网络安全等级保护测评高风险判定指引（2019定稿）.doc

5星 · 超过95%的资源需积分: 9 264 浏览量更新于2023-03-16 评论收藏 367KB DOC 举报

身份认证购VIP最低享 7 折!

领优惠券(最高得80元）

资源详情

资源评论

资源推荐

网络安全等级保护测评

高风险判定指引

信息安全测评联盟

2019 年 6 月

目  录
适用范围 1
术语和定义 1
参考依据 2
安全物理环境 2
1  物理访问控制 2
1.1  机房出入口控制措施.................................................................................2
2  防盗窃和防破坏 3
机房防盗措施.................................................................................................3
1  防火 3
机房防火措施.................................................................................................3
1  温湿度控制 4
机房温湿度控制措施.......................................................................................4
1  电力供应 5
机房短期的备用电力供应措施...........................................................................5
机房电力线路冗余措施....................................................................................5
机房应急供电措施.........................................................................................6
1  电磁防护 6
1.1  机房电磁防护措施...................................................................................6
安全通信网络7
1  网络架构 7
1.1  网络设备业务处理能力............................................................................7
1.2  网络区域划分.........................................................................................8
1.3  网络访问控制设备不可控.........................................................................8
1.4  互联网边界访问控制...............................................................................9
1.5  不同区域边界访问控制............................................................................9
1.6  关键线路、设备冗余.............................................................................10
2  通信传输 11
2.1  传输完整性保护....................................................................................11
2.2  传输保密性保护....................................................................................11
安全区域边界12
1  边界防护 12
1.1  互联网边界访问控制.............................................................................12
1.2  网络访问控制设备不可控.......................................................................12
1.3  违规内联检查措施.................................................................................13
1.4  违规外联检查措施.................................................................................14
1.5  无线网络管控措施.................................................................................14
2  访问控制 15
2.1  互联网边界访问控制.............................................................................15

2.2  通信协议转换及隔离措施.......................................................................16
3  入侵防范 16
3.1  外部网络攻击防御.................................................................................16
3.2  内部网络攻击防御.................................................................................17
4  恶意代码和垃圾邮件防范 18
4.1  网络层恶意代码防范.............................................................................18
5  安全审计 18
5.1  网络安全审计措施.................................................................................18
安全计算环境19
1  网络设备、安全设备、主机设备等 19
1.1  身份鉴别.............................................................................................19
1.1.1  设备弱口令.......................................................................................19
1.1.2  远程管理防护....................................................................................20
1.1.3  双因素认证.......................................................................................21
1.2  访问控制.............................................................................................22
1.2.1  默认口令处理....................................................................................22
1.3  安全审计.............................................................................................22
1.3.1  设备安全审计措施..............................................................................22
1.4  入侵防范.............................................................................................23
1.4.1  不必要服务处置.................................................................................23
1.4.2  管理终端管控措施..............................................................................23
1.4.3  已知重大漏洞修补..............................................................................24
1.4.4  测试发现漏洞修补..............................................................................25
1.5  恶意代码防范.......................................................................................25
1.5.1  操作系统恶意代码防范.......................................................................25
2  应用系统 26
2.1  身份鉴别.............................................................................................26
2.1.1  口令策略..........................................................................................26
2.1.2  弱口令..............................................................................................27
2.1.3  登录失败处理....................................................................................27
2.1.4  双因素认证.......................................................................................28
2.2  访问控制.............................................................................................29
2.2.1  登录用户权限控制..............................................................................29
2.2.2  默认口令处理....................................................................................30
2.2.3  访问控制策略....................................................................................30
2.3  安全审计.............................................................................................31
2.3.1  安全审计措施....................................................................................31
2.4  入侵防范.............................................................................................32
2.4.1  数据有效性检验功能..........................................................................32
2.4.2  已知重大漏洞修补..............................................................................32
2.4.3  测试发现漏洞修补..............................................................................33
2.5  数据完整性..........................................................................................34
2.5.1  传输完整性保护.................................................................................34

2.6  数据保密性..........................................................................................34
2.6.1  传输保密性保护.................................................................................34
2.6.2  存储保密性保护.................................................................................35
2.7  数据备份恢复.......................................................................................35
2.7.1  数据备份措施....................................................................................35
2.7.2  异地备份措施....................................................................................36
2.7.3  数据处理冗余措施..............................................................................37
2.7.4  异地灾难备份中心..............................................................................37
2.8  剩余信息保护.......................................................................................38
2.8.1  鉴别信息释放措施..............................................................................38
2.8.2  敏感数据释放措施..............................................................................38
2.9  个人信息保护.......................................................................................39
2.9.1  个人信息采集、存储..........................................................................39
2.9.2  个人信息访问、使用..........................................................................39
安全区域边界40
1  集中管控 40
1.1  运行监控措施.......................................................................................40
1.2  日志集中收集存储.................................................................................41
1.3  安全事件发现处置措施..........................................................................41
安全管理制度42
1  管理制度 42
1.1  管理制度建设.......................................................................................42
安全管理机构42
1  岗位设置 42
1.1  网络安全领导小组建立..........................................................................42
安全建设管理43
1  产品采购和使用 43
1.1  网络安全产品采购和使用.......................................................................43
1.2  密码产品与服务采购和使用....................................................................43
2  外包软件开发 44
2.1  外包开发代码审计.................................................................................44
3  测试验收 45
3.1  上线前安全测试....................................................................................45
安全运维管理46
1  漏洞和风险管理 46
1.1  安全漏洞和隐患的识别与修补.................................................................46
2  网络和系统安全管理 46
2.1  重要运维操作变更管理..........................................................................46
2.2  运维工具的管控....................................................................................47
2.3  运维外联的管控....................................................................................48
3  恶意代码防范管理 48