等级保护测评“安全建设管理”高风险判定指引
本指引是依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》有关条款,对测评过程中所发现的安全性问题进行风险判断的指引性文件。指引内容包括对应要求、判例内容、适用范围、补偿措施、整改建议等要素。
1、产品采购和使用
(1)网络安全产品采购和使用
对应要求:应确保网络安全产品采购和使用符合国家的有关规定。
判例内容:网络关键设备和网络安全专用产品的使用违反国家有关规定,可判定为高风险。
适用范围:所有系统。
满足条件:网络关键设备和网络安全专用产品的使用违反国家有关规定。
补偿措施:无。
整改建议:建议依据国家有关规定,采购和使用网络关键设备和网络安全专用产品。(《网络安全法》第二十三条规定网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。)
(2)密码产品与服务采购和使用
对应要求:应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求。
判例内容:密码产品与服务的使用违反国家密码管理主管部门的要求,可判定为高风险。
适用范围:所有系统。
满足条件:密码产品与服务的使用违反国家密码管理主管部门的要求。
补偿措施:无。
整改建议:建议依据国家密码管理主管部门的要求,使用密码产品与服务。(如《商用密码产品使用管理规定》等)
2、外包软件开发
外包开发代码审计
对应要求:应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。
判例内容:对于涉及金融、民生、基础设施等重要行业的业务核心系统由外包公司开发,上线前未对外包公司开发的系统进行源代码审查,外包商也无法提供相关安全检测证明,可判定为高风险。
适用范围:涉及金融、民生、基础设施等重要核心领域的3级及以上系统。
满足条件(同时):
补偿措施:
3、测试验收
上线前安全测试
对应要求:应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。
判例内容:系统上线前未通过安全性测试,或未对相关高风险问题进行安全评估仍旧“带病”上线的,可判定为高风险。安全检查内容可以包括但不限于扫描渗透测试、安全功能验证、源代码安全审核。
适用范围:3级及以上系统。
满足条件(同时):
补偿措施:
整改建议:建议在新系统上线前,对系统进行安全性评估,及时修补评估过程中发现的问题,确保系统不“带病”上线。