等级保护测评“安全运维管理”高风险判定指引.pdfVIP

等级保护测评“安全运维管理”⾼风险判定指引 需要指出的是，本指引⽆法涵盖所有⾼风险案例，测评机构须根据安全问题所实际⾯临的风险做出客观判断。 本指引适⽤于⽹络安全等级保护测评活动、安全检查等⼯作。信息系统建设单位亦可参考本指引描述的案例编制系统安 全需求。 本次针对“安全运维管理”进⾏分析。 1、漏洞和风险管理 判例内容：未对发现的安全漏洞和隐患及时修补，会导致系统存在较⼤的安全隐患，⿊客有可能利⽤安全漏洞对系统实 施恶意攻击，如果安全漏洞和隐患能够构成⾼危风险，可判定为⾼风险。 ●通过漏洞扫描，发现存在可被利⽤的⾼风险漏洞； ●未对相关漏洞进⾏评估或修补，对系统安全构成重⼤隐患。 补偿措施：如果安全漏洞修补可能会对系统的正常运⾏造成冲突，应对发现的安全漏洞和隐患进⾏评估，分析被利⽤的 可能性，判断安全风险的等级，在可接受的范围内进⾏残余风险评估，明确风险等级，若⽆⾼危风险，可酌情降低风 险。 整改建议：建议对发现的安全漏洞和隐患进⾏及时修补评估，对必须修补的安全漏洞和隐患进⾏加固测试，测试⽆误 后，备份系统数据，再从⽣产环境进⾏修补，对于剩余安全漏洞和隐患进⾏残余风险分析，明确安全风险整改原则。 2、⽹络和系统安全管理 （1）重要运维操作变更管理 对应要求：应严格控制变更性运维，经过审批后才可改变连接、安装系统组件或调整配置参数，操作过程中应保留不可 更改的审计⽇志，操作结束后应同步更新配置信息库。 判例内容：未对运维过程中改变连接、安装系统组件或调整配置参数进⾏变更审批，且未进⾏变更性测试，⼀旦安装系 统组件或调整配置参数对系统造成影响，有可能导致系统⽆法正常访问，出现异常，可判定为⾼风险。 ●未建⽴变更管理制度，对于重⼤变更性运维过程⽆审批流程； ●变更过程未保留相关操作⽇志及备份措施，出现问题不进⾏恢复还原。 整改建议：建议对需要作出变更性运维的动作进⾏审批，并对变更内容进⾏测试，在测试⽆误后，备份系统数据和参数 配置，再从⽣产环境进⾏变更，并明确变更流程以及回退⽅案，变更完成后进⾏配置信息库更新。 （2）运维⼯具的管控 对应要求：应严格控制运维⼯具的使⽤，经过审批后才可接⼊进⾏操作，操作过程中应保留不可更改的审计⽇志，操作 结束后应删除⼯具中的敏感数据。 判例内容：未对各类运维⼯具（特别是未商业化的运维⼯具）进⾏有效性检查，未对运维⼯具的接⼊进⾏严格的控制和 审批，运维⼯具中可能存在漏洞或后门，⼀旦被⿊客利⽤有可能造成数据泄漏，可判定为⾼风险。 ●未对各类运维⼯具（特别是未商业化的运维⼯具）进⾏有效性检查，如病毒、漏洞扫描等；对运维⼯具的接⼊也未进 ⾏严格的控制和审批；操作结束后也未要求删除可能临时存放的敏感数据。 补偿措施： ●如使⽤官⽅正版商⽤化⼯具，或⾃⾏开发的，安全可供的运维⼯具，可根据实际情况，酌情降低风险等级。 ●如对于运维⼯具的接⼊有严格的控制措施，且有审计系统对相关运维操作进⾏审计，可根据实际情况，酌情降低风险 等级。 整改建议：如果必须使⽤运维⼯具，建议使⽤商业化的运维⼯具，严禁运维⼈员私⾃下载第三⽅未商业化的运维⼯具。 （3）运维外联的管控 对应要求：应保证所有与外部的连接均得到授权和批准，应定期检查违反规定⽆线上⽹及其他违反⽹络安全策略的⾏ 为。 判例内容：制度上服务器及终端与外部连接的授权和批准制度，也未定期对相关违反⽹络安全策略的⾏为进⾏检查，存 在违规外联的安全隐患，⼀旦内⽹服务器或终端违规外联，可能造成涉密信息 （商密信息）的泄露，同时增加了感染病 毒的可能性，可判定为⾼风险。 ●管理制度上⽆关于外部连接的授权和审批流程，也未定期进⾏相关的巡检； ●⽆技术⼿段检查违规上⽹及其他⽹络安全策略的⾏为。 补偿措施：在⽹络部署了相关的准⼊控制设备，可有效控制、检查、阻断违规⽆线上⽹及其他违反⽹络安全策略⾏为的 情况下，如未建⽴相关制度，未定期进⾏巡检，可酌情降低风险等级。 整改建议：建议制度上明确所有与外部连接的授权和批准制度，并定期对相关违反⾏为进⾏检查，可采取终端管理系统 实现违规外联和违规接⼊，设置合理的安全策略，在出现违规外联和违规接⼊时能第⼀时间进⾏检测和阻断。 3、恶意代码防范管理 外来接⼊设备恶意代码检查 对应要求：应提⾼所有⽤户的防恶意代码意识，对外来计算机或存储设备接⼊系统前进⾏恶意代码检查等。 判例内容：外来计算机或存储设备本⾝可能已被感染病毒或⽊马，未对其接⼊系统前进⾏恶意代码检查，可能导致系统 感染病毒或⽊马，对信息系统极⼤的危害，可判定为⾼风险。 ●未在管理制度或安全培训⼿册中明确外来计算机或存储设备接⼊安全操作流程；