等级保护测评无补偿因素的高风险安全问题判例(共23项需整改)

本文主要是介绍等级保护测评无补偿因素的高风险安全问题判例(共23项需整改),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

层面

控制点

要求项

安全问题

适用范围

充分条件

整改建议简要

安全物理环境

基础设施位置

应保证云计算基础设施位于中国境内

1.云计算基础设施物理位置不当

二级及以上

相关基础设施不在中国境内

云平台相关基础设施在中国境内部署

安全通信网络

网络架构

应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段

2.重要网络区域边界访问控制措施缺失

二级及以上

重要网络区域边界无访问控制设备实施访问控制措施

外部边界部署防火墙、UTM等安全设备;

内部边界使用具备ACL功能设备

应保证云计算平台不承载高于其安全保护等级的业务应用系统

3.云计算平台等级低于承载业务系统等级

二级及以上

云平台SxAxGx任何一项低于应用系统或云平台无有效的等保测评报告

将云服务客户应用系统迁移至符合相关要求的其他云平台

安全区域边界

访问控制

应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外收口接口拒绝所有通信

4.重要网络区域边界访问控制配置不当

二级及以上

从重要网络区域外部能直接访问到区域内服务器/网络设备等

梳理重要网络区域边界访问控制策略,明确访问控制规则并将规则合理配置到相关边界设备

安全审计

应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计

5.网络安全审计措施缺失

二级及以上

在网络边界、关键网络节点无法通过流量数据进行分析从而对重要的用户行为和重要安全事件进行日志审计

在网络边界、关键网络节点处部署具备具备网络安全审计功能的设备(如网络安全审计系统、态势感知系统、DPI、IPS等)

安全计算环境

安全审计

应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计

6.设备安全审计措施缺失

二级及以上

关键设备为开启任何审计功能且无任何其他有效的技术手段、辅助审计措施

设备性能允许的情况下开启设备用户操作和安全事件类审计策略;

设备性能不允许的情况下使用第三方日志审计工具

数据保密性

应采用密码保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人数据等

7.重要数据存储保密性保护措施缺失

S三级及以上

重要数据明文存储且无其他数据访问控制保护措施(数据访问控制、数据库防火墙、数据防泄露产品等)

采用合规密码设备(如数据库加密机)实现重要数据在存储过程中的保密性

数据备份恢复

应提供异地实施备份功能,利用通信网络将重要数据实施备份只备份场地

8.异地备份措施缺失

A三级及以上

无异地数据灾备措施或异地备份机制无法满足相关要求

建立异地灾备机房

剩余信息保护

应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除

9.鉴别信息释放措施失效

S二级及以上

利用剩余鉴别信息可非授权访问且无其他技术措施消除或降低非授权访问的影响

完善鉴别信息释放或清除机制(如启用基于操作系统本身的剩余信息保护功能)

应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除

10.敏感数据释放措施失效

S三级及以上

可造成敏感数据泄露

完善敏感数据释放或清除机制(如对敏感数据进行加密,通过删除密钥来实现对数据的保护)

个人信息保护

应仅采集和保存业务必需的用户个人信息

11.违规采集和存储个人信息

S二级及以上

未授权就采集个人隐私信息或采集的个人信息数据被相关法律法规严令禁止

明确向用户表明采集信息的内容、用途以及相关的安全责任,并在用户同意授权的情况下采集保存业务必需的用户个人信息

数据完整性和保密性

应确保云服务客户数据、用户个人信息等存储与中国境内,如需出境应遵循国家相关规定

12.云服务客户数据和用户个人信息违规出境

二级及以上

云服务客户数据、用户个人信息等数据出境未遵循国家相关规定

将云服务客户数据、用户个人数据等迁移存储至中国境内

安全管理中心

集中监控

应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测

13.运行监控措施缺失

A三级及以上

无任何监测措施,发生故障后无法及时对故障进行定位和处理

部署统一监控平台或运维监控软件等

安全管理制度

管理制度

应对安全管理活动中的各类管理内容建立安全管理制度

14.管理制度缺失

二级及以上

未建立任何与安全管理活动相关的管理制度或管理制度无法适用

按照等级保护的相关要求,建立包括总体方针、安全策略在内的各类与安全管理活动相关的管理制度

安全管理机构

岗位设置

应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权

15.未建立网络安全领导小组

三级及以上

未成立相关机构或其最高领导未由单位主管领导担任或授权

成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权

安全管理人员

安全意识教育和培训

应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施

16.未开展安全意识和安全技能培训

二级及以上

未定期组织开展与安全意识、安全技能相关的培训

制定相关培训计划并按计划执行

外部人员访问管理

应在外部人员接入受控网络访问系统前先提出书面申请,经批准后再由专人开设账户、分配权限,并登记备案

17.外部人员接入网络管理措施缺失

二级及以上

管理制度中未明确相关要求且无法提供相关记录证据

制定并明确相关管理规定并按规定执行

安全运维管理

网络和系统安全管理

应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据

18.运维工具管控措施缺失

三级及以上

运维工具使用前未进行有效性检测或对接入未严格控制和审批或使用结束后未删除敏感信息

在管理制度及实际运维过程中加强运维工具的管控;尽可能使用商业化的运维工具,严禁运维人员私自下载第三方未商业化的运维工具

应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为

19.设备外联管控措施缺失

三级及以上

无相关管理制度且未定期巡检且无相关技术手段进行管控

制度上明确所有与外部连接的授权和批准并定期检查;技术上部署终端管理系统进行有效管控

恶意代码防范管理

应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查

20.外来接入设备恶意代码检测措施缺失

二级及以上

无相关管理制度且外来计算机或存储设备接入网络前未进行恶意代码检测

制定外来接入设备检查制度并按规定执行

变更管理

应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施

21.变更管理制度缺失

二级及以上

无相关管理制度且实际变更过程无任何流程记录

制定变更管理流程规定并流程规定执行

应急预案管理

应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容

22.重要事件应急预案缺失

二级及以上

无相关预案或相关应急预案无法合理有序地进行

根据系统实际情况,对重要事件制定有针对性的应急预案

云计算环境管理

云计算平台的运维地点应位于中国境内,境外对境内云计算平台实施运维操作应遵循国家相关规定

23.云计算平台运维方式不当

二级及以上

云平台运维地点不在中国境内且境外对境内云平台实施运维操作未遵循国家相关规定

在中国境内设置运维场所

这篇关于等级保护测评无补偿因素的高风险安全问题判例(共23项需整改)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/856497

相关文章

好题——hdu2522(小数问题:求1/n的第一个循环节)

好喜欢这题,第一次做小数问题,一开始真心没思路,然后参考了网上的一些资料。 知识点***********************************无限不循环小数即无理数,不能写作两整数之比*****************************(一开始没想到,小学没学好) 此题1/n肯定是一个有限循环小数,了解这些后就能做此题了。 按照除法的机制,用一个函数表示出来就可以了,代码如下

hdu1043(八数码问题,广搜 + hash(实现状态压缩) )

利用康拓展开将一个排列映射成一个自然数,然后就变成了普通的广搜题。 #include<iostream>#include<algorithm>#include<string>#include<stack>#include<queue>#include<map>#include<stdio.h>#include<stdlib.h>#include<ctype.h>#inclu

安卓链接正常显示,ios#符被转义%23导致链接访问404

原因分析: url中含有特殊字符 中文未编码 都有可能导致URL转换失败,所以需要对url编码处理  如下: guard let allowUrl = webUrl.addingPercentEncoding(withAllowedCharacters: .urlQueryAllowed) else {return} 后面发现当url中有#号时,会被误伤转义为%23,导致链接无法访问

购买磨轮平衡机时应该注意什么问题和技巧

在购买磨轮平衡机时,您应该注意以下几个关键点: 平衡精度 平衡精度是衡量平衡机性能的核心指标,直接影响到不平衡量的检测与校准的准确性,从而决定磨轮的振动和噪声水平。高精度的平衡机能显著减少振动和噪声,提高磨削加工的精度。 转速范围 宽广的转速范围意味着平衡机能够处理更多种类的磨轮,适应不同的工作条件和规格要求。 振动监测能力 振动监测能力是评估平衡机性能的重要因素。通过传感器实时监

缓存雪崩问题

缓存雪崩是缓存中大量key失效后当高并发到来时导致大量请求到数据库,瞬间耗尽数据库资源,导致数据库无法使用。 解决方案: 1、使用锁进行控制 2、对同一类型信息的key设置不同的过期时间 3、缓存预热 1. 什么是缓存雪崩 缓存雪崩是指在短时间内,大量缓存数据同时失效,导致所有请求直接涌向数据库,瞬间增加数据库的负载压力,可能导致数据库性能下降甚至崩溃。这种情况往往发生在缓存中大量 k

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

6.1.数据结构-c/c++堆详解下篇(堆排序,TopK问题)

上篇:6.1.数据结构-c/c++模拟实现堆上篇(向下,上调整算法,建堆,增删数据)-CSDN博客 本章重点 1.使用堆来完成堆排序 2.使用堆解决TopK问题 目录 一.堆排序 1.1 思路 1.2 代码 1.3 简单测试 二.TopK问题 2.1 思路(求最小): 2.2 C语言代码(手写堆) 2.3 C++代码(使用优先级队列 priority_queue)

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

【VUE】跨域问题的概念,以及解决方法。

目录 1.跨域概念 2.解决方法 2.1 配置网络请求代理 2.2 使用@CrossOrigin 注解 2.3 通过配置文件实现跨域 2.4 添加 CorsWebFilter 来解决跨域问题 1.跨域概念 跨域问题是由于浏览器实施了同源策略,该策略要求请求的域名、协议和端口必须与提供资源的服务相同。如果不相同,则需要服务器显式地允许这种跨域请求。一般在springbo