等保测评中的高风险项指的是在测评过程中发现的严重安全隐患,这些隐患如果不加以整改,可能导致信息系统面临重大安全威胁。以下是一些在等保测评中可能被判定为高风险项的内容:
1. **物理环境安全**:
- 无防盗报警系统或监控系统。
- 机房未配备冗余或并行电力线路,或供电来源单一。
- 未配备应急供电措施或应急措施无法使用。
- 核心数据系统未采取电磁屏蔽措施。
2. **网络通信安全**:
- 网络设备业务处理能力不足,尤其在高负载时可能导致服务中断。
- 重要网络区域与非重要网络在同一子网或网段,缺乏合理划分。
- 互联网出口无任何访问控制措施或配置失效。
- 办公网与生产网之间无访问控制措施。
3. **计算环境安全**:
- 存在空口令或弱口令帐户,尤其是默认口令。
- 远程管理鉴别信息明文传输,无加密措施。
- 重要核心设备未采用多种鉴别技术进行身份验证。
4. **恶意代码防护**:
- 主机和网络层无任何恶意代码检测和清除措施。
5. **安全审计**:
- 网络边界、重要网络节点无任何安全审计措施,无法进行日志审计。
6. **系统漏洞和更新管理**:
- 存在重大安全隐患的漏洞未及时修补。
- 系统、环境、框架、组件等存在可被利用的高风险漏洞。
7. **身份鉴别和访问控制**:
- 应用系统无任何用户口令复杂度校验机制。
- 应用系统存在易被猜测的常用/弱口令帐户。
- 访问控制功能存在缺失或缺陷,导致非授权访问。
8. **数据保护**:
- 敏感数据以明文方式在不可控网络中传输。
- 敏感数据以明文方式存储,无有效保护措施。
- 应用系统未提供任何数据备份措施。
9. **容灾和备份**:
- 无异地数据灾备措施,或备份机制无法满足业务需要。
10. **管理制度和机构**:
- 未建立任何与安全管理活动相关的管理制度或制度无法适用于当前系统。
- 未成立指导和管理信息安全工作的委员会或领导小组。
11. **建设管理和运维管理**:
- 网络关键设备和网络安全专用产品的使用违反国家规定。
- 系统上线前未通过安全性测试或评估。
12. **个人信息保护**:
- 未授权采集、存储用户个人隐私信息。
- 未授权访问和非法使用个人信息。
这些高风险项是根据《网络安全等级保护测评高风险判定指引》和相关标准进行判定的。在等保测评中,这些高风险项需要重点关注和及时整改,以确保信息系统的安全合规。