高风险判定指引：9安全建设管理

9/安全建设管理/产品采购和使用

6.8.1违规采购和使用网络安全产品

本判例包括以下内容：

a）标准要求：应确保网络安全产品的采购和使用符合国家有关规定。

b）适用范围：三级及以上系统。

c）判例场景：网络安全产品的采购和使用违反国家有关规定，“例如采购、使用的安全产品未获得销售许可证、未通过国家有关机构的安全检测等”。

d）补偿因素：对于使用开源、自研的网络安全产品（非销售类安全产品）的情况，可从该网络安全产品的作用、功能、使用场景、国家及行业主管部门的要求等角度进行综合风险分析，充分考虑该网络安全产品未通过专业机构检测，一旦出现功能缺陷、安全漏洞等问题对定级对象带来的影响，根据分析结果，酌情判定风险等级。

建议依据国家有关规定，采购和使用网络安全产品，例如采购或使用获得销售许可证或通过相关机构的检测认证的网络安全产品

 

9/安全建设管理/外包软件开发

6.8.2外包开发代码审计措施缺失

本判例包括以下内容：

a）标准要求：应保证开发单位提供软件源代码，并审查软件中可能存在的后门和隐蔽信道。

b）适用范围：三级及以上系统。

c）判例场景（所有）：

    1）涉及国计民生的核心业务系统，被测单位未对开发单位开发的系统进行源代码安全审查；

    2）开发单位未提供任何第三方机构提供的安全性检测证明。

d）补偿因素：

    1）定级对象建成时间较长，虽未进行源代码安全审查，但定期进行安全检测，并能够提供安全检测报告，且当前管理制度中明确规定外包开发代码审计，可根据实际措施效果，酌情判定风险等级；

    2）对于被测单位通过合同等方式与开发单位明确安全责任并采取相关技术手段进行防控的情况，可从已采取的技术防范措施等角度进行综合风险分析，根据分析结果，酌情判定风险等级；

    3）对于部分模块外包开发的情况，可从外包开发模块的用途、重要性等角度进行综合风险分析，根据分析结果，酌情判定风险等级。

    建议对开放单位开发的核心系统进行源代码审查，检查是否存在后门和隐蔽信道。如没有技术手段进行源代码审查的，可聘请第三方专业机构对相关代码进行安全检测

 

9/安全建设管理/测试验收

6.8.3上线前未开展安全测试

本判例包括以下内容：

a）标准要求：应进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容。

b）适用范围：三级及以上系统。

c）判例场景：系统上线前未开展任何安全性测试，或未对测试发现的高风险问题进行安全评估和整改。

d）补偿因素：定级对象建成时间较长，上线前虽未进行安全性测试，但上线后定期开展安全检测，且检测未发现高危风险隐患，可根据实际措施效果，酌情判定风险等级。

注：安全测试内容包括但不限于等级保护测评、扫描渗透测试、安全功能验证、源代码安全审核等。

建议在新系统上线前，对系统进行安全性评估，及时修补评估过程中发现的问题，确保系统安全上线

 

 

本文始发于微信公众号（网络安全等保测评）：高风险判定指引：9安全建设管理