T-ISEAA 001-2020 网络安全等级保护测评高风险判定指引.pdf
《T-ISEAA 001-2020 网络安全等级保护测评高风险判定指引.pdf》由会员分享,可在线阅读,更多相关《T-ISEAA 001-2020 网络安全等级保护测评高风险判定指引.pdf(39页珍藏版)》请在冰点文库上搜索。
LCS35.040L80ISEAA团体标准团体标准T/ISEAA001-2020网络安全等级保护测评高风险判定指引HighRiskAssessmentGuidelinesHighRiskAssessmentGuidelinesforclassifiedprotectionevaluationofcybersecurityforclassifiedprotectionevaluationofcybersecurity2020-11-05发布2020-12-1实施中关村信息安全测评联盟发布T/ISEAA001-2020目次前言.III引言.IV1范围.12规范性引用文件.13术语和定义.14缩略语.25概述.25.1判例概述.25.2判定原则.25.3场景释义.36高风险判例.36.1安全物理环境.36.2安全通信网络.46.3安全区域边界.76.4安全计算环境.96.5安全管理中心.186.6安全管理制度和机构.196.7安全管理人员.196.8安全建设管理.206.9安全运维管理.21附录A(资料性附录)GB/T22239-2019中第三级安全要求与本文件判例对应关系.24附录B(资料性附录)高风险判例整改建议.29参考文献.35IT/ISEAA001-2020前言本文件按照GB/T1.12020标准化工作导则第1部分:
标准化文件的结构和起草规则给出的规则起草。
本文件由中关村信息安全测评联盟提出并归口。
本文件起草单位:
上海市信息安全测评认证中心、国家网络与信息系统安全产品质量监督检验中心、江苏金盾检测技术有限公司、江苏骏安信息测评认证有限公司、山东新潮信息技术有限公司、合肥天帷信息安全技术有限公司、深圳市网安计算机安全检测技术有限公司、杭州安信检测技术有限公司、成都安美勤信息技术股份有限公司、甘肃安信信息安全技术有限公司、教育信息安全等级保护测评中心、辽宁浪潮创新信息技术有限公司、银行卡检测中心、安徽祥盾信息科技有限公司。
本文件主要起草人:
金铭彦、罗峥、张笑笑、刘静、徐御、陈清明、陆臻、陈妍、吴晓艳、何欣峰、许晓晨、张杰、武建双、牛建红、倪祥焕、何志鹏、严维兵、王永琦、范仲伟、武斌、杨凌珺、盛璐褘。
IIIT/ISEAA001-2020引言等级保护测评是推动和贯彻网络安全等级保护工作的重要环节之一。
为了更好地提升全国等级保护测评机构的能力,规范测评机构对网络安全风险严重程度的判定规则,中关村信息安全测评联盟组织编写本等级保护测评行业指引性文件,旨在促进安全风险判定更加标准化、规范化,从而更好地规范等级保护测评活动,提升等级保护测评工作质量。
本文件依据GB/T222392019信息安全技术网络安全等级保护基本要求中第二级及以上安全通用要求及云计算安全扩展要求中的基本原则,对测评过程中发现的安全性问题如何进行高风险判定给出指引。
本文件仅考虑一般系统场景,无法涵盖所有行业及特殊场景,实际测评活动中应根据安全问题所处的环境、面临的威胁、已采取的措施,并结合本文件内容做出客观、科学、合理的判定。
IVT/ISEAA001-2020网络安全等级保护测评高风险判定指引1范围本文件适用于网络安全等级保护测评、安全检查等活动。
2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。
其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T2887-2011计算机场地通用规范GB17859-1999计算机信息系统安全保护等级划分准则GB/T25069-2010信息安全技术术语GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T28448-2019信息安全技术网络安全等级保护测评要求GB/T31168-2014信息安全技术云计算服务安全能力要求GB/T35273-2020信息安全技术个人信息安全规范3术语和定义GB178591999、GB/T250692010,GB/T311682014和GB/T222392019界定的以及下列术语和定义适用于本文件。
3.1高可用性系统可用性大于或等于99.9%,年度停机时间小于或等于8.8h的系统,例如,银行、证券、非银行支付机构、互联网金融等交易类系统,提供公共服务的民生类系统,工业控制类系统,云计算平台等。
3.2关键网络设备部署在关键网络节点的重要网络设备,包括但不限于核心交换机、核心路由器等,一旦该设备遭受攻击或出现故障将影响整个系统网络。
3.3不可控网络环境互联网、公共网络环境、开放性办公网络等缺少网络安全管控措施,可能存在恶意攻击、数据窃听等安全隐患的网络环境。
3.4可被利用的高危漏洞可被攻击者用于进行网络攻击从而导致严重后果的漏洞,包括但不限于缓冲区溢出、权限提升、远程代码执行、严重逻辑缺陷、任意文件上传等。
1T/ISEAA001-20203.5云管理平台被云服务商或云服务客户用于对云计算资源进行管理的系统平台。
4缩略语下列缩略语适用于本文件。
ACL:
访问控制列表(AccessControlList)CPU:
中央处理单元(CentralProcessmgUnit)DDoS:
拒绝服务(DistributedDenalofService)IP:
互联网协议(InternetProtocol)IPS:
入侵防御系统(IntrusonPreventonSystem)PIN:
个人识别码(PersonalIdentificationNumber)RTO:
恢复时间目标(RecoveryTimeObjective)SQL:
结构化查询语言(StructuredQuerylanguage)UPS:
不间断电源(UninterruptiblePowerSupply)USB:
通用串行总线(UniversalSerialBus)UTM:
统一威胁管理(UnifiedThreatManagement)VPN:
虚拟专用网络(VirtualPrvateNetwork)5概述5.1判例概述本文件中每条判例由标准要求、适用范围、判例场景和补偿因素构成。
其中,标准要求表述该条判例对应的GB/T22239-2019中的具体要求(以第三级要求为例);适用范围表述该条判例适用的定级对象等级或特性;判例场景描述该条判例具体的场景及要素,当出现多个场景时,将通过标注“所有”或“任意”来明确表示是符合所有场景还是任意场景即判为高风险;补偿因素则给出可进行综合风险分析,从而酌情判定风险等级的场景及分析因素。
为方便测评人员使用以及为定级对象提出合理的整改建议,本文件在附录中给出每条判例与GB/T22239-2019中第三级安全要求的对应关系以及整改建议,供测评人员参考,具体参见附录A和附录B。
5.2判定原则在网络安全等级保护测评过程中,针对等级测评结果中存在的所有安全问题,应采用风险分析的方法进行危害分析和风险等级判定,分析所产生的安全问题被威胁利用的可能性,判断其被威胁利用后对业务信息安全和系统服务安全造成影响的程度,综合评价对定级对象造成的安全风险。
本文件基于以下判定原则,给出应判为高风险的场景:
违反国家法律法规规定的相关要求;不符合或未实现GB/T222392019中各等级关键安全要求及基本安全功能,且没有等效或补偿措施;2T/ISEAA001-2020存在可被利用,且能造成严重后果的安全漏洞;通过综合风险分析,对业务信息安全和系统服务安全可能产生重大隐患的安全问题。
5.3场景释义定级对象的应用场景、部署方式、面临威胁、防护措施各不相同,无法枚举。
因此,本文件仅针对一般应用系统场景,给出应判为高风险的场景及补偿因素,供现场测评人员在进行风险分析时参考。
对于金融、电力、制造业等特定行业的系统,各行业主管部门可基于本文件制定适合本行业系统特点的判定指引。
现场测评人员可根据本文件的内容,结合行业主管部门要求、系统特点、现有措施等综合进行风险分析。
对于本文件未涉及的场景及补偿因素,或虽然不在本文件明确的适用范围内,但确实可能产生安全隐患的情况,测评机构需结合实际情况,对安全问题所引发的风险等级做出客观判断。
6高风险判例6.1安全物理环境6.1.1机房出入口访问控制措施缺失本判例包括以下内容:
a)标准要求:
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。
b)适用范围:
二级及以上系统。
c)判例场景:
机房出入口无任何访问控制措施,例如未安装电子或机械门锁(包括机房大门处于未上锁状态)、无专人值守等。
d)补偿因素:
机房所在位置处于受控区域,非授权人员无法随意进出机房,可根据实际措施效果,酌情判定风险等级。
6.1.2机房防盗措施缺失本判例包括以下内容:
a)标准要求:
应设置机房防盗报警系统或设置有专人值守的视频监控系统。
b)适用范围:
三级及以上系统。
c)判例场景(所有):
1)机房或机房所在区域无防盗报警系统,无法对盗窃事件进行告警、追溯;2)未设置有专人值守的视频监控系统。
d)补偿因素:
机房出入口或机房所在区域有其他控制措施,例如机房出入口设有专人值守,机房所在位置处于受控区域等,非授权人员无法进入该区域,可根据实际措施效果,酌情判定风险等级。
6.1.3机房防火措施缺失本判例包括以下内容:
a)标准要求:
机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
b)适用范围:
二级及以上系统。
c)判例场景(任意):
1)机房无任何有效消防措施,例如无检测火情、感应报警设施,手提式灭火器等灭火设施,消3T/ISEAA001-2020防设备未进行年检或已失效无法正常使用等情况;2)机房所采取的灭火系统或设备不符合国家的相关规定。
d)补偿因素:
机房安排专人值守或设置了专人值守的视频监控系统,并且机房附近有符合国家消防标准的灭火设备,一旦发生火灾,能及时进行灭火,可根据实际措施效果,酌情判定风险等级。
6.1.4机房短期备用电力供应措施缺失本判例包括以下内容:
a)标准要求:
应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。
b)适用范围:
二级及以上系统。
c)判例场景(任意):
1)机房无短期备用电力供应设备,例如UPS、柴油发电机、应急供电车等;2)机房现有备用电力供应无法满足定级对象短期正常运行。
d)补偿因素:
对于机房配备多路供电的情况,可从供电方同时断电发生概率等角度进行综合风险分析,根据分析结果,酌情判定风险等级。
6.1.5机房应急供电措施缺失本判例包括以下内容:
a)标准要求:
应提供应急供电设施。
b)适用范围:
高可用性的四级系统。
c)判例场景(任意):
1)机房未配备应急供电设施,例如柴油发电机、应急供电车等;2)应急供电措施不可用或无法满足定级对象正常运行需求。
d)补偿因素:
1)对于机房配备多路供电的情况,可从供电方同时断电发生概率等角度进行综合风险分析,根据分析结果,酌情判定风险等级;2)对于采用多数据中心方式部署,且通过技术手段实现应用级灾备,能降低单一机房发生电力故障所带来的可用性方面影响的情况,可从影响程度、RTO等角度进行综合风险分析,根据分析结果,酌情判定风险等级。
6.1.6云计算基础设施物理位置不当本判例包括以下内容:
a)标准要求:
应保证云计算基础设施位于中国境内。
b)适用范围:
二级及以上云计算平台。
c)判例场景:
云计算基础设施,例如云计算服务器、存储设备、网络设备、云管理平台、信息系统等运行业务和承载数据的软硬件等不在中国境内。
d)补偿因素:
无。
6.2安全通信网络6.2.1网络设备业务处理能力不足本判例包括以下内容:
4T/ISEAA001-2020a)标准要求:
应保证网络设备的业务处理能力满足业务高峰期需要。
b)适用范围:
高可用性的三级及以上系统。
c)判例场景:
核心交换机、核心路由器、边界防火墙等网络链路上的关键设备性能无法满足高峰期需求,可能导致服务质量严重下降或中断,例如性能指标平均达到80%以上。
d)补偿因素:
对于采用多数据中心方式部署,且通过技术手段实现应用级灾备,能降低单一机房发生设备故障所带来的可用性方面影响的情况,可从影响程度、RTO等角度进行综合风险分析,根据分析结果,酌情判定风险等级。
注:
注:
80%仅为参考值,可根据设备类型、处理效果等情况综合判断;性能指标包括CPU、内存占用率,吞吐量等。
6.2.2网络区域划分不当本判例包括以下内容:
a)标准要求:
应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。
b)适用范围:
二级及以上系统。
c)判例场景:
重要网络区域与非重要网络在同一子网或网段,例如承载业务系统的生产网络与员工日常办公网络,面向互联网提供服务的服务器区域与内部网络区域在同一子网或网段等。
d)补偿因素:
同一子网之间有技术手段实现访问控制,可根据实际措施效果,酌情判定风险等级。
6.2.3网络边界访问控制设备不可控本判例包括以下内容:
a)标准要求:
应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
b)适用范围:
二级及以上系统。
c)判例场景(所有):
1)网络边界访问控制设备无管理权限;2)未采取其他任何有效的访问控制措施,例如服务器自带防火墙未配置访问控制策略等;3)无法根据业务需要或所发生的安全事件及时调整访问控制策略。
d)补偿因素:
网络边界访问控制措施由云服务商提供或由集团公司统一管理,管理方能够根据系统的业务及安全需要及时调整访问控制策略,可从策略更改响应时间、策略有效性、执行效果等角度进行综合风险分析,根据分析结果,酌情判定风险等级。
6.2.4重要网络区域边界访问控制措施缺失本判例包括以下内容:
a)标准要求:
应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
b)适用范围:
二级及以上系统。
c)判例场景:
在网络架构上,重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)无访问控制设备实施访问控制措施,例如重要网络区域与互联网等外部非安全可控网络边界处、生产网络与员工日常办公网络之间、生产网络与无线网络接入区之间未部署访问控制设备实施访问控制措施等。
d)补偿因素:
无。
注注:
互联网边界访问控制设备包括但不限于防火墙、UTM等能实现相关访问控制功能的专用设备;对于内部边界访问控制,也可使用路由器、交换机或者带ACL功能的负载均衡器等设备实现。
测评过程中应根据设备部署5T/ISEAA001-2020位置、设备性能压力等因素综合进行分析,判断采用设备的合理性。
6.2.5关键线路和设备冗余措施缺失本判例包括以下内容:
a)标准要求:
应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
b)适用范围:
高可用性的三级及以上系统。
c)判例场景:
核心通信线路、关键网络设备和关键计算设备无冗余设计,一旦出现线路或设备故障,就可能导致服务中断。
d)补偿因素:
1)对于采用多数据中心方式部署,且通过技术手段实现应用级灾备,能降低生产环境设备故障所带来的可用性方面影响的情况,可从影响程度、RTO等角度进行综合风险分析,根据分析结果,酌情判定风险等级;2)对于关键计算设备采用虚拟化技术的情况,可从虚拟化环境的硬件冗余和虚拟化计算设备(如虚拟机、虚拟网络设备等)冗余等角度进行综合风险分析,根据分析结果,酌情判定风险等级。
6.2.6云计算平台等级低于承载业务系统等级本判例包括以下内容:
a)标准要求:
应保证云计算平台不承载高于其安全保护等级的业务应用系统。
b)适用范围:
二级及以上系统。
c)判例场景(任意):
1)云计算平台承载高于其安全保护等级(SxAxGx)的业务应用系统;2)业务应用系统部署在低于其安全保护等级(SxAxGx)的云计算平台上;3)业务应用系统部署在未进行等级保护测评、测评报告超出有效期或者等级保护测评结论为差的云计算平台上。
d)补偿因素:
无。
6.2.7重要数据传输完整性保护措施缺失本判例包括以下内容:
a)标准要求:
应采用校验技术或密码技术保证通信过程中数据的完整性。
b)适用范围:
三级及以上系统。
c)判例场景:
网络层或应用层无任何重要数据(如交易类数据、操作指令数据等)传输完整性保护措施,一旦数据遭到篡改,将对系统或个人造成重大影响。
d)补偿因素:
对于重要数据在可控网络中传输的情况,可从已采取的网络管控措施、遭受数据篡改的可能性等角度进行综合风险分析,根据分析结果,酌情判定风险等级。
6.2.8重要数据明文传输本判例包括以下内容:
a)标准要求:
应采用密码技术保证通信过程中数据的保密性。
b)适用范围:
三级及以上系统。
c)判例场景:
鉴别信息、个人敏感信息或重要业务敏感信息等以明文方式在不可控网络环境中传输。
6T/ISEAA001-2020d)补偿因素:
1)使用多种身份鉴别技术、限定管理地址等措施,获得的鉴别信息无法直接登录应用系统或设备,可根据实际措施效果,酌情判定风险等级;2)可从被测对象的作用、重要程度以及信息泄露后对整个系统或个人产生的影响等角度进行综合风险分析,根据分析结果,酌情判定风险等级。
6.3安全区域边界6.3.1无线网络管控措施缺失本判例包括以下内容:
a)标准要求:
应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
b)适用范围:
三级及以上系统。
c)判例场景:
内部重要网络与无线网络互联,且不通过任何受控的边界设备,或边界设备控制策略设置不当,一旦非授权接入无线网络即可访问内部重要资源。
d)补偿因素:
对于必须使用无线网络的场景,可从无线接入设备的管控和身份认证措施、非授权接入的可能性等角度进行综合风险分析,根据分析结果,酌情判定风险等级。
6.3.2重要网络区域边界访问控制配置不当本判例包括以下内容:
a)标准要求:
应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。
b)适用范围:
二级及以上系统。
c)判例场景:
重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)访问控制设备配置不当或控制措施失效,存在较大安全隐患。
例如办公网络任意网络终端均可访问核心生产服务器和网络设备;无线网络接入区终端可直接访问生产网络设备等。
d)补偿因素:
无。
6.3.3外部网络攻击防御措施缺失本判例包括以下内容:
a)标准要求:
应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。
b)适用范围:
二级及以上系统。
c)判例场景(任意):
1)二级系统关键网络节点无任何网络攻击行为检测手段,例如未部署入侵检测系统;2)三级及以上系统关键网络节点对外部发起的攻击行为无任何防护手段,例如未部署IPS入侵防御设备、应用防火墙、反垃圾邮件、态势感知系统或抗DDoS设备等;3)网络攻击/防护检测措施的策略库、规则库半年及以上未更新,无法满足防护需求。
d)补偿因素:
主机设备部署入侵防范产品,且策略库、规则库更新及时,能够对攻击行为进行检测、阻断或限制,可根据实际措施效果,酌情判定风险等级。
注注11:
策略库、规则库的更新周期可根据部署环境、行业或设备特性缩短或延长。
注注22:
所列举的防护设备仅为举例使用。
测评过程中,应分析定级对象所面临的威胁、风险以及安全防护需求,并以此为依据检查是否合理配备了对应的防护设备。
7T/ISEAA001-20206.3.4内部网络攻击防御措施缺失本判例包括以下内容:
a)标准要求:
应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。
b)适用范围:
三级及以上系统。
c)判例场景(任意):
1)关键网络节点对内部发起的攻击行为无任何检测、防护手段,例如未部署入侵检测系统、IPS入侵防御设备、态势感知系统等;2)网络攻击/防护检测措施的策略库、规则库半年及以上未更新,无法满足防护需求。
d)补偿因素:
1)对于主机设备部署入侵防范产品的情况,可从策略库、规则库更新情况,对攻击行为的防护能力等角度进行综合风险分析,根据分析结果,酌情判定风险等级;2)对于重要网络区域与其他内部网络之间部署防火墙等访问控制设备,且对访问的目标地址、目标端口、源地址、源端口、访问协议等有严格限制的情况,可从现有措施能否对内部网络攻击起到限制作用等角度进行综合风险分析,根据分析结果,酌情判定风险等级;3)对于与互联网完全物理隔离或强逻辑隔离的系统,可从网络、终端采取的管控,攻击源进入内部网络的可能性等角度进行综合风险分析,根据分析结果,酌情判定风险等级。
6.3.5恶意代码防范措施缺失本判例包括以下内容:
a)标准要求:
应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的更新。
b)适用范围:
二级及以上系统。
c)判例场景(所有):
1)主机层无恶意代码检测和清除措施,或恶意代码库一个月以上未更新;2)网络层无恶意代码检测和清除措施,或恶意代码库一个月以上未更新。
d)补偿因素:
1)对于使用Linux、Unix、Solaris、CentOS、AIX、Mac等非Windows操作系统的二级系统,主机和网络层均未部署恶意代码检测和清除产品,可从总体防御措施、恶意代码入侵的可能性等角度进行综合风险分析,根据分析结果,酌情判定风险等级;2)与互联网完全物理隔离或强逻辑隔离的系统,其网络环境可控,并采取USB介质管控、部署主机防护软件、软件白名单等技术措施,能有效防范恶意代码进入被测主机或网络,可根据实际措施效果,酌情判定风险等级;3)主机设备采用可信基的防控技术,对设备运行环境进行有效度量,可根据实际措施效果,酌情判定风险等级。
6.3.6网络安全审计措施缺失本判例包括以下内容:
a)标准要求:
应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
b)适用范围:
二级及以上系统。
8T/ISEAA001-2020c)判例场景(所有):
1)在网络边界、关键网络节点无法对重要的用户行为进行日志审计;2)在网络边界、关键网络节点无法对重要安全事件进行日志审计。
d)补偿因素:
无。
注:
网络安全审计指通过对网络边界或重要网络节点的流量数据进行分析,从而形成的网络安全审计数据。
网络安全审计包括网络流量审计和网络安全事件审计,其中网络流量审计主要是通过对网络流量进行统计、关联分析、识别和筛选,实现对网络中特定重要行为的审计,例如对各种违规的访问协议及其流量的审计、对访问敏感数据的人员行为或系统行为的审计等;网络安全事件审计包括但不限于对网络入侵检测、网络入侵防御、防病毒产品等设备检测到的网络攻击行为、恶意代码传播行为的审计等。
6.4安全计算环境6.4.1网络设备、安全设备和主机设备6.4.1.1设备存在弱口令或相同口令本判例包括以下内容:
a)标准要求:
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
b)适用范围:
二级及以上系统。
c)判例场景(任意):
1)安全设备、主机设备(包括操作系统、数据库等)存在可登录的弱口令账户(包括空口令、无身份鉴别机制);2)理员账户口令相同,单台设备口令被破解将导致大量设备被控制。
d)补偿因素:
对于因业务场景需要,使用无法设置口令或口令强度达不到要求的专用设备,可从设备登录方式、物理访问控制、访问权限、其他技术防护措施、相关管理制度落实等角度进行综合风险分析,根据分析结果,酌情判定风险等级。
6.4.1.2设备鉴别信息防窃听措施缺失本判例包括以下内容:
a)标准要求:
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
b)适用范围:
二级及以上系统。
c)判例场景(所有):
1)网络设备
升级会员 