我吃西红柿,盗墓笔记有声小说,完美世界小说下载

您現(xiàn)在的位置：首頁 ? 知識庫 ? 等保2.0 等保2.0

干貨丨等保2.0管理部分測評高風險匯總

發(fā)布日期：2019-12-04

網(wǎng)絡(luò)安全等級保護2.0時代，于2019年12月1日正式開始。

各企業(yè)需透徹了解等保合規(guī)要求，在等保標準的基礎(chǔ)上構(gòu)建覆蓋技術(shù)和管理的綜合防御體系，提升網(wǎng)絡(luò)安全風險治理意識，做好安全防護基礎(chǔ)工作，加強網(wǎng)絡(luò)安全防御和檢測能力，爭取順利通過等保2.0的測評“大考”。

和大家聊聊安全管理部分的高風險項。所謂高風險項，指等保測評師可以一票否決的整改項，如果不改，無論你多少分都會被定為不合格。

今年的7月14日相關(guān)部門發(fā)布了《網(wǎng)絡(luò)安全等級保護測評高風險判定指引》，是依據(jù)GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》有關(guān)條款，對測評過程中所發(fā)現(xiàn)的安全性問題進行風險判斷的指引性文件。指引內(nèi)容包括對應(yīng)要求、判例內(nèi)容、適用范圍、補償措施、整改建議等要素。

PS：需要指出的是，本指引無法涵蓋所有高風險案例，測評機構(gòu)須根據(jù)安全問題所實際面臨的風險做出客觀判斷。本指引適用于網(wǎng)絡(luò)安全等級保護測評活動、安全檢查等工作。信息系統(tǒng)建設(shè)單位亦可參考本指引描述的案例編制系統(tǒng)安全需求。

9、安全管理制度

9.1 管理制度

9.1.1 管理制度建設(shè)：

對應(yīng)要求：應(yīng)對安全管理活動中的各類管理內(nèi)容建立安全管理制度。

判例內(nèi)容：未建立任何與安全管理活動相關(guān)的管理制度或相關(guān)管理制度無法適用于當前被測系統(tǒng)的，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（任意條件）：

1、未建立任何與安全管理活動相關(guān)的管理制度。

2、相關(guān)管理制度無法適用于當前被測系統(tǒng)。

補償措施：無。

整改建議：建議按照等級保護的相關(guān)要求，建立包括總體方針、安全策略在內(nèi)的各類與安全管理活動相關(guān)的管理制度。

10、安全管理機構(gòu)

10.1 崗位設(shè)置

10.1.1 網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組建立：

對應(yīng)要求：應(yīng)成立指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)擔任或授權(quán)。

判例內(nèi)容：未成立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組，或其最高領(lǐng)導(dǎo)不是由單位主管領(lǐng)導(dǎo)委任或授權(quán)，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、未成立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組，或領(lǐng)導(dǎo)小組最高領(lǐng)導(dǎo)不是由單位主管領(lǐng)導(dǎo)委任或授權(quán)。

補償措施：無。

整改建議：建議成立指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)擔任或授權(quán)。

11、安全建設(shè)管理

11.1 產(chǎn)品采購和使用

11.1.1 網(wǎng)絡(luò)安全產(chǎn)品采購和使用：

對應(yīng)要求：應(yīng)確保網(wǎng)絡(luò)安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定。

判例內(nèi)容：網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的使用違反國家有關(guān)規(guī)定，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件：網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的使用違反國家有關(guān)規(guī)定。

補償措施：無。

整改建議：建議依據(jù)國家有關(guān)規(guī)定，采購和使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品。（《網(wǎng)絡(luò)安全法》第二十三條規(guī)定網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當按照相關(guān)國家標準的強制性要求，由具備資格的機構(gòu)安全認證合格或者安全檢測符合要求后，方可銷售或者提供。國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，并推動安全認證和安全檢測結(jié)果互認，避免重復(fù)認證、檢測）。

11.1.2 密碼產(chǎn)品與服務(wù)采購和使用：

對應(yīng)要求：應(yīng)確保密碼產(chǎn)品與服務(wù)的采購和使用符合國家密碼管理主管部門的要求。

判例內(nèi)容：密碼產(chǎn)品與服務(wù)的使用違反國家密碼管理主管部門的要求，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件：密碼產(chǎn)品與服務(wù)的使用違反國家密碼管理主管部門的要求。

補償措施：無。

整改建議：建議依據(jù)國家密碼管理主管部門的要求，使用密碼產(chǎn)品與服務(wù)。（如《商用密碼產(chǎn)品使用管理規(guī)定》等）。

11.2 外包軟件開發(fā)

11.2.1 外包開發(fā)代碼審計：

對應(yīng)要求：應(yīng)保證開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道。

判例內(nèi)容：對于涉及金融、民生、基礎(chǔ)設(shè)施等重要行業(yè)的業(yè)務(wù)核心系統(tǒng)由外包公司開發(fā)，上線前未對外包公司開發(fā)的系統(tǒng)進行源代碼審查，外包商也無法提供相關(guān)安全檢測證明，可判定為高風險。

適用范圍：涉及金融、民生、基礎(chǔ)設(shè)施等重要核心領(lǐng)域的3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、涉及金融、民生、基礎(chǔ)設(shè)施等重要行業(yè)的業(yè)務(wù)核心系統(tǒng)；

3、被測單位為對外包公司開發(fā)的系統(tǒng)進行源代碼安全審查；

4、外包公司也無法提供第三方安全檢測證明。

補償措施：

1、開發(fā)公司可提供國家認可的第三方機構(gòu)出具的源代碼安全審查報告/證明，可視為等效措施，判符合。

2、可根據(jù)系統(tǒng)的用途以及外包開發(fā)公司的開發(fā)功能的重要性，根據(jù)實際情況，酌情提高/減低風險等級。

3、如第三方可提供軟件安全性測試證明（非源碼審核），可視實際情況，酌情減低風險等級。

4、如被測方通過合同等方式與外包開發(fā)公司明確安全責任或采取相關(guān)技術(shù)手段進行防控的，可視實際情況，酌情降低風險等級。

5、如被測系統(tǒng)建成時間較長，但定期對系統(tǒng)進行安全檢測，當前管理制度中明確規(guī)定外包開發(fā)代碼審計的，可根據(jù)實際情況，酌情減低風險等級。

整改建議：建議對外包公司開發(fā)的核心系統(tǒng)進行源代碼審查，檢查是否存在后門和隱蔽信道。如沒有技術(shù)手段進行源碼審查的，可聘請第三方專業(yè)機構(gòu)對相關(guān)代碼進行安全檢測。

11.3 測試驗收

11.3.1 上線前安全測試：

對應(yīng)要求：應(yīng)進行上線前的安全性測試，并出具安全測試報告，安全測試報告應(yīng)包含密碼應(yīng)用安全性測試相關(guān)內(nèi)容。

判例內(nèi)容：系統(tǒng)上線前未通過安全性測試，或未對相關(guān)高風險問題進行安全評估仍舊“帶病”上線的，可判定為高風險。安全檢查內(nèi)容可以包括但不限于掃描滲透測試、安全功能驗證、源代碼安全審核。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、系統(tǒng)上線前未進行任何安全性測試，或未對相關(guān)高風險問題進行安全評估仍舊“帶病”上線。

補償措施：

1、如被測系統(tǒng)建成時間較長，定期對系統(tǒng)進行安全檢測，管理制度中相關(guān)的上線前安全測試要求，可根據(jù)實際情況，酌情減低風險等級。

2、如系統(tǒng)安全性方面是按照技術(shù)協(xié)議中的約定在開發(fā)過程中進行控制，并能提供相關(guān)控制的證明，可根據(jù)實際情況，酌情減低風險等級。

3、可視系統(tǒng)的重要程度，被測單位的技術(shù)實力，根據(jù)自檢和第三方檢測的情況，酌情提高/減低風險等級。

整改建議：建議在新系統(tǒng)上線前，對系統(tǒng)進行安全性評估，及時修補評估過程中發(fā)現(xiàn)的問題，確保系統(tǒng)不“帶病”上線。

12、安全運維管理

12.1 漏洞和風險管理

12.1.1 安全漏洞和隱患的識別與修補：

對應(yīng)要求：應(yīng)采取必要的措施識別安全漏洞和隱患，對發(fā)現(xiàn)的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補。

判例內(nèi)容：未對發(fā)現(xiàn)的安全漏洞和隱患及時修補，會導(dǎo)致系統(tǒng)存在較大的安全隱患，黑客有可能利用安全漏洞對系統(tǒng)實施惡意攻擊，如果安全漏洞和隱患能夠構(gòu)成高危風險，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、通過漏洞掃描，發(fā)現(xiàn)存在可被利用的高風險漏洞；

3、未對相關(guān)漏洞進行評估或修補，對系統(tǒng)安全構(gòu)成重大隱患。

補償措施：如果安全漏洞修補可能會對系統(tǒng)的正常運行造成沖突，應(yīng)對發(fā)現(xiàn)的安全漏洞和隱患進行評估，分析被利用的可能性，判斷安全風險的等級，在可接受的范圍內(nèi)進行殘余風險評估，明確風險等級，若無高危風險，可酌情降低風險。

整改建議：建議對發(fā)現(xiàn)的安全漏洞和隱患進行及時修補評估，對必須修補的安全漏洞和隱患進行加固測試，測試無誤后，備份系統(tǒng)數(shù)據(jù)，再從生產(chǎn)環(huán)境進行修補，對于剩余安全漏洞和隱患進行殘余風險分析，明確安全風險整改原則。

12.2 網(wǎng)絡(luò)和系統(tǒng)安全管理

12.2.1 重要運維操作變更管理：

對應(yīng)要求：應(yīng)嚴格控制變更性運維，經(jīng)過審批后才可改變連接、安裝系統(tǒng)組件或調(diào)整配置參數(shù)，操作過程中應(yīng)保留不可更改的審計日志，操作結(jié)束后應(yīng)同步更新配置信息庫。

判例內(nèi)容：未對運維過程中改變連接、安裝系統(tǒng)組件或調(diào)整配置參數(shù)進行變更審批，且未進行變更性測試，一旦安裝系統(tǒng)組件或調(diào)整配置參數(shù)對系統(tǒng)造成影響，有可能導(dǎo)致系統(tǒng)無法正常訪問，出現(xiàn)異常，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、未建立變更管理制度，對于重大變更性運維過程無審批流程；

3、變更過程未保留相關(guān)操作日志及備份措施，出現(xiàn)問題不發(fā)進行恢復(fù)還原。

補償措施：無。

整改建議：建議對需要作出變更性運維的動作進行審批，并對變更內(nèi)容進行測試，在測試無誤后，備份系統(tǒng)數(shù)據(jù)和參數(shù)配置，再從生產(chǎn)環(huán)境進行變更，并明確變更流程以及回退方案，變更完成后進行配置信息庫更新。

12.2.2 運維工具的管控：

對應(yīng)要求：應(yīng)嚴格控制運維工具的使用，經(jīng)過審批后才可接入進行操作，操作過程中應(yīng)保留不可更改的審計日志，操作結(jié)束后應(yīng)刪除工具中的敏感數(shù)據(jù)。

判例內(nèi)容：未對各類運維工具（特別是未商業(yè)化的運維工具）進行有效性檢查，未對運維工具的接入進行嚴格的控制和審批，運維工具中可能存在漏洞或后門，一旦被黑客利用有可能造成數(shù)據(jù)泄漏，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、未對各類運維工具（特別是未商業(yè)化的運維工具）進行有效性檢查，如病毒、漏洞掃描等；對運維工具的接入也未進行嚴格的控制和審批；操作結(jié)束后也未要求刪除可能臨時存放的敏感數(shù)據(jù)。

補償措施：

1、如使用官方正版商用化工具，或自行開發(fā)的，安全可供的運維工具，可根據(jù)實際情況，酌情降低風險等級。

2、如對于運維工具的接入有嚴格的控制措施，且有審計系統(tǒng)對相關(guān)運維操作進行審計，可根據(jù)實際情況，酌情降低風險等級。

整改建議：如果必須使用運維工具，建議使用商業(yè)化的運維工具，嚴禁運維人員私自下載第三方未商業(yè)化的運維工具。

12.2.3 運維外聯(lián)的管控：

對應(yīng)要求：應(yīng)保證所有與外部的連接均得到授權(quán)和批準，應(yīng)定期檢查違反規(guī)定無線上網(wǎng)及其他違反網(wǎng)絡(luò)安全策略的行為。

判例內(nèi)容：制度上服務(wù)器及終端與外部連接的授權(quán)和批準制度，也未定期對相關(guān)違反網(wǎng)絡(luò)安全策略的行為進行檢查，存在違規(guī)外聯(lián)的安全隱患，一旦內(nèi)網(wǎng)服務(wù)器或終端違規(guī)外聯(lián)，可能造成涉密信息（商密信息）的泄露，同時增加了感染病毒的可能性，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、管理制度上無關(guān)于外部連接的授權(quán)和審批流程，也未定期進行相關(guān)的巡檢；

3、無技術(shù)手段檢查違規(guī)上網(wǎng)及其他網(wǎng)絡(luò)安全策略的行為。

補償措施：在網(wǎng)絡(luò)部署了相關(guān)的準入控制設(shè)備，可有效控制、檢查、阻斷違規(guī)無線上網(wǎng)及其他違反網(wǎng)絡(luò)安全策略行為的情況下，如未建立相關(guān)制度，未定期進行巡檢，可酌情降低風險等級。

整改建議：建議制度上明確所有與外部連接的授權(quán)和批準制度，并定期對相關(guān)違反行為進行檢查，可采取終端管理系統(tǒng)實現(xiàn)違規(guī)外聯(lián)和違規(guī)接入，設(shè)置合理的安全策略，在出現(xiàn)違規(guī)外聯(lián)和違規(guī)接入時能第一時間進行檢測和阻斷。

12.3 惡意代碼防范管理

12.3.1 外來接入設(shè)備惡意代碼檢查：

對應(yīng)要求：應(yīng)提高所有用戶的防惡意代碼意識，對外來計算機或存儲設(shè)備接入系統(tǒng)前進行惡意代碼檢查等。

判例內(nèi)容：外來計算機或存儲設(shè)備本身可能已被感染病毒或木馬，未對其接入系統(tǒng)前進行惡意代碼檢查，可能導(dǎo)致系統(tǒng)感染病毒或木馬，對信息系統(tǒng)極大的危害，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件（同時）：

1、未在管理制度或安全培訓手冊中明確外來計算機或存儲設(shè)備接入安全操作流程；

2、外來計算機或存儲設(shè)備接入系統(tǒng)前未進行惡意代碼檢查。

補償措施：無。

整改建議：建議制定外來接入設(shè)備檢查制度，對任何外來計算機或存儲設(shè)備接入系統(tǒng)前必須經(jīng)過惡意代碼檢查，再檢查無誤后，經(jīng)過審批，設(shè)備方可接入系統(tǒng)。

12.4 變更管理

12.4.1需求變更管理：

對應(yīng)要求：應(yīng)明確變更需求，變更前根據(jù)變更需求制定變更方案，變更方案經(jīng)過評審、審批后方可實施。

判例內(nèi)容：未明確變更管理流程，未對需要變更的內(nèi)容進行分析與論證，未制定詳細的變更方案，無法明確變更的需求與必要性；變更的同時也伴隨著可能導(dǎo)致系統(tǒng)無法正常訪問的風險，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、無變更管理制度，或變更管理制度中無變更管理流程、變更內(nèi)容分析與論證、變更方案審批流程等相關(guān)內(nèi)容。

補償措施：無。

整改建議：建議系統(tǒng)的任何變更均需要管理流程，必須組織相關(guān)人員（業(yè)務(wù)部門人員與系統(tǒng)運維人員等）進行分析與論證，在確定必須變更后，制定詳細的變更方案，在經(jīng)過審批后，先對系統(tǒng)進行備份，然后在實施變更。

12.5 備份與恢復(fù)管理

12.5.1 數(shù)據(jù)備份策略：

對應(yīng)要求：應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略、備份程序和恢復(fù)程序等。

判例內(nèi)容：未明確數(shù)據(jù)備份策略和數(shù)據(jù)恢復(fù)策略，以及備份程序和恢復(fù)程序，無法實現(xiàn)重要數(shù)據(jù)的定期備份與恢復(fù)性測試，一旦系統(tǒng)出現(xiàn)故障，需要恢復(fù)數(shù)據(jù)，存在無數(shù)據(jù)可恢復(fù)的情況，或者備份的數(shù)據(jù)未經(jīng)過恢復(fù)性測試，無法確保備份的數(shù)據(jù)可用，可判定為高危風險。此外，如有相關(guān)制度，但未實施，視為制度內(nèi)容未落實，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

1、3級及以上系統(tǒng)；

2、無備份與恢復(fù)等相關(guān)的安全管理制度，或未按照相關(guān)策略落實數(shù)據(jù)備份。

補償措施：

1、未建立相關(guān)數(shù)據(jù)備份制度，但若已實施數(shù)據(jù)備份措施，且備份機制符合業(yè)務(wù)需要，可酌情降低風險等級。

2、如系統(tǒng)還未正式上線，則可檢查是否制定了相關(guān)的管理制度，目前的技術(shù)措施（如環(huán)境、存儲等）是否可以滿足制度中規(guī)定的備份恢復(fù)策略要求，可根據(jù)實際情況判斷風險等級。

整改建議：建議制定備份與恢復(fù)相關(guān)的制度，明確數(shù)據(jù)備份策略和數(shù)據(jù)恢復(fù)策略，以及備份程序和恢復(fù)程序，實現(xiàn)重要數(shù)據(jù)的定期備份與恢復(fù)性測試，保證備份數(shù)據(jù)的高可用性與可恢復(fù)性。

12.6 應(yīng)急預(yù)案管理

12.6.1 應(yīng)急預(yù)案制定：

對應(yīng)要求：應(yīng)制定重要事件的應(yīng)急預(yù)案，包括應(yīng)急處理流程、系統(tǒng)恢復(fù)流程等內(nèi)容。

判例內(nèi)容：未制定重要事件的應(yīng)急預(yù)案，未明確重要事件的應(yīng)急處理流程、系統(tǒng)恢復(fù)流程等內(nèi)容，一旦出現(xiàn)應(yīng)急事件，無法合理有序的進行應(yīng)急事件處置過程，造成應(yīng)急響應(yīng)時間增長，導(dǎo)致系統(tǒng)不能在最短的事件內(nèi)進行恢復(fù)，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件：未制定重要事件的應(yīng)急預(yù)案。

補償措施：如制定了應(yīng)急預(yù)演，但內(nèi)容不全，可根據(jù)實際情況，酌情降低風險等級。

整改建議：建議制定重要事件的應(yīng)急預(yù)案，明確重要事件的應(yīng)急處理流程、系統(tǒng)恢復(fù)流程等內(nèi)容，并對應(yīng)急預(yù)案進行演練。

12.6.2 應(yīng)急預(yù)案培訓演練：

對應(yīng)要求：應(yīng)定期對系統(tǒng)相關(guān)的人員進行應(yīng)急預(yù)案培訓，并進行應(yīng)急預(yù)案的演練。

判例內(nèi)容：未定期對相關(guān)人員進行應(yīng)急預(yù)案培訓，未根據(jù)不同的應(yīng)急預(yù)案進行應(yīng)急演練，無法提供應(yīng)急預(yù)案培訓和演練記錄，可判定為高風險。

適用范圍：3級及以上系統(tǒng)。

滿足條件：

1、3級及以上系統(tǒng)；

2、未定期對系統(tǒng)相關(guān)的人員進行應(yīng)急預(yù)案培訓；

3、未進行過應(yīng)急預(yù)案的演練。

補償措施：如系統(tǒng)還未正式上線，可根據(jù)培訓演練制度及相關(guān)培訓計劃，根據(jù)實際情況判斷風險等級。

整改建議：建議定期對相關(guān)人員進行應(yīng)急預(yù)案培訓與演練，并保留應(yīng)急預(yù)案培訓和演練記錄，使參與應(yīng)急的人員熟練掌握應(yīng)急的整個過程。

圖片來自e安教育文章，版權(quán)歸原作者

“三分技術(shù),七分管理”一直是網(wǎng)絡(luò)安全領(lǐng)域的至理名言。等級保護2.0標準中，以三級要求為例，技術(shù)部分要求共計84項，管理部分要求共計127項（占比達60%），所以安全管理一定要重視起來?。。?/span>

上一篇：等保2.0丨等級保護定級備案注意事項
下一篇：一圖讀懂等保2.0標準之工業(yè)控制系統(tǒng)

【打印此文】【關(guān)閉窗口】