适用范围
本指引是依据GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》有关条款,对测评过程中所发现的安全性问题进行风险判断的指引性文件。指引内容包括对应要求、判例内容、适用范围、补偿措施、整改建议等要素。需要指出的是,本指引无法涵盖所有高风险案例,测评机构须根据安全问题所实际面临的风险做出客观判断。
本指引适用于网络安全等级保护测评活动、安全检查等工作。信息系统建设单位亦可参考本指引描述的案例编制系统安全需求。
术语和定义
1、 可用性要求较高的系统
指出现短时故障无法提供服务,可能对社会秩序、公共利益等造成严重损害的系统,即可用性级别大于等于99.9%,年度停机时间小于等于8.8小时的系统;一般包括但不限于银行、证券、非金融支付机构、互联网金融等交易类系统,提供公共服务的民生类系统、工业控制类系统等。
2、 数据传输完整性要求较高的系统
指数据在传输过程中遭受恶意破坏或篡改,可能造成较大的财产损失,或造成严重破坏的系统,一般包括但不限于银行、证券、非金融支付机构、互联网金融等交易类系统等。
3、 不可控网络环境
指互联网、公共网络环境、内部办公环境等无管控措施,可能存在恶意攻击、数据窃听等安全隐患的网络环境。
数据完整性
传输完整性保护
对应要求:应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
判例内容:对传输完整性要求较高的系统,如未采取任何措施保障重要数据传输完整性,重要数据在传输过程中被篡改可能造成严重后果的,可判定为高风险。
适用范围:对数据传输完整性要求较高的3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、未对传输的重要数据进行完整性保护;
3、通过中间人劫持等攻击技术修改传输数据,可能对系统造成重大安全影响。
补偿措施:
1、如通过技术手段确保无法对传输数据进行修改,可酌情降低风险等级。
2、可根据传输数据的重要程度、传输数据篡改的难度、篡改后造成的影响等情况,酌情提高/降低风险等级。
整改建议:建议在应用层通过密码技术确保传输数据的完整性,并在服务器端对数据有效性进行校验,确保只处理未经修改的数据。
数据保密性
传输保密性保护
对应要求:应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
判例内容:用户鉴别信息、公民敏感信息数据或重要业务数据等以明文方式在不可控网络中传输,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、用户身份认证信息、个人敏感信息数据或重要业务数据等以明文方式在不可控网络中传输。
补偿措施:
1、如使用网络加密的技术确保数据在加密通道中传输,可根据实际情况,视为等效措施,判为符合。
2、如敏感信息在可控网络中传输,网络窃听等风险较低,可酌情降低风险等级。
整改建议:建议采用密码技术确保重要数据在传输过程中的保密性。
存储保密性保护
对应要求:应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
判例内容:用户身份认证信息、个人敏感信息数据、重要业务数据、行业主管部门定义的非明文存储类数据等以明文方式存储,且无其他有效保护措施,可判定为高风险。
适用范围:所有系统。
满足条件(同时):
1、用户身份认证信息、个人敏感信息数据、重要业务数据、行业主管部门定义的非明文存储类数据等以明文方式存储;
2、无其他有效数据保护措施。
补偿措施:如采取区域隔离、部署数据库安全审计等安全防护措施的,可通过分析造成信息泄露的难度和影响程度,酌情降低风险等级。
整改建议:采用密码技术保证重要数据在存储过程中的保密性。
数据备份恢复
数据备份措施
对应要求:应提供重要数据的本地数据备份与恢复功能。
判例内容:应用系统未提供任何数据备份措施,一旦遭受数据破坏,无法进行数据恢复的,可判定为高风险。
适用范围:所有系统。
满足条件:应用系统未提供任何数据备份措施,一旦遭受数据破坏,无法进行数据恢复。
补偿措施:无。
整改建议:建议建立备份恢复机制,定期对重要数据进行备份以及恢复测试,确保在出现数据破坏时,可利用备份数据进行恢复。
异地备份措施
对应要求:应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。
判例内容:对系统、数据容灾要求较高的系统,如金融、医疗卫生、社会保障等行业系统,如无异地数据灾备措施,或异地备份机制无法满足业务需要,可判定为高风险。
适用范围:对系统、数据容灾要求较高的3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、对容灾要求较高的系统;
3、系统无异地数据备份措施,或异地备份机制无法满足业务需要。
补偿措施:
1、一般来说同城异地机房直接距离不低于为30公里,跨省市异地机房直线距离不低于100公里,如距离上不达标,可酌情降低风险等级。
2、系统数据备份机制存在一定时间差,若被测单位评估可接受时间差内数据丢失,可酌情降低风险等级。
3、可根据系统容灾要求及行业主管部门相关要求,根据实际情况酌情提高/减低风险等级。
整改建议:建议设置异地灾备机房,并利用通信网络将重要数据实时备份至备份场地。
数据处理冗余措施
对应要求:应提供重要数据处理系统的热冗余,保证系统的高可用性。
判例内容:对数据处理可用性要求较高系统(如金融行业系统、竞拍系统、大数据平台等),应采用热冗余技术提高系统的可用性,若核心处理节点(如服务器、DB等)存在单点故障,可判定为高风险。
适用范围:对数据处理可用性要求较高的3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、对数据处理可用性要求较高系统;
3、处理重要数据的设备(如服务器、DB等)未采用热冗余技术,发生故障可能导致系统停止运行。
补偿措施:如当前采取的恢复手段,能够确保被测单位评估的RTO在可接受范围内,可根据实际情况酌情降低风险等级。
整改建议:建议对重要数据处理系统采用热冗余技术,提高系统的可用性。
异地灾难备份中心
对应要求:应建立异地灾难备份中心,提供业务应用的实时切换。
判例内容:对容灾、可用性要求较高的系统,如金融行业系统,如未设立异地应用级容灾中心,或异地应用级容灾中心无法实现业务切换,可判定为高风险。
适用范围:对容灾、可用性要求较高的4级系统。
满足条件(同时):
1、4级系统;
2、对容灾、可用性要求较高的系统;
3、未设立异地应用级容灾中心,或异地应用级容灾中心无法实现业务切换。
补偿措施:如当前采取的恢复手段,能够确保被测单位评估的RTO在可接受范围内,可根据实际情况酌情降低风险等级。
整改建议:建议对重要数据处理系统采用热冗余技术,提高系统的可用性。
备份与恢复管理
数据备份策略
对应要求:应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。
判例内容:未明确数据备份策略和数据恢复策略,以及备份程序和恢复程序,无法实现重要数据的定期备份与恢复性测试,一旦系统出现故障,需要恢复数据,存在无数据可恢复的情况,或者备份的数据未经过恢复性测试,无法确保备份的数据可用,可判定为高危风险。此外,如有相关制度,但未实施,视为制度内容未落实,可判定为高风险。
适用范围:3级及以上系统。
满足条件(同时):
1、3级及以上系统;
2、无备份与恢复等相关的安全管理制度,或未按照相关策略落实数据备份。
补偿措施:
1、未建立相关数据备份制度,但若已实施数据备份措施,且备份机制符合业务需要,可酌情降低风险等级。
2、如系统还未正式上线,则可检查是否制定了相关的管理制度,目前的技术措施(如环境、存储等)是否可以满足制度中规定的备份恢复策略要求,可根据实际情况判断风险等级。
整改建议:建议制定备份与恢复相关的制度,明确数据备份策略和数据恢复策略,以及备份程序和恢复程序,实现重要数据的定期备份与恢复性测试,保证备份数据的高可用性与可恢复性。
应急预案管理
应急预案制定
对应要求:应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容。
判例内容:未制定重要事件的应急预案,未明确重要事件的应急处理流程、系统恢复流程等内容,一旦出现应急事件,无法合理有序的进行应急事件处置过程,造成应急响应时间增长,导致系统不能在最短的事件内进行恢复,可判定为高风险。
适用范围:所有系统。
满足条件:未制定重要事件的应急预案。
补偿措施:如制定了应急预演,但内容不全,可根据实际情况,酌情降低风险等级。
整改建议:建议制定重要事件的应急预案,明确重要事件的应急处理流程、系统恢复流程等内容,并对应急预案进行演练。
应急预案培训演练
对应要求:应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练。
判例内容:未定期对相关人员进行应急预案培训,未根据不同的应急预案进行应急演练,无法提供应急预案培训和演练记录,可判定为高风险。
适用范围:3级及以上系统。
满足条件:
1、3级及以上系统;
2、未定期对系统相关的人员进行应急预案培训;
3、未进行过应急预案的演练。
补偿措施:如系统还未正式上线,可根据培训演练制度及相关培训计划,根据实际情况判断风险等级。
整改建议:建议定期对相关人员进行应急预案培训与演练,并保留应急预案培训和演练记录,使参与应急的人员熟练掌握应急的整个过程。
参考依据
GB/T 22239-2019 信息安全技术网络安全等级保护基本要求
GB/T 28448-2019 信息安全技术网络安全等级保护测评要求
GB/T 25069-2010 信息安全技术术语
摘自:网络安全等级保护测评-高风险判定指引