本指引是依據(jù)GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》有關條款，對測評過程中所發(fā)現(xiàn)的安全性問題進行風險判斷的指引性文件。指引內容包括對應要求、判例內容、適用范圍、補償措施、整改建議等要素。

1、產品采購和使用

（1）網絡安全產品采購和使用

對應要求：應確保網絡安全產品采購和使用符合國家的有關規(guī)定。

判例內容：網絡關鍵設備和網絡安全專用產品的使用違反國家有關規(guī)定，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件：網絡關鍵設備和網絡安全專用產品的使用違反國家有關規(guī)定。

補償措施：無。

整改建議：建議依據(jù)國家有關規(guī)定，采購和使用網絡關鍵設備和網絡安全專用產品。（《網絡安全法》第二十三條規(guī)定網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。國家網信部門會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄，并推動安全認證和安全檢測結果互認，避免重復認證、檢測。）

（2）密碼產品與服務采購和使用

對應要求：應確保密碼產品與服務的采購和使用符合國家密碼管理主管部門的要求。

判例內容：密碼產品與服務的使用違反國家密碼管理主管部門的要求，可判定為高風險。

適用范圍：所有系統(tǒng)。

滿足條件：密碼產品與服務的使用違反國家密碼管理主管部門的要求。

補償措施：無。

整改建議：建議依據(jù)國家密碼管理主管部門的要求，使用密碼產品與服務。（如《商用密碼產品使用管理規(guī)定》等）

2、外包軟件開發(fā)

外包開發(fā)代碼審計

對應要求：應保證開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道。

判例內容：對于涉及金融、民生、基礎設施等重要行業(yè)的業(yè)務核心系統(tǒng)由外包公司開發(fā)，上線前未對外包公司開發(fā)的系統(tǒng)進行源代碼審查，外包商也無法提供相關安全檢測證明，可判定為高風險。

適用范圍：涉及金融、民生、基礎設施等重要核心領域的3級及以上系統(tǒng)。

滿足條件（同時）：

補償措施：

3、測試驗收

上線前安全測試

對應要求：應進行上線前的安全性測試，并出具安全測試報告，安全測試報告應包含密碼應用安全性測試相關內容。

判例內容：系統(tǒng)上線前未通過安全性測試，或未對相關高風險問題進行安全評估仍舊“帶病”上線的，可判定為高風險。安全檢查內容可以包括但不限于掃描滲透測試、安全功能驗證、源代碼安全審核。

適用范圍：3級及以上系統(tǒng)。

滿足條件（同時）：

補償措施：

整改建議：建議在新系統(tǒng)上線前，對系統(tǒng)進行安全性評估，及時修補評估過程中發(fā)現(xiàn)的問題，確保系統(tǒng)不“帶病”上線。