《网络安全等级保护测评高风险判定指引.docx》由会员分享,可在线阅读,更多相关《网络安全等级保护测评高风险判定指引.docx(61页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络安全等级保护测评高风险判定指引信息安全测评联盟2019年6月判例内容:对可用性要求较高的系统,网络设备的业务处理能力不足,高峰 时可能导致设备宕机或服务中断,影响金融秩序或引发群体事件,若无任何技术 应对措施,可判定为高风险。适用范围:对可用性要求较高的3级及以上系统。满足条件(同时):1、3级及以上系统;2、系统可用性要求较高;3、核心网络设备性能无法满足高峰期需求,存在业务中断隐患,如业务高 峰期,核心设备性能指标平均达到80%以上。补偿措施:针对设备宕机或服务中断制定了应急预案并落实执行,可酌情降 低风险等级。整改建议:建议更换性能满足业务高峰期需要的设备,并合理预计业务增长, 制定
2、合适的扩容计划。网络区域划分对应要求:应划分不同的网络区域,并按照方便管理和控制的原则为各网络 区域分配地址。判例内容:应按照不同网络的功能、重要程度进行网络区域划分,如存在重 要区域与非重要网络在同一子网或网段的,可判定为高风险。适用范围:所有系统。满足条件(任意条件):1、涉及资金类交易的支付类系统与办公网同一网段;2、面向互联网提供服务的系统与内部系统同一网段;3、重要核心网络区域与非重要网络在同一网段。补偿措施:无。整改建议:建议根据各工作职能、重要性和所涉及信息的重要程度等因素, 划分不同的网络区域,并做好各区域之间的访问控制措施。5.1. 3网络访问控制设备不可控对应要求:应避免将
3、重要网络区域部署在边界处,重要网络区域与其他网络 区域之间应采取可靠的技术隔离手段。判例内容:互联网边界访问控制设备无管理权限,且无其他边界防护措施的, 难以保证边界防护的有效性,也无法根据业务需要或所发生的安全事件及时调整 访问控制策略,可判定为高风险。适用范围:所有系统。满足条件(同时):1、互联网边界访问控制设备无管理权限;2、无其他任何有效访问控制措施;3、无法根据业务需要或所发生的安全事件及时调整访问控制策略。补偿措施:无。整改建议:建议部署自有的边界访问控制设备或租用有管理权限的边界访问 控制设备,且对相关设备进行合理配置。互联网边界访问控制对应要求:应避免将重要网络区域部署在边界
4、处,重要网络区域与其他网络 区域之间应采取可靠的技术隔离手段。判例内容:互联网出口无任何访问控制措施,或访问控制措施配置失效,存 在较大安全隐患,可判定为高风险。适用范围:所有系统。满足条件(任意条件):1、互联网出口无任何访问控制措施。2、互联网出口访问控制措施配置不当,存在较大安全隐患。3、互联网出口访问控制措施配置失效,无法起到相关控制功能。补偿措施:边界访问控制设备不一定一定要是防火墙,只要是能实现相关的 访问控制功能,形态为专用设备,且有相关功能能够提供相应的检测报告,可视 为等效措施,判符合。如通过路由器、交换机或者带ACL功能的负载均衡器等设 备实现,可根据系统重要程度,设备性能
5、压力等因素,酌情判定风险等级。整改建议:建议在互联网出口部署专用的访问控制设备,并合理配置相关控 制策略,确保控制措施有效。不同区域边界访问控制对应要求:应避免将重要网络区域部署在边界处,重要网络区域与其他网络 区域之间应采取可靠的技术隔离手段。判例内容:办公网与生产网之间无访问控制措施,办公环境任意网络接入均 可对核心生产服务器和网络设备进行管理,可判定为高风险。适用范围:所有系统。满足条件(同时):1、办公网与生产网之间无访问控制措施;2、办公环境任意网络接入均可对核心生产服务器和网络设备进行管理。补偿措施:边界访问控制设备不一定一定要是防火墙,只要是能实现相关的 访问控制功能,形态为专用
6、设备,且有相关功能能够提供相应的检测报告,可视 为等效措施,判符合。如通过路由器、交换机或者带ACL功能的负载均衡器等设 备实现,可根据系统重要程度,设备性能压力等因素,酌情判定风险等级。整改建议:建议不同网络区域间应部署访问控制设备,并合理配置访问控制 策略,确保控制措施有效。5. 1. 6关键线路、设备冗余对应要求:应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保 证系统的可用性。判例内容:对可用性要求较高的系统,若网络链路为单链路,核心网络节点、 核心网络设备或关键计算设备无冗余设计,一旦出现故障,可能导致业务中断, 可判定为高风险。适用范围:对可用性要求较高的3级及以上系统。满
7、足条件(同时):1、3级及以上系统;2、系统可用性要求较高;3、关键链路、核心网络设备或关键计算设备无任何无冗余措施,存在单点故障。补偿措施:1、如系统采取多数据中心部署,或有应用级灾备环境,能在生产环境出现 故障情况下提供服务的,可酌情降低风险等级。2、对于系统可用性要求不高的其他3级系统,如无冗余措施,可酌情降低风险等级。3、如核心安全设备采用并联方式部署,对安全防护能力有影响,但不会形成单点故障,也不会造成重大安全隐患的,可酌情降低风险等级。整改建议:建议关键网络链路、核心网络设备、关键计算设备采用冗余设计 和部署(如采用热备、负载均衡等部署方式),保证系统的高可用性。5. 2通信传输5
8、. 2.1传输完整性保护对应要求:应采用密码技术保证通信过程中数据的完整性。判例内容:对数据传输完整性要求较高的系统,数据在网络层传输无完整性 保护措施,一旦数据遭到篡改,可能造成财产损失的,可判定为高风险。适用范围:对数据传输完整性要求较高的3级及以上系统。满足条件(同时):1. 3级及以上系统;2. 系统数据传输完整性要求较高;3. 数据在网络层传输无任何完整性保护措施。补偿措施:如应用层提供完整性校验等措施,或采用可信网络传输,可酌情 降低风险等级。整改建议:建议采用校验技术或密码技术保证通信过程中数据的完整性。5. 2.2传输保密性保护对应要求:应采用密码技术保证通信过程中数据的保密性
9、。判例内容:口令、密钥等重要敏感信息在网络中明文传输,可判定为高风险。适用范围:3级及以上系统。满足条件(同时):1、3级及以上系统;2、设备、主机、数据库、应用等口令、密钥等重要敏感信息在网络中明文 传输;3、该网络管控措施不到位,存在口令被窃取并远程登录的风险。补偿措施:1、如网络接入管控较好且网络环境为内网封闭可控环境,确保密码被窃取 难度较大,或使用多因素等措施确保即使密码被窃取也无法进行管理,可酌情降 低风险等级。2、如业务形态上必须使用远程Internet访问的相关设备,设备采用多因素 认证,且严格限制管理地址的,可酌情降低风险等级。整改建议:建议相关设备开启SSH或HTTPS协议
10、或创建加密通道,通过这些加 密方式传输敏感信息。6安全区域边界6.1边界防护6. 1.1互联网边界访问控制对应要求:应保证跨越边界的访问和数据流通过边界设备提供的受控接口进 行通信。判例内容:互联网出口无任何访问控制措施,或访问控制措施配置失效,存 在较大安全隐患,可判定为高风险。适用范围:所有系统。满足条件(任意条件):1、互联网出口无任何访问控制措施。2、互联网出口访问控制措施配置不当,存在较大安全隐患。3、互联网出口访问控制措施配置失效,无法起到相关控制功能。补偿措施:边界访问控制设备不一定一定要是防火墙,只要是能实现相关的 访问控制功能,形态为专用设备,且有相关功能能够提供相应的检测报
11、告,可视 为等效措施,判符合。如通过路由器、交换机或者带ACL功能的负载均衡器等设 备实现,可根据系统重要程度,设备性能压力等因素,酌情判定风险等级。整改建议:建议在互联网出口部署专用的访问控制设备,并合理配置相关控 制策略,确保控制措施有效。6. 1.2网络访问控制设备不可控对应要求:应保证跨越边界的访问和数据流通过边界设备提供的受控接口进 行通信。判例内容:互联网边界访问控制设备若无管理权限,且未按需要提供访问控 制策略,无法根据业务需要或所发生的安全事件及时调整访问控制策略,可判定 为高风险。适用范围:所有系统。满足条件(同时):1、互联网边界访问控制设备无管理权限;2、无其他任何有效访
12、问控制措施;3、无法根据业务需要或所发生的安全事件及时调整访问控制策略。补偿措施:无。整改建议:建议部署自有的边界访问控制设备或租用有管理权限的边界访问 控制设备,且对相关设备进行合理配置。6. 1.3违规内联检查措施对应要求:应能够对非授权设备私自联到内部网络的行为进行检查或限制O判例内容:非授权设备能够直接接入重要网络区域,如服务器区、管理网段 等,且无任何告警、限制、阻断等措施的,可判定为高风险。适用范围:3级及以上系统。满足条件(同时):1、3级及以上系统;2、机房、网络等环境不可控,存在非授权接入可能;3、可非授权接入网络重要区域,如服务器区、管理网段等;4、无任何控制措施,控制措施
13、包括限制、检查、阻断等。补偿措施:如接入的区域有严格的物理访问控制,采用静态IP地址分配,关 闭不必要的接入端口,IP-MAC地址绑定等措施的,可酌情降低风险等级。整改建议:建议部署能够对违规内联行为进行检查、定位和阻断的安全准入 产品。6. 1.4违规外联检查措施对应要求:应能够对内部用户非授权联到外部网络的行为进行检查或限制。判例内容:核心重要服务器设备、重要核心管理终端,如无法对非授权联到 外部网络的行为进行检查或限制,或内部人员可旁路、绕过边界访问控制设备私 自外联互联网,可判定为高风险。适用范围:3级及以上系统。满足条件(同时):1、3级及以上系统;2、机房、网络等环境不可控,存在非
14、授权外联可能;3、对于核心重要服务器、重要核心管理终端存在私自外联互联网可能;4、无任何控制措施,控制措施包括限制、检查、阻断等。补偿措施:如机房、网络等环境可控,非授权外联可能较小,相关设备上的 USB接口、无线网卡等有管控措施,对网络异常进行监控及日志审查,可酌情降 低风险等级。整改建议:建议部署能够对违规外联行为进行检查、定位和阻断的安全管理 产品。6. 1.5无线网络管控措施对应要求:应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。判例内容:内部核心网络与无线网络互联,且之间无任何管控措施,一旦非 授权接入无线网络即可访问内部核心网络区域,存在较大安全隐患,可判定为高
15、 风险。适用范围:3级及以上系统。满足条件(同时):1、3级及以上系统;2、内部核心网络与无线网络互联,且不通过任何受控的边界设备,或边界 设备控制策略设置不当;3、非授权接入无线网络将对内部核心网络带来较大安全隐患。补偿措施:1、在特殊应用场景下,无线覆盖区域较小,且严格受控,仅有授权人员方可进入覆盖区域的,可酌情降低风险等级;2、对无线接入有严格的管控及身份认证措施,非授权接入可能较小,可根据管控措施的情况酌情降低风险等级。整改建议:如无特殊需要,内部核心网络不应与无线网络互联;如因业务需 要,则建议加强对无线网络设备接入的管控,并通过边界设备对无线网络的接入 设备对内部核心网络的访问进行
16、限制,降低攻击者利用无线网络入侵内部核心网 络。6.2访问控制6. 2.1互联网边界访问控制对应要求:应在网络边界或区域之间根据访问控制策略设置访问控制规则, 默认情况下除允许通信外受控接口拒绝所有通信。判例内容:与互联网互连的系统,边界处如无专用的访问控制设备或配置了 全通策略,可判定为高风险。适用范围:所有系统。满足条件(任意条件):1、互联网出口无任何访问控制措施。2、互联网出口访问控制措施配置不当,存在较大安全隐患。3、互联网出口访问控制措施配置失效,启用透明模式,无法起到相关控制功能。补偿措施:边界访问控制设备不一定一定要是防火墙,只要是能实现相关的 访问控制功能,形态为专用设备,且
17、有相关功能能够提供相应的检测报告,可视 为等效措施,判符合。如通过路由器、交换机或者带ACL功能的负载均衡器等设 备实现,可根据系统重要程度,设备性能压力等因素,酌情判定风险等级。整改建议:建议在互联网出口部署专用的访问控制设备,并合理配置相关控 制策略,确保控制措施有效。6. 2.2通信协议转换及隔离措施对应要求:应在网络边界通过通信协议转换或通信协议隔离等方式进行数据 交换。判例内容:可控网络环境与不可控网络环境之间数据传输未采用通信协议转 换或通信协议隔离等方式进行数据转换,可判定为高风险。适用范围:4级系统。满足条件(同时):1、4级系统;2、可控网络环境与不可控网络环境之间数据传输未
18、进行数据格式或协议转 化,也未采用通讯协议隔离措施。补偿措施:如通过相关技术/安全专家论证,系统由于业务场景需要,无法 通过通信协议转换或通信协议隔离等方式进行数据转换的,但有其他安全保障措 施的,可酌情降低风险等级。整改建议:建议数据在不同等级网络边界之间传输时,通过通信协议转换或 通信协议隔离等方式进行数据交换。6. 3入侵防范6. 3.1外部网络攻击防御对应要求:应在关键网络节点处检测、防止或限制从外部发起的网络攻击行 为。判例内容:关键网络节点(如互联网边界处)未采取任何防护措施,无法检 测、阻止或限制互联网发起的攻击行为,可判定为高风险。适用范围:3级及以上系统。满足条件(同时):1
19、、3级及以上系统;2、关键网络节点(如互联网边界处)无任何入侵防护手段(如入侵防御设备、云防、WAF等对外部网络发起的攻击行为进行检测、阻断或限制)。补偿措施:如具备入侵检测能力(IDS),且监控措施较为完善,能够及时 对入侵行为进行干预的,可酌情降低风险等级。整改建议:建议在关键网络节点(如互联网边界处)合理部署可对攻击行为 进行检测、阻断或限制的防护设备(如抗APT攻击系统、网络回溯系统、威胁情 报检测系统、入侵防护系统等),或购买云防等外部抗攻击服务。6. 3.2内部网络攻击防御对应要求:应在关键网络节点处检测、防止或限制从内部发起的网络攻击行 为。判例内容:关键网络节点(如核心服务器区
20、与其他内部网络区域边界处)未 采取任何防护措施,无法检测、阻止或限制从内部发起的网络攻击行为,可判定为高风险。适用范围:3级及以上系统。满足条件(同时):1、3级及以上系统;2、关键网络节点(如核心服务器区与其他内部网络区域边界处)无任何入 侵防护手段(如入侵防御、防火墙等对内部网络发起的攻击行为进行检测、阻断 或限制)。补偿措施:如核心服务器区与其他内部网络之间部署了防火墙等访问控制设 备,且访问控制措施较为严格,发生内部网络攻击可能性较小或有一定的检测、 防止或限制能力,可酌情降低风险等级。1 适用范围12 术语和定义13 参考依据24 安全物理环境2物理访问控制2防盗窃和防破坏3防火3温
21、湿度控制4电磁防护安全通信网络网络架构 通信传输安全区域边界边界防护访问控制4666101111 115恶意代码和垃圾邮件防范17安全审计177 安全计算环境18网络设备、安全设备、主机设备等18身份鉴别18访问控制20安全审计21入侵防范22恶意代码防范24应用系统25身份鉴别25访问控制28安全审计29入侵防范30数据完整性32数据保密性33数据备份恢复34剩余信息保护36个人信息保护378 安全区域边界38集中管控38整改建议:建议在关键网络节点处(如核心服务器区与其他内部网络区域边 界处)进行严格的访问控制措施,并部署相关的防护设备,检测、防止或限制从 内部发起的网络攻击行为。6. 4
22、恶意代码和垃圾邮件防范6. 4.1网络层恶意代码防范对应要求:应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代 码防护机制的升级和更新。判例内容:主机和网络层均无任何恶意代码检测和清除措施的,可判定为高 风险。适用范围:所有系统。满足条件(同时):1、主机层无恶意代码检测和清除措施;2、网络层无恶意代码检测和清除措施。补偿措施:1、如主机层部署恶意代码检测和清除产品,且恶意代码库保持更新,可酌 情降低风险等级。2、如2级及以下系统,使用Linux、Unix系统,主机和网络层均未部署恶意 代码检测和清除产品,可视总体防御措施酌情降低风险等级。3、对与外网完全物理隔离的系统,其网络环境、U
23、SB介质等管控措施较好, 可酌情降低风险等级。整改建议:建议在关键网络节点处部署恶意代码检测和清除产品,且与主机 层恶意代码防范产品形成异构模式,有效检测及清除可能出现的恶意代码攻击。6. 5安全审计6. 5.1网络安全审计措施对应要求:应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用 户,对重要的用户行为和重要安全事件进行审计。判例内容:在网络边界、重要网络节点无任何安全审计措施,无法对重要的 用户行为和重要安全事件进行日志审计,可判定为高风险。适用范围:所有系统。满足条件(同时):1、无法对重要的用户行为和重要安全事件进行日志审计。补偿措施:无。整改建议:建议在网络边界、重要网络节
24、点,对重要的用户行为和重要安全 事件进行日志审计,便于对相关事件或行为进行追溯。7安全计算环境6.1 网络设备、安全设备、主机设备等7. 1.1身份鉴别7. 1. 1. 1设备弱口令对应要求:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身 份鉴别信息具有复杂度要求并定期更换。判例内容:网络设备、安全设备、操作系统、数据库等存在空口令或弱口令 帐户,并可通过该弱口令帐户登录,可判定为高风险。适用范围:所有系统。满足条件(同时):1、存在空口令或弱口令帐户;2、可使用该弱口令帐户登录。补偿措施:1、如采用双因素认证等管控手段,恶意用户使用该空/弱口令帐号无法直接 登录相关设备,可酌情降低
25、风险等级。2、如测评对象重要性较低,不会对整个信息系统安全性产生任何影响,可酌情降低风险等级。整改建议:建议删除或重命名默认账户,制定相关管理制度,规范口令的最 小长度、复杂度与生存周期,并根据管理制度要求,合理配置账户口令策略,提 高口令质量。7. 1. 1. 2远程管理防护对应要求:当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过 程中被窃听。判例内容:通过不可控网络环境远程管理的网络设备、安全设备、操作系统、 数据库等,鉴别信息明文传输,容易被监听,造成数据泄漏,可判定为高风险。适用范围:所有系统。满足条件(同时):1、通过不可控网络环境远程进行管理;2、管理帐户口令以明文方式传
26、输;3、使用截获的帐号可远程登录。补偿措施:1、如整个远程管理过程中,只能使用加密传输通道进行鉴别信息传输的, 可视为等效措施,判符合。2、如采用多因素身份认证、访问地址限定、仅允许内部可控网络进行访问 的措施时,窃听到口令而无法直接进行远程登录的,可酌情降低风险等级。3、如通过其他技术管控手段(如准入控制、桌面管理、行为管理等),降低数据窃听隐患的,可酌情降低风险等级。4、在有管控措施的情况下,如果默认采用加密进行管理,但同时也开启非加密管理方式,可根据实际管理情况,酌情判断风险等级。5、可根据被测对象的作用以及重要程度,可根据实际情况,酌情判断风险等级。整改建议:建议尽可能避免通过不可控网
27、络对网络设备、安全设备、操作系 统、数据库等进行远程管理,如确有需要,则建议采取措施或使用加密机制(如 VPN加密通道、开启SSH、HTTPS协议等),防止鉴别信息在网络传输过程中被窃听。7. 1. 1. 3双因素认证对应要求:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别 技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。判例内容:重要核心设备、操作系统等未采用两种或两种以上鉴别技术对用 户身份进行鉴别。例如仅使用用户名/口令方式进行身份验证,削弱了管理员账 户的安全性,无法避免账号的未授权窃取或违规使用,可判定为高风险。适用范围:3级及以上系统。满足条件(同时)
28、:1、3级及以上系统;2、重要核心设备、操作系统等通过不可控网络环境远程进行管理;3、设备未启用两种或两种以上鉴别技术对用户身份进行鉴别;4级系统多种 鉴别技术中未用到密码技术或生物技术。补偿措施:1、如设备通过本地登录方式(非网络方式)维护,本地物理环境可控,可 酌情降低风险等级。2、采用两重用户名/口令认证措施(两重口令不同),例如身份认证服务器、 堡垒机等手段,可酌情降低风险等级。3、如设备所在物理环境、网络环境安全可控,网络窃听、违规接入等隐患 较小,口令策略和复杂度、长度符合要求的情况下,可酌情降低风险等级。4、可根据被测对象的作用以及重要程度,根据实际情况,酌情判断风险等 级。整改
29、建议:建议重要核心设备、操作系统等增加除用户名/口令以外的身份 鉴别技术,如密码/令牌、生物鉴别方式等,实现双因子身份鉴别,增强身份鉴 别的安全力度。7. 1.2访问控制8. 1. 2.1默认口令处理对应要求:应重命名或删除默认账户,修改默认账户的默认口令。判例内容:网络设备、安全设备、操作系统、数据库等默认账号的默认口令 未修改,使用默认口令进行登录设备,可判定为高风险。适用范围:所有系统。满足条件(同时):1、未修改默认帐户的默认口令;2、可使用该默认口令账号登录。补偿措施:无。整改建议:建议网络设备、安全设备、操作系统、数据库等重命名或删除默 认管理员账户,修改默认密码,使其具备一定的强
30、度,增强账户安全性。7. 1.3安全审计8. 1. 3. 1设备安全审计措施对应要求:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为 和重要安全事件进行审计。判例内容:重要核心网络设备、安全设备、操作系统、数据库等未开启任何 审计功能,无法对重要的用户行为和重要安全事件进行审计,也无法对事件进行溯源,可判定为高风险。适用范围:3级及以上系统。满足条件(同时):1、3级及以上系统2、重要核心网络设备、安全设备、操作系统、数据库等未开启任何审计功 能,无法对重要的用户行为和重要安全事件进行审计;3、无其他技术手段对重要的用户行为和重要安全事件进行溯源。补偿措施:1、如使用堡垒机或其他第三
31、方审计工具进行日志审计,能有效记录用户行 为和重要安全事件,可视为等效措施,判符合。2、如通过其他技术或管理手段能对事件进行溯源的,可酌情降低风险等级。3、如核查对象非重要核心设备,对整个信息系统影响有限的情况下,可酌情降低风险等级。整改建议:建议在重要核心设备、安全设备、操作系统、数据库性能允许的 前提下,开启用户操作类和安全事件类审计策略或使用第三方日志审计工具,实 现对相关设备操作与安全行为的全面审计记录,保证发生安全问题时能够及时溯 源。7. 1.4入侵防范8. 1. 4. 1不必要服务处置对应要求:应关闭不需要的系统服务、默认共享和高危端口。判例内容:网络设备、安全设备、操作系统等存
32、在多余系统服务/默认共享/ 高危端口存在,且存在可被利用的高危漏洞或重大安全隐患,可判定为高风险。适用范围:所有系统。满足条件:操作系统上的多余系统服务/默认共享/高危端口存在可被利用的 高风险漏洞或重大安全隐患。补偿措施:如通过其他技术手段能降低漏洞影响,可酌情降低风险等级。整改建议:建议网络设备、安全设备、操作系统等关闭不必要的服务和端口, 减少后门等安全漏洞;根据自身应用需求,需要开启共享服务的,应合理设置相 关配置,如设置账户权限等。9. 1. 4. 2管理终端管控措施对应要求:应通过设定终端接入方式或网络地址范围对通过网络进行管理的 管理终端进行限制。判例内容:通过不可控网络环境远程
33、管理的网络设备、安全设备、操作系统、 数据库等,未采取技术手段对管理终端进行限制,可判定为高风险。适用范围:3级及以上系统。满足条件(同时):1、3级及以上系统;2、可通过不可控网络环境远程进行管理;3、未采取技术手段对管理终端进行管控(管控措施包括但不限于终端接入 管控、网络地址范围限制、堡垒机等)。补偿措施:如管理终端部署在运维区、可控网络或采用多种身份鉴别方式等 技术措施,可降低终端管控不善所带来的安全风险的,可酌情降低风险等级。整改建议:建议通过技术手段,对管理终端进行限制。7. 1. 4. 3已知重大漏洞修补对应要求:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时 修补漏洞
34、。判例内容:对于一些互联网直接能够访问到的网络设备、安全设备、操作系 统、数据库等,如存在外界披露的重大漏洞,未及时修补更新,无需考虑是否有 POC攻击代码,可判定为高风险。适用范围:所有系统。满足条件(同时):1、该设备可通过互联网访问;2、该设备型号、版本存在外界披露的重大安全漏洞;3、未及时采取修补或其他有效防范措施。补偿措施:1、如相关漏洞暴露在可控的网络环境,可酌情降低风险等级。2、如某网络设备的WEB管理界面存在高风险漏洞,而该WEB管理界面只能通 过特定IP或特定可控环境下才可访问,可酌情降低风险等级。整改建议:建议订阅安全厂商漏洞推送或本地安装安全软件,及时了解漏洞 动态,在充
35、分测试评估的基础上,弥补严重安全漏洞。7. 1. 4. 4测试发现漏洞修补对应要求:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时 修补漏洞。判例内容:通过验证测试或渗透测试能够确认并利用的,可对网络设备、安 全设备、操作系统、数据库等造成重大安全隐患的漏洞(包括但不限于缓冲区溢 出、提权漏洞、远程代码执行、严重逻辑缺陷、敏感数据泄露等),可判定为高 风险。适用范围:所有系统。满足条件(同时):1、存在可被利用的高风险漏洞;2、通过验证测试或渗透测试确认该高风险漏洞可能对该设备造成重大安全 隐患。补偿措施:只有在相关设备所在的物理、网络、管理环境严格受控,发生攻 击行为可能性较小的情
36、况下,方可酌情降低风险等级;对于互联网可访问到的设 备,原则上不宜降低其风险等级。整改建议:建议在充分测试的情况下,及时对设备进行补丁更新,修补已知 的高风险安全漏洞;此外,还应定期对设备进行漏扫,及时处理发现的风险漏洞, 提高设备稳定性与安全性。7. 1.5恶意代码防范8. 1. 5. 1操作系统恶意代码防范对应要求:应采用主动免疫可信验证机制及时识别入侵和病毒行为,并将其 有效阻断。判例内容:Windows操作系统未安装防恶意代码软件,并进行统一管理,无 法防止来自外部的恶意攻击或系统漏洞带来的危害,可判定为高风险。适用范围:所有系统。满足条件(任意条件):1、Windows操作系统未安装
37、杀毒软件。2、Windows操作系统安装的杀毒软件病毒库一月以上未更新。(可根据服务 器部署环境、行业或系统特性缩短或延长病毒库更新周期)补偿措施:1、如一个月以上未更新,但有完备的补丁更新/测试计划,且有历史计划执 行记录的,可根据服务器部署环境、行业或系统特性酌情降低风险等级。2、可与网络安全部分中的入侵防范和访问控制措施相结合来综合评定风险,如网络层部署了恶意代码防范设备,可酌情降低风险等级。3、对与外网完全物理隔离的系统,其网络环境、USB介质等管控措施较好, 可酌情降低风险等级。整改建议:建议操作系统统一部署防病毒软件,或采用集成性质防病毒服务 器或虚拟化底层防病毒措施,并及时更新病
38、毒库,抵挡外部恶意代码攻击。7.2应用系统7. 2.1身份鉴别 7. 2. 1. 1 口令策略对应要求:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身 份鉴别信息具有复杂度要求并定期更换。判例内容:应用系统无任何用户口令复杂度校验机制,校验机制包括口令的 长度、复杂度等,可判定为高风险。适用范围:所有系统。满足条件(同时):1、应用系统无口令长度、复杂度校验机制;2、可设置6位以下,单个数字或连续数字或相同数字等易猜测的口令。补偿措施:1、如应用系统采用多种身份鉴别认证技术的,即使有口令也无法直接登录 应用系统的,可酌情降低风险等级。2、如应用系统仅为内部管理系统,只能内网访问,且访
39、问人员相对可控, 可酌情降低风险等级。3、如应用系统口令校验机制不完善,如只有部分校验机制,可根据实际情况,酌情降低风险等级。4、特定应用场景中的口令(如PIN码)可根据相关要求,酌情判断风险等级。整改建议:建议应用系统对用户的账户口令长度、复杂度进行校验,如要求 系统账户口令至少8位,由数字、字母或特殊字符中2种方式组成;对于如PIN码 等特殊用途的口令,应设置弱口令库,通过对比方式,提高用户口令质量。7. 2.1. 2 弱口令对应要求:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身 份鉴别信息具有复杂度要求并定期更换。判例内容:应用系统存在易被猜测的常用/弱口令帐户,可判定为高风
40、险。适用范围:所有系统。满足条件:通过渗透测试或常用/弱口令尝试,发现应用系统中存在可被登 录弱口令帐户。补偿措施:如该弱口令帐号为前台自行注册,自行修改的普通用户帐户,被 猜测登录后只会影响单个用户,而不会对整个应用系统造成安全影响的,可酌情 降低风险等级。整改建议:建议应用系统通过口令长度、复杂度校验、常用/弱口令库比对 等方式,提高应用系统口令质量。7. 2. 1. 3登录失败处理对应要求:应具有登录失败处理功能,应配置并启用结束会话、限制非法登 录次数和当登录连接超时自动退出等相关措施。判例内容:可通过互联网登录的应用系统未提供任何登录失败处理措施,攻 击者可进行口令猜测,可判定为高风
41、险。适用范围:3级及以上系统。满足条件:1、3级及以上系统;2、可通过互联网登录,且对帐号安全性要求较高,如帐户涉及金融、个人 隐私信息、后台管理等;3、对连续登录失败无任何处理措施;4、攻击者可利用登录界面进行口令猜测。补偿措施:1、如应用系统采用多种身份鉴别认证技术的,可酌情降低风险等级。2、仅通过内部网络访问的内部/后台管理系统,如访问人员相对可控,可酌情降低风险等级。9安全管理制度40管理制度4010安全管理机构41岗位设置4111 安全建设管理41产品采购和使用41外包软件开发42测试验收4312 安全运维管理44漏洞和风险管理44网络和系统安全管理45恶意代码防范管理47变更管理4
42、7备份与恢复管理48应急预案管理49附件 基本要求与判例对应表513、如登录页面采用图像验证码等技术可在一定程度上提高自动化手段进行 口令暴力破解难度的,可酌情降低风险等级。4、可根据登录帐户的重要程度、影响程度,可酌情判断风险等级。但如果 登录帐户涉及到金融行业、个人隐私信息、信息发布、后台管理等,不宜降低风 险等级。整改建议:建议应用系统提供登录失败处理功能(如帐户锁定、多重认证等), 防止攻击者进行口令暴力破解。7. 2. 1. 4双因素认证对应要求:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别 技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。判例内容:通
43、过互联网方式访问,且涉及大额资金交易、核心业务等操作的 系统,在进行重要操作前应采用两种或两种以上方式进行身份鉴别,如只采用一 种验证方式进行鉴别,可判定为高风险。适用范围:3级及以上系统。满足条件(同时):1、3级及以上系统;2、通过互联网方式访问的系统,在进行涉及大额资金交易、核心业务等重 要操作前未启用两种或两种以上鉴别技术对用户身份进行鉴别;4级系统多种鉴 别技术中未用到密码技术或生物技术。补偿措施:1、采用两重用户名/口令认证措施,且两重口令不可相同等情况,可酌情降 低风险等级。2、如应用服务访问的网络环境安全可控,网络窃听、违规接入等隐患较小, 口令策略和复杂度、长度符合要求的情况
44、下,可酌情降低风险等级。3、在完成重要操作前的不同阶段两次或两次以上使用不同的方式进行身份 鉴别,可根据实际情况,酌情降低风险等级。4、涉及到主管部门认可的业务形态,例如快捷支付、小额免密支付等,可酌情降低风险等级。5、可根据被测对象中用户的作用以及重要程度,在口令策略和复杂度、长 度符合要求的情况下,可根据实际情况,酌情判断风险等级。6、系统用户群体为互联网用户,且冒名登录、操作不会对系统或个人造成重大恶劣影响或经济损失的,可酌情判断风险等级。整改建议:建议应用系统增加除用户名/口令以外的身份鉴别技术,如密码/ 令牌、生物鉴别方式等,实现双因子身份鉴别,增强身份鉴别的安全力度。7. 2.2访
45、问控制7. 2. 2. 1登录用户权限控制对应要求:应对登录的用户分配账户和权限。判例内容:应用系统访问控制功能存在缺失,无法按照设计策略控制用户对 系统功能、数据的访问;可通过直接访问URL等方式,在不登录系统的情况下, 非授权访问系统功能模块,可判定为高风险。适用范围:所有系统。满足条件:可通过直接访问URL等方式,在不登录系统的情况下,非授权访 问系统重要功能模块。补偿措施:1、如应用系统部署在可控网络,有其他防护措施能限制、监控用户行为的, 可酌情降低风险等级。2、可根据非授权访问模块的重要程度、越权访问的难度,酌情提高/减低风 险等级。整改建议:建议完善访问控制措施,对系统重要页面、
46、功能模块进行访问控 制,确保应用系统不存在访问控制失效情况。7. 2. 2. 2默认口令处理对应要求:应重命名或删除默认账户,修改默认账户的默认口令。判例内容:应用系统默认账号的默认口令未修改,可利用该默认口令登录系 统,可判定为高风险。适用范围:所有系统。满足条件(同时):1、未修改默认帐户的默认口令;2、可使用该默认口令账号登录。补偿措施:无。整改建议:建议应用系统重命名或删除默认管理员账户,修改默认密码,使 其具备一定的强度,增强账户安全性。8. 2. 2. 3访问控制策略对应要求:应由授权主体配置访问控制策略,访问控制策略规定主体对客体 的访问规则。判例内容:应用系统访问控制策略存在缺陷,可越权访问系统功能模块或查 看、操作其他用户的数据。如存在平行权限漏洞,低权限用户越权访问高权限功 能模块等,可判定为高风险。适用范围:所有系统。满足条件:系统访问控制策略存在缺陷,可越权访问系统功能模块或查看、 操作其他用户的数据。如存在平行权限漏洞,低权限用户越权访问高权限功能模 块等。补偿措施:1、如应用系统部署在可控