网络安全等级保护测评高风险判定指引.pdfVIP

网络安全等级保护测评高风险判定指引

1术语和定义

1.1可用性要求较高的系统

指可用性级别大于等于99.9%，年度停机时间小于等于8.8小时

的系统（例如银行、证券、非银行支付机构、互联网金融等交易类系

统，提供公共服务的民生类系统，工业控制类系统，云计算平台等）。

1.2关键网络设备

指部署在关键网络节点的核心设备（包括但不限于核心交换机、

核心路由器、边界防火墙等），一旦该设备遭受攻击或出现故障将影

响整个系统网络。

1.3数据传输完整性要求较高的系统

指一旦数据在传输过程中遭受恶意破坏或篡改，可能造成较大的

财产损失，或造成严重破坏的系统（例如银行、证券、非银行支付机

构、互联网金融等交易类系统等）。

1.4不可控网络环境

指互联网、公共网络环境、开放性办公环境等缺少网络安全管控

措施，可能存在恶意攻击、数据窃听等安全隐患的网络环境。

1.5可被利用的高危漏洞

指可被攻击者用来进行网络攻击从而导致严重后果的漏洞（包括

但不限于缓冲区溢出、提权漏洞、远程代码执行、严重逻辑缺陷、敏

感数据泄露等）。

1.6云管理平台

指云服务商或云服务客户用来对云计算资源进行管理的系统平台。

2安全物理环境

2.1物理访问控制

2.1.1机房出入口无控制措施

对应要求：机房出入口应配置电子门禁系统，控制、鉴别和记录

进入的人员。

判例内容：机房出入口无任何访问控制措施，机房大门未安装电

子或机械门锁（包括机房大门处于未上锁状态），机房入口处也无专

人值守；非授权人员可随意进出机房，无任何管控、监控措施，存在

较大安全隐患，可判定为高风险。

适用范围：2级及以上系统。

满足条件：机房出入口无任何访问控制措施，例如未安装电子或

机械门锁（包括机房大门处于未上锁状态）、专人值守等，可导致非

授权人员可随意进出机房。

补偿措施：机房所在位置处于受控区域，仅授权人员可进入该区

域，可酌情降低风险等级。

整改建议：机房出入口配备电子门禁系统，通过电子门禁系统控

制、鉴别、和记录进入的人员信息。

2.2防盗窃和防破坏

2.2.1机房无防盗措施

对应要求：应设置机房防盗报警系统或设置有专人值守的视频监

控系统。

判例内容：机房无防盗报警系统，也未设置有专人值守的视频监

控系统，出现盗窃事件无法进行告警、追溯，可判定为高风险。

适用范围：3级及以上系统。

满足条件（同时）：

a)机房无防盗报警系统，无法对盗窃事件进行告警、追溯；

b)未设置有专人值守的视频监控系统；

c)机房出入口或机房所在区域无出入控制措施。

补偿措施：

a)机房出入安排专人24小时值守，并且能对进出人员、进出物品

进行登记，可酌情

降低风险等级；

b)机房所在位置处于受控区域，仅授权人员可进入该区域，可酌

情降低风险等级。

整改建议：建议机房部署防盗报警系统或设置有专人值守的视频

监控系统，如发生盗窃事件可及时告警或进行追溯，确保机房环境的

安全可控。

2.3防火

2.3.1机房无防火措施

对应要求：机房应设置火灾自动消防系统，能够自动检测火情、

自动报警，并自动灭火。

判例内容：机房无任何防火措施（如无检测火情、感应报警、灭

火设施，手持灭火器等设施；消防设备已失效或无法正常使用应视为

无灭火措施），一旦发生火情，无任何消防处置措施，可判定为高风

险。

适用范围：2级及以上系统。

满足条件（任意条件）：

a)机房无任何防火措施（如无检测火情、感应报警、灭火设施，

手持灭火器等设施；

消防设备已失效、未年检或无法正常使用应视为无灭火措施）；

b)机房采取喷水、干粉等不允许在机房使用的灭火系统或设备。

补偿措施：机房安排专人值守或设置了专人值守的视频监控系统，

并且机房附近有符合国家消防标准的灭火设备，可酌情降低风险。

整改建议：建议机房设置火灾自动消防系统，能够自动检测火情、

报警及灭火，相关消防设备如灭火器等应定期检查，确保防火措施持

续有效。

2.4温湿度控制

2.