国家网络安全检查操作指南
国家网络安全检查操作指南
中央网络安全和信息化领导小组办公室
网络安全协调局
2016年6月
目录
1概述 (1)
1.1 检查目的 (1)
1.2 检查工作流程 (1)
2检查工作部署 (3)
2.1 研究制定检查方案 (3)
2.2 成立检查办公室 (3)
2.3 下达检查通知 (3)
2.4 组织专项培训 (3)
3关键信息基础设施摸底 (4)
3.1 关键信息基础设施定义及范围 (4)
3.2 确定关键信息基础设施步骤 (4)
3.3 关键信息基础设施信息登记 (6)
4网络安全检查 (7)
4.1 网络安全责任制落实情况检查 (7)
4.2 网络安全日常管理情况检查 (8)
4.3.1人员管理检查 (8)
4.3.2信息资产管理情况检查 (8)
4.3.3 经费保障情况检查 (9)
4.3 信息系统基本情况检查 (10)
4.1.1 基本信息梳理 (10)
4.1.2系统构成情况梳理 (11)
4.1.2.1 主要硬件构成 (11)
4.1.2.2 主要软件构成 (12)
4.4 网络安全技术防护情况检查 (13)
4.4.1 网络边界安全防护情况检查 (13)
4.4.2 无线网络安全防护情况检查 (14)
4.4.3 电子邮件系统安全防护情况检查 (14)
4.4.4 终端计算机安全防护情况检查 (15)
4.4.5 移动存储介质检查 (16)
4.4.6 漏洞修复情况检查 (17)
4.5 网络安全应急工作情况检查 (19)
4.6 网络安全教育培训情况检查 (20)
4.7 技术检测及网络安全事件情况 (21)
4.7.1 技术检测情况 (21)
4.7.1.1 渗透测试 (21)
4.7.1.2 恶意代码及安全漏洞检测 (21)
4.7.2 网络安全事件情况 (23)
4.8 外包服务管理情况检查 (24)
5检查总结整改 (26)
5.1 汇总检查结果 (26)
5.2 分析问题隐患 (26)
5.3 研究整改措施 (26)
5.4 编写总结报告 (26)
6注意事项 (27)
6.1 认真做好总结 (27)
6.2 加强风险控制 (27)
6.3 加强保密管理 (27)
附件网络安全检查总结报告参考格式 (28)
国家网络安全检查操作指南
为指导关键信息基础设施网络安全检查工作,依据《关于开展关键信息基础设施网络安全检查的通知》(中网办发﹝2016﹞3号,以下简称《检查通知》),参照《信息安全技术政府部门信息安全管理基本要求》(GB/T 29245-2012)等国家网络安全技术标准规范,制定本指南。
本指南主要用于各地区、各部门、各单位在开展关键信息基础设施网络安全检查工作(以下简称“检查工作”)时参考。
1 概述
1.1 检查目的
为贯彻落实习近平总书记关于“加快构建关键信息基础设施安全保障体系”,“全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改”的重要指示精神,摸清关键信息基础设施底数,掌握关键信息基础设施风险和防护状况,以查“促建、促管、促改、促防”,推动建立关键信息基础设施网络安全责任制和防范体系,保障关键信息基础设施的安全稳定运行。
1.2 检查工作流程
检查工作流程通常包括检查工作部署、关键信息基础设施摸底、网络安全检查、检查总结整改四个步骤。
其中,网络安全检查包括信息系统基本情况检查、网络安全责任制落实情况检查、网络安全日常管理情况检查、网络安全防护情况检查、网络安全应急工作情况检查、网络安全教育培训情况检查、技术检测及网络安全事件情况检查、信息技术外包服务机构情况检查等八个环节,如下图所示。
图1 网络安全检查工作流程图
2 检查工作部署
检查工作部署通常包括研究制定检查方案、成立检查办公室、下达检查通知等具体工作。
2.1 研究制定检查方案
本单位网络安全管理部门根据《检查通知》统一安排,结合工作实际,制定检查方案,并报本单位网络安全主管领导批准。
检查方案应当明确以下内容:(1)检查工作负责人、组织机构和具体实施机构;(2)检查范围和检查重点;(3)检查内容;(4)检查工作组织开展方式;(5)检查工作时间进度安排;(6)有关工作要求。
1. 关于检查范围。检查的范围通常包括本单位各内设机构,以及为本单位信息系统(包括网站系统、平台系统、生产业务系统等)提供运行维护支撑服务的下属单位。可根据本单位网络安全保障工作需要,将其他为本单位信息系统提供运维服务、对本单位信息系统安全可能产生重大影响的相关单位纳入检查范围。
2. 关于检查重点。在对各类信息系统进行全面检查的基础上,应突出重点,对事关国家安全和社会稳定,对地区、部门或行业正常生产生活具有较大影响的关键信息基础设施进行重点检查。
3. 关于关键信息基础设施确定,应结合本单位实际,参考《关于开展关键信息基础设施网络安全检查的通知》中的《关键信息基础设施确定指南》进行确定。
2.2 成立检查办公室
本单位网络安全管理部门制定完成检查方案后,应及时成立检查办公室,明确人员、经费和技术保障;组织开展培训,保证办公室成员熟悉检查方案,掌握检查内容、填报工具使用方法等。
办公室成员通常由网络安全管理及运维部门、信息化部门有关人员,相关业务部门中熟悉业务、具备网络安全知识的人员,以及本单位相关技术支撑机构的业务骨干等组成。
对于网络与信息系统复杂、检查工作涉及部门多的单位,可根据需要成立检查工作领导小组,负责检查工作的组织协调与资源配置。领导小组组长可由本单位主要负责同志担任,领导小组成员可包括网络安全管理机构负责人(如办公厅主任)、信息化部门负责人(如信息中心主任),以及其他相关部门负责人(如人事部门、财务部门、业务部门领导)等。
2.3 下达检查通知
本单位网络安全管理部门应以书面形式部署关键信息基础设施网络安全检查工作,明确检查时间、检查范围、检查内容、工作要求等具体事项。
2.4 组织专项培训
本单位要组织专项培训,对本单位负责检查工作的干部、专家、技术人员、有关关键信息基础设施运维人员等进行广泛培训,确保检查工作质量,培训内容应包括检查目的意义、流程方法、关键信息基础设施确定方法及登记表填报说明、网络安全检查方法等。
3 关键信息基础设施摸底
3.1 关键信息基础设施定义及范围
关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。
3.2 确定关键信息基础设施步骤
关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。
(一)确定本地区、本部门、本行业的关键业务。
可参考表1,结合本地区、本部门、本行业实际梳理关键业务。
表1 关键信息基础设施业务判定表
行业关键业务
能源
电力
●电力生产(含火电、水电、核电等)
●电力传输
●电力配送
石油石化
●油气开采
●炼化加工
●油气输送
●油气储存
煤炭
●煤炭开采
●煤化工
金融
●银行运营
●证券期货交易
●清算支付
●保险运营
交通铁路
●客运服务
●货运服务
●运输生产
●车站运行
民航
●空运交通管控
●机场运行
●订票、离港及飞行调度检查安排
●航空公司运营
公路
●公路交通管控
●智能交通系统(一卡通、ETC收费等)水运●水运公司运营(含客运、货运)
●港口管理运营●航运交通管控
水利●水利枢纽运行及管控●长距离输水管控
●城市水源地管控
医疗卫生●医院等卫生机构运行●疾病控制
●急救中心运行
环境保护●环境监测及预警(水、空气、土壤、核辐射等)
工业制造
(原材料、装备、消费品、电子制
造)●企业运营管理
●智能制造系统(工业互联网、物联网、智能装备等)●危化品生产加工和存储管控(化学、核等)
●高风险工业设施运行管控
市政●水、暖、气供应管理●城市轨道交通
●污水处理
●智慧城市运行及管控
电信与互联网●语音、数据、互联网基础网络及枢纽●域名解析服务和国家顶级域注册管理●数据中心/云服务
广播电视●电视播出管控●广播播出管控
政府部门●信息公开
●面向公众服务●办公业务系统
(二)确定关键业务相关的信息系统或工业控制系统。
根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。
(三)认定关键信息基础设施。
对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。
A.网站类
符合以下条件之一的,可认定为关键信息基础设施:
1. 县级(含)以上党政机关网站。(2016年检查中,所有党政机关网站均应填写上报登记表)
2. 重点新闻网站。(2016年检查中,所有新闻网站均应填写上报登记表)
3. 日均访问量超过100万人次的网站。
4. 一旦发生网络安全事故,可能造成以下影响之一的:
(1)影响超过100万人工作、生活;
(2)影响单个地市级行政区30%以上人口的工作、生活;
(3)造成超过100万人个人信息泄露;
(4)造成大量机构、企业敏感信息泄露;
(5)造成大量地理、人口、资源等国家基础数据泄露;
(6)严重损害政府形象、社会秩序,或危害国家安全。
5. 其他应该认定为关键信息基础设施。
B.平台类
符合以下条件之一的,可认定为关键信息基础设施:
1. 注册用户数超过1000万,或活跃用户(每日至少登陆一次)数超过100万。
2. 日均成交订单额或交易额超过1000万元。
3. 一旦发生网络安全事故,可能造成以下影响之一的:
(1)造成1000万元以上的直接经济损失;
(2)直接影响超过1000万人工作、生活;
(3)造成超过100万人个人信息泄露;
(4)造成大量机构、企业敏感信息泄露;
(5)造成大量地理、人口、资源等国家基础数据泄露;
(6)严重损害社会和经济秩序,或危害国家安全。
4.其他应该认定为关键信息基础设施。
C.生产业务类
符合以下条件之一的,可认定为关键信息基础设施:
1. 地市级以上政府机关面向公众服务的业务系统,或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统。
2. 规模超过1500个标准机架的数据中心。
3. 一旦发生安全事故,可能造成以下影响之一的:
(1)影响单个地市级行政区30%以上人口的工作、生活;
(2)影响10万人用水、用电、用气、用油、取暖或交通出行等;
(3)导致5人以上死亡或50人以上重伤;
(4)直接造成5000万元以上经济损失;
(5)造成超过100万人个人信息泄露;
(6)造成大量机构、企业敏感信息泄露;
(7)造成大量地理、人口、资源等国家基础数据泄露;
(8)严重损害社会和经济秩序,或危害国家安全。
4.其他应该认定为关键信息基础设施。
3.3 关键信息基础设施信息登记
各单位梳理确定本单位所主管的关键信息基础设施,并通过填报工具填写登记表。主要包括:
a)设施主管单位信息;
b)设施主要负责人、网络安全管理部门负责人、运维单位负责人联系方式;
c)设施提供服务的基本类型、功能描述、网页入口信息、发生网络安全事故后影响分析、投入情况、信息技术产品国产化率;
e)数据存储情况;
f)运行环境情况;
g)运行维护情况;
h)网络安全状况;
i)商用密码使用情况。
填报工具的使用,详见《国家网络安全检查信息共享平台及关键信息基础设施填报工具使用手册》
4 网络安全检查
4.1 网络安全责任制落实情况检查
网络安全责任制落实情况检查通常包括网络安全管理工作单位领导、网络安全管理工作内设机构、网络安全责任制度建设和落实情况的检查。
4.2.1 要求
a)应明确一名主管领导,负责本单位网络安全管理工作,根据国家法律法规有关要求,结合实际组织制定网络安全管理制度,完善技术防护措施,协调处理重大网络安全事件;
b)应指定一个机构,具体承担网络安全管理工作,负责组织落实网络安全管理制度和网络安全技术防护措施,开展网络安全教育培训和监督检查等;
c)应建立健全岗位网络安全责任制度,明确岗位及人员的网络安全责任。
4.2.2 检查方式
文档查验、人员访谈。
4.2.3 检查方法
a)查验领导分工等文件,检查是否明确了网络安全主管领导;查验网络安全相关工作批示、会议记录等,了解主管领导履职情况;
b)查验本单位各内设机构职责分工等文件,检查是否指定了网络安全管理机构(如工业和信息化部指定办公厅为网络安全管理机构);
c)查验工作计划、工作方案、规章制度、监督检查记录、教育培训记录等文档,了解管理机构履职情况;
d)查验岗位网络安全责任制度文件,检查系统管理员、网络管理员、网络安全员、一般工作人员等不同岗位的网络安全责任是否明确;
e)访谈关键岗位网络安全员,检查其网络安全意识和网络安全知识、技能掌握情况;
f)查验工作计划、工作报告等相关文档,检查网络安全员日常工作开展情况。
表2 网络安全责任制落实情况检查表
负责网络安全管理工作的单位领导①负责网络安全管理工作的领导:□已明确□未明确
②姓名:_______________
③职务:_______________
④是否本单位主要负责同志:□是□否
负责网络安全管理的内设机构①负责网络安全管理的内设机构:□已明确□未明确
②机构名称:___________________
③负责人:_____________职务:________________
④联系人:_____________办公电话:________________
移动电话:________________
网络安全责任制度建设和落实情况①网络安全责任制度:□已建立□未建立
②网络安全检查责任:□已明确□未明确
③本年度网络安全检查专项经费:□已落实,______万□无专项经费
4.2 网络安全日常管理情况检查
4.3.1人员管理检查
4.3.1.1 要求
a)应与重点岗位的计算机使用和管理人员签订网络安全与保密协议,明确网络安全与保密要求和责任;
b)应制定并严格执行人员离岗离职网络安全管理规定,人员离岗离职时应终止信息系统访问权限,收回各种软硬件设备及身份证件、门禁卡等,并签署安全保密承诺书;
c)应建立外部人员访问机房等重要区域审批制度,外部人员须经审批后方可进入,并安排本单位工作人员现场陪同,对访问活动进行记录并留存;
d)应对网络安全责任事故进行查处,对违反网络安全管理规定的人员给予严肃处理,对造成网络安全事故的依法追究当事人和有关负责人的责任,并以适当方式通报。
4.3.1.2 检查方式
文档查验、人员访谈。
4.3.1.3 检查方法
a)查验岗位网络安全责任制度文件,检查系统管理员、网络管理员、网络安全员、一般工作人员等不同岗位的网络安全责任是否明确;检查重点岗位人员网络安全与保密协议签订情况;访谈部分重点岗位人员,抽查对网络安全责任的了解程度;
b)查验人员离岗离职管理制度文件,检查是否有终止系统访问权限、收回软硬件设备、收回身份证件和门禁卡等要求;检查离岗离职人员安全保密承诺书签署情况;查验信息系统账户,检查离岗离职人员账户访问权限是否已被终止;
c)查验外部人员访问机房等重要区域的审批制度文件,检查是否有访问审批、人员陪同等要求;查验访问审批记录、访问活动记录,检查记录是否清晰、完整;
d)查验安全事件记录及安全事件责任查处等文档,检查是否发生过因违反制度规定造成的网络安全事件、是否对网络安全事件责任人进行了处置。
表3 人员管理检查结果记录表
人员管理①重点岗位人员安全保密协议:□全部签订□部分签订□均未签订
②人员离岗离职安全管理规定:□已制定□未制定
③外部人员访问机房等重要区域审批制度:□已建立□未建立
4.3.2信息资产管理情况检查
4.3.2.1要求
a)应建立并严格执行信息资产管理制度;
b)应指定专人负责信息资产管理;
c)应建立信息资产台账(清单),统一编号、统一标识、统一发放;
d)应及时记录信息资产状态和使用情况,保证账物相符;
e)应建立并严格执行设备维修维护和报废管理制度。
4.3.2.2 检查方式
文档查验、人员访谈。
4.3.2.3 检查方法
a)查验信息资产管理制度文档,检查信息资产管理制度是否建立;
b)查验设备管理员任命及岗位分工等文件,检查是否明确专人负责信息资产管理;访谈设备管理员,检查其对信息资产管理制度和日常工作任务的了解程度;
c)查验信息资产台账,检查台账是否完整(包括设备编号、设备状态、责任人等信息);查验领用记录,检查是否做到统一编号、统一标识、统一发放;
d)随机抽取台账中的部分设备登记信息,查验是否有对应的实物;随机抽取一定数量的实物,查验其是否纳入信息资产台账,同台账是否相符;
e)查验相关制度文档和记录,检查设备维修维护和报废管理制度建立及落实情况。
表4 信息资产管理检查记录表
信息资产管理①信息资产管理制度:□已建立□未建立
②设备维修维护和报废管理:
□已建立管理制度,且记录完整
□已建立管理制度,但记录不完整
□未建立管理制度
4.3.3 经费保障情况检查
4.3.3.1 要求
a)应将网络安全设施运行维护、网络安全服务采购、日常网络安全管理、网络安全教育培训、网络安全检查、网络安全风险评估、网络安全应急处置等费用纳入部门年度预算;
b)应严格落实网络安全经费预算,保证网络安全经费投入。
4.3.3.2 检查方式
文档查验。
4.3.3.3 检查方法
a)会同本单位财物部门人员,查验上一年度和本年度预算文件,检查年度预算中是否有网络安全相关费用;
b)查验相关财务文档和经费使用账目,检查上一年度网络安全经费实际投入情况、网络安全经费是否专款专用。
表5 经费保障检查结果记录表
经费保障①上一年度信息化总投入:_______万元,网络安全实际投入:_______万元,
其中采购网络安全服务比例:______________
②本年度信息化总预算(含网络安全预算):_______万元,网络安全预算:
_______万元,其中采购网络安全服务比例:______________
4.3 信息系统基本情况检查
对本单位主管信息系统进行全面检查,及时掌握本单位信息系统基本情况,特别是变更情况,以便针对性地开展网络安全管理和防护工作。
4.1.1 基本信息梳理
查验信息系统规划设计方案、安全防护规划设计方案、网络拓扑图等相关文档,访谈信息系统管理人员与工作人员,了解掌握系统基本信息并记录结果(表6),包括:a)主要功能、部署位置、网络拓扑结构、服务对象、用户规模、业务周期、运行高峰期等;
b)业务主管部门、运维机构、系统开发商和集成商、上线运行及系统升级日期等;
c)定级情况、数据集中情况、灾备情况等。
表6 系统基本信息梳理记录表(每个系统一张表)
编号
系统名称
主要功能
部署位置
网络拓扑结构
服务对象
用户规模
业务周期
业务主管部门
运维机构
系统开发商
系统集成商
上线运行及最近一次
系统升级时间
定级情况
数据集中情况
灾备情况
4.1.2系统构成情况梳理
4.1.2.1 主要硬件构成
重点梳理主要硬件设备类型、数量、生产商(品牌)情况,记录结果(表7)。
硬件设备类型主要有:服务器、终端计算机、路由器、交换机、存储设备、防火墙、终端计算机、磁盘阵列、磁带库及其他主要安全设备。
表7 信息系统主要硬件构成梳理记录表
检查项检查结果
服务器品牌联想曙光浪潮华为IBM HP DELL Oracle 数量
其他:
1. 品牌,数量
2. 品牌,数量
①使用国产CPU的台数:
②使用国产操作系统的台数:
终端计算机(含笔记本)品牌联想长城方正清华同方华硕宏基数量
其他:
1. 品牌,数量
2. 品牌,数量
①使用国产CPU的台数
②使用国产操作系统的台数:
使用Windows xp/7/8的台数:
③安装国产字处理软件的台数:
④安装国产防病毒软件的台数:
路由器品牌华为中兴锐捷网络H3C Cisco Juniper 数量
其他:
1. 品牌,数量
2. 品牌,数量
交换机品牌华为中兴锐捷网络H3C Cisco Juniper 数量
其他:
1. 品牌,数量
2. 品牌,数量
存储设备总台数:
1. 品牌,数量
2. 品牌,数量
防火墙1. 品牌,数量
2. 品牌,数量
(如有更多,可另列表)
负载均衡设备1. 品牌,数量
2. 品牌,数量
(如有更多,可另列表)
入侵检测设备(入侵防御)1. 品牌,数量
2. 品牌,数量
(如有更多,可另列表)
安全审计设备1. 品牌,数量
2. 品牌,数量
(如有更多,可另列表)
其他1. 设备类型:,品牌,数量
2. 设备类型:,品牌,数量
(如有更多,可另列表)
4.1.2.2 主要软件构成
重点梳理主要软件类型、套数、生产商(品牌)情况,记录结果(表8)。
软件类型主要有:操作系统、数据库管理系统、公文处理软件、邮件系统及主要业务应用系统。
表8 信息系统主要软件构成梳理记录表
检查项检查结果
操作系统
品牌红旗麒麟Windows RedHat HP-Unix AIX Solaris 数量
其他:
1. 品牌,数量
2. 品牌,数量
(如有更多,可另列表)
数据库管理
系统
品牌金仓达梦Oracle DB2 SQLServer Access Mysql 数量
其他:
1. 品牌,数量
2. 品牌,数量
公文处理软
件品牌数量
邮件系统总数:
1. 品牌,数量
2. 品牌,数量
其他1. 设备类型:,品牌,数量
2. 设备类型:,品牌,数量
(如有更多,可另列表)
4.4 网络安全技术防护情况检查
4.4.1 网络边界安全防护情况检查
4.4.1.1 要求
a)非涉密信息系统与互联网及其他公共信息网络应实行逻辑隔离,涉密信息系统与互联网及其他公共信息网络应实行物理隔离;
b)建立互联网接入审批和登记制度,严格控制互联网接入口数量,加强互联网接入口安全管理和安全防护;
c)应采取访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范等措施,进行网络边界防护;
d)应根据承载业务的重要性对网络进行分区分域管理,采取必要的技术措施对不同网络分区进行防护、对不同安全域之间实施访问控制;
e)应对网络日志进行管理,定期分析,及时发现安全风险。
4.4.1.2 检查方式
文档查验、现场核查。
4.4.1.3 检查方法
a)查验网络拓扑图,检查重要设备连接情况,现场核查内部办公系统等非涉密系统的交换机、路由器等网络设备,确认以上设备的光纤、网线等物理线路没有与互联网及其他公共信息网络直接连接,有相应的安全隔离措施;
b)查验网络拓扑图,检查接入互联网情况,统计网络外联的出口个数,检查每个出口是否均有相应的安全防护措施(互联网接入口指内部网络与公共互联网边界处的接口,如联通、电信等提供的互联网接口,不包括内部网络与其他非公共网络连接的接口);
c)查验网络拓扑图,检查是否在网络边界部署了访问控制(如防火墙)、入侵检测、安全审计以及非法外联检测、病毒防护等必要的安全设备;
d)分析网络拓扑图,检查网络隔离设备部署、交换机VLAN划分情况,检查网络是否按重要程度划分了安全区域,并确认不同区域间采用了正确的隔离措施;
e)查验网络日志(重点是互联网访问日志)及其分析报告,检查日志分析周期、日志保存方式和保存时限等。
表9 网络边界安全防护检查结果记录表
网络边界安全防护①网络安全防护设备部署(可多选):
□防火墙□入侵检测设备□安全审计设备
□防病毒网关□抗拒绝服务攻击设备□Web应用防火墙□其它
②设备安全策略配置:□使用默认配置□根据需要配置
③网络访问日志:□留存日志□未留存日志
4.4.2 无线网络安全防护情况检查
4.4.2.1 要求
a)采取身份鉴别、地址过滤等措施对无线网络的接入进行管理,采用白名单管理机制,防止非授权接入造成的内网渗透事件发生;
b)修改无线路由设备的默认管理地址;
c)修改无线路由管理账户默认口令,设置复杂口令,防止暴力破解后台;
d)用户接入认证加密采用WPA2及更高级别算法,防止破解接入口令。
4.4.2.2 检查方式
现场核查。
4.4.2.3 检查方法
a)登录无线设备管理页面,查看加密方认证方式是否采用WPA2以上;
b)检查用户接入认证及管理端口登录口令,包括口令强度和更新频率,查看是否登录页面采用默认地址及默认口令;
c)登录无线网络设备管理端,检查安全防护策略配置情况,包括是否设置对接入设备采取身份鉴别认证措施和地址过滤措施;
表10 无线网络安全防护情况检查结果记录表
无线网络安全防护①本单位使用无线路由器数量:
②无线路由器用途:
□访问互联网:个
□访问业务/办公网络:个
③安全防护策略(可多选):
□采取身份鉴别措施□采取地址过滤措施
□未设置安全防护策略
④无线路由器使用默认管理地址情况:□存在□不存在
⑤无线路由器使用默认管理口令情况:□存在□不存在
4.4.3 电子邮件系统安全防护情况检查
4.4.3.1 要求
a)应加强电子邮件系统安全防护,采取反垃圾邮件等技术措施;
b)应规范电子邮箱的注册管理,原则上只限于本部门工作人员注册使用;
c)应严格管理邮箱账户及口令,采取技术和管理措施确保口令具有一定强度并定期更换。
4.4.3.2 检查方式
文档查验、现场核查。
4.4.3.3 检查方法
a)查验电子邮件系统采购合同或部署文档,检查电子邮件系统建设方式;
b)查验电子邮件系统管理相关规定文档,检查是否有注册审批流程要求;查验服务器上邮箱账户列表,同本单位人员名单进行核对,检查是否有非本单位人员使用;
c)查看邮箱口令策略配置界面,检查电子邮件系统是否设置了口令策略,是否对口令强度和更改周期等进行要求。
d)查验设备部署或配置情况,检查电子邮件系统是否采取了反垃圾邮件、病毒木马防护等技术安全防护措施;
表11 电子邮件系统安全防护检查结果记录表
电子邮件安全防护①建设方式:□自行建设
□由上级单位统一管理
□使用第三方服务邮件服务提供商
②帐户数量:个
③注册管理:□须经审批登记□任意注册
④注销管理:□人员离职后,及时注销□无管理措施
⑤口令管理:□使用技术措施控制口令强度
位数要求:□4位□6位□8位其他:
复杂度要求:□数字□字母□特殊字符
更换频次要求:□强制定期更换,更换频次:
□无强制更换要求
□没有采取技术措施控制口令强度
⑥安全防护:(可多选)
□采取数字证书
□采取反垃圾邮件措施
□其他:
4.4.4 终端计算机安全防护情况检查
4.4.4.1 要求
a)应采用集中统一管理方式对终端计算机进行管理,统一软件下发,统一安装系统补丁,统一实施病毒库升级和病毒查杀,统一进行漏洞扫描;
b)应规范软硬件使用,不得擅自更改软硬件配置,不得擅自安装软件;
c)应加强账户及口令管理,使用具有一定强度的口令并定期更换;
d)应对接入互联网的终端计算机采取控制措施,包括实名接入认证、IP地址与MAC地址绑定等;
e)应定期对终端计算机进行安全审计;
f)非涉密计算机不得存储和处理国家秘密信息。
4.4.4.2 检查方式
现场核查、工具检测。
4.4.4.3 检查方法
a)查看集中管理服务器,抽查终端计算机,检查是否部署了终端管理系统或采用了其他集中统一管理方式对终端计算机进行管理,包括统一软硬件安装、统一补丁升级、统一病毒防护、统一安全审计等;
b)查看终端计算机,检查是否安装有与工作无关的软件;
c)使用终端检查工具或采用人工方式,检查终端计算机是否配置了口令策略;
d)访谈网络管理员和工作人员,检查是否采取了实名接入认证、IP地址与MAC地址绑定等措施对接入本单位网络的终端计算机进行控制;将未经授权的终端计算机接入网络,测试是否能够访问互联网,验证控制措施的有效性;
e)查验审计记录,检查是否对终端计算机进行了安全审计。
表12终端计算机安全防护检查结果记录表
终端计算机安全防护①管理方式:
□集中统一管理(可多选)
□规范软硬件安装□统一补丁升级□统一病毒防护
□统一安全审计□对移动存储介质接入实施控制
□统一身份管理
□分散管理
②接入互联网安全控制措施:
□有控制措施(如实名接入、绑定计算机IP和MAC地址等)□无控制措施
③接入办公系统安全控制措施:
□有控制措施(如实名接入、绑定计算机IP和MAC地址等)□无控制措施
4.4.5 移动存储介质检查
4.4.
5.1 要求
a)应严格存储阵列、磁带库等大容量存储介质的管理,采取技术措施防范外联风险,确保存储数据安全;
b)应对移动存储介质进行集中统一管理,记录介质领用、交回、维修、报废、销毁等情况;
c)非涉密移动存储介质不得存储涉及国家秘密的信息,不得在涉密计算机上使用;
d)移动存储介质在接入本部门计算机和信息系统前,应当查杀病毒、木马等恶意代码;
e)应配备必要的电子信息消除和销毁设备,对变更用途的存储介质要消除信息,对废弃的存储介质要进行销毁。
4.4.
5.2 检查方式
文档查验、人员访谈、现场核查。
4.4.
5.3 检查方法
a)访谈网络管理员,检查大容量存储介质是否存在远程维护,对于有远程维护的,进一步检查是否有相应的安全风险控制措施;查看光纤、网线等物理线路连接情况,检查大容量存储介质是否在无防护措施情况下与互联网及其他公共信息网络直接连接;
b)查验相关记录,检查是否对移动存储介质进行统一管理,包括统一领用、交回、维修、报废、销毁等;
c)查看服务器和办公终端计算机上的杀毒软件,检查是否开启了移动存储介质接入自动查杀功能;
d)查看设备台账或实物,检查是否配备了电子信息消除和销毁设备。
表13 存储介质安全防护检查结果记录表
移动存储介质安全防护①管理方式:
□集中管理,统一登记、配发、收回、维修、报废、销毁
□未采取集中管理方式
②信息销毁:
□已配备信息消除和销毁设备□未配备信息消除和销毁设备
4.4.6 漏洞修复情况检查
4.4.6.1 要求
a)应定期对本单位主机、网络安全防护设备、信息系统进行漏洞检测,对于发现的安全漏洞及时进行修复处置;
b)重视自行监测发现与第三方漏洞通报机构告知的漏洞风险,及时处置。
4.4.6.2 检查方法
人员访谈、现场核查
4.4.6.3 检查要求
a)查看相关漏洞扫描记录,确定扫描时间和周期;
b)查验收到的漏洞风险通报,访谈网站安全管理人员是否对漏洞风险进行及时处置;
c)查验事件处置记录,检查网络安全事件报告和通报机制建立情况,是否对所有网络安全事件都进行了处置。
- 网络与信息安全检查实施方案
- 关于开展网络与信息安全隐患排查整改工作实施方案
- 关于开展网络与信息安全隐患排查整改工作实施方案
- 网络与信息安全检查实施计划方案
- 网络和信息安全大检查实施方案
- 网络信息安全保障方案
- 网络安全检查自查报告
- 网络安全保障方案
- 信息网络安全保护方案
- 网络与信息安全保障方案
- 通信网络安全检查工作方案
- 关于开展网络与信息安全专项检查工作实施方案
- 信息网络安全检查方案
- 关于开展网络与信息安全专项检查工作实施方案
- 网络与信息安全检查工作方案
- 网络安全及保密检查实施方案
- 加强网络和信息安全管理工作方案
- 网络与信息安全检查工作方案详细版
- 网络与信息安全检查工作方案
- 计算机信息网络安全检查项目表