1、资料性)安全保护能力计分方法A1评估原则在使用指标体系进行能力评估时.应首先按照GBT22239-2019通过相应等级冽评,并应遵循以下原则.a)组件选择抽取。不同类型的关键信息域础设施业务特性不同,时批件及所包括的指标项不同.可根据关杨信息基础设施类型选取不同指标集合进行评估.b)能力逐级申请.基本保护级、强化保护级、战珞保护饭是逐级申请评估.c满足某一级别条件,达到时应级别的分数要求,且无商风畛项,d)评估增加的祖件。巾谛更高级别时.可评估新增组件,已在低级别评估过的祖件UJ枭用其结果.c结果复用.可视情更用已有相关评估结果.如GBrr222392019、GB,T392042022家A.
2、2计算方法对关键信息基础设施安全保护能力综合指标的评估采取打分制,湎分为100分。其中,基本保护纸得分为M)至75分.强化保护级得分为76至90分,战略保护级得分为91至100分.a能力等级计算公式如下1)基本保护级得分(A.1)(A.2)=1E=200%其中:一一n表示基本保护级能力族数量:一一N1表示法本保护级单一能力族得分,一W,表示基本级能力族权重,2)强化保护级得分%=XS+(=200%1j5QS(.3(A.4)其中:-n表示基本保护级能力族数加;-m表示强化保护级能力读数量:一一Ni友示基本保护被单一能力族得分:一一M,表示强化保护线单能力族将分;一一WJ表示基本级能力族权重:W1
3、1表示强化皴能力族权重.3)故略保护级得分:组件项得分计算方法组件项得分为指标项得分总和,计算公式如Z=ZA:b)簧而保护计划市核修订记录,按疑定航次对保护计划遇行市横传IT黄乔策明.Jg管理策略照Jfi系统至生命同叫阶段(2分).32.b)网络安全风险管理泥略包括风险评估方法.I&陶依柱边略、风总接受准姬等IftijR,网珞安全风险管理狗略包括风险评估方法、风险防控狗略、M险接受准则等(3分).33.C)网用安全风险笆理策略与沮织业务目标相存。长希策珞,网济安全凤除付理策略匪配汛次业务H标”分.44.SMKMC.2风Ia管理活动a)能识别导与风险管理活动的利益相关方Ia)杳行饰略等,识别出风
4、险管理活动的利益相关方”分):b)查价策略等,已见别的利益相美方完整、无遗漏C分).25.b)健根据网络安全风阳行理策略进行风险评的,识别并念成风险点清年:a)森6殡略、评估记录笄,根据风险管理国略进行了凤龄评估(1分);b)宜访狗略和清华等.彩成了风险点滴不(2分),36.c)健根据网络安全风殴管理策略监控识别的网险I也行风险点清m和记录,对从阳点清承中的风阶点进行摘控,力看控记录(2分)27.1)健对风险管理活动周期性进行审ff以确保符合网络安全风龄评理策珞.a)查有记量,对风险管理活动透行了周期性小i有相关记录(1分);b)责看狗略和记录等,1斓管理活动符合谈电并持续优化.行俅”或优化记
5、录(2分).384供应链安全能力族所含蛆件计分供应院安全能力族包括供应链安全管理、供应方安全管理、运维外包管理、供应鞋风险狡瞥与应急处置4个组件项.组件计分示例见表B.4.B.4供应鼓安全能力族所含组件得分示例字号能力配件能力等被箱帆项评估方法指帆项分仇8.SM_SCC.1怏应俄安全管理赛水保护锻a)具招供应链安全整理制收和谈炉,包括供应方管理、产小开发来的管理等:a)ffi供应链安全制度中包含供应燃M险、供应方处理、产科开发和采购管理.安全迎护评力面的内容(1.5分).b)查看检近供应融安全管理制度引确供应的安全管理的Ii标、.原则和费任风险愦刈后:无影响或可能修峋国次安全的产拈成服务(1分
6、有货响或可使H2响国家安全的产品或服务.申请开展了国考网络安全审杳(1分).2II.)签订称议要求供应方腹行冏络安仝和保密贲住.加强安仝殍理,不得设A后门、非法操作或媒取不正当利益;杳看协议,与供应方答号的介同Btff协议中明确网络安全和保密费任、明确不得设置后0、执行非法操作或谋取不正当利费的行为(2分).214.C)要求供应方承诺出现安全M龄及时通报并格口潜湘.健供中文板技术资料,培训技术支持及应急响应播施:aSfiffM.称以或其它有同等法律效力的文件R中要求供应方承语出现安全风险及时通报弁快淞洞”分):b)ItG合同、协议或其它在同等法律效力的文件.其中要求提供中文版技术资料,培训
7、技术支持及应息响应指Mi分).215.d)监甘市核供应方故务.对定制研发软件要求供应方具品安全开发相关资所或建立安全开发规S1.也立维护安全开发环境.建立工具设备安仝管理和准入控制.a)桂会软件供应方的安全开发资旗诚建立安全开发规范的记录或文档U分),b)检套供应方建立堆护安全开发环境的记求(1分):c)检点供应方建立J1.AiQ各安全管理和飕入控制的记录或文档”分).3表B.4供应捱安全能力族所含组件得分示例,幻IO序号健力姐件能力等侬Ifi标项评估方法指标项分值16.SM.SCC.3运HF外包管理塔本保护级a)便明确外包运雉牧分商的技术僮力要求,包括但不1于凤除监测识别、AiiWttW.完
8、整性保护、安全泌式等Ia)候查是否1.选定的外包运昵米务商茶订相关的协议.明班约定外包运谁的范阳工作内容:(2分)b查介制境或相关文件,明确对外包运好眼务商相关的安全要求,如可能涉及时收也侑息的访问、处理、存储要求I2分)C)百看网络安全事件记录,极查是否出现外包运螳IK务网络安全事件,所楙现的事件是否与运营者对外包运油魔务商的昔理不当引起.11分)517.b)能在与外包运推服务戏笑i1.的协设中明外包加堆人员与A组投运维人员的工作粒图和相关贵fE,并按照彬议落实Ia)女门外包运椎服务合作协收,是否明确工作他国及相关商任:1分)b奇我与堆炉人员卷订安全保密协议.并对外包人员开展背景审杳(W1:
9、无犯罪记求证明等).(2分)318.C健确保在蛾假:时间周期内外包运处人员持埃稳定.3)叠行外包运维服务含作赤议,是否明确对外包运维人员的稳定性极出明确要求:(1分)b查希外包运港服务人员的在木肉工作时间,如工作时间小于合作协议的时间,应给出合理的解伐,否则不认为满足持埃把定要求,(1分)219.SMSCC.4供应捷战险H1.警与应急处汽解木保护汲a)在发现使用的网络产拈和股务存在安全缺陷、潴洞等风险时.及时采取指诙予以消除:)代否相关制(5或记录,在识别和消除使M的网洛产品和IH分的安全帙陷、漏洞等风险的措施(3分),b)在看相关制改或记求.发现使用的四烙声品和服务存在安全块辐、涮洵等风险时
10、及时采取描施予以消除(3分).620.b)按照规定向相关部门投舌涉及农人14险的情况.JS看相关制度或记案.判断有无勇大风险:一有施大风险,有向相关部门上报记录(1:无低大风险,奄夕上报流程W!定.有上报演嫉记录分)。485架构安全能力族所含组件计分架构安全能力族包括网络防护架构、通信匿路与关设设备冗余、应用数据分离3个组件项,组件计分示例见表B.5.表B.5架构安全能力族所含组件得分示例序号能力机件能力等以折标用评估方法指标项分Ifi1.SA,BIS.1网络防护架构用本保护锻3)能按照G8TXXXXX-KXXX明确关城信息暴础iQ施常惠化和奴小化边界;a)查行制收文件及实际环境等.有配ft
11、的口格边界和城小化边界管理规范类文件(】分):b)宜森制度文件及实际环境等,有明确的常态化和蚊小化边界划分(1分).22.b)能制定网络区域划分、安全互联和网络访何控制等安全费略:.O森而文格,制定了关键信息基耐设施的网络区域划分、安全互联筑略,网络访问柱IW策玷等相关文档(0.5分),b)查行文档及实际环境.按照相关的安仝饭路文档.开收了网络区域划分、安全互联和网络访问控;W工作,实际绘作与安全赞略文档一致。.5分).1表B.5架构安全能力族所含组件得分示例(续)序号鸵力组件能力等级指标项碑佑方法指标项分依3.)能按邺网法区域划分原则磔分网络区域,M络拓扑图与实际的烙运行环烧致:女行网络区域
12、划分招美设计文档,网络区域按照分区分线班则划分;(1分八b)套彩网络拓扑图符合网络区域划分原嫄.与实际网络运行环境Skd分).24.d能识别R要网络反域.小要网络区域部署在可拌区域:,,)荏石财络区域划分相关设计文档,明的田要网络区域I。,5分)b)杳实际网络科环境.不要网络IX域部*在内陆区域等直接必i在互联网(0.55.15.e)能将Im向互联阳提供服务的业务系统,部察在可控的网络环境中:)杳希:联网提供股务业务相关设计文档网络环填部弭内容.都辨在美似DMZta关区域(1分):b)连心实际网络部署环境,互取对提供眼务的业务系统都号在I1.WZ区(1分)。26.O具篙物理层、M络层、应用层、
13、数据层.供血转券多个层面的防护能力.a)按糜帆深1游的理念进行安全架杓的设计,代行设计文件在相关的设计1分):h)任TJ落地实艇情况如:查有网络区域划分、访问拉利域珞*安全防护里略部日常玷淮情况按照改计文档落灰执行(1分).2表B.5架构安全她力族所含口件得分示例(续)序号能力凯件能力等级指标项评估方法指标项分位7.强化保护扶a)具翁主动安全防护技术框架.技术也翼能够适应不断变化的网络环境,通过持续的监控分析和自动化病向来提跖安全性:a)会RM洛防护架构芍主动安全防护技术枇架相关的设计内容(2分)b)主动安全防护技术板架相关的设计内容符合物理环境、业务环境等要求(3分).58.h)在安全防护技
14、术框架中包括协同防护接U、异构性和冗余性、内部架构、业务流程、赋要费源、桢心算法、通侪线路等内杏.保HiM络架构的弹性能力.X)会才主动安全防护技术框架中有明确的协同防护接口、异构性和冗余性、内部架构,业务流程、成要资源、核心算法通信败路等内容(2分)1)套籽主动防护技术框架设计内容是在技术侧落地(3分).59.成贴保护嫉a)对承我关员业务的软硬件改MiH品利种以上异构能力.如果用不同技术架构的芯片探作系统、防火墙等:X)套价设施说明机及实际环境,承骗关攘业务的核心t路蒯如:路由器、交换机、防火墙、IPS等,Tf两种以上异构修力(如采用不同技术架构的芯片、助火堵等)(2分)b)食ri设施说明书
15、及实际环境.承领关健业务的软明件及施(如:计算晓源、存站费海配案的软件),有两种以上异构能力(如采用支报不同指令象的操作系既等)(3分八510.b)Aft械眼情况T.最小化边界内网络架构、安全架构支撑能力.fiiJi相关制度、记录及实际环境.针时最小化边界啊独立的网络依砒设施、安金基硅设旅可以提供极膜情况下的网络环境和安全劭护(5分).5I1.表B.5架构安全她力族所含2目件得分示例(续)序号鸵力组件能力等级指标项评估方法指标项分依I1.SAB1.SEXT.1云平台防护架构基本便炉级送营若应具符云平台网络1国能力,如云UR务F台与云租户、不同云租户也根网络之间的隔痛:a)查行承我关犍伶息韭砒设
16、地的云平台网用隔离设计.设计包含云服务平台与云租户、不同云租户虚拟网济之间的隔离(5分):b)森石实际环境.承段关耀信息珞明女施的云平台仃网络隔离技术实现.云叔务平台与云租户、不同云租户自拉网络之间的1.离.植理访门控制的主客体消啦(2分):C)通过策略/安全疑件进行隔离,ft君相关访问控制策珞以及访问控制逾的更新情况,德保隔离的有效性(3分31012.SA-BIS.2通信链路。关键或各冗余然本保护嫉aR省通信线路-主双各”的多电侑运片商多路由保妒能力:Ji)会RIW络拓扑图,明确出H解履栗用-主文品或舍一主多备将通信跷路设计U分一b)速谈网络管理员通信线路采用守路由保护.杳希与电信运晋商?5
17、名的合同出议或者技术措施会行也侑链路中的1P.直讣具白碣运状窗的信息1分).2】3.b)具备关健节点和戏要设艇“双节点.冗余能力Ia)枝式关键网络设备、关键女仝设备、关键由文设脩(数据蚱JH务器、数据存站设徐务)、近信戊路帔件冗余措施自效(2分);b)CtfiM洛设i的配网信息,如交换机路由曙汾、m认设置了主符路也和省份设省的配E1.构育设省间的冗余协议,如VRRP(虎根路由冗余出议)IISRP(热备份路由协议等(2分).4表B.5架构安全能力族所含组件得分示例(续)鸵力组件能力等级指标项评估方法指标项分依14.保际网格改务的业务处理能力和带宽满足业务高峰期需要.Q或右网络设务的业务处理能力和
18、带宽设计情况(2分);b)贵希实际生产环境中.按照电计进行执忏,实际生产环境业务处理能力和芾货满足业务隔峰期雷要Ic)通过访谈,询问网格各个部分的带宽满足业务高峥期帚要.如业务玛用的高峥流居是多少,各个网络接入转路带宽也多少,有过网热帝加粗颈的事件发生(1分):d在有监控环境的条件下.通过监控平台查杆网络带宽在业务而Wt期的使用境况在无独捽条件下通过就此分析工具分析行足好的接入帝宽或完善的流量控制措施等能舒保阳在高蜂期(正常业务情况T.带一占用率不超过9谕的业务JS行的要R有对关联业务的反烙断能力,能痢保关戊信息基础亚旅在面他网络攻击时关信业务正常运行,关取业务可持靖为关健价息整岫设施业务提供
19、眩务;育而;W度求格静文档和实际环境,评估寮统的反熔新健力,,在攻防演练或校拟收助测试中.系统遭受攻击保持关母业务的正常运行.并I1.关联业务抖蝮为关犍业务槌供服务.宣乔攻防演球相关报Fi佐证反熔断便力(2分).2)1.e)能实现系统找弹性.能通过协议、系统配比或疑软件映件的应用实现网络拓扑结构的分区分域弹性策略I能利用如网络交Jft机、路由调度算怯、路上多样性、流控IW.实现网络拓扑结构的再性H标:;,)注希制度谈空呼文档和实际环境,在系统S舛性的女计能力,在洋烟的设计方案II方案可落地C分),b)把打冽度箪略等文档和实际环境以通过技术措施落地系统舛件设if.出议、系维配置或齐软件便件的应用
20、实现网络拓扑第构的分区分域弹性策略(1)C)萩希M僮策珞等文档和实际环境.通过网络交投机、Pif由调度。法、Wi衿多样性、流捽刖实现网络拓扑架构的养性能力,可以根据相关设备的配置进行验证”分).3】2货提供极理情况下关健业务运行所需必婴的压础设施资催i:阿洛资海、H算宽源、存储资源、电力资源等,a)西看刖度策IS等文档.行极R1.恸况下关谕业务所需的班时设榛资源清单,清单包含网络费淑、计算货源、存储贸源、电力资源等内容(1分):b)作价按照极阳侪况下关键业务所需的总砒设施资淑清不,匹配的用砒资源E1.M础资源在演掾中进行验汕可以使用,置而演绘报告遥行验证(2分).3】3战略保炉线a)在极跟情况
21、下,关联业务被攻击时仍俭心续为关改业务提供限芬,以保障关谊业务正法运行:;,)准看制度抽玷呼文档和实际环境,”基于关键业分流程、应用和数据熟可用和安全性的双活切投方窠。设计(2分Xb)西疔M度策班等文档和实际环境.可以根据根据攻防淘炼情况,瑞保遭殳各类攻击时比务、应M、数幅和安全措施有效性并可实时切换H1.i报告与切换记录,并进行验证U分).5表B.6业务连续性安全能力族所含蛆件得分示例(续)序号能力组件能力洛逊指标项亚估方法指标项创ft14.b)能在极限情况卜,保Rt关谊业外的业务连续性与安全性.3)查看极限情况下的业务连或性与安殳性的评统方案与计划方案与计划符合业务场景(2分);b)置看相
22、关记录等文档.在演故、攻防模拟或者实际巾件中验证业务连续性与安全性交影响出tt根据相关报告进行验证.如果爻恭响则证明方案和落地存在问),需要调优IHS近一年有无任何业务中断或者被攻击求响业务的十件,存在则则i明极米连按性方案存在何圆(3分).515.SA-BOC.3灾冻备份和基奉保护执)制定灾备和愎复计划,能按照计划执行;a)货而灾各和恢里方案或计划.灾名和恢复方案或计划符合美埃业务与运着者实际运营环城(2分),b)代希灾备和恢史方案计划的实际运行情况,可以按服i1.划送行恢复和落地2分方c)宣石对灾冬和恢更计划进行优化和同优,会Ji调优记录(2分八616.b)能技叫灾备计划进行业务恢史演嫁.保E生产系统不可用时备份系统能接档生产.索斯部分或全部R!能、.OAi看演绘记录,可以通过沙盆推演、案面推演成模以攻击进行验证,刘而灾建愫亚的能力,确保生产业务不可用时.备份系线可以按替生产系统核心职能(2分):b)钱看验还记录,可以通过沙苗推演、桌面推演或模拉攻击迸行的证,判断灾推愤狂的能力.弼保生产业务不可用时,符份系MU1.以接玲生产系统全部职能(2分).1】7.强化保
