等保-高风险判断指引
1. 安全物理环境
| 序号 | 描述 | 适用等级 |
|---|---|---|
| 1 | 机房出入口访问控制措施缺失 | 二级以上 |
| 2 | 机房防盗措施缺失 | 三级以上 |
| 3 | 机房防火措施缺失 | 二级以上 |
| 4 | 机房短期备用电力供应措施缺失 | 二级以上 |
| 5 | 机房应急供电措施缺失 | 四级以上 |
| 6 | 云计算基础设施物理位置不当 | 二级以上 |
2. 安全通信网络
| 序号 | 描述 | 适用等级 |
|---|---|---|
| 1 | 网络设备业务处理能力不足 | 三级以上 |
| 2 | 网络区域划分不当 | 二级以上 |
| 3 | 网络边界访问控制设备不可控 | 二级以上 |
| 4 | 重要网络区域边界访问控制措施缺失 | 二级以上 |
| 5 | 关键线路和设备冗余措施缺失 | 三级以上 |
| 6 | 云计算云平台等级低于承载业务系统等级 | 二级以上 |
| 7 | 重要数据传输完整性保护措施缺失 | 三级以上 |
| 8 | 重要数据明文传输 | 三级以上 |
3. 安全区域边界
| 序号 | 描述 | 适用等级 |
|---|---|---|
| 1 | 无线网络管控措施缺失 | 三级以上 |
| 2 | 重要网络区域边界访问控制配置不当 | 二级以上 |
| 3 | 外部网络攻击防御措施缺失 | 二级以上 |
| 4 | 内部网络攻击防御措施缺失 | 三级以上 |
| 5 | 恶意代码防范措施缺失 | 二级以上 |
| 6 | 网络安全审计措施缺失 | 二级以上 |
4. 安全计算环境
4.1 网络设备、安全设备和主机设备
| 序号 | 描述 | 适用等级 |
|---|---|---|
| 1 | 设备存在弱口令或相同口令 | 二级以上 |
| 2 | 设备鉴别信息防窃听措施缺失 | 二级以上 |
| 3 | 设备未采用多种身份鉴别技术 | 三级以上 |
| 4 | 设备默认口令未修改 | 二级以上 |
| 5 | 设备安全审计措施缺失 | 二级以上 |
| 6 | 设备审计记录不满足保护要求 | 二级以上 |
| 7 | 设备开启多余的服务、高危端口 | 二级以上 |
| 8 | 设备管理终端限制措施缺失 | 二级以上 |
| 9 | 互联网设备存在已知高危漏洞 | 二级以上 |
| 10 | 内网设备存在可被利用的高危漏洞 | 二级以上 |
| 11 | 恶意代码防范措施缺失 | 二级以上 |
4.2 应用系统
| 序号 | 描述 | 适用等级 |
|---|---|---|
| 1 | 应用系统口令策略缺失 | 二级以上 |
| 2 | 应用系统存在弱口令 | 二级以上 |
| 3 | 应用系统口令暴力破解防范机制缺失 | 二级以上 |
| 4 | 应用系统鉴别信息明文传输 | 二级以上 |
| 5 | 应用系统未采用多种身份鉴别技术 | 三级以上 |
| 6 | 应用系统默认口令未修改 | 二级以上 |
| 7 | 应用系统访问控制机制存在缺陷 | 二级以上 |
| 8 | 应用系统安全审计措施缺失 | 二级以上 |
| 9 | 应用系统审计记录不满足保护要求 | 二级以上 |
| 10 | 应用系统数据有效性检验功能缺失 | 二级以上 |
| 11 | 应用系统存在可被利用的高危漏洞 | 二级以上 |
4.3 数据安全
| 序号 | 描述 | 适用等级 |
|---|---|---|
| 1 | 重要数据传输完整性保护措施缺失 | 三级以上 |
| 2 | 重要数据明文传输 | 三级以上 |
| 3 | 重要数据存储保密性保护措施缺失 | 三级以上 |
| 4 | 数据备份措施缺失 | 二级以上 |
| 5 | 异地备份措施缺失 | 三级以上 |
| 6 | 数据处理系统冗余措施缺失 | 三级以上 |
| 7 | 未建立异地灾难备份中心 | 四级系统 |
| 8 | 鉴别信息释放措施失效 | 二级以上 |
| 9 | 敏感数据释放措施失效 | 三级以上 |
| 10 | 违规采集和存储个人信息 | 二级以上 |
| 11 | 违规访问和使用个人信息 | 二级以上 |
| 12 | 云服务客户数据和用户个人信息违规出境 | 二级以上 |
5. 安全管理中心
| 序号 | 描述 | 适用等级 |
|---|---|---|
| 1 | 运行监控措施缺失 | 三级以上 |
| 2 | 审计记录存储时间不满足要求 | 三级以上 |
| 3 | 安全事件发现处置措施缺失 | 三级以上 |
6. 安全管理制度和机构
| 序号 | 描述 | 适用等级 |
|---|---|---|
| 1 | 管理制度缺失 | 二级以上 |
| 2 | 未建立网络安全领导小组 | 三级以上 |
7. 安全管理人员
| 序号 | 描述 | 适用等级 |
|---|---|---|
| 1 | 未开展安全意识和安全技能培训 | 二级以上 |
| 2 | 外部人员接入网络管理措施缺失 | 二级以上 |
8. 安全建设管理
| 序号 | 描述 | 适用等级 |
|---|---|---|
| 1 | 违规采购和使用网络安全产品 | 三级以上 |
| 2 | 外包开发代码审计措施缺失 | 三级以上 |
| 3 | 上线前未开展安全测试 | 三级以上 |
9. 安全运维管理
| 序号 | 描述 | 适用等级 |
|---|---|---|
| 1 | 运维工具管控措施缺失 | 三级以上 |
| 2 | 设备外联管控措施缺失 | 三级以上 |
| 3 | 外来接入设备恶意代码检查措施缺失 | 二级以上 |
| 4 | 变更管理制度缺失 | 二级以上 |
| 5 | 数据备份策略缺失 | 二级以上 |
| 6 | 重要事件应急预案缺失 | 二级以上 |
| 7 | 未对应急预案进行培训演练 | 三级以上 |
| 8 | 云计算平台运维方式不当 | 二级以上 |
