等保2.0高风险项判定汇总 – 作者:宇宸de研究室

前不久(7月14日)网上发布了《网络安全等级保护测评高风险判定指引》,并计划于2019年10月1日起施行。看到后,第一感觉,好贴心哦,还告诉你哪些是重点,要怎么改。看完后感觉,这是要我们半条命么?无论怎样,该重点关注的还是要去关注,做好安全工作。

引言

所谓高风险项,就是等保测评时可以一票否决的整改项,如果不改,无论你多少分都会被定为不合格。全文共58页,写得比较细了,但是想到大家基本不会有耐心去仔细看的(凭直觉)。这几天挑里边相对重点的内容列了出来,就是企业要重点关注的,把这些做好,上70分应该不成问题,个人认为这就是所谓的抓重点了。最近要定级或者明年打算升级等保2.0的可以参考下。

说明:文中标记(3级)的表示3级及以上系统适用,标记(4级)的表示4级系统适用,为标记的表示所有系统适用。

物理环境部分

1. 无防盗报警系统、无监控系统,可判定为高风险。

2. 机房未配备冗余或并行电力线路供电来自于同一变电站,可判高风险。

3. 系统所在的机房必须配备应急供电措施,如未配备,或应急供电措施无法使用,可判高风险。(4级)

4. 对于涉及大量核心数据的系统,如机房或关键设备所在的机柜未采取电磁屏蔽措施,可判高风险。(4级)

网络通信部分

1. 对可用性要求较高的系统,网络设备的业务处理能力不足,高峰时可能导致设备宕机或服务中断,影响金融秩序或引发群体事件,若无任何技术应对措施。核心网络设备性能无法满足高峰期需求,存在业务中断隐患,如业务高峰期,核心设备性能指标平均达到80%以上,可判定为高风险。

2. 应按照不同网络的功能、重要程度进行网络区域划分,如存在重要区域与非重要网络在同一子网或网段的,可判定为高风险。

3. 互联网出口无任何访问控制措施,或访问控制措施配置失效,存在较大安全隐患,可判定为高风险。(区域边界要求同样适用)

4. 办公网与生产网之间无访问控制措施,办公环境任意网络接入均可对核心生产服务器和网络设备进行管理,可判定为高风险。

5. 对可用性要求较高的系统,若网络链路为单链路,核心网络节点、核心网络设备或关键计算设备无冗余设计,一旦出现故障,可能导致业务中断,可判定为高风险。(3级)

6. 对数据传输完整性要求较高的系统,数据在网络层传输无完整性保护措施,一旦数据遭到篡改,可能造成财产损失的,可判定为高风险。建议采用校验技术或密码技术保证通信过程中数据的完整性。(3级)

7. 口令、密钥等重要敏感信息在网络中明文传输,可判定为高风险。(3级)

建议相关设备开启 SSH 或HTTPS 协议或创建加密通道,通过这些加密方式传输敏感信息。

区域边界部分

1. 非授权设备能够直接接入重要网络区域,如服务器区、管理网段等,且无任何告警、限制、阻断等措施的,可判定为高风险。(3级)

如接入的区域有严格的物理访问控制,采用静态 IP 地址分配,关闭不必要的接入端口,IP-MAC 地址绑定等措施的,可酌情降低风险等级。

2. 核心重要服务器设备、重要核心管理终端,如无法对非授权联到外部网络的行为进行检查或限制,或内部人员可旁路、绕过边界访问控制设备私自外联互联网,可判定为高风险。(3级)

如机房、网络等环境可控,非授权外联可能较小,相关设备上的 USB 接口、无线网卡等有管控措施,对网络异常进行监控及日志审查,可酌情降低风险等级。

3.内部核心网络与无线网络互联,且之间无任何管控措施,一旦非授权接入无线网络即可访问内部核心网络区域,存在较大安全隐患,可判定为高风险。(3级)

如无特殊需要,内部核心网络不应与无线网络互联;如因业务需要,则建议加强对无线网络设备接入的管控,并通过边界设备对无线网络的接入设备对内部核心网络的访问进行限制,降低攻击者利用无线网络入侵内部核心网络。

4. 与互联网互连的系统,边界处如无专用的访问控制设备或配置了全通策略,可判定为高风险。

5. 可控网络环境与不可控网络环境之间数据传输未采用通信协议转换或通信协议隔离等方式进行数据转换(网闸或前置机),可判定为高风险。(4级)

6. 关键网络节点(如互联网边界处)未采取任何防护措施,无法检测、阻止或限制互联网发起的攻击行为(无入侵防御设备、云防、WAF等),可判定为高风险。(3级)

7. 关键网络节点(如核心服务器区与其他内部网络区域边界处)未采取任何防护措施,无法检测、阻止或限制从内部发起的网络攻击行为(无入侵防御、防火墙等),可判定为高风险。(3级)

8. 主机和网络层均无任何恶意代码检测和清除措施的,可判定为高风险。

9. 在网络边界、重要网络节点无任何安全审计措施,无法对重要的用户行为和重要安全事件进行日志审计,可判定为高风险。

计算环境部分

1. 网络设备、安全设备、操作系统、数据库等存在空口令或弱口令帐户(包括默认口令),并可通过该弱口令帐户登录,可判定为高风险。

2. 通过不可控网络环境远程管理的网络设备、安全设备、操作系统、数据库等,鉴别信息明文传输,容易被监听,造成数据泄漏,可判定为高风险。

3. 重要核心设备、操作系统等未采用两种或两种以上鉴别技术对用户身份进行鉴别。例如仅使用用户名/口令方式进行身份验证,削弱了管理员账户的安全性,无法避免账号的未授权窃取或违规使用,4级系统多种鉴别技术中未用到密码技术或生物技术。可判定为高风险。(3级)

4.网络设备、安全设备、操作系统等存在多余系统服务/默认共享/高危端口存在,且存在可被利用的高危漏洞或重大安全隐患,可判定为高风险。(注意不只系统和应用,还有设备也要关闭多余端口)

5. 通过不可控网络环境远程管理的网络设备、安全设备、操作系统、数据库等,未采取技术手段对管理终端进行限制,可判定为高风险。(3级)

6.对于一些互联网直接能够访问到的网络设备、安全设备、操作系统、数据库等,如存在外界披露的重大漏洞,未及时修补更新,无需考虑是否有 POC 攻击代码,可判定为高风险。(不要说影响业务,某大型企业HW期间N年不能打的补丁2天全搞定了)

7. 通过验证测试或渗透测试能够确认并利用的,可对网络设备、安全设备、操作系统、数据库等造成重大安全隐患的漏洞(包括但不限于缓冲区溢出、提权漏洞、远程代码执行、严重逻辑缺陷、敏感数据泄露等),可判定为高风险。

8. Windows 操作系统未安装防恶意代码软件,并进行统一管理(这里觉得官方描述有问题,并未进行可能更准确),无法防止来自外部的恶意攻击或系统漏洞带来的危害,可判定为高风险。

9. 应用系统无任何用户口令复杂度校验机制,校验机制包括口令的长度、复杂度等,可判定为高风险。

10. 应用系统存在易被猜测的常用/弱口令帐户,可判定为高风险。

11.可通过互联网登录的应用系统未提供任何登录失败处理措施,攻击者可进行口令猜测,可判定为高风险。(3级)

12.通过互联网方式访问,且涉及大额资金交易、核心业务等操作的系统,在进行重要操作前应采用两种或两种以上方式进行身份鉴别,如只采用一种验证方式进行鉴别,可判定为高风险。(3级)

13. 应用系统访问控制功能存在缺失,无法按照设计策略控制用户对系统功能、数据的访问;可通过直接访问 URL 等方式,在不登录系统的情况下,非授权访问系统功能模块,可判定为高风险。

14. 应用系统访问控制策略存在缺陷,可越权访问系统功能模块或查看、操作其他用户的数据。如存在平行权限漏洞,低权限用户越权访问高权限功能模块等,可判定为高风险。

15. 应用系统(包括前端系统和后台管理系统)无任何日志审计功能,无法对用户的重要行为进行审计,也无法对事件进行溯源,可判定为高风险。(3级)

16. 由于校验机制缺失导致的应用系统存在如 SQL 注入、跨站脚本、上传漏洞等高风险漏洞,可判定为高风险。

17. 应用系统所使用的环境、框架、组件等存在可被利用的高风险漏洞,导致敏感数据泄露、网页篡改、服务器被入侵等安全事件的发生,可能造成严重后果的,可判定为高风险。

18. 通过测试,发现应用系统的业务功能(如密码找回功能等)存在高风险安全漏洞或严重逻辑缺陷,可能导致修改任意用户密码、绕过安全验证机制非授权访问等情况。可判定为高风险。

19. 对传输完整性要求较高的系统,如未采取任何措施保障重要数据传输完整性,重要数据在传输过程中被篡改可能造成严重后果的,可判定为高风险。(3级)

20. 用户鉴别信息、公民敏感信息数据或重要业务数据等以明文方式在不可控网络中传输,可判定为高风险。(3级)

21. 用户身份认证信息、个人敏感信息数据、重要业务数据、行业主管部门定义的非明文存储类数据等以明文方式存储,且无其他有效保护措施,可判定为高风险。(3级)

22. 应用系统未提供任何数据备份措施,一旦遭受数据破坏,无法进行数据恢复的,可判定为高风险。

23. 对系统、数据容灾要求较高的系统,如金融、医疗卫生、社会保障等行业系统,如无异地数据灾备措施,或异地备份机制无法满足业务需要,可判定为高风险。

24. 对数据处理可用性要求较高系统(如金融行业系统、竞拍系统、大数据平台等),应采用热冗余技术提高系统的可用性,若核心处理节点(如服务器、DB 等)存在单点故障,可判定为高风险。(3级)

25. 对容灾、可用性要求较高的系统,如金融行业系统,如未设立异地应用级容灾中心,或异地应用级容灾中心无法实现业务切换,可判定为高风险。(4级)

26. 身份鉴别信息释放或清除机制存在缺陷,如在正常进行释放或清除身份鉴别信息操作后,仍可非授权访问系统资源或进行操作(同样适用于敏感信息),可判定为高风险。

27. 在采集和保存用户个人信息时,应通过正式渠道获得用户同意、授权,如在未授权情况下,采取、存储用户个人隐私信息,可判定为高风险。

28. 未授权访问和非法使用个人信息,如在未授权情况下将用户信息提交给第三方处理,未脱敏的情况下用于其他业务用途,未严格控制个人信息查询以及导出权限,非法买卖、泄露用户个人信息等,可判定为高风险。

管理中心部分

1. 《网络安全法》要求“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”;因此,如相关设备日志留存不满足法律法规相关要求,可判定为高风险。(3级)

2. 未部署相关安全设备,识别网络中发生的安全事件,并对重要安全事件进行报警的,可判定为高风险。

管理制度部分

1. 判例内容:未建立任何与安全管理活动相关的管理制度或相关管理制度无法适用于当前被测系统的,可判定为高风险。

管理机构部分

1. 未成立指导和管理信息安全工作的委员会或领导小组,或其最高领导不是由单位主管领导委任或授权,可判定为高风险。(3级)

建设管理部分

1. 网络关键设备和网络安全专用产品的使用违反国家有关规定,可判定为高风险。(其实就是尽可能使用国产品牌)

建议依据国家有关规定,采购和使用网络关键设备和网络安全专用产品。(《网络安全法》第二十三条规定网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。)

2. 对于涉及金融、民生、基础设施等重要行业的业务核心系统由外包公司开发,上线前未对外包公司开发的系统进行源代码审查,外包商也无法提供相关安全检测证明,可判定为高风险。(3级)

3. 系统上线前未通过安全性测试,或未对相关高风险问题进行安全评估仍旧“带病”上线的,可判定为高风险。安全检查内容可以包括但不限于扫描渗透测试、安全功能验证、源代码安全审核(国家逐步开始推广SDL的落地)。(3级)

运维管理部分

1. 未对发现的安全漏洞和隐患及时修补,会导致系统存在较大的安全隐患,黑客有可能利用安全漏洞对系统实施恶意攻击,如果安全漏洞和隐患能够构成高危风险,可判定为高风险(对应前边漏洞管理的内容,要求相同)。(3级)

2. 未对运维过程中改变连接、安装系统组件或调整配置参数进行变更审批,且未进行变更性测试,一旦安装系统组件或调整配置参数对系统造成影响,有可能导致系统无法正常访问,出现异常,可判定为高风险(系统变更管理上升为高危风险点)。(3级)

3. 未明确变更管理流程,未对需要变更的内容进行分析与论证,未制定详细的变更方案,无法明确变更的需求与必要性;变更的同时也伴随着可能导致系统无法正常访问的风险,可判定为高风险(变更流程无完善,缺乏理论验证和分析)。(3级)

4. 未对各类运维工具(特别是未商业化的运维工具)进行有效性检查,未对运维工具的接入进行严格的控制和审批,运维工具中可能存在漏洞或后门,一旦被黑客利用有可能造成数据泄漏,可判定为高风险(使用盗版工具的可能会被判定为高风险)。(3级)

5. 制度上服务器及终端与外部连接的授权和批准制度(此处原文描述可能不准确),也未定期对相关违反网络安全策略的行为进行检查,存在违规外联的安全隐患,一旦内网服务器或终端违规外联,可能造成涉密信息(商密信息)的泄露,同时增加了感染病毒的可能性,可判定为高风险(管理层面的违规外联管理,要有制度还要有执行的过程)。(3级)

6. 外来计算机或存储设备本身可能已被感染病毒或木马,未对其接入系统前进行恶意代码检查,可能导致系统感染病毒或木马,对信息系统极大的危害,可判定为高风险。

7. 未制定重要事件的应急预案,未明确重要事件的应急处理流程、系统恢复流程等内容,一旦出现应急事件,无法合理有序的进行应急事件处置过程,造成应急响应时间增长,导致系统不能在最短的事件内进行恢复,可判定为高风险。

8. 未定期对相关人员进行应急预案培训,未根据不同的应急预案进行应急演练,无法提供应急预案培训和演练记录,可判定为高风险(无应急培训,无应急演练)。(3级)

汇总一下

*本文作者:宇宸默安,本文属 FreeBuf 原创奖励计划,未经许可禁止转载

来源:freebuf.com 2019-08-05 12:30:25 by: 宇宸de研究室

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论