说明:通过对系统测评指标的分析,和报告中所发现的问题,对测评方案及报告进行规范性说明。
三级系统高风险项测评指标调整:
1. 未提供备用电力供应设备UPS、应急发电设备,且未提供冗余或并行的电力电缆线路为计算机系统供电。(医疗、证券、银行、等为社会提供连续不可中断服务的行业至少要配有UPS+应急发电设备或UPS+双路市电)
2. 网络层未部署访问控制设备或没有启用访问控制功能,未针对应用系统需求进行端口控制。
3. 网络层与主机层均未部署入侵防护设备与入侵防护软件,或没有启用相关防护功能。
4. 网络层与主机层均未部署恶意代码防护设备与恶意代码防护软件,或没有启用相关防护功能。
5. 网络和安全设备使用互联网进行远程管理和维护,身份鉴别信息进行明文传输。
6. 网络中无安全设备或者网络安全设备没有启用安全审计功能。
7. 网络层、主机层、应用层关键设备或业务应用未采用双因子鉴别方式,且存在默认口令、弱口令或空口令。
8. 面向社会公众服务且数据信息敏感性较高的系统在应用安全通信完整性方面,部署在互联网上的关键敏感信息进行完整性校验。
9. 面向社会公众服务且数据信息敏感性较高的系统在应用安全通信保密性方面,部署在互联网上的关键敏感信息进行传输加密。
10.应用系统未提供任何数据备份措施,一旦遭受数据破坏,无法进行数据恢复的,可判为高风险。(为公众提供内容展示类的系统可降低要求)
11.金融、证券行业重要业务系统同城备份要求直线距离在30公里之外(有同城备份,但距离不够判部分符合,中风险),其余行业至少要求异地备份至本地机房以外。
12.安全防护措施之外进行漏洞扫描发现高危漏洞为一票否决项。
测评方案规范说明:
1. 测评方案签字页中,制定人由中级测评师签字确认,审核人由高级测评师签字确认。
2. 测评方案中需体现被测系统的所有资产,确认测评对象的选择。
3. 测评报告中的拓扑图需要与实际一致,如发现不一致应在拓扑图后进行说明并附属测评机构经调研后绘制的拓扑图。
4. 工具与渗透测试接入位置的选择应满足在互联网处接入,在内网处接入和不同区域处接入进行探测扫描。
5. 在前期调研和方案制定阶段应将中间件选为测评对象。
测评报告规范说明:
1.测评报告的编制人由中级测评师签字确认,审核人由技术主管/项目经理签字确认,批准人由高级测评师签字确认。
2.物理安全中物理访问控制a、b项增强要求,核查机房出入登记表和审批记录。
3.网络安全中结构安全e项,应用系统如部署在传统网络中没有划分VLAN,判为不符合。
4.网络安全中结构安全g项,只有单个业务的情况下可判为不适用,没有进行策略配置限制时,判为不符合,不可因资源满足改判为符合。
5.测评报告中的描述存在默认符合的情况需说明原因,不可在描述中出现默认符合的情况。
6.应用安全中通信完整性与通信保密性应采用技术手段进行验证。
7.金融、证券行业重要业务系统同城备份要求直线距离在30公里之外(有同城备份,但距离不够判部分符合,中风险),其余行业至少要求异地备份至本地机房以外。
8.经实际查看被测系统的日志存储情况,如没有开启日志审计功能,防火墙,安全防护设备,应用系统,服务器,中间件的日志存储时间至少能满足本次测评时间。
9.接入安全防护内进行漏洞扫描发现高危漏洞可根据安全设备的防护情况对风险性进行适当性的说明调整。
10.测评原则上需对被测系统的所有资产进行漏洞扫描,如需抽测的情况需进行说明。
验证测试格式说明:
验证测试—接入点A
根据在接入点A对主机和应用漏洞扫描结果,汇总统计如下表
接入点A漏洞扫描结果统计表
序号 | 设备名称 | IP地址 | 安全漏洞数 | 验证测试 |
高 | 中 | 低 | 综合风险等级 | 渗透测试确认记录 | 调整后风险等级 |
1 | 外网区交换机1 | 10.13.30.5 | 0 | 0 | 3 | 低 | 经渗透测试,分析后风险等级未发生变化。 | 低 |
2 | 外网区交换机1 | 10.13.30.5 | 0 | 0 | 3 | 低 | 低 |
3 | 外网区交换机1 | 10.13.30.5 | 0 | 0 | 3 | 低 | 低 |
漏洞扫描—接入点B
根据在接入点B对主机和应用系统的漏洞扫描结果,汇总统计如下表
接入点B漏洞扫描结果统计表
序号 | 设备名称 | IP地址 | 安全漏洞数 | 验证测试 |
高 | 中 | 低 | 综合风险等级 | 渗透测试确认记录 | 调整后风险等级 |
1 | XX主机1 | 1.1.1.1 | 0 | 0 | 3 | 低 | 经渗透测试,分析后风险等级未发生变化。 | 低 |
2 | XX主机1 | 1.1.1.1 | 0 | 0 | 3 | 低 | 低 |
3 | XX主机1 | 1.1.1.1 | 0 | 0 | 3 | 低 | 低 |
4 | XX主机1 | 1.1.1.1 | 0 | 0 | 3 | 低 | 低 |
漏洞扫描—接入点C
根据在接入点C对主机和应用系统的漏洞扫描结果,汇总统计如下表
接入点C漏洞扫描结果统计表
序号 | 设备名称 | IP地址 | 安全漏洞数 | 验证测试 |
高 | 中 | 低 | 综合风险等级 | 渗透测试确认记录 | 调整后风险等级 |
1 | XX信息平台 | 0 | 0 | 7 | 低 | 经渗透测试,分析后风险等级未发生变化。 | 低 |
|
2 | XX信息平台 | 0 | 3 | 7 | 中 | 中 |
|
3 | XX信息平台 | 0 | 0 | 7 | 低 | 低 |
|