等级保护测评无补偿因素的高风险安全问题判例(共23项需整改)

本文主要是介绍等级保护测评无补偿因素的高风险安全问题判例(共23项需整改),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

层面

控制点

要求项

安全问题

适用范围

充分条件

整改建议简要

安全物理环境

基础设施位置

应保证云计算基础设施位于中国境内

1.云计算基础设施物理位置不当

二级及以上

相关基础设施不在中国境内

云平台相关基础设施在中国境内部署

安全通信网络

网络架构

应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段

2.重要网络区域边界访问控制措施缺失

二级及以上

重要网络区域边界无访问控制设备实施访问控制措施

外部边界部署防火墙、UTM等安全设备;

内部边界使用具备ACL功能设备

应保证云计算平台不承载高于其安全保护等级的业务应用系统

3.云计算平台等级低于承载业务系统等级

二级及以上

云平台SxAxGx任何一项低于应用系统或云平台无有效的等保测评报告

将云服务客户应用系统迁移至符合相关要求的其他云平台

安全区域边界

访问控制

应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外收口接口拒绝所有通信

4.重要网络区域边界访问控制配置不当

二级及以上

从重要网络区域外部能直接访问到区域内服务器/网络设备等

梳理重要网络区域边界访问控制策略,明确访问控制规则并将规则合理配置到相关边界设备

安全审计

应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计

5.网络安全审计措施缺失

二级及以上

在网络边界、关键网络节点无法通过流量数据进行分析从而对重要的用户行为和重要安全事件进行日志审计

在网络边界、关键网络节点处部署具备具备网络安全审计功能的设备(如网络安全审计系统、态势感知系统、DPI、IPS等)

安全计算环境

安全审计

应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计

6.设备安全审计措施缺失

二级及以上

关键设备为开启任何审计功能且无任何其他有效的技术手段、辅助审计措施

设备性能允许的情况下开启设备用户操作和安全事件类审计策略;

设备性能不允许的情况下使用第三方日志审计工具

数据保密性

应采用密码保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人数据等

7.重要数据存储保密性保护措施缺失

S三级及以上

重要数据明文存储且无其他数据访问控制保护措施(数据访问控制、数据库防火墙、数据防泄露产品等)

采用合规密码设备(如数据库加密机)实现重要数据在存储过程中的保密性

数据备份恢复

应提供异地实施备份功能,利用通信网络将重要数据实施备份只备份场地

8.异地备份措施缺失

A三级及以上

无异地数据灾备措施或异地备份机制无法满足相关要求

建立异地灾备机房

剩余信息保护

应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除

9.鉴别信息释放措施失效

S二级及以上

利用剩余鉴别信息可非授权访问且无其他技术措施消除或降低非授权访问的影响

完善鉴别信息释放或清除机制(如启用基于操作系统本身的剩余信息保护功能)

应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除

10.敏感数据释放措施失效

S三级及以上

可造成敏感数据泄露

完善敏感数据释放或清除机制(如对敏感数据进行加密,通过删除密钥来实现对数据的保护)

个人信息保护

应仅采集和保存业务必需的用户个人信息

11.违规采集和存储个人信息

S二级及以上

未授权就采集个人隐私信息或采集的个人信息数据被相关法律法规严令禁止

明确向用户表明采集信息的内容、用途以及相关的安全责任,并在用户同意授权的情况下采集保存业务必需的用户个人信息

数据完整性和保密性

应确保云服务客户数据、用户个人信息等存储与中国境内,如需出境应遵循国家相关规定

12.云服务客户数据和用户个人信息违规出境

二级及以上

云服务客户数据、用户个人信息等数据出境未遵循国家相关规定

将云服务客户数据、用户个人数据等迁移存储至中国境内

安全管理中心

集中监控

应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测

13.运行监控措施缺失

A三级及以上

无任何监测措施,发生故障后无法及时对故障进行定位和处理

部署统一监控平台或运维监控软件等

安全管理制度

管理制度

应对安全管理活动中的各类管理内容建立安全管理制度

14.管理制度缺失

二级及以上

未建立任何与安全管理活动相关的管理制度或管理制度无法适用

按照等级保护的相关要求,建立包括总体方针、安全策略在内的各类与安全管理活动相关的管理制度

安全管理机构

岗位设置

应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权

15.未建立网络安全领导小组

三级及以上

未成立相关机构或其最高领导未由单位主管领导担任或授权

成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权

安全管理人员

安全意识教育和培训

应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施

16.未开展安全意识和安全技能培训

二级及以上

未定期组织开展与安全意识、安全技能相关的培训

制定相关培训计划并按计划执行

外部人员访问管理

应在外部人员接入受控网络访问系统前先提出书面申请,经批准后再由专人开设账户、分配权限,并登记备案

17.外部人员接入网络管理措施缺失

二级及以上

管理制度中未明确相关要求且无法提供相关记录证据

制定并明确相关管理规定并按规定执行

安全运维管理

网络和系统安全管理

应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据

18.运维工具管控措施缺失

三级及以上

运维工具使用前未进行有效性检测或对接入未严格控制和审批或使用结束后未删除敏感信息

在管理制度及实际运维过程中加强运维工具的管控;尽可能使用商业化的运维工具,严禁运维人员私自下载第三方未商业化的运维工具

应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为

19.设备外联管控措施缺失

三级及以上

无相关管理制度且未定期巡检且无相关技术手段进行管控

制度上明确所有与外部连接的授权和批准并定期检查;技术上部署终端管理系统进行有效管控

恶意代码防范管理

应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查

20.外来接入设备恶意代码检测措施缺失

二级及以上

无相关管理制度且外来计算机或存储设备接入网络前未进行恶意代码检测

制定外来接入设备检查制度并按规定执行

变更管理

应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施

21.变更管理制度缺失

二级及以上

无相关管理制度且实际变更过程无任何流程记录

制定变更管理流程规定并流程规定执行

应急预案管理

应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容

22.重要事件应急预案缺失

二级及以上

无相关预案或相关应急预案无法合理有序地进行

根据系统实际情况,对重要事件制定有针对性的应急预案

云计算环境管理

云计算平台的运维地点应位于中国境内,境外对境内云计算平台实施运维操作应遵循国家相关规定

23.云计算平台运维方式不当

二级及以上

云平台运维地点不在中国境内且境外对境内云平台实施运维操作未遵循国家相关规定

在中国境内设置运维场所

这篇关于等级保护测评无补偿因素的高风险安全问题判例(共23项需整改)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/856497

相关文章

springboot循环依赖问题案例代码及解决办法

《springboot循环依赖问题案例代码及解决办法》在SpringBoot中,如果两个或多个Bean之间存在循环依赖(即BeanA依赖BeanB,而BeanB又依赖BeanA),会导致Spring的... 目录1. 什么是循环依赖?2. 循环依赖的场景案例3. 解决循环依赖的常见方法方法 1:使用 @La

SpringBoot启动报错的11个高频问题排查与解决终极指南

《SpringBoot启动报错的11个高频问题排查与解决终极指南》这篇文章主要为大家详细介绍了SpringBoot启动报错的11个高频问题的排查与解决,文中的示例代码讲解详细,感兴趣的小伙伴可以了解一... 目录1. 依赖冲突:NoSuchMethodError 的终极解法2. Bean注入失败:No qu

MySQL新增字段后Java实体未更新的潜在问题与解决方案

《MySQL新增字段后Java实体未更新的潜在问题与解决方案》在Java+MySQL的开发中,我们通常使用ORM框架来映射数据库表与Java对象,但有时候,数据库表结构变更(如新增字段)后,开发人员可... 目录引言1. 问题背景:数据库与 Java 实体不同步1.1 常见场景1.2 示例代码2. 不同操作

如何解决mysql出现Incorrect string value for column ‘表项‘ at row 1错误问题

《如何解决mysql出现Incorrectstringvalueforcolumn‘表项‘atrow1错误问题》:本文主要介绍如何解决mysql出现Incorrectstringv... 目录mysql出现Incorrect string value for column ‘表项‘ at row 1错误报错

如何解决Spring MVC中响应乱码问题

《如何解决SpringMVC中响应乱码问题》:本文主要介绍如何解决SpringMVC中响应乱码问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Spring MVC最新响应中乱码解决方式以前的解决办法这是比较通用的一种方法总结Spring MVC最新响应中乱码解

pip无法安装osgeo失败的问题解决

《pip无法安装osgeo失败的问题解决》本文主要介绍了pip无法安装osgeo失败的问题解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一... 进入官方提供的扩展包下载网站寻找版本适配的whl文件注意:要选择cp(python版本)和你py

解决Java中基于GeoTools的Shapefile读取乱码的问题

《解决Java中基于GeoTools的Shapefile读取乱码的问题》本文主要讨论了在使用Java编程语言进行地理信息数据解析时遇到的Shapefile属性信息乱码问题,以及根据不同的编码设置进行属... 目录前言1、Shapefile属性字段编码的情况:一、Shp文件常见的字符集编码1、System编码

Spring MVC使用视图解析的问题解读

《SpringMVC使用视图解析的问题解读》:本文主要介绍SpringMVC使用视图解析的问题解读,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Spring MVC使用视图解析1. 会使用视图解析的情况2. 不会使用视图解析的情况总结Spring MVC使用视图

Redis解决缓存击穿问题的两种方法

《Redis解决缓存击穿问题的两种方法》缓存击穿问题也叫热点Key问题,就是⼀个被高并发访问并且缓存重建业务较复杂的key突然失效了,无数的请求访问会在瞬间给数据库带来巨大的冲击,本文给大家介绍了Re... 目录引言解决办法互斥锁(强一致,性能差)逻辑过期(高可用,性能优)设计逻辑过期时间引言缓存击穿:给

Java程序运行时出现乱码问题的排查与解决方法

《Java程序运行时出现乱码问题的排查与解决方法》本文主要介绍了Java程序运行时出现乱码问题的排查与解决方法,包括检查Java源文件编码、检查编译时的编码设置、检查运行时的编码设置、检查命令提示符的... 目录一、检查 Java 源文件编码二、检查编译时的编码设置三、检查运行时的编码设置四、检查命令提示符