| | | | | | | |
| | | 机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员 | | 机房出入口无任何访问控制措施,如未安装电子或机械门锁,且机房门口无专人值守等 | 所在机房的大楼处于受控区域,且机房门口设有专人值守的视频监控系统 | 机房出入口无任何访问控制措施,但机房所在的大楼处于受控区域,机房门口设有专人值守的视频监控系统,可根据实际措施效果酌情降低风险等级 |
| | | 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火 | | 1. 机房无任何有效消防措施,如无检测火情、感应报警设施,机房专用灭火器失效或无法正常使用等; | 机房安排专人值守或机房内设置了专人值守的视频监控系统 | 机房无有效消防措施或所采取的灭火系统或设备不符合国家的相关规定,但机房安排专人值守或机房内设置了专人值守的视频监控系统,可根据实际措施效果酌情降低风险等级 |
| 2. 机房所采取的灭火系统或设备不符合国家相关规定 |
| | | 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求 | | 1. 机房无短期备用电力供应设备,如UPS、柴油发电机、应急供电车等; | | 机房无短期备用电力供应设备或供应设备无法满足短期正常运行,但机房配备多路供电,可根据实际措施效果酌情降低风险等级 |
|
| | | | | 1. 机房未配备应急供电设施,如柴油发电机、应急供电车等; | 采用多数据中心方式部署,且通过技术手段实现应用级灾备 | 若机房未配备应急供电设施或机房应急供电设施不可用,但采用多数据中心方式部署,且通过技术手段实现应用级灾备,可根据实际措施效果酌情降低风险等级 |
| 2. 应急供电设施不可用,无法满足定级对象正常运行需求 |
| | | | | 网络设备、安全设备等网络链路上的关键设备性能无法满足高峰期需求 | | |
| | | 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段 | | | | 1. 重要网络区域部署在外部网络边界处,无相应的缓解措施,上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险; |
| 2. 重要网络区域与其他网络区域之间未采取任何有效的访问控制措施 | 2. 重要网络区域与其他网络区域之间未采取任何有效的访问控制措施,但所有服务器均配置并启用了访问控制策略,可根据实际措施效果酌情降低风险等级 |
| | | 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性 | | 通信线路、关键网络设备、关键安全设备和关键计算设备无冗余措施 | | 通信线路、关键网络设备和关键计算设备无冗余措施,但应用系统采用多数据中心方式部署,且通过技术手段实现应用级灾备,可根据实际措施效果酌情降低风险等级 |
| | | | | 采用无加密措施的网络通道传输鉴别数据、敏感个人信息或重要业务数据等 | | 1. 采用无加密措施的网络通道传输重要数据,但重要数据自身采取密码技术实现加密,可根据实际措施效果酌情降低风险等级; |
| 2. 采用无加密措施的网络通道传输重要数据,但应用系统采用加密协议进行数据传输,如使用HTTPS协议,可根据实际措施效果酌情降低风险等级 |
| | | 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信 | | 1. 网络边界链路接入设备未配置明确的上联链路端口; | 网络边界配置严格的访问控制策略,细粒度达到IP、端口级别 | 网络边界链路接入设备未配置明确的上联链路端口等,但若网络边界部署有访问控制措施且配置严格策略,可根据实际措施效果酌情降低风险等级 |
| 2. 网络边界链路接入设备端口IP及路由策略不明确; |
|
| | | 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络 | | 内部重要网络与无线网络互联,且不通过任何受控的边界设备或边界设备访问控制策略设置不当 | 对接入到无线网络的设备及用户进行有效管控(如IP/MAC绑定)或强身份认证 | 内部重要网络与无线网络互联且无受控边界设备或策略不当,但若采取技术措施管控接入设备及用户,可根据实际措施效果酌情降低风险等级 |
| | | 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信 | | 重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)访问控制设备缺失或访问控制措施失效 | | 重要网络区域与其他网络区域之间访问控制设备缺失或措施失效,但若所有服务器均配置并启用访问控制策略,可根据实际措施效果酌情降低风险等级 |
| | | 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为 | | 1. 关键网络节点无任何网络攻击行为检测手段和防护手段; | 所有主机设备部署入侵检测、防御措施,且策略库/规则库更新及时 | 关键网络节点无攻击检测防护手段或策略库/规则库未更新半年以上,但若所有主机操作系统部署入侵防范产品且策略库/规则库更新及时,可根据实际措施效果酌情降低风险等级 |
| 2. 网络攻击行为检测措施的策略库/规则库半年及以上未更新 |
| | | 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为 | | 1. 关键网络节点无任何网络攻击行为检测手段和防护手段; | 所有主机设备部署入侵检测、防御措施,且策略库/规则库更新及时 | 关键网络节点无攻击检测防护手段或策略库/规则库未更新半年以上,但若所有主机操作系统部署入侵防范产品且策略库/规则库更新及时,可根据实际措施效果酌情降低风险等级 |
| 2. 网络攻击行为检测措施的策略库/规则库半年及以上未更新 |
| | | 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析 | | 1. 关键网络节点对新型网络攻击行为无任何分析手段,如未部署抗APT系统等; | 网络环境采取物理隔离或强逻辑隔离措施,且具有物理访问控制措施和设备强准入控制措施 | 关键网络节点对新型网络攻击行为无分析手段或相关安全措施未更新半年以上,但若系统与公共通信网络物理隔离或强逻辑隔离,且有物理访问控制和设备强准入措施,可根据实际措施效果酌情降低风险等级 |
| 2. 基于威胁情报、行为分析模型的安全措施,半年及以上未更新威胁情报库、事件分析模型,无法满足防护需求 |
| | | 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 | | 1. 存在可登录的空口令账户、无身份鉴别措施或身份鉴别措施可被绕过等; | 1. 具有仅限本地登录,或登录地址、终端、物理位置限制等远程登录管控措施; | 存在空口令、弱口令等情况,但若被测对象仅限本地访问或有远程登录管控措施,或采用两种及以上身份鉴别措施,可根据实际措施效果酌情降低风险等级 |
| 2. 采用不可绕过的两种或两种以上组合的身份鉴别措施 |
| 3. 多个不同被测对象的管理账户口令相同、或同一被测对象中多个不同管理账户口令相同 |
| | | 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听 | | | 采用不可绕过的两种或两种以上组合的身份鉴别措施,仅获得口令无法成功登录 | 鉴别信息明文传输或可还原明文,但若采用不可绕过的两种及以上组合身份鉴别措施,仅获得口令无法成功登录,可根据实际措施效果酌情降低风险等级 |
| 2. 鉴别信息使用编码、隐藏等形式传输,但仍可还原出明文 |
| | | 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现 | | 未采用两种或两种以上组合鉴别技术对用户进行身份鉴别 | 1. 在登录和访问过程中,多次进行身份鉴别,且每次鉴别信息动态变化; | 未采用两种及以上组合鉴别技术,但若在登录访问中多次动态鉴别、分阶段不同鉴别方式,或仅限本地登录/带外管理,可根据实际措施效果酌情降低风险等级 |
| 2. 在完成重要业务操作前的不同阶段采用不同的鉴别方式进行身份鉴别; |
|
| | | | | 存在公开的默认账户或默认口令,未重命名默认账户且未修改默认口令 | 1. 采用不可绕过的两种或两种以上组合的身份鉴别措施,仅使用默认口令无法成功登录; | 存在公开默认账户或口令且未修改,但若采用不可绕过的两种及以上组合身份鉴别措施,或有远程登录管控措施使默认口令无法登录,可根据实际措施效果酌情降低风险等级 |
| 2. 具有登录地址限制、登录终端限制、物理位置限制等远程登录管控措施,使用默认口令无法成功登录 |
| | | 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则 | | 1. 业务应用系统/平台、数据库管理系统、操作系统访问控制策略存在缺陷或不完善,存在越权访问可能 | 具有仅限本地访问,或登录地址、终端、物理位置限制等远程访问管控措施,以及操作行为审计等监控措施 | 访问控制策略存在缺陷或不完善、存在越权访问可能,但若有远程访问管控措施及操作行为审计等监控措施,可根据实际措施效果酌情降低风险等级 |
| | | | | 开启多余的系统服务、默认共享和高危端口,且可被远程访问 | 1. 具有登录地址、终端、物理位置限制等远程访问管控措施,使相关漏洞难以利用; | 开启多余系统服务、默认共享和高危端口且可远程访问,但若有远程访问管控措施或主机入侵/恶意代码检测防护措施且有效,可根据实际措施效果酌情降低风险等级 |
| 2. 具有主机入侵检测或恶意代码检测等防护措施,且功能正常有效,使相关漏洞难以利用 |
| | | 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞 | | 1. 通过互联网管理或访问的系统或设备,存在外界披露的可被利用的高危安全漏洞; | 1. 通过互联网管理或访问的系统或设备存在高危漏洞,无缓解措施; | 1. 互联网系统或设备存在高危漏洞,一旦被威胁利用可能导致高风险; |
| 2. 通过非互联网等公共通信网络管理或访问的系统或设备,经测试验证确认存在可被利用的高危安全漏洞 | 2. 非互联网系统或设备存在高危漏洞,但若有远程访问管控措施或主机入侵/恶意代码检测防护措施且有效,可使高危漏洞难以利用 | 2. 非互联网系统或设备存在高危漏洞,但若有远程访问管控或防护措施且有效,可根据实际措施效果酌情降低风险等级 |
| | | 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求 | | 未提供数据有效性检验功能或功能不完善,存在SQL注入、跨站脚本、文件上传等造成严重后果的高风险安全漏洞 | 1. 不对互联网等公共通信网络提供服务,且有远程访问管控措施及操作行为审计等技术措施,使高风险漏洞难以利用; | 数据有效性检验功能缺失或不完善、存在高风险漏洞,但若不对外服务且有管控审计措施,或采用防护技术措施,可根据实际措施效果酌情降低风险等级 |
| 2. 采用WEB应用防火墙等技术措施进行防护,使高风险漏洞难以利用 |
| | | 第二级:应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库; | | | 1. 使用非Windows操作系统的定级对象,且不对互联网等公共通信网络提供服务,具有USB介质管控等技术措施; | 1. 非Windows系统且有相应措施,可根据实际措施效果酌情降低风险等级; |
| 第三级:应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断 | | 2. 使用非Windows操作系统的定级对象,且在关键网络节点处采取有效的恶意代码检测和清除技术措施; | 2. Windows系统存在上述问题,一旦被威胁利用可能导致高风险 |
| |
| | | 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等 | | 鉴别信息、重要个人信息或重要业务数据等以明文的方式在网络环境中传输 | 1. 鉴别信息明文传输,但若采用不可绕过的两种及以上组合身份鉴别措施,获得鉴别信息无法成功登录; | 1. 鉴别信息明文传输但有组合身份鉴别措施,可根据实际措施效果酌情降低风险等级; |
| 2. 重要个人信息或重要业务数据明文传输,无缓解措施 | 2. 重要个人信息或业务数据明文传输,一旦被威胁利用可能导致高风险 |
| | | 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等 | | 鉴别信息、重要个人信息、具有保密性需求的重要业务数据以明文的方式存储 | 1. 不对互联网等公共通信网络提供服务,且具有仅限本地访问或带外管理等措施; | 重要数据明文存储,但若不对外服务且有本地访问措施,或有防护技术措施且有效,可根据实际措施效果酌情降低风险等级 |
| 2. 具有数据库防火墙、数据防泄露等技术措施,且相关防护功能和策略正确有效 |
| | | | | | 1. 采用多数据中心或冗余方式部署,重要数据存在多个可用副本; | 1. 未备份但有多数据中心或冗余部署,可根据实际措施效果酌情降低风险等级; |
| 2. 重要数据备份到互联网网盘或相关存储环境,无缓解措施 | 2. 备份到互联网网盘等环境,一旦被威胁利用可能导致高风险 |
| | | 应提供重要数据处理系统的热冗余,保证系统的高可用性 | | 对于业务连续性要求较高的被测对象,处理重要数据的设备(如重要服务器、重要数据库管理系统等)未采用热冗余方式部署,发生故障后可能导致重要业务中断 | | 上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险 |
| | | | | | | 上述任一安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险 |
|
| | | | | 系统在未授权情况下,违规采集、存储用户个人隐私信息,或法律法规、主管部门严令禁止采集、保存的个人信息 | | 上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险 |
| | | | | 未按国家相关法律法规、政策标准、以及行业主管部门要求等相关规定使用个人信息,包括但不限于在未授权情况下将用户信息提交给第三方处理等 | | 上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险 |
| | | 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理 | | 对网络设备、安全设备或安全组件进行远程管理时,未采取安全的信息传输路径 | | 上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险 |
| | | 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求 | | 网络设备、安全设备、主机设备及应用系统的重要操作、安全事件等审计记录留存不满足法律法规规定的相关要求(不少于六个月) | | 上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险 |
| | | | | | | 上述任一安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险 |
|
| | | 应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权 | | | | 上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险 |
| | | 应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案 | | 管理制度中未明确外部人员接入受控网络访问系统的申请、审批流程以及相关安全控制要求且无法提供外部人员接入申请、审批等相关记录 | | 上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险 |
| | | | | 网络安全产品的采购和使用违反国家有关规定(如2023年7月1日起采购并使用的网络安全专用产品不在《网络关键设备和网络安全专用产品目录》中;或2023年7月1日前采购并使用未获得相关认证证书的网络安全产品) | | 上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险 |
| | | 应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道 | | 未对重要业务系统进行源代码安全审计,且开发单位未提供任何第三方机构提供的安全性检测证明 | 1. 定期进行软件源代码安全审计,并能够提供安全审计报告,且当前管理制度中明确规定外包开发代码需进行代码审计; | 1. 未进行源代码审计且无检测证明,但若定期审计并能提供报告,且制度明确要求审计,可根据实际措施效果酌情降低风险等级; |
| 2. 通过合同等方式与开发单位明确安全责任并采取相关技术手段进行防控 | 2. 未进行源代码审计且无检测证明,但若通过合同和技术手段防控,可根据实际措施效果酌情降低风险等级 |
| | | 应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容 | | | 1. 系统上线前未开展任何安全性测试,上线后定期开展安全检测,且检测未发现高危风险; | 1. 上线前未测试但上线后定期检测且无高危风险,可根据实际措施效果酌情降低风险等级; |
| 2. 未对测试发现的高风险问题进行安全整改,无缓解措施 | 2. 未整改测试发现的高风险问题,一旦被威胁利用可能导致高风险 |
| | | 应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改 | | 系统定级备案后,未每年开展一次等级测评,且上次测评发现的高风险问题未及时整改 | | 上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险 |
| | | | | | | 上述任一安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险 |
| 2. 选择被通报处理的测评机构(包括认证证书暂停和整改期内)开展等级测评 |
| | | 应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容 | | | | 上述任一安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险 |
| 2. 应急预案内容不完整,未明确重要事件的应急处理流程、恢复流程等内容 |
| | | 应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练 | | 未定期(至少每年一次)对相关人员进行应急预案培训,且未根据不同的应急预案进行应急演练 | | 上述安全问题一旦被威胁利用后,可能会导致等级保护对象面临高风险 |
还没有评论,来说两句吧...