附件
网络安全等级保护测评高风险判定
实施指引(试行)
目次
1范围1
2规范性引用文件1
3术语和定义1
4缩略语1
5概述2
判例概述2
判定原则2
场景释义2
6安全通用要求高风险判例2
安全物理环境2
6.1.1物理访问控制2
机房出入口访问控制措施缺失2
6.1.2防火2
机房防火措施缺失3
6.1.3电力供应3
机房短期备用电力供应措施缺失3
机房应急供电措施缺失3
安全通信网络3
6.2.1网络架构3
网络设备业务处理能力不足3
重要网络区域边界访问控制措施缺失3
关键线路和设备冗余措施缺失4
6.2.2通信传输4
采用无加密措施的网络通道传输重要数据4
安全区域边界4
6.3.1边界防护4
网络边界接入设备或端口不可控4
无线网络管控措施缺失5
6.3.2访问控制5
重要网络区域边界访问控制措施缺失或配置不当5
6.3.3入侵防范5
外部网络攻击防御措施缺失5
内部网络攻击防御措施缺失5
网络行为分析措施缺失6
安全计算环境6
6.4.1身份鉴别6
存在空口令、弱口令、通用口令或无身份鉴别措施6
鉴别信息明文传输7
I
未采用两种或两种以上组合身份鉴别技术7
6.4.2访问控制7
未重命名默认账户名且未修改默认口令7
访问控制策略存在缺陷或不完善,存在越权访问可能8
6.4.3入侵防范8
开启多余的系统服务、默认共享和高危端口8
存在可被利用的高危安全漏洞8
数据有效性检验功能缺失或不完善9
6.4.4恶意代码防范9
恶意代码防范措施缺失9
6.4.5数据保密性10
重要数据明文传输10
重要数据明文存储10
6.4.6数据备份恢复11
重要数据无本地备份措施11
数据处理系统冗余措施缺失11
无异地灾备措施11
6.4.7个人信息保护11
违规采集和存储个人信息11
违规访问和使用个人信息12
安全管理中心12
6.5.1集中管控12
远程管理路径安全防护措施不足12
审计记录存储时间不满足要求12
安全管理制度12
6.6.1管理制度12
管理制度缺失12
安全管理机构13
6.7.1岗位设置13
未建立网络安全工作领导机构13
安全管理人员13
6.8.1外部人员访问管理13
外部人员接入网络管理措施缺失13
安全建设管理13
6.9.1产品采购和使用13
违规采购和使用网络安全产品13
6.9.2外包软件开发13
外包软件开发代码审计措施缺失13
6.9.3测试验收14
上线前未开展安全测试14
6.9.4等级测评14
未定期进行等级测评14
选择的测评机构不符合国家相关要求14
安全运维管理15
6.10.1应急预案管理15
II
未制定重要事件应急预案15
未定期开展应急预案培训和演练15
7云计算安全扩展要求高风险判例15
安全物理环境15
7.1.1物理位置选择15