等保2.0高風(fēng)險(xiǎn)項(xiàng)判定匯總
前不久(7月14日)網(wǎng)上發(fā)布了《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引》,并計(jì)劃于2019年10月1日起施行??吹胶?,第一感覺,好貼心哦,還告訴你哪些是重點(diǎn),要怎么改??赐旰蟾杏X,這是要我們半條命么?無論怎樣,該重點(diǎn)關(guān)注的還是要去關(guān)注,做好安全工作。
引言
所謂高風(fēng)險(xiǎn)項(xiàng),就是等保測(cè)評(píng)時(shí)可以一票否決的整改項(xiàng),如果不改,無論你多少分都會(huì)被定為不合格。全文共58頁(yè),寫得比較細(xì)了,但是想到大家基本不會(huì)有耐心去仔細(xì)看的(憑直覺)。這幾天挑里邊相對(duì)重點(diǎn)的內(nèi)容列了出來,就是企業(yè)要重點(diǎn)關(guān)注的,把這些做好,上70分應(yīng)該不成問題,個(gè)人認(rèn)為這就是所謂的抓重點(diǎn)了。最近要定級(jí)或者明年打算升級(jí)等保2.0的可以參考下。
說明:文中標(biāo)記(3級(jí))的表示3級(jí)及以上系統(tǒng)適用,標(biāo)記(4級(jí))的表示4級(jí)系統(tǒng)適用,未標(biāo)記的表示所有系統(tǒng)適用。
物理環(huán)境部分
1. 無防盜報(bào)警系統(tǒng)、無監(jiān)控系統(tǒng),可判定為高風(fēng)險(xiǎn)。
2. 機(jī)房未配備冗余或并行電力線路供電來自于同一變電站,可判高風(fēng)險(xiǎn)。
3. 系統(tǒng)所在的機(jī)房必須配備應(yīng)急供電措施,如未配備,或應(yīng)急供電措施無法使用,可判高風(fēng)險(xiǎn)。(4級(jí))
4. 對(duì)于涉及大量核心數(shù)據(jù)的系統(tǒng),如機(jī)房或關(guān)鍵設(shè)備所在的機(jī)柜未采取電磁屏蔽措施,可判高風(fēng)險(xiǎn)。(4級(jí))
網(wǎng)絡(luò)通信部分
1. 對(duì)可用性要求較高的系統(tǒng),網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力不足,高峰時(shí)可能導(dǎo)致設(shè)備宕機(jī)或服務(wù)中斷,影響金融秩序或引發(fā)群體事件,若無任何技術(shù)應(yīng)對(duì)措施。核心網(wǎng)絡(luò)設(shè)備性能無法滿足高峰期需求,存在業(yè)務(wù)中斷隱患,如業(yè)務(wù)高峰期,核心設(shè)備性能指標(biāo)平均達(dá)到80%以上,可判定為高風(fēng)險(xiǎn)。
2. 應(yīng)按照不同網(wǎng)絡(luò)的功能、重要程度進(jìn)行網(wǎng)絡(luò)區(qū)域劃分,如存在重要區(qū)域與非重要網(wǎng)絡(luò)在同一子網(wǎng)或網(wǎng)段的,可判定為高風(fēng)險(xiǎn)。
3. 互聯(lián)網(wǎng)出口無任何訪問控制措施,或訪問控制措施配置失效,存在較大安全隱患,可判定為高風(fēng)險(xiǎn)。(區(qū)域邊界要求同樣適用)
4. 辦公網(wǎng)與生產(chǎn)網(wǎng)之間無訪問控制措施,辦公環(huán)境任意網(wǎng)絡(luò)接入均可對(duì)核心生產(chǎn)服務(wù)器和網(wǎng)絡(luò)設(shè)備進(jìn)行管理,可判定為高風(fēng)險(xiǎn)。
5. 對(duì)可用性要求較高的系統(tǒng),若網(wǎng)絡(luò)鏈路為單鏈路,核心網(wǎng)絡(luò)節(jié)點(diǎn)、核心網(wǎng)絡(luò)設(shè)備或關(guān)鍵計(jì)算設(shè)備無冗余設(shè)計(jì),一旦出現(xiàn)故障,可能導(dǎo)致業(yè)務(wù)中斷,可判定為高風(fēng)險(xiǎn)。(3級(jí))
6. 對(duì)數(shù)據(jù)傳輸完整性要求較高的系統(tǒng),數(shù)據(jù)在網(wǎng)絡(luò)層傳輸無完整性保護(hù)措施,一旦數(shù)據(jù)遭到篡改,可能造成財(cái)產(chǎn)損失的,可判定為高風(fēng)險(xiǎn)。建議采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。(3級(jí))
7. 口令、密鑰等重要敏感信息在網(wǎng)絡(luò)中明文傳輸,可判定為高風(fēng)險(xiǎn)。(3級(jí))
建議相關(guān)設(shè)備開啟 SSH 或HTTPS 協(xié)議或創(chuàng)建加密通道,通過這些加密方式傳輸敏感信息。
區(qū)域邊界部分
1. 非授權(quán)設(shè)備能夠直接接入重要網(wǎng)絡(luò)區(qū)域,如服務(wù)器區(qū)、管理網(wǎng)段等,且無任何告警、限制、阻斷等措施的,可判定為高風(fēng)險(xiǎn)。(3級(jí))
如接入的區(qū)域有嚴(yán)格的物理訪問控制,采用靜態(tài) IP 地址分配,關(guān)閉不必要的接入端口,IP-MAC 地址綁定等措施的,可酌情降低風(fēng)險(xiǎn)等級(jí)。
2. 核心重要服務(wù)器設(shè)備、重要核心管理終端,如無法對(duì)非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制,或內(nèi)部人員可旁路、繞過邊界訪問控制設(shè)備私自外聯(lián)互聯(lián)網(wǎng),可判定為高風(fēng)險(xiǎn)。(3級(jí))
如機(jī)房、網(wǎng)絡(luò)等環(huán)境可控,非授權(quán)外聯(lián)可能較小,相關(guān)設(shè)備上的 USB 接口、無線網(wǎng)卡等有管控措施,對(duì)網(wǎng)絡(luò)異常進(jìn)行監(jiān)控及日志審查,可酌情降低風(fēng)險(xiǎn)等級(jí)。
3.內(nèi)部核心網(wǎng)絡(luò)與無線網(wǎng)絡(luò)互聯(lián),且之間無任何管控措施,一旦非授權(quán)接入無線網(wǎng)絡(luò)即可訪問內(nèi)部核心網(wǎng)絡(luò)區(qū)域,存在較大安全隱患,可判定為高風(fēng)險(xiǎn)。(3級(jí))
如無特殊需要,內(nèi)部核心網(wǎng)絡(luò)不應(yīng)與無線網(wǎng)絡(luò)互聯(lián);如因業(yè)務(wù)需要,則建議加強(qiáng)對(duì)無線網(wǎng)絡(luò)設(shè)備接入的管控,并通過邊界設(shè)備對(duì)無線網(wǎng)絡(luò)的接入設(shè)備對(duì)內(nèi)部核心網(wǎng)絡(luò)的訪問進(jìn)行限制,降低攻擊者利用無線網(wǎng)絡(luò)入侵內(nèi)部核心網(wǎng)絡(luò)。
4. 與互聯(lián)網(wǎng)互連的系統(tǒng),邊界處如無專用的訪問控制設(shè)備或配置了全通策略,可判定為高風(fēng)險(xiǎn)。
5. 可控網(wǎng)絡(luò)環(huán)境與不可控網(wǎng)絡(luò)環(huán)境之間數(shù)據(jù)傳輸未采用通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等方式進(jìn)行數(shù)據(jù)轉(zhuǎn)換(網(wǎng)閘或前置機(jī)),可判定為高風(fēng)險(xiǎn)。(4級(jí))
6. 關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)(如互聯(lián)網(wǎng)邊界處)未采取任何防護(hù)措施,無法檢測(cè)、阻止或限制互聯(lián)網(wǎng)發(fā)起的攻擊行為(無入侵防御設(shè)備、云防、WAF等),可判定為高風(fēng)險(xiǎn)。(3級(jí))
7. 關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)(如核心服務(wù)器區(qū)與其他內(nèi)部網(wǎng)絡(luò)區(qū)域邊界處)未采取任何防護(hù)措施,無法檢測(cè)、阻止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為(無入侵防御、防火墻等),可判定為高風(fēng)險(xiǎn)。(3級(jí))
8. 主機(jī)和網(wǎng)絡(luò)層均無任何惡意代碼檢測(cè)和清除措施的,可判定為高風(fēng)險(xiǎn)。
9. 在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)無任何安全審計(jì)措施,無法對(duì)重要的用戶行為和重要安全事件進(jìn)行日志審計(jì),可判定為高風(fēng)險(xiǎn)。
計(jì)算環(huán)境部分
1. 網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)等存在空口令或弱口令帳戶(包括默認(rèn)口令),并可通過該弱口令帳戶登錄,可判定為高風(fēng)險(xiǎn)。
2. 通過不可控網(wǎng)絡(luò)環(huán)境遠(yuǎn)程管理的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)等,鑒別信息明文傳輸,容易被監(jiān)聽,造成數(shù)據(jù)泄漏,可判定為高風(fēng)險(xiǎn)。
3. 重要核心設(shè)備、操作系統(tǒng)等未采用兩種或兩種以上鑒別技術(shù)對(duì)用戶身份進(jìn)行鑒別。例如僅使用用戶名/口令方式進(jìn)行身份驗(yàn)證,削弱了管理員賬戶的安全性,無法避免賬號(hào)的未授權(quán)竊取或違規(guī)使用,4級(jí)系統(tǒng)多種鑒別技術(shù)中未用到密碼技術(shù)或生物技術(shù)??膳卸楦唢L(fēng)險(xiǎn)。(3級(jí))
4.網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)等存在多余系統(tǒng)服務(wù)/默認(rèn)共享/高危端口存在,且存在可被利用的高危漏洞或重大安全隱患,可判定為高風(fēng)險(xiǎn)。(注意不只系統(tǒng)和應(yīng)用,還有設(shè)備也要關(guān)閉多余端口)
5. 通過不可控網(wǎng)絡(luò)環(huán)境遠(yuǎn)程管理的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)等,未采取技術(shù)手段對(duì)管理終端進(jìn)行限制,可判定為高風(fēng)險(xiǎn)。(3級(jí))
6.對(duì)于一些互聯(lián)網(wǎng)直接能夠訪問到的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)等,如存在外界披露的重大漏洞,未及時(shí)修補(bǔ)更新,無需考慮是否有 POC 攻擊代碼,可判定為高風(fēng)險(xiǎn)。(不要說影響業(yè)務(wù),某大型企業(yè)HW期間N年不能打的補(bǔ)丁2天全搞定了)
7. 通過驗(yàn)證測(cè)試或滲透測(cè)試能夠確認(rèn)并利用的,可對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)等造成重大安全隱患的漏洞(包括但不限于緩沖區(qū)溢出、提權(quán)漏洞、遠(yuǎn)程代碼執(zhí)行、嚴(yán)重邏輯缺陷、敏感數(shù)據(jù)泄露等),可判定為高風(fēng)險(xiǎn)。
8. Windows 操作系統(tǒng)未安裝防惡意代碼軟件,并進(jìn)行統(tǒng)一管理(這里覺得官方描述有問題,并未進(jìn)行可能更準(zhǔn)確),無法防止來自外部的惡意攻擊或系統(tǒng)漏洞帶來的危害,可判定為高風(fēng)險(xiǎn)。
9. 應(yīng)用系統(tǒng)無任何用戶口令復(fù)雜度校驗(yàn)機(jī)制,校驗(yàn)機(jī)制包括口令的長(zhǎng)度、復(fù)雜度等,可判定為高風(fēng)險(xiǎn)。
10. 應(yīng)用系統(tǒng)存在易被猜測(cè)的常用/弱口令帳戶,可判定為高風(fēng)險(xiǎn)。
11.可通過互聯(lián)網(wǎng)登錄的應(yīng)用系統(tǒng)未提供任何登錄失敗處理措施,攻擊者可進(jìn)行口令猜測(cè),可判定為高風(fēng)險(xiǎn)。(3級(jí))
12.通過互聯(lián)網(wǎng)方式訪問,且涉及大額資金交易、核心業(yè)務(wù)等操作的系統(tǒng),在進(jìn)行重要操作前應(yīng)采用兩種或兩種以上方式進(jìn)行身份鑒別,如只采用一種驗(yàn)證方式進(jìn)行鑒別,可判定為高風(fēng)險(xiǎn)。(3級(jí))
13. 應(yīng)用系統(tǒng)訪問控制功能存在缺失,無法按照設(shè)計(jì)策略控制用戶對(duì)系統(tǒng)功能、數(shù)據(jù)的訪問;可通過直接訪問 URL 等方式,在不登錄系統(tǒng)的情況下,非授權(quán)訪問系統(tǒng)功能模塊,可判定為高風(fēng)險(xiǎn)。
14. 應(yīng)用系統(tǒng)訪問控制策略存在缺陷,可越權(quán)訪問系統(tǒng)功能模塊或查看、操作其他用戶的數(shù)據(jù)。如存在平行權(quán)限漏洞,低權(quán)限用戶越權(quán)訪問高權(quán)限功能模塊等,可判定為高風(fēng)險(xiǎn)。
15. 應(yīng)用系統(tǒng)(包括前端系統(tǒng)和后臺(tái)管理系統(tǒng))無任何日志審計(jì)功能,無法對(duì)用戶的重要行為進(jìn)行審計(jì),也無法對(duì)事件進(jìn)行溯源,可判定為高風(fēng)險(xiǎn)。(3級(jí))
16. 由于校驗(yàn)機(jī)制缺失導(dǎo)致的應(yīng)用系統(tǒng)存在如 SQL 注入、跨站腳本、上傳漏洞等高風(fēng)險(xiǎn)漏洞,可判定為高風(fēng)險(xiǎn)。
17. 應(yīng)用系統(tǒng)所使用的環(huán)境、框架、組件等存在可被利用的高風(fēng)險(xiǎn)漏洞,導(dǎo)致敏感數(shù)據(jù)泄露、網(wǎng)頁(yè)篡改、服務(wù)器被入侵等安全事件的發(fā)生,可能造成嚴(yán)重后果的,可判定為高風(fēng)險(xiǎn)。
18. 通過測(cè)試,發(fā)現(xiàn)應(yīng)用系統(tǒng)的業(yè)務(wù)功能(如密碼找回功能等)存在高風(fēng)險(xiǎn)安全漏洞或嚴(yán)重邏輯缺陷,可能導(dǎo)致修改任意用戶密碼、繞過安全驗(yàn)證機(jī)制非授權(quán)訪問等情況。可判定為高風(fēng)險(xiǎn)。
19. 對(duì)傳輸完整性要求較高的系統(tǒng),如未采取任何措施保障重要數(shù)據(jù)傳輸完整性,重要數(shù)據(jù)在傳輸過程中被篡改可能造成嚴(yán)重后果的,可判定為高風(fēng)險(xiǎn)。(3級(jí))
20. 用戶鑒別信息、公民敏感信息數(shù)據(jù)或重要業(yè)務(wù)數(shù)據(jù)等以明文方式在不可控網(wǎng)絡(luò)中傳輸,可判定為高風(fēng)險(xiǎn)。(3級(jí))
21. 用戶身份認(rèn)證信息、個(gè)人敏感信息數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、行業(yè)主管部門定義的非明文存儲(chǔ)類數(shù)據(jù)等以明文方式存儲(chǔ),且無其他有效保護(hù)措施,可判定為高風(fēng)險(xiǎn)。(3級(jí))
22. 應(yīng)用系統(tǒng)未提供任何數(shù)據(jù)備份措施,一旦遭受數(shù)據(jù)破壞,無法進(jìn)行數(shù)據(jù)恢復(fù)的,可判定為高風(fēng)險(xiǎn)。
23. 對(duì)系統(tǒng)、數(shù)據(jù)容災(zāi)要求較高的系統(tǒng),如金融、醫(yī)療衛(wèi)生、社會(huì)保障等行業(yè)系統(tǒng),如無異地?cái)?shù)據(jù)災(zāi)備措施,或異地備份機(jī)制無法滿足業(yè)務(wù)需要,可判定為高風(fēng)險(xiǎn)。
24. 對(duì)數(shù)據(jù)處理可用性要求較高系統(tǒng)(如金融行業(yè)系統(tǒng)、競(jìng)拍系統(tǒng)、大數(shù)據(jù)平臺(tái)等),應(yīng)采用熱冗余技術(shù)提高系統(tǒng)的可用性,若核心處理節(jié)點(diǎn)(如服務(wù)器、DB 等)存在單點(diǎn)故障,可判定為高風(fēng)險(xiǎn)。(3級(jí))
25. 對(duì)容災(zāi)、可用性要求較高的系統(tǒng),如金融行業(yè)系統(tǒng),如未設(shè)立異地應(yīng)用級(jí)容災(zāi)中心,或異地應(yīng)用級(jí)容災(zāi)中心無法實(shí)現(xiàn)業(yè)務(wù)切換,可判定為高風(fēng)險(xiǎn)。(4級(jí))
26. 身份鑒別信息釋放或清除機(jī)制存在缺陷,如在正常進(jìn)行釋放或清除身份鑒別信息操作后,仍可非授權(quán)訪問系統(tǒng)資源或進(jìn)行操作(同樣適用于敏感信息),可判定為高風(fēng)險(xiǎn)。
27. 在采集和保存用戶個(gè)人信息時(shí),應(yīng)通過正式渠道獲得用戶同意、授權(quán),如在未授權(quán)情況下,采取、存儲(chǔ)用戶個(gè)人隱私信息,可判定為高風(fēng)險(xiǎn)。
28. 未授權(quán)訪問和非法使用個(gè)人信息,如在未授權(quán)情況下將用戶信息提交給第三方處理,未脫敏的情況下用于其他業(yè)務(wù)用途,未嚴(yán)格控制個(gè)人信息查詢以及導(dǎo)出權(quán)限,非法買賣、泄露用戶個(gè)人信息等,可判定為高風(fēng)險(xiǎn)。
管理中心部分
1. 《網(wǎng)絡(luò)安全法》要求“采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月”;因此,如相關(guān)設(shè)備日志留存不滿足法律法規(guī)相關(guān)要求,可判定為高風(fēng)險(xiǎn)。(3級(jí))
2. 未部署相關(guān)安全設(shè)備,識(shí)別網(wǎng)絡(luò)中發(fā)生的安全事件,并對(duì)重要安全事件進(jìn)行報(bào)警的,可判定為高風(fēng)險(xiǎn)。
管理制度部分
1. 判例內(nèi)容:未建立任何與安全管理活動(dòng)相關(guān)的管理制度或相關(guān)管理制度無法適用于當(dāng)前被測(cè)系統(tǒng)的,可判定為高風(fēng)險(xiǎn)。
管理機(jī)構(gòu)部分
1. 未成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組,或其最高領(lǐng)導(dǎo)不是由單位主管領(lǐng)導(dǎo)委任或授權(quán),可判定為高風(fēng)險(xiǎn)。(3級(jí))
建設(shè)管理部分
1. 網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的使用違反國(guó)家有關(guān)規(guī)定,可判定為高風(fēng)險(xiǎn)。(其實(shí)就是盡可能使用國(guó)產(chǎn)品牌)
建議依據(jù)國(guó)家有關(guān)規(guī)定,采購(gòu)和使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品。(《網(wǎng)絡(luò)安全法》第二十三條規(guī)定網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求,由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后,方可銷售或者提供。國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,并推動(dòng)安全認(rèn)證和安全檢測(cè)結(jié)果互認(rèn),避免重復(fù)認(rèn)證、檢測(cè)。)
2. 對(duì)于涉及金融、民生、基礎(chǔ)設(shè)施等重要行業(yè)的業(yè)務(wù)核心系統(tǒng)由外包公司開發(fā),上線前未對(duì)外包公司開發(fā)的系統(tǒng)進(jìn)行源代碼審查,外包商也無法提供相關(guān)安全檢測(cè)證明,可判定為高風(fēng)險(xiǎn)。(3級(jí))
3. 系統(tǒng)上線前未通過安全性測(cè)試,或未對(duì)相關(guān)高風(fēng)險(xiǎn)問題進(jìn)行安全評(píng)估仍舊“帶病”上線的,可判定為高風(fēng)險(xiǎn)。安全檢查內(nèi)容可以包括但不限于掃描滲透測(cè)試、安全功能驗(yàn)證、源代碼安全審核(國(guó)家逐步開始推廣SDL的落地)。(3級(jí))
運(yùn)維管理部分
1. 未對(duì)發(fā)現(xiàn)的安全漏洞和隱患及時(shí)修補(bǔ),會(huì)導(dǎo)致系統(tǒng)存在較大的安全隱患,黑客有可能利用安全漏洞對(duì)系統(tǒng)實(shí)施惡意攻擊,如果安全漏洞和隱患能夠構(gòu)成高危風(fēng)險(xiǎn),可判定為高風(fēng)險(xiǎn)(對(duì)應(yīng)前邊漏洞管理的內(nèi)容,要求相同)。(3級(jí))
2. 未對(duì)運(yùn)維過程中改變連接、安裝系統(tǒng)組件或調(diào)整配置參數(shù)進(jìn)行變更審批,且未進(jìn)行變更性測(cè)試,一旦安裝系統(tǒng)組件或調(diào)整配置參數(shù)對(duì)系統(tǒng)造成影響,有可能導(dǎo)致系統(tǒng)無法正常訪問,出現(xiàn)異常,可判定為高風(fēng)險(xiǎn)(系統(tǒng)變更管理上升為高危風(fēng)險(xiǎn)點(diǎn))。(3級(jí))
3. 未明確變更管理流程,未對(duì)需要變更的內(nèi)容進(jìn)行分析與論證,未制定詳細(xì)的變更方案,無法明確變更的需求與必要性;變更的同時(shí)也伴隨著可能導(dǎo)致系統(tǒng)無法正常訪問的風(fēng)險(xiǎn),可判定為高風(fēng)險(xiǎn)(變更流程無完善,缺乏理論驗(yàn)證和分析)。(3級(jí))
4. 未對(duì)各類運(yùn)維工具(特別是未商業(yè)化的運(yùn)維工具)進(jìn)行有效性檢查,未對(duì)運(yùn)維工具的接入進(jìn)行嚴(yán)格的控制和審批,運(yùn)維工具中可能存在漏洞或后門,一旦被黑客利用有可能造成數(shù)據(jù)泄漏,可判定為高風(fēng)險(xiǎn)(使用盜版工具的可能會(huì)被判定為高風(fēng)險(xiǎn))。(3級(jí))
5. 制度上服務(wù)器及終端與外部連接的授權(quán)和批準(zhǔn)制度(此處原文描述可能不準(zhǔn)確),也未定期對(duì)相關(guān)違反網(wǎng)絡(luò)安全策略的行為進(jìn)行檢查,存在違規(guī)外聯(lián)的安全隱患,一旦內(nèi)網(wǎng)服務(wù)器或終端違規(guī)外聯(lián),可能造成涉密信息(商密信息)的泄露,同時(shí)增加了感染病毒的可能性,可判定為高風(fēng)險(xiǎn)(管理層面的違規(guī)外聯(lián)管理,要有制度還要有執(zhí)行的過程)。(3級(jí))
6. 外來計(jì)算機(jī)或存儲(chǔ)設(shè)備本身可能已被感染病毒或木馬,未對(duì)其接入系統(tǒng)前進(jìn)行惡意代碼檢查,可能導(dǎo)致系統(tǒng)感染病毒或木馬,對(duì)信息系統(tǒng)極大的危害,可判定為高風(fēng)險(xiǎn)。
7. 未制定重要事件的應(yīng)急預(yù)案,未明確重要事件的應(yīng)急處理流程、系統(tǒng)恢復(fù)流程等內(nèi)容,一旦出現(xiàn)應(yīng)急事件,無法合理有序的進(jìn)行應(yīng)急事件處置過程,造成應(yīng)急響應(yīng)時(shí)間增長(zhǎng),導(dǎo)致系統(tǒng)不能在最短的事件內(nèi)進(jìn)行恢復(fù),可判定為高風(fēng)險(xiǎn)。
8. 未定期對(duì)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),未根據(jù)不同的應(yīng)急預(yù)案進(jìn)行應(yīng)急演練,無法提供應(yīng)急預(yù)案培訓(xùn)和演練記錄,可判定為高風(fēng)險(xiǎn)(無應(yīng)急培訓(xùn),無應(yīng)急演練)。(3級(jí))
引言
所謂高風(fēng)險(xiǎn)項(xiàng),就是等保測(cè)評(píng)時(shí)可以一票否決的整改項(xiàng),如果不改,無論你多少分都會(huì)被定為不合格。全文共58頁(yè),寫得比較細(xì)了,但是想到大家基本不會(huì)有耐心去仔細(xì)看的(憑直覺)。這幾天挑里邊相對(duì)重點(diǎn)的內(nèi)容列了出來,就是企業(yè)要重點(diǎn)關(guān)注的,把這些做好,上70分應(yīng)該不成問題,個(gè)人認(rèn)為這就是所謂的抓重點(diǎn)了。最近要定級(jí)或者明年打算升級(jí)等保2.0的可以參考下。
說明:文中標(biāo)記(3級(jí))的表示3級(jí)及以上系統(tǒng)適用,標(biāo)記(4級(jí))的表示4級(jí)系統(tǒng)適用,未標(biāo)記的表示所有系統(tǒng)適用。
物理環(huán)境部分
1. 無防盜報(bào)警系統(tǒng)、無監(jiān)控系統(tǒng),可判定為高風(fēng)險(xiǎn)。
2. 機(jī)房未配備冗余或并行電力線路供電來自于同一變電站,可判高風(fēng)險(xiǎn)。
3. 系統(tǒng)所在的機(jī)房必須配備應(yīng)急供電措施,如未配備,或應(yīng)急供電措施無法使用,可判高風(fēng)險(xiǎn)。(4級(jí))
4. 對(duì)于涉及大量核心數(shù)據(jù)的系統(tǒng),如機(jī)房或關(guān)鍵設(shè)備所在的機(jī)柜未采取電磁屏蔽措施,可判高風(fēng)險(xiǎn)。(4級(jí))
網(wǎng)絡(luò)通信部分
1. 對(duì)可用性要求較高的系統(tǒng),網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力不足,高峰時(shí)可能導(dǎo)致設(shè)備宕機(jī)或服務(wù)中斷,影響金融秩序或引發(fā)群體事件,若無任何技術(shù)應(yīng)對(duì)措施。核心網(wǎng)絡(luò)設(shè)備性能無法滿足高峰期需求,存在業(yè)務(wù)中斷隱患,如業(yè)務(wù)高峰期,核心設(shè)備性能指標(biāo)平均達(dá)到80%以上,可判定為高風(fēng)險(xiǎn)。
2. 應(yīng)按照不同網(wǎng)絡(luò)的功能、重要程度進(jìn)行網(wǎng)絡(luò)區(qū)域劃分,如存在重要區(qū)域與非重要網(wǎng)絡(luò)在同一子網(wǎng)或網(wǎng)段的,可判定為高風(fēng)險(xiǎn)。
3. 互聯(lián)網(wǎng)出口無任何訪問控制措施,或訪問控制措施配置失效,存在較大安全隱患,可判定為高風(fēng)險(xiǎn)。(區(qū)域邊界要求同樣適用)
4. 辦公網(wǎng)與生產(chǎn)網(wǎng)之間無訪問控制措施,辦公環(huán)境任意網(wǎng)絡(luò)接入均可對(duì)核心生產(chǎn)服務(wù)器和網(wǎng)絡(luò)設(shè)備進(jìn)行管理,可判定為高風(fēng)險(xiǎn)。
5. 對(duì)可用性要求較高的系統(tǒng),若網(wǎng)絡(luò)鏈路為單鏈路,核心網(wǎng)絡(luò)節(jié)點(diǎn)、核心網(wǎng)絡(luò)設(shè)備或關(guān)鍵計(jì)算設(shè)備無冗余設(shè)計(jì),一旦出現(xiàn)故障,可能導(dǎo)致業(yè)務(wù)中斷,可判定為高風(fēng)險(xiǎn)。(3級(jí))
6. 對(duì)數(shù)據(jù)傳輸完整性要求較高的系統(tǒng),數(shù)據(jù)在網(wǎng)絡(luò)層傳輸無完整性保護(hù)措施,一旦數(shù)據(jù)遭到篡改,可能造成財(cái)產(chǎn)損失的,可判定為高風(fēng)險(xiǎn)。建議采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。(3級(jí))
7. 口令、密鑰等重要敏感信息在網(wǎng)絡(luò)中明文傳輸,可判定為高風(fēng)險(xiǎn)。(3級(jí))
建議相關(guān)設(shè)備開啟 SSH 或HTTPS 協(xié)議或創(chuàng)建加密通道,通過這些加密方式傳輸敏感信息。
區(qū)域邊界部分
1. 非授權(quán)設(shè)備能夠直接接入重要網(wǎng)絡(luò)區(qū)域,如服務(wù)器區(qū)、管理網(wǎng)段等,且無任何告警、限制、阻斷等措施的,可判定為高風(fēng)險(xiǎn)。(3級(jí))
如接入的區(qū)域有嚴(yán)格的物理訪問控制,采用靜態(tài) IP 地址分配,關(guān)閉不必要的接入端口,IP-MAC 地址綁定等措施的,可酌情降低風(fēng)險(xiǎn)等級(jí)。
2. 核心重要服務(wù)器設(shè)備、重要核心管理終端,如無法對(duì)非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制,或內(nèi)部人員可旁路、繞過邊界訪問控制設(shè)備私自外聯(lián)互聯(lián)網(wǎng),可判定為高風(fēng)險(xiǎn)。(3級(jí))
如機(jī)房、網(wǎng)絡(luò)等環(huán)境可控,非授權(quán)外聯(lián)可能較小,相關(guān)設(shè)備上的 USB 接口、無線網(wǎng)卡等有管控措施,對(duì)網(wǎng)絡(luò)異常進(jìn)行監(jiān)控及日志審查,可酌情降低風(fēng)險(xiǎn)等級(jí)。
3.內(nèi)部核心網(wǎng)絡(luò)與無線網(wǎng)絡(luò)互聯(lián),且之間無任何管控措施,一旦非授權(quán)接入無線網(wǎng)絡(luò)即可訪問內(nèi)部核心網(wǎng)絡(luò)區(qū)域,存在較大安全隱患,可判定為高風(fēng)險(xiǎn)。(3級(jí))
如無特殊需要,內(nèi)部核心網(wǎng)絡(luò)不應(yīng)與無線網(wǎng)絡(luò)互聯(lián);如因業(yè)務(wù)需要,則建議加強(qiáng)對(duì)無線網(wǎng)絡(luò)設(shè)備接入的管控,并通過邊界設(shè)備對(duì)無線網(wǎng)絡(luò)的接入設(shè)備對(duì)內(nèi)部核心網(wǎng)絡(luò)的訪問進(jìn)行限制,降低攻擊者利用無線網(wǎng)絡(luò)入侵內(nèi)部核心網(wǎng)絡(luò)。
4. 與互聯(lián)網(wǎng)互連的系統(tǒng),邊界處如無專用的訪問控制設(shè)備或配置了全通策略,可判定為高風(fēng)險(xiǎn)。
5. 可控網(wǎng)絡(luò)環(huán)境與不可控網(wǎng)絡(luò)環(huán)境之間數(shù)據(jù)傳輸未采用通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等方式進(jìn)行數(shù)據(jù)轉(zhuǎn)換(網(wǎng)閘或前置機(jī)),可判定為高風(fēng)險(xiǎn)。(4級(jí))
6. 關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)(如互聯(lián)網(wǎng)邊界處)未采取任何防護(hù)措施,無法檢測(cè)、阻止或限制互聯(lián)網(wǎng)發(fā)起的攻擊行為(無入侵防御設(shè)備、云防、WAF等),可判定為高風(fēng)險(xiǎn)。(3級(jí))
7. 關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)(如核心服務(wù)器區(qū)與其他內(nèi)部網(wǎng)絡(luò)區(qū)域邊界處)未采取任何防護(hù)措施,無法檢測(cè)、阻止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為(無入侵防御、防火墻等),可判定為高風(fēng)險(xiǎn)。(3級(jí))
8. 主機(jī)和網(wǎng)絡(luò)層均無任何惡意代碼檢測(cè)和清除措施的,可判定為高風(fēng)險(xiǎn)。
9. 在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)無任何安全審計(jì)措施,無法對(duì)重要的用戶行為和重要安全事件進(jìn)行日志審計(jì),可判定為高風(fēng)險(xiǎn)。
計(jì)算環(huán)境部分
1. 網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)等存在空口令或弱口令帳戶(包括默認(rèn)口令),并可通過該弱口令帳戶登錄,可判定為高風(fēng)險(xiǎn)。
2. 通過不可控網(wǎng)絡(luò)環(huán)境遠(yuǎn)程管理的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)等,鑒別信息明文傳輸,容易被監(jiān)聽,造成數(shù)據(jù)泄漏,可判定為高風(fēng)險(xiǎn)。
3. 重要核心設(shè)備、操作系統(tǒng)等未采用兩種或兩種以上鑒別技術(shù)對(duì)用戶身份進(jìn)行鑒別。例如僅使用用戶名/口令方式進(jìn)行身份驗(yàn)證,削弱了管理員賬戶的安全性,無法避免賬號(hào)的未授權(quán)竊取或違規(guī)使用,4級(jí)系統(tǒng)多種鑒別技術(shù)中未用到密碼技術(shù)或生物技術(shù)??膳卸楦唢L(fēng)險(xiǎn)。(3級(jí))
4.網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)等存在多余系統(tǒng)服務(wù)/默認(rèn)共享/高危端口存在,且存在可被利用的高危漏洞或重大安全隱患,可判定為高風(fēng)險(xiǎn)。(注意不只系統(tǒng)和應(yīng)用,還有設(shè)備也要關(guān)閉多余端口)
5. 通過不可控網(wǎng)絡(luò)環(huán)境遠(yuǎn)程管理的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)等,未采取技術(shù)手段對(duì)管理終端進(jìn)行限制,可判定為高風(fēng)險(xiǎn)。(3級(jí))
6.對(duì)于一些互聯(lián)網(wǎng)直接能夠訪問到的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)等,如存在外界披露的重大漏洞,未及時(shí)修補(bǔ)更新,無需考慮是否有 POC 攻擊代碼,可判定為高風(fēng)險(xiǎn)。(不要說影響業(yè)務(wù),某大型企業(yè)HW期間N年不能打的補(bǔ)丁2天全搞定了)
7. 通過驗(yàn)證測(cè)試或滲透測(cè)試能夠確認(rèn)并利用的,可對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)等造成重大安全隱患的漏洞(包括但不限于緩沖區(qū)溢出、提權(quán)漏洞、遠(yuǎn)程代碼執(zhí)行、嚴(yán)重邏輯缺陷、敏感數(shù)據(jù)泄露等),可判定為高風(fēng)險(xiǎn)。
8. Windows 操作系統(tǒng)未安裝防惡意代碼軟件,并進(jìn)行統(tǒng)一管理(這里覺得官方描述有問題,并未進(jìn)行可能更準(zhǔn)確),無法防止來自外部的惡意攻擊或系統(tǒng)漏洞帶來的危害,可判定為高風(fēng)險(xiǎn)。
9. 應(yīng)用系統(tǒng)無任何用戶口令復(fù)雜度校驗(yàn)機(jī)制,校驗(yàn)機(jī)制包括口令的長(zhǎng)度、復(fù)雜度等,可判定為高風(fēng)險(xiǎn)。
10. 應(yīng)用系統(tǒng)存在易被猜測(cè)的常用/弱口令帳戶,可判定為高風(fēng)險(xiǎn)。
11.可通過互聯(lián)網(wǎng)登錄的應(yīng)用系統(tǒng)未提供任何登錄失敗處理措施,攻擊者可進(jìn)行口令猜測(cè),可判定為高風(fēng)險(xiǎn)。(3級(jí))
12.通過互聯(lián)網(wǎng)方式訪問,且涉及大額資金交易、核心業(yè)務(wù)等操作的系統(tǒng),在進(jìn)行重要操作前應(yīng)采用兩種或兩種以上方式進(jìn)行身份鑒別,如只采用一種驗(yàn)證方式進(jìn)行鑒別,可判定為高風(fēng)險(xiǎn)。(3級(jí))
13. 應(yīng)用系統(tǒng)訪問控制功能存在缺失,無法按照設(shè)計(jì)策略控制用戶對(duì)系統(tǒng)功能、數(shù)據(jù)的訪問;可通過直接訪問 URL 等方式,在不登錄系統(tǒng)的情況下,非授權(quán)訪問系統(tǒng)功能模塊,可判定為高風(fēng)險(xiǎn)。
14. 應(yīng)用系統(tǒng)訪問控制策略存在缺陷,可越權(quán)訪問系統(tǒng)功能模塊或查看、操作其他用戶的數(shù)據(jù)。如存在平行權(quán)限漏洞,低權(quán)限用戶越權(quán)訪問高權(quán)限功能模塊等,可判定為高風(fēng)險(xiǎn)。
15. 應(yīng)用系統(tǒng)(包括前端系統(tǒng)和后臺(tái)管理系統(tǒng))無任何日志審計(jì)功能,無法對(duì)用戶的重要行為進(jìn)行審計(jì),也無法對(duì)事件進(jìn)行溯源,可判定為高風(fēng)險(xiǎn)。(3級(jí))
16. 由于校驗(yàn)機(jī)制缺失導(dǎo)致的應(yīng)用系統(tǒng)存在如 SQL 注入、跨站腳本、上傳漏洞等高風(fēng)險(xiǎn)漏洞,可判定為高風(fēng)險(xiǎn)。
17. 應(yīng)用系統(tǒng)所使用的環(huán)境、框架、組件等存在可被利用的高風(fēng)險(xiǎn)漏洞,導(dǎo)致敏感數(shù)據(jù)泄露、網(wǎng)頁(yè)篡改、服務(wù)器被入侵等安全事件的發(fā)生,可能造成嚴(yán)重后果的,可判定為高風(fēng)險(xiǎn)。
18. 通過測(cè)試,發(fā)現(xiàn)應(yīng)用系統(tǒng)的業(yè)務(wù)功能(如密碼找回功能等)存在高風(fēng)險(xiǎn)安全漏洞或嚴(yán)重邏輯缺陷,可能導(dǎo)致修改任意用戶密碼、繞過安全驗(yàn)證機(jī)制非授權(quán)訪問等情況。可判定為高風(fēng)險(xiǎn)。
19. 對(duì)傳輸完整性要求較高的系統(tǒng),如未采取任何措施保障重要數(shù)據(jù)傳輸完整性,重要數(shù)據(jù)在傳輸過程中被篡改可能造成嚴(yán)重后果的,可判定為高風(fēng)險(xiǎn)。(3級(jí))
20. 用戶鑒別信息、公民敏感信息數(shù)據(jù)或重要業(yè)務(wù)數(shù)據(jù)等以明文方式在不可控網(wǎng)絡(luò)中傳輸,可判定為高風(fēng)險(xiǎn)。(3級(jí))
21. 用戶身份認(rèn)證信息、個(gè)人敏感信息數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、行業(yè)主管部門定義的非明文存儲(chǔ)類數(shù)據(jù)等以明文方式存儲(chǔ),且無其他有效保護(hù)措施,可判定為高風(fēng)險(xiǎn)。(3級(jí))
22. 應(yīng)用系統(tǒng)未提供任何數(shù)據(jù)備份措施,一旦遭受數(shù)據(jù)破壞,無法進(jìn)行數(shù)據(jù)恢復(fù)的,可判定為高風(fēng)險(xiǎn)。
23. 對(duì)系統(tǒng)、數(shù)據(jù)容災(zāi)要求較高的系統(tǒng),如金融、醫(yī)療衛(wèi)生、社會(huì)保障等行業(yè)系統(tǒng),如無異地?cái)?shù)據(jù)災(zāi)備措施,或異地備份機(jī)制無法滿足業(yè)務(wù)需要,可判定為高風(fēng)險(xiǎn)。
24. 對(duì)數(shù)據(jù)處理可用性要求較高系統(tǒng)(如金融行業(yè)系統(tǒng)、競(jìng)拍系統(tǒng)、大數(shù)據(jù)平臺(tái)等),應(yīng)采用熱冗余技術(shù)提高系統(tǒng)的可用性,若核心處理節(jié)點(diǎn)(如服務(wù)器、DB 等)存在單點(diǎn)故障,可判定為高風(fēng)險(xiǎn)。(3級(jí))
25. 對(duì)容災(zāi)、可用性要求較高的系統(tǒng),如金融行業(yè)系統(tǒng),如未設(shè)立異地應(yīng)用級(jí)容災(zāi)中心,或異地應(yīng)用級(jí)容災(zāi)中心無法實(shí)現(xiàn)業(yè)務(wù)切換,可判定為高風(fēng)險(xiǎn)。(4級(jí))
26. 身份鑒別信息釋放或清除機(jī)制存在缺陷,如在正常進(jìn)行釋放或清除身份鑒別信息操作后,仍可非授權(quán)訪問系統(tǒng)資源或進(jìn)行操作(同樣適用于敏感信息),可判定為高風(fēng)險(xiǎn)。
27. 在采集和保存用戶個(gè)人信息時(shí),應(yīng)通過正式渠道獲得用戶同意、授權(quán),如在未授權(quán)情況下,采取、存儲(chǔ)用戶個(gè)人隱私信息,可判定為高風(fēng)險(xiǎn)。
28. 未授權(quán)訪問和非法使用個(gè)人信息,如在未授權(quán)情況下將用戶信息提交給第三方處理,未脫敏的情況下用于其他業(yè)務(wù)用途,未嚴(yán)格控制個(gè)人信息查詢以及導(dǎo)出權(quán)限,非法買賣、泄露用戶個(gè)人信息等,可判定為高風(fēng)險(xiǎn)。
管理中心部分
1. 《網(wǎng)絡(luò)安全法》要求“采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月”;因此,如相關(guān)設(shè)備日志留存不滿足法律法規(guī)相關(guān)要求,可判定為高風(fēng)險(xiǎn)。(3級(jí))
2. 未部署相關(guān)安全設(shè)備,識(shí)別網(wǎng)絡(luò)中發(fā)生的安全事件,并對(duì)重要安全事件進(jìn)行報(bào)警的,可判定為高風(fēng)險(xiǎn)。
管理制度部分
1. 判例內(nèi)容:未建立任何與安全管理活動(dòng)相關(guān)的管理制度或相關(guān)管理制度無法適用于當(dāng)前被測(cè)系統(tǒng)的,可判定為高風(fēng)險(xiǎn)。
管理機(jī)構(gòu)部分
1. 未成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組,或其最高領(lǐng)導(dǎo)不是由單位主管領(lǐng)導(dǎo)委任或授權(quán),可判定為高風(fēng)險(xiǎn)。(3級(jí))
建設(shè)管理部分
1. 網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的使用違反國(guó)家有關(guān)規(guī)定,可判定為高風(fēng)險(xiǎn)。(其實(shí)就是盡可能使用國(guó)產(chǎn)品牌)
建議依據(jù)國(guó)家有關(guān)規(guī)定,采購(gòu)和使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品。(《網(wǎng)絡(luò)安全法》第二十三條規(guī)定網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求,由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后,方可銷售或者提供。國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,并推動(dòng)安全認(rèn)證和安全檢測(cè)結(jié)果互認(rèn),避免重復(fù)認(rèn)證、檢測(cè)。)
2. 對(duì)于涉及金融、民生、基礎(chǔ)設(shè)施等重要行業(yè)的業(yè)務(wù)核心系統(tǒng)由外包公司開發(fā),上線前未對(duì)外包公司開發(fā)的系統(tǒng)進(jìn)行源代碼審查,外包商也無法提供相關(guān)安全檢測(cè)證明,可判定為高風(fēng)險(xiǎn)。(3級(jí))
3. 系統(tǒng)上線前未通過安全性測(cè)試,或未對(duì)相關(guān)高風(fēng)險(xiǎn)問題進(jìn)行安全評(píng)估仍舊“帶病”上線的,可判定為高風(fēng)險(xiǎn)。安全檢查內(nèi)容可以包括但不限于掃描滲透測(cè)試、安全功能驗(yàn)證、源代碼安全審核(國(guó)家逐步開始推廣SDL的落地)。(3級(jí))
運(yùn)維管理部分
1. 未對(duì)發(fā)現(xiàn)的安全漏洞和隱患及時(shí)修補(bǔ),會(huì)導(dǎo)致系統(tǒng)存在較大的安全隱患,黑客有可能利用安全漏洞對(duì)系統(tǒng)實(shí)施惡意攻擊,如果安全漏洞和隱患能夠構(gòu)成高危風(fēng)險(xiǎn),可判定為高風(fēng)險(xiǎn)(對(duì)應(yīng)前邊漏洞管理的內(nèi)容,要求相同)。(3級(jí))
2. 未對(duì)運(yùn)維過程中改變連接、安裝系統(tǒng)組件或調(diào)整配置參數(shù)進(jìn)行變更審批,且未進(jìn)行變更性測(cè)試,一旦安裝系統(tǒng)組件或調(diào)整配置參數(shù)對(duì)系統(tǒng)造成影響,有可能導(dǎo)致系統(tǒng)無法正常訪問,出現(xiàn)異常,可判定為高風(fēng)險(xiǎn)(系統(tǒng)變更管理上升為高危風(fēng)險(xiǎn)點(diǎn))。(3級(jí))
3. 未明確變更管理流程,未對(duì)需要變更的內(nèi)容進(jìn)行分析與論證,未制定詳細(xì)的變更方案,無法明確變更的需求與必要性;變更的同時(shí)也伴隨著可能導(dǎo)致系統(tǒng)無法正常訪問的風(fēng)險(xiǎn),可判定為高風(fēng)險(xiǎn)(變更流程無完善,缺乏理論驗(yàn)證和分析)。(3級(jí))
4. 未對(duì)各類運(yùn)維工具(特別是未商業(yè)化的運(yùn)維工具)進(jìn)行有效性檢查,未對(duì)運(yùn)維工具的接入進(jìn)行嚴(yán)格的控制和審批,運(yùn)維工具中可能存在漏洞或后門,一旦被黑客利用有可能造成數(shù)據(jù)泄漏,可判定為高風(fēng)險(xiǎn)(使用盜版工具的可能會(huì)被判定為高風(fēng)險(xiǎn))。(3級(jí))
5. 制度上服務(wù)器及終端與外部連接的授權(quán)和批準(zhǔn)制度(此處原文描述可能不準(zhǔn)確),也未定期對(duì)相關(guān)違反網(wǎng)絡(luò)安全策略的行為進(jìn)行檢查,存在違規(guī)外聯(lián)的安全隱患,一旦內(nèi)網(wǎng)服務(wù)器或終端違規(guī)外聯(lián),可能造成涉密信息(商密信息)的泄露,同時(shí)增加了感染病毒的可能性,可判定為高風(fēng)險(xiǎn)(管理層面的違規(guī)外聯(lián)管理,要有制度還要有執(zhí)行的過程)。(3級(jí))
6. 外來計(jì)算機(jī)或存儲(chǔ)設(shè)備本身可能已被感染病毒或木馬,未對(duì)其接入系統(tǒng)前進(jìn)行惡意代碼檢查,可能導(dǎo)致系統(tǒng)感染病毒或木馬,對(duì)信息系統(tǒng)極大的危害,可判定為高風(fēng)險(xiǎn)。
7. 未制定重要事件的應(yīng)急預(yù)案,未明確重要事件的應(yīng)急處理流程、系統(tǒng)恢復(fù)流程等內(nèi)容,一旦出現(xiàn)應(yīng)急事件,無法合理有序的進(jìn)行應(yīng)急事件處置過程,造成應(yīng)急響應(yīng)時(shí)間增長(zhǎng),導(dǎo)致系統(tǒng)不能在最短的事件內(nèi)進(jìn)行恢復(fù),可判定為高風(fēng)險(xiǎn)。
8. 未定期對(duì)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),未根據(jù)不同的應(yīng)急預(yù)案進(jìn)行應(yīng)急演練,無法提供應(yīng)急預(yù)案培訓(xùn)和演練記錄,可判定為高風(fēng)險(xiǎn)(無應(yīng)急培訓(xùn),無應(yīng)急演練)。(3級(jí))