ICS_ 35.040 L 80 ISEAA 体 标 准 团 T/ISEAA 001—2020 网络安全等级保护测评高风险判定指引 High risk assessment guidelines for classified protection evaluation of cyber security 2020-11-05 发布 2020-12-01实施 中关村信息安全测评联盟 发布 T/ISEAA 001—2020 目 次 前言 引言 范围 规范性引用文件 2 术语和定义 3 缩略语 概述 5 判例概述 5.1 判定原则 5.2 5.3 场景释义 6高风险判例 安全物理环境 6.1 6.2 安全通信网络 安全区域边界 6.3 6.4 安全计算环境 6.5 安全管理中心 18 6.6 安全管理制度和机构· 19 安全管理人员· 6.7 19 6.8安全建设管理 20 6.9安全运维管理· 21 附录A（资料性附录）GB/T22239—2019中第三级安全要求与本文件判例对应关系 24 附录B（资料性附录）高风险判例整改建议 29 参考文献 35 T/ISEAA 001—2020 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》给出的 规则起草。 本文件由中关村信息安全测评联盟提出并归口。 本文件起草单位：上海市信息安全测评认证中心、国家网络与信息系统安全产品质量监督检验中 心、江苏金盾检测技术有限公司、江苏骏安信息测评认证有限公司、山东新潮信息技术有限公司、合肥天 惟信息安全技术有限公司、深圳市网安计算机安全检测技术有限公司、杭州安信检测技术有限公司、成 都安美勤信息技术股份有限公司、甘肃安信信息安全技术有限公司、教育信息安全等级保护测评中心、 辽宁浪潮创新信息技术有限公司、银行卡检测中心、安徽祥盾信息科技有限公司 本文件主要起草人：金铭彦、罗、张笑笑、刘静、徐御、陈清明、陆臻、陈妍、吴晓艳、何欣峰、许晓晨、 张杰、武建双、牛建红、倪祥焕、何志鹏、严维兵、王永琦、范仲伟、武斌、杨凌珺、盛璐 I T/ISEAA 001—2020 引言 等级保护测评是推动和贯彻网络安全等级保护工作的重要环节之一。为了更好地提升全国等级保 编写本等级保护测评行业指引性文件，旨在促进安全风险判定更加标准化、规范化，从而更好地规范等 级保护测评活动，提升等级保护测评工作质量， 全通用要求及云计算安全扩展要求中的基本原则，对测评过程中发现的安全性问题如何进行高风险判 定给出指引。 本文件仅考虑一般系统场景，无法涵盖所有行业及特殊场景，实际测评活动中应根据安全问题所处 的环境、面临的威胁、已采取的措施，并结合本文件内容做出客观、科学、合理的判定， Ⅱ T/ISEAA 001—2020 网络安全等级保护测评高风险判定指引 1范围 本文件适用于网络安全等级保护测评、安全检查等活动。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/T2887—2011计算机场地通用规范 GB17859一1999计算机信息系统安全保护等级划分准则 GB/T25069—2010信息安全技术术语 GB/T 22239—2019 信息安全技术网络安全等级保护基本要求 GB/T28448—2019信息安全技术网络安全等级保护测评要求 信息安全技术云计算服务安全能力要求 GB/T 31168—2014 GB/T35273—2020 信息安全技术个人信息安全规范 3术语和定义 术语和定义适用于本文件。 3.1 高可用性系统 可用性大于或等于99.9%，年度停机时间小于或等于8.8h的系统，例如，银行、证券、非银行支付 机构、互联网金融等交易类系统，提供公共服务的民生类系统，工业控制类系统，云计算平台等。 3.2 关键网络设备 部署在关键网络节点的重要网络设备，包括但不限于核心交换机、核心路由器等，一旦该设备遭受 攻击或出现故障将影响整个系统网络。 3.3 不可控网络环境 互联网、公共网络环境、开放性办公网络等缺少网络安全管控措施，可能存在恶意攻击、数据窃听等 安全隐患的网络环境。 3.4 可被利用的高危漏洞 可被攻击者用于进行网络攻击从而导致严重后果的漏洞，包括但不限于缓冲区溢出、权限提升、远 程代码执行、严重逻辑缺陷、任意文件上传等。 1 T/ISEAA 001—2020 3.5 云管理平台 被云服务商或云服务客户用于对云计算资源进行管理的系统平台 4缩略语 下列缩略语适用于本文件。 ACL:访问控制列表（Access Control List) CPU:中央处理单元(Central Processing Unit) DDoS:拒绝服务(Distributed Denial of Service) IP:互联网协议(Internet Protocol) IPS：人侵防御系统（IntrusionPrevention System） PIN:个人识别码(Personal Identification Number) RTO:恢复时间目标(Recovery Time Objective) SQL:结构化查询语言(Structured Query language) UPS:不间断电源(Uninterruptible Power Supply) USB:通用串行总线(Universal Serial Bus) UTM:统一威胁管理(Unified Threat Management) VPN:虚拟专用网络(Virtual Private Network) 5概述 5.1 判例概述 本文件中每条判例由标准要求、适用范围、判例场景和补偿因素构成。其中,标准要求表述该条判 例对应的GB/T22239一2019中的具体要求（以第三级要求为例）；适用范围表述该条判例适用的定级 对象等级或特性；判例场景描述该条判例具体的场景及要素，当出现多个场景时，将通过标注“所有”或 “任意”来明确表示是符合所有场景还是任意场景即判为高风险；补偿因素则给出可进行综合风险分析， 从而酌情判定风险等级的场景及分析因素。 为方便测评人员使用以及为定级对象提出合理的整改建议，本文件在附录中给出每条判例与 GB/T22239一2019中第三级安全要求的对应关系以及整改建议，供测评人员参考，具体参见附录A和 附录B。 5.2判定原则 在网络安全等级保护测评过程中，针对等级测评结果中存在的所有安全问题，应采用风险分析的方 业务信息安全和系统服务安全造成影响的程度，综合评价对定级对象造成的安全风险。 本文件基于以下判定原则，给出应判为高风险的场景： 违反国家法律法规规定的相关要求； 不符合或未实现GB/T22239一2019中各等级关键安全要求及基本安全功能，且没有等效或 一 补偿措施； 2 T/ISEAA 001—2020 存在可被利用，且能造成严重后果的安全漏洞； 5.3场景释义 定级对象的应用场景、部署方式、面临威胁、防护措施各不相同，无法枚举。因此，本文件仅针对一 般应用系统场景，给出应判为高风险的场景及补偿因素，供现场测评人员在进行风险分析时参考。 对于金融、电力、制造业等特定行业的系统，各行业主管部门可基于本文件制定适合本行业系统特 点的判定指引。现场测评人员可根据本文件的内容，结合行业主管部门要求、系统特点、现有措施等综 合进行风险分析。 对于本文件未涉及的场景及补偿因素，或虽然不在本文件明确的适用范围内，但确实可能产生安全 隐患的情况，测评机构需结合实际情况，对安全问题所引发的风险等级做出客观判断。 6高风险判例 6.15 安全物理环境 6.1.1机房出入口访问控制措施缺失 本判例包括以下内容： a）标准要求：机房出人口应配置电子门禁系统，控制、鉴别和记录进入的人员。 b）适用范围：二级及以上系统。 c) 判例场景：机房出人口无任何访问控制措施，例如未安装电子或机械门锁（包括机房大门处于 未上锁状态）、无专人值守等。 d） 补偿因素：机房所在位置处于受控区域，非授权人员无法随意进出机房，可根据实际措施效果， 酌情判定风险等级。 6.1.2机房防盗措施缺失 本判例包括以下内容： a）标准要求：应设置机房防盗报警系统或设置有专人值守的视频监控系统。 b）适用范围：三级及以上系统。 判例场景（所有）： c） 1）机房或机房所在区域无防盗报警系统，无法对盗窃事件进行告警、追溯； 2）未设置有专人值守的视频监控系统 d） 补偿因素：机房出入口或机房所在区域有其他控制措施，例如机房出入口设有专人值守，机房 所在位置处于受控区域等，非授权人员无法进人该区域，可根据实际措施效果，酌情判定风险 等级。 6.1.3机房防火措施缺失 本判例包括以下内容： a）标准要求：机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火 b）适用范围：二级及以上系统。 c）判例场景（任意）： 1）机房无任何有效消防措施，例如无检测火情、感应报警设施，手提式灭火器等灭火设施，消 3