网络安全等级保护测评高风险判定指引(高风险无补偿项整理).pdfVIP

网络安全等级保护测评高风险判定指引(高风险无补偿项整理).pdf

  1. 1、本文档共6页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

网络安全等级保护测评高风险判定指引(高风险无补偿项整理)--第1页

一、安全物理环境

(1)扩展-云计算-基础设施位置

1、应保证云计算基础设施位于中国境内。

6.1.6云计算基础设施物理位置不当

判例场景:云计算基础设施,例如云计算服务器、存储设备、网络设备、云管理平台、信息系统等

运行业务和承载数据的软硬件等不在中国境内。

二、安全通信网络

(1)网络架构

2、d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技

术隔离手段;

(6.2.4二级及以上系统):

在网络架构上,重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)无访问控

制设备实施访问控制措施,例如重要网络区域与互联网等外部非安全可控网络边界处、生产网络

与员工日常办公网络之间、生产网络与无线网络接入区之间未部署访问控制设备实施访问控制

措施等。

(2)扩展-云计算-网络架构

3、a)应保证云计算平台不承载高于其安全保护等级的业务应用系统;

(6.2.6云计算平台等级低于承载业务系统等级-二级及以上)

判例场景(任意):

1)云计算平台承载高于其安全保护等级(SxAxGx)的业务应用系统;

2)业务应用系统部署在低于其安全保护等级(SxAxGx)的云计算平台上;

3)业务应用系统部署在未进行等级保护测评、测评报告超出有效期或者等级保护测评结论

为差的云计算平台上。

网络安全等级保护测评高风险判定指引(高风险无补偿项整理)--第1页

网络安全等级保护测评高风险判定指引(高风险无补偿项整理)--第2页

三、安全区域边界

(1)访问控制

4、a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外

受控接口拒绝所有通信。

(6.3.2二级及以上系统):

重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)访问控制设备配置不当

或控制措施失效,存在较大安全隐患。例如办公网络任意网络终端均可访问核心生产服务器和网

络设备;无线网络接人区终端可直接访问生产网络设备等。

(2)安全审计

5、a)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和

重要安全事件进行审计。(6.3.6二级及以上系统):

1)在网络边界、关键网络节点无法对重要的用户行为进行日志审计;

2)在网络边界、关键网络节点无法对重要安全事件进行日志审计。

四、安全计算环境

(1)安全审计(网络设备、安全设备、主机)

6、a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

(6.4.1.5二级及以上系统):

1)关键网络设备、关键安全设备、关键主机设备(包括操作系统、数据库等)未开启任何审计功

能,无法对重要的用户行为和重要安全事件进行审计;

2)未采用堡垒机、第三方审计工具等技术手段或所采用的辅助审计措施存在漏记、旁路等缺陷,无

法对重要的用户行为和重要安全事件进行溯源。

(2)数据保密性

7、b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务

数据和重要个人信息等。

(6.4.3.3三级及以上系统):

1)鉴别信息、个人敏感信息、行业主管部门规定需加密存储的数据等以明文方式存储;

2)未采取数据访问限制、部署数据库防火墙、使用数据防泄露产品等其他有效保护措施。

网络安全等级保护测评高风险判定指引(高风险无补偿项整理)--第2页

网络安全等级保护测评高风险判定指引(高风险无补偿项整理)--第3页

(3)扩展-云计算-数据完整性和保密性

8、a)应确保云

文档评论(0)

151****7781 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档