網絡安全等級保護測評高風險判定指引

信息安全測評聯盟2019年6月

目錄TOC\o"1-4"\h\z\u1 適用范圍 12 術語和定義 13 參考依據 24 安全物理環境 2 物理訪問控制 2 防盜竊和防破壞 3 防火 4 溫濕度控制 5 電力供應 5 電磁防護 75 安全通信網絡 8 網絡架構 8 通信傳輸 136 安全區域邊界 14 邊界防護 14 訪問控制 19 入侵防范 20 惡意代碼和垃圾郵件防范 22 安全審計 237 安全計算環境 24 網絡設備、安全設備、主機設備等 24 身份鑒別 24 訪問控制 27 安全審計 28 入侵防范 29 惡意代碼防范 32 應用系統 33 身份鑒別 33 訪問控制 37 安全審計 39 入侵防范 40 數據完整性 43 數據保密性 44 數據備份恢復 45 剩余信息保護 48 個人信息保護 498 安全區域邊界 51 集中管控 519 安全管理制度 53 管理制度 5310 安全管理機構 54 崗位設置 5411 安全建設管理 55 產品采購和使用 55 外包軟件開發 56 測試驗收 5712 安全運維管理 58 漏洞和風險管理 58 網絡和系統安全管理 59 惡意代碼防范管理 62 變更管理 63 備份與恢復管理 64 應急預案管理 65附件基本要求與判例對應表 67網絡安全等級保護測評高風險判定指引適用范圍本指引是依據GB/T22239-2019《信息安全技術網絡安全等級保護基本要求》有關條款，對測評過程中所發現的安全性問題進行風險判斷的指引性文件。指引內容包括對應要求、判例內容、適用范圍、補償措施、整改建議等要素。需要指出的是，本指引無法涵蓋所有高風險案例，測評機構須根據安全問題所實際面臨的風險做出客觀判斷。本指引適用于網絡安全等級保護測評活動、安全檢查等工作。信息系統建設單位亦可參考本指引描述的案例編制系統安全需求。術語和定義可用性要求較高的系統指出現短時故障無法提供服務，可能對社會秩序、公共利益等造成嚴重損害的系統，即可用性級別大于等于%，年度停機時間小于等于小時的系統；一般包括但不限于銀行、證券、非金融支付機構、互聯網金融等交易類系統，提供公共服務的民生類系統、工業控制類系統等。核心網絡設備指部署在核心網絡節點的關鍵設備，一般包括但不限于核心交換機、核心路由器、核心邊界防火墻等。數據傳輸完整性要求較高的系統指數據在傳輸過程中遭受惡意破壞或篡改，可能造成較大的財產損失，或造成嚴重破壞的系統，一般包括但不限于銀行、證券、非金融支付機構、互聯網金融等交易類系統等。不可控網絡環境指互聯網、公共網絡環境、內部辦公環境等無管控措施，可能存在惡意攻擊、數據竊聽等安全隱患的網絡環境。可被利用的漏洞指可被攻擊者用來進行網絡攻擊，可造成嚴重后果的漏洞，一般包括但不限于緩沖區溢出、提權漏洞、遠程代碼執行、嚴重邏輯缺陷、敏感數據泄露等。參考依據GB/T22239-2019信息安全技術網絡安全等級保護基本要求GB/T28448-2019信息安全技術網絡安全等級保護測評要求GB/T25069-2010信息安全技術術語安全物理環境物理訪問控制機房出入口控制措施對應要求：機房出入口應配置電子門禁系統，控制、鑒別和記錄進入的人員。判例內容：機房出入口區域無任何訪問控制措施，機房無電子或機械門鎖，機房入口也無專人值守；辦公或外來人員可隨意進出機房，無任何管控、監控措施，存在較大安全隱患，可判高風險。適用范圍：所有系統。滿足條件（同時）：1、機房出入口區域無任何訪問控制措施；2、機房無電子或機械門鎖，機房入口也無專人值守；3、辦公或外來人員可隨意進出機房，無任何管控、監控措施。補償措施：如機房無電子門禁系統，但有其他防護措施，如機房出入配備24小時專人值守，采用攝像頭實時監控等，可酌情降低風險等級。整改建議：機房出入口配備電子門禁系統，通過電子門禁鑒別、記錄進入的人員信息。防盜竊和防破壞機房防盜措施對應要求：應設置機房防盜報警系統或設置有專人值守的視頻監控系統。判例內容：機房無防盜報警系統，也未設置有專人值守的視頻監控系統，出現盜竊事件無法進行告警、追溯的，可判高風險。適用范圍：3級及以上系統。滿足條件（同時）：1、3級及以上系統所在機房；2、機房無防盜報警系統；3、未設置有專人值守的視頻監控系統；4、機房環境不可控；5、如發生盜竊事件無法進行告警、追溯。補償措施：如果機房有專人24小時值守，并且能對進出人員進出物品進行登記的（如部分IDC機房有要求設備進出需單登記），可酌情降低風險等級。整改建議：建議機房部署防盜報警系統或設置有專人值守的視頻監控系統，如發生盜竊事件可及時告警或進行追溯，確保機房環境的安全可控。防火機房防火措施對應要求：機房應設置火災自動消防系統，能夠自動檢測火情、自動報警，并自動滅火。判例內容：機房內無防火措施（既無自動滅火，也無手持滅火器/或手持滅火器藥劑已過期），一旦發生火情，無任何消防處置措施，可判高風險。適用范圍：所有系統。滿足條件（同時）：機房內無任何防火措施（既無自動滅火，也無手持滅火器/或手持滅火器藥劑已過期）。補償措施：無。整改建議：建議機房設置火災自動消防系統，能夠自動檢測火情、自動報警，并自動滅火，相關消防設備如滅火器等應定級檢查，確保防火措施有效。溫濕度控制機房溫濕度控制措施對應要求：應設置溫濕度自動調節設施，使機房溫濕度的變化在設備運行所允許的范圍之內。判例內容：機房無有效的溫濕度控制措施，或溫濕度長期高于或低于設備允許的溫濕度范圍，可能加速設備損害，提高設備的故障率，對設備的正常運行帶來安全隱患，可判高風險。適用范圍：所有系統。滿足條件（同時）：1、機房無溫濕度調節措施；2、機房溫濕度長期處于設備運運行的范圍之外。補償措施：對于一些特殊自然條件或特殊用途的系統，可酌情降低風險等級。整改建議：建議機房設置溫、濕度自動調節設備，確保機房溫、濕度的變化在設備運行所允許的范圍之內。電力供應機房短期的備用電力供應措施對應要求：應提供短期的備用電力供應，至少滿足設備在斷電情況下的正常運行要求。判例內容：對于可用性要求較高的系統，如銀行、證券等交易類系統，提供公共服務的民生類系統、工控類系統等，機房未配備短期備用電力供應設備（如UPS）或配備的設備無法在短時間內滿足斷電情況下的正常運行要求的，可判高風險。適用范圍：對可用性要求較高的3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、系統可用性要求較高；3、無法提供短期備用電力供應或備用電力供應無法滿足系統短期正常運行。補償措施：如機房配備多路供電，且供電方同時斷電概率較低的情況下，可酌情降低風險等級。整改建議：建議配備容量合理的后備電源，并定期對UPS進行巡檢，確保在在外部電力供應中斷的情況下，備用供電設備能滿足系統短期正常運行。機房電力線路冗余措施對應要求：應設置冗余或并行的電力電纜線路為計算機系統供電。判例內容：機房未配備冗余或并行電力線路供電來自于同一變電站，可判高風險。適用范圍：對可用性要求較高的3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、系統可用性要求較高；3、機房未配備冗余或并行電力線路供電來自于同一變電站。補償措施：如機房配備大容量UPS，且足夠保障斷電情況下，一定時間內系統可正常運行或保障數據存儲完整的，可酌情降低風險等級。整改建議：建議配備冗余或并行的電力線路，電力線路應來自于不同的變電站；對于可用性要求較高的系統（4級系統），建議變電站來自于不同的市電。機房應急供電措施對應要求：應提供應急供電設施。判例內容：系統所在的機房必須配備應急供電措施，如未配備，或應急供電措施無法使用，可判高風險。適用范圍：4級系統。滿足條件（同時）：1、4級系統；2、機房未配備應急供電措施，或應急供電措施不可用/無法滿足系統正常允許需求。補償措施：如果系統采用多數據中心方式部署，且通過技術手段能夠實現應用級災備，一定程度上可降低單一機房發生故障所帶來的可用性方面影響，可酌情降低風險等級。整改建議：建議配備應急供電設施，如備用發電設備。電磁防護機房電磁防護措施對應要求：應對關鍵設備或關鍵區域實施電磁屏蔽。判例內容：對于涉及大量核心數據的系統，如機房或關鍵設備所在的機柜未采取電磁屏蔽措施，可判高風險。適用范圍：對于數據防泄漏要求較高的4級系統。滿足條件（同時）：1、4級系統；2、系統存儲數據敏感性較高，有較高的保密性需求；3、機房環境復雜，有電磁泄露的風險。補償措施：如該4級系統涉及的信息對保密性要求不高，或者機房環境相對可控，可酌情降低風險等級。整改建議：建議機房或重要設備或重要設備所在的機柜采用電磁屏蔽技術，且相關產品或技術獲得相關檢測認證資質的證明。安全通信網絡網絡架構網絡設備業務處理能力對應要求：應保證網絡設備的業務處理能力滿足業務高峰期需要。判例內容：對可用性要求較高的系統，網絡設備的業務處理能力不足，高峰時可能導致設備宕機或服務中斷，影響金融秩序或引發群體事件，若無任何技術應對措施，可判定為高風險。適用范圍：對可用性要求較高的3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、系統可用性要求較高；3、核心網絡設備性能無法滿足高峰期需求，存在業務中斷隱患，如業務高峰期，核心設備性能指標平均達到80%以上。補償措施：針對設備宕機或服務中斷制定了應急預案并落實執行，可酌情降低風險等級。整改建議：建議更換性能滿足業務高峰期需要的設備，并合理預計業務增長，制定合適的擴容計劃。網絡區域劃分對應要求：應劃分不同的網絡區域，并按照方便管理和控制的原則為各網絡區域分配地址。判例內容：應按照不同網絡的功能、重要程度進行網絡區域劃分，如存在重要區域與非重要網絡在同一子網或網段的，可判定為高風險。適用范圍：所有系統。滿足條件（任意條件）：1、涉及資金類交易的支付類系統與辦公網同一網段；2、面向互聯網提供服務的系統與內部系統同一網段；3、重要核心網絡區域與非重要網絡在同一網段。補償措施：無。整改建議：建議根據各工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的網絡區域，并做好各區域之間的訪問控制措施。網絡訪問控制設備不可控對應要求：應避免將重要網絡區域部署在邊界處，重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段。判例內容：互聯網邊界訪問控制設備無管理權限，且無其他邊界防護措施的，難以保證邊界防護的有效性，也無法根據業務需要或所發生的安全事件及時調整訪問控制策略，可判定為高風險。適用范圍：所有系統。滿足條件（同時）：1、互聯網邊界訪問控制設備無管理權限；2、無其他任何有效訪問控制措施；3、無法根據業務需要或所發生的安全事件及時調整訪問控制策略。補償措施：無。整改建議：建議部署自有的邊界訪問控制設備或租用有管理權限的邊界訪問控制設備，且對相關設備進行合理配置?；ヂ摼W邊界訪問控制對應要求：應避免將重要網絡區域部署在邊界處，重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段。判例內容：互聯網出口無任何訪問控制措施，或訪問控制措施配置失效，存在較大安全隱患，可判定為高風險。適用范圍：所有系統。滿足條件（任意條件）：1、互聯網出口無任何訪問控制措施。2、互聯網出口訪問控制措施配置不當，存在較大安全隱患。3、互聯網出口訪問控制措施配置失效，無法起到相關控制功能。補償措施：邊界訪問控制設備不一定一定要是防火墻，只要是能實現相關的訪問控制功能，形態為專用設備，且有相關功能能夠提供相應的檢測報告，可視為等效措施，判符合。如通過路由器、交換機或者帶ACL功能的負載均衡器等設備實現，可根據系統重要程度，設備性能壓力等因素，酌情判定風險等級。整改建議：建議在互聯網出口部署專用的訪問控制設備，并合理配置相關控制策略，確保控制措施有效。不同區域邊界訪問控制對應要求：應避免將重要網絡區域部署在邊界處，重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段。判例內容：辦公網與生產網之間無訪問控制措施，辦公環境任意網絡接入均可對核心生產服務器和網絡設備進行管理，可判定為高風險。適用范圍：所有系統。滿足條件（同時）：1、辦公網與生產網之間無訪問控制措施；2、辦公環境任意網絡接入均可對核心生產服務器和網絡設備進行管理。補償措施：邊界訪問控制設備不一定一定要是防火墻，只要是能實現相關的訪問控制功能，形態為專用設備，且有相關功能能夠提供相應的檢測報告，可視為等效措施，判符合。如通過路由器、交換機或者帶ACL功能的負載均衡器等設備實現，可根據系統重要程度，設備性能壓力等因素，酌情判定風險等級。整改建議：建議不同網絡區域間應部署訪問控制設備，并合理配置訪問控制策略，確保控制措施有效。關鍵線路、設備冗余對應要求：應提供通信線路、關鍵網絡設備和關鍵計算設備的硬件冗余，保證系統的可用性。判例內容：對可用性要求較高的系統，若網絡鏈路為單鏈路，核心網絡節點、核心網絡設備或關鍵計算設備無冗余設計，一旦出現故障，可能導致業務中斷，可判定為高風險。適用范圍：對可用性要求較高的3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、系統可用性要求較高；3、關鍵鏈路、核心網絡設備或關鍵計算設備無任何無冗余措施，存在單點故障。補償措施：1、如系統采取多數據中心部署，或有應用級災備環境，能在生產環境出現故障情況下提供服務的，可酌情降低風險等級。2、對于系統可用性要求不高的其他3級系統，如無冗余措施，可酌情降低風險等級。3、如核心安全設備采用并聯方式部署，對安全防護能力有影響，但不會形成單點故障，也不會造成重大安全隱患的，可酌情降低風險等級。整改建議：建議關鍵網絡鏈路、核心網絡設備、關鍵計算設備采用冗余設計和部署（如采用熱備、負載均衡等部署方式），保證系統的高可用性。通信傳輸傳輸完整性保護對應要求：應采用密碼技術保證通信過程中數據的完整性。判例內容：對數據傳輸完整性要求較高的系統，數據在網絡層傳輸無完整性保護措施，一旦數據遭到篡改，可能造成財產損失的，可判定為高風險。適用范圍：對數據傳輸完整性要求較高的3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、系統數據傳輸完整性要求較高；3、數據在網絡層傳輸無任何完整性保護措施。補償措施：如應用層提供完整性校驗等措施，或采用可信網絡傳輸，可酌情降低風險等級。整改建議：建議采用校驗技術或密碼技術保證通信過程中數據的完整性。傳輸保密性保護對應要求：應采用密碼技術保證通信過程中數據的保密性。判例內容：口令、密鑰等重要敏感信息在網絡中明文傳輸，可判定為高風險。適用范圍：3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、設備、主機、數據庫、應用等口令、密鑰等重要敏感信息在網絡中明文傳輸；3、該網絡管控措施不到位，存在口令被竊取并遠程登錄的風險。補償措施：1、如網絡接入管控較好且網絡環境為內網封閉可控環境，確保密碼被竊取難度較大，或使用多因素等措施確保即使密碼被竊取也無法進行管理，可酌情降低風險等級。2、如業務形態上必須使用遠程Internet訪問的相關設備，設備采用多因素認證，且嚴格限制管理地址的，可酌情降低風險等級。整改建議：建議相關設備開啟SSH或HTTPS協議或創建加密通道，通過這些加密方式傳輸敏感信息。安全區域邊界邊界防護互聯網邊界訪問控制對應要求：應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信。判例內容：互聯網出口無任何訪問控制措施，或訪問控制措施配置失效，存在較大安全隱患，可判定為高風險。適用范圍：所有系統。滿足條件（任意條件）：1、互聯網出口無任何訪問控制措施。2、互聯網出口訪問控制措施配置不當，存在較大安全隱患。3、互聯網出口訪問控制措施配置失效，無法起到相關控制功能。補償措施：邊界訪問控制設備不一定一定要是防火墻，只要是能實現相關的訪問控制功能，形態為專用設備，且有相關功能能夠提供相應的檢測報告，可視為等效措施，判符合。如通過路由器、交換機或者帶ACL功能的負載均衡器等設備實現，可根據系統重要程度，設備性能壓力等因素，酌情判定風險等級。整改建議：建議在互聯網出口部署專用的訪問控制設備，并合理配置相關控制策略，確?？刂拼胧┯行А＞W絡訪問控制設備不可控對應要求：應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信。判例內容：互聯網邊界訪問控制設備若無管理權限，且未按需要提供訪問控制策略，無法根據業務需要或所發生的安全事件及時調整訪問控制策略，可判定為高風險。適用范圍：所有系統。滿足條件（同時）：1、互聯網邊界訪問控制設備無管理權限；2、無其他任何有效訪問控制措施；3、無法根據業務需要或所發生的安全事件及時調整訪問控制策略。補償措施：無。整改建議：建議部署自有的邊界訪問控制設備或租用有管理權限的邊界訪問控制設備，且對相關設備進行合理配置。違規內聯檢查措施對應要求：應能夠對非授權設備私自聯到內部網絡的行為進行檢查或限制。判例內容：非授權設備能夠直接接入重要網絡區域，如服務器區、管理網段等，且無任何告警、限制、阻斷等措施的，可判定為高風險。適用范圍：3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、機房、網絡等環境不可控，存在非授權接入可能；3、可非授權接入網絡重要區域，如服務器區、管理網段等；4、無任何控制措施，控制措施包括限制、檢查、阻斷等。補償措施：如接入的區域有嚴格的物理訪問控制，采用靜態IP地址分配，關閉不必要的接入端口，IP-MAC地址綁定等措施的，可酌情降低風險等級。整改建議：建議部署能夠對違規內聯行為進行檢查、定位和阻斷的安全準入產品。違規外聯檢查措施對應要求：應能夠對內部用戶非授權聯到外部網絡的行為進行檢查或限制。判例內容：核心重要服務器設備、重要核心管理終端，如無法對非授權聯到外部網絡的行為進行檢查或限制，或內部人員可旁路、繞過邊界訪問控制設備私自外聯互聯網，可判定為高風險。適用范圍：3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、機房、網絡等環境不可控，存在非授權外聯可能；3、對于核心重要服務器、重要核心管理終端存在私自外聯互聯網可能；4、無任何控制措施，控制措施包括限制、檢查、阻斷等。補償措施：如機房、網絡等環境可控，非授權外聯可能較小，相關設備上的USB接口、無線網卡等有管控措施，對網絡異常進行監控及日志審查，可酌情降低風險等級。整改建議：建議部署能夠對違規外聯行為進行檢查、定位和阻斷的安全管理產品。無線網絡管控措施對應要求：應限制無線網絡的使用，保證無線網絡通過受控的邊界設備接入內部網絡。判例內容：內部核心網絡與無線網絡互聯，且之間無任何管控措施，一旦非授權接入無線網絡即可訪問內部核心網絡區域，存在較大安全隱患，可判定為高風險。適用范圍：3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、內部核心網絡與無線網絡互聯，且不通過任何受控的邊界設備，或邊界設備控制策略設置不當；3、非授權接入無線網絡將對內部核心網絡帶來較大安全隱患。補償措施：1、在特殊應用場景下，無線覆蓋區域較小，且嚴格受控，僅有授權人員方可進入覆蓋區域的，可酌情降低風險等級；2、對無線接入有嚴格的管控及身份認證措施，非授權接入可能較小，可根據管控措施的情況酌情降低風險等級。整改建議：如無特殊需要，內部核心網絡不應與無線網絡互聯；如因業務需要，則建議加強對無線網絡設備接入的管控，并通過邊界設備對無線網絡的接入設備對內部核心網絡的訪問進行限制，降低攻擊者利用無線網絡入侵內部核心網絡。訪問控制互聯網邊界訪問控制對應要求：應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外受控接口拒絕所有通信。判例內容：與互聯網互連的系統，邊界處如無專用的訪問控制設備或配置了全通策略，可判定為高風險。適用范圍：所有系統。滿足條件（任意條件）：1、互聯網出口無任何訪問控制措施。2、互聯網出口訪問控制措施配置不當，存在較大安全隱患。3、互聯網出口訪問控制措施配置失效，啟用透明模式，無法起到相關控制功能。補償措施：邊界訪問控制設備不一定一定要是防火墻，只要是能實現相關的訪問控制功能，形態為專用設備，且有相關功能能夠提供相應的檢測報告，可視為等效措施，判符合。如通過路由器、交換機或者帶ACL功能的負載均衡器等設備實現，可根據系統重要程度，設備性能壓力等因素，酌情判定風險等級。整改建議：建議在互聯網出口部署專用的訪問控制設備，并合理配置相關控制策略，確保控制措施有效。通信協議轉換及隔離措施對應要求：應在網絡邊界通過通信協議轉換或通信協議隔離等方式進行數據交換。判例內容：可控網絡環境與不可控網絡環境之間數據傳輸未采用通信協議轉換或通信協議隔離等方式進行數據轉換，可判定為高風險。適用范圍：4級系統。滿足條件（同時）：1、4級系統；2、可控網絡環境與不可控網絡環境之間數據傳輸未進行數據格式或協議轉化，也未采用通訊協議隔離措施。補償措施：如通過相關技術/安全專家論證，系統由于業務場景需要，無法通過通信協議轉換或通信協議隔離等方式進行數據轉換的，但有其他安全保障措施的，可酌情降低風險等級。整改建議：建議數據在不同等級網絡邊界之間傳輸時，通過通信協議轉換或通信協議隔離等方式進行數據交換。入侵防范外部網絡攻擊防御對應要求：應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為。判例內容：關鍵網絡節點（如互聯網邊界處）未采取任何防護措施，無法檢測、阻止或限制互聯網發起的攻擊行為，可判定為高風險。適用范圍：3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、關鍵網絡節點（如互聯網邊界處）無任何入侵防護手段（如入侵防御設備、云防、WAF等對外部網絡發起的攻擊行為進行檢測、阻斷或限制）。補償措施：如具備入侵檢測能力（IDS），且監控措施較為完善，能夠及時對入侵行為進行干預的，可酌情降低風險等級。整改建議：建議在關鍵網絡節點（如互聯網邊界處）合理部署可對攻擊行為進行檢測、阻斷或限制的防護設備（如抗APT攻擊系統、網絡回溯系統、威脅情報檢測系統、入侵防護系統等），或購買云防等外部抗攻擊服務。內部網絡攻擊防御對應要求：應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為。判例內容：關鍵網絡節點（如核心服務器區與其他內部網絡區域邊界處）未采取任何防護措施，無法檢測、阻止或限制從內部發起的網絡攻擊行為，可判定為高風險。適用范圍：3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、關鍵網絡節點（如核心服務器區與其他內部網絡區域邊界處）無任何入侵防護手段（如入侵防御、防火墻等對內部網絡發起的攻擊行為進行檢測、阻斷或限制）。補償措施：如核心服務器區與其他內部網絡之間部署了防火墻等訪問控制設備，且訪問控制措施較為嚴格，發生內部網絡攻擊可能性較小或有一定的檢測、防止或限制能力，可酌情降低風險等級。整改建議：建議在關鍵網絡節點處（如核心服務器區與其他內部網絡區域邊界處）進行嚴格的訪問控制措施，并部署相關的防護設備，檢測、防止或限制從內部發起的網絡攻擊行為。惡意代碼和垃圾郵件防范網絡層惡意代碼防范對應要求：應在關鍵網絡節點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的升級和更新。判例內容：主機和網絡層均無任何惡意代碼檢測和清除措施的，可判定為高風險。適用范圍：所有系統。滿足條件（同時）：1、主機層無惡意代碼檢測和清除措施；2、網絡層無惡意代碼檢測和清除措施。補償措施：1、如主機層部署惡意代碼檢測和清除產品，且惡意代碼庫保持更新，可酌情降低風險等級。2、如2級及以下系統，使用Linux、Unix系統，主機和網絡層均未部署惡意代碼檢測和清除產品，可視總體防御措施酌情降低風險等級。3、對與外網完全物理隔離的系統，其網絡環境、USB介質等管控措施較好，可酌情降低風險等級。整改建議：建議在關鍵網絡節點處部署惡意代碼檢測和清除產品，且與主機層惡意代碼防范產品形成異構模式，有效檢測及清除可能出現的惡意代碼攻擊。安全審計網絡安全審計措施對應要求：應在網絡邊界、重要網絡節點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。判例內容：在網絡邊界、重要網絡節點無任何安全審計措施，無法對重要的用戶行為和重要安全事件進行日志審計，可判定為高風險。適用范圍：所有系統。滿足條件（同時）：1、無法對重要的用戶行為和重要安全事件進行日志審計。補償措施：無。整改建議：建議在網絡邊界、重要網絡節點，對重要的用戶行為和重要安全事件進行日志審計，便于對相關事件或行為進行追溯。安全計算環境網絡設備、安全設備、主機設備等身份鑒別設備弱口令對應要求：應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換。判例內容：網絡設備、安全設備、操作系統、數據庫等存在空口令或弱口令帳戶，并可通過該弱口令帳戶登錄，可判定為高風險。適用范圍：所有系統。滿足條件（同時）：1、存在空口令或弱口令帳戶；2、可使用該弱口令帳戶登錄。補償措施：1、如采用雙因素認證等管控手段，惡意用戶使用該空/弱口令帳號無法直接登錄相關設備，可酌情降低風險等級。2、如測評對象重要性較低，不會對整個信息系統安全性產生任何影響，可酌情降低風險等級。整改建議：建議刪除或重命名默認賬戶，制定相關管理制度，規范口令的最小長度、復雜度與生存周期，并根據管理制度要求，合理配置賬戶口令策略，提高口令質量。遠程管理防護對應要求：當進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。判例內容：通過不可控網絡環境遠程管理的網絡設備、安全設備、操作系統、數據庫等，鑒別信息明文傳輸，容易被監聽，造成數據泄漏，可判定為高風險。適用范圍：所有系統。滿足條件（同時）：1、通過不可控網絡環境遠程進行管理；2、管理帳戶口令以明文方式傳輸；3、使用截獲的帳號可遠程登錄。補償措施：1、如整個遠程管理過程中，只能使用加密傳輸通道進行鑒別信息傳輸的，可視為等效措施，判符合。2、如采用多因素身份認證、訪問地址限定、僅允許內部可控網絡進行訪問的措施時，竊聽到口令而無法直接進行遠程登錄的，可酌情降低風險等級。3、如通過其他技術管控手段（如準入控制、桌面管理、行為管理等），降低數據竊聽隱患的，可酌情降低風險等級。4、在有管控措施的情況下，如果默認采用加密進行管理，但同時也開啟非加密管理方式，可根據實際管理情況，酌情判斷風險等級。5、可根據被測對象的作用以及重要程度，可根據實際情況，酌情判斷風險等級。整改建議：建議盡可能避免通過不可控網絡對網絡設備、安全設備、操作系統、數據庫等進行遠程管理，如確有需要，則建議采取措施或使用加密機制（如VPN加密通道、開啟SSH、HTTPS協議等），防止鑒別信息在網絡傳輸過程中被竊聽。雙因素認證對應要求：應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現。判例內容：重要核心設備、操作系統等未采用兩種或兩種以上鑒別技術對用戶身份進行鑒別。例如僅使用用戶名/口令方式進行身份驗證，削弱了管理員賬戶的安全性，無法避免賬號的未授權竊取或違規使用，可判定為高風險。適用范圍：3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、重要核心設備、操作系統等通過不可控網絡環境遠程進行管理；3、設備未啟用兩種或兩種以上鑒別技術對用戶身份進行鑒別；4級系統多種鑒別技術中未用到密碼技術或生物技術。補償措施：1、如設備通過本地登錄方式（非網絡方式）維護，本地物理環境可控，可酌情降低風險等級。2、采用兩重用戶名/口令認證措施（兩重口令不同），例如身份認證服務器、堡壘機等手段，可酌情降低風險等級。3、如設備所在物理環境、網絡環境安全可控，網絡竊聽、違規接入等隱患較小，口令策略和復雜度、長度符合要求的情況下，可酌情降低風險等級。4、可根據被測對象的作用以及重要程度，根據實際情況，酌情判斷風險等級。整改建議：建議重要核心設備、操作系統等增加除用戶名/口令以外的身份鑒別技術，如密碼/令牌、生物鑒別方式等，實現雙因子身份鑒別，增強身份鑒別的安全力度。訪問控制默認口令處理對應要求：應重命名或刪除默認賬戶，修改默認賬戶的默認口令。判例內容：網絡設備、安全設備、操作系統、數據庫等默認賬號的默認口令未修改，使用默認口令進行登錄設備，可判定為高風險。適用范圍：所有系統。滿足條件（同時）：1、未修改默認帳戶的默認口令；2、可使用該默認口令賬號登錄。補償措施：無。整改建議：建議網絡設備、安全設備、操作系統、數據庫等重命名或刪除默認管理員賬戶，修改默認密碼，使其具備一定的強度，增強賬戶安全性。安全審計設備安全審計措施對應要求：應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。判例內容：重要核心網絡設備、安全設備、操作系統、數據庫等未開啟任何審計功能，無法對重要的用戶行為和重要安全事件進行審計，也無法對事件進行溯源，可判定為高風險。適用范圍：3級及以上系統。滿足條件（同時）：1、3級及以上系統2、重要核心網絡設備、安全設備、操作系統、數據庫等未開啟任何審計功能，無法對重要的用戶行為和重要安全事件進行審計；3、無其他技術手段對重要的用戶行為和重要安全事件進行溯源。補償措施：1、如使用堡壘機或其他第三方審計工具進行日志審計，能有效記錄用戶行為和重要安全事件，可視為等效措施，判符合。2、如通過其他技術或管理手段能對事件進行溯源的，可酌情降低風險等級。3、如核查對象非重要核心設備，對整個信息系統影響有限的情況下，可酌情降低風險等級。整改建議：建議在重要核心設備、安全設備、操作系統、數據庫性能允許的前提下，開啟用戶操作類和安全事件類審計策略或使用第三方日志審計工具，實現對相關設備操作與安全行為的全面審計記錄，保證發生安全問題時能夠及時溯源。入侵防范不必要服務處置對應要求：應關閉不需要的系統服務、默認共享和高危端口。判例內容：網絡設備、安全設備、操作系統等存在多余系統服務/默認共享/高危端口存在，且存在可被利用的高危漏洞或重大安全隱患，可判定為高風險。適用范圍：所有系統。滿足條件：操作系統上的多余系統服務/默認共享/高危端口存在可被利用的高風險漏洞或重大安全隱患。補償措施：如通過其他技術手段能降低漏洞影響，可酌情降低風險等級。整改建議：建議網絡設備、安全設備、操作系統等關閉不必要的服務和端口，減少后門等安全漏洞；根據自身應用需求，需要開啟共享服務的，應合理設置相關配置，如設置賬戶權限等。管理終端管控措施對應要求：應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制。判例內容：通過不可控網絡環境遠程管理的網絡設備、安全設備、操作系統、數據庫等，未采取技術手段對管理終端進行限制，可判定為高風險。適用范圍：3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、可通過不可控網絡環境遠程進行管理；3、未采取技術手段對管理終端進行管控（管控措施包括但不限于終端接入管控、網絡地址范圍限制、堡壘機等）。補償措施：如管理終端部署在運維區、可控網絡或采用多種身份鑒別方式等技術措施，可降低終端管控不善所帶來的安全風險的，可酌情降低風險等級。整改建議：建議通過技術手段，對管理終端進行限制。已知重大漏洞修補對應要求：應能發現可能存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞。判例內容：對于一些互聯網直接能夠訪問到的網絡設備、安全設備、操作系統、數據庫等，如存在外界披露的重大漏洞，未及時修補更新，無需考慮是否有POC攻擊代碼，可判定為高風險。適用范圍：所有系統。滿足條件（同時）：1、該設備可通過互聯網訪問；2、該設備型號、版本存在外界披露的重大安全漏洞；3、未及時采取修補或其他有效防范措施。補償措施：1、如相關漏洞暴露在可控的網絡環境，可酌情降低風險等級。2、如某網絡設備的WEB管理界面存在高風險漏洞，而該WEB管理界面只能通過特定IP或特定可控環境下才可訪問，可酌情降低風險等級。整改建議：建議訂閱安全廠商漏洞推送或本地安裝安全軟件，及時了解漏洞動態，在充分測試評估的基礎上，彌補嚴重安全漏洞。測試發現漏洞修補對應要求：應能發現可能存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞。判例內容：通過驗證測試或滲透測試能夠確認并利用的，可對網絡設備、安全設備、操作系統、數據庫等造成重大安全隱患的漏洞（包括但不限于緩沖區溢出、提權漏洞、遠程代碼執行、嚴重邏輯缺陷、敏感數據泄露等），可判定為高風險。適用范圍：所有系統。滿足條件（同時）：1、存在可被利用的高風險漏洞；2、通過驗證測試或滲透測試確認該高風險漏洞可能對該設備造成重大安全隱患。補償措施：只有在相關設備所在的物理、網絡、管理環境嚴格受控，發生攻擊行為可能性較小的情況下，方可酌情降低風險等級；對于互聯網可訪問到的設備，原則上不宜降低其風險等級。整改建議：建議在充分測試的情況下，及時對設備進行補丁更新，修補已知的高風險安全漏洞；此外，還應定期對設備進行漏掃，及時處理發現的風險漏洞，提高設備穩定性與安全性。惡意代碼防范操作系統惡意代碼防范對應要求：應采用主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效阻斷。判例內容：Windows操作系統未安裝防惡意代碼軟件，并進行統一管理，無法防止來自外部的惡意攻擊或系統漏洞帶來的危害，可判定為高風險。適用范圍：所有系統。滿足條件（任意條件）：1、Windows操作系統未安裝殺毒軟件。2、Windows操作系統安裝的殺毒軟件病毒庫一月以上未更新。（可根據服務器部署環境、行業或系統特性縮短或延長病毒庫更新周期）補償措施：1、如一個月以上未更新，但有完備的補丁更新/測試計劃，且有歷史計劃執行記錄的，可根據服務器部署環境、行業或系統特性酌情降低風險等級。2、可與網絡安全部分中的入侵防范和訪問控制措施相結合來綜合評定風險，如網絡層部署了惡意代碼防范設備，可酌情降低風險等級。3、對與外網完全物理隔離的系統，其網絡環境、USB介質等管控措施較好，可酌情降低風險等級。整改建議：建議操作系統統一部署防病毒軟件，或采用集成性質防病毒服務器或虛擬化底層防病毒措施，并及時更新病毒庫，抵擋外部惡意代碼攻擊。應用系統身份鑒別口令策略對應要求：應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換。判例內容：應用系統無任何用戶口令復雜度校驗機制，校驗機制包括口令的長度、復雜度等，可判定為高風險。適用范圍：所有系統。滿足條件（同時）：1、應用系統無口令長度、復雜度校驗機制；2、可設置6位以下，單個數字或連續數字或相同數字等易猜測的口令。補償措施：1、如應用系統采用多種身份鑒別認證技術的，即使有口令也無法直接登錄應用系統的，可酌情降低風險等級。2、如應用系統僅為內部管理系統，只能內網訪問，且訪問人員相對可控，可酌情降低風險等級。3、如應用系統口令校驗機制不完善，如只有部分校驗機制，可根據實際情況，酌情降低風險等級。4、特定應用場景中的口令（如PIN碼）可根據相關要求，酌情判斷風險等級。整改建議：建議應用系統對用戶的賬戶口令長度、復雜度進行校驗，如要求系統賬戶口令至少8位，由數字、字母或特殊字符中2種方式組成；對于如PIN碼等特殊用途的口令，應設置弱口令庫，通過對比方式，提高用戶口令質量。弱口令對應要求：應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換。判例內容：應用系統存在易被猜測的常用/弱口令帳戶，可判定為高風險。適用范圍：所有系統。滿足條件：通過滲透測試或常用/弱口令嘗試，發現應用系統中存在可被登錄弱口令帳戶。補償措施：如該弱口令帳號為前臺自行注冊，自行修改的普通用戶帳戶，被猜測登錄后只會影響單個用戶，而不會對整個應用系統造成安全影響的，可酌情降低風險等級。整改建議：建議應用系統通過口令長度、復雜度校驗、常用/弱口令庫比對等方式，提高應用系統口令質量。登錄失敗處理對應要求：應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施。判例內容：可通過互聯網登錄的應用系統未提供任何登錄失敗處理措施，攻擊者可進行口令猜測，可判定為高風險。適用范圍：3級及以上系統。滿足條件：1、3級及以上系統；2、可通過互聯網登錄，且對帳號安全性要求較高，如帳戶涉及金融、個人隱私信息、后臺管理等；3、對連續登錄失敗無任何處理措施；4、攻擊者可利用登錄界面進行口令猜測。補償措施：1、如應用系統采用多種身份鑒別認證技術的，可酌情降低風險等級。2、僅通過內部網絡訪問的內部/后臺管理系統，如訪問人員相對可控，可酌情降低風險等級。3、如登錄頁面采用圖像驗證碼等技術可在一定程度上提高自動化手段進行口令暴力破解難度的，可酌情降低風險等級。4、可根據登錄帳戶的重要程度、影響程度，可酌情判斷風險等級。但如果登錄帳戶涉及到金融行業、個人隱私信息、信息發布、后臺管理等，不宜降低風險等級。整改建議：建議應用系統提供登錄失敗處理功能（如帳戶鎖定、多重認證等），防止攻擊者進行口令暴力破解。雙因素認證對應要求：應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現。判例內容：通過互聯網方式訪問，且涉及大額資金交易、核心業務等操作的系統，在進行重要操作前應采用兩種或兩種以上方式進行身份鑒別，如只采用一種驗證方式進行鑒別，可判定為高風險。適用范圍：3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、通過互聯網方式訪問的系統，在進行涉及大額資金交易、核心業務等重要操作前未啟用兩種或兩種以上鑒別技術對用戶身份進行鑒別；4級系統多種鑒別技術中未用到密碼技術或生物技術。補償措施：1、采用兩重用戶名/口令認證措施，且兩重口令不可相同等情況，可酌情降低風險等級。2、如應用服務訪問的網絡環境安全可控，網絡竊聽、違規接入等隱患較小，口令策略和復雜度、長度符合要求的情況下，可酌情降低風險等級。3、在完成重要操作前的不同階段兩次或兩次以上使用不同的方式進行身份鑒別，可根據實際情況，酌情降低風險等級。4、涉及到主管部門認可的業務形態，例如快捷支付、小額免密支付等，可酌情降低風險等級。5、可根據被測對象中用戶的作用以及重要程度，在口令策略和復雜度、長度符合要求的情況下，可根據實際情況，酌情判斷風險等級。6、系統用戶群體為互聯網用戶，且冒名登錄、操作不會對系統或個人造成重大惡劣影響或經濟損失的，可酌情判斷風險等級。整改建議：建議應用系統增加除用戶名/口令以外的身份鑒別技術，如密碼/令牌、生物鑒別方式等，實現雙因子身份鑒別，增強身份鑒別的安全力度。訪問控制登錄用戶權限控制對應要求：應對登錄的用戶分配賬戶和權限。判例內容：應用系統訪問控制功能存在缺失，無法按照設計策略控制用戶對系統功能、數據的訪問；可通過直接訪問URL等方式，在不登錄系統的情況下，非授權訪問系統功能模塊，可判定為高風險。適用范圍：所有系統。滿足條件：可通過直接訪問URL等方式，在不登錄系統的情況下，非授權訪問系統重要功能模塊。補償措施：1、如應用系統部署在可控網絡，有其他防護措施能限制、監控用戶行為的，可酌情降低風險等級。2、可根據非授權訪問模塊的重要程度、越權訪問的難度，酌情提高/減低風險等級。整改建議：建議完善訪問控制措施，對系統重要頁面、功能模塊進行訪問控制，確保應用系統不存在訪問控制失效情況。默認口令處理對應要求：應重命名或刪除默認賬戶，修改默認賬戶的默認口令。判例內容：應用系統默認賬號的默認口令未修改，可利用該默認口令登錄系統，可判定為高風險。適用范圍：所有系統。滿足條件（同時）：1、未修改默認帳戶的默認口令；2、可使用該默認口令賬號登錄。補償措施：無。整改建議：建議應用系統重命名或刪除默認管理員賬戶，修改默認密碼，使其具備一定的強度，增強賬戶安全性。訪問控制策略對應要求：應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則。判例內容：應用系統訪問控制策略存在缺陷，可越權訪問系統功能模塊或查看、操作其他用戶的數據。如存在平行權限漏洞，低權限用戶越權訪問高權限功能模塊等，可判定為高風險。適用范圍：所有系統。滿足條件：系統訪問控制策略存在缺陷，可越權訪問系統功能模塊或查看、操作其他用戶的數據。如存在平行權限漏洞，低權限用戶越權訪問高權限功能模塊等。補償措施：1、如應用系統部署在可控網絡，有其他防護措施能限制、監控用戶行為的，可酌情降低風險等級。2、可根據非授權訪問模塊的重要程度、越權訪問的難度，酌情提高/減低風險等級。整改建議：建議完善訪問控制措施，對系統重要頁面、功能模塊進行重新進行身份、權限鑒別，確保應用系統不存在訪問控制失效情況。安全審計安全審計措施對應要求：應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。判例內容：應用系統（包括前端系統和后臺管理系統）無任何日志審計功能，無法對用戶的重要行為進行審計，也無法對事件進行溯源，可判定為高風險。適用范圍：3級及以上系統。滿足條件（同時）：1、3級及以上系統2、應用系統無任何日志審計功能，無法對用戶的重要行為進行審計；3、無其他技術手段對重要的用戶行為和重要安全事件進行溯源。補償措施：1、如有其他技術手段對重要的用戶行為進行審計、溯源，可酌情降低風險等級。2、如審計記錄不全或審計記錄有記錄，但無直觀展示，可根據實際情況，酌情降低風險等級。整改建議：建議應用系統完善審計模塊，對重要用戶操作、行為進行日志審計，審計范圍不僅針對前端用戶的操作、行為，也包括后臺管理員的重要操作。入侵防范數據有效性檢驗功能對應要求：應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內容符合系統設定要求。判例內容：由于校驗機制缺失導致的應用系統存在如SQL注入、跨站腳本、上傳漏洞等高風險漏洞，可判定為高風險。適用范圍：所有系統。滿足條件：1、應用系統存在如SQL注入、跨站腳本、上傳漏洞等可能導致敏感數據泄露、網頁篡改、服務器被入侵等安全事件的發生，造成嚴重后果的高風險漏洞；2、無其他技術手段對該漏洞進行防范。補償措施：1、如應用系統存在SQL注入、跨站腳本等高風險漏洞，但是系統部署了WAF、云盾等應用防護產品，在防護體系下無法成功利用，可酌情降低風險等級。2、不與互聯網交互的內網系統，可根據系統重要程度、漏洞危害情況等，酌情判斷風險等級。整改建議：建議通過修改代碼的方式，對數據有效性進行校驗，提交應用系統的安全性，防止相關漏洞的出現。已知重大漏洞修補對應要求：應能發現可能存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞。判例內容：應用系統所使用的環境、框架、組件等存在可被利用的高風險漏洞，導致敏感數據泄露、網頁篡改、服務器被入侵等安全事件的發生，可能造成嚴重后果的，可判定為高風險。適用范圍：所有系統。滿足條件（同時）：1、應用系統所使用的環境、框架、組件等存在可被利用的，可能導致敏感數據泄露、網頁篡改、服務器被入侵等安全事件的發生，造成嚴重后果的高風險漏洞；2、無其他有效技術手段對該漏洞進行防范。補償措施：1、如應用系統使用的環境、框架、組件等存在高風險漏洞，但是系統部署了WAF、云盾等應用防護產品，在防護體系下無法成功利用，可酌情降低風險等級。2、不與互聯網交互的內網系統，可通過分析內網環境對相關漏洞的影響、危害以及利用難度，酌情提高/降低風險等級。整改建議：建議定期對應用系統進行漏洞掃描，對可能存在的已知漏洞，在重復測試評估后及時進行修補，降低安全隱患。測試發現漏洞修補對應要求：應能發現可能存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞。判例內容：如應用系統的業務功能（如密碼找回功能等）存在高風險安全漏洞或嚴重邏輯缺陷，可能導致修改任意用戶密碼、繞過安全驗證機制非授權訪問等情況，可判定為高風險。適用范圍：所有系統。滿足條件：通過測試，發現應用系統的業務功能（如密碼找回功能等）存在高風險安全漏洞或嚴重邏輯缺陷，可能導致修改任意用戶密碼、繞過安全驗證機制非授權訪問等情況。補償措施：無。整改建議：建議通過修改應用程序的方式對發現的高風險/嚴重邏輯缺陷進行修補，避免出現安全隱患。數據完整性傳輸完整性保護對應要求：應采用密碼技術保證重要數據在傳輸過程中的完整性，包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。判例內容：對傳輸完整性要求較高的系統，如未采取任何措施保障重要數據傳輸完整性，重要數據在傳輸過程中被篡改可能造成嚴重后果的，可判定為高風險。適用范圍：對數據傳輸完整性要求較高的3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、未對傳輸的重要數據進行完整性保護；3、通過中間人劫持等攻擊技術修改傳輸數據，可能對系統造成重大安全影響。補償措施：1、如通過技術手段確保無法對傳輸數據進行修改，可酌情降低風險等級。2、可根據傳輸數據的重要程度、傳輸數據篡改的難度、篡改后造成的影響等情況，酌情提高/降低風險等級。整改建議：建議在應用層通過密碼技術確保傳輸數據的完整性，并在服務器端對數據有效性進行校驗，確保只處理未經修改的數據。數據保密性傳輸保密性保護對應要求：應采用密碼技術保證重要數據在傳輸過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信息等。判例內容：用戶鑒別信息、公民敏感信息數據或重要業務數據等以明文方式在不可控網絡中傳輸，可判定為高風險。適用范圍：3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、用戶身份認證信息、個人敏感信息數據或重要業務數據等以明文方式在不可控網絡中傳輸。補償措施：1、如使用網絡加密的技術確保數據在加密通道中傳輸，可根據實際情況，視為等效措施，判為符合。2、如敏感信息在可控網絡中傳輸，網絡竊聽等風險較低，可酌情降低風險等級。整改建議：建議采用密碼技術確保重要數據在傳輸過程中的保密性。存儲保密性保護對應要求：應采用密碼技術保證重要數據在存儲過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信息等。判例內容：用戶身份認證信息、個人敏感信息數據、重要業務數據、行業主管部門定義的非明文存儲類數據等以明文方式存儲，且無其他有效保護措施，可判定為高風險。適用范圍：所有系統。滿足條件（同時）：1、用戶身份認證信息、個人敏感信息數據、重要業務數據、行業主管部門定義的非明文存儲類數據等以明文方式存儲；2、無其他有效數據保護措施。補償措施：如采取區域隔離、部署數據庫安全審計等安全防護措施的，可通過分析造成信息泄露的難度和影響程度，酌情降低風險等級。整改建議：采用密碼技術保證重要數據在存儲過程中的保密性。數據備份恢復數據備份措施對應要求：應提供重要數據的本地數據備份與恢復功能。判例內容：應用系統未提供任何數據備份措施，一旦遭受數據破壞，無法進行數據恢復的，可判定為高風險。適用范圍：所有系統。滿足條件：應用系統未提供任何數據備份措施，一旦遭受數據破壞，無法進行數據恢復。補償措施：無。整改建議：建議建立備份恢復機制，定期對重要數據進行備份以及恢復測試，確保在出現數據破壞時，可利用備份數據進行恢復。異地備份措施對應要求：應提供異地實時備份功能，利用通信網絡將重要數據實時備份至備份場地。判例內容：對系統、數據容災要求較高的系統，如金融、醫療衛生、社會保障等行業系統，如無異地數據災備措施，或異地備份機制無法滿足業務需要，可判定為高風險。適用范圍：對系統、數據容災要求較高的3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、對容災要求較高的系統；3、系統無異地數據備份措施，或異地備份機制無法滿足業務需要。補償措施：1、一般來說同城異地機房直接距離不低于為30公里，跨省市異地機房直線距離不低于100公里，如距離上不達標，可酌情降低風險等級。2、系統數據備份機制存在一定時間差，若被測單位評估可接受時間差內數據丟失，可酌情降低風險等級。3、可根據系統容災要求及行業主管部門相關要求，根據實際情況酌情提高/減低風險等級。整改建議：建議設置異地災備機房，并利用通信網絡將重要數據實時備份至備份場地。數據處理冗余措施對應要求：應提供重要數據處理系統的熱冗余，保證系統的高可用性。判例內容：對數據處理可用性要求較高系統（如金融行業系統、競拍系統、大數據平臺等），應采用熱冗余技術提高系統的可用性，若核心處理節點（如服務器、DB等）存在單點故障，可判定為高風險。適用范圍：對數據處理可用性要求較高的3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、對數據處理可用性要求較高系統；3、處理重要數據的設備（如服務器、DB等）未采用熱冗余技術，發生故障可能導致系統停止運行。補償措施：如當前采取的恢復手段，能夠確保被測單位評估的RTO在可接受范圍內，可根據實際情況酌情降低風險等級。整改建議：建議對重要數據處理系統采用熱冗余技術，提高系統的可用性。異地災難備份中心對應要求：應建立異地災難備份中心，提供業務應用的實時切換。判例內容：對容災、可用性要求較高的系統，如金融行業系統，如未設立異地應用級容災中心，或異地應用級容災中心無法實現業務切換，可判定為高風險。適用范圍：對容災、可用性要求較高的4級系統。滿足條件（同時）：1、4級系統；2、對容災、可用性要求較高的系統；3、未設立異地應用級容災中心，或異地應用級容災中心無法實現業務切換。補償措施：如當前采取的恢復手段，能夠確保被測單位評估的RTO在可接受范圍內，可根據實際情況酌情降低風險等級。整改建議：建議對重要數據處理系統采用熱冗余技術，提高系統的可用性。剩余信息保護鑒別信息釋放措施對應要求：應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除。判例內容：身份鑒別信息釋放或清除機制存在缺陷，如在正常進行釋放或清除身份鑒別信息操作后，仍可非授權訪問系統資源或進行操作，可判定為高風險。適用范圍：所有系統。滿足條件（同時）：1、身份鑒別信息釋放或清除機制存在缺陷；2、利用剩余鑒別信息，可非授權訪問系統資源或進行操作。補償措施：無。整改建議：建議完善鑒別信息釋放/清除機制，確保在執行釋放/清除相關操作后，鑒別信息得到完全釋放/清除。敏感數據釋放措施對應要求：應保證存有敏感數據的存儲空間被釋放或重新分配前得到完全清除。判例內容：身份鑒別信息釋放或清除機制存在缺陷，如在正常進行釋放或清除身份鑒別信息操作后，仍可非授權訪問系統資源或進行操作，可判定為高風險。適用范圍：3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、敏感數據釋放或清除機制存在缺陷；3、利用剩余信息，可非授權獲得相關敏感數據。補償措施：如因特殊業務需要，需要在存儲空間保留敏感數據，相關敏感數據進行了有效加密/脫敏處理的，且有必要的提示信息，可根據實際情況，酌情降低風險等級。整改建議：建議完善敏感數據釋放/清除機制，確保在執行釋放/清除相關操作后，敏感數據得到完全釋放/清除。個人信息保護個人信息采集、存儲對應要求：應僅采集和保存業務必需的用戶個人信息。判例內容：在采集和保存用戶個人信息時，應通過正式渠道獲得用戶同意、授權，如在未授權情況下，采取、存儲用戶個人隱私信息，可判定為高風險。適用范圍：所有系統。滿足條件（任意條件）：1、在未授權情況下，采取、存儲用戶個人隱私信息，無論該信息是否是業務需要。2、采集、保存法律法規、主管部門嚴令禁止采集、保存的用戶隱私信息。補償措施：如在用戶同意、授權的情況下，采集和保存業務非必需的用戶個人信息，可根據實際情況，酌情提高/降低風險等級。整改建議：建議通過官方正式渠道向用戶表明采集信息的內容、用途以及相關的安全責任，并在用戶同意、授權的情況下采集、保存業務必需的用戶個人信息。個人信息訪問、使用對應要求：應禁止未授權訪問和非法使用用戶個人信息。判例內容：未授權訪問和非法使用個人信息，如在未授權情況下將用戶信息提交給第三方處理，未脫敏的情況下用于其他業務用途，未嚴格控制個人信息查詢以及導出權限，非法買賣、泄露用戶個人信息等，可判定為高風險。適用范圍：所有系統。滿足條件（任意條件）：1、在未授權情況下將用戶個人信息共享給其他公司、機構、個人（國家、法律規定的公安、司法機構除外）。2、未脫敏的情況下用于其他非核心業務系統或測試環境等。3、未嚴格控制個人信息查詢以及導出權限。4、非法買賣、泄露用戶個人信息。補償措施：如互聯網系統在收集用戶的個人敏感信息前，數據收集方明確數據的用途，可能涉及使用數據的單位、機構，權責清晰，并根據各自職責與用戶簽訂個人信息保密協議和個人信息收集聲明許可協議的，可根據實際情況酌情提降低風險等級。整改建議：建議通過官方正式渠道向用戶表明采集信息的內容、用途以及相關的安全責任，并在用戶同意、授權的情況下采集、保存業務必需的用戶個人信息，通過技術和管理手段，防止未授權訪問和非法使用安全區域邊界集中管控運行監控措施對應要求：應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測。判例內容：對可用性要求較高的系統，若沒有任何監測措施，發生故障時難以及時對故障進行定位和處理，可判定為高風險。適用范圍：可用性要求較高的3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、對可用性要求較高的系統；3、無任何監控措施，發生故障也無法及時對故障進行定位和處理。補償措施：無。整改建議：建議對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測。日志集中收集存儲對應要求：應對分散在各個設備上的審計數據進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規要求。判例內容：《網絡安全法》要求“采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月”；因此，如相關設備日志留存不滿足法律法規相關要求，可判定為高風險。適用范圍：3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、對網絡運行狀態、網絡安全事件等日志的留存不滿足法律法規規定的相關要求（不少于六個月）。補償措施：對于一些特殊行業或日志時效性短于6個月的，可根據實際情況，可酌情降低風險等級。整改建議：建議部署日志服務器，統一收集各設備的審計數據，進行集中分析，并根據法律法規的要求留存日志。安全事件發現處置措施對應要求：應能對網絡中發生的各類安全事件進行識別、報警和分析。判例內容：未部署相關安全設備，識別網絡中發生的安全事件，并對重要安全事件進行報警的，可判定為高風險。適用范圍：3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、無法對網絡中發生的安全事件（包括但不限于網絡攻擊事件、惡意代碼傳播事件等）進行識別、告警和分析。補償措施：無。整改建議：建議部署相關專業防護設備，對網絡中發生的各類安全事件進行識別、報警和分析，確保相關安全事件得到及時發現，及時處置。安全管理制度管理制度管理制度建設對應要求：應對安全管理活動中的各類管理內容建立安全管理制度。判例內容：未建立任何與安全管理活動相關的管理制度或相關管理制度無法適用于當前被測系統的，可判定為高風險。適用范圍：所有系統。滿足條件（任意條件）：1、未建立任何與安全管理活動相關的管理制度。2、相關管理制度無法適用于當前被測系統。補償措施：無。整改建議：建議按照等級保護的相關要求，建立包括總體方針、安全策略在內的各類與安全管理活動相關的管理制度。安全管理機構崗位設置網絡安全領導小組建立對應要求：應成立指導和管理網絡安全工作的委員會或領導小組，其最高領導由單位主管領導擔任或授權。判例內容：未成立指導和管理信息安全工作的委員會或領導小組，或其最高領導不是由單位主管領導委任或授權，可判定為高風險。適用范圍：3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、未成立指導和管理信息安全工作的委員會或領導小組，或領導小組最高領導不是由單位主管領導委任或授權。補償措施：無。整改建議：建議成立指導和管理網絡安全工作的委員會或領導小組，其最高領導由單位主管領導擔任或授權。安全建設管理產品采購和使用網絡安全產品采購和使用對應要求：應確保網絡安全產品采購和使用符合國家的有關規定。判例內容：網絡關鍵設備和網絡安全專用產品的使用違反國家有關規定，可判定為高風險。適用范圍：所有系統。滿足條件：網絡關鍵設備和網絡安全專用產品的使用違反國家有關規定。補償措施：無。整改建議：建議依據國家有關規定，采購和使用網絡關鍵設備和網絡安全專用產品。（《網絡安全法》第二十三條規定網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。國家網信部門會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄，并推動安全認證和安全檢測結果互認，避免重復認證、檢測。）密碼產品與服務采購和使用對應要求：應確保密碼產品與服務的采購和使用符合國家密碼管理主管部門的要求。判例內容：密碼產品與服務的使用違反國家密碼管理主管部門的要求，可判定為高風險。適用范圍：所有系統。滿足條件：密碼產品與服務的使用違反國家密碼管理主管部門的要求。補償措施：無。整改建議：建議依據國家密碼管理主管部門的要求，使用密碼產品與服務。（如《商用密碼產品使用管理規定》等）外包軟件開發外包開發代碼審計對應要求：應保證開發單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道。判例內容：對于涉及金融、民生、基礎設施等重要行業的業務核心系統由外包公司開發，上線前未對外包公司開發的系統進行源代碼審查，外包商也無法提供相關安全檢測證明，可判定為高風險。適用范圍：涉及金融、民生、基礎設施等重要核心領域的3級及以上系統。滿足條件（同時）：1、3級及以上系統；2、涉及金融、民生、基礎設施等重要行業的業務核心系統；3、被測單位為對外包公司開發的系統進行源代碼安全審查；4、外包公司也無法提供第三方安全檢測證明。補償措施：1、開發公司可提供國家認可的第三方機構出具的源代碼安全審查報告/證明，可視為等效措施，判符合。2、可根據系統的用途以及外包開發公司的開發功能的重要性，根據實際情況，酌情提高/減低風險等級。3、如第三方可提供軟件安全性測試證明（非源碼審核），可視實際情況，酌情減低風險等級。4、如被測方通過合同等方式與外包開發公司明確安全責任或采取相關技術手段進行防控的，可視實際情況，酌情降低風險等級。5、如被測系統建成時間較長，但定期對系統進行安全檢測，當前管理制度中明確規定外包開發代碼審計的，可根據實際情況，酌情減低風險等級。整改建議：建議對外包公司開發的核心系統進行源代碼審查，檢查是否存在后門和隱蔽信道。如沒有技術手段進行源碼審查