高风险评判指引(一)
一、安全物理环境
1. 机房出入口访问控制措施缺失(二级及以上)
判例场景:机房出入口无任何访问控制措施
补偿因素:机房所在位置处于受控区域,非授权人员无法随意进出机房,可根据实际措施效果,判定风险等级
2. 机房防盗措施缺失(三级及以上)
判例场景:
1.机房或机房所在区域无防盗报警系统,无法对盗窃事件进行告警、追溯;
2.未设置有专人值守的视频监控系统
补偿因素:机房出入口或机房所在区域有其他控制措施,例如机房出入口有专人值守,机房所在位置处于受控区域,非授权人员无法进入该区域,可根据实际措施,判定风险等级。
3. 机房防火措施缺失(二级及以上)
判例场景:
1.机房无任何有效消防措施,例如无检测火情、感应报警设施,手提式灭火器等灭火措施,消防设备未进行年检或已失效无法正常使用等情况;
2.机房所采取的灭火系统或设备不符合国家的相关规定。
补偿因素:
机房安排了专人值守或设置了专人值守的视频监控系统,并且机房附近有符合国家消防标准的灭火设备,一旦发生火灾,能及时进行灭火,可根据实际措施效果,判定风险等级。
4. 机房短期备用电力供应措施缺失(二级及以上)
判例场景:
1.机房无短期备用电力供应设备,例如UPS\柴油发电机、应急供电车等;
2.机房现有备用电力供应无法满足对象短期正常运行。
补偿因素:
对于机房配备多路供电的情况,可从供电方同时断电发生的概率等角度进行综合风险分析,根据分析结果,判定风险等级。
5. 云计算基础设施物理位置不当(二级及以上)
判例场景:
云计算基础设施,例如云计算服务器等运行业务和承载数据的软硬件不在中国境内。
补偿因素无
二、安全通信网络
1. 网络设备业务处理能力不足(三级及以上)
判例场景:核心交换机、核心路由器、边界防火墙等网络链路上的关键设备性能无法满足高峰期要求,可能导致服务质量严重下降或中断,例如性能指标平均达到80%以上。
补偿因素:对于采用多数据中心方式部署,且通过技术手段实现应用级灾备,能降低单一机房发生设备故障所带来的可用性方面影响的情况,可从影响程度、RTO等角度进行综合风险分析,根据分析结果,判定风险等级。
2. 网络区域划分不当(二级及以上)
判例场景:重要网络区域与非重要网络在同一子网或网段,例如承载业务系统的生产网络与员工日常办公网络,面向互联网提供服务的服务器区域与内部网络区域在同一子网或网段等。
补偿因素:同一子网之间有技术手段实现访问控制,可根据实际措施效果,判定风险等级。
3. 网络边界访问控制设备不可控(二级及以上)
判例场景:
1.网络边界访问控制设备无管理权限
2.未采取其他任何有效的访问控制措施,例如服务器自带防火墙未配置控制策略等
3.无法根据业务需要所发生的安全事件及时调整访问控制策略
补偿因素:
网络边界访问控制措施由云服务商提供或由集团公司统一管理,管理方能根据系统的业务及安全需要及时调整访问控制策略等,可从策略更改相应事件、策略有效性、执行效果等角度进行综合风险分析,根据分析结果,判定风险等级。
4. 重要网络区域边界访问控制措施缺失(二级及以上)
判例场景:
在网络架构上,重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)无访问控制设备实施访问控制措施,例如重要网络区域与互联网等外部非安全可控网络边界处、生产网络与员工日常办公网络之间、生产网络与无线网络接入区之间未部署访问控制设备实施访问控制措施等。
补偿因素无
5. 关键线路和设备冗余措施缺失(三级及以上)
判例场景:核心通信线路、关键网络设备和关键计算设备无冗余设计,一旦出现线路或设备故障,就可能导致服务中断。
补偿因素:
1.对于采用多数据中心方式部署,且通过技术手段实现应用级灾备,能降低单一机房发生设备故障所带来的可用性方面影响的情况,可从影响程度、RTO等角度进行综合风险分析,根据分析结果,判定风险等级;
2.对于关键计算设备采用虚拟化技术的情况,可从虚拟化环境的硬件冗余和虚拟化计算设备(如虚拟机、虚拟网络设备等(冗余等角度进行综合风险分析,根据分析结果,判定风险等级。
6. 云计算平台等级低于承载业务系统等级(二级及以上)
判例场景
1.云计算平台承载高于其安全保护等级(SxAxGx)的业务应用系统;
2.业务应用系统部署在低于其安全保护等级(SxAxGx)的云计算平台上;
3.业务应用系统部署在未进行等保测评、测评报告超出有效期或者等保测评结论为差的云计算平台上。
补偿因素无
7. 重要数据传输完整性保护措施缺失(三级及以上)
判例场景:网络层或应用层无任何重要数据(如交易类数据、操作指令数据等)传输完整性保护措施,一旦数据遭到篡改,将对系统或个人造成重大影响。
补偿因素:对于重要数据在可控网络中传输的情况,可从已采取的网络管控措施、遭受数据篡改的可能性等角度进行综合风险分析,根据分析结果,酌情判定风险等级。
8. 重要数据名文传输(三级及以上)
判例场景:鉴别信息、个人敏感信息或重要业务敏感信息等以明文方式在不可控网络环境中传输。
补偿因素:
1.使用多种身份鉴别技术、限定管理地址等措施,获得的鉴别信息无法直接登录应用系统或设备,可根据实际措施效果,酌情判定风险等级。
2.可从被测对象的作用、重要程度以及信息泄露后对整个系统或个人产生的影响等角度进行综合风险分析,根据分析结果,判定风险等级。
三、安全区域边界
1. 无线网络管控措施缺失(三级及以上)
判例场景 :内部重要网络与无线网络互联,且不通过任何受控的边界设备,或边界设备控制策略设置不当,一旦非授权接入无线网络即可访问内部重要资源。
补偿因素:对于必须使用无线网络的场景,可从无线接入设备的管控和身份认证措施、非授权接入的可能性进行综合风险分析,根据分析结果,判定风险等级。
2. 重要网络区域边界访问控制配置不当(二级及以上)
判例场景:重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)访问控制设备设置不当或控制措施失效,存在较大安全隐患。如办公网络终端均可访问核心生产服务器和网络设备;无线网络接入区终端可直接访问生产网络设备等。
补偿因素无
3. 外部网络攻击防御措施缺失(二级及以上)
判例场景:
1.二级系统关键网络节点无任何网络攻击行为检测手段,如未部署入侵检测系统;
2.三级及以上系统关键网络节点对外部发起的攻击行为无任何防护手段,例如未部署IPS入侵防御设备、应用防火墙、反垃圾邮件、态势感知系统或抗DDoS设备等
3.网络攻击/防护检测措施的策略库、规则库半年及以上未更新,无法满足防护需求。
补偿因素:主机设备部署入侵防范产品,且策略库、规则库更新及时,能够对攻击行为进行检测、阻断或限制,可根据实际 措施效果,判定风险等级。
4. 内部网络攻击防御措施缺失(三级及以上)
判例场景:
1.关键网络节点对内部发起的攻击行为无任何检测、 防护手段,例如未部署入侵检测系统、IPS入侵防御设备、态势感知系统等。
2.网络攻击/防护检测措施的策略库、规则库半年及以上未更新,无法满足防护要求
补偿因素:
1.对于主机设备部署入侵防范产品的情况,可从策略库、规则库更新情况,对攻击行为的防护能力等角度进行综合风险分析,根据分析结果,判定风险等级;
2.对于重要网络区域与其他内部网络之间部署防火墙等访问控制设备,且对访问的目标地址、目标端口、源地址、源端口、访问协议等由严格限制的情况,可从现有措施能否对内部网络攻击起到限制作用等角度进行综合风险分析,根据分析结果,判定风险等级。
3.对于与互联网完全物理隔离或强逻辑隔离的系统,可从网络、终端采取的管控,攻击源进入内部网络的可能性等角度进行综合风险分析,根据分析结果,判定风险等级。
5. 恶意代码防范措施缺失(二级及以上)
判例场景:
1.主机层无恶意代码检测和清除措施,或恶意代码库一个月以上未更新;
2.网络层无恶意代码检测或清除措施,或恶意代码库一个月以上未更新。
补偿因素:
1.对于使用Linu、Unix、Solaris、Centos、AIX、Mac等非windows操作系统的二级系统,主机和网络层均为部署恶意代码检测和清除产品,可从整体防御措施、恶意代码入侵的可能性等角度进行综合风险分析,根据分析结果,判定风险等级。
2.与互联网完全物理隔离或强逻辑隔离的系统,其网络环境可控,并采取USB介质管控、部署主机防护软件、软件白名单等技术措施,能有效防范恶意代码进入被测主机或网络,可根据实际措施效果,判定风险等级;
3.主机采用可信基的防控技术,对设备运行环境进行有效度量,可根据实际措施效果,判定风险等级。
6. 网络安全审计措施缺失(二级及以上)
判例场景:
1.在网络边界、关键网络节点无法对重要的用户行为进行日志审计;
2.在网络边界、关键网络节点无法对重要安全事件进行日志审计。
补偿因素无
浙公网安备 33010602011771号