一、安全物理环境
(1)扩展-云计算-基础设施位置
1、应保证云计算基础设施位于中国境内。
6.1.6云计算基础设施物理位置不当
二、安全通信网络
(1)网络架构
2、d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;
(6.2.4二级及以上系统):
在网络架构上,重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)无访问控制设备实施访问控制措施,例如重要网络区域与互联网等外部非安全可控网络边界处、生产网络与员工日常办公网络之间、生产网络与无线网络接入区之间未部署访问控制设备实施访问控制措施等。
(2)扩展-云计算-网络架构
3、a)应保证云计算平台不承载高于其安全保护等级的业务应用系统;
(6.2.6云计算平台等级低于承载业务系统等级-二级及以上)
判例场景(任意):
1) 云计算平台承载高于其安全保护等级(SxAxGx)的业务应用系统;
2)业 务应用系统部署在低于其安全保护等级(SxAxGx)的云计算平台上;
3)业务应用系统部署在未进行等级保护测评、测评报告超出有效期或者等级保护测评结论
为差的云计算平台上。
三、安全区域边界
(1)访问控制
4、a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。
(6.3.2二级及以上系统):
重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)访问控制设备配置不当或控制措施失效,存在较大安全隐患。例如办公网络任意网络终端均可访问核心生产服务器和网络设备;无线网络接人区终端可直接访问生产网络设备等。
(2)安全审计
5、a)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。(6.3.6二级及以上系统):
1)在网络边界、关键网络节点无法对重要的用户行为进行日志审计;
2)在网络边界、关键网络节点无法对重要安全事件进行日志审计。
四、安全计算环境
(1)安全审计(网络设备、安全设备、主机)
6、a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
(6.4.1.5二级及以上系统):
1) 关键网络设备、关键安全设备、关键主机设备(包括操作系统、 数据库等)未开启任何审计功能,无法对重要的用户行为和重要安全事件进行审计;
2)未采用堡垒机、第三方审计工具等技术手段或所采用的辅助审计措施存在漏记、旁路等缺陷,无法对重要的用户行为和重要安全事件进行溯源。
(2)数据保密性
7、b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
(6.4.3.3三级及以上系统):
1) 鉴别信息、个人敏感信息、行业主管部门规定需加密存储的数据等以明文方式存储;
2)未采取数据访问限制、部署数据库防火墙、使用数据防泄露产品等其他有效保护措施。
(3)扩展-云计算-数据完整性和保密性
8、a)应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定;
(6.4.3.12 二级及以上系统)
云服务客户数据和用户个人信息违规出境
本判例包括以下内容:
云服务客户数据、用户个人信息等数据出境未遵循国家相关规定。
(4)数据备份恢复
9、b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
(6.4.3.5三级及以上系统):
数据容灾要求较高的定级对象,无异地数据灾备措施,或异地备份机制无法满足业务或行业主管部门要求。
(5)剩余信息保护
10、a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
(6.4.3.8二级及以上系统):
1)身份鉴别信息释放或清除机制存在缺陷,利用剩余鉴别信息,可非授权访问系统资源或进行操作;
2)无其他技术措施,消除或降低非授权访问系统资源或进行操作所带来的影响。
11、b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
(6.4.3.9三级及以上系统):
个人敏感信息、业务敏感信息等敏感数据释放或清除机制存在缺陷,可造成敏感数据泄露。
(6)个人信息保护
12、a)应仅采集和保存业务必须的用户个人信息
(6.4.3.10二级及以上系统):
1) 在未授权情况下,采集、存储用户个人隐私信息;
2)采集、保存法律法规、主管部门严令禁止采集、保存的用户隐私信息。
13、b)应禁止未授权访问和非法使用用户个人信息
(6.4.3.11二级及以上系统):
1) 未按国家、行业主管部门以及标准的相关规定使用个人信息,例如在未授权情况下将用户信息提交给第三方处理,未脱敏的个人信息用于其他非核心业务系统或测试环境,非法买卖、泄露用户个人信息等情况;
2)个人信息可非授权访问,例如未严格控制个人信息查询以及导出权限等。
五、安全管理中心
(1)集中管控
14、c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
(6.5.1高可用性的三级及以上系统):
对网络链路、安全设备、网络设备和服务器等的运行状况无任何监控措施,发生故障后无法及时对故障进行定位和处理。
六、安全管理制度
(1)管理制度
15、a) 应对安全管理活动中的各类管理内容建立安全管理制度;
(6.6.1二级及以上系统):
未建立任何与安全管理活动相关的管理制度或相关管理制度无法适用于当前定级对象。
七、安全管理机构
(1)岗位设置
16、a) 应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权;
(6.6.2三级及以上系统):
未成立指导和管理信息安全工作的委员会或领导小组,或其最高领导未由单位主管领导担任或授权。
八、安全管理人员
(1)安全意识教育和培训
13、a) 应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施;
(6.7.1二级及以上系统):
未定期组织开展与安全意识、安全技能相关的培训
(2)外部人员访问管理
14、b) 应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案;
(6.7.2二级及以上系统):
1)管理制度中未明确外部人员接入受控网络访问系统的申请、审批流程,以及相关安全控制
要求;
2)无法提供外部人员接人受控网络访问系统的申请、审批等相关记录证据。
九、安全运维管理
(1)网络和系统安全管理
15、h) 应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据;
(6.9.1三级及以上系统):
1)运维工具(特别是未商业化的运维工具)使用前未进行有效性检查,例如病毒、漏洞扫描等﹔
2)对运维工具接入网络未进行严格的控制和审批﹔
3)运维工具使用结束后未要求删除可能临时存放的敏感数据。
16、j) 应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为。
(6.9.2三级及以上系统):
1)管理制度中无与外部连接的授权和审批流程,也未定期进行相关的巡检;
2)无技术手段对违规上网及其他违反网络安全策略的行为进行有效控制、检查、阻断。
个人敏感信息j) 应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为。
(6.9.2三级及以上系统):
1)管理制度中无与外部连接的授权和审批流程,也未定期进行相关的巡检;
2)无技术手段对违规上网及其他违反网络安全策略的行为进行有效控制、检查、阻断。
(2)恶意代码防范管理
17、a) 应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等;
(6.9.3二级及以上系统):
1)管理制度中未明确外来计算机或存储设备接人安全操作规程﹔
2)外来计算机或存储设备接入网络前未进行恶意代码检查。
(3)变更管理
18、a) 应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施;
发布评论