上海市重点网站运行安全分析评估规则（试行）.docVIP

附件1 上海市重点网站运行安全分析评估规则（试行） 根据《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）和《上海市信息安全保障“十二五规划”》的要求，为加强本市重点网站与网上办事系统运行安全保障工作，市网络与信息安全协调小组办公室委托市网络与信息安全应急管理事务中心针对全市重点网站开展了在线安全监测、事件处置和通报工作。为更好地对本市重点网站的安全风险、应急处置等运行安全状况进行有效评估，现特制定并试行本规则。 一、主要评估指标 本规则制订主要参考了国际和国内的相关信息安全标准。具体参数包括：网站安全事件(I)、潜在风险等级(P)、潜在风险个数、风险处置情况(D)和应急响应情况(R)。网站安全事件是指被评估的网站在运行安全评估期间已发生的信息安全事件，包括网页篡改、信息泄露、网站挂马、域名劫持、断开链接，其中网页篡改、信息泄露、网站挂马设定为恶性安全事件，域名劫持、断开链接设定为一般安全事件；其中断开链接是指网站系统因非电信运营商线路故障所发生的无法响应服务事件，网站上已声明非服务时段的在非服务时段发生的无法响应服务不作断开链接事件处理。潜在风险是指网站系统环境中通过外部监测的方式发现并确认的安全漏洞等风险，等级包括：危急、高风险、中风险、低风险四种（分别用E、H、M、L表示）。 二、安全状况分级 网站运行安全状况评估分为四级，最高分值为100分，最低分值为0分。Ⅰ级为运行安全状况好，分值等于100分；Ⅱ级为运行安全状况较好，分值大于等于85分且小于100分；Ⅲ级为运行安全状况较差，分值大于等于60分且小于85分；Ⅳ级为运行安全状况差，分值大于等于0分且小于60分。运行安全状况等级定义如下： Ⅰ级：未发生安全事件且未发现安全风险；或发现低危安全风险但处置得当。网站运行安全状况评估分值等于100分。 Ⅱ级：发生一般安全事件但处置得当；或发现中危安全风险但处置得当；或发现多个低危安全风险使网站运行安全状况评估分值大于等于85分且小于100分。 Ⅲ级：发生一般安全事件且处置不当；或发生多次一般安全事件；或发现危急安全风险但处置得当；或发现高危安全风险；或发现中危安全风险且处置不当；或发现多个中危安全风险；或发生多次安全事件或发现多个安全风险使网站运行安全状况评估分值大于等于60分且小于85分。 Ⅳ级：发生恶性安全事件；或发生多次一般安全事件且处置不当；或发现危急安全风险且处置不当；或发现多个危急安全风险；或发现多个高危安全风险；或发生多次安全事件或发现多个安全风险使网站运行安全状况评估分值小于60分。 三、评分规则 （一）评分公式 （二）公式说明 S：网站运行安全状况评估分值，最高分100分，最低分为0分。若计算分值小于0分，取为0分；若计算分值大于100分，取为100分。 I：网站发生安全事件分值，此类为网站运行安全评估期间已发生信息安全事件。若发生网页篡改、信息泄露、网站挂马等恶性安全事件一次，则I分值等于50分；发生域名劫持一次，则I分值等于20分；若发生网站断开链接大于等于4小时一次，则I分值等于15分。运行安全评估期间多次发生安全事件的则按次累加。 P：潜在风险分值，此类为运行安全评估期间网站系统环境中经监测发现安全风险。危急安全风险等级分为35分，高危安全风险等级分为30分，中危安全风险等级分为15分，低危安全风险等级分为5分。存在某等级安全风险，则P分值增加该等级安全风险的等级分，每增加一个该等级的安全风险，则再增加该等级安全风险的等级分的10%。 分别表示危急和高、中、低危安全风险分值。 ：网站系统环境中经监测发现的危急安全风险总数，若等于0，则不参加计算。 ：网站系统环境中经监测发现的高危安全风险总数，若等于0，则不参加计算。 ：网站系统环境中经监测发现的中危安全风险总数，最大为30分。若等于0，则不参加计算。 ：网站系统环境中经监测发现的低危安全风险总数，最大为10分。若等于0，则不参加计算。 D：事发单位对发现的安全风险处置情况分值，事发单位每次能够及时对发现的风险采取合适的处置措施，消除安全风险的加10分，反之则减10分。若未发现潜在安全风险则此参数不参加运算。运行安全评估期间多次发现安全风险的则按次累加，一次发现多个安全风险的按一次计算。 R：事发单位对发生安全事件应急响应分值，若事发单位每次能够及时对安全事件作出响应，程序合理，处置得当加10分，反之则减10分。若无安全事件发生则此参数不参加运算。运行安全评估期间多次发生安全事件的则按次累加，同时发生多个安全事件的按一次计算。 （三）潜在风险分类 网站运行安全分析评估主要关注网站系统环境中发现的潜在风险，风险命名与等级参考中国国家信息安全漏洞库（CNNVD），按照危害等级分为危急、高危、中危和低危四级。 监测的潜在风险