2025年网络安全等级保护测评高风险整改建议

序号编号对应判例整改建议
16.1.1.1机房出入口访问控制措施缺失建议机房出入口配备电子门禁系统或安排专人值守,对进出机房的人员进行控制、鉴别、并记录相关人员信息。
26.1.2.1机房防火措施缺失建议机房设置火灾自动消防系统,能够自动检测火情、报警及灭火,相关消防设备如灭火器等应定期检查,确保防火措施持续有效。
36.1.3.1机房短期备用电力供应措施缺失建议机房配备容量合理的后备电源,并定期对相关设施进行定期巡检,确保在外部电力供应中断的情况下,备用供电设备能满足系统短期正常运行。
46.1.3.2机房应急供电措施缺失建议配备柴油发电机、应急供电车等备用发电设备。
56.2.1.1网络设备业务处理能力不足建议更换性能满足业务高峰期需要的网络设备,并合理预估业务增长情况,制定合适的扩容计划。
66.2.1.2重要网络区域边界访问控制措施缺失建议合理规划网络架构,避免重要网络区域部署在边界处;重要网络区域与其他网络边界处,尤其是外部非安全可控网络、内部非重要网络区域之间边界处应部署访问控制设备,并合理配置相关控制策略,确保控制措施有效。
76.2.1.3关键线路和设备冗余措施缺失建议关键网络链路、关键网络设备、关键计算设备采用冗余设计和部署,例如采用热备、负载均衡等部署方式,保证系统的高可用性。
86.2.2.1采用无加密措施的网络通道传输重要数据建议采用密码技术为重要敏感数据在传输过程中的保密性提供保障,相关密码技术符合国家密码管理主管部门的规定。
96.3.1.1网络边界接入设备或端口不可控建议明确边界接入设备,禁用空闲端口,在网络中部署网络管理系统,通过自动拓扑发现功能发现非授权的网络出口链路。
106.3.1.2无线网络管控措施缺失无特殊需要,建议内部重要网络不应与无线网络互联;若因业务需要,则建议加强对无线网络设备接入的管控,并通过边界设备对无线网络的接入设备对内部重要网络的访问进行限制,降低攻击者利用无线网络入侵内部重要网络。
116.3.2.1重要网络区域边界访问控制措施缺失或配置不当建议对重要网络区域与其他网络区域之间的边界进行梳理,明确访问地址、端口、协议等信息,并通过访问控制设备,合理配置相关控制策略,确保控制措施有效。
126.3.3.1外部网络攻击防御措施缺失建议在关键网络节点(如互联网边界处)合理部署具备攻击行为检测、防止或限制功能的安全防护设备(如入侵防御设备、WEB应用防火墙、抗DDoS攻击等设备),或采用云防、流量清洗等外部抗攻击服务;相关安全防护设备应及时升级策略库/规则库。
136.3.3.2内部网络攻击防御措施缺失建议在关键网络节点处进行严格的访问控制措施,并部署相关的防护设备,检测、防止或限制从内部发起的网络攻击行为(包括其他内部网络区域对核心服务器区的攻击行为、服务器之间的攻击行为、内部网络向互联网目标发起攻击等)。对于服务器之间的内部攻击行为,建议合理划分网络区域,加强不同服务器之间的访问控制,部署主机入侵防范产品,或通过部署流量探针的方式,检测异常攻击流量。
146.3.3.3网络行为分析措施缺失建议在网络关键节点部署沙箱、抗APT系统或协议分析系统,对网络访问行为进行分析,实现对新型攻击行为的检测报警。
156.4.1.1存在空口令、弱口令、通用口令或无身份鉴别措施建议删除或修改账户通用口令,重命名默认账户,制定相关管理制度,规范口令的最小长度、复杂度与生命周期,并根据管理制度要求,合理配置账户口令复杂度和定期更换策略;此外,建议为不同设备配备不同的口令,避免一台设备口令被破解影响所有设备安全。
166.4.1.2鉴别信息明文传输建议尽可能避免通过网络环境对网络设备、安全设备、操作系统、数据库等进行远程管理。如确有需要,则建议采取措施或使用加密机制(如VPN加密通道、开启SSH、HTTPS协议等),防止鉴别信息在网络传输过程中被窃听。
176.4.1.3未采用两种或两种以上组合身份鉴别技术建议核心设备、操作系统等增加除用户名/口令以外的身份鉴别技术,如基于密码技术的动态口令/令牌等鉴别方式,使用多种鉴别技术进行身份鉴别,增强身份鉴别的安全力度;对于使用堡垒机或统一身份认证机制实现多种身份鉴别的场景,建议通过地址绑定等技术措施,确保设备只能通过该机制进行身份认证,无旁路现象存在。
186.4.2.1未重命名默认账户名且未修改默认口令建议网络设备、安全设备、主机设备(包括操作系统、数据库等)等重命名或删除默认管理员账户,修改默认密码,使其具备一定的安全强度,增强账户安全性。
196.4.2.2访问控制策略存在缺陷或不完善,存在越权访问可能建议根据系统用户及其所需的访问权限,设计系统访问控制策略,并依据该策略为系统用户分配与其角色或职责相匹配的访问权限,避免垂直越权和平行越权行为的发生。对应用系统的重要页面、功能模块进行重新进行身份、权限鉴别,确保应用系统不存在访问控制失效情况。
206.4.3.1开启多余的系统服务、默认共享和高危端口建议网络设备、安全设备、主机设备等关闭不必要的服务和端口,降低安全隐患。
216.4.3.2存在可被利用的高危安全漏洞建议在充分测试的情况下,及时对设备进行补丁更新,修补已知的高风险安全漏洞;此外,还应定期对设备进行漏洞扫描,及时处理发现的风险漏洞,提高设备稳定性与安全性。
226.4.3.3数据有效性检验功能缺失或不完善建议修改应用系统代码,对输入数据的格式、长度、特殊字符进行校验和必要的过滤,提高应用系统的安全性,防止相关漏洞的出现。
236.4.4.1恶意代码防范措施缺失建议在关键网络节点及主机操作系统上均部署恶意代码检测和清除产品,开启恶意代码检测和清除功能,并及时更新恶意代码库。网络层与主机层恶意代码防范产品宜形成异构模式,有效检测及清除可能出现的恶意代码攻击。
246.4.5.1重要数据明文传输建议采用密码技术保证重要数据在传输过程中的保密性,且相关密码技术符合国家密码管理部门的规定。
256.4.5.2重要数据明文存储建议采用密码技术保证重要数据在存储过程中的保密性,且相关密码技术符合国家密码管理部门的规定。
266.4.6.1重要数据无本地备份措施建议建立备份恢复机制,定期对重要数据进行备份以及恢复测试,确保在出现数据破坏时,可利用备份数据进行恢复,此外,应对备份文件妥善保存,不要放在互联网网盘、开源代码平台等不可控环境中,避免重要信息泄露。
276.4.6.2数据处理系统冗余措施缺失建议对重要数据处理系统采用热冗余技术,提高系统的可用性。
286.4.6.3无异地灾备措施建议建立异地应用级灾备中心,通过技术手段实现业务应用的实时切换,提高系统的可用性。
296.4.7.1违规采集和存储个人信息建议根据国家、行业主管部门以及标准的相关规定(如《信息安全技术 个人信息安全规范》),明确向用户表明采集信息的内容、用途以及相关的安全责任,并在用户同意、授权的情况下采集、保存业务必需的用户个人信息。
306.4.7.2违规访问和使用个人信息建议根据国家、行业主管部门以及标准的相关规定(如《信息安全技术 个人信息安全规范》),通过技术和管理手段,防止未授权访问和非法使用用户个人信息。
316.5.1.1远程管理路径安全防护措施不足建议采用加密的方式传输管理数据,防止数据泄露。
326.5.1.2审计记录存储时间不满足要求部署日志服务器,统一收集各设备的审计数据,进行集中分析,并根据法律法规的要求留存日志。
336.6.1.1管理制度缺失建议按照等级保护的相关要求,建立包括总体方针、安全策略在内的各类与安全管理活动相关的管理制度。
346.7.1.1未建立网络安全工作领导机构建议成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权。
356.8.1.1外部人员接入网络管理措施缺失建议在外部人员管理制度中明确接入受控网络访问系统的申请审批流程,并对外部人员接入设备、可访问资源范围、账号回收、保密责任等内容做出明确规定,避免因管理缺失导致外部人员对受控网络、系统带来安全隐患。
366.9.1.1违规采购和使用网络安全产品建议依据国家有关规定,采购和使用网络安全产品,例如采购或使用获得销售许可证或通过相关机构的检测认证的网络安全产品。
376.9.2.1外包软件开发代码审计措施缺失建议对开发单位开发的核心系统进行源代码审查,检查是否存在后门和隐蔽信道。如没有技术手段进行源代码审查的,可聘请第三方专业机构对相关代码进行安全检测。
386.9.3.1上线前未开展安全测试建议在新系统上线前,对系统进行安全性评估,及时修补评估过程中发现的问题,确保系统安全上线。
396.9.4.1未定期进行等级测评第三级以上系统每年进行至少一次的等级测评,并对发现的系统安全问题及时整改。
406.9.4.2选择的测评机构不符合国家相关要求选择网络安全等级保护网(www.djbh.net)全国网络安全等级保护测评机构目录中的测评机构。
416.10.1.1未制定重要事件应急预案建议根据本系统实际情况,对重要事件制定有针对性的应急预案,明确重要事件的应急处理流程、系统恢复流程等内容。
426.10.1.2未定期开展应急预案培训和演练建议每年定期对相关人员进行应急预案培训与演练,并保留应急预案培训和演练记录,使参与应急的人员熟练掌握应急的整个过程。
437.1.1.1云计算基础设施位于中国境外建议将云计算基础设施部署于中国境内,依据《网络安全法》及其他相关法规政策规定履行网络安全保护责任,接受国家相关部门的监管。
447.2.1.1云计算平台承载高于其安全保护等级的业务系统建议云服务客户选择不低于其安全保护等级的云计算平台;云计算平台只承载不高于其安全保护等级的业务应用系统。
457.2.1.2云计算平台虚拟网

来源:河南等级保护测评