網路安全等級保護測評高風險判定

指出現因短時故障無法提供服務，可能對社會秩序、公共利益等造成嚴重損害的系統，既可用性級別大於等於99%，年度停機時間小於8.8小時的系統；一般包括但不限於銀行、**、非金融機構等交易類系統，提供公共服務的民生類系統、工業控制類系統等。

只資料在傳輸過程中遭受惡意破壞或篡改，可能造成較大的財產損失，或造成嚴重破壞的系統，一般包括但不限於金融、**、非金融機構、網際網路金融等交易類系統等。

指網際網路、公共網路環境、內部辦公環境等無管控措施，可能存在惡意攻擊、資料竊聽等安全隱患的網路環境。

指可被攻擊者用來進行網路攻擊，可造成嚴重後果的漏洞，一般包括但不限於快取區溢位，提權漏洞、遠端**執行、嚴重邏輯缺陷、敏感資料洩露等。

指雲服務商或租戶用來對雲計算資源進行管理的系統平台。

2.1.1機房出入口無控制措施

對應要求：機房出入口應配置電子門禁系統，控制、鑑別和記錄進入的人員。

判斷內容：機房出入口區域無任何訪問控制措施，機房無電子或機械門鎖（包括機房出於非鎖控狀態），機房入口也無人值守；辦公或外來人員隨意進出機房，無任何管控、監控措施，存在較大安全隱患，可判高風險。

整改建議：機房出入口配備電子門禁系統，通過電子門禁鑑別，記錄進出的人員資訊。

2.1.2雲計算基礎設施物理位置不當

對應要求：應保證雲計算基礎設施位於中國境內。

判例內容：雲計算基礎設施（如雲計算伺服器、儲存裝置、網路裝置、雲管理平台、資訊系統等執行業務和承載資料的軟硬體等）不在中國境內，可判高風險。

整改建議：雲計算伺服器、儲存裝置、網路裝置、雲管理平台、資訊系統等執行業務和承載資料的軟硬體等雲計算基礎設施應部署在中國境內。

2.2防盜竊和防破壞

2.2.1機房無防盜措施

2.3防火

2.3.1機房無防火措施

對應要求：機房應設定火災自動消防系統，能夠自動檢測火情、自動報警，並自動滅火。

判例內容：機房無防火措施（即無自動滅火，業務手持滅火器或消防裝置已失效），一旦發生火情，無任何消防處置措施，可判高風險；

2.4溫濕度控制

2.4.1機房無溫濕度控制措施

對應要求：應設定溫濕度自動調節設施，使機房溫濕度的變化在裝置執行所允許的範圍之內。

判例內容：機房無有效的溫濕度控制措施，或溫濕度長期高於或低於裝置執行的溫濕度範圍，可能加速裝置損害，提高裝置的故障率，對裝置的正常執行帶來安全隱患。或可能引**災等安全隱患的，可判高風險。

整改建議：建議機房設定溫濕度自動調節裝置，確保機房溫濕度的變化在裝置執行所允許的範圍之內。

2.5電力**

2.5.1機房無短期備用電力**措施

對應要求：應提供短期的備用電力**，至少滿足裝置在斷電情況下的正常執行要求。

判例內容：對應可用性要求較高的系統，如銀行、**等交易類系統，提供公共服務的民生類系統，工控類系統等，機房未配備短期備用電力**裝置（如ups）或配備的裝置無法在短時間內滿足斷電情況下的正常執行要求的，可判高風險。

整改建議：建議配備容量合理的後備電源，並定期對ups進行巡檢，確保在外部電力**中斷的情況下，備用供電裝置能滿足系統短期正常執行。

2.5.2機房無應急供電措施

對應要求：應提**急供電設施

判例內容：系統所在的機房必須配備應應急供電措施，如未配備，或應急供電措施無法使用，可判高風險。

整改建議：建議配備應急供電設施，如備用發電裝置。