網(wǎng)絡(luò)安全評估實施指南

1網(wǎng)絡(luò)安全評估實施指南本標準給出了網(wǎng)絡(luò)安全評估工作的流程、方法和內(nèi)容。本標準適用于委網(wǎng)信辦和有關(guān)部門開展網(wǎng)絡(luò)安全評估工作參考；適用于網(wǎng)絡(luò)運營者自行開展網(wǎng)絡(luò)安全評估工作參考；適用于網(wǎng)絡(luò)安全服務(wù)機構(gòu)對網(wǎng)絡(luò)運營者提供咨詢、檢測、評估等服務(wù)參考；適用于網(wǎng)絡(luò)安全檢測產(chǎn)品及服務(wù)研發(fā)機構(gòu)研發(fā)檢查工具、安全咨詢服務(wù)，創(chuàng)新安全應(yīng)用參考。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20984-2007信息安全技術(shù)信息安全風險評估規(guī)范GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南GB/T25069信息安全技術(shù)術(shù)語GB/T31509-2015信息安全技術(shù)信息安全風險評估實施指南GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范3術(shù)語和定義GB/T25069中界定的以及下列術(shù)語和定義適用于本文件。網(wǎng)絡(luò)運營者Networkoperatorsshall是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。4縮略語下列縮略語適用于本文件。IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）MAC：介質(zhì)訪問控制（MediumAccessControl）5概述本標準規(guī)定了網(wǎng)絡(luò)安全評估的流程、方法和內(nèi)容。評估流程根據(jù)評估中各項工作內(nèi)容分為工作準備、工作實施和結(jié)果反饋三個階段，其中工作準備階段的工作是對評估實施有效性的保證，是評估工作的開始；工作實施階段的工作是對評估活動中涉及的評估內(nèi)容判定的主要階段，同時，要基于獲得的各類信息進行關(guān)聯(lián)分析，計算風險值，并綜合評估整體安全狀況出具評估報告；結(jié)果反饋階段的工作是對評估實施質(zhì)量判定的過程，是評估工作的終止。2評估方法是圍繞評估工作的全生命周期，根據(jù)中不同階段的工作事項，為達到相應(yīng)評估目的而采取的手段和行為方式，用于規(guī)范和指導評估者開展和落實網(wǎng)絡(luò)安全評估具體工作。評估內(nèi)容主要包括法律法規(guī)合規(guī)、行業(yè)領(lǐng)域要求、安全管理措施、安全技術(shù)措施、技術(shù)檢測等方面的評估，通過文檔查閱、現(xiàn)場訪談等方法，檢查被評估方是否遵從法律、法規(guī)和政策標準的相關(guān)要求，是否存在安全漏洞和安全隱患。6評估流程網(wǎng)絡(luò)安全評估實施流程分為3個階段：工作準備階段、工作實施階段和結(jié)果階段。以上三種工作形式的安全評估宜根據(jù)圖1所示的評估流程制定相應(yīng)的評估方案。圖1網(wǎng)絡(luò)安全評估實施流程7評估方法37.1工作準備階段7.1.1確定評估目標評估方應(yīng)明確評估的背景、目標、原則和依據(jù)，充分調(diào)研被評估方所屬行業(yè)的相關(guān)標準及政策文件，確定評估工作任務(wù)，并與被評估方簽署保密協(xié)議。a）網(wǎng)絡(luò)安全評估的目標應(yīng)根據(jù)滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要、法律法規(guī)的規(guī)定等內(nèi)容來明確網(wǎng)絡(luò)安全評估目標；b）網(wǎng)絡(luò)安全評估應(yīng)貫穿于信息系統(tǒng)生命周期的各個階段中，由于信息系統(tǒng)生命周期各階段中評估實施的內(nèi)容、對象、安全需求均不同，因此被評估方應(yīng)首先根據(jù)當前信息系統(tǒng)的實際情況來確定在信息系統(tǒng)生命周期中所處的階段，并以此來明確網(wǎng)絡(luò)安全評估目標。7.1.2確定評估范圍在確定網(wǎng)絡(luò)安全評估相應(yīng)目標之后，應(yīng)進一步明確網(wǎng)絡(luò)安全評估的評估范圍，可以是組織全部信息及與信息處理相關(guān)的各類資產(chǎn)、管理機構(gòu)，也可以是某個獨立信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程等。在確定評估范圍時，應(yīng)結(jié)合已確定的評估目標和組織的實際情況，合理定義評估對象和評估范圍邊界，可以參考以下依據(jù)作為評估范圍邊界的劃分原則：a）業(yè)務(wù)系統(tǒng)的業(yè)務(wù)邏輯邊界；b）網(wǎng)絡(luò)及設(shè)備載體的邊界；c）物理環(huán)境邊界；d）組織管理權(quán)限邊界；e）其他。7.1.3組建評估團隊網(wǎng)絡(luò)安全評估實施團隊應(yīng)由被評估方、評估機構(gòu)等共同組建網(wǎng)絡(luò)安全評估小組；由被評估方領(lǐng)導、相關(guān)部門負責人，以及評估機構(gòu)相關(guān)人員成立網(wǎng)絡(luò)安全評估領(lǐng)導小組；聘請相關(guān)專業(yè)的技術(shù)專家和技術(shù)骨干組成專家組。網(wǎng)絡(luò)安全評估小組應(yīng)完成評估前的表格、文檔、檢測工具等各項準備工作；進行網(wǎng)絡(luò)安全評估技術(shù)培訓和保密教育；制定網(wǎng)絡(luò)安全評估過程管理相關(guān)規(guī)定；編制應(yīng)急預(yù)案等。雙方應(yīng)簽署保密協(xié)議，適情簽署個人保密協(xié)議。為確保網(wǎng)絡(luò)安全評估工作的順利有效進行，應(yīng)采用合理的項目管理機制，主要相關(guān)成員角色與職責說明如表1和表2所示。表1網(wǎng)絡(luò)安全評估小組——評估方構(gòu)成角色與職責說明表1（續(xù)）評估方人員角色工作職責項目組長是網(wǎng)絡(luò)安全評估項目中實施方的管理者、責任人，具體工作職責包括：1)根據(jù)項目情況組建評估項目實施團隊；2)根據(jù)項目情況與被評估方一起確定評估目標和評估范圍，并組織項目組成員對被評估方實施系統(tǒng)調(diào)研；3)根據(jù)評估目標、評估范圍及系統(tǒng)調(diào)研的情況確定評估依據(jù)，并組織編寫評估方案；4)組織項目組成員開展網(wǎng)絡(luò)安全評估各階段的工作，并對實施過程進行監(jiān)督、協(xié)調(diào)和4表1（續(xù)）評估方人員角色工作職責控制，確保各階段工作的有效實施；5)與被評估方進行及時有效的溝通，及時商討項目進展狀況及可能發(fā)生問題的預(yù)測6)組織項目組成成員將網(wǎng)絡(luò)安全評估各階段的工作成果進行匯總，編寫《網(wǎng)絡(luò)安全評估報告》與《安全整改建議書》等項目成果物；7)負責將項目成果物移交被評估方，向被評估方匯報項目成果，并提請項目驗收。安全技術(shù)評估人員是負責網(wǎng)絡(luò)安全評估項目中技術(shù)方面評估工作的實施人員。具體工作職責包括：1)根據(jù)評估目標與評估范圍的確定參與系統(tǒng)調(diào)研，并編寫《調(diào)研報告》的技術(shù)部分內(nèi)2)參與編寫《評估方案》；3)遵照《評估方案》實施各階段具體的技術(shù)性評估工作，主要包括：信息資產(chǎn)調(diào)查、行業(yè)領(lǐng)域要求檢查、安全技術(shù)措施檢查等；4)對評估工作中遇到的問題及時向項目組長匯報，并提出需要協(xié)調(diào)的資源；5)將各階段的技術(shù)性評估工作成果進行匯總，參與編寫《網(wǎng)絡(luò)安全評估報告》與《安全整改建議書》等項目成果物；6)負責向被評估方解答項目成果物中有關(guān)技術(shù)性細節(jié)問題。安全管理評估人員是負責網(wǎng)絡(luò)評估項目中管理方面評估工作的實施人員。具體工作職責包括：1)根據(jù)評估目標與評估范圍的確定參與系統(tǒng)調(diào)研，并編寫《調(diào)研報告》的管理部分內(nèi)2)參與編寫《評估方案》；3)遵照《評估方案》實施各階段具體的管理性評估工作，主要包括：信息資產(chǎn)調(diào)查、法律法規(guī)合規(guī)檢查、行業(yè)領(lǐng)域要求檢查、安全管理措施檢查等；4)對評估工作中遇到的問題及時向項目組長匯報，并提出需要協(xié)調(diào)的資源；5)將各階段的管理性評估工作成果進行匯總，參與編寫《網(wǎng)絡(luò)安全評估報告》與《安全整改建議書》等項目成果物；6)負責向被評估方解答項目成果物中有關(guān)管理性細節(jié)問題。技術(shù)檢測評估人員是負責網(wǎng)絡(luò)評估項目中技術(shù)檢測評估工作的實施人員。具體工作職責包括：1)根據(jù)評估目標與評估范圍的確定參與系統(tǒng)調(diào)研，并編寫《調(diào)研報告》的技術(shù)檢測部分內(nèi)容；2)參與編寫《評估方案》；3)遵照《評估方案》實施各階段具體的技術(shù)檢測評估工作，主要包括：信息資產(chǎn)調(diào)查、滲透測試、漏洞掃描等；4)對評估工作中遇到的問題及時向項目組長匯報，并提出需要協(xié)調(diào)的資源；5)將各階段的技術(shù)檢測評估工作成果進行匯總，參與編寫《網(wǎng)絡(luò)安全評估報告》與《安全整改建議書》等項目成果物；負責向被評估方解答項目成果物中有關(guān)技術(shù)檢測細節(jié)問題。質(zhì)量管控員是負責網(wǎng)絡(luò)安全評估項目中質(zhì)量管理的人員。具體工作職責包括：1)監(jiān)督審計各階段工作的實施進度與時間進度，對可能出現(xiàn)的影響項目進度的問題及時通告項目組長；5表1（續(xù)）評估方人員角色工作職責2)負責對項目文檔進行管控。表2網(wǎng)絡(luò)安全評估小組——被評估方成員角色與職責說明表2（續(xù)）被評估方人員角色工作職責項目組長是網(wǎng)絡(luò)安全評估項目中被評估方的管理者。具體工作職責包括：1)與評估方的項目組長進行工作協(xié)調(diào)；2)組織本單位的項目組成員在網(wǎng)絡(luò)安全評估各階段活動中的配合工作；3)組織本單位的項目組成員對項目過程中實施方提交的評估信息，數(shù)據(jù)及文檔資料等進行確認，對出現(xiàn)的偏離及時糾正；4)組織本單位的項目組成員對評估方提交的《評估報告》與《安全整改建議書》等項目成果物進行審閱；5)組織對網(wǎng)絡(luò)安全評估項目進行驗收；6)可授權(quán)項目協(xié)調(diào)人負責各階段性工作，代理實施自己的職責。信息安全管理人員是指被評估方的專職信息安全管理人員。在網(wǎng)絡(luò)安全評估項目中的具體工作職責包括：1)在項目組長的安排下,配合評估機構(gòu)在網(wǎng)絡(luò)安全評估各階段中的工作；2)參與對評估機構(gòu)提交的《評估方案》進行研討；3)參與對項目過程中實施方提交的評估信息、數(shù)據(jù)及文檔資料等進行確認,及時指正出現(xiàn)的偏離；4)參與對評估機構(gòu)提交的《評估報告》與《安全整改建議書》等項目成果物進行審閱；5)參與對網(wǎng)絡(luò)安全評估項目的驗收。項目協(xié)調(diào)人是指網(wǎng)絡(luò)安全評估項目中被評估方的工作協(xié)調(diào)人員。具體工作職責是負責與被評估方各級部門之間的信息溝通,及時協(xié)調(diào)、調(diào)動相關(guān)部門的資源,包括工作場地、物資、人員等,以保障項目的順利開展。業(yè)務(wù)人員是指在被評估方的業(yè)務(wù)使用人員代表(應(yīng)由各業(yè)務(wù)部門負責人或其授權(quán)人員擔任)。在網(wǎng)絡(luò)安全評估項目中的具體工作職責包括:1)在項目組長的安排下,配合評估機構(gòu)在網(wǎng)絡(luò)安全評估各階段中的工作；2)參與對評估機構(gòu)提交的《評估方案》進行研討；3)參與對項目過程中實施方提交的評估信息、數(shù)據(jù)及文檔資料等進行確認,及時指正出現(xiàn)的偏離；4)參與對評估機構(gòu)提交的《評估報告》與《安全整改建議書》等項目成果物進行審閱；5)參與對網(wǎng)絡(luò)安全評估項目的驗收。運維人員是指在被評估方的信息系統(tǒng)運行維護人員。在網(wǎng)絡(luò)安全評估項目中的具體工作職責包括:1)在項目組長的安排下,配合評估機構(gòu)在網(wǎng)絡(luò)安全評估各階段中的工作；2)參與對評估機構(gòu)提交的《評估方案》進行研討；3)參與對項目過程中實施方提交的評估信息、數(shù)據(jù)及文檔資料等進行確認,及時指正6表2（續(xù)）被評估方人員角色工作職責出現(xiàn)的偏離；4)參與對評估機構(gòu)提交的《評估報告》與《安全整改建議書》等項目成果物進行審閱；5)參與對網(wǎng)絡(luò)安全評估項目的驗收。開發(fā)人員是指在被評估方本單位或第三方外包商的軟件開發(fā)人員代表。在網(wǎng)絡(luò)安全評估項目中的具體工作職責包括:1)在項目組長的安排下,配合評估機構(gòu)在網(wǎng)絡(luò)安全評估各階段中的工作；2)參與對評估機構(gòu)提交的《評估方案》進行研討；3)參與對項目過程中實施方提交的評估信息、數(shù)據(jù)及文檔資料等進行確認,及時指正出現(xiàn)的偏離；4)參與對評估機構(gòu)提交的《評估報告》與《安全整改建議書》等項目成果物進行審閱；5)參與對網(wǎng)絡(luò)安全評估項目的驗收。網(wǎng)絡(luò)安全評估工作領(lǐng)導小組主要負責決策網(wǎng)絡(luò)安全評估工作的目的、目標；參與并指導網(wǎng)絡(luò)安全評估準備階段的啟動會議；協(xié)調(diào)評估實施過程中的各項資源；組織評估項目驗收會議；推進并監(jiān)督風險處理工作等。網(wǎng)絡(luò)安全評估工作領(lǐng)導小組一般由被評估方主管信息化或信息安全工作的領(lǐng)導負責,成員一般包括：被評估方信息技術(shù)部門領(lǐng)導、相關(guān)業(yè)務(wù)部門領(lǐng)導等，評估機構(gòu)相關(guān)人員參與。7.1.4組織評估啟動會議為保障評估工作的順利開展，確立工作目標、統(tǒng)一思想、協(xié)調(diào)各方資源，應(yīng)召開網(wǎng)絡(luò)安全評估工作啟動會議。啟動會議一般由網(wǎng)絡(luò)安全評估領(lǐng)導小組負責人組織召開，參與人員應(yīng)該包括評估小組全體人員，相關(guān)業(yè)務(wù)部門主要負責人，如有必要可邀請相關(guān)專家組成員參加。啟動會議主要內(nèi)容主要包括：a）被評估方領(lǐng)導宣布此次評估工作的意義、目的、目標，以及評估工作中的責任分工；b）被評估方項目組長說明本次評估工作的計劃和各階段工作任務(wù)，以及需要配合的具體事項；c）評估方項目組長介紹評估工作一般性方法和工作內(nèi)容等。7.1.5組織調(diào)研調(diào)研是熟悉了解被評估對象的過程，網(wǎng)絡(luò)安全評估組應(yīng)進行充分的調(diào)研，修正評估目標跟范圍，同時為網(wǎng)絡(luò)安全評估依據(jù)和方法的選擇、評估內(nèi)容的實施奠定基礎(chǔ)。評估方應(yīng)對被評估方開展調(diào)研，要求被評估方提供的信息包括：a）被評估方負責人信息及人員組織架構(gòu)；b）被評估方的網(wǎng)絡(luò)設(shè)備、信息系統(tǒng)等基本信息；c）主要運營業(yè)務(wù)及其工作流程；d）關(guān)鍵崗位從業(yè)人員信息；e）網(wǎng)絡(luò)安全管理制度；f）安全防護基本情況以及曾發(fā)生的網(wǎng)絡(luò)安全事件情況；g）近一年內(nèi)自行或委托開展檢測評估情況、接受有關(guān)部門抽查檢測情況。7.1.6制定評估方案7網(wǎng)絡(luò)安全評估方案是評估工作實施活動總體計劃，用于管理評估工作的開展，使評估各階段工作可控，并作為評估項目驗收的主要依據(jù)之一。網(wǎng)絡(luò)安全評估方案應(yīng)得到被評估方的確認和認可。網(wǎng)絡(luò)安全評估方案的內(nèi)容應(yīng)包括：a）網(wǎng)絡(luò)安全評估工作框架：包括評估目標、評估范圍、評估依據(jù)等；b）評估團隊組織：包括評估小組成員、組織結(jié)構(gòu)、角色、責任；如有必要還應(yīng)包括網(wǎng)絡(luò)安全評估領(lǐng)導小組和專家組組建介紹等；c）評估工作計劃：包括各階段工作內(nèi)容、工作形式、工作成果等；d）風險規(guī)避：包括保密協(xié)議、評估工作環(huán)境要求、評估方法、工具選擇、應(yīng)急預(yù)案等；e）時間進度安排：評估工作實施的時間進度安排；f）項目驗收方式：包括驗收方式、驗收依據(jù)、驗收結(jié)論定義等；g）項目管理制度；h）被評估方需要配合的事項清單。7.1.7組織專項培訓評估方應(yīng)組織專項培訓，對負責評估工作的干部、專家、技術(shù)人員、有關(guān)運維人員等進行廣泛培訓，確保評估工作質(zhì)量，培訓內(nèi)容應(yīng)包括評估目的意義、流程方法、登記表填報說明、網(wǎng)絡(luò)安全評估方法等。7.2工作實施階段7.2.1評估實施準備如果評估活動是由有關(guān)部門發(fā)起并委托安全服務(wù)機構(gòu)進行的，評估方應(yīng)獲得該領(lǐng)域業(yè)務(wù)主管部門的認定或者委托授權(quán)，被評估方應(yīng)當提供評估所必要的軟硬件條件和工作環(huán)境。7.2.2現(xiàn)場評估實施7.2.2.1實施方法評估方應(yīng)按照評估方案的要求，主要通過以下4種方法對被評估方所涉及的評估內(nèi)容實施網(wǎng)絡(luò)安全評估，并就發(fā)現(xiàn)的主要問題與被評估方進行現(xiàn)場確認。a）文檔查閱。評估方應(yīng)查閱被評估方的系統(tǒng)規(guī)劃設(shè)計方案、網(wǎng)絡(luò)拓撲圖、系統(tǒng)安全防護計劃、安全策略、架構(gòu)、要求、標準作業(yè)程序、授權(quán)協(xié)議、系統(tǒng)互連備忘錄、信息安全事件應(yīng)急響應(yīng)計劃等文檔，評估其準確性和完整性；b）現(xiàn)場訪談。評估方應(yīng)在評估實施之前準備好訪談問卷或調(diào)查表，補充在文檔查閱中未被發(fā)現(xiàn)的系統(tǒng)細節(jié)，進一步理解和洞察系統(tǒng)的開發(fā)、集成、供應(yīng)、使用、管理等過程。現(xiàn)場訪談?wù){(diào)查表參見附錄B；c）現(xiàn)場檢查。評估方應(yīng)根據(jù)評估方案和評估指導書，在合理的評估環(huán)境下，檢查各項安全功能和防護能力是否與提交文檔一致，是否符合相關(guān)標準和要求等；d）現(xiàn)場測試。評估方應(yīng)根據(jù)評估方案，在被評估單位授權(quán)的前提下，運用滲透測試、漏洞掃描等方法直接在待評估系統(tǒng)現(xiàn)場環(huán)境上進行安全性測試。7.2.2.2注意事項a）應(yīng)對評估資料和評估結(jié)果按照國家相關(guān)要求做好保密工作，可采取簽訂保密協(xié)議、最小接觸原則、職業(yè)道德評估、人員保密管理、設(shè)備保密管理、文檔保密管理等控制措施，明確問責和追責等處理方法，保證評估過程中產(chǎn)生、接觸的所有記錄、數(shù)據(jù)評估結(jié)果的安全、保密；8b）應(yīng)對安全評估實施過程進行風險控制，可采取嚴格操作的申請和監(jiān)護、操作時間控制、制定應(yīng)急預(yù)案、搭建運行系統(tǒng)模擬環(huán)境、關(guān)鍵業(yè)務(wù)系統(tǒng)采用人工評估、評估人員選取、評估現(xiàn)場安全培訓等風險控制手段，防止安全評估過程中引入的風險。7.2.3匯總評估結(jié)果評估實施完成后，評估方應(yīng)及時對評估結(jié)果進行梳理、匯總，從安全管理、技術(shù)防護等方面對評估發(fā)現(xiàn)的問題和隱患進行分類整理。7.2.4分析問題隱患評估方應(yīng)對評估工作中發(fā)現(xiàn)的安全問題和風險隱患進行分析評判，對被評估方的安全防護能力和風險管控能力予以綜合分析評估。評估方應(yīng)對評估發(fā)現(xiàn)的問題和隱患逐項進行研究，深入分析原因。結(jié)合年度網(wǎng)絡(luò)安全形勢，對被評估方面臨的網(wǎng)絡(luò)安全威脅和風險程度、信息系統(tǒng)抵御網(wǎng)絡(luò)攻擊的能力進行評估。7.2.4.1關(guān)鍵屬性分析評估方分析被評估方的業(yè)務(wù)特點，給出系統(tǒng)對象在業(yè)務(wù)連續(xù)性、系統(tǒng)完整性和數(shù)據(jù)機密性等方面的等級（分為高、中、低三個等級）和具體描述，并把等級為高的系統(tǒng)對象業(yè)務(wù)特性定義為關(guān)鍵屬性，關(guān)鍵特性可以是上述幾個特性的組合。7.2.4.2脆弱性識別評估方根據(jù)評估內(nèi)容的檢查結(jié)果，對系統(tǒng)對象的脆弱性等級進行分析（高、中、低）并給出具體描述。脆弱性等級按照GB/T209845.4節(jié)“脆弱性識別”和GB/T31509-20155.2.4節(jié)“脆弱性識別”進行劃分，在被評估方的意見基礎(chǔ)之上，由評估方確定。7.2.4.3威脅分析評估方根據(jù)檢查結(jié)果，結(jié)合安全威脅清單，根據(jù)分析被評估方的業(yè)務(wù)特點，按照威脅的來源（內(nèi)部和外部）與威脅發(fā)生的可能性，對系統(tǒng)對象進行威脅分析并給出具體描述。威脅分析方法采用GB/T209845.3節(jié)“威脅識別”和GB/T31509-20155.2.3.4節(jié)“威脅分析”中定義的方法。7.2.4.4風險分析評估根據(jù)上述關(guān)鍵屬性分析、脆弱性分析和威脅分析的結(jié)果，對系統(tǒng)對象每個關(guān)鍵屬性逐一進行定性風險分析，定性風險分析采用GB/T209845.6節(jié)“風險分析”中定義的方法（參考附錄A的風險分析模型進行風險值的計算并給出每個關(guān)鍵屬性風險分析結(jié)果和描述，最后根據(jù)風險分析的結(jié)果確定網(wǎng)絡(luò)運營者整體安全狀況。在上述分析評估的基礎(chǔ)上，若存在以下情況之一的，應(yīng)認定該系統(tǒng)對象的網(wǎng)絡(luò)安全風險為高：a）檢查部分有5項或以上明顯不符的；b）網(wǎng)絡(luò)運營者未發(fā)現(xiàn)系統(tǒng)對象已存在公開高危漏洞的，或發(fā)現(xiàn)后未采取修補措施或制定修補計劃c）對自查和主管監(jiān)管部門評估發(fā)現(xiàn)的問題和提出的整改意見，有時限要求，但在時限要求內(nèi)未完成的；無時限要求，在評估結(jié)束1個月后未制定整改計劃的；d）出現(xiàn)2起或以上未對發(fā)現(xiàn)或通報預(yù)警的網(wǎng)絡(luò)安全高危漏洞、風險、威脅和事件等及時進行應(yīng)對或處置，或未按要求反饋情況的；e）出現(xiàn)2起或以上瞞報、漏報、謊報網(wǎng)絡(luò)安全事件的。97.2.5研究整改措施評估方在深入分析問題隱患的基礎(chǔ)上，研究提出針對性的改進措施建議。安全整改建議應(yīng)根據(jù)評估內(nèi)容中存在的安全風險類型，采取接受、消減、轉(zhuǎn)移、規(guī)避等方式。a）接受。準備應(yīng)對風險事件，接受風險的后果，包括積極的開發(fā)應(yīng)急計劃；b）消減。實施響應(yīng)的安全措施減少風險發(fā)生的概率，包括完善安全管理制度、部署安全產(chǎn)品等；c）轉(zhuǎn)移。對風險造成的損失的承擔的轉(zhuǎn)移，包括合同的約定，由保證策略或者第三方擔保；d）規(guī)避。通過計劃的變更來消除風險或風險發(fā)生的條件，包括安全加固、代碼完善等。7.2.6落實整改內(nèi)容被評估方網(wǎng)絡(luò)安全管理部門應(yīng)根據(jù)評估方的建議，組織相關(guān)單位和人員進行整改，安全整改應(yīng)遵循以下內(nèi)容：a）被認定為關(guān)鍵信息基礎(chǔ)設(shè)施的，應(yīng)根據(jù)整改意見及時進行安全整改；b）應(yīng)加強對整改效果和整改效率的管理，涉及到大范圍整改時，可根據(jù)需要委托具有相應(yīng)安全資質(zhì)或集成資質(zhì)的機構(gòu)進行整改措施的落實；c）整改完成后應(yīng)組織評估方進行再次評估；d）對于不能及時整改的內(nèi)容，應(yīng)根據(jù)風險與責任之間的關(guān)系、風險的嚴重程度，通過風險轉(zhuǎn)移、制定整改計劃和時間表進行風險的處置。7.2.7編寫評估報告評估方對評估工作進行全面總結(jié)，根據(jù)評估得到的結(jié)果，輸出正式的評估報告（模板示例參見附錄C），報告內(nèi)容應(yīng)包括：a）被評估方描述：網(wǎng)絡(luò)運營單位基本情況、網(wǎng)絡(luò)拓撲情況、核心資產(chǎn)情況、承載業(yè)務(wù)情況和安全防護現(xiàn)狀；b）評估結(jié)果說明：評估項、評估內(nèi)容、評估結(jié)果、發(fā)現(xiàn)的主要問題（安全漏洞、隱患和被攻擊情況等）及其詳細描述；c）整改情況說明：整改項、整改內(nèi)容、整改效果、未整改情況及其詳細描述；d）安全風險分析：通過對評估中發(fā)現(xiàn)的安全問題及風險，匯總分析存在的安全隱患及造成的影響；e）安全狀況評價：結(jié)合被評估方所承載業(yè)務(wù)重要性和威脅，綜合評價被評估方的網(wǎng)絡(luò)安全總體狀7.3結(jié)果反饋階段7.3.1組織評審會議組織召開評審會是評估活動結(jié)束的重要標志。評審會應(yīng)由被評估方組織，評估方協(xié)助，并聘請相關(guān)行業(yè)網(wǎng)絡(luò)安全專家、網(wǎng)絡(luò)安全專業(yè)領(lǐng)域?qū)＜业取Ｔu審會議針對評估項目的實施流程、評估的結(jié)論、分析的模型與計算方法及評估活動產(chǎn)生的各類文檔等內(nèi)容提出意見，經(jīng)評估方完善、補充和修改后，形成最終修訂材料。a）組織人員應(yīng)提供有關(guān)文檔供評審人員進行檢查，包括但不限于調(diào)研報告、評估方案、網(wǎng)絡(luò)安全評估報告、安全整改建議書等；b）評估項目組長及相關(guān)人員應(yīng)對評估技術(shù)路線、工作計劃、實施情況、達標情況等內(nèi)容進行匯報，并解答評審人員的置疑；c）評審會中，應(yīng)有專門記錄人員負責對各位專家發(fā)表意見進行記錄；d）依據(jù)評審意見，評估方應(yīng)對相關(guān)報告進行完善、補充和修改，并將最終修訂材料一并提交被評估方，作為評估項目結(jié)束的移交文檔。7.3.2評估結(jié)果反饋評估方應(yīng)將評估工作情況和評估報告向委托方反饋。8評估內(nèi)容8.1法律法規(guī)合規(guī)評估8.1.1關(guān)鍵信息基礎(chǔ)設(shè)施保護評估方根據(jù)被評估方的關(guān)鍵業(yè)務(wù)，查看關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)材料，檢查支撐關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)設(shè)備和信息系統(tǒng)是否均納入了認定范圍，并檢查下列內(nèi)容：a）應(yīng)如實上報支撐關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)設(shè)備和信息系統(tǒng)，避免存在漏報、誤報、瞞報的情況；b）關(guān)鍵信息基礎(chǔ)設(shè)施的新建、更新、廢棄等流程應(yīng)符合相關(guān)規(guī)定；c）應(yīng)開展網(wǎng)絡(luò)安全等級保護工作，并依據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施法律法規(guī)要求實行重點保護，包括安全機構(gòu)設(shè)置、關(guān)鍵人員背景審查、系統(tǒng)和數(shù)據(jù)容災(zāi)備份等；d）應(yīng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)每年對其網(wǎng)絡(luò)的安全性和可能存在的風險進行一次檢測評估；e）應(yīng)建立健全的網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度,并按照規(guī)定報送網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息。8.1.2個人隱私數(shù)據(jù)保護評估方應(yīng)了解被評估方搜集個人隱私數(shù)據(jù)的目的和范圍，并檢查下列內(nèi)容：a）應(yīng)建立個人信息和重要數(shù)據(jù)保護制度；b）應(yīng)在用戶授權(quán)范圍內(nèi)或依據(jù)相關(guān)要求收集、存儲、使用數(shù)據(jù)；c）如因業(yè)務(wù)需要，向境外提供了個人信息和重要數(shù)據(jù)，應(yīng)進行安全評估；d）應(yīng)按照GB/T35273-2020的要求，規(guī)范在收集、存儲、使用、共享、轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)中的相關(guān)行為。8.1.3網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)鏈評估方檢查被評估方采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，并檢查下列內(nèi)容：a）網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)符合相關(guān)國家標準的強制性要求；b）網(wǎng)絡(luò)產(chǎn)品、服務(wù)正式運行前或發(fā)生變更前應(yīng)通過安全檢測并記錄；c）應(yīng)與產(chǎn)品和服務(wù)的提供者簽訂了安全保密協(xié)議，明確安全和保密義務(wù)與責任；d）對可能影響國家安全的產(chǎn)品或服務(wù)，應(yīng)通過國家安全審查；e）應(yīng)通過采購文件、協(xié)議等要求產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查。8.1.4網(wǎng)絡(luò)安全等級保護評估方檢查被評估方對等級保護要求的落實情況：例如等級保護定級備案證明、等級保護測評報告8.2行業(yè)領(lǐng)域要求評估評估方查看被評估方提供的法律法規(guī)、政策文件和標準規(guī)范清單，檢查被評估方在相關(guān)行業(yè)領(lǐng)域相關(guān)規(guī)定、標準的落實情況。8.3安全管理措施評估8.3.1網(wǎng)絡(luò)安全組織管理網(wǎng)絡(luò)安全組織管理通常包括網(wǎng)絡(luò)安全管理工作單位領(lǐng)導、網(wǎng)絡(luò)安全管理工作內(nèi)設(shè)機構(gòu)、網(wǎng)絡(luò)安全責任制度建設(shè)和落實情況的檢查。a）應(yīng)明確一名主管領(lǐng)導，負責本單位網(wǎng)絡(luò)安全管理工作，根據(jù)國家法律法規(guī)有關(guān)要求，結(jié)合實際組織制定網(wǎng)絡(luò)安全管理制度，完善技術(shù)防護措施，協(xié)調(diào)處理重大網(wǎng)絡(luò)安全事件；b）應(yīng)指定一個機構(gòu)，具體承擔網(wǎng)絡(luò)安全管理工作，負責組織落實網(wǎng)絡(luò)安全管理制度和網(wǎng)絡(luò)安全技術(shù)防護措施，開展網(wǎng)絡(luò)安全教育培訓和監(jiān)督檢查等；c）應(yīng)建立健全崗位網(wǎng)絡(luò)安全責任制度，明確崗位及人員的網(wǎng)絡(luò)安全責任。8.3.2網(wǎng)絡(luò)安全日常管理8.3.2.1基本要求a）應(yīng)制定信息安全工作的總體方針和目標，明確信息安全工作的主要任務(wù)和原則；b）應(yīng)建立健全信息安全相關(guān)管理制度；c）應(yīng)加強對人員、資產(chǎn)、采購等的安全管理，并保證信息安全工作經(jīng)費投入。8.3.2.2人員管理a）應(yīng)與重點崗位的計算機使用和管理人員簽訂網(wǎng)絡(luò)安全與保密協(xié)議，明確網(wǎng)絡(luò)安全與保密要求和責任；b）應(yīng)制定并嚴格執(zhí)行人員離崗離職網(wǎng)絡(luò)安全管理規(guī)定，人員離崗離職時應(yīng)終止信息系統(tǒng)訪問權(quán)限，收回各種軟硬件設(shè)備及身份證件、門禁卡等，并簽署安全保密承諾書；c）應(yīng)建立外部人員訪問機房等重要區(qū)域?qū)徟贫?，外部人員須經(jīng)審批后方可進入，并安排本單位工作人員現(xiàn)場陪同，對訪問活動進行記錄并留存；d）應(yīng)對網(wǎng)絡(luò)安全責任事故進行查處，對違反網(wǎng)絡(luò)安全管理規(guī)定的人員給予嚴肅處理，對造成網(wǎng)絡(luò)安全事故的依法追究當事人和有關(guān)負責人的責任，并以適當方式通報。8.3.2.3信息資產(chǎn)管理a）應(yīng)建立并嚴格執(zhí)行信息資產(chǎn)管理制度；b）應(yīng)指定專人負責信息資產(chǎn)管理；c）應(yīng)建立信息資產(chǎn)臺賬（清單），統(tǒng)一編號、統(tǒng)一標識、統(tǒng)一發(fā)放；d）應(yīng)及時記錄信息資產(chǎn)狀態(tài)和使用情況，保證賬物相符；e）應(yīng)建立并嚴格執(zhí)行設(shè)備維修維護和報廢管理制度。8.3.2.4經(jīng)費保障a）應(yīng)將網(wǎng)絡(luò)安全設(shè)施運行維護、網(wǎng)絡(luò)安全服務(wù)采購、日常網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全教育培訓、網(wǎng)絡(luò)安全檢查、網(wǎng)絡(luò)安全風險評估、網(wǎng)絡(luò)安全應(yīng)急處置等費用納入部門年度預(yù)算；b）應(yīng)嚴格落實網(wǎng)絡(luò)安全經(jīng)費預(yù)算，保證網(wǎng)絡(luò)安全經(jīng)費投入。8.3.2.5采購管理a）應(yīng)采購安全可控的信息技術(shù)產(chǎn)品和服務(wù)。采購基于新型技術(shù)的產(chǎn)品和服務(wù)或者國外產(chǎn)品和服務(wù)時，應(yīng)進行必要性和安全性評估；b）辦公用計算機、服務(wù)器等設(shè)備的更新?lián)Q代中，應(yīng)采購配備安全可控CPU、操作系統(tǒng)等的關(guān)鍵軟硬件；c）公文處理軟件、信息安全產(chǎn)品等應(yīng)采購國產(chǎn)產(chǎn)品，信息安全產(chǎn)品應(yīng)經(jīng)過國家統(tǒng)一認證；d）接受捐贈的信息技術(shù)產(chǎn)品，使用前應(yīng)進行安全測評，并與捐贈方簽訂信息安全與保密協(xié)議；e）不得采購社會第三方認證機構(gòu)提供的信息安全管理體系認證服務(wù)；f）信息系統(tǒng)數(shù)據(jù)中心、災(zāi)備中心不得設(shè)立在境外。8.3.3信息系統(tǒng)基本情況8.3.3.1基本信息梳理對被評估方主管信息系統(tǒng)進行全面評估，及時掌握本單位信息系統(tǒng)基本情況，特別是變更情況，以便針對性地開展網(wǎng)絡(luò)安全管理和防護工作。a）被評估方主管應(yīng)對信息系統(tǒng)的基本信息情況熟練掌握；b）系統(tǒng)主管應(yīng)掌握信息系統(tǒng)的變更情況；c）定級情況、數(shù)據(jù)集中情況、災(zāi)備情況等。8.3.3.2系統(tǒng)構(gòu)成情況梳理評估方檢查被評估方信息系統(tǒng)相關(guān)的軟硬件構(gòu)成情況，了解掌握軟硬件資產(chǎn)信息并記錄結(jié)果，包括：a）重點梳理主要硬件設(shè)備類型、數(shù)量、生產(chǎn)商情況，硬件設(shè)備類型主要有：服務(wù)器、終端計算機、路由器、交換機、存儲設(shè)備、防火墻、終端計算機、磁盤陣列、磁帶庫及其他主要安全設(shè)備；b）重點梳理主要軟件類型、套數(shù)、生產(chǎn)商情況，軟件類型主要有：操作系統(tǒng)、數(shù)據(jù)庫管理軟件、公文處理軟件、郵件系統(tǒng)及主要應(yīng)用系統(tǒng)。8.3.4網(wǎng)絡(luò)安全應(yīng)急管理a）應(yīng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，原則上每年評估一次，并根據(jù)實際情況適時修訂；b）應(yīng)組織開展應(yīng)急預(yù)案的宣貫培訓，確保相關(guān)人員熟悉應(yīng)急預(yù)案；c）應(yīng)每年開展網(wǎng)絡(luò)安全應(yīng)急演練，檢驗應(yīng)急預(yù)案的可操作性，并將演練情況報網(wǎng)絡(luò)安全主管部門；d）應(yīng)建立網(wǎng)絡(luò)安全事件報告和通報機制，提高預(yù)防預(yù)警能力；e）應(yīng)明確應(yīng)急技術(shù)支援隊伍，做好應(yīng)急技術(shù)支援準備；f）應(yīng)做好網(wǎng)絡(luò)安全應(yīng)急物資保障，確保必要的備機、備件等資源到位；g）應(yīng)根據(jù)業(yè)務(wù)實際需要對重要數(shù)據(jù)和業(yè)務(wù)系統(tǒng)進行備份。8.3.5網(wǎng)絡(luò)安全教育培訓a）應(yīng)定期開展網(wǎng)絡(luò)安全宣傳和教育培訓工作，提高網(wǎng)絡(luò)安全意識，增強網(wǎng)絡(luò)安全基本防護技能；b）應(yīng)定期開展網(wǎng)絡(luò)安全管理人員和技術(shù)人員專業(yè)技能培訓，提高網(wǎng)絡(luò)安全工作能力和水平；c）應(yīng)記錄并保存網(wǎng)絡(luò)安全教育培訓、考核情況和結(jié)果。8.3.6外包服務(wù)管理a）應(yīng)建立并嚴格執(zhí)行信息技術(shù)外包服務(wù)安全管理制度；b）應(yīng)與信息技術(shù)外包服務(wù)提供商簽訂服務(wù)合同和網(wǎng)絡(luò)安全與保密協(xié)議，明確網(wǎng)絡(luò)安全與保密責任，要求服務(wù)提供商不得將服務(wù)轉(zhuǎn)包，不得泄露、擴散、轉(zhuǎn)讓服務(wù)過程中獲知的敏感信息，不得占有服務(wù)過程中產(chǎn)生的任何資產(chǎn)，不得以服務(wù)為由強制要求委托方購買、使用指定產(chǎn)品；c）信息技術(shù)現(xiàn)場服務(wù)過程中應(yīng)安排專人陪同，并詳細記錄服務(wù)過程；d）外包開發(fā)的系統(tǒng)、軟件上線應(yīng)用前應(yīng)進行安全測評，要求開發(fā)方及時提供系統(tǒng)測試用例及測試結(jié)果、軟件的升級、漏洞等信息和相應(yīng)服務(wù)；e）外包開發(fā)的系統(tǒng)、系統(tǒng)發(fā)生版本迭代更新時，應(yīng)要求開發(fā)方提供系統(tǒng)版本迭代說明，說明內(nèi)容包含但不限于系統(tǒng)功能，影響范圍等相應(yīng)內(nèi)容；f）信息系統(tǒng)運維外包不得采用遠程在線運維服務(wù)方式。8.3.7應(yīng)用系統(tǒng)安全防護（基本情況）a）應(yīng)按照GB/T20984-2007的要求，定期對信息系統(tǒng)面臨的安全風險和威脅、薄弱環(huán)節(jié)以及防護措施的有效性等及進行分析評估；b）應(yīng)綜合考慮信息系統(tǒng)的重要性、涉密程度和面臨的網(wǎng)絡(luò)安全風險等因素，按照國家網(wǎng)絡(luò)安全等級保護相關(guān)政策和技術(shù)標準規(guī)范，對信息系統(tǒng)實施相應(yīng)等級的安全管理；c）應(yīng)按照GB/T22240-2020的要求，確定信息系統(tǒng)安全保護等級；d）應(yīng)按照GB/T22239-2019的要求，對信息系統(tǒng)實施相應(yīng)等級的安全建設(shè)和整改；e）應(yīng)按照信息系統(tǒng)安全等級保護測評相關(guān)要求，對信息系統(tǒng)進行等級測評。8.3.8網(wǎng)絡(luò)安全自評估a）應(yīng)參照本指南中的流程、方法及內(nèi)容，認真組織開展網(wǎng)絡(luò)安全自評估工作，掌握網(wǎng)絡(luò)安全總體狀況和面臨的威脅，查找安全隱患，堵塞安全漏洞，完善安全措施，減少安全風險，提高安全防護能力；b）應(yīng)每年至少進行一次網(wǎng)絡(luò)安全自評估，具體時間和范圍應(yīng)根據(jù)系統(tǒng)的上線時間、系統(tǒng)的變更情況、事件的發(fā)生頻率、威脅的嚴重程度等因素確定；c）應(yīng)加強自評估工作組織領(lǐng)導，建立評估工作責任制，制定評估工作方案并認真落實；d）應(yīng)重視安全技術(shù)檢測，采取必要的技術(shù)檢測手段對信息系統(tǒng)、服務(wù)器、終端計算機等進行安全檢測，可根據(jù)需要委托符合要求的檢測機構(gòu)進行技術(shù)檢測；e）應(yīng)加強安全評估過程中的保密管理和風險控制，嚴格檢查人員、有關(guān)文檔和數(shù)據(jù)的安全保密管理，制定安全評估應(yīng)急預(yù)案，確保被評估信息系統(tǒng)的正常運行；f）應(yīng)對評估中發(fā)現(xiàn)的問題進行分析研判，制定整改措施并及時整改；g）應(yīng)對年度安全評估情況進行全面總結(jié)，按照要求如實完成評估報告并報信息安全主管部門。8.3.9網(wǎng)絡(luò)安全風險規(guī)避評估方檢查被評估方是否采取了網(wǎng)絡(luò)安全風險規(guī)避措施，降低網(wǎng)絡(luò)安全事件發(fā)生時產(chǎn)生影響和損失，并檢查下列內(nèi)容：a）應(yīng)對安全投入及安全管控的持續(xù)性和有效性進行評估；b）應(yīng)制定明確的風險轉(zhuǎn)嫁策略機制；c）應(yīng)根據(jù)評估結(jié)果采取損失補償機制和風險防范機制。8.4安全技術(shù)措施評估8.4.1基本要求a）開展信息化建設(shè)應(yīng)按照同步規(guī)劃、同步建設(shè)、同步運行的原則，同步規(guī)劃、設(shè)計、建設(shè)、運行、管理信息安全設(shè)施，建立健全信息安全防護體系；b）應(yīng)根據(jù)信息化發(fā)展情況通過科學的方式制定了清晰的網(wǎng)絡(luò)安全建設(shè)發(fā)展規(guī)劃路線；c）應(yīng)基于業(yè)務(wù)鏈的關(guān)聯(lián)關(guān)系進行網(wǎng)絡(luò)安全風險分析；d）應(yīng)結(jié)合現(xiàn)有業(yè)務(wù)場景的變化、新興技術(shù)的變化采取針對性的防護策略；e）應(yīng)隨著業(yè)務(wù)的變化動態(tài)設(shè)置或調(diào)整網(wǎng)絡(luò)安全防護體系框架。8.4.2物理環(huán)境安全防護a）機房應(yīng)采取防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電等安全措施；b）機房應(yīng)配備備用電源，采取溫濕度控制、電磁防護等安全防護措施；c）機房應(yīng)采取物理訪問控制措施，配備門禁系統(tǒng)或有專人值守。8.4.3關(guān)鍵設(shè)備安全防護a）應(yīng)定期對惡意代碼防護設(shè)備（如防病毒網(wǎng)關(guān)）的惡意代碼庫進行更新；b）服務(wù)器（應(yīng)用系統(tǒng)服務(wù)器、數(shù)據(jù)庫服務(wù)器）應(yīng)配置口令策略，包括口令強度和更新頻率；應(yīng)配置安全審計策略，包括啟用審計功能、留存操作記錄、定期分析日志、對異常訪問和操作及時進行處置；應(yīng)配置病毒防護策略，包括安裝防病毒軟件、及時更新病毒庫；應(yīng)及時更新補丁，包括操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等的補??；c）網(wǎng)絡(luò)設(shè)備、安全設(shè)備，應(yīng)配置口令策略，包括口令強度和更新頻率；應(yīng)配置安全審計策略，包括啟用審計功能、留存操作記錄、定期分析日志、對異常訪問和操作及時進行處置。8.4.4應(yīng)用系統(tǒng)安全防護（門戶網(wǎng)站）a）網(wǎng)站開通前，應(yīng)組織專業(yè)技術(shù)機構(gòu)進行安全測評，對新增應(yīng)用要進行安全評估；b）應(yīng)定期對網(wǎng)站鏈接進行安全性和有效性檢查；c）應(yīng)采取必要的技術(shù)措施，提高網(wǎng)站防篡改、防攻擊能力，加強網(wǎng)站敏感信息保護；d）應(yīng)建立完善網(wǎng)絡(luò)信息發(fā)布審核制度，明確審核程序，嚴格審核流程。8.4.5重要數(shù)據(jù)安全防護a）應(yīng)采用技術(shù)措施（如加密、分區(qū)分域存儲等）對存儲的重要數(shù)據(jù)進行保護；b）應(yīng)采取技術(shù)措施對傳輸?shù)闹匾獢?shù)據(jù)進行加密和校驗；c）對于接口類應(yīng)用程序，應(yīng)采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性和保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息。8.4.6Windows停止安全服務(wù)應(yīng)對a）應(yīng)對仍在使用WindowsXP、Windows7的設(shè)備和升級為Windows10的設(shè)備進行歸類，并納入重點防護范圍；b）應(yīng)針對WindowsXP、Windows7停止服務(wù)制定安全保護方案，部署安全防護產(chǎn)品；c）應(yīng)卸載仍使用WindowsXP、Windows7的計算機中與工作無關(guān)的應(yīng)用程序；應(yīng)采用白名單管控技術(shù)措施；應(yīng)關(guān)閉不必要的服務(wù)，應(yīng)關(guān)閉了不必要的端口；d）應(yīng)進行國產(chǎn)操作系統(tǒng)和應(yīng)用軟件的推廣使用。8.4.7數(shù)據(jù)泄露及系統(tǒng)被控防護a）數(shù)據(jù)中心的設(shè)備機房應(yīng)位于中國境內(nèi)；b）采用第三方的云計算服務(wù)，應(yīng)記錄云計算服務(wù)商情況；c）外包服務(wù)商提供服務(wù)過程中應(yīng)有專人陪同，應(yīng)禁止遠程在線維護。8.4.8網(wǎng)絡(luò)邊界安全防護a）非涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)應(yīng)實行邏輯隔離，涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)應(yīng)實行物理隔離；b）建立互聯(lián)網(wǎng)接入審批和登記制度，嚴格控制互聯(lián)網(wǎng)接入口數(shù)量，加強互聯(lián)網(wǎng)接入口安全管理和安全防護；c）應(yīng)采取訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范等措施，進行網(wǎng)絡(luò)邊界防護；d）應(yīng)根據(jù)承載業(yè)務(wù)的重要性對網(wǎng)絡(luò)進行分區(qū)分區(qū)域管理，采取必要的技術(shù)措施對不同網(wǎng)絡(luò)分區(qū)進行防護、對不同安全域之間實施訪問控制；e）應(yīng)對網(wǎng)絡(luò)日志進行管理，定期分析，及時發(fā)現(xiàn)安全風險。8.4.9無線網(wǎng)絡(luò)安全防護a）應(yīng)采取身份鑒別、地址過濾等措施對無線網(wǎng)絡(luò)的接入進行管理，采取白名單管理機制，防止非授權(quán)接入造成的內(nèi)網(wǎng)滲透事件發(fā)生；b）應(yīng)采用與有線邊界相同的安全防護手段，對常見的無線攻擊進行防御；c）應(yīng)修改無線路由設(shè)備的默認管理地址；d）應(yīng)修改無線路由管理賬戶默認口令，設(shè)置復雜口令，防止暴力破解后臺；e）用戶接入認證加密應(yīng)采用WPA2及更高級別算法，防止破解接入口令。8.4.10電子郵件系統(tǒng)安全防護a）應(yīng)加強郵件系統(tǒng)安全防護，采取反垃圾郵件等技術(shù)措施；b）應(yīng)規(guī)范電子郵箱的注冊管理，原則上只限于本部門工作人員注冊使用；c）應(yīng)嚴格管理郵箱賬號及口令，采取技術(shù)和管理措施確?？诹罹哂幸欢◤姸炔⒍ㄆ诟鼡Q。8.4.11終端計算機安全防護a）應(yīng)采取集中統(tǒng)一管理方式對終端計算機進行管理，統(tǒng)一軟件下發(fā)，統(tǒng)一安裝系統(tǒng)補丁，統(tǒng)一實施病毒庫升級和病毒查殺，統(tǒng)一進行漏洞掃描；b）應(yīng)規(guī)范軟硬件使用，不得擅自更改軟硬件配置，不得擅自安全軟件；c）應(yīng)加強賬戶及口令管理，使用具有一定強度的口令并定期更換；d）應(yīng)對接入互聯(lián)網(wǎng)的終端計算機采取控制措施，包括實名接入認證、IP地址與MAC地址綁定等；e）應(yīng)定期對終端計算機進行安全審計；f）非涉密計算機不得存儲和處理國家秘密信息。8.4.12存儲介質(zhì)防護a）應(yīng)嚴格存儲陣列、磁帶庫等大容量存儲介質(zhì)的管理，采取技術(shù)措