應條款號本文件判例適用范圍60安全管理人員安全意識教育和培訓應對各類人員進行安全意識教育和崗位技能培訓，并告知相關的安全責任和懲戒措施6.7.1未開展安全意識和安全技能培訓二級及以上系統(tǒng)61外部人員訪問管理應在外部人員接入受控網(wǎng)絡訪問系統(tǒng)前先提出書面申請，批準后由專人開設賬戶、分配權限，并登記備案6.7.2外部人員接入網(wǎng)絡管理措施缺失二級及以上系統(tǒng)62安全建設管理產品采購和使用應確保網(wǎng)絡安全產品采購和使用符合國家的有關規(guī)定6.8.1違規(guī)采購和使用網(wǎng)絡安全產品三級及以上系統(tǒng)63外包軟件開發(fā)應保證開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道6.8.2外包開發(fā)代碼審計措施缺失三級及以上系統(tǒng)64測試驗收應進行上線前的安全性測試，并出具安全測試報告，安全測試報告應包含密碼應用安全性測試相關內容6.8.3上線前未開展安全測試三級及以上系統(tǒng)65安全運維管理網(wǎng)絡和系統(tǒng)安全管理應嚴格控制運維工具的使用，經過審批后才可接入進行操作，操作過程中應保留不可更改的審計日志，操作結束后應刪除工具中的敏感數(shù)據(jù)6.9.1運維工具管控措施缺失三級及以上系統(tǒng)66應保證所有與外部的連接均得到授權和批準，應定期檢查違反規(guī)定無線上網(wǎng)及其他違反網(wǎng)絡安全策略的行為6.9.2設備外聯(lián)管控措施缺失三級及以上系統(tǒng)67惡意代碼防范管理應提高所有用戶的防惡意代碼意識，對外來計算機或存儲設備接入系統(tǒng)前進行惡意代碼檢查等6.9.3外來接入設備惡意代碼檢查措施缺失二級及以上系統(tǒng)68變更管理應明確變更需求，變更前根據(jù)變更需求制定變更方案，變更方案經過評審、審批后方可實施6.9.4變更管理制度缺失二級及以上系統(tǒng)69備份與恢復管理應根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復策略、備份程序和恢復程序等6.9.5數(shù)據(jù)備份策略缺失二級及以上系統(tǒng)70應急預案管理應制定重要事件的應急預案，包括應急處理流程、系統(tǒng)恢復流程等內容6.9.6重要事件應急預案缺失二級及以上系統(tǒng)71應定期對系統(tǒng)相關的人員進行應急預案培訓，并進行應急預案的演練6.9.7未對應急預案進行培訓演練三級及以上系統(tǒng)72云計算環(huán)境管理云計算平臺的運維地點應位于中國境內，境外對境內云計算平臺實施運維操作應遵循國家相關規(guī)定6.9.8云計算平臺運維方式不當二級及以上云計算平臺28T/ISEAA001-2020附錄B（資料性附錄）高風險判例整改建議針對本文件提出的高風險場景，表B.1基于一般場景，給出每條判例對應的整改建議，測評人員可根據(jù)建議內容，并結合定級對象實際場景，提出有針對性、可落地實施的整改建議。表B.1高風險判例對應整改建議序號條款號判例整改建議16.1.1機房出入口訪問控制措施缺失建議機房出入口配備電子門禁系統(tǒng)或安排專人值守，對進出機房的人員進行控制、鑒別，并記錄相關人員信息26.1.2機房防盜措施缺失建議機房部署防盜報警系統(tǒng)或設置有專人值守的視頻監(jiān)控系統(tǒng)，如發(fā)生盜竊事件可及時告警或進行追溯，為機房環(huán)境的安全可控提供保障36.1.3機房防火措施缺失建議機房設置火災自動消防系統(tǒng)，能夠自動檢測火情、報警及滅火，相關消防設備如滅火器等應定期檢查，確保防火措施持續(xù)有效46.1.4機房短期備用電力供應措施缺失建議機房配備容量合理的后備電源，并對相關設施進行定期巡檢，確保在外部電力供應中斷的情況下，備用供電設備能滿足系統(tǒng)短期正常運行56.1.5機房應急供電措施缺失建議配備柴油發(fā)電機、應急供電車等備用發(fā)電設備66.1.6云計算基礎設施物理位置不當建議在中國境內部署云計算服務器、存儲設備、網(wǎng)絡設備、云管理平臺、信息系統(tǒng)等運行業(yè)務和