T/ISEAA 001-2020 网络安全等级保护测评高风险判定指引

ICS35.040

L80

团体标准

/—

TISEAA0012020

网络安全等级保护测评高风险判定指引

Hihriskassessmentuidelinesforclassifiedrotection

ggp

evaluationofcbersecurit

yy

2020-11-05发布2020-12-01实施

中关村信息安全测评联盟发布

/—

TISEAA0012020

目次

前言…………………………Ⅰ

引言…………………………Ⅱ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4缩略语……………………2

5概述………………………2

5.1判例概述……………2

5.2判定原则……………2

5.3场景释义……………3

6高风险判例………………3

6.1安全物理环境………………………3

6.2安全通信网络………………………4

6.3安全区域边界………………………7

6.4安全计算环境………………………9

6.5安全管理中心………………………18

6.6安全管理制度和机构………………19

6.7安全管理人员………………………19

6.8安全建设管理………………………20

6.9安全运维管理………………………21

()/—……………

附录A资料性附录GBT222392019中第三级安全要求与本文件判例对应关系24

()……………

附录资料性附录高风险判例整改建议

B29

参考文献……………………35

/—

TISEAA0012020

前言

/—《:》

本文件按照标准化工作导则第部分标准化文件的结构和起草规则给出的

GBT1.120201

规则起草。

本文件由中关村信息安全测评联盟提出并归口。

:、

本文件起草单位上海市信息安全测评认证中心国家网络与信息系统安全产品质量监督检验中

、、、、

心江苏金盾检测技术有限公司江苏骏安信息测评认证有限公司山东新潮信息技术有限公司合肥天

、、、

帷信息安全技术有限公司深圳市网安计算机安全检测技术有限公司杭州安信检测技术有限公司成

、、、

都安美勤信息技术股份有限公司甘肃安信信息安全技术有限公司教育信息安全等级保护测评中心

、、。

辽宁浪潮创新信息技术有限公司银行卡检测中心安徽祥盾信息科技有限公司

:、、、、、、、、、、、

本文件主要起草人金铭彦罗峥张笑笑刘静徐御陈清明陆臻陈妍吴晓艳何欣峰许晓晨

、、、、、、、、、、。

张杰武建双牛建红倪祥焕何志鹏严维兵王永琦范仲伟武斌杨凌珺盛璐禕

Ⅰ

/—

TISEAA0012020

引言

。

等级保护测评是推动和贯彻网络安全等级保护工作的重要环节之一为了更好地提升全国等级保

,,

护测评机构的能力规范测评机构对网络安全风险严重程度的判定规则中关村信息安全测评联盟组织

,、,

编写本等级保护测评行业指引性文件旨在促进安全风险判定更加标准化规范化从而更好地规范等

,。

级保护测评活动提升等级保护测评工作质量

/—《》

本文件依据信息安全技术网络安全等级保护基本要求中第二级及以上安

GBT222392019

,

全通用要求及云计算安全扩展要求中的基本原则对测评过程中发现的安全性问题如何进行高风险判

定给出指引。

,,

本文件仅考虑一般系统场景无法涵盖所有行业及特殊场景实际测评活动中应根据安全问题所处

、、,、、。

的环境面临的威胁已采取的措施并结合本文件内容做出客观科学合理的判定

Ⅱ

/—

TISEAA0012020

网络安全等级保护测评高风险判定指引

1范围

、。

本文件适用于网络安全等级保护测评安全检查等活动

2规范性引用文件

。,

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

,;,()

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

本文件。

/—计算机场地通用规范

GBT28872011

—计算机信息系统安全保护等级划分准则

GB178591999

/—信息安全技术术语

GBT250692010

/—信息安全技术网络安全等级保护基本要求

GBT222392019

/—信息安全技术网络安全等级保护测评要求

GBT284482019

/—信息安全技术云计算服务安全能力要求

GBT311682014

/—信息安全技术个人信息安全规范

GBT352732020

3术语和定义

—、/—、/—和/—界定的以及下列

GB178591999GBT250692010GBT311682014GBT222392019

术语和定义适用于本文件。

3.1

高可用性系统

,,,、、

可用性大于或等于99.9%年度停机时间小于或等于8.8h的系统例如银行证券非银行支付

、,,,。

机构互联网金融等交易类系统提供公共服务的民生类系统工业控制类系统云计算平台等

3.2

关键网络设备

,、,

部署在关键网络节点的重要网络设备包括但不限于核心交换机核心路由器等一旦该设备遭受

攻击或出现故障将影响整个系统网络。

3.3

不可控网络环境

、、,、

互联网公共网络环境开放性办公网络等缺少网络安全管控措施可能存在恶意攻击数据窃听等

安全隐患的网络环境。

3.4

可被利用的高危漏洞

,、、

可被攻击者用于进行网络攻击从而导致严重后果的漏洞包括但不限于缓冲区溢出权限提升远

、、。

程代码执行严重逻辑缺陷任意文件上传等

1