重大风险隐患项描述实践指南
|——
根据2025网络安全等级保护测评报告中重大风险隐患章节,结合《网络安全等级保护测评高风险判定指引》、《重大风险隐患触发项参照表》,对重大风险隐患项的后果分析、相关性、严重性、高发性、综合分析和整改建议进行详细阐述,旨在帮助测评师在报告编制环节提供参考。
以下内容均为个人经验总结,诸位自取;留言区开放,欢迎诸位讨论交流、指教。
如若对您有帮助,文末可赞赏鼓励小编(赞赏后可获取以下内容的md文件),谢谢!
一、安全物理环境
机房出入口访问控制措施缺失
【控制点】:物理访问控制
【测评项】:机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员
【重大风险隐患触发项】:机房出入口访问控制措施缺失
【安全问题描述】:
1)机房出入口无任何访问控制措施,例如未安装电子或机械门锁(包括机房大门处于未上锁状态),且机房门口无专人值守等;
2)其他。
【后果分析】:导致非授权人员可随意进出机房,造成机房设备和环境被窃取或破坏等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过实地勘察发现机房存在出入口未安装电子或机械门锁,且机房门口无专人值守的情况,符合《网络安全等级保护测评高风险判定指引》中的问题描述”机房出入口无任何访问控制措施,例如未安装电子或机械门锁(包括机房大门处于未上锁状态)、无专人值守等“。且机房出入口通道未见安装监控摄像头,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,非授权人员可随意进出机房,对机房设备和环境进行窃取或破坏,造成设备受损、丢失等严重后果。
【高发性】:经实地勘察验证,测评人员可在未经客户单位相关人员引导授权的情况下,非授权进入机房,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象机房出入口访问控制措施缺失,利用该问题可非授权进入机房,进而造成机房设备和环境被窃取或破坏等严重后果,属重大风险隐患问题。
【整改建议】:建议在机房出入口部署访问控制措施,例如电子或机械门锁(首选电子门禁),以达到对机房进出人员进行识别、控制、记录的目的。
室外控制设备防护缺失
【控制点】:室外控制设备物理防护
【测评项】:室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风、散热、防盗、防雨和防火能力等。
【重大风险隐患触发项】:室外控制设备防护缺失
【安全问题描述】:
1)室外控制设备裸露放置、无固定措施,无法做到防水、防盗和防火;
2)放置控制设备的箱体或装置不具有相关检测验收报告,不具有透风、散热、防盗、防雨和防火能力;
3)其他。
【后果分析】:导致室外控制设备易受天气等环境因素及人为因素影响,造成室外控制设备被破坏或受损等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过实地勘察发现室外控制设备裸露放置,仅进行了简单的固定,不具备防水、防盗和防火等能力,且室外控制设备表面有明显的锈痕,符合《重大风险隐患触发项参照表》中问题描述,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题情况一旦发生或被利用,或因环境及认为因素影响,造成室外控制设备受损、失能、丢失等严重后果。
【高发性】:经实地勘察验证,室外控制设备所在地环境因素易潮湿/干燥,且测评人员可在未经客户单位相关人员引导授权的情况下,非授权对室外控制设备进行人为干预,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象室外控制设备防护缺失,利用该问题室外控制设备易受环境、认为因素影响或干预,进而造成室外控制设备受损、失能、丢失等严重后果,属重大风险隐患问题。
【整改建议】:建议选择具有相关检测验收报告的箱体和装置放置室外控制设备,报告中需明确具备透风、散热、防盗、防雨和防火的能力
二、安全通信网络
网络设备业务处理能力不足
【控制点】:网络架构
【测评项】:应保证网络设备的业务处理能力满足业务高峰期需要。
【重大风险隐患触发项】:网络设备业务处理能力不足
【安全问题描述】:
1)网络设备、安全设备等网络链路上的关键设备性能无法满足高峰期需求;
2)其他。
【后果分析】:导致业务高峰期的关键链路设备业务处理能力不足,造成服务中断或业务连续性受损等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过配置核查关键网络链路的网络设备、安全设备的CPU、内存、带宽利用率等关键信息,发现各项指标均在80%以上,符合《网络安全等级保护测评高风险判定指引》中的问题描述“核心交换机、核心路由器、边界防火墙等网络链路上的关键设备性能无法满足高峰期需求,可能导致服务质量严重下降或中断,例如性能指标平均达到80%以上(80%仅为参考值,可根据设备类型、处理效果等情况综合判断;性能指标包括CPU、内存占用率、吞吐量等)”。且访谈安全相关人员,在日常业务高峰期时,出现过网络阻塞、卡顿、反应迟钝的现象,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题情况一旦发生,导致关键链路设备业务处理能力不足,造成服务中断或业务连续性受损等严重后果。
【高发性】:经配置核查,测评人员发现关键网络链路的网络设备、安全设备的CPU、内存、带宽利用率等关键信息的各项指标均在80%以上,且设备管理界面已出现告警信息/设备面板状态灯已激活红色告警灯(这个部分厂家的设备会有,根据实际情况进行描述),故该问题发生的可能性极大。
【综合分析】:综合以上分析,定级对象网络设备业务处理能力不足,该问题发生的可能性极大,进而造成服务中断或业务连续性受损等严重后果,属重大风险隐患问题。
【整改建议】:建议模拟高峰流量进行压力测试,掌握业务高峰期的各网络设备所需性能要求,对不符合性能要求的设备进行策略调优或更换。
云计算平台虚拟网络隔离措施缺失
【控制点】:网络架构
【测评项】:应实现不同云服务客户虚拟网络之间的隔离。
【重大风险隐患触发项】:云计算平台虚拟网络隔离措施缺失
【安全问题描述】:
1)云计算平台未采取网络隔离技术实现不同云服务客户虚拟网络之间的隔离;
2)其他。
【后果分析】:导致云资源安全风险激增,造成数据泄露与非法访问、边界模糊引发的漏洞利用等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过配置核查发现不同云服务客户之间未采取虚拟VPC等网络隔离技术实现不同云服务客户虚拟网络之间的隔离;符合《重大风险隐患触发项参照表》中问题描述,且经测试验证情况属实,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,恶意人员可通过隔离措施缺失、边界模糊问题进行横向网络嗅探、攻击,造成数据泄露与非法访问、漏洞利用等严重后果。
【高发性】:经实地测试验证,测评人员可通过云服务客户A的虚拟资源对云服务客户B的虚拟资源进行嗅探等操作,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象云计算平台虚拟网络隔离措施缺失,利用该问题可进行横向网络嗅探、攻击,造成数据泄露与非法访问、漏洞利用等严重后果,属重大风险隐患问题。
【整改建议】:建议在不同云服务客户之间采取虚拟VPC等网络隔离技术实现不同云服务客户虚拟网络之间的隔离,防止出现数据泄露与非法访问、边界模糊引发的漏洞利用等情况。
云计算平台未提供安全防护能力
【控制点】:网络架构
【测评项】:应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。
【重大风险隐患触发项】:云计算平台未提供安全防护能力
【安全问题描述】:
1)云计算平台无法提供满足云服务客户业务需要的通信传输、边界防护、入侵防范等安全机制;
2)其他。
【后果分析】:导致恶意人员可对云上资源进行嗅探、攻击,造成云资源失能、数据泄露、业务中断等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过访谈及核查发现定级对象无法根据云服务客户业务场景安全诉求提供相应的安全服务和解决方案,以保障云服务客户在通信传输、边界防护、入侵防范方面的安全机制,符合《重大风险隐患触发项参照表》中问题描述,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,恶意人员可对云上资源进行嗅探、攻击,造成云资源失能、数据泄露、业务中断等严重后果。
【高发性】:经实地测试验证,测评人员利用云计算平台安全防护能力薄弱问题,对云上资源进行嗅探、攻击,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象云计算平台未提供安全防护能力,利用该问题恶意人员可对云上资源进行嗅探、攻击,造成云资源失能、数据泄露、业务中断等严重后果,属重大风险隐患问题。
【整改建议】:建议云计算平台需对云服务客户在通信传输、边界防护、入侵防范等方面提供安全机制,保障云资源免受恶意人员的嗅探、攻击。
工业控制系统网络隔离措施缺失
【控制点】:网络架构
【测评项】:工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段。
【重大风险隐患触发项】:工业控制系统网络隔离措施缺失
【安全问题描述】:
1)工业控制系统与企业其他系统之间未划分单独的网络区域;
2)数据交互未采用单向隔离装置或单向隔离装置未配置有效的访问控制策略;
3)其他。
【后果分析】:导致工控系统网络直接暴露于企业办公网的相关威胁中,例如病毒等,造成工业控制系统业务安全性、系统服务连续性受影响等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过实地核查验证发现工业控制系统与企业其他系统之间未划分单独的网络区域,在进行数据交互的过程中未采用单向隔离装置进行控制,符合《重大风险隐患触发项参照表》中问题描述,且不符合“横向隔离”的工控系统要求,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,导致工控系统网络直接暴露于企业办公网的相关威胁中,例如病毒等,造成工业控制系统业务安全性、系统服务连续性受影响等严重后果。
【高发性】:经实地测试验证,测评人员可接入企业办公网对工控系统网络进行嗅探、攻击,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象工业控制系统网络隔离措施缺失,利用该问题工控系统网络将直接暴露于企业办公网的相关威胁中,进而造成工业控制系统业务安全性、系统服务连续性受影响等严重后果,属重大风险隐患问题。
【整改建议】:建议工业控制系统同企业其它系统之间部署单向隔离装置,并配置有效的访问控制策略,避免工控系统网络遭受企业办公网的相关威胁危害。
工业控制系统所在网络区域划分不当,访问控制措施缺失
【控制点】:网络架构
【测评项】:工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段。
【重大风险隐患触发项】:工业控制系统所在网络区域划分不当,访问控制措施缺失
【安全问题描述】:
1)工业控制系统所在的生产网络未根据不同工业控制系统业务特点划分不同安全域;
2)不同安全域之间无任何访问控制措施或访问控制措施无效;
3)其他。
【后果分析】:导致网络攻击或威胁行为在生产网络间横向传播,造成工业控制系统失能、宕机等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过配置核查发现各安全域(例如电力的安全Ⅰ区、Ⅱ区等)间无访问控制策略,符合《重大风险隐患触发项参照表》中问题描述,且经连通性测试,情况属实,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,网络攻击或威胁行为可在生产网络间横向传播,造成工业控制系统失能、宕机等严重后果
【高发性】:经实地测试验证,测评人员进行网络连通性测试,测试结果表示各安全域网络均畅通,无访问控制策略,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象工业控制系统所在网络区域划分不当,访问控制措施缺失,利用该问题可导致网络攻击或威胁行为在生产网络间横向传播,造成工业控制系统失能、宕机等严重后果。
【整改建议】:建议在工业控制系统所在的生产网络中根据不同工业控制系统业务特点划分不同安全域,并进行测试验证,确保访问控制策略有效可行。
工业控制系统广域网传输控制指令防护措施缺失
【控制点】:通信传输
【测评项】:在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。
【重大风险隐患触发项】:工业控制系统广域网传输控制指令防护措施缺失
【安全问题描述】:
1)未使用基于密码技术的身份鉴别技术;
2)未使用密码技术保证数据传输过程中的完整性和保密性;
3)其他。
【后果分析】:导致指令篡改、数据泄露,造成严重的生产事故及法律风险等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过测试验证发现定级对象在使用广域网进行控制指令或相关数据交换时未采用加密认证技术,控制指令及相关数据明文传输,无法实现身份认证、访问控制和数据加密传输,符合《重大风险隐患触发项参照表》中问题描述,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,非授权人员可通过WAN嗅探敏感信息(例如工艺参数、设备状态、生产计划等),甚至进行中间人攻击,对控制指令进行篡改或构造恶意控制指令,造成严重的生产事故及法律风险。
【高发性】:经测试验证,测评人员可通过WAN嗅探敏感信息,并对控制指令进行篡改等操作,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象工业控制系统广域网传输控制指令防护措施缺失,利用该问题可通过WAN嗅探敏感信息,并对控制指令进行篡改等操作,进而造成造成严重的生产事故及法律风险等严重后果,属重大风险隐患问题。
【整改建议】:建议实施协议加密与身份认证措施,确保使用广域网进行控制指令或相关数据交换时可实现身份认证、访问控制和数据加密传输的要求。
三、安全区域边界
网络边界接入设备或端口不可控
【控制点】:边界防护
【测评项】:应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
【重大风险隐患触发项】:网络边界接入设备或端口不可控
【安全问题描述】:
1) 网络边界链路接入设备未配置明确的上联链路端口;
2) 网络边界链路接入设备端口IP及路由策略不明确;
3) 网络边界链路接入设备未关闭不使用的端口;
4)其他。
【后果分析】:导致定级对象边界情况模糊、路由策略配置失效或冲突、系统资源暴露面过大,造成非授权接入、路由冲突或资源抢占、恶意攻击等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过配置核查边界接入设备安全策略,发现边界设备安全策略模糊,不明确,存在端口开放范围过大的情况,符合《重大风险隐患触发项参照表》中问题描述,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,非授权设备或可接入网络、非授权人员或可对定级对象开放端口进行攻击,造成设备、系统遭受非法侵害、数据丢失、失能等严重后果。
【高发性】:经核查验证,测评人员可在未经客户单位相关人员引导授权的情况下,非授权接入设备对系统进行嗅探等攻击,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象网络边界接入设备或端口不可控,利用该问题可非授权接入设备对系统进行嗅探等攻击,进而造成设备、系统遭受非法侵害、数据丢失、失能等严重后果,属重大风险隐患问题。
【整改建议】:建议在网络边界链路接入设备中依据定级对象实际安全状况、技术及管理要求,进行端口与策略标准化配置、路由与访问控制强化等安全措施,并进行测试验证,确保安全策略配置的有效性。
无线网络管控措施缺失
【控制点】:边界防护
【测评项】:应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
【重大风险隐患触发项】:无线网络管控措施缺失
【安全问题描述】:
1)内部重要网络与无线网络互联,且不通过任何受控的边界设备或边界设备访问控制策略设置不当;
2)其他。
【后果分析】:导致非授权人员接入无线网络,造成内部资源泄露或被破坏等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过访谈发现定级对象网络环境中存在无线网络,内部网络同无线网络在互联的过程中未通过任何受控的边界设备,符合《网络安全等级保护测评高风险判定指引》中的问题描述“内部重要网络与无线网络互连,且不通过任何受控的边界设备,或边界设备控制策略设置不当,一旦非授权接入无线网络即可访问内部重要资源”。且经测试验证,情况属实,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,非授权人员可接入无线网络,对定级对象进行攻击,造成内部资源泄露或被破坏等严重后果。
【高发性】:经实地测试验证,测评人员可在未经客户单位相关人员引导授权的情况下,接入无线网络后对定级对象进行攻击,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,无线网络管控措施缺失,利用该问题可非授权接入无线网络,进而造成内部资源泄露或被破坏等严重后果,属重大风险隐患问题。
【整改建议】:建议在条件允许的情况下无线网络应单独组网,若存在使用无线网络的必要情况,则应在无线网络与内部网络互联的过程中接入受控的边界设备,并配置严格的访问控制策略,保障内部网络的安全性。
重要网络区域边界访问控制措施缺失或配置不当
【控制点】:访问控制
【测评项】:应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。
【重大风险隐患触发项】:重要网络区域边界访问控制措施缺失或配置不当
【安全问题描述】:
1)重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)访问控制设备缺失或访问控制措施失效;
2)其他。
【后果分析】:导致攻击者可从外部直接攻击内部网络区域或从低安全域攻击重要安全域,造成信息系统数据泄露、被破坏、面临法律风险等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过配置核查发现边界设备中的访问控制策略存在缺失/配置不当情况,符合《网络安全等级保护测评高风险判定指引》中的问题描述“重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)访问控制设备配置不当或控制措施失效,存在较大安全隐患。”。且经测试验证,测评人员可从外部直接攻击内部网络区域或从低安全域攻击重要安全域,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,可从外部直接攻击内部网络区域或从低安全域攻击重要安全域,造成信息系统数据泄露、被破坏、面临法律风险等严重后果。
【高发性】:经实地测试验证,测评人员可外部直接攻击内部网络区域或从低安全域攻击重要安全域,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象重要网络区域边界访问控制措施缺失或配置不当,利用该问题可从外部直接攻击内部网络区域或从低安全域攻击重要安全域,造成信息系统数据泄露、被破坏、面临法律风险等严重后果,属重大风险隐患问题。
【整改建议】:建议在重要网络区域与其他网络区域之间部署访问控制设备,并根据技术、管理的实际要求,配置访问控制策略,并进行测试验证,确保策略的有效性。
工业控制系统与企业其他系统之间未对通用网络服务进行限制
【控制点】:访问控制
【测评项】:应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-Mail、 WEB、Telnet、Rlogin、 FTP等通用网络服务。
【重大风险隐患触发项】:工业控制系统与企业其他系统之间未对通用网络服务进行限制
【安全问题描述】:
1)工业控制系统与企业其他系统之间未部署访问控制设备;
2)工业控制系统与企业其他系统之间未对任何通用的网络服务如E-Mail、WEB、Telnet、Rlogin、FTP等进行限制;
3)其他。
【后果分析】:导致攻击者通过通用网络服务(如FTP、RDP)等,利用企业网漏洞(如未修补的Web服务器)作为跳板,通过开放协议渗透至工控系统,造成工控设备停机等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过配置核查发现工业控制系统与企业其它系统之间部署的访问控制设备中未对通用网络服务进行限制,符合《重大风险隐患触发项参照表》中问题描述,且在测试验证时发现工业控制系统中存在高危端口,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,攻击者可通过通用网络服务(如FTP、RDP)等,利用企业网漏洞(如未修补的Web服务器)作为跳板,通过开放协议渗透至工控系统,造成工控设备停机等严重后果。
【高发性】:经实地测试验证,测评人员可在企业网通过ftp、rdp服务,对工业控制系统操作员站建立连接请求,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象工业控制系统与企业其他系统之间未对通用网络服务进行限制,利用该问题攻击者可通过通用网络服务(如FTP、RDP)等,利用企业网漏洞(如未修补的Web服务器)作为跳板,通过开放协议渗透至工控系统,造成工控设备停机等严重后果,属重大风险隐患问题。
【整改建议】:建议在工业控制系统与企业其它系统之间的访问控制设备中配置严格的访问控制策略,阻断非必要协议(如Web、FTP),仅允许工控专有协议(如OPC UA等)通行。
外部网络攻击防御措施缺失
【控制点】:入侵防范
【测评项】:应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。
【重大风险隐患触发项】:外部网络攻击防御措施缺失
【安全问题描述】:
1)关键网络节点无任何网络攻击行为检测手段和防护手段;
2)网络攻击行为检测措施的策略库/规则库半年及以上未更新;
3)其他。
【后果分析】:导致运维人员无法对外部入侵行为及时的进行识别并作出响应,造成定级对象遭受潜在网络攻击的可能性增大,甚至被攻破等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过访谈核查,发现定级对象网络环境中未部署相应设备,且未采取相应防护手段对外部网络攻击行为进行检测、防止或限制,符合《网络安全等级保护测评高风险判定指引》中的问题描述“1)二级系统关键网络节点无任何网络攻击行为检测手段;2)三级及以上系统关键网络节点对外部发起的攻击行为无任何防护手段;”。通过对整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,运维人员无法对外部入侵行为及时的进行识别并作出响应,造成定级对象遭受潜在网络攻击的可能性增大,甚至被攻破等严重后果。
【高发性】:经实地测试验证,测评人员通过外部网络对定级对象进行模拟攻击,例如端口扫描、目录扫描等操作时,运维人员无法通过设备或安全手段对测评人员的测试攻击行为进行识别和响应,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,外部网络攻击防御措施缺失,利用该问题运维人员无法对外部入侵行为及时的进行识别并作出响应,进而造成定级对象遭受潜在网络攻击的可能性增大,甚至被攻破等严重后果,属重大风险隐患问题。
【整改建议】:建议在定级对象所处网络环境的关键节点处,部署入侵防御类安全设备,使来自外部的攻击行为可被识别、检测和阻断等。
内部网络攻击防御措施缺失
【控制点】:入侵防范
【测评项】:应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。
【重大风险隐患触发项】:内部网络攻击防御措施缺失
【安全问题描述】:
1)关键网络节点无任何网络攻击行为检测手段和防护手段;
2)网络攻击行为检测措施的策略库/规则库半年及以上未更新;
3)其他。
【后果分析】:导致运维人员无法对内部入侵行为及时的进行识别并作出响应,造成定级对象遭受潜在网络攻击的可能性增大,甚至被攻破等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过访谈核查,发现定级对象网络环境中未部署相应设备,且未采取相应防护手段对内部网络攻击行为进行检测、防止或限制,符合《网络安全等级保护测评高风险判定指引》中的问题描述“1)关键网络节点对内部发起的攻击行为无任何检测、防护手段;2)网络攻击/防护检测措施的策略库、规则库半年及以上未更新,无法满足防护需求”。通过对整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,运维人员无法对内部入侵行为及时的进行识别并作出响应,造成定级对象遭受潜在网络攻击的可能性增大,甚至被攻破等严重后果。
【高发性】:经实地测试验证,测评人员通过内部网络对定级对象进行模拟攻击,例如端口扫描、目录扫描等操作时,运维人员无法通过设备或安全手段对测评人员的测试攻击行为进行识别和响应,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,内部网络攻击防御措施缺失,利用该问题运维人员无法对内部入侵行为及时的进行识别并作出响应,进而造成定级对象遭受潜在网络攻击的可能性增大,甚至被攻破等严重后果,属重大风险隐患问题。
【整改建议】:建议在定级对象所处网络环境的关键节点处,部署入侵防御类安全设备,使来自内部的攻击行为可被识别、检测和阻断等。
网络行为分析措施缺失
【控制点】:入侵防范
【测评项】:应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。
【重大风险隐患触发项】:网络行为分析措施缺失
【安全问题描述】:
1)关键网络节点对新型网络攻击行为网络访问行为无任何分析手段,例如未部署抗APT系统、全流量分析系统、沙箱系统、具备行为分析功能的态势感知系统、威胁情报系统等;
2)基于威胁情报、行为分析模型进行行为分析的安全措施,半年及以上未更新威胁情报库、事件分析模型,无法满足防护需求;
3)其他。
【后果分析】:导致运维人员无法对新型网络攻击行为及时的进行识别并作出响应,造成定级对象遭受新型网络攻击的可能性增大,甚至被攻破等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过访谈核查,发现定级对象所处网络环境中,未部署可实现对新型网络攻击行为进行分析的安全防护设备,符合《重大风险隐患触发项参照表》中问题描述,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,运维人员无法对新型网络攻击行为及时的进行识别并作出响应,造成定级对象遭受新型网络攻击的可能性增大,甚至被攻破等严重后果。
【高发性】:经测试验证,测评人员在网络中提交含有Nday利用相关的恶意数据包,定级对象所处网络环境中各设备均无任何告警信息,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象网络行为分析措施缺失,利用该问题可导致运维人员无法对新型网络攻击行为及时的进行识别并作出响应,造成定级对象遭受新型网络攻击的可能性增大,甚至被攻破等严重后果,属重大风险隐患问题。
【整改建议】:建议在定级对象所处网络环境中部署相应设备,例如抗APT系统、全流量分析系统、沙箱系统、具备行为分析功能的态势感知系统、威胁情报系统等,实现对对网络攻击特别是新型网络攻击行为的分析。
云计算平台网络攻击防御措施缺失
【控制点】:入侵防范
【测评项】:应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等。
【重大风险隐患触发项】:云计算平台网络攻击防御措施缺失
【安全问题描述】:
1)云计算平台对云服务客户发起的网络攻击行为无任何检测手段;
2)网络攻击行为检测措施的策略库/规则库半年及以上未更新;
3)其他。
【后果分析】:导致无法对来自云服务客户系统的网络攻击行为进行检测,并及时做出响应,造成云资源受损、信息泄露等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过云服务客户的云资源对云平台进行嗅探等渗透模拟攻击,发现云计算平台无任何检测措施,无法检测到来自云服务客户的网络攻击行为,符合《重大风险隐患触发项参照表》中问题描述,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,运维人员无法对来自云服务客户系统的网络攻击行为进行检测,并及时做出响应,造成云资源受损、信息泄露等严重后果。
【高发性】:经实地测试验证,测评人员通过云服务客户的云资源对云平台进行嗅探等渗透模拟攻击,发现云计算平台无任何检测措施,无法检测到来自云服务客户的网络攻击行为,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象云计算平台网络攻击防御措施缺失,利用该问题可导致云平台无法检测云服务客户发起的网络攻击行为,进而造成云资源受损、信息泄露等严重后果,属重大风险隐患问题。
【整改建议】:建议在云计算平台网络环境中部署入侵防御/入侵检测等安全防护设备,对云服务客户发起的网络攻击行为进行检测,并维持设备检测策略库/规则的定期更新(每半年至少更新一次)。
非授权感知节点设备能够接入网络中
【控制点】:接入控制
【测评项】:应保证只有授权的感知节点可以接入。
【重大风险隐患触发项】:非授权感知节点设备能够接入网络中
【安全问题描述】:
1)感知节点设备(例如感知节点接入网关、传感器等设备)未经授权可以接入网络;
2)其他。
【后果分析】:导致恶意终端/设备可接入网络,从而对定级对象进行攻击,造成敏感信息泄露、获取权限等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员经实地测试验证,发现通过感知节点网络接口,可非授权接入终端设备,成功入网。符合《重大风险隐患触发项参照表》中问题描述,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,攻击者可通过感知节点网络接口非授权接入设备并成功入网,对定级对象攻击,造成敏感信息泄露、获取权限等严重后果。
【高发性】:经实地测试验证,测评人员可通过感知节点网络接口非授权接入设备并成功入网,且可进行嗅探等网络攻击行为,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象非授权感知节点设备能够接入网络中,利用该问题导致恶意终端/设备可接入网络,从而对定级对象进行攻击,造成敏感信息泄露、获取权限等严重后果,属重大风险隐患问题。
【整改建议】:建议对物联网感知节点网络接口进行全面梳理,并在网络设备中进行IP/MAC绑定,防止非授权设备通过感知节点网络接口接入网络。
四、安全计算环境
存在空口令、弱口令、通用口令或无身份鉴别措施
【控制点】:身份鉴别
【测评项】:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
【重大风险隐患触发项】:存在空口令、弱口令、通用口令或无身份鉴别措施
【安全问题描述】:
1)存在可登录的空口令账户、无身份鉴别措施或身份鉴别措施可被绕过等;
2)存在可登录的弱口令账户,如长度在6位以下,或存在单个、相同、连续数字/字母/字符及常见字典等易猜测的口令;
3)多个不同被测对象的管理账户口令相同、或同一被测对象中多个不同管理账户口令相同;
4)其他。
【后果分析】:导致非授权人员通过密码爆破、密码猜解等方式获取设备口令,造成设备权限丧失等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过配置核查及测试,发现xxx设备无身份鉴别措施/存在空口令/存在弱口令,符合《网络安全等级保护测评高风险判定指引》中的问题描述“1)网络设备、安全设备、主机设备(包括操作系统、数据库等)存在可登录的弱口令账户(包括空口令、无身份鉴别机制);2)大量设备管理员账户口令相同,单台设备口令被破解将导致大量设备被控制;1)应用系统无用户口令长度、复杂度校验机制,例如可设置6位以下,单个、相同、连续 数字、字母或字符等易猜测的口令;3)通过渗透测试或使用常用口令尝试登录,发现应用系统中存在可被登录的空口令、弱口令账号”。通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,非授权人员可通过密码爆破、密码猜解等方式获取设备口令,造成设备权限丧失等严重后果。
【高发性】:经实地测试验证,测评人员可通过密码爆破/弱口令/空口令登录设备,并对设备进行操作,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象存在空口令、弱口令、通用口令或无身份鉴别措施,利用该问题可非授权登录设备进行随意操作,进而造成设备权限丧失等严重后果,属重大风险隐患问题。
【整改建议】:建议为设备/系统配置身份鉴别策略,例如口令长度8位以上,需包含大写字母+小写字母+数字+特殊字符;并定期对设备/系统用户口令情况进行排查,避免出现弱口令(例如单位名称简写+@+年份的形式)。
未采用两种或两种以上组合身份鉴别技术
ps:这里我理解的是应当遵循高风险判例指引的资产定为重大风险隐患,但是《重大风险隐患触发项参照表》中并未详细描述,估计后续待官方培训时才能确定;以下关于此项的描述针对不可控网络环境下的关键网络、安全、主机设备及应用系统。
【控制点】:身份鉴别
【测评项】:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
【重大风险隐患触发项】:未采用两种或两种以上组合身份鉴别技术
【安全问题描述】:
1)未采用两种或两种以上组合鉴别技术对用户进行身份鉴别;
2)其他。
【后果分析】:导致设备/系统口令一旦被泄露,非授权人员可通过不可控网络对设备/系统进行操作,造成敏感信息泄露、获取设备/系统权限等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过配置核查及验证,发现关键资产xxx设备/系统在进行身份鉴别时仅采用用户名+口令的方式,未采用双因素认证(应用系统需描述重要操作类型前未采用双因素认证),且处于不可控网络环境,符合《网络安全等级保护测评高风险判定指引》中的问题描述“1)关键网络设备、关键安全设备、关键主机设备(操作系统)通过不可控网络环境进行远程管理且未采用两种或两种以上鉴别技术对用户身份进行鉴别;2)通过互联网登录的系统,在进行涉及大额资金交易、核心业务、关键指令等的重要操作前未使用两种或两种以上鉴别技术对用户身份进行鉴别”。通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,非授权人员可通过不可控网络对设备/系统进行操作,造成敏感信息泄露、获取设备/系统权限等严重后果。
【高发性】:经实地测试验证,在口令泄露的情况下,测评人员可通过不可控网络对设备/系统进行操作,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象未采用两种或两种以上组合身份鉴别技术,利用该问题非授权人员可通过不可控网络对设备/系统进行操作,造成敏感信息泄露、获取设备/系统权限等严重后果,属重大风险隐患问题。
【整改建议】:建议关键设备禁止互联网访问,若存在业务所必须的情况,则对关键设备进行终端地址限定;建议在应用系统中涉及大额资金交易、核心业务、关键指令等的重要操作前,使用两种或两种以上鉴别技术对用户身份进行鉴别(其中至少包含一种密码技术)。
访问控制策略存在缺陷或不完善,存在越权访问可能
【控制点】:访问控制
【测评项】:应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
【重大风险隐患触发项】:访问控制策略存在缺陷或不完善,存在越权访问可能
【安全问题描述】:
1)业务应用系统/平台访问控制策略存在缺陷或不完善,可非授权访问系统功能模块或查看、操作其他用户的数据;
2)数据库管理系统访问控制策略存在缺陷或不完善,存在数据库的超级管理员权限被授予非数据库管理员用户、或数据库的默认超级管理员账户被用于非数据库管理用途;
3)操作系统访问控制策略存在缺陷或不完善。存在以操作系统超级管理员权限运行的数据库、中间件、应用程序等非操作系统级进程或服务;
4)其他。
【后果分析】:
1)导致恶意人员非授权访问业务系统功能模块,造成恶意操作、敏感信息泄露,甚至获取系统权限等严重后果。
2)导致数据库管理运维人员账号权限过大,造成敏感信息泄露、误操作等严重后果。
3)导致操作系统进程服务权限过大,造成恶意人员通过该进程服务权限获取操作系统权限等严重后果。
【相关性】:
1)在对定级对象进行等级测评的过程中,测评人员通过测试验证,发现业务应用系统平台存在非授权功能模块(这里写明具体的路径)/越权漏洞,符合《网络安全等级保护测评高风险判定指引》中的问题描述“应用系统访问控制策略存在缺陷,可越权访问系统功能模块或查看、操作其他用户的数据,例如存在非授权访问系统功能模块、平行权限漏洞、低权限用户越权访问高权限功能模块等”。通过整体测评和风险分析后,被认定为高风险安全问题。
2)在对定级对象进行等级测评的过程中,测评人员通过配置核查、测试验证,发现数据库用户分配不合理,x普通账户具备最大权限/操作系统进程服务权限过大,x服务使用root用户权限运行,符合《重大风险隐患触发项参照表》中问题描述,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:
1)该问题一旦被利用,恶意人员可非授权访问业务系统功能模块,造成恶意操作、敏感信息泄露,甚至获取系统权限等严重后果;
2)该问题一旦被利用,数据库管理运维人员可通过数据库最大权限,造成敏感信息泄露、误操作等严重后果;
3)该问题一旦被利用,恶意人员可通过进程服务漏洞,造成恶意人员通过该进程服务权限获取操作系统权限等严重后果。
【高发性】:
1)经测试验证,测评人员可非授权访问业务系统功能模块,造成恶意操作、敏感信息泄露,甚至获取系统权限等严重后果;
2)经核查测试,测评人员可通过不合理的数据库账号,造成敏感信息泄露、误操作等严重后果;
3)经核查评估,可通过xxx服务的权限过大问题,评估可造成通过该进程服务权限获取操作系统权限等严重后果。
【综合分析】:综合以上分析,定级对象访问控制策略存在缺陷或不完善,利用该问题1)可非授权访问业务系统功能模块,造成恶意操作、敏感信息泄露,甚至获取系统权限等严重后果;2)可通过不合理的数据库账号,造成敏感信息泄露、误操作等严重后果;3)可通过xxx服务的权限过大问题,评估可造成通过该进程服务权限获取操作系统权限等严重后果。属重大风险隐患问题。
【整改建议】:建议1)定期对应用系统开展渗透漏扫,并根据渗透漏扫结果进行漏洞修复;2)定期核查数据库各账户权限情况,根据技术及管理要求,合理分配账户权限,避免最大管理员权限账户滥用;3)定期核查操作系统中进程服务的运行情况,根据技术及管理要求,为支撑系统运行的服务创建账户,并以该账户对其进行运维。
开启多余的系统服务、默认共享和高危端口
【控制点】:入侵防范
【测评项】:应关闭不需要的系统服务、默认共享和高危端口。
【重大风险隐患触发项】:开启多余的系统服务、默认共享和高危端口
【安全问题描述】:
1)开启多余的系统服务、默认共享和高危端口,且可被远程访问;
2)其他。
【后果分析】:导致恶意人员可通过暴露在不可控网络的多余系统服务、默认共享和高危端口对定级对象进行攻击,造成获取权限、系统失能等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过配置核查发现xx设备存在不可控网络可访问的多余系统服务、默认共享和高危端口,符合《网络安全等级保护测评高风险判定指引》中的问题描述“1)网络设备、安全设备、主机设备(操作系统)开启多余的系统服务、默认共享、高危端口;2)未采用地址访问限制、安全防护设备等技术手段,减少系统服务、默认共享、高危端口开启所带来的安全隐患”。通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,恶意人员可通过暴露在不可控网络的多余系统服务、默认共享和高危端口对定级对象进行攻击,造成获取权限、系统失能等严重后果。
【高发性】:经测试验证,测评人员可在不可控网络对定级对象暴露的多余系统服务、默认共享和高危端口进行模拟攻击,故利用该问题对系统造成重大危害的可能性较大。
【综合分析】:综合以上分析,定级对象开启多余的系统服务、默认共享和高危端口,利用该问题恶意人员可通过暴露在不可控网络的多余系统服务、默认共享和高危端口对定级对象进行攻击,造成获取权限、系统失能等严重后果,属重大风险隐患问题。
【整改建议】:建议根据技术和管理要求梳理xx设备系统服务、默认共享和端口开放情况,做到服务、共享、端口最小化,并根据实际情况限制不可控网络中终端对其的访问权限。
存在可被利用的高危安全漏洞
【控制点】:入侵防范
【测评项】:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
【重大风险隐患触发项】:存在可被利用的高危安全漏洞
【安全问题描述】:
1)通过互联网管理或访问的系统或设备,存在外界披露的可被利用的高危安全漏洞;
2)通过非互联网等公共通信网络管理或访问的系统或设备,经测试验证确认存在缓冲区溢出、越权访问、远程代码执行等可被利用的高危安全漏洞;
2)其他。
【后果分析】:导致攻击者可通过xx高危漏洞,获取系统权限,造成敏感信息泄露、系统遭受破坏等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过渗透漏扫测试,发现xxx存在可利用的高危安全漏洞,符合《网络安全等级保护测评高风险判定指引》中的问题描述“1)互联网设备存在已知高危漏洞;2)内网设备存在可被利用的高危漏洞;3)应用系统使用的环境、框架、组件或业务功能等存在可被利用的高危漏洞或严重逻辑缺陷,可能导致敏感数据泄露、网页篡改、服务器被入侵、绕过安全验证机制非授权访问等安全事件的发生;未采取其他有效技术手段对高危漏洞或逻辑缺陷进行防范“。通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,攻击者可通过xx高危漏洞,获取xx权限,造成敏感信息泄露、系统遭受破坏等严重后果。
【高发性】:经测试验证,测评人员可可通过xx高危漏洞,获取xx权限,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象存在可被利用的高危安全漏洞,利用该问题可获取xx权限,进而造成敏感信息泄露、系统遭受破坏等严重后果,属重大风险隐患问题。
【整改建议】:建议定期开展渗透漏扫工作,并根据渗透漏扫结果进行漏洞修复;关注CNVD、CNNVD等官方渠道或系统服务组件提供商的官方网站获取最新漏洞情况,并及时根据定级对象资产情况进行排查修复。
恶意代码防范措施缺失
【控制点】:恶意代码防范
【测评项】:应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
【重大风险隐患触发项】:恶意代码防范措施缺失
【安全问题描述】:
1)未采取恶意代码检测和清除措施;
2)恶意代码防范产品授权已过期;
3)恶意代码特征库、规则库等一个月以上未更新;
4)其他。
【后果分析】:导致定级对象易受恶意代码攻击,造成敏感信息泄露、系统不可用等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过访谈核查,发现系统内不具备恶意代码检测和清除措施,符合《网络安全等级保护测评高风险判定指引》中的问题描述”1)主机层无恶意代码检测和清除措施,或恶意代码库一个月以上未更新;2)网络层无恶意代码检测和清除措施,或恶意代码库一个月以上未更新“。通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,定级对象易受恶意代码攻击,造成敏感信息泄露、系统不可用等严重后果。
【高发性】:经测试验证,在客户知情的情况下,测评人员的恶意代码测试脚本可落地存盘执行,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象恶意代码防范措施缺失,利用该问题导致定级对象易受恶意代码攻击,造成敏感信息泄露、系统不可用等严重后果,属重大风险隐患问题。
【整改建议】:建议部署恶意代码防范措施或设备,并在网络关键节点处进行验证,确保恶意代码防范措施有效可行。
重要数据明文传输
【控制点】:数据保密性
【测评项】:应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
【重大风险隐患触发项】:重要数据明文传输
【安全问题描述】:
1)鉴别信息、重要个人信息或重要业务数据等以明文的方式在网络环境中传输;
2)其他。
【后果分析】:导致恶意人员可在网络环境中嗅探鉴别信息、重要个人信息或重要业务数据,造成信息泄露、篡改等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过测试验证抓包,发现定级对象的鉴别信息/重要个人信息/业务数据以明文方式在网络环境中传输,符合《重大风险隐患触发项参照表》中问题描述。通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,恶意人员可在网络环境中嗅探鉴别信息、重要个人信息或重要业务数据,造成信息泄露、篡改等严重后果。
【高发性】:经测试验证,测评人员在网络环境中通过抓包分析的方式对鉴别信息、重要个人信息或重要业务数据进行嗅探,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象重要数据明文传输,利用该问题可在网络环境中嗅探鉴别信息、重要个人信息或重要业务数据,造成信息泄露、篡改等严重后果,属重大风险隐患问题。
【整改建议】:建议在鉴别信息、重要个人信息或重要业务数据的传输过程中采用加密的方式,保证其传输保密性。
重要数据明文存储
【控制点】:数据保密性
【测评项】:应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
【重大风险隐患触发项】:重要数据明文存储
【安全问题描述】:
1)鉴别信息、重要个人信息、具有保密性需求的重要业务数据以明文的方式存储;
2)其他。
【后果分析】:导致恶意人员可在数据存储环节获取或修改鉴别数据、重要业务数据和重要个人信息,造成信息泄露、信息失真等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过核查,发现鉴别数据、重要业务数据和重要个人信息在存储的过程中以明文方式保存,符合《网络安全等级保护测评高风险判定指引》中的问题描述”1) 鉴别信息、个人敏感信息、行业主管部门规定需加密存储的数据等以明文方式存储;2)未采取数据访问限制、部署数据库防火墙、使用数据防泄露产品等其他有效保护措施”,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,恶意人员可在数据存储环节获取或修改鉴别数据、重要业务数据和重要个人信息,造成信息泄露、信息失真等严重后果。
【高发性】:经实地测试验证,测评人员可在数据存储环节获取或修改鉴别数据、重要业务数据和重要个人信息,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象重要数据明文存储,利用该问题可在数据存储环节获取或修改鉴别数据、重要业务数据和重要个人信息,造成信息泄露、信息失真等严重后果,属重大风险隐患问题。
【整改建议】:建议在鉴别信息、重要个人信息或重要业务数据的存储过程中采用加密的方式,保证其存储保密性。
重要数据无本地备份措施
【控制点】:数据备份恢复
【测评项】:应提供重要数据的本地数据备份与恢复功能。
【重大风险隐患触发项】:重要数据无本地备份措施
【安全问题描述】:
1)重要数据未提供任何数据备份措施;
2)重要数据备份到互联网网盘或相关存储环境;
3)其他。
【后果分析】:导致系统出现故障时无法及时恢复,存在系统长时间中断的情况,造成较大的经济损失、面临法律风险等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过访谈及核查,发现未提供重要数据的本地备份措施,在系统出现故障时无法及时恢复,符合《网络安全等级保护测评高风险判定指引》中的问题描述“1)应用系统未提供任何重要数据备份措施,一日遭受数据破坏,将无法进行数据恢复;2)重要数据、源代码等备份到互联网网盘、代码托管平台等不可控环境,可能造成重要信息泄露”。通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦发生,则出现故障时无法及时恢复系统,导致系统长时间中断,造成较大的经济损失、面临法律风险等严重后果。
【高发性】:经访谈核查,系统不具备任何重要数据的本地备份措施,故该问题发生后对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象重要数据无本地备份措施,该问题一旦发生,则出现故障时无法及时恢复系统,导致系统长时间中断,造成较大的经济损失、面临法律风险等严重后果,属重大风险隐患问题。
【整改建议】:建议对重要数据进行本地备份,备份保存期大于180天,定期于测试环境进行数据备份恢复测试,并保留测试记录,验证备份数据可满足系统恢复要求。
五、综合类
获取被测系统关联系统权限
【控制点】:/
【测评项】:/
【重大风险隐患触发项】:获取被测系统关联系统权限
【安全问题描述】:
1)获取了最高管理员权限或子管理员权限或普通用户权限;
2)其他。
【后果分析】:导致攻击者可利用漏洞获取关联系统的xxx权限,造成敏感信息泄露、篡改和系统失能等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,渗透测试人员发现关联系统xxx存在xxx漏洞,可通过该漏洞获取xxx权限,符合《重大风险隐患触发项参照表》中问题描述,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,恶意攻击者可通过关联系统xxx的xxx漏洞获取xxx权限,造成敏感信息泄露、篡改和系统失能等严重后果。
【高发性】:经测试验证,测评人员可通过关联系统xxx的xxx漏洞获取xxx权限,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象存在获取被测系统关联系统权限问题,利用该问题可获取关联系统xxx权限,造成敏感信息泄露、篡改和系统失能等严重后果,属重大风险隐患问题。
【整改建议】:建议要求定级对象的关联系统需定期开展渗透漏扫工作,并根据渗透漏扫结果进行漏洞修复;关注CNVD、CNNVD等官方渠道或系统服务组件提供商的官方网站获取最新漏洞情况,并及时根据系统资产情况进行排查修复。
获取被测系统权限
【控制点】:/
【测评项】:/
【重大风险隐患触发项】:获取被测系统权限
【安全问题描述】:
1)获取了被测系统权限;
2)其他。
【后果分析】:导致攻击者可利用漏洞获取xxx权限,造成敏感信息泄露、篡改和系统失能等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,渗透测试人员发现xxx存在xxx漏洞,可通过该漏洞获取xxx权限,符合《重大风险隐患触发项参照表》中问题描述,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,恶意攻击者可通过xxx的xxx漏洞获取xxx权限,造成敏感信息泄露、篡改和系统失能等严重后果。
【高发性】:经测试验证,测评人员可通过xxx的xxx漏洞获取xxx权限,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象存在获取被测系统关联系统权限问题,利用该问题可获取xxx权限,造成敏感信息泄露、篡改和系统失能等严重后果,属重大风险隐患问题。
【整改建议】:建议定期开展渗透漏扫工作,并根据渗透漏扫结果进行漏洞修复;关注CNVD、CNNVD等官方渠道或系统服务组件提供商的官方网站获取最新漏洞情况,并及时根据定级对象资产情况进行排查修复。
互联网暴露面过宽
【控制点】:/
【测评项】:/
【重大风险隐患触发项】:互联网暴露面过宽
【安全问题描述】:
1)大型专网未能有效收口;
2)移动应用后台接口成为新的暴露点;
3)应用私搭乱建,管理不到位,存在防护盲区;
4)违规打通内网与互联网连接;
5)第三方接入缺乏安全管理与整体管控;
6)其他。
【后果分析】:导致恶意人员可通过暴露在互联网的资产对定级对象进行攻击,造成获取权限、系统失能等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,渗透测试人员通过互联网资产测绘,发现定级对象互联网资产暴露面过宽,符合《重大风险隐患触发项参照表》中问题描述,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,恶意人员可通过暴露在互联网的资产对定级对象进行攻击,造成获取权限、系统失能等严重后果。
【高发性】:经测试验证,测评人员对定级对象进行互联网测绘,发现较多的暴露资产,故利用该问题对系统造成重大危害的可能性较大。
【综合分析】:综合以上分析,定级对象互联网暴露面过宽,利用该问题恶意人员可通过暴露在互联网的资产对定级对象进行攻击,造成获取权限、系统失能等严重后果,属重大风险隐患问题。
【整改建议】:建议在出口设备中查看互联网暴露资产情况,一一核查,仅留存业务所必须的端口资产暴露在互联网中,并定期进行策略核查,避免出现遗漏的情况。
数据管理不规范
【控制点】:/
【测评项】:/
【重大风险隐患触发项】:数据管理不规范
【安全问题描述】:
1)违背最小化原则信息量泄露过多;
2)数据传输、存储、备份不规范;
3)其他。
数据传输、存储、备份不规范可参考4.1.7、4.1.9。
【后果分析】:导致系统收集的数据信息范围较大,不符合法律要求,被攻击后易造成信息泄露且面临用户提起的法律风险等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员通过配置核查发现系统收集的数据信息范围较大,包括xxx、xxx、xxx,此类信息非业务所必须,符合《重大风险隐患触发项参照表》中问题描述,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,易造成信息泄露且面临用户提起的法律风险等严重后果。
【高发性】:经配置核查,系统收集的数据信息范围较大,包括xxx、xxx、xxx,此类信息非业务所必须,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象数据管理不规范,利用该问题易造成信息泄露且面临用户提起的法律风险等严重后果,属重大风险隐患问题。
【整改建议】:建议制定严格的数据管理规范,对数据的收集、处理、存储、交换等各个方面做出明确规定,并经法务审核评定,使其满足法律要求。
“神经中枢”系统缺乏重点加固
【控制点】:/
【测评项】:/
【重大风险隐患触发项】:“神经中枢”系统缺乏重点加固
【安全问题描述】:
1)集权系统鉴别机制存在缺陷;
2)管理后台自身架构存在漏洞;
3)集权系统支撑环境存在漏洞;
4)域控系统缺乏重点防护措施;
5)其他。
【后果分析】:导致恶意人员利用缺陷、漏洞、弱防护措施对定级对象进行攻击,造成信息泄露、系统被控制/破坏等严重后果。
【相关性】:在对定级对象进行等级测评的过程中, 测评人员通过测试验证发现集权系统鉴别机制存在xxx缺陷/管理后台自身架构存在xxx漏洞/集权系统支撑环境存在xxx漏洞/域控系统缺乏重点防护措施(例如xxxx),符合《重大风险隐患触发项参照表》中问题描述,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,恶意人员可利用缺陷、漏洞、弱防护措施对定级对象进行攻击,造成信息泄露、系统被控制/破坏等严重后果。
【高发性】:经实地测试验证,测评人员通过集权系统鉴别机制存在xxx缺陷/管理后台自身架构存在xxx漏洞/集权系统支撑环境存在xxx漏洞/域控系统缺乏重点防护措施(例如xxxx)对系统进行攻击,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象“神经中枢”系统缺乏重点加固,利用该问题恶意人员可利用缺陷、漏洞、弱防护措施对定级对象进行攻击,造成信息泄露、系统被控制/破坏等严重后果,属重大风险隐患问题。
【整改建议】:建议定期开展针对性(安全防护策略、安全机制方面)的渗透漏扫工作,并根据渗透漏扫结果进行漏洞修复;关注CNVD、CNNVD等官方渠道或系统服务组件提供商的官方网站获取最新漏洞情况,并及时根据定级对象资产情况进行排查修复。
安全管理运维水平不足
【控制点】:/
【测评项】:/
【重大风险隐患触发项】:安全管理运维水平不足
【安全问题描述】:
1)供应链管控不力,成为迂回攻击跳板;
2)网络资产底数不清晰,老旧资产、测试系统未下线;
3)基层单位安全防护能力薄弱,极易成为攻击突破口;
4)员工安全意识不足,易被社工攻击利用;
5)公开漏洞未修复;
6)0Day漏洞攻击难以监测发现;
7)网络安全监测存在盲点导致难以及时发现隐蔽入侵行为,缺乏对攻击监测数据的分析;
8)其他。
【后果分析】:导致定级对象易遭受严重的网络攻击,造成敏感信息泄露、系统遭受破坏等严重后果。
【相关性】:在对定级对象进行等级测评的过程中,测评人员发现在日常安全运维管理方面存在较大问题,例如1)供应链的安全性缺乏实际验证,且供应链产品多次出现漏洞;2)在整体测评工作中,运维人员对资产情况掌握不清,缺乏相关文档资料;3)下联系统安全防护、管理能力不足,曾因下联单位网络安全情况致使定级对象遭受过攻击;4)配合人员安全意识缺乏,通过公开渠道发送敏感信息;5)缺乏相应对新型攻击行为进行监测的手段和防范能力;6)安全设备中的未处置的入侵行为条目较多,日常安全管理工作不足,符合《重大风险隐患触发项参照表》中问题描述,通过整体测评和风险分析后,被认定为高风险安全问题。
【严重性】:该问题一旦被利用,定级对象易遭受严重的网络攻击,造成敏感信息泄露、系统遭受破坏等严重后果。
【高发性】:经测试验证,测评人员可通过上述网络安全管理问题对系统开展攻击,故利用该问题对系统造成重大危害的可能性极大。
【综合分析】:综合以上分析,定级对象安全管理运维水平不足,利用该问题定级对象易遭受严重的网络攻击,造成敏感信息泄露、系统遭受破坏等严重后果,属重大风险隐患问题。
【整改建议】:建议1)选择合适的供应链,并定期对供应链产品或服务进行评估;2)建立资产管理体系,运维人员需掌握系统所有资产情况;3)对下联系统的接入做出要求,需满足等保相应要求后开放系统接口;4)定期对安全相关人员开展网络安全培训,增强网络安全意识;5)部署可实现对新型网络攻击行为进行分析告警的安全设备;6)细化岗位职责和工作产物,保证安全设备用到实处,并配备同工作体量匹配的常态化安全团队。
原文始发于微信公众号(网络安全等保与关保):【重磅福利】网络安全等级保护-重大风险隐患项描述实践指南(【2025】测评报告新增)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论