本指引是依據(jù)GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》有關(guān)條款，對(duì)測(cè)評(píng)過(guò)程中所發(fā)現(xiàn)的安全性問(wèn)題進(jìn)行風(fēng)險(xiǎn)判斷的指引性文件。指引內(nèi)容包括對(duì)應(yīng)要求、判例內(nèi)容、適用范圍、補(bǔ)償措施、整改建議等要素。

1、產(chǎn)品采購(gòu)和使用

（1）網(wǎng)絡(luò)安全產(chǎn)品采購(gòu)和使用

對(duì)應(yīng)要求：應(yīng)確保網(wǎng)絡(luò)安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定。

判例內(nèi)容：網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品的使用違反國(guó)家有關(guān)規(guī)定，可判定為高風(fēng)險(xiǎn)。

適用范圍：所有系統(tǒng)。

滿(mǎn)足條件：網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品的使用違反國(guó)家有關(guān)規(guī)定。

補(bǔ)償措施：無(wú)。

整改建議：建議依據(jù)國(guó)家有關(guān)規(guī)定，采購(gòu)和使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品。（《網(wǎng)絡(luò)安全法》第二十三條規(guī)定網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后，方可銷(xiāo)售或者提供。國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄，并推動(dòng)安全認(rèn)證和安全檢測(cè)結(jié)果互認(rèn)，避免重復(fù)認(rèn)證、檢測(cè)。）

（2）密碼產(chǎn)品與服務(wù)采購(gòu)和使用

對(duì)應(yīng)要求：應(yīng)確保密碼產(chǎn)品與服務(wù)的采購(gòu)和使用符合國(guó)家密碼管理主管部門(mén)的要求。

判例內(nèi)容：密碼產(chǎn)品與服務(wù)的使用違反國(guó)家密碼管理主管部門(mén)的要求，可判定為高風(fēng)險(xiǎn)。

適用范圍：所有系統(tǒng)。

滿(mǎn)足條件：密碼產(chǎn)品與服務(wù)的使用違反國(guó)家密碼管理主管部門(mén)的要求。

補(bǔ)償措施：無(wú)。

整改建議：建議依據(jù)國(guó)家密碼管理主管部門(mén)的要求，使用密碼產(chǎn)品與服務(wù)。（如《商用密碼產(chǎn)品使用管理規(guī)定》等）

2、外包軟件開(kāi)發(fā)

外包開(kāi)發(fā)代碼審計(jì)

對(duì)應(yīng)要求：應(yīng)保證開(kāi)發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門(mén)和隱蔽信道。

判例內(nèi)容：對(duì)于涉及金融、民生、基礎(chǔ)設(shè)施等重要行業(yè)的業(yè)務(wù)核心系統(tǒng)由外包公司開(kāi)發(fā)，上線(xiàn)前未對(duì)外包公司開(kāi)發(fā)的系統(tǒng)進(jìn)行源代碼審查，外包商也無(wú)法提供相關(guān)安全檢測(cè)證明，可判定為高風(fēng)險(xiǎn)。

適用范圍：涉及金融、民生、基礎(chǔ)設(shè)施等重要核心領(lǐng)域的3級(jí)及以上系統(tǒng)。

滿(mǎn)足條件（同時(shí)）：

補(bǔ)償措施：

3、測(cè)試驗(yàn)收

上線(xiàn)前安全測(cè)試

對(duì)應(yīng)要求：應(yīng)進(jìn)行上線(xiàn)前的安全性測(cè)試，并出具安全測(cè)試報(bào)告，安全測(cè)試報(bào)告應(yīng)包含密碼應(yīng)用安全性測(cè)試相關(guān)內(nèi)容。

判例內(nèi)容：系統(tǒng)上線(xiàn)前未通過(guò)安全性測(cè)試，或未對(duì)相關(guān)高風(fēng)險(xiǎn)問(wèn)題進(jìn)行安全評(píng)估仍舊“帶病”上線(xiàn)的，可判定為高風(fēng)險(xiǎn)。安全檢查內(nèi)容可以包括但不限于掃描滲透測(cè)試、安全功能驗(yàn)證、源代碼安全審核。

適用范圍：3級(jí)及以上系統(tǒng)。

滿(mǎn)足條件（同時(shí)）：

補(bǔ)償措施：

整改建議：建議在新系統(tǒng)上線(xiàn)前，對(duì)系統(tǒng)進(jìn)行安全性評(píng)估，及時(shí)修補(bǔ)評(píng)估過(guò)程中發(fā)現(xiàn)的問(wèn)題，確保系統(tǒng)不“帶病”上線(xiàn)。