1.术语和定义
1.1 可用性要求较高的系统
指出现因短时故障无法提供服务,可能对社会秩序、公共利益等造成严重损害的系统,既可用性级别大于等于99%,年度停机时间小于8.8小时的系统;一般包括但不限于银行、证券、非金融机构等交易类系统,提供公共服务的民生类系统、工业控制类系统等。
1.2数据传输完整性要求较高的系统
只数据在传输过程中遭受恶意破坏或篡改,可能造成较大的财产损失,或造成严重破坏的系统,一般包括但不限于金融、证券、非金融机构、互联网金融等交易类系统等。
1.3不可控网络环境
指互联网、公共网络环境、内部办公环境等无管控措施,可能存在恶意攻击、数据窃听等安全隐患的网络环境。
1.4可利用的漏洞
指可被攻击者用来进行网络攻击,可造成严重后果的漏洞,一般包括但不限于缓存区溢出,提权漏洞、远程代码执行、严重逻辑缺陷、敏感数据泄露等。
1.5云管理平台
指云服务商或租户用来对云计算资源进行管理的系统平台。
2.安全物理环境
2.1物理访问控制
2.1.1机房出入口无控制措施
对应要求:机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。
判断内容:机房出入口区域无任何访问控制措施,机房无电子或机械门锁(包括机房出于非锁控状态),机房入口也无人值守;办公或外来人员随意进出机房,无任何管控、监控措施,存在较大安全隐患,可判高风险。
整改建议:机房出入口配备电子门禁系统,通过电子门禁鉴别,记录进出的人员信息。
2.1.2云计算基础设施物理位置不当
对应要求:应保证云计算基础设施位于中国境内。
判例内容:云计算基础设施(如云计算服务器、存储设备、网络设备、云管理平台、信息系统等运行业务和承载数据的软硬件等)不在中国境内,可判高风险。
整改建议:云计算服务器、存储设备、网络设备、云管理平台、信息系统等运行业务和承载数据的软硬件等云计算基础设施应部署在中国境内。
2.2防盗窃和防破坏
2.2.1机房无防盗措施
对应要求:应设置机房防盗报警系统或设置有专人值守的视频监控系统。
判例内容:机房无防盗报警系统,也未设置有专人值守的视频监控系统,出现盗窃事件无法进行告警、追溯的,可判高风险。
整改建议:建议机房部署防盗报警系统或设置有专人值守的视频监控系统,如发生盗窃事件可及时告警或进行追溯,确保机房环境的安全可控。
2.3防火
2.3.1机房无防火措施
对应要求:机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
判例内容:机房无防火措施(即无自动灭火,业务手持灭火器或消防设备已失效),一旦发生火情,无任何消防处置措施,可判高风险;
整改建议:建议机房设置火灾自动消防系统,能够自动检测火情,自动报警,并自动灭火,相关消防设备如灭火器等应定期检查,确保防火措施有效。
2.4温湿度控制
2.4.1机房无温湿度控制措施
对应要求:应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。
判例内容:机房无有效的温湿度控制措施,或温湿度长期高于或低于设备运行的温湿度范围,可能加速设备损害,提高设备的故障率,对设备的正常运行带来安全隐患。或可能引起火灾等安全隐患的,可判高风险。
整改建议:建议机房设置温湿度自动调节设备,确保机房温湿度的变化在设备运行所允许的范围之内。
2.5电力供应
2.5.1机房无短期备用电力供应措施
对应要求:应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。
判例内容:对应可用性要求较高的系统,如银行、证券等交易类系统,提供公共服务的民生类系统,工控类系统等,机房未配备短期备用电力供应设备(如UPS)或配备的设备无法在短时间内满足断电情况下的正常运行要求的,可判高风险。
整改建议:建议配备容量合理的后备电源,并定期对UPS进行巡检,确保在外部电力供应中断的情况下,备用供电设备能满足系统短期正常运行。
2.5.2机房无应急供电措施
对应要求:应提供应急供电设施
判例内容:系统所在的机房必须配备应应急供电措施,如未配备,或应急供电措施无法使用,可判高风险。
整改建议:建议配备应急供电设施,如备用发电设备。
扫一扫
4420
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
