等保2.0标准执行之高风险判定（安全管理中心篇）

1.1    运行监控措施缺失

对应要求：应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。

判例内容：对可用性要求较高的系统，若没有任何监测措施，发生故障时难以及时对故障进行定位和处理，可判定为高风险。

适用范围：可用性要求较高的3级及以上系统。

满足条件（同时）：

1、3级及以上系统；

2、对可用性要求较高的系统；

3、无任何监控措施，发生故障也无法及时对故障进行定位和处理。

补偿措施：无。

整改建议：建议对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。

1.2    日志存储不满足要求

对应要求：应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求。

判例内容：《网络安全法》要求“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月”；因此，如相关设备日志留存不满足法律法规相关要求，可判定为高风险。

适用范围：3级及以上系统。

满足条件（任意条件）：

1、3级及以上系统；

2、对网络运行状态、网络安全事件等日志的留存不满足法律法规规定的相关要求（不少于六个月）。

补偿措施：对于一些特殊行业或日志时效性短于6个月的，可根据实际情况，可酌情降低风险等级。

整改建议：建议部署日志服务器，统一收集各设备的审计数据，进行集中分析，并根据法律法规的要求留存日志。

1.3    安全事件发现处置措施缺失

对应要求：应能对网络中发生的各类安全事件进行识别、报警和分析。

判例内容：未部署相关安全设备，识别网络中发生的安全事件，并对重要安全事件进行报警的，可判定为高风险。

适用范围：3级及以上系统。

满足条件（同时）：

1、3级及以上系统；

2、无法对网络中发生的安全事件（包括但不限于网络攻击事件、恶意代码传播事件等）进行识别、告警和分析。

补偿措施：无。

整改建议：建议部署相关专业防护设备，对网络中发生的各类安全事件进行识别、报警和分析，确保相关安全事件得到及时发现，及时处置。