安全资讯

等级保护测评“安全建设管理”高风险判定指引

本指引是依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》有关条款,对测评过程中所发现的安全性问题进行风险判断的指引性文件。指引内容包括对应要求、判例内容、适用范围、补偿措施、整改建议等要素。


需要指出的是,本指引无法涵盖所有高风险案例,测评机构须根据安全问题所实际面临的风险做出客观判断。

本指引适用于网络安全等级保护测评活动、安全检查等工作。信息系统建设单位亦可参考本指引描述的案例编制系统安全需求。

本次针对“安全建设管理”进行分析。


1、产品采购和使用


(1)网络安全产品采购和使用


对应要求:应确保网络安全产品采购和使用符合国家的有关规定。


判例内容:网络关键设备和网络安全专用产品的使用违反国家有关规定,可判定为高风险。


适用范围:所有系统。


满足条件:网络关键设备和网络安全专用产品的使用违反国家有关规定。


补偿措施:无。


整改建议:建议依据国家有关规定,采购和使用网络关键设备和网络安全专用产品。(《网络安全法》第二十三条规定网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。)


(2)密码产品与服务采购和使用


对应要求:应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求。


判例内容:密码产品与服务的使用违反国家密码管理主管部门的要求,可判定为高风险。


适用范围:所有系统。


满足条件:密码产品与服务的使用违反国家密码管理主管部门的要求。


补偿措施:无。


整改建议:建议依据国家密码管理主管部门的要求,使用密码产品与服务。(如《商用密码产品使用管理规定》等)


2、外包软件开发


外包开发代码审计


对应要求:应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。


判例内容:对于涉及金融、民生、基础设施等重要行业的业务核心系统由外包公司开发,上线前未对外包公司开发的系统进行源代码审查,外包商也无法提供相关安全检测证明,可判定为高风险。


适用范围:涉及金融、民生、基础设施等重要核心领域的3级及以上系统。

满足条件(同时):


● 3级及以上系统;

● 涉及金融、民生、基础设施等重要行业的业务核心系统;

● 被测单位为对外包公司开发的系统进行源代码安全审查;

● 外包公司也无法提供第三方安全检测证明。


补偿措施:


● 开发公司可提供国家认可的第三方机构出具的源代码安全审查  报告/证明,可视为等效措施,判符合。

● 可根据系统的用途以及外包开发公司的开发功能的重要性,根据实际情况,酌情提高/减低风险等级。

● 如第三方可提供软件安全性测试证明(非源码审核),可视实际情况,酌情减低风险等级。

● 如被测方通过合同等方式与外包开发公司明确安全责任或采取相关技术手段进行防控的,可视实际情况,酌情降低风险等级。

● 如被测系统建成时间较长,但定期对系统进行安全检测,当前管理制度中明确规定外包开发代码审计的,可根据实际情况,酌情减低风险等级。


整改建议:建议对外包公司开发的核心系统进行源代码审查,检查是否存在后门和隐蔽信道。如没有技术手段进行源码审查的,可聘请第三方专业机构对相关代码进行安全检测。


3、测试验收


上线前安全测试


对应要求:应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。


判例内容:系统上线前未通过安全性测试,或未对相关高风险问题进行安全评估仍旧“带病”上线的,可判定为高风险。安全检查内容可以包括但不限于扫描渗透测试、安全功能验证、源代码安全审核。


适用范围:3级及以上系统。


满足条件(同时):


● 3级及以上系统;

● 系统上线前未进行任何安全性测试,或未对相关高风险问题进行安全评估仍旧“带病”上线。


补偿措施:


● 如被测系统建成时间较长,定期对系统进行安全检测,管理制度中相关的上线前安全测试要求,可根据实际情况,酌情减低风险等级。

● 如系统安全性方面是按照技术协议中的约定在开发过程中进行控制,并能提供相关控制的证明,可根据实际情况,酌情减低风险等级。

● 可视系统的重要程度,被测单位的技术实力,根据自检和第三方检测的情况,酌情提高/减低风险等级。


整改建议:建议在新系统上线前,对系统进行安全性评估,及时修补评估过程中发现的问题,确保系统不“带病”上线。

服务热线

138-6598-3726

产品和特性

价格和优惠

安徽灵狐网络公众号

微信公众号