《T-ISEAA 001-2020 网络安全等级保护测评高风险判定指引.pdf》由会员分享,可在线阅读,更多相关《T-ISEAA 001-2020 网络安全等级保护测评高风险判定指引.pdf(39页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 LCS 35.040 L 80 ISEAA 团体标准团体标准 T/ISEAA 001-2020 网络安全等级保护测评高风险判定指引 High Risk Assessment GuidelinesHigh Risk Assessment Guidelines for classified protection evaluation of cyber securityfor classified protection evaluation of cyber security 2020-11-05 发布 2020-12-1 实施 中关村信息安全测评联盟 发布 T/ISEAA 001-2020 目
2、次 前言.III 引言.IV 1 范围.1 2 规范性引用文件.1 3 术语和定义 .1 4 缩略语.2 5 概述.2 5.1 判例概述.2 5.2 判定原则.2 5.3 场景释义 .3 6 高风险判例 .3 6.1 安全物理环境.3 6.2 安全通信网络 .4 6.3 安全区域边界 .7 6.4 安全计算环境 .9 6.5 安全管理中心.18 6.6 安全管理制度和机构.19 6.7 安全管理人员.19 6.8 安全建设管理.20 6.9 安全运维管理.21 附录A(资料性附录)GB/T 22239-2019中第三级安全要求与本文件判例对应关系 .24 附录B(资料性附录)高风险判例整改建议
3、 .29 参考文献.35 I T/ISEAA 001-2020 前 言 本文件按照 GB/T1.12020标准化工作导则 第 1 部分:标准化文件的结构和起草规则给出的规则起草。本文件由中关村信息安全测评联盟提出并归口。本文件起草单位:上海市信息安全测评认证中心、国家网络与信息系统安全产品质量监督检验中心、江苏金盾检测技术有限公司、江苏骏安信息测评认证有限公司、山东新潮信息技术有限公司、合肥天帷信息安全技术有限公司、深圳市网安计算机安全检测技术有限公司、杭州安信检测技术有限公司、成都安美勤信息技术股份有限公司、甘肃安信信息安全技术有限公司、教育信息安全等级保护测评中心、辽宁浪潮创新信息技术有限
4、公司、银行卡检测中心、安徽祥盾信息科技有限公司。本文件主要起草人:金铭彦、罗峥、张笑笑、刘静、徐御、陈清明、陆臻、陈妍、吴晓艳、何欣峰、许晓晨、张杰、武建双、牛建红、倪祥焕、何志鹏、严维兵、王永琦、范仲伟、武斌、杨凌珺、盛璐褘。III T/ISEAA 001-2020 引 言 等级保护测评是推动和贯彻网络安全等级保护工作的重要环节之一。为了更好地提升全国等级保护测评机构的能力,规范测评机构对网络安全风险严重程度的判定规则,中关村信息安全测评联盟组织编写本等级保护测评行业指引性文件,旨在促进安全风险判定更加标准化、规范化,从而更好地规范等级保护测评活动,提升等级保护测评工作质量。本文件依据 GB
5、/T 222392019信息安全技术 网络安全等级保护基本要求中第二级及以上安全通用要求及云计算安全扩展要求中的基本原则,对测评过程中发现的安全性问题如何进行高风险判定给出指引。本文件仅考虑一般系统场景,无法涵盖所有行业及特殊场景,实际测评活动中应根据安全问题所处的环境、面临的威胁、已采取的措施,并结合本文件内容做出客观、科学、合理的判定。IV T/ISEAA 001-2020 网络安全等级保护测评高风险判定指引 1 范围 本文件适用于网络安全等级保护测评、安全检查等活动。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的
6、版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 2887-2011 计算机场地通用规范 GB 17859-1999 计算机信息系统 安全保护等级划分准则 GB/T 25069-2010 信息安全技术 术语 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求 GB/T 31168-2014 信息安全技术 云计算服务安全能力要求 GB/T 35273-2020 信息安全技术 个人信息安全规范 3 术语和定义 GB 178591999、GB/T 250692010,
7、GB/T 311682014 和 GB/T 222392019 界定的以及下列 术语和定义适用于本文件。3.1 高可用性系统 可用性大于或等于 99.9%,年度停机时间小于或等于 8.8 h 的系统,例如,银行、证券、非银行支付 机构、互联网金融等交易类系统,提供公共服务的民生类系统,工业控制类系统,云计算平台等。3.2 关键网络设备 部署在关键网络节点的重要网络设备,包括但不限于核心交换机、核心路由器等,一旦该设备遭受 攻击或出现故障将影响整个系统网络。3.3 不可控网络环境 互联网、公共网络环境、开放性办公网络等缺少网络安全管控措施,可能存在恶意攻击、数据窃听等 安全隐患的网络环境。3.4
8、 可被利用的高危漏洞 可被攻击者用于进行网络攻击从而导致严重后果的漏洞,包括但不限于缓冲区溢出、权限提升、远 程代码执行、严重逻辑缺陷、任意文件上传等。1 T/ISEAA 001-2020 3.5 云管理平台 被云服务商或云服务客户用于对云计算资源进行管理的系统平台。4 缩略语 下列缩略语适用于本文件。ACL:访问控制列表(Access Control List)CPU:中央处理单元(Central Processmg Unit)DDoS:拒绝服务(Distributed Denal of Service)IP:互联网协议(Internet Protocol)IPS:入侵防御系统(Intrus
9、on Preventon System)PIN:个人识别码(Personal Identification Number)RTO:恢复时间目标(Recovery Time Objective)SQL:结构化查询语言(Structured Query language)UPS:不间断电源(Uninterruptible Power Supply)USB:通用串行总线(Universal Serial Bus)UTM:统一威胁管理(Unified Threat Management)VPN:虚拟专用网络(Virtual Prvate Network)5 概述 5.1 判例概述 本文件中每条判例由标
10、准要求、适用范围、判例场景和补偿因素构成。其中,标准要求表述该条判例对应的GB/T 22239-2019 中的具体要求(以第三级要求为例);适用范围表述该条判例适用的定级对象等级或特性;判例场景描述该条判例具体的场景及要素,当出现多个场景时,将通过标注“所有”或“任意”来明确表示是符合所有场景还是任意场景即判为高风险;补偿因素则给出可进行综合风险分析,从而酌情判定风险等级的场景及分析因素。为方便测评人员使用以及为定级对象提出合理的整改建议,本文件在附录中给出每条判例与 GB/T 22239-2019 中第三级安全要求的对应关系以及整改建议,供测评人员参考,具体参见附录 A 和 附录 B。5.2
11、 判定原则 在网络安全等级保护测评过程中,针对等级测评结果中存在的所有安全问题,应采用风险分析的方法进行危害分析和风险等级判定,分析所产生的安全问题被威胁利用的可能性,判断其被威胁利用后对业务信息安全和系统服务安全造成影响的程度,综合评价对定级对象造成的安全风险。本文件基于以下判定原则,给出应判为高风险的场景:违反国家法律法规规定的相关要求;不符合或未实现 GB/T 222392019 中各等级关键安全要求及基本安全功能,且没有等效或补偿措施;2 T/ISEAA 001-2020 存在可被利用,且能造成严重后果的安全漏洞;通过综合风险分析,对业务信息安全和系统服务安全可能产生重大隐患的安全问题
12、。5.3 场景释义 定级对象的应用场景、部署方式、面临威胁、防护措施各不相同,无法枚举。因此,本文件仅针对一般应用系统场景,给出应判为高风险的场景及补偿因素,供现场测评人员在进行风险分析时参考。对于金融、电力、制造业等特定行业的系统,各行业主管部门可基于本文件制定适合本行业系统特 点的判定指引。现场测评人员可根据本文件的内容,结合行业主管部门要求、系统特点、现有措施等综合进行风险分析。对于本文件未涉及的场景及补偿因素,或虽然不在本文件明确的适用范围内,但确实可能产生安全隐患的情况,测评机构需结合实际情况,对安全问题所引发的风险等级做出客观判断。6 高风险判例 6.1 安全物理环境 6.1.1
13、机房出入口访问控制措施缺失 本判例包括以下内容:a)标准要求:机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。b)适用范围:二级及以上系统。c)判例场景:机房出入口无任何访问控制措施,例如未安装电子或机械门锁(包括机房大门处于未上锁状态)、无专人值守等。d)补偿因素:机房所在位置处于受控区域,非授权人员无法随意进出机房,可根据实际措施效果,酌情判定风险等级。6.1.2 机房防盗措施缺失 本判例包括以下内容:a)标准要求:应设置机房防盗报警系统或设置有专人值守的视频监控系统。b)适用范围:三级及以上系统。c)判例场景(所有):1)机房或机房所在区域无防盗报警系统,无法对盗窃事件进行告警
14、、追溯;2)未设置有专人值守的视频监控系统。d)补偿因素:机房出入口或机房所在区域有其他控制措施,例如机房出入口设有专人值守,机房所在位置处于受控区域等,非授权人员无法进入该区域,可根据实际措施效果,酌情判定风险等级。6.1.3 机房防火措施缺失 本判例包括以下内容:a)标准要求:机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。b)适用范围:二级及以上系统。c)判例场景(任意):1)机房无任何有效消防措施,例如无检测火情、感应报警设施,手提式灭火器等灭火设施,消 3 T/ISEAA 001-2020 防设备未进行年检或已失效无法正常使用等情况;2)机房所采取的灭火系统或设备
15、不符合国家的相关规定。d)补偿因素:机房安排专人值守或设置了专人值守的视频监控系统,并且机房附近有符合国家消防标准的灭火设备,一旦发生火灾,能及时进行灭火,可根据实际措施效果,酌情判定风险等级。6.1.4 机房短期备用电力供应措施缺失 本判例包括以下内容:a)标准要求:应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。b)适用范围:二级及以上系统。c)判例场景(任意):1)机房无短期备用电力供应设备,例如 UPS、柴油发电机、应急供电车等;2)机房现有备用电力供应无法满足定级对象短期正常运行。d)补偿因素:对于机房配备多路供电的情况,可从供电方同时断电发生概率等角度进行综合风险
16、分析,根据分析结果,酌情判定风险等级。6.1.5 机房应急供电措施缺失 本判例包括以下内容:a)标准要求:应提供应急供电设施。b)适用范围:高可用性的四级系统。c)判例场景(任意):1)机房未配备应急供电设施,例如柴油发电机、应急供电车等;2)应急供电措施不可用或无法满足定级对象正常运行需求。d)补偿因素:1)对于机房配备多路供电的情况,可从供电方同时断电发生概率等角度进行综合风险分析,根据分析结果,酌情判定风险等级;2)对于采用多数据中心方式部署,且通过技术手段实现应用级灾备,能降低单一机房发生电力故障所带来的可用性方面影响的情况,可从影响程度、RTO 等角度进行综合风险分析,根据分析结果,
17、酌情判定风险等级。6.1.6 云计算基础设施物理位置不当 本判例包括以下内容:a)标准要求:应保证云计算基础设施位于中国境内。b)适用范围:二级及以上云计算平台。c)判例场景:云计算基础设施,例如云计算服务器、存储设备、网络设备、云管理平台、信息系统等运行业务和承载数据的软硬件等不在中国境内。d)补偿因素:无。6.2 安全通信网络 6.2.1 网络设备业务处理能力不足 本判例包括以下内容:4 T/ISEAA 001-2020 a)标准要求:应保证网络设备的业务处理能力满足业务高峰期需要。b)适用范围:高可用性的三级及以上系统。c)判例场景:核心交换机、核心路由器、边界防火墙等网络链路上的关键设
18、备性能无法满足高峰期需求,可能导致服务质量严重下降或中断,例如性能指标平均达到 80%以上。d)补偿因素:对于采用多数据中心方式部署,且通过技术手段实现应用级灾备,能降低单一机房发生设备故障所带来的可用性方面影响的情况,可从影响程度、RTO 等角度进行综合风险分析,根据分析结果,酌情判定风险等级。注:注:80%仅为参考值,可根据设备类型、处理效果等情况综合判断;性能指标包括 CPU、内存占用率,吞吐量等。6.2.2 网络区域划分不当 本判例包括以下内容:a)标准要求:应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。b)适用范围:二级及以上系统。c)判例场景:重要网络区域与
19、非重要网络在同一子网或网段,例如承载业务系统的生产网络与员工日常办公网络,面向互联网提供服务的服务器区域与内部网络区域在同一子网或网段等。d)补偿因素:同一子网之间有技术手段实现访问控制,可根据实际措施效果,酌情判定风险等级。6.2.3 网络边界访问控制设备不可控 本判例包括以下内容:a)标准要求:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。b)适用范围:二级及以上系统。c)判例场景(所有):1)网络边界访问控制设备无管理权限;2)未采取其他任何有效的访问控制措施,例如服务器自带防火墙未配置访问控制策略等;3)无法根据业务需要或所发生的安全事件及时
20、调整访问控制策略。d)补偿因素:网络边界访问控制措施由云服务商提供或由集团公司统一管理,管理方能够根据系统的业务及安全需要及时调整访问控制策略,可从策略更改响应时间、策略有效性、执行效果等角度进行综合风险分析,根据分析结果,酌情判定风险等级。6.2.4 重要网络区域边界访问控制措施缺失 本判例包括以下内容:a)标准要求:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。b)适用范围:二级及以上系统。c)判例场景:在网络架构上,重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)无访问控制设备实施访问控制措施,例如重要网络区域与互联网等外部非安
21、全可控网络边界处、生产网络与员工日常办公网络之间、生产网络与无线网络接入区之间未部署访问控制设备实施访问控制措施等。d)补偿因素:无。注注:互联网边界访问控制设备包括但不限于防火墙、UTM 等能实现相关访问控制功能的专用设备;对于内部边界访问控制,也可使用路由器、交换机或者带 ACL 功能的负载均衡器等设备实现。测评过程中应根据设备部署 5 T/ISEAA 001-2020 位置、设备性能压力等因素综合进行分析,判断采用设备的合理性。6.2.5 关键线路和设备冗余措施缺失 本判例包括以下内容:a)标准要求:应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。b)适用范围:高
22、可用性的三级及以上系统。c)判例场景:核心通信线路、关键网络设备和关键计算设备无冗余设计,一旦出现线路或设备故障,就可能导致服务中断。d)补偿因素:1)对于采用多数据中心方式部署,且通过技术手段实现应用级灾备,能降低生产环境设备故障所带来的可用性方面影响的情况,可从影响程度、RTO 等角度进行综合风险分析,根据分析结果,酌情判定风险等级;2)对于关键计算设备采用虚拟化技术的情况,可从虚拟化环境的硬件冗余和虚拟化计算设备(如虚拟机、虚拟网络设备等)冗余等角度进行综合风险分析,根据分析结果,酌情判定风险等级。6.2.6 云计算平台等级低于承载业务系统等级 本判例包括以下内容:a)标准要求:应保证云
23、计算平台不承载高于其安全保护等级的业务应用系统。b)适用范围:二级及以上系统。c)判例场景(任意):1)云计算平台承载高于其安全保护等级(SxAxGx)的业务应用系统;2)业务应用系统部署在低于其安全保护等级(SxAxGx)的云计算平台上;3)业务应用系统部署在未进行等级保护测评、测评报告超出有效期或者等级保护测评结论为差的云计算平台上。d)补偿因素:无。6.2.7 重要数据传输完整性保护措施缺失 本判例包括以下内容:a)标准要求:应采用校验技术或密码技术保证通信过程中数据的完整性。b)适用范围:三级及以上系统。c)判例场景:网络层或应用层无任何重要数据(如交易类数据、操作指令数据等)传输完整
24、性保护措施,一旦数据遭到篡改,将对系统或个人造成重大影响。d)补偿因素:对于重要数据在可控网络中传输的情况,可从已采取的网络管控措施、遭受数据篡改的可能性等角度进行综合风险分析,根据分析结果,酌情判定风险等级。6.2.8 重要数据明文传输 本判例包括以下内容:a)标准要求:应采用密码技术保证通信过程中数据的保密性。b)适用范围:三级及以上系统。c)判例场景:鉴别信息、个人敏感信息或重要业务敏感信息等以明文方式在不可控网络环境中传输。6 T/ISEAA 001-2020 d)补偿因素:1)使用多种身份鉴别技术、限定管理地址等措施,获得的鉴别信息无法直接登录应用系统或 设备,可根据实际措施效果,酌
25、情判定风险等级;2)可从被测对象的作用、重要程度以及信息泄露后对整个系统或个人产生的影响等角度进 行综合风险分析,根据分析结果,酌情判定风险等级。6.3 安全区域边界 6.3.1 无线网络管控措施缺失 本判例包括以下内容:a)标准要求:应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。b)适用范围:三级及以上系统。c)判例场景:内部重要网络与无线网络互联,且不通过任何受控的边界设备,或边界设备控制策 略设置不当,一旦非授权接入无线网络即可访问内部重要资源。d)补偿因素:对于必须使用无线网络的场景,可从无线接入设备的管控和身份认证措施、非授权 接入的可能性等角度进行综合风险分析,
26、根据分析结果,酌情判定风险等级。6.3.2 重要网络区域边界访问控制配置不当 本判例包括以下内容:a)标准要求:应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许 通信外受控接口拒绝所有通信。b)适用范围:二级及以上系统。c)判例场景:重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)访问控制 设备配置不当或控制措施失效,存在较大安全隐患。例如办公网络任意网络终端均可访问核 心生产服务器和网络设备;无线网络接入区终端可直接访问生产网络设备等。d)补偿因素:无。6.3.3 外部网络攻击防御措施缺失 本判例包括以下内容:a)标准要求:应在关键网络节点处检测、防止
27、或限制从外部发起的网络攻击行为。b)适用范围:二级及以上系统。c)判例场景(任意):1)二级系统关键网络节点无任何网络攻击行为检测手段,例如未部署入侵检测系统;2)三级及以上系统关键网络节点对外部发起的攻击行为无任何防护手段,例如未部署 IPS 入侵防御设备、应用防火墙、反垃圾邮件、态势感知系统或抗 DDoS 设备等;3)网络攻击/防护检测措施的策略库、规则库半年及以上未更新,无法满足防护需求。d)补偿因素:主机设备部署入侵防范产品,且策略库、规则库更新及时,能够对攻击行为进行检 测、阻断或限制,可根据实际措施效果,酌情判定风险等级。注注 1 1:策略库、规则库的更新周期可根据部署环境、行业或
28、设备特性缩短或延长。注注 2 2:所列举的防护设备仅为举例使用。测评过程中,应分析定级对象所面临的威胁、风险以及安全防护需求,并以 此为依据检查是否合理配备了对应的防护设备。7 T/ISEAA 001-2020 6.3.4 内部网络攻击防御措施缺失 本判例包括以下内容:a)标准要求:应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。b)适用范围:三级及以上系统。c)判例场景(任意):1)关键网络节点对内部发起的攻击行为无任何检测、防护手段,例如未部署入侵检测系统、IPS 入侵防御设备、态势感知系统等;2)网络攻击/防护检测措施的策略库、规则库半年及以上未更新,无法满足防护需求。d)补
29、偿因素:1)对于主机设备部署入侵防范产品的情况,可从策略库、规则库更新情况,对攻击行为的防 护能力等角度进行综合风险分析,根据分析结果,酌情判定风险等级;2)对于重要网络区域与其他内部网络之间部署防火墙等访问控制设备,且对访问的目标地 址、目标端口、源地址、源端口、访问协议等有严格限制的情况,可从现有措施能否对内部 网络攻击起到限制作用等角度进行综合风险分析,根据分析结果,酌情判定风险等级;3)对于与互联网完全物理隔离或强逻辑隔离的系统,可从网络、终端采取的管控,攻击源进 入内部网络的可能性等角度进行综合风险分析,根据分析结果,酌情判定风险等级。6.3.5 恶意代码防范措施缺失 本判例包括以下
30、内容:a)标准要求:应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的 更新。b)适用范围:二级及以上系统。c)判例场景(所有):1)主机层无恶意代码检测和清除措施,或恶意代码库一个月以上未更新;2)网络层无恶意代码检测和清除措施,或恶意代码库一个月以上未更新。d)补偿因素:1)对于使用 Linux、Unix、Solaris、CentOS、AIX、Mac 等非 Windows 操作系统的二级系统,主机和网络层均未部署恶意代码检测和清除产品,可从总体防御措施、恶意代码入侵的可 能性等角度进行综合风险分析,根据分析结果,酌情判定风险等级;2)与互联网完全物理隔离或强逻辑隔离的系统
31、,其网络环境可控,并采取 USB 介质管控、部 署主机防护软件、软件白名单等技术措施,能有效防范恶意代码进入被测主机或网络,可 根据实际措施效果,酌情判定风险等级;3)主机设备采用可信基的防控技术,对设备运行环境进行有效度量,可根据实际措施效果,酌情判定风险等级。6.3.6 网络安全审计措施缺失 本判例包括以下内容:a)标准要求:应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行 为和重要安全事件进行审计。b)适用范围:二级及以上系统。8 T/ISEAA 001-2020 c)判例场景(所有):1)在网络边界、关键网络节点无法对重要的用户行为进行日志审计;2)在网络边界
32、、关键网络节点无法对重要安全事件进行日志审计。d)补偿因素:无。注:网络安全审计指通过对网络边界或重要网络节点的流量数据进行分析,从而形成的网络安全审计数据。网络 安全审计包括网络流量审计和网络安全事件审计,其中网络流量审计主要是通过对网络流量进行统计、关联分 析、识别和筛选,实现对网络中特定重要行为的审计,例如对各种违规的访问协议及其流量的审计、对访问敏感 数据的人员行为或系统行为的审计等;网络安全事件审计包括但不限于对网络入侵检测、网络入侵防御、防病 毒产品等设备检测到的网络攻击行为、恶意代码传播行为的审计等。6.4 安全计算环境 6.4.1 网络设备、安全设备和主机设备 6.4.1.1
33、设备存在弱口令或相同口令 本判例包括以下内容:a)标准要求:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复 杂度要求并定期更换。b)适用范围:二级及以上系统。c)判例场景(任意):1)安全设备、主机设备(包括操作系统、数据库等)存在可登录的弱口令账户(包括 空口令、无身份鉴别机制);2)理员账户口令相同,单台设备口令被破解将导致大量设备被控制。d)补偿因素:对于因业务场景需要,使用无法设置口令或口令强度达不到要求的专用设备,可从 设备登录方式、物理访问控制、访问权限、其他技术防护措施、相关管理制度落实等角度进行综 合风险分析,根据分析结果,酌情判定风险等级。6.4.1
34、.2 设备鉴别信息防窃听措施缺失 本判例包括以下内容:a)标准要求:当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。b)适用范围:二级及以上系统。c)判例场景(所有):1)网络设备、安全设备、主机设备(包括操作系统、数据库等)的鉴别信息以明文方式在不可 控网络环境中传输;2)未采取多种身份鉴别技术、限定管理地址等技术措施,鉴别信息被截获后可成功登录 设备。d)补偿因素:对于设备提供加密、非加密两种管理模式,且其非加密通道无法关闭的情况,可从日 常运维使用等角度进行综合风险分析,根据分析结果,酌情判定风险等级。6.4.1.3 设备未采用多种身份鉴别技术 本判例包括以下内容:a
35、)标准要求:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身 份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。9 T/ISEAA 001-2020 b)适用范围:三级及以上系统。c)判例场景(所有):1)关键网络设备、关键安全设备、关键主机设备(操作系统)通过不可控网络环境进行远程 管理;2)设备未采用两种或两种以上鉴别技术对用户身份进行鉴别。d)补偿因素:1)远程管理过程中,多次采用同一种鉴别技术进行身份鉴别,且每次鉴别信息不相同,例如 两次口令认证措施(两次口令不同),可根据实际措施效果,酌情判定风险等级;2)对于采取登录地址限制、绑定管理终端等其他技术手段减轻
36、用户身份被滥用的威胁的情 况,可从措施所起到的防护效果等角度进行综合风险分析,根据分析结果,酌情判定风险 等级。6.4.1.4 设备默认口令未修改 本判例包括以下内容:a)标准要求:应重命名或删除默认账户,修改默认账户的默认口令。b)适用范围:二级及以上系统。c)判例场景:网络设备、安全设备、主机设备(包括操作系统、数据库等)默认口令未修改,使用默 认口令可以登录设备。d)补偿因素:对于因业务场景需要,无法修改专用设备的默认口令的情况,可从设备登录方式、物 理访问控制、访问权限、其他技术防护措施、相关管理制度落实等角度进行综合风险分析,根据 分析结果,酌情判定风险等级。6.4.1.5 设备安全
37、审计措施缺失 本判例包括以下内容:a)标准要求:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进 行审计。b)适用范围:二级及以上系统。c)判例场景(所有):1)关键网络设备、关键安全设备、关键主机设备(包括操作系统、数据库等)未开启任何审计 功能,无法对重要的用户行为和重要安全事件进行审计;2)未采用堡垒机、第三方审计工具等技术手段或所采用的辅助审计措施存在漏记、旁路等缺 陷,无法对重要的用户行为和重要安全事件进行溯源。d)补偿因素:无。6.4.1.6 设备审计记录不满足保护要求 本判例包括以下内容:a)标准要求:应对审计记录进行保护,定期备份,避免其受到非预期的删除
38、、修改或覆盖等。b)适用范围:二级及以上系统。c)判例场景(任意):1)关键网络设备、关键安全设备、关键主机设备(包括操作系统、数据库等)的重要操作、安全 事件日志可被非预期删除、修改或覆盖等;10 T/ISEAA 001-2020 2)关键网络设备、关键安全设备、关键主机设备(包括操作系统、数据库等)的重要操作、安全 事件日志的留存时间不满足法律法规规定的要求(不少于六个月兀 d)补偿因素:对于被测对象上线运行时间不足六个月的情况,可从当前日志保存情况、日志备份 策略、日志存储容量等角度进行综合风险分析,根据分析结果,酌情判定风险等级。6.4.1.7 设备开启多余的服务、高危端口 本判例包括
39、以下内容:a)标准要求:应关闭不需要的系统服务、默认共享和高危端口。b)适用范围:二级及以上系统。c)判例场景(所有):1)网络设备、安全设备、主机设备(操作系统)开启多余的系统服务、默认共享、高危端口;2)未采用地址访问限制、安全防护设备等技术手段,减少系统服务、默认共享、高危端口开启 所带来的安全隐患。d)补偿因素:对于系统服务、默认共享、高危端口仅能通过可控网络环境访问的情况,可从现有网 络防护措施、所面临的威胁情况等角度进行综合风险分析,根据分析结果,酌情判定风险等级。6.4.1.8 设备管理终端限制措施缺失 本判例包括以下内容:a)标准要求:应通过设定终端接入方式或网络地址范围对通过
40、网络进行管理的管理终端进行 限制。b)适用范围:二级及以上系统。c)判例场景:网络设备、安全设备、主机设备(包括操作系统、数据库等)通过不可控网络环境进行 远程管理,未采取终端接入管控、网络地址范围限制等技术手段对管理终端进行限制。d)补偿因素:采取多种身份鉴别等技术措施,能够降低管理终端管控不完善所带来的安全风险,可根据实际措施效果,酌情判定风险等级。6.4.1.9 互联网设备存在已知高危漏洞 本判例包括以下内容:a)标准要求:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。b)适用范围:二级及以上系统。c)判例场景(所有):1)网络设备、安全设备、主机设备(包括操作系统、
41、数据库等)可通过互联网管理或访问(包括 服务、管理模块等);2)该设备型号、版本存在外界披露的高危安全漏洞;3)未及时采取修补或其他有效防范措施。d)补偿因素:通过访问地址限制或其他有效防护措施,使该高危漏洞无法通过互联网被利用,可 根据实际措施效果,酌情判定风险等级。6.4.1.10 内网设备存在可被利用的高危漏洞 本判例包括以下内容:a)标准要求:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。11 T/ISEAA 001-2020 b)适用范围:二级及以上系统。c)判例场景(所有):1)网络设备、安全设备、主机设备(包括操作系统、数据库等)仅能通过内部网络管理或访问(包
42、括服务、管理模块等);2)通过验证测试或渗透测试确认设备存在缓冲区溢出、提权漏洞、远程代码执行等可能导致 重大安全隐患的漏洞。d)补偿因素:对于经过充分测试评估,该设备无法进行漏洞修补的情况,可从物理、网络环境管控 情况,发生攻击行为的可能性,现有防范措施等角度进行综合风险分析,根据分析结果,酌情判 定风险等级。6.4.1.11 恶意代码防范措施缺失 本判例包括以下内容:a)标准要求:应采用主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。b)适用范围、判例场景和补偿因素参见 6.3.5。6.4.2 应用系统 6.4.2.1 应用系统口令策略缺失 本判例包括以下内容:a)标准要求:应
43、对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复 杂度要求并定期更换。b)适用范围:二级及以上系统。c)判例场景:应用系统无用户口令长度、复杂度校验机制,例如可设置 6 位以下,单个、相同、连续 数字、字母或字符等易猜测的口令。d)补偿因素:1)应用系统采取多种身份鉴别、访问地址限制等技术措施,获得的口令无法直接登录应用系 统,可根据实际措施效果,酌情判定风险等级;2)对于仅内网访问的内部管理系统,可从内网管控、人员管控、实际用户口令质量等角度进 行综合风险分析,根据分析结果,酌情判定风险等级;3)对于部分专用软件、老旧系统等无法添加口令复杂度校验功能的情况,可从登录管控
44、措 施、实际用户口令质量、口令更换频率等角度进行综合风险分析,根据分析结果,酌情判定 风险等级;4)对于特定应用场景中的口令,例如 PIN 码、电话银行系统查询口令等,可从行业要求、行 业特点等角度进行综合风险分析,根据分析结果,酌情判定风险等级。6.4.2.2 应用系统存在弱口令 本判例包括以下内容:a)标准要求:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复 杂度要求并定期更换。b)适用范围:二级及以上系统。c)判例场景:通过渗透测试或使用常用口令尝试登录,发现应用系统中存在可被登录的空口令、弱口令账户。12 T/ISEAA 001-2020 d)补偿因素:1)对
45、于互联网前端系统的注册用户存在弱口令的情况,可从对单个用户、整个应用系统所可 能造成的影响等角度进行综合风险分析,根据分析结果,酌情判定风险等级;2)对于因业务场景需要,无身份鉴别功能或口令强度达不到要求的应用系统,可从登录方 式、物理访问控制、访问权限、其他技术防护措施、相关管理制度落实等角度进行综合风险 分析,根据分析结果,酌情判定风险等级。6.423 应用系统口令暴力破解防范机制缺失 本判例包括以下内容:a)标准要求:应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连 接超时自动退出等相关措施。b)适用范围:二级及以上系统。c)判例场景:通过互联网登录的应用系统登录
46、模块未提供有效的口令暴力破解防范机制。d)补偿因素:1)应用系统采取多种身份鉴别、访问地址限制等技术措施,获得口令无法直接登录应用系 统,可根据实际措施效果,酌情判定风险等级;2)对于互联网前端系统的注册用户,可从登录后用户获得的业务功能、账户被盗后造成的影 响程度等角度进行综合风险分析,根据分析结果,酌情判定风险等级;涉及资金交易、个人 隐私、信息发布、重要业务操作等的前端系统,不宜降低风险等级;3)对于无法添加登录失败处理功能的应用系统,可从登录地址、登录终端限制等角度进行综 合风险分析,根据分析结果,酌情判定风险等级。6.4.2.4 应用系统鉴别信息明文传输 本判例包括以下内容:a)标准
47、要求:当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。b)适用范围:二级及以上系统。c)判例场景:应用系统的用户鉴别信息以明文方式在不可控网络环境中传输。d)补偿因素:应用系统采取多种身份鉴别、访问地址限制等技术措施,获得口令无法直接登录应 用系统,可根据实际措施效果,酌情判定风险等级。6.4.2.5 应用系统未采用多种身份鉴别技术 本判例包括以下内容:a)标准要求:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身 份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。b)适用范围:三级及以上系统。c)判例场景:通过互联网登录的系统,在进行涉及大额资金
48、交易、核心业务、关键指令等的重要操 作前未使用两种或两种以上鉴别技术对用户身份进行鉴别。d)补偿因素:1)在身份鉴别过程中,多次采用同一种鉴别技术进行身份鉴别,且每次鉴别信息不相同,例 如两次口令认证措施(两次口令不同),可根据实际措施效果,酌情判定风险等级;2)在完成重要操作前的不同阶段使用不同的鉴别方式进行身份鉴别,可根据实际措施效果,酌情判定 13 T/ISEAA 001-2020 风险等级;3)对于用户群体为互联网个人用户的情况,可从行业主管部门的要求、用户身份被滥用后对 系统或个人造成的影响等角度进行综合风险分析,根据分析结果,酌情判定风险等级;4)对于采取登录地址限制、绑定设备等其
49、他技术手段减轻用户身份被滥用的威胁的情况,可 从措施所起到的防护效果等角度进行综合风险分析,根据分析结果,酌情判定风险等级。6.4.2.6 应用系统默认口令未修改 本判例包括以下内容:a)标准要求:应重命名或删除默认账户,修改默认账户的默认口令。b)适用范围:二级及以上系统。c)判例场景:应用系统默认口令未修改,使用默认口令可以登录系统。d)补偿因素:对于因业务场景需要,无法修改应用系统的默认口令的情况,可从设备登录方式、物 理访问控制、访问权限、其他技术防护措施、相关管理制度落实等角度进行综合风险分析,根据 分析结果,酌情判定风险等级。6.4.2.7 应用系统访问控制机制存在缺陷 本判例包括
50、以下内容:a)标准要求:应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。b)适用范围:二级及以上系统。c)判例场景:应用系统访问控制策略存在缺陷,可越权访问系统功能模块或查看、操作其他用户 的数据,例如存在非授权访问系统功能模块、平行权限漏洞、低权限用户越权访问高权限功能 模块等。d)补偿因素:1)对于部署在可控网络环境的应用系统,可从现有的防护措施、用户行为监控等角度进行综 合风险分析,根据分析结果,酌情判定风险等级;2)可从非授权访问模块的重要程度、影响程度,越权访问的难度等角度进行综合风险分析,根据分析结果,酌情判定风险等级。6.4.2.8 应用系统安全审计措施缺失