2025版等保测评报告重大风险隐患详解及处理指南

近期公布启用的《网络安全等级测评报告模版(2025版)》,标志着等保测评领域迈入全新阶段。新版网络安全等级测评报告(简称“2025版报告”)相较于旧版(简称“2021版报告”),在多个方面进行了重要调整和优化。总结为两细化、三变更、五新增,详见等保测评取消打分,《网络安全等级测评报告模版(2025版)》重大变更,详细解读两细化、三变更、五新增。

一、综述其中五新增为:新增重大风险隐患概念、新增重大风险隐患分析、新增重大风险隐患整改、新增重大风险隐患附录G、新增重大风险隐患附录H。全部围绕新增的“重大风险隐患”概念展开,其中附录G为“重大风险隐患触发项参照表”(简称“重大风险隐患”)。本文将逐条列出重大风险隐患触发项,并与《网络安全等级保护测评高风险判定指引》T/ISEAA 001-2020【等级保护】【标准规范】(简称“高风险指引”)进行对比,总结有如下几个特点:1)“重大风险隐患触发项参照表”列出重大风险隐患条款共计33项,其中26项与测评条款相对应,7项无具体测评条款对应(均为综合类条款)。2)26项中通用条款17项、云计算扩展3项、工控扩展5项、物联网扩展1项,其中15项可以与“高风险指引”条款对应,剩余11项为本次新增,在原来高风险判定指引里未体现。3)“重大风险隐患”涉及类别为:安全物理环境、安全通信网络、安全区域边界、安全计算环境、综合类。与“高风险指引”相比,缺少安全管理中心及安全管理部分的所有项目。
4)“重大风险隐患”-综合类条款,侧重于渗透测试、互联网暴露面管理等,均没有对应的测评条款,偏技术+管理的综合风险评估类别。5)“重大风险隐患”附表内列举出“重大风险隐患触发项”及“安全问题描述”,在等保安全建设及等保测评中可作为参考。

二、重大风险隐患规指南。

1. 

安全类:安全物理环境

安全子类:物理访问控制

测评项:机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。

重大风险隐患触发项:机房出入口访问控制措施缺失

安全问题描述:1)机房出入口无任何访问控制措施,例如未安装电子或机械门锁(包括机房大门处于未上锁状态),且机房门口无专人值守等;2)其他。

测评单元:L2-PES1-03

高风险判例:6.1.1二级及以上系统

隐患规避指南:机房出入口配置电子门禁系统,用于控制、鉴别和记录进出的人员,或有专人对机房出入口进行值守。机房配置电子门禁为基础操作,对于重点机房、部署多个不同系统的云机房等,应加强机房出入审批,由专人负责记录来访人员信息、工作目的、审批部门、责任人等信息,并对进出记录留存。

2. 

安全类:安全物理环境

安全子类:室外控制设备物理防护

测评项:室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风、散热、防盗、防雨和防火能力等。

重大风险隐患触发项:室外控制设备防护缺失

安全问题描述:1)室外控制设备裸露放置、无固定措施,无法做到防水、防盗和防火;2)放置控制设备的箱体或装置不具有相关检测验收报告,不具有透风、散热、防盗、防雨和防火能力;3)其他。

测评单元:L1-PES5-01

高风险判例:(空)

隐患规避指南:工控扩展测评项,室外设备应做好固定措施、具备透风、散热、防盗、防雨和防火能力。工业控制系统环境与常规环境有较大差异,在进行网络安全建设时,应充分考虑设备运行环境,如设备运行的最高温度、最低温度、湿度等,以增强设备稳定性及使用寿命。

3. 

安全类:安全通信网络

安全子类:网络架构

测评项:应保证网络设备的业务处理能力满足业务高峰期需要。

重大风险隐患触发项:网络设备业务处理能力不足

安全问题描述:1)网络设备、安全设备等网络链路上的关键设备性能无法满足高峰期需求;2)其他。

测评单元:L3-CNS1-01

高风险判例:6.2.1高可用的三级及以上系统

隐患规避指南:在日常的系统运行阶段,应测试并记录业务高峰时段,并测试部署的设备是否在业务高峰时段仍能保障系统的稳定运行,在设备选型时应充分考虑业务高峰期时段,预留部分性能。如单台设备不能满足高峰期使用需要,可考虑集群部署等方式。

4. 

安全类:安全通信网络

安全子类:网络架构

测评项:应实现不同云服务客户虚拟网络之间的隔离。

重大风险隐患触发项:云计算平台虚拟网络隔离措施缺失

安全问题描述:1)云计算平台未采取网络隔离技术实现不同云服务客户虚拟网络之间的隔离;2)其他。

测评单元:L1-CNS2-02

高风险判例:(空)

隐患规避指南:因云平台的架构属性问题,通常在一个云平台上同时运行多个业务系统的程序。应做好不同业务之间、不同虚拟机之间的网络隔离措施。防止未授权的云主机之间访问,防止因单独业务主机发生安全事件后扩展至其他业务主机。做好网络隔离,严格执行互访申请制度,做好最小化访问权限设置。

5. 

安全类:安全通信网络

安全子类:网络架构

测评项:应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。

重大风险隐患触发项:云计算平台未提供安全防护能力

安全问题描述:1)云计算平台无法提供满足云服务客户业务需要的通信传输、边界防护、入侵防范等安全机制;2)其他。

测评单元:L2-CNS2-03

高风险判例:(空)

隐患规避指南:云计算平台应具备基础的通信传输、边界防护等相关防护能力。如果是私有云,在进行云平台建设时,应充分考虑云平台自身安全,在达到云平台自身等保测评要求的同时,应为各云租户提供相应的云安全防护措施。如果是公有云,在进行云服务购买时,除最基本的系统、网络资源购买,应根据云服务商提供的云安全服务清单进行选择,建设云安全防护能力。

6. 

安全类:安全通信网络

安全子类:网络架构

测评项:工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段。

重大风险隐患触发项:工业控制系统网络隔离措施缺失

安全问题描述:1)工业控制系统与企业其他系统之间未划分单独的网络区域;2)数据交互未采用单向隔离装置或单向隔离装置未配置有效的访问控制策略;3)其他。

测评单元:L1-CNS5-01

高风险判例:(空)

隐患规避指南:工业系统与企业其他系统之间应划分单独的网络区域,并部署访问控制设备,如单向光闸用于不同网络之间的隔离手段。并对访问控制设备配置策略,保证最小权限原则。

7. 

安全类:安全通信网络

安全子类:网络架构

测评项:工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段。

重大风险隐患触发项:工业控制系统所在网络区域划分不当,访问控制措施缺失

安全问题描述:1)工业控制系统所在的生产网络未根据不同工业控制系统业务特点划分不同安全域;2)不同安全域之间无任何访问控制措施或访问控制措施无效;3)其他。

测评单元:L1-CNS5-02

高风险判例:(空)

隐患规避指南:工业系统内部应根据业务特点划分单独的网络区域,并部署访问控制设备,并对访问控制设备配置策略,保证最小权限原则。

8. 

安全类:安全通信网络

安全子类:通信传输

测评项:在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。

重大风险隐患触发项:工业控制系统广域网传输控制指令防护措施缺失

安全问题描述:1)未使用基于密码技术的身份鉴别技术;2)未使用密码技术保证数据传输过程中的完整性和保密性;3)其他。

测评单元:L2-CNS5-04

高风险判例:(空)

隐患规避指南:应在工业系统内采用密码技术的身份鉴别技术,保证只有授权的人员才能访问系统,并使用密码技术保障数据传输过程中的完整性和保密性,如采用VPN设备进行加密隧道的建立,保障传输数据的安全。

9. 

安全类:安全区域边界

安全子类:边界防护

测评项:应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。

重大风险隐患触发项:网络边界接入设备或端口不可控

安全问题描述:1)网络边界链路接入设备未配置明确的上联链路端口;2)网络边界链路接入设备端口IP及路由策略不明确;3)网络边界链路接入设备未关闭不使用的端口;4)其他。

测评单元:L1-ABS1-01

高风险判例:(空)

隐患规避指南:应在边界处部署访问控制设备,明确上联设备的端口,管理并记录设备IP端口及路由配置表,明确策略的具体使用用途、访问的网络信息等。在边界设备关闭不使用的端口,原则上采取白名单机制,只开放申请的、有明确需求的、正常的业务使用端口。至少应对高危端口如135、137、138、139、445等进行封禁,防止针对高危端口的安全隐患。

10. 安全类:安全区域边界

安全子类:边界防护

测评项:应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。

重大风险隐患触发项:无线网络管控措施缺失

安全问题描述:1)内部重要网络与无线网络互联,且不通过任何受控的边界设备或边界设备访问控制策略设置不当;2)其他。

测评单元:L3-ABS1-04

高风险判例:6.3.1三级及以上系统

隐患规避指南:应部署无线安全网关对通过无线网络接入内部网络进行限制,并根据业务访问需求定制访问控制策略,策略申请应明确用途并定时跟踪,及时对无用策略进行清除。

11.

安全类:安全区域边界

安全子类:访问控制

测评项:应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。

重大风险隐患触发项:重要网络区域边界访问控制措施缺失或配置不当

安全问题描述:1)重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)访问控制设备缺失或访问控制措施失效;2)其他。

测评单元:L2-ABS1-02

高风险判例:6.3.2二级及以上系统

隐患规避指南:在网络边界(如互联网出口)及不同区域之间(如业务系统区、办公网区、DMZ区域),设置访问控制设备,且访问控制策略最后一条不能是any to any允许的策略。应按照白名单机制,仅对提出网络策略申请的、合理的业务访问策略进行放开,做好记录,定时更新。

12. 

安全类:安全区域边界

安全子类:访问控制

测评项:应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-Mail、WEB、Telnet、Rlogin、FTP等通用网络服务。

重大风险隐患触发项:工业控制系统与企业其他系统之间未对通用网络服务进行限制

安全问题描述:1)工业控制系统与企业其他系统之间未部署访问控制设备;2)工业控制系统与企业其他系统之间未对任何通用的网络服务如E-Mail、WEB、Telnet、Rlogin、FTP等进行限制;3)其他。

测评单元:L1-ABS5-01

高风险判例:(空)

隐患规避指南:除与通用网络一致的访问控制设备及策略的设置外,在工业控制系统中应对E-Mail、WEB、Telnet、Rlogin、FTP等通用网络服务进行访问限制。

13.

安全类:安全区域边界

安全子类:入侵防范

测评项:应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。

重大风险隐患触发项:外部网络攻击防御措施缺失

安全问题描述:1)关键网络节点无任何网络攻击行为检测手段和防护手段;2)网络攻击行为检测措施的策略库/规则库半年及以上未更新;3)其他。

测评单元:L3-ABS1-10

高风险判例:6.3.3二级及以上系统

隐患规避指南:配置外部攻击防御措施,如入侵防御系统等,并对系统策略库、规则库进行及时更新,确保策略的及时性、有效性。

14.

安全类:安全区域边界

安全子类:入侵防范

测评项:应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。

重大风险隐患触发项:内部网络攻击防御措施缺失

安全问题描述:1)关键网络节点无任何网络攻击行为检测手段和防护手段;2)网络攻击行为检测措施的策略库/规则库半年及以上未更新;3)其他。

测评单元:L3-ABS1-11

高风险判例:6.3.4三级及以上系统

隐患规避指南:配置内部攻击防御措施,如入侵防御系统、上网行为管理系统等,并对系统策略库、规则库进行及时更新,确保策略的及时性、有效性。

15.

安全类:安全区域边界

安全子类:入侵防范

测评项:应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。

重大风险隐患触发项:网络行为分析措施缺失

安全问题描述:1)关键网络节点对新型网络攻击行为网络访问行为无任何分析手段,例如未部署抗APT系统、全流量分析系统、沙箱系统、具备行为分析功能的态势感知系统、威胁情报系统等;2)基于威胁情报、行为分析模型进行行为分析的安全措施,半年及以上未更新威胁情报库、事件分析模型,无法满足防护需求;3)其他。

测评单元:L3-ABS1-12

高风险判例:(空)

隐患规避指南:配置新型网络攻击行为防御措施,如APT(高级可持续威胁)系统、全流量分析系统、入侵检测系统等,并对系统情报库、策略库、规则库进行及时更新,确保策略的及时性、有效性。对于互联网那威胁情报库的资源获取,如是内网环境,可考虑人工定时下载威胁情报,进行离线更新,以确保情报库的时效性。

16.

安全类:安全区域边界

安全子类:入侵防范

测评项:应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等。

重大风险隐患触发项:云计算平台网络攻击防御措施缺失

安全问题描述:1)云计算平台对云服务客户发起的网络攻击行为无任何检测手段;2)网络攻击行为检测措施的策略库/规则库半年及以上未更新;3)其他。

测评单元:L2-ABS2-03

高风险判例:(空)

隐患规避指南:云计算平台应部署安全检测手段,对云租户发起的安全攻击行为进行监测,并保障策略库、规则库的及时更新。

17.

安全类:安全区域边界

安全子类:接入控制

测评项:应保证只有授权的感知节点可以接入。

重大风险隐患触发项:非授权感知节点设备能够接入网络中

安全问题描述:1)感知节点设备(例如感知节点接入网关、传感器等设备)未经授权可以接入网络;2)其他。

测评单元:L1-ABS4-01

高风险判例:(空)

隐患规避指南:禁止未授权访问,做好访问控制策略的配置,防止物联网环境中感知节点设备未经授权进入网络。

18.

安全类:安全计算环境

安全子类:身份鉴别

测评项:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。

重大风险隐患触发项:存在空口令、弱口令、通用口令或无身份鉴别措施

安全问题描述:1)存在可登录的空口令账户、无身份鉴别措施或身份鉴别措施可被绕过等;2)存在可登录的弱口令账户,如长度在6位以下,或存在单个、相同、连续数字/字母/字符及常见字典等易猜测的口令;3)多个不同被测对象的管理账户口令相同、或同一被测对象中多个不同管理账户口令相同;4)其他。

测评单元:L1-CES1-01

高风险判例:6.4.1.1、6.4.2.1、6.4.2.2二级及以上系统

隐患规避指南:空口令、弱口令、相同口令的设置问题,涉及操作系统、网络设备、安全设备、业务系统的不同管理员的口令设置。除最基本的默认口令修改、复杂度要求(长度、数字、大小写字母、特殊字符等)、更换周期等,应重点关注不同设备相同口令的情况,如防火墙与入侵防御、终端管理服务端管理员密码相同,将影响整体网络的安全性。

19.安全类:安全计算环境

安全子类:身份鉴别

测评项:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

重大风险隐患触发项:未采用两种或两种以上组合身份鉴别技术

安全问题描述:1)未采用两种或两种以上组合鉴别技术对用户进行身份鉴别;2)其他。

测评单元:L3-CES1-04

高风险判例:6.4.1.3、6.4.2.5三级及以上系统

隐患规避指南:双因子认证要求,除密码技术外可采用令牌、手机短信、超级SIM验证、生物识别等技术,实现多种组合的身份鉴别技术。

20.安全类:安全计算环境

安全子类:访问控制

测评项:应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。

重大风险隐患触发项:访问控制策略存在缺陷或不完善,存在越权访问可能

安全问题描述:1)业务应用系统/平台访问控制策略存在缺陷或不完善,可非授权访问系统功能模块或查看、操作其他用户的数据;2)数据库管理系统访问控制策略存在缺陷或不完善,存在数据库的超级管理员权限被授予非数据库管理员用户、或数据库的默认超级管理员账户被用于非数据库管理用途;3)操作系统访问控制策略存在缺陷或不完善。存在以操作系统超级管理员权限运行的数据库、中间件、应用程序等非操作系统级进程或服务;4)其他。

测评单元:L3-CES1-09

高风险判例:6.4.2.7二级及以上系统

隐患规避指南:业务系统及平台访问控制策略设置,遵循最小权限原则,进行不同账号访问权限的设置。数据库管理元访问控制策略设置,仅允许数据库管理员进行操作。操作系统访问控制策略设置,仅允许运行操作系统级进行或服务。

21.安全类:安全计算环境

安全子类:入侵防范

测评项:应关闭不需要的系统服务、默认共享和高危端口。

重大风险隐患触发项:开启多余的系统服务、默认共享和高危端口

安全问题描述:1)开启多余的系统服务、默认共享和高危端口,且可被远程访问;2)其他。

测评单元:L1-CES1-12

高风险判例:6.4.1.7二级及以上系统

隐患规避指南:关闭不使用的端口、服务等,对高危端口135、137、138、139、445进行封禁,禁止telnet等系统服务。

22.安全类:安全计算环境

安全子类:入侵防范

测评项:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。

重大风险隐患触发项:存在可被利用的高危安全漏洞

安全问题描述:1)通过互联网管理或访问的系统或设备,存在外界披露的可被利用的高危安全漏洞;2)通过非互联网等公共通信网络管理或访问的系统或设备,经测试验证确认存在缓冲区溢出、越权访问、远程代码执行等可被利用的高危安全漏洞;2)其他。

测评单元:L2-CES1-15

高风险判例:6.4.1.9互联网设备、6.4.1.10内网设备、6.4.2.11应用系统二级及以上系统

隐患规避指南:定期开展漏洞扫描及渗透测试工作,并对发现的漏洞进行整改加固,对漏洞清单进行跟踪,确保发现的安全漏洞已得到有效的加固处置。漏扫及渗透周期可根据各自业务进行调整,定期开展。如有新系统上线,在上线前应先进行漏扫与渗透,确保无中高风险漏洞后再进行部署上线。如得到重点漏洞的安全通告信息,应立即对扫描设备进行漏洞库更新,并立即开展重点漏洞的隐患排查,确保第一滴时间进行处置加固。

23.安全类:安全计算环境

安全子类:恶意代码防范

测评项:应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。

重大风险隐患触发项:恶意代码防范措施缺失

安全问题描述:1)未采取恶意代码检测和清除措施;2)恶意代码防范产品授权已过期;3)恶意代码特征库、规则库等一个月以上未更新;4)其他。

测评单元:L3-CES1-23

高风险判例:6.4.1.11参考6.3.5二级及以上系统

隐患规避指南:应在终端侧部署恶意代码防范措施,如终端杀毒、EDR等防护手段,确保设备授权在有效期内,并对规则库进行定时更新。

24.安全类:安全计算环境

安全子类:数据保密性

测评项:应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。

重大风险隐患触发项:重要数据明文传输

安全问题描述:1)鉴别信息、重要个人信息或重要业务数据等以明文的方式在网络环境中传输;2)其他。

测评单元:L3-CES1-27

高风险判例:6.4.3.2参考6.2.8三级及以上系统

隐患规避指南:如使用应用系统进行业务操作时,应保证传输数据的保密性,使用如网站https等技术手段,或使用VPN技术建立加密隧道,对数据进行加密。避免鉴别数据、重要数据、个人数据等的明文传输。

25.安全类:安全计算环境

安全子类:数据保密性

测评项:应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。

重大风险隐患触发项:重要数据明文存储

安全问题描述:1)鉴别信息、重要个人信息、具有保密性需求的重要业务数据以明文的方式存储;2)其他。

测评单元:L3-CES1-28

高风险判例:6.4.3.3三级及以上系统

隐患规避指南:保证数据在存储过程中的保密性,在数据库内应对数据进行加密存储。如有商密测评要求,应部署如服务器密码机等设备对数据存储进行加密。

26.安全类:安全计算环境

安全子类:数据备份恢复

测评项:应提供重要数据的本地数据备份与恢复功能。

重大风险隐患触发项:重要数据无本地备份措施

安全问题描述:1)重要数据未提供任何数据备份措施;2)重要数据备份到互联网网盘或相关存储环境;3)其他。

测评单元:L1-CES1-11

高风险判例:6.4.3.4二级及以上系统

隐患规避指南:应在本地部署备份恢复系统,对重要数据进行备份,根据业务需求采用如全量备份、差异备份、新增备份等不同的备份策略。避免重要数据备份至互联网环境。

27.安全类:综合类

安全子类:——

测评项:——

重大风险隐患触发项:获取被测系统关联系统权限

安全问题描述:1)获取了最高管理员权限或子管理员权限或普通用户权限;2)其他。

测评单元:——

高风险判例:——

隐患规避指南:定期开展渗透测试、攻防演练等进行自身系统安全性测试,避免高权限管理员的权限泄露,检验系统安全防护能力,并进行薄弱环节的安全加固。

28.安全类:综合类

安全子类:——

测评项:——

重大风险隐患触发项:获取被测系统权限

安全问题描述:1)获取了被测系统权限;2)其他。

测评单元:——

高风险判例:——

隐患规避指南:定期开展渗透测试、攻防演练等进行自身系统安全性测试,检验系统安全防护能力,并进行薄弱环节的安全加固。

29.安全类:综合类

安全子类:——

测评项:——

重大风险隐患触发项:互联网暴露面过宽

安全问题描述:1)大型专网未能有效收口;2)移动应用后台接口成为新的暴露点;3)应用私搭乱建,管理不到位,存在防护盲区;4)违规打通内网与互联网连接;5)第三方接入缺乏安全管理与整体管控;6)其他。

测评单元:——

高风险判例:——

隐患规避指南:开展互联网暴露面梳理工作,对暴露在互联网上的业务地址、IP地址、端口等信息进行梳理,并对非业务需求暴露面进行收窄、关闭。定期维护互联网资产台账,开展互联网暴露面安全检查,并对发现的安全问题、薄弱环节进行整改加固。加强内网与互联网连接管理,对因业务需要开放的第三方接入网络、接口等进行管理,在达到使用期限后及时关闭。

30.安全类:综合类

安全子类:——

测评项:——

重大风险隐患触发项:数据管理不规范

安全问题描述:1)违背最小化原则信息量泄露过多;2)数据传输、存储、备份不规范;3)其他。

测评单元:——

高风险判例:——

隐患规避指南:遵循最小化使用原则,仅允许最少量的信息被授权人使用,规范数据传输、存储、备份机制,定期开展数据备份恢复演练等,确保数据备份系统可用性、数据备份机制有效性、数据备份可操作性等。

31.安全类:综合类

安全子类:——

测评项:——

重大风险隐患触发项:“神经中枢”系统缺乏重点加固

安全问题描述:1)集权系统鉴别机制存在缺陷;2)管理后台自身架构存在漏洞;3)集权系统支撑环境存在漏洞;4)域控系统缺乏重点防护措施;5)其他。

测评单元:——

高风险判例:——

隐患规避指南:如组织设置了集权系统,如统一的身份鉴别系统、4A系统等,应重点开展安全检查工作,确保集权系统的安全稳定。既然将鸡蛋放在一个篮子里,就要确保篮子的安全。

32.安全类:综合类

安全子类:——

测评项:——

重大风险隐患触发项:安全管理运维水平不足

安全问题描述:1)供应链管控不力,成为迂回攻击跳板;2)网络资产底数不清晰,老旧资产、测试系统未下线;3)基层单位安全防护能力薄弱,极易成为攻击突破口;4)员工安全意识不足,易被社工攻击利用;5)公开漏洞未修复;6)0Day漏洞攻击难以监测发现;7)网络安全监测存在盲点导致难以及时发现隐蔽入侵行为,缺乏对攻击监测数据的分析;8)其他。

测评单元:——

高风险判例:——

隐患规避指南:开展供应链安全检查工作,对提供服务的第三方服务商进行规范要求,避免第三方服务商存在接入内部网络的接口。定期开展资产排查、梳理工作,对长期未使用、已下线系统进行及时关停、下架处置。开展组织内部网络安全检查工作,对下属单位进行定期安全检查。开展全员安全意识培训,特别是对业务支撑部门、财务部门、后勤部门等开展网络安全意识培训,形成全员的网络安全意识。定期开展渗透测试、攻防演练等进行自身系统安全性测试,检验系统安全防护能力,并进行薄弱环节的安全加固。

33.安全类:其他(可自行补充)

安全子类:——

测评项:——

重大风险隐患触发项:——

安全问题描述:——

测评单元:——

高风险判例:——

隐患规避指南:——