No.1
網絡設備、安全設備、主機設備等
1、身份鑒別
設備弱口令
對應要求:應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換。
判例內容:網絡設備、安全設備、操作系統(tǒng)、數(shù)據庫等存在空口令或弱口令帳戶,并可通過該弱口令帳戶登錄,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件(同時):
1、存在空口令或弱口令帳戶;
2、可使用該弱口令帳戶登錄。
補償措施:
1、如采用雙因素認證等管控手段,惡意用戶使用該空/弱口令帳號無法直接登錄相關設備,可酌情降低風險等級。
2、如測評對象重要性較低,不會對整個信息系統(tǒng)安全性產生任何影響,可酌情降低風險等級。
整改建議:建議刪除或重命名默認賬戶,制定相關管理制度,規(guī)范口令的最小長度、復雜度與生存周期,并根據管理制度要求,合理配置賬戶口令策略,提高口令質量。
遠程管理防護
對應要求:當進行遠程管理時,應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。
判例內容:通過不可控網絡環(huán)境遠程管理的網絡設備、安全設備、操作系統(tǒng)、數(shù)據庫等,鑒別信息明文傳輸,容易被監(jiān)聽,造成數(shù)據泄漏,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件(同時):
1、通過不可控網絡環(huán)境遠程進行管理;
2、管理帳戶口令以明文方式傳輸;
3、使用截獲的帳號可遠程登錄。
補償措施:
1、如整個遠程管理過程中,只能使用加密傳輸通道進行鑒別信息傳輸?shù)?,可視為等效措施,判符合?/span>
2、如采用多因素身份認證、訪問地址限定、僅允許內部可控網絡進行訪問的措施時,竊聽到口令而無法直接進行遠程登錄的,可酌情降低風險等級。
3、如通過其他技術管控手段(如準入控制、桌面管理、行為管理等),降低數(shù)據竊聽隱患的,可酌情降低風險等級。
4、在有管控措施的情況下,如果默認采用加密進行管理,但同時也開啟非加密管理方式,可根據實際管理情況,酌情判斷風險等級。
5、可根據被測對象的作用以及重要程度,可根據實際情況,酌情判斷風險等級。
整改建議:建議盡可能避免通過不可控網絡對網絡設備、安全設備、操作系統(tǒng)、數(shù)據庫等進行遠程管理,如確有需要,則建議采取措施或使用加密機制(如VPN加密通道、開啟SSH、HTTPS協(xié)議等),防止鑒別信息在網絡傳輸過程中被竊聽。
雙因素認證
對應要求:應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現(xiàn)。
判例內容:重要核心設備、操作系統(tǒng)等未采用兩種或兩種以上鑒別技術對用戶身份進行鑒別。例如僅使用用戶名/口令方式進行身份驗證,削弱了管理員賬戶的安全性,無法避免賬號的未授權竊取或違規(guī)使用,可判定為高風險。
適用范圍:3級及以上系統(tǒng)。
滿足條件(同時):
1、3級及以上系統(tǒng);
2、重要核心設備、操作系統(tǒng)等通過不可控網絡環(huán)境遠程進行管理;
3、設備未啟用兩種或兩種以上鑒別技術對用戶身份進行鑒別;4級系統(tǒng)多種鑒別技術中未用到密碼技術或生物技術。
補償措施:
1、如設備通過本地登錄方式(非網絡方式)維護,本地物理環(huán)境可控,可酌情降低風險等級。
2、采用兩重用戶名/口令認證措施(兩重口令不同),例如身份認證服務器、堡壘機等手段,可酌情降低風險等級。
3、如設備所在物理環(huán)境、網絡環(huán)境安全可控,網絡竊聽、違規(guī)接入等隱患較小,口令策略和復雜度、長度符合要求的情況下,可酌情降低風險等級。
4、可根據被測對象的作用以及重要程度,根據實際情況,酌情判斷風險等級。
整改建議:建議重要核心設備、操作系統(tǒng)等增加除用戶名/口令以外的身份鑒別技術,如密碼/令牌、生物鑒別方式等,實現(xiàn)雙因子身份鑒別,增強身份鑒別的安全力度。
2、訪問控制
默認口令處理
對應要求:應重命名或刪除默認賬戶,修改默認賬戶的默認口令。
判例內容:網絡設備、安全設備、操作系統(tǒng)、數(shù)據庫等默認賬號的默認口令未修改,使用默認口令進行登錄設備,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件(同時):
1、未修改默認帳戶的默認口令;
2、可使用該默認口令賬號登錄。
補償措施:無。
整改建議:建議網絡設備、安全設備、操作系統(tǒng)、數(shù)據庫等重命名或刪除默認管理員賬戶,修改默認密碼,使其具備一定的強度,增強賬戶安全性。
3、安全審計
設備安全審計措施
對應要求:應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計。
判例內容:重要核心網絡設備、安全設備、操作系統(tǒng)、數(shù)據庫等未開啟任何審計功能,無法對重要的用戶行為和重要安全事件進行審計,也無法對事件進行溯源,可判定為高風險。
適用范圍:3級及以上系統(tǒng)。
滿足條件(同時):
1、3級及以上系統(tǒng)
2、重要核心網絡設備、安全設備、操作系統(tǒng)、數(shù)據庫等未開啟任何審計功能,無法對重要的用戶行為和重要安全事件進行審計;
3、無其他技術手段對重要的用戶行為和重要安全事件進行溯源。
補償措施:
1、如使用堡壘機或其他第三方審計工具進行日志審計,能有效記錄用戶行為和重要安全事件,可視為等效措施,判符合。
2、如通過其他技術或管理手段能對事件進行溯源的,可酌情降低風險等級。
3、如核查對象非重要核心設備,對整個信息系統(tǒng)影響有限的情況下,可酌情降低風險等級。
整改建議:建議在重要核心設備、安全設備、操作系統(tǒng)、數(shù)據庫性能允許的前提下,開啟用戶操作類和安全事件類審計策略或使用第三方日志審計工具,實現(xiàn)對相關設備操作與安全行為的全面審計記錄,保證發(fā)生安全問題時能夠及時溯源。
4、入侵防范
不必要服務處置
對應要求:應關閉不需要的系統(tǒng)服務、默認共享和高危端口。
判例內容:網絡設備、安全設備、操作系統(tǒng)等存在多余系統(tǒng)服務/默認共享/高危端口存在,且存在可被利用的高危漏洞或重大安全隱患,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件:操作系統(tǒng)上的多余系統(tǒng)服務/默認共享/高危端口存在可被利用的高風險漏洞或重大安全隱患。
補償措施:如通過其他技術手段能降低漏洞影響,可酌情降低風險等級。
整改建議:建議網絡設備、安全設備、操作系統(tǒng)等關閉不必要的服務和端口,減少后門等安全漏洞;根據自身應用需求,需要開啟共享服務的,應合理設置相關配置,如設置賬戶權限等。
管理終端管控措施
對應要求:應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制。
判例內容:通過不可控網絡環(huán)境遠程管理的網絡設備、安全設備、操作系統(tǒng)、數(shù)據庫等,未采取技術手段對管理終端進行限制,可判定為高風險。
適用范圍:3級及以上系統(tǒng)。
滿足條件(同時):
1、3級及以上系統(tǒng);
2、可通過不可控網絡環(huán)境遠程進行管理;
3、未采取技術手段對管理終端進行管控(管控措施包括但不限于終端接入管控、網絡地址范圍限制、堡壘機等)。
補償措施:如管理終端部署在運維區(qū)、可控網絡或采用多種身份鑒別方式等技術措施,可降低終端管控不善所帶來的安全風險的,可酌情降低風險等級。
整改建議:建議通過技術手段,對管理終端進行限制。
已知重大漏洞修補
對應要求:應能發(fā)現(xiàn)可能存在的已知漏洞,并在經過充分測試評估后,及時修補漏洞。
判例內容:對于一些互聯(lián)網直接能夠訪問到的網絡設備、安全設備、操作系統(tǒng)、數(shù)據庫等,如存在外界披露的重大漏洞,未及時修補更新,無需考慮是否有POC攻擊代碼,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件(同時):
1、該設備可通過互聯(lián)網訪問;
2、該設備型號、版本存在外界披露的重大安全漏洞;
3、未及時采取修補或其他有效防范措施。
補償措施:
1、如相關漏洞暴露在可控的網絡環(huán)境,可酌情降低風險等級。
2、如某網絡設備的WEB管理界面存在高風險漏洞,而該WEB管理界面只能通過特定IP或特定可控環(huán)境下才可訪問,可酌情降低風險等級。
整改建議:建議訂閱安全廠商漏洞推送或本地安裝安全軟件,及時了解漏洞動態(tài),在充分測試評估的基礎上,彌補嚴重安全漏洞。
測試發(fā)現(xiàn)漏洞修補
對應要求:應能發(fā)現(xiàn)可能存在的已知漏洞,并在經過充分測試評估后,及時修補漏洞。
判例內容:通過驗證測試或滲透測試能夠確認并利用的,可對網絡設備、安全設備、操作系統(tǒng)、數(shù)據庫等造成重大安全隱患的漏洞(包括但不限于緩沖區(qū)溢出、提權漏洞、遠程代碼執(zhí)行、嚴重邏輯缺陷、敏感數(shù)據泄露等),可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件(同時):
1、存在可被利用的高風險漏洞;
2、通過驗證測試或滲透測試確認該高風險漏洞可能對該設備造成重大安全隱患。
補償措施:只有在相關設備所在的物理、網絡、管理環(huán)境嚴格受控,發(fā)生攻擊行為可能性較小的情況下,方可酌情降低風險等級;對于互聯(lián)網可訪問到的設備,原則上不宜降低其風險等級。
整改建議:建議在充分測試的情況下,及時對設備進行補丁更新,修補已知的高風險安全漏洞;此外,還應定期對設備進行漏掃,及時處理發(fā)現(xiàn)的風險漏洞,提高設備穩(wěn)定性與安全性。
5、惡意代碼防范
操作系統(tǒng)惡意代碼防范
對應要求:應采用主動免疫可信驗證機制及時識別入侵和病毒行為,并將其有效阻斷。
判例內容:Windows操作系統(tǒng)未安裝防惡意代碼軟件,并進行統(tǒng)一管理,無法防止來自外部的惡意攻擊或系統(tǒng)漏洞帶來的危害,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件(任意條件):
1、Windows操作系統(tǒng)未安裝殺毒軟件。
2、Windows操作系統(tǒng)安裝的殺毒軟件病毒庫一月以上未更新。(可根據服務器部署環(huán)境、行業(yè)或系統(tǒng)特性縮短或延長病毒庫更新周期)
補償措施:
1、如一個月以上未更新,但有完備的補丁更新/測試計劃,且有歷史計劃執(zhí)行記錄的,可根據服務器部署環(huán)境、行業(yè)或系統(tǒng)特性酌情降低風險等級。
2、可與網絡安全部分中的入侵防范和訪問控制措施相結合來綜合評定風險,如網絡層部署了惡意代碼防范設備,可酌情降低風險等級。
3、對與外網完全物理隔離的系統(tǒng),其網絡環(huán)境、USB介質等管控措施較好,可酌情降低風險等級。
整改建議:建議操作系統(tǒng)統(tǒng)一部署防病毒軟件,或采用集成性質防病毒服務器或虛擬化底層防病毒措施,并及時更新病毒庫,抵擋外部惡意代碼攻擊。
No.2
應用系統(tǒng)
1、身份鑒別
口令策略
對應要求:應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換。
判例內容:應用系統(tǒng)無任何用戶口令復雜度校驗機制,校驗機制包括口令的長度、復雜度等,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件(同時):
1、應用系統(tǒng)無口令長度、復雜度校驗機制;
2、可設置6位以下,單個數(shù)字或連續(xù)數(shù)字或相同數(shù)字等易猜測的口令。
補償措施:
1、如應用系統(tǒng)采用多種身份鑒別認證技術的,即使有口令也無法直接登錄應用系統(tǒng)的,可酌情降低風險等級。
2、如應用系統(tǒng)僅為內部管理系統(tǒng),只能內網訪問,且訪問人員相對可控,可酌情降低風險等級。
3、如應用系統(tǒng)口令校驗機制不完善,如只有部分校驗機制,可根據實際情況,酌情降低風險等級。
4、特定應用場景中的口令(如PIN碼)可根據相關要求,酌情判斷風險等級。
整改建議:建議應用系統(tǒng)對用戶的賬戶口令長度、復雜度進行校驗,如要求系統(tǒng)賬戶口令至少8位,由數(shù)字、字母或特殊字符中2種方式組成;對于如PIN碼等特殊用途的口令,應設置弱口令庫,通過對比方式,提高用戶口令質量。
弱口令
對應要求:應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換。
判例內容:應用系統(tǒng)存在易被猜測的常用/弱口令帳戶,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件:通過滲透測試或常用/弱口令嘗試,發(fā)現(xiàn)應用系統(tǒng)中存在可被登錄弱口令帳戶。
補償措施:如該弱口令帳號為前臺自行注冊,自行修改的普通用戶帳戶,被猜測登錄后只會影響單個用戶,而不會對整個應用系統(tǒng)造成安全影響的,可酌情降低風險等級。
整改建議:建議應用系統(tǒng)通過口令長度、復雜度校驗、常用/弱口令庫比對等方式,提高應用系統(tǒng)口令質量。
登錄失敗處理
對應要求:應具有登錄失敗處理功能,應配置并啟用結束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關措施。
判例內容:可通過互聯(lián)網登錄的應用系統(tǒng)未提供任何登錄失敗處理措施,攻擊者可進行口令猜測,可判定為高風險。
適用范圍:3級及以上系統(tǒng)。
滿足條件:
1、3級及以上系統(tǒng);
2、可通過互聯(lián)網登錄,且對帳號安全性要求較高,如帳戶涉及金融、個人隱私信息、后臺管理等;
3、對連續(xù)登錄失敗無任何處理措施;
4、攻擊者可利用登錄界面進行口令猜測。
補償措施:
1、如應用系統(tǒng)采用多種身份鑒別認證技術的,可酌情降低風險等級。
2、僅通過內部網絡訪問的內部/后臺管理系統(tǒng),如訪問人員相對可控,可酌情降低風險等級。
3、如登錄頁面采用圖像驗證碼等技術可在一定程度上提高自動化手段進行口令暴力破解難度的,可酌情降低風險等級。
4、可根據登錄帳戶的重要程度、影響程度,可酌情判斷風險等級。但如果登錄帳戶涉及到金融行業(yè)、個人隱私信息、信息發(fā)布、后臺管理等,不宜降低風險等級。
整改建議:建議應用系統(tǒng)提供登錄失敗處理功能(如帳戶鎖定、多重認證等),防止攻擊者進行口令暴力破解。
雙因素認證
對應要求:應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現(xiàn)。
判例內容:通過互聯(lián)網方式訪問,且涉及大額資金交易、核心業(yè)務等操作的系統(tǒng),在進行重要操作前應采用兩種或兩種以上方式進行身份鑒別,如只采用一種驗證方式進行鑒別,可判定為高風險。
適用范圍:3級及以上系統(tǒng)。
滿足條件(同時):
1、3級及以上系統(tǒng);
2、通過互聯(lián)網方式訪問的系統(tǒng),在進行涉及大額資金交易、核心業(yè)務等重要操作前未啟用兩種或兩種以上鑒別技術對用戶身份進行鑒別;4級系統(tǒng)多種鑒別技術中未用到密碼技術或生物技術。
補償措施:
1、采用兩重用戶名/口令認證措施,且兩重口令不可相同等情況,可酌情降低風險等級。
2、如應用服務訪問的網絡環(huán)境安全可控,網絡竊聽、違規(guī)接入等隱患較小,口令策略和復雜度、長度符合要求的情況下,可酌情降低風險等級。
3、在完成重要操作前的不同階段兩次或兩次以上使用不同的方式進行身份鑒別,可根據實際情況,酌情降低風險等級。
4、涉及到主管部門認可的業(yè)務形態(tài),例如快捷支付、小額免密支付等,可酌情降低風險等級。
5、可根據被測對象中用戶的作用以及重要程度,在口令策略和復雜度、長度符合要求的情況下,可根據實際情況,酌情判斷風險等級。
6、系統(tǒng)用戶群體為互聯(lián)網用戶,且冒名登錄、操作不會對系統(tǒng)或個人造成重大惡劣影響或經濟損失的,可酌情判斷風險等級。
整改建議:建議應用系統(tǒng)增加除用戶名/口令以外的身份鑒別技術,如密碼/令牌、生物鑒別方式等,實現(xiàn)雙因子身份鑒別,增強身份鑒別的安全力度。
2、訪問控制
登錄用戶權限控制
對應要求:應對登錄的用戶分配賬戶和權限。
判例內容:應用系統(tǒng)訪問控制功能存在缺失,無法按照設計策略控制用戶對系統(tǒng)功能、數(shù)據的訪問;可通過直接訪問URL等方式,在不登錄系統(tǒng)的情況下,非授權訪問系統(tǒng)功能模塊,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件:可通過直接訪問URL等方式,在不登錄系統(tǒng)的情況下,非授權訪問系統(tǒng)重要功能模塊。
補償措施:
1、如應用系統(tǒng)部署在可控網絡,有其他防護措施能限制、監(jiān)控用戶行為的,可酌情降低風險等級。
2、可根據非授權訪問模塊的重要程度、越權訪問的難度,酌情提高/減低風險等級。
整改建議:建議完善訪問控制措施,對系統(tǒng)重要頁面、功能模塊進行訪問控制,確保應用系統(tǒng)不存在訪問控制失效情況。
默認口令處理
對應要求:應重命名或刪除默認賬戶,修改默認賬戶的默認口令。
判例內容:應用系統(tǒng)默認賬號的默認口令未修改,可利用該默認口令登錄系統(tǒng),可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件(同時):
1、未修改默認帳戶的默認口令;
2、可使用該默認口令賬號登錄。
補償措施:無。
整改建議:建議應用系統(tǒng)重命名或刪除默認管理員賬戶,修改默認密碼,使其具備一定的強度,增強賬戶安全性。
訪問控制策略
對應要求:應由授權主體配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問規(guī)則。
判例內容:應用系統(tǒng)訪問控制策略存在缺陷,可越權訪問系統(tǒng)功能模塊或查看、操作其他用戶的數(shù)據。如存在平行權限漏洞,低權限用戶越權訪問高權限功能模塊等,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件:系統(tǒng)訪問控制策略存在缺陷,可越權訪問系統(tǒng)功能模塊或查看、操作其他用戶的數(shù)據。如存在平行權限漏洞,低權限用戶越權訪問高權限功能模塊等。
補償措施:
1、如應用系統(tǒng)部署在可控網絡,有其他防護措施能限制、監(jiān)控用戶行為的,可酌情降低風險等級。
2、可根據非授權訪問模塊的重要程度、越權訪問的難度,酌情提高/減低風險等級。
整改建議:建議完善訪問控制措施,對系統(tǒng)重要頁面、功能模塊進行重新進行身份、權限鑒別,確保應用系統(tǒng)不存在訪問控制失效情況。
3、安全審計
安全審計措施
對應要求:應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計。
判例內容:應用系統(tǒng)(包括前端系統(tǒng)和后臺管理系統(tǒng))無任何日志審計功能,無法對用戶的重要行為進行審計,也無法對事件進行溯源,可判定為高風險。
適用范圍:3級及以上系統(tǒng)。
滿足條件(同時):
1、3級及以上系統(tǒng)
2、應用系統(tǒng)無任何日志審計功能,無法對用戶的重要行為進行審計;
3、無其他技術手段對重要的用戶行為和重要安全事件進行溯源。
補償措施:
1、如有其他技術手段對重要的用戶行為進行審計、溯源,可酌情降低風險等級。
2、如審計記錄不全或審計記錄有記錄,但無直觀展示,可根據實際情況,酌情降低風險等級。
整改建議:建議應用系統(tǒng)完善審計模塊,對重要用戶操作、行為進行日志審計,審計范圍不僅針對前端用戶的操作、行為,也包括后臺管理員的重要操作。
4、入侵防范
數(shù)據有效性檢驗功能
對應要求:應提供數(shù)據有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的內容符合系統(tǒng)設定要求。
判例內容:由于校驗機制缺失導致的應用系統(tǒng)存在如SQL注入、跨站腳本、上傳漏洞等高風險漏洞,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件:
1、應用系統(tǒng)存在如SQL注入、跨站腳本、上傳漏洞等可能導致敏感數(shù)據泄露、網頁篡改、服務器被入侵等安全事件的發(fā)生,造成嚴重后果的高風險漏洞;
2、無其他技術手段對該漏洞進行防范。
補償措施:
1、如應用系統(tǒng)存在SQL注入、跨站腳本等高風險漏洞,但是系統(tǒng)部署了WAF、云盾等應用防護產品,在防護體系下無法成功利用,可酌情降低風險等級。
2、不與互聯(lián)網交互的內網系統(tǒng),可根據系統(tǒng)重要程度、漏洞危害情況等,酌情判斷風險等級。
整改建議:建議通過修改代碼的方式,對數(shù)據有效性進行校驗,提交應用系統(tǒng)的安全性,防止相關漏洞的出現(xiàn)。
已知重大漏洞修補
對應要求:應能發(fā)現(xiàn)可能存在的已知漏洞,并在經過充分測試評估后,及時修補漏洞。
判例內容:應用系統(tǒng)所使用的環(huán)境、框架、組件等存在可被利用的高風險漏洞,導致敏感數(shù)據泄露、網頁篡改、服務器被入侵等安全事件的發(fā)生,可能造成嚴重后果的,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件(同時):
1、應用系統(tǒng)所使用的環(huán)境、框架、組件等存在可被利用的,可能導致敏感數(shù)據泄露、網頁篡改、服務器被入侵等安全事件的發(fā)生,造成嚴重后果的高風險漏洞;
2、無其他有效技術手段對該漏洞進行防范。
補償措施:
1、如應用系統(tǒng)使用的環(huán)境、框架、組件等存在高風險漏洞,但是系統(tǒng)部署了WAF、云盾等應用防護產品,在防護體系下無法成功利用,可酌情降低風險等級。
2、不與互聯(lián)網交互的內網系統(tǒng),可通過分析內網環(huán)境對相關漏洞的影響、危害以及利用難度,酌情提高/降低風險等級。
整改建議:建議定期對應用系統(tǒng)進行漏洞掃描,對可能存在的已知漏洞,在重復測試評估后及時進行修補,降低安全隱患。
測試發(fā)現(xiàn)漏洞修補
對應要求:應能發(fā)現(xiàn)可能存在的已知漏洞,并在經過充分測試評估后,及時修補漏洞。
判例內容:如應用系統(tǒng)的業(yè)務功能(如密碼找回功能等)存在高風險安全漏洞或嚴重邏輯缺陷,可能導致修改任意用戶密碼、繞過安全驗證機制非授權訪問等情況,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件:通過測試,發(fā)現(xiàn)應用系統(tǒng)的業(yè)務功能(如密碼找回功能等)存在高風險安全漏洞或嚴重邏輯缺陷,可能導致修改任意用戶密碼、繞過安全驗證機制非授權訪問等情況。
補償措施:無。
整改建議:建議通過修改應用程序的方式對發(fā)現(xiàn)的高風險/嚴重邏輯缺陷進行修補,避免出現(xiàn)安全隱患。
5、數(shù)據完整性
傳輸完整性保護
對應要求:應采用密碼技術保證重要數(shù)據在傳輸過程中的完整性,包括但不限于鑒別數(shù)據、重要業(yè)務數(shù)據、重要審計數(shù)據、重要配置數(shù)據、重要視頻數(shù)據和重要個人信息等。
判例內容:對傳輸完整性要求較高的系統(tǒng),如未采取任何措施保障重要數(shù)據傳輸完整性,重要數(shù)據在傳輸過程中被篡改可能造成嚴重后果的,可判定為高風險。
適用范圍:對數(shù)據傳輸完整性要求較高的3級及以上系統(tǒng)。
滿足條件(同時):
1、3級及以上系統(tǒng);
2、未對傳輸?shù)闹匾獢?shù)據進行完整性保護;
3、通過中間人劫持等攻擊技術修改傳輸數(shù)據,可能對系統(tǒng)造成重大安全影響。
補償措施:
1、如通過技術手段確保無法對傳輸數(shù)據進行修改,可酌情降低風險等級。
2、可根據傳輸數(shù)據的重要程度、傳輸數(shù)據篡改的難度、篡改后造成的影響等情況,酌情提高/降低風險等級。
整改建議:建議在應用層通過密碼技術確保傳輸數(shù)據的完整性,并在服務器端對數(shù)據有效性進行校驗,確保只處理未經修改的數(shù)據。
6、數(shù)據保密性
傳輸保密性保護
對應要求:應采用密碼技術保證重要數(shù)據在傳輸過程中的保密性,包括但不限于鑒別數(shù)據、重要業(yè)務數(shù)據和重要個人信息等。
判例內容:用戶鑒別信息、公民敏感信息數(shù)據或重要業(yè)務數(shù)據等以明文方式在不可控網絡中傳輸,可判定為高風險。
適用范圍:3級及以上系統(tǒng)。
滿足條件(同時):
1、3級及以上系統(tǒng);
2、用戶身份認證信息、個人敏感信息數(shù)據或重要業(yè)務數(shù)據等以明文方式在不可控網絡中傳輸。
補償措施:
1、如使用網絡加密的技術確保數(shù)據在加密通道中傳輸,可根據實際情況,視為等效措施,判為符合。
2、如敏感信息在可控網絡中傳輸,網絡竊聽等風險較低,可酌情降低風險等級。
整改建議:建議采用密碼技術確保重要數(shù)據在傳輸過程中的保密性。
存儲保密性保護
對應要求:應采用密碼技術保證重要數(shù)據在存儲過程中的保密性,包括但不限于鑒別數(shù)據、重要業(yè)務數(shù)據和重要個人信息等。
判例內容:用戶身份認證信息、個人敏感信息數(shù)據、重要業(yè)務數(shù)據、行業(yè)主管部門定義的非明文存儲類數(shù)據等以明文方式存儲,且無其他有效保護措施,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件(同時):
1、用戶身份認證信息、個人敏感信息數(shù)據、重要業(yè)務數(shù)據、行業(yè)主管部門定義的非明文存儲類數(shù)據等以明文方式存儲;
2、無其他有效數(shù)據保護措施。
補償措施:如采取區(qū)域隔離、部署數(shù)據庫安全審計等安全防護措施的,可通過分析造成信息泄露的難度和影響程度,酌情降低風險等級。
整改建議:采用密碼技術保證重要數(shù)據在存儲過程中的保密性。
7、數(shù)據備份恢復
數(shù)據備份措施
對應要求:應提供重要數(shù)據的本地數(shù)據備份與恢復功能。
判例內容:應用系統(tǒng)未提供任何數(shù)據備份措施,一旦遭受數(shù)據破壞,無法進行數(shù)據恢復的,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件:應用系統(tǒng)未提供任何數(shù)據備份措施,一旦遭受數(shù)據破壞,無法進行數(shù)據恢復。
補償措施:無。
整改建議:建議建立備份恢復機制,定期對重要數(shù)據進行備份以及恢復測試,確保在出現(xiàn)數(shù)據破壞時,可利用備份數(shù)據進行恢復。
異地備份措施
對應要求:應提供異地實時備份功能,利用通信網絡將重要數(shù)據實時備份至備份場地。
判例內容:對系統(tǒng)、數(shù)據容災要求較高的系統(tǒng),如金融、醫(yī)療衛(wèi)生、社會保障等行業(yè)系統(tǒng),如無異地數(shù)據災備措施,或異地備份機制無法滿足業(yè)務需要,可判定為高風險。
適用范圍:對系統(tǒng)、數(shù)據容災要求較高的3級及以上系統(tǒng)。
滿足條件(同時):
1、3級及以上系統(tǒng);
2、對容災要求較高的系統(tǒng);
3、系統(tǒng)無異地數(shù)據備份措施,或異地備份機制無法滿足業(yè)務需要。
補償措施:
1、一般來說同城異地機房直接距離不低于為30公里,跨省市異地機房直線距離不低于100公里,如距離上不達標,可酌情降低風險等級。
2、系統(tǒng)數(shù)據備份機制存在一定時間差,若被測單位評估可接受時間差內數(shù)據丟失,可酌情降低風險等級。
3、可根據系統(tǒng)容災要求及行業(yè)主管部門相關要求,根據實際情況酌情提高/減低風險等級。
整改建議:建議設置異地災備機房,并利用通信網絡將重要數(shù)據實時備份至備份場地。
數(shù)據處理冗余措施
對應要求:應提供重要數(shù)據處理系統(tǒng)的熱冗余,保證系統(tǒng)的高可用性。
判例內容:對數(shù)據處理可用性要求較高系統(tǒng)(如金融行業(yè)系統(tǒng)、競拍系統(tǒng)、大數(shù)據平臺等),應采用熱冗余技術提高系統(tǒng)的可用性,若核心處理節(jié)點(如服務器、DB等)存在單點故障,可判定為高風險。
適用范圍:對數(shù)據處理可用性要求較高的3級及以上系統(tǒng)。
滿足條件(同時):
1、3級及以上系統(tǒng);
2、對數(shù)據處理可用性要求較高系統(tǒng);
3、處理重要數(shù)據的設備(如服務器、DB等)未采用熱冗余技術,發(fā)生故障可能導致系統(tǒng)停止運行。
補償措施:如當前采取的恢復手段,能夠確保被測單位評估的RTO在可接受范圍內,可根據實際情況酌情降低風險等級。
整改建議:建議對重要數(shù)據處理系統(tǒng)采用熱冗余技術,提高系統(tǒng)的可用性。
異地災難備份中心
對應要求:應建立異地災難備份中心,提供業(yè)務應用的實時切換。
判例內容:對容災、可用性要求較高的系統(tǒng),如金融行業(yè)系統(tǒng),如未設立異地應用級容災中心,或異地應用級容災中心無法實現(xiàn)業(yè)務切換,可判定為高風險。
適用范圍:對容災、可用性要求較高的4級系統(tǒng)。
滿足條件(同時):
1、4級系統(tǒng);
2、對容災、可用性要求較高的系統(tǒng);
3、未設立異地應用級容災中心,或異地應用級容災中心無法實現(xiàn)業(yè)務切換。
補償措施:如當前采取的恢復手段,能夠確保被測單位評估的RTO在可接受范圍內,可根據實際情況酌情降低風險等級。
整改建議:建議對重要數(shù)據處理系統(tǒng)采用熱冗余技術,提高系統(tǒng)的可用性。
8、剩余信息保護
鑒別信息釋放措施
對應要求:應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除。
判例內容:身份鑒別信息釋放或清除機制存在缺陷,如在正常進行釋放或清除身份鑒別信息操作后,仍可非授權訪問系統(tǒng)資源或進行操作,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件(同時):
1、身份鑒別信息釋放或清除機制存在缺陷;
2、利用剩余鑒別信息,可非授權訪問系統(tǒng)資源或進行操作。
補償措施:無。
整改建議:建議完善鑒別信息釋放/清除機制,確保在執(zhí)行釋放/清除相關操作后,鑒別信息得到完全釋放/清除。
敏感數(shù)據釋放措施
對應要求:應保證存有敏感數(shù)據的存儲空間被釋放或重新分配前得到完全清除。
判例內容:身份鑒別信息釋放或清除機制存在缺陷,如在正常進行釋放或清除身份鑒別信息操作后,仍可非授權訪問系統(tǒng)資源或進行操作,可判定為高風險。
適用范圍:3級及以上系統(tǒng)。
滿足條件(同時):
1、3級及以上系統(tǒng);
2、敏感數(shù)據釋放或清除機制存在缺陷;
3、利用剩余信息,可非授權獲得相關敏感數(shù)據。
補償措施:如因特殊業(yè)務需要,需要在存儲空間保留敏感數(shù)據,相關敏感數(shù)據進行了有效加密/脫敏處理的,且有必要的提示信息,可根據實際情況,酌情降低風險等級。
整改建議:建議完善敏感數(shù)據釋放/清除機制,確保在執(zhí)行釋放/清除相關操作后,敏感數(shù)據得到完全釋放/清除。
9、個人信息保護
個人信息采集、存儲
對應要求:應僅采集和保存業(yè)務必需的用戶個人信息。
判例內容:在采集和保存用戶個人信息時,應通過正式渠道獲得用戶同意、授權,如在未授權情況下,采取、存儲用戶個人隱私信息,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件(任意條件):
1、在未授權情況下,采取、存儲用戶個人隱私信息,無論該信息是否是業(yè)務需要。
2、采集、保存法律法規(guī)、主管部門嚴令禁止采集、保存的用戶隱私信息。
補償措施:如在用戶同意、授權的情況下,采集和保存業(yè)務非必需的用戶個人信息,可根據實際情況,酌情提高/降低風險等級。
整改建議:建議通過官方正式渠道向用戶表明采集信息的內容、用途以及相關的安全責任,并在用戶同意、授權的情況下采集、保存業(yè)務必需的用戶個人信息。
個人信息訪問、使用
對應要求:應禁止未授權訪問和非法使用用戶個人信息。
判例內容:未授權訪問和非法使用個人信息,如在未授權情況下將用戶信息提交給第三方處理,未脫敏的情況下用于其他業(yè)務用途,未嚴格控制個人信息查詢以及導出權限,非法買賣、泄露用戶個人信息等,可判定為高風險。
適用范圍:所有系統(tǒng)。
滿足條件(任意條件):
1、在未授權情況下將用戶個人信息共享給其他公司、機構、個人(國家、法律規(guī)定的公安、司法機構除外)。
2、未脫敏的情況下用于其他非核心業(yè)務系統(tǒng)或測試環(huán)境等。
3、未嚴格控制個人信息查詢以及導出權限。
4、非法買賣、泄露用戶個人信息。
補償措施:如互聯(lián)網系統(tǒng)在收集用戶的個人敏感信息前,數(shù)據收集方明確數(shù)據的用途,可能涉及使用數(shù)據的單位、機構,權責清晰,并根據各自職責與用戶簽訂個人信息保密協(xié)議和個人信息收集聲明許可協(xié)議的,可根據實際情況酌情提降低風險等級。
整改建議:建議通過官方正式渠道向用戶表明采集信息的內容、用途以及相關的安全責任,并在用戶同意、授權的情況下采集、保存業(yè)務必需的用戶個人信息,通過技術和管理手段,防止未授權訪問和非法使用。
(本文屬知識庫及科普性質,資料來源互聯(lián)網,版權歸原作者所有)