國(guó)家網(wǎng)絡(luò)安全檢查操作指南

1、國(guó)家網(wǎng)絡(luò)安全檢查操作指南中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局2016年6月目錄TOC o 1-5 h z HYPERLINK l bookmark6 o Current Document 1概述11.1檢查目的1檢查工作流程1 HYPERLINK l bookmark8 o Current Document 2檢查工作部署32.1研究制定檢查方案32.2成立檢查辦公室3下達(dá)檢查通知3組織專項(xiàng)培訓(xùn)3 HYPERLINK l bookmark10 o Current Document 3關(guān)鍵信息基礎(chǔ)設(shè)施摸底4關(guān)鍵信息基礎(chǔ)設(shè)施定義及范圍4確定關(guān)鍵信息基礎(chǔ)設(shè)施步驟4關(guān)鍵信息基礎(chǔ)設(shè)施信息登記

2、6 HYPERLINK l bookmark12 o Current Document 4網(wǎng)絡(luò)安全檢查7網(wǎng)絡(luò)安全責(zé)任制落實(shí)情況檢查7網(wǎng)絡(luò)安全日常管理情況檢查84.3.1人員管理檢查84.3.2信息資產(chǎn)管理情況檢查8經(jīng)費(fèi)保障情況檢查94.3信息系統(tǒng)基本情況檢查104.1.1基本信息梳理10系統(tǒng)構(gòu)成情況梳理11 HYPERLINK l bookmark38 o Current Document 4.1.2.1主要硬件構(gòu)成11 HYPERLINK l bookmark40 o Current Document 4.1.2.2主要軟件構(gòu)成124.4網(wǎng)絡(luò)安全技術(shù)防護(hù)情況檢查134.4.1網(wǎng)絡(luò)邊界安全防護(hù)

3、情況檢查134.4.2無(wú)線網(wǎng)絡(luò)安全防護(hù)情況檢查144.4.3電子郵件系統(tǒng)安全防護(hù)情況檢查144.4.4終端計(jì)算機(jī)安全防護(hù)情況檢查15移動(dòng)存儲(chǔ)介質(zhì)檢查16漏洞修復(fù)情況檢查174.5網(wǎng)絡(luò)安全應(yīng)急工作情況檢查194.6網(wǎng)絡(luò)安全教育培訓(xùn)情況檢查204.7技術(shù)檢測(cè)及網(wǎng)絡(luò)安全事件情況214.7.1技術(shù)檢測(cè)情況21 HYPERLINK l bookmark90 o Current Document 滲透測(cè)試21惡意代碼及安全漏洞檢測(cè)21網(wǎng)絡(luò)安全事件情況234.8外包服務(wù)管理情況檢查24 HYPERLINK l bookmark98 o Current Document 5檢查總結(jié)整改26匯總檢查結(jié)果26分析

4、問(wèn)題隱患26研究整改措施26編寫總結(jié)報(bào)告26 HYPERLINK l bookmark100 o Current Document 6注意事項(xiàng)27認(rèn)真做好總結(jié)27加強(qiáng)風(fēng)險(xiǎn)控制27加強(qiáng)保密管理27附件網(wǎng)絡(luò)安全檢查總結(jié)報(bào)告參考格式28 國(guó)家網(wǎng)絡(luò)安全檢查操作指南為指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作，依據(jù)關(guān)于開展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查的通知（中網(wǎng)辦發(fā)201613號(hào)，以下簡(jiǎn)稱檢查通知），參照信息安全技術(shù)政府部門信息安全管理基本要求（GB/T29245-2012）等國(guó)家網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)規(guī)范，制定本指南。本指南主要用于各地區(qū)、各部門、各單位在開展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作（以下簡(jiǎn)稱“檢查工作”

5、）時(shí)參考。概述1.1檢查目的為貫徹落實(shí)習(xí)近平總書記關(guān)于“加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系”，“全面加強(qiáng)網(wǎng)絡(luò)安全檢查，摸清家底，認(rèn)清風(fēng)險(xiǎn)，找出漏洞，通報(bào)結(jié)果，督促整改”的重要指示精神，摸清關(guān)鍵信息基礎(chǔ)設(shè)施底數(shù)，掌握關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)和防護(hù)狀況，以查“促建、促管、促改、促防”，推動(dòng)建立關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全責(zé)任制和防范體系，保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全穩(wěn)定運(yùn)行。1.2檢查工作流程檢查工作流程通常包括檢查工作部署、關(guān)鍵信息基礎(chǔ)設(shè)施摸底、網(wǎng)絡(luò)安全檢查、檢查總結(jié)整改四個(gè)步驟。其中，網(wǎng)絡(luò)安全檢查包括信息系統(tǒng)基本情況檢查、網(wǎng)絡(luò)安全責(zé)任制落實(shí)情況檢查、網(wǎng)絡(luò)安全日常管理情況檢查、網(wǎng)絡(luò)安全防護(hù)情況檢查、網(wǎng)絡(luò)

6、安全應(yīng)急工作情況檢查、網(wǎng)絡(luò)安全教育培訓(xùn)情況檢查、技術(shù)檢測(cè)及網(wǎng)絡(luò)安全事件情況檢查、信息技術(shù)外包服務(wù)機(jī)構(gòu)情況檢查等八個(gè)環(huán)節(jié)，如下圖所示。圖1網(wǎng)絡(luò)安全檢查工作流程圖檢查工作部署檢查工作部署通常包括研究制定檢查方案、成立檢查辦公室、下達(dá)檢查通知等具體工作。研究制定檢查方案本單位網(wǎng)絡(luò)安全管理部門根據(jù)檢查通知統(tǒng)一安排，結(jié)合工作實(shí)際，制定檢查方案，并報(bào)本單位網(wǎng)絡(luò)安全主管領(lǐng)導(dǎo)批準(zhǔn)。檢查方案應(yīng)當(dāng)明確以下內(nèi)容：（1）檢查工作負(fù)責(zé)人、組織機(jī)構(gòu)和具體實(shí)施機(jī)構(gòu)；（2）檢查范圍和檢查重點(diǎn)；（3）檢查內(nèi)容；（4）檢查工作組織開展方式；（5）檢查工作時(shí)間進(jìn)度安排；（6）有關(guān)工作要求。關(guān)于檢查范圍。檢查的范圍通常包括本單位各內(nèi)

7、設(shè)機(jī)構(gòu)，以及為本單位信息系統(tǒng)（包括網(wǎng)站系統(tǒng)、平臺(tái)系統(tǒng)、生產(chǎn)業(yè)務(wù)系統(tǒng)等）提供運(yùn)行維護(hù)支撐服務(wù)的下屬單位。可根據(jù)本單位網(wǎng)絡(luò)安全保障工作需要，將其他為本單位信息系統(tǒng)提供運(yùn)維服務(wù)、對(duì)本單位信息系統(tǒng)安全可能產(chǎn)生重大影響的相關(guān)單位納入檢查范圍。關(guān)于檢查重點(diǎn)。在對(duì)各類信息系統(tǒng)進(jìn)行全面檢查的基礎(chǔ)上，應(yīng)突出重點(diǎn)，對(duì)事關(guān)國(guó)家安全和社會(huì)穩(wěn)定，對(duì)地區(qū)、部門或行業(yè)正常生產(chǎn)生活具有較大影響的關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行重點(diǎn)檢查。關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施確定，應(yīng)結(jié)合本單位實(shí)際，參考關(guān)于開展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查的通知中的關(guān)鍵信息基礎(chǔ)設(shè)施確定指南進(jìn)行確定。2.2成立檢查辦公室本單位網(wǎng)絡(luò)安全管理部門制定完成檢查方案后，應(yīng)及時(shí)成立檢查

8、辦公室，明確人員、經(jīng)費(fèi)和技術(shù)保障；組織開展培訓(xùn)，保證辦公室成員熟悉檢查方案，掌握檢查內(nèi)容、填報(bào)工具使用方法等。辦公室成員通常由網(wǎng)絡(luò)安全管理及運(yùn)維部門、信息化部門有關(guān)人員，相關(guān)業(yè)務(wù)部門中熟悉業(yè)務(wù)、具備網(wǎng)絡(luò)安全知識(shí)的人員，以及本單位相關(guān)技術(shù)支撐機(jī)構(gòu)的業(yè)務(wù)骨干等組成。對(duì)于網(wǎng)絡(luò)與信息系統(tǒng)復(fù)雜、檢查工作涉及部門多的單位，可根據(jù)需要成立檢查工作領(lǐng)導(dǎo)小組，負(fù)責(zé)檢查工作的組織協(xié)調(diào)與資源配置。領(lǐng)導(dǎo)小組組長(zhǎng)可由本單位主要負(fù)責(zé)同志擔(dān)任，領(lǐng)導(dǎo)小組成員可包括網(wǎng)絡(luò)安全管理機(jī)構(gòu)負(fù)責(zé)人（如辦公廳主任）、信息化部門負(fù)責(zé)人（如信息中心主任），以及其他相關(guān)部門負(fù)責(zé)人（如人事部門、財(cái)務(wù)部門、業(yè)務(wù)部門領(lǐng)導(dǎo)）等。2.3下達(dá)檢查通知本單位

9、網(wǎng)絡(luò)安全管理部門應(yīng)以書面形式部署關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作，明確檢查時(shí)間、檢查范圍、檢查內(nèi)容、工作要求等具體事項(xiàng)。2.4組織專項(xiàng)培訓(xùn)本單位要組織專項(xiàng)培訓(xùn)，對(duì)本單位負(fù)責(zé)檢查工作的干部、專家、技術(shù)人員、有關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)維人員等進(jìn)行廣泛培訓(xùn)，確保檢查工作質(zhì)量，培訓(xùn)內(nèi)容應(yīng)包括檢查目的意義、流程方法、關(guān)鍵信息基礎(chǔ)設(shè)施確定方法及登記表填報(bào)說(shuō)明、網(wǎng)絡(luò)安全檢查方法等。關(guān)鍵信息基礎(chǔ)設(shè)施摸底關(guān)鍵信息基礎(chǔ)設(shè)施定義及范圍關(guān)鍵信息基礎(chǔ)設(shè)施是指面向公眾提供網(wǎng)絡(luò)信息服務(wù)或支撐能源、通信、金融、交通、公用事業(yè)等重要行業(yè)運(yùn)行的信息系統(tǒng)或工業(yè)控制系統(tǒng)，且這些系統(tǒng)一旦發(fā)生網(wǎng)絡(luò)安全事故，會(huì)影響重要行業(yè)正常運(yùn)行，對(duì)國(guó)家政治

10、、經(jīng)濟(jì)、科技、社會(huì)、文化、國(guó)防、環(huán)境以及人民生命財(cái)產(chǎn)造成嚴(yán)重?fù)p失。關(guān)鍵信息基礎(chǔ)設(shè)施包括網(wǎng)站類，如黨政機(jī)關(guān)網(wǎng)站、企事業(yè)單位網(wǎng)站、新聞網(wǎng)站等；平臺(tái)類，如即時(shí)通信、網(wǎng)上購(gòu)物、網(wǎng)上支付、搜索引擎、電子郵件、論壇、地圖、音視頻等網(wǎng)絡(luò)服務(wù)平臺(tái)；生產(chǎn)業(yè)務(wù)類，如辦公和業(yè)務(wù)系統(tǒng)、工業(yè)控制系統(tǒng)、大型數(shù)據(jù)中心、云計(jì)算平臺(tái)、電視轉(zhuǎn)播系統(tǒng)等。確定關(guān)鍵信息基礎(chǔ)設(shè)施步驟關(guān)鍵信息基礎(chǔ)設(shè)施的確定，通常包括三個(gè)步驟，一是確定關(guān)鍵業(yè)務(wù)，二是確定支撐關(guān)鍵業(yè)務(wù)的信息系統(tǒng)或工業(yè)控制系統(tǒng)，三是根據(jù)關(guān)鍵業(yè)務(wù)對(duì)信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度，以及信息系統(tǒng)發(fā)生網(wǎng)絡(luò)安全事件后可能造成的損失認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施。（一）確定本地區(qū)、本部門、本行業(yè)的

11、關(guān)鍵業(yè)務(wù)?？蓞⒖急?，結(jié)合本地區(qū)、本部門、本行業(yè)實(shí)際梳理關(guān)鍵業(yè)務(wù)。表1關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)判定表行業(yè)關(guān)鍵業(yè)務(wù)能源電力電力生產(chǎn)（含火電、水電、核電等）電力傳輸電力配送石油石化油氣開采煉化加工油氣輸送油氣儲(chǔ)存煤炭煤炭開采煤化工金融銀行運(yùn)營(yíng)證券期貨交易清算支付保險(xiǎn)運(yùn)營(yíng)交通鐵路客運(yùn)服務(wù)貨運(yùn)服務(wù)運(yùn)輸生產(chǎn)車站運(yùn)行民航空運(yùn)交通管控機(jī)場(chǎng)運(yùn)行訂票、離港及飛行調(diào)度檢查安排航空公司運(yùn)營(yíng)公路公路交通管控智能交通系統(tǒng)（一卡通、ETC收費(fèi)等）水運(yùn)水運(yùn)公司運(yùn)營(yíng)（含客運(yùn)、貨運(yùn)）港口管理運(yùn)營(yíng)航運(yùn)交通管控水利水利樞紐運(yùn)行及管控長(zhǎng)距離輸水管控城市水源地管控醫(yī)療衛(wèi)生醫(yī)院等衛(wèi)生機(jī)構(gòu)運(yùn)行疾病控制急救中心運(yùn)行環(huán)境保護(hù)環(huán)境監(jiān)測(cè)及預(yù)警（水、空

12、氣、土壤、核輻射等）工業(yè)制造（原材料、裝備、消費(fèi)品、電子制造）企業(yè)運(yùn)營(yíng)管理智能制造系統(tǒng)（工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、智能裝備等）?；飞a(chǎn)加工和存儲(chǔ)管控（化學(xué)、核等）高風(fēng)險(xiǎn)工業(yè)設(shè)施運(yùn)行管控市政水、暖、氣供應(yīng)管理城市軌道交通污水處理智慧城市運(yùn)行及管控電信與互聯(lián)網(wǎng)語(yǔ)音、數(shù)據(jù)、互聯(lián)網(wǎng)基礎(chǔ)網(wǎng)絡(luò)及樞紐域名解析服務(wù)和國(guó)家頂級(jí)域注冊(cè)管理數(shù)據(jù)中心/云服務(wù)廣播電視電視播出管控廣播播出管控政府部門信息公開面向公眾服務(wù)辦公業(yè)務(wù)系統(tǒng)（二）確定關(guān)鍵業(yè)務(wù)相關(guān)的信息系統(tǒng)或工業(yè)控制系統(tǒng)。根據(jù)關(guān)鍵業(yè)務(wù)，逐一梳理出支撐關(guān)鍵業(yè)務(wù)運(yùn)行或與關(guān)鍵業(yè)務(wù)相關(guān)的信息系統(tǒng)或工業(yè)控制系統(tǒng)，形成候選關(guān)鍵信息基礎(chǔ)設(shè)施清單。如電力行業(yè)火電企業(yè)的發(fā)電機(jī)組控制系統(tǒng)

13、、管理信息系統(tǒng)等；市政供水相關(guān)的水廠生產(chǎn)控制系統(tǒng)、供水管網(wǎng)監(jiān)控系統(tǒng)等。（三）認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施。對(duì)候選關(guān)鍵信息基礎(chǔ)設(shè)施清單中的信息系統(tǒng)或工業(yè)控制系統(tǒng)，根據(jù)本地區(qū)、本部門、本行業(yè)實(shí)際，參照以下標(biāo)準(zhǔn)認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施。網(wǎng)站類符合以下條件之一的，可認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施：縣級(jí)（含）以上黨政機(jī)關(guān)網(wǎng)站。（2016年檢查中，所有黨政機(jī)關(guān)網(wǎng)站均應(yīng)填寫上報(bào)登記表）重點(diǎn)新聞網(wǎng)站。（2016年檢查中，所有新聞網(wǎng)站均應(yīng)填寫上報(bào)登記表）日均訪問(wèn)量超過(guò)100萬(wàn)人次的網(wǎng)站。一旦發(fā)生網(wǎng)絡(luò)安全事故，可能造成以下影響之一的：（1）影響超過(guò)100萬(wàn)人工作、生活；（2）影響單個(gè)地市級(jí)行政區(qū)30%以上人口的工作、生活；（3）造成

14、超過(guò)100萬(wàn)人個(gè)人信息泄露；（4）造成大量機(jī)構(gòu)、企業(yè)敏感信息泄露；（5）造成大量地理、人口、資源等國(guó)家基礎(chǔ)數(shù)據(jù)泄露；（6）嚴(yán)重?fù)p害政府形象、社會(huì)秩序，或危害國(guó)家安全。其他應(yīng)該認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施。平臺(tái)類符合以下條件之一的，可認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施：注冊(cè)用戶數(shù)超過(guò)1000萬(wàn)，或活躍用戶（每日至少登陸一次）數(shù)超過(guò)100萬(wàn)。日均成交訂單額或交易額超過(guò)1000萬(wàn)元。一旦發(fā)生網(wǎng)絡(luò)安全事故，可能造成以下影響之一的：（1）造成1000萬(wàn)元以上的直接經(jīng)濟(jì)損失；（2）直接影響超過(guò)1000萬(wàn)人工作、生活；（3）造成超過(guò)100萬(wàn)人個(gè)人信息泄露；（4）造成大量機(jī)構(gòu)、企業(yè)敏感信息泄露；（5）造成大量地理、人口、資源等

15、國(guó)家基礎(chǔ)數(shù)據(jù)泄露；（6）嚴(yán)重?fù)p害社會(huì)和經(jīng)濟(jì)秩序，或危害國(guó)家安全。其他應(yīng)該認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施。生產(chǎn)業(yè)務(wù)類符合以下條件之一的，可認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施：地市級(jí)以上政府機(jī)關(guān)面向公眾服務(wù)的業(yè)務(wù)系統(tǒng)，或與醫(yī)療、安防、消防、應(yīng)急指揮、生產(chǎn)調(diào)度、交通指揮等相關(guān)的城市管理系統(tǒng)。規(guī)模超過(guò)1500個(gè)標(biāo)準(zhǔn)機(jī)架的數(shù)據(jù)中心。一旦發(fā)生安全事故，可能造成以下影響之一的：（1）影響單個(gè)地市級(jí)行政區(qū)30%以上人口的工作、生活；（2）影響10萬(wàn)人用水、用電、用氣、用油、取暖或交通出行等；（3）導(dǎo)致5人以上死亡或50人以上重傷；（4）直接造成5000萬(wàn)元以上經(jīng)濟(jì)損失；（5）造成超過(guò)100萬(wàn)人個(gè)人信息泄露；（6）造成大量機(jī)構(gòu)、企

16、業(yè)敏感信息泄露；（7）造成大量地理、人口、資源等國(guó)家基礎(chǔ)數(shù)據(jù)泄露；（8）嚴(yán)重?fù)p害社會(huì)和經(jīng)濟(jì)秩序，或危害國(guó)家安全。其他應(yīng)該認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施。關(guān)鍵信息基礎(chǔ)設(shè)施信息登記各單位梳理確定本單位所主管的關(guān)鍵信息基礎(chǔ)設(shè)施，并通過(guò)填報(bào)工具填寫登記表。主要包括：a）設(shè)施主管單位信息；b）設(shè)施主要負(fù)責(zé)人、網(wǎng)絡(luò)安全管理部門負(fù)責(zé)人、運(yùn)維單位負(fù)責(zé)人聯(lián)系方式；c）設(shè)施提供服務(wù)的基本類型、功能描述、網(wǎng)頁(yè)入口信息、發(fā)生網(wǎng)絡(luò)安全事故后影響分析、投入情況、信息技術(shù)產(chǎn)品國(guó)產(chǎn)化率；e）數(shù)據(jù)存儲(chǔ)情況；f）運(yùn)行環(huán)境情況；g）運(yùn)行維護(hù)情況；h）網(wǎng)絡(luò)安全狀況；i）商用密碼使用情況。填報(bào)工具的使用，詳見國(guó)家網(wǎng)絡(luò)安全檢查信息共享平臺(tái)及關(guān)鍵

17、信息基礎(chǔ)設(shè)施填報(bào)工具使用手冊(cè)網(wǎng)絡(luò)安全檢查網(wǎng)絡(luò)安全責(zé)任制落實(shí)情況檢查網(wǎng)絡(luò)安全責(zé)任制落實(shí)情況檢查通常包括網(wǎng)絡(luò)安全管理工作單位領(lǐng)導(dǎo)、網(wǎng)絡(luò)安全管理工作內(nèi)設(shè)機(jī)構(gòu)、網(wǎng)絡(luò)安全責(zé)任制度建設(shè)和落實(shí)情況的檢查。4.2.1要求a）應(yīng)明確一名主管領(lǐng)導(dǎo)，負(fù)責(zé)本單位網(wǎng)絡(luò)安全管理工作，根據(jù)國(guó)家法律法規(guī)有關(guān)要求，結(jié)合實(shí)際組織制定網(wǎng)絡(luò)安全管理制度，完善技術(shù)防護(hù)措施，協(xié)調(diào)處理重大網(wǎng)絡(luò)安全事件；b）應(yīng)指定一個(gè)機(jī)構(gòu)，具體承擔(dān)網(wǎng)絡(luò)安全管理工作，負(fù)責(zé)組織落實(shí)網(wǎng)絡(luò)安全管理制度和網(wǎng)絡(luò)安全技術(shù)防護(hù)措施，開展網(wǎng)絡(luò)安全教育培訓(xùn)和監(jiān)督檢查等；c）應(yīng)建立健全崗位網(wǎng)絡(luò)安全責(zé)任制度，明確崗位及人員的網(wǎng)絡(luò)安全責(zé)任。4.2.2檢查方式文檔查驗(yàn)、人員訪談。4.

18、2.3檢查方法a）查驗(yàn)領(lǐng)導(dǎo)分工等文件，檢查是否明確了網(wǎng)絡(luò)安全主管領(lǐng)導(dǎo)；查驗(yàn)網(wǎng)絡(luò)安全相關(guān)工作批示、會(huì)議記錄等，了解主管領(lǐng)導(dǎo)履職情況；b）查驗(yàn)本單位各內(nèi)設(shè)機(jī)構(gòu)職責(zé)分工等文件，檢查是否指定了網(wǎng)絡(luò)安全管理機(jī)構(gòu)（如工業(yè)和信息化部指定辦公廳為網(wǎng)絡(luò)安全管理機(jī)構(gòu)）；c）查驗(yàn)工作計(jì)劃、工作方案、規(guī)章制度、監(jiān)督檢查記錄、教育培訓(xùn)記錄等文檔，了解管理機(jī)構(gòu)履職情況；d）查驗(yàn)崗位網(wǎng)絡(luò)安全責(zé)任制度文件，檢查系統(tǒng)管理員、網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全員、一般工作人員等不同崗位的網(wǎng)絡(luò)安全責(zé)任是否明確；e）訪談關(guān)鍵崗位網(wǎng)絡(luò)安全員，檢查其網(wǎng)絡(luò)安全意識(shí)和網(wǎng)絡(luò)安全知識(shí)、技能掌握情況；f）查驗(yàn)工作計(jì)劃、工作報(bào)告等相關(guān)文檔，檢查網(wǎng)絡(luò)安全員日常工作

19、開展情況。表2網(wǎng)絡(luò)安全責(zé)任制落實(shí)情況檢查表負(fù)責(zé)網(wǎng)絡(luò)安全管理工作的單位領(lǐng)導(dǎo)負(fù)責(zé)網(wǎng)絡(luò)安全管理工作的領(lǐng)導(dǎo)：已明確未明確姓名：職務(wù)：是否本單位主要負(fù)責(zé)同志：是否負(fù)責(zé)網(wǎng)絡(luò)安全管理的內(nèi)設(shè)機(jī)構(gòu)：已明確未明確負(fù)責(zé)網(wǎng)絡(luò)安機(jī)構(gòu)名稱：全管理的內(nèi)負(fù)責(zé)人：職務(wù)：設(shè)機(jī)構(gòu)聯(lián)系人：辦公電話：移動(dòng)電話：網(wǎng)絡(luò)安全責(zé)任制度建設(shè)和落實(shí)情況網(wǎng)絡(luò)安全責(zé)任制度：已建立未建立網(wǎng)絡(luò)安全檢查責(zé)任：已明確未明確本年度網(wǎng)絡(luò)安全檢查專項(xiàng)經(jīng)費(fèi)：已落實(shí)，萬(wàn)無(wú)專項(xiàng)經(jīng)費(fèi)網(wǎng)絡(luò)安全日常管理情況檢查4.3.1人員管理檢查要求a）應(yīng)與重點(diǎn)崗位的計(jì)算機(jī)使用和管理人員簽訂網(wǎng)絡(luò)安全與保密協(xié)議，明確網(wǎng)絡(luò)安全與保密要求和責(zé)任；b）應(yīng)制定并嚴(yán)格執(zhí)行人員離崗離職網(wǎng)絡(luò)安全管理規(guī)定，

20、人員離崗離職時(shí)應(yīng)終止信息系統(tǒng)訪問(wèn)權(quán)限，收回各種軟硬件設(shè)備及身份證件、門禁卡等，并簽署安全保密承諾書；c）應(yīng)建立外部人員訪問(wèn)機(jī)房等重要區(qū)域?qū)徟贫龋獠咳藛T須經(jīng)審批后方可進(jìn)入，并安排本單位工作人員現(xiàn)場(chǎng)陪同，對(duì)訪問(wèn)活動(dòng)進(jìn)行記錄并留存；d）應(yīng)對(duì)網(wǎng)絡(luò)安全責(zé)任事故進(jìn)行查處，對(duì)違反網(wǎng)絡(luò)安全管理規(guī)定的人員給予嚴(yán)肅處理，對(duì)造成網(wǎng)絡(luò)安全事故的依法追究當(dāng)事人和有關(guān)負(fù)責(zé)人的責(zé)任，并以適當(dāng)方式通報(bào)。4.3.1.2檢查方式文檔查驗(yàn)、人員訪談。4.3.1.3檢查方法a）查驗(yàn)崗位網(wǎng)絡(luò)安全責(zé)任制度文件，檢查系統(tǒng)管理員、網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全員、一般工作人員等不同崗位的網(wǎng)絡(luò)安全責(zé)任是否明確；檢查重點(diǎn)崗位人員網(wǎng)絡(luò)安全與保密協(xié)議簽訂

21、情況；訪談部分重點(diǎn)崗位人員，抽查對(duì)網(wǎng)絡(luò)安全責(zé)任的了解程度；b）查驗(yàn)人員離崗離職管理制度文件，檢查是否有終止系統(tǒng)訪問(wèn)權(quán)限、收回軟硬件設(shè)備、收回身份證件和門禁卡等要求；檢查離崗離職人員安全保密承諾書簽署情況；查驗(yàn)信息系統(tǒng)賬戶，檢查離崗離職人員賬戶訪問(wèn)權(quán)限是否已被終止；c）查驗(yàn)外部人員訪問(wèn)機(jī)房等重要區(qū)域的審批制度文件，檢查是否有訪問(wèn)審批、人員陪同等要求；查驗(yàn)訪問(wèn)審批記錄、訪問(wèn)活動(dòng)記錄，檢查記錄是否清晰、完整；d）查驗(yàn)安全事件記錄及安全事件責(zé)任查處等文檔，檢查是否發(fā)生過(guò)因違反制度規(guī)定造成的網(wǎng)絡(luò)安全事件、是否對(duì)網(wǎng)絡(luò)安全事件責(zé)任人進(jìn)行了處置。表3人員管理檢查結(jié)果記錄表人員管理重點(diǎn)崗位人員安全保密協(xié)議：全部

22、簽訂部分簽訂均未簽訂人員離崗離職安全管理規(guī)定：已制定未制定外部人員訪問(wèn)機(jī)房等重要區(qū)域?qū)徟贫龋阂呀⑽唇?.3.2信息資產(chǎn)管理情況檢查要求a）應(yīng)建立并嚴(yán)格執(zhí)行信息資產(chǎn)管理制度；b）應(yīng)指定專人負(fù)責(zé)信息資產(chǎn)管理；c）應(yīng)建立信息資產(chǎn)臺(tái)賬（清單），統(tǒng)一編號(hào)、統(tǒng)一標(biāo)識(shí)、統(tǒng)一發(fā)放;d）應(yīng)及時(shí)記錄信息資產(chǎn)狀態(tài)和使用情況，保證賬物相符；e）應(yīng)建立并嚴(yán)格執(zhí)行設(shè)備維修維護(hù)和報(bào)廢管理制度。4.3.2.2檢查方式文檔查驗(yàn)、人員訪談。4.3.2.3檢查方法a）查驗(yàn)信息資產(chǎn)管理制度文檔，檢查信息資產(chǎn)管理制度是否建立；b）查驗(yàn)設(shè)備管理員任命及崗位分工等文件，檢查是否明確專人負(fù)責(zé)信息資產(chǎn)管理；訪談設(shè)備管理員，檢查其對(duì)信息資

23、產(chǎn)管理制度和日常工作任務(wù)的了解程度；c）查驗(yàn)信息資產(chǎn)臺(tái)賬，檢查臺(tái)賬是否完整（包括設(shè)備編號(hào)、設(shè)備狀態(tài)、責(zé)任人等信息）；查驗(yàn)領(lǐng)用記錄，檢查是否做到統(tǒng)一編號(hào)、統(tǒng)一標(biāo)識(shí)、統(tǒng)一發(fā)放；d）隨機(jī)抽取臺(tái)賬中的部分設(shè)備登記信息，查驗(yàn)是否有對(duì)應(yīng)的實(shí)物；隨機(jī)抽取一定數(shù)量的實(shí)物，查驗(yàn)其是否納入信息資產(chǎn)臺(tái)賬，同臺(tái)賬是否相符；e）查驗(yàn)相關(guān)制度文檔和記錄，檢查設(shè)備維修維護(hù)和報(bào)廢管理制度建立及落實(shí)情況。表4信息資產(chǎn)管理檢查記錄表信息資產(chǎn)管理信息資產(chǎn)管理制度：已建立未建立設(shè)備維修維護(hù)和報(bào)廢管理：已建立管理制度，且記錄完整已建立管理制度，但記錄不完整未建立管理制度4.3.3經(jīng)費(fèi)保障情況檢查要求a）應(yīng)將網(wǎng)絡(luò)安全設(shè)施運(yùn)行維護(hù)、網(wǎng)絡(luò)安

24、全服務(wù)采購(gòu)、日常網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全教育培訓(xùn)、網(wǎng)絡(luò)安全檢查、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)安全應(yīng)急處置等費(fèi)用納入部門年度預(yù)算；b）應(yīng)嚴(yán)格落實(shí)網(wǎng)絡(luò)安全經(jīng)費(fèi)預(yù)算，保證網(wǎng)絡(luò)安全經(jīng)費(fèi)投入。4.3.3.2檢查方式文檔查驗(yàn)。4.3.3.3檢查方法a）會(huì)同本單位財(cái)物部門人員，查驗(yàn)上一年度和本年度預(yù)算文件，檢查年度預(yù)算中是否有網(wǎng)絡(luò)安全相關(guān)費(fèi)用；b）查驗(yàn)相關(guān)財(cái)務(wù)文檔和經(jīng)費(fèi)使用賬目，檢查上一年度網(wǎng)絡(luò)安全經(jīng)費(fèi)實(shí)際投入情況、網(wǎng)絡(luò)安全經(jīng)費(fèi)是否?？顚Ｓ?。表5經(jīng)費(fèi)保障檢查結(jié)果記錄表經(jīng)費(fèi)保障上一年度信息化總投入：萬(wàn)元，網(wǎng)絡(luò)安全實(shí)際投入：萬(wàn)元，其中采購(gòu)網(wǎng)絡(luò)安全服務(wù)比例：本年度信息化總預(yù)算（含網(wǎng)絡(luò)安全預(yù)算）：萬(wàn)元，網(wǎng)絡(luò)安全預(yù)算:萬(wàn)元，

25、其中采購(gòu)網(wǎng)絡(luò)安全服務(wù)比例：信息系統(tǒng)基本情況檢查對(duì)本單位主管信息系統(tǒng)進(jìn)行全面檢查，及時(shí)掌握本單位信息系統(tǒng)基本情況，特別是變更情況，以便針對(duì)性地開展網(wǎng)絡(luò)安全管理和防護(hù)工作。4.1.1基本信息梳理查驗(yàn)信息系統(tǒng)規(guī)劃設(shè)計(jì)方案、安全防護(hù)規(guī)劃設(shè)計(jì)方案、網(wǎng)絡(luò)拓?fù)鋱D等相關(guān)文檔，訪談信息系統(tǒng)管理人員與工作人員，了解掌握系統(tǒng)基本信息并記錄結(jié)果（表6），包括：a）主要功能、部署位置、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、服務(wù)對(duì)象、用戶規(guī)模、業(yè)務(wù)周期、運(yùn)行高峰期等；b）業(yè)務(wù)主管部門、運(yùn)維機(jī)構(gòu)、系統(tǒng)開發(fā)商和集成商、上線運(yùn)行及系統(tǒng)升級(jí)日期等；c）定級(jí)情況、數(shù)據(jù)集中情況、災(zāi)備情況等。表6系統(tǒng)基本信息梳理記錄表（每個(gè)系統(tǒng)一張表）編號(hào)系統(tǒng)名稱主要功能部

26、署位置網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)服務(wù)對(duì)象用戶規(guī)模業(yè)務(wù)周期業(yè)務(wù)主管部門運(yùn)維機(jī)構(gòu)系統(tǒng)開發(fā)商系統(tǒng)集成商上線運(yùn)行及最近一次系統(tǒng)升級(jí)時(shí)間定級(jí)情況數(shù)據(jù)集中情況災(zāi)備情況4.1.2系統(tǒng)構(gòu)成情況梳理4.1.2.1主要硬件構(gòu)成重點(diǎn)梳理主要硬件設(shè)備類型、數(shù)量、生產(chǎn)商（品牌）情況，記錄結(jié)果（表7）。硬件設(shè)備類型主要有：服務(wù)器、終端計(jì)算機(jī)、路由器、交換機(jī)、存儲(chǔ)設(shè)備、防火墻終端計(jì)算機(jī)、磁盤陣列、磁帶庫(kù)及其他主要安全設(shè)備。表7信息系統(tǒng)主要硬件構(gòu)成梳理記錄表檢杳項(xiàng)檢杳結(jié)果服務(wù)器品牌聯(lián)想曙光浪潮華為IBMHPDELLOracle數(shù)量其他：品牌，數(shù)量品牌，數(shù)量使用國(guó)產(chǎn)CPU的臺(tái)數(shù)：使用國(guó)產(chǎn)操作系統(tǒng)的臺(tái)數(shù)：終端計(jì)算機(jī)（含筆記本）品牌聯(lián)想長(zhǎng)城方正

27、清華同方華碩宏基數(shù)量其他：品牌，舟品牌，舟使用國(guó)產(chǎn)CPU的臺(tái)?使用國(guó)產(chǎn)操作系統(tǒng)的使用Windowsxp/7/f安裝國(guó)產(chǎn)字處理軟件安裝國(guó)產(chǎn)防病毒軟件飯量攵量數(shù)勺臺(tái)數(shù)：的臺(tái)數(shù)：F的臺(tái)數(shù)：F的臺(tái)數(shù)：路由器品牌華為中興銳捷網(wǎng)絡(luò)H3CCiscoJuniper數(shù)量其他：品牌，數(shù)量品牌，數(shù)量交換機(jī)品牌華為中興銳捷網(wǎng)絡(luò)H3CCiscoJuniper數(shù)量其他：品牌，數(shù)量品牌，數(shù)量存儲(chǔ)設(shè)備總臺(tái)數(shù)：品牌，數(shù)量品牌，數(shù)量防火墻品牌，數(shù)量品牌，數(shù)量（如有更多，可另列表）負(fù)載均衡設(shè)備品牌，數(shù)量品牌，數(shù)量（如有更多，可另列表）入侵檢測(cè)設(shè)備（入侵防御）品牌，數(shù)量品牌，數(shù)量（如有更多，可另列表）安全審計(jì)設(shè)備品牌，數(shù)量品牌，數(shù)量

28、（如有更多，可另列表）其他設(shè)備類型：，品牌，數(shù)量設(shè)備類型：，品牌，數(shù)量（如有更多，可另列表）4.1.2.2主要軟件構(gòu)成重點(diǎn)梳理主要軟件類型、套數(shù)、生產(chǎn)商（品牌）情況，記錄結(jié)果（表8）。軟件類型主要有：操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、公文處理軟件、郵件系統(tǒng)及主要業(yè)務(wù)應(yīng)用系統(tǒng)。表8信息系統(tǒng)主要軟件構(gòu)成梳理記錄表檢杳項(xiàng)檢杳結(jié)果操作系統(tǒng)品牌紅旗麒麟WindowsRedHatHP-UnixAIXSolaris數(shù)量其他：品牌，數(shù)量品牌，數(shù)量（如有更多，可另列表）數(shù)據(jù)庫(kù)管理系統(tǒng)品牌金倉(cāng)達(dá)夢(mèng)OracleDB2SQLServerAccessMysql數(shù)量其他：品牌，數(shù)量品牌，數(shù)量公文處理軟件品牌數(shù)量郵件系統(tǒng)總數(shù)：品牌

29、，數(shù)量品牌，數(shù)量其他設(shè)備類型：，品牌，數(shù)量設(shè)備類型：，品牌，數(shù)量（如有更多，可另列表）網(wǎng)絡(luò)安全技術(shù)防護(hù)情況檢查4.4.1網(wǎng)絡(luò)邊界安全防護(hù)情況檢查要求a）非涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)應(yīng)實(shí)行邏輯隔離，涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)應(yīng)實(shí)行物理隔離；b）建立互聯(lián)網(wǎng)接入審批和登記制度，嚴(yán)格控制互聯(lián)網(wǎng)接入口數(shù)量，加強(qiáng)互聯(lián)網(wǎng)接入口安全管理和安全防護(hù)；c）應(yīng)采取訪問(wèn)控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范等措施，進(jìn)行網(wǎng)絡(luò)邊界防護(hù)；d）應(yīng)根據(jù)承載業(yè)務(wù)的重要性對(duì)網(wǎng)絡(luò)進(jìn)行分區(qū)分域管理，采取必要的技術(shù)措施對(duì)不同網(wǎng)絡(luò)分區(qū)進(jìn)行防護(hù)、對(duì)不同安全域之間實(shí)施訪問(wèn)控制；e）應(yīng)對(duì)網(wǎng)絡(luò)日志進(jìn)行管理，

30、定期分析，及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)。4.4.1.2檢查方式文檔查驗(yàn)、現(xiàn)場(chǎng)核查。4.4.1.3檢查方法a）查驗(yàn)網(wǎng)絡(luò)拓?fù)鋱D，檢查重要設(shè)備連接情況，現(xiàn)場(chǎng)核查內(nèi)部辦公系統(tǒng)等非涉密系統(tǒng)的交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，確認(rèn)以上設(shè)備的光纖、網(wǎng)線等物理線路沒有與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)直接連接，有相應(yīng)的安全隔離措施；b）查驗(yàn)網(wǎng)絡(luò)拓?fù)鋱D，檢查接入互聯(lián)網(wǎng)情況，統(tǒng)計(jì)網(wǎng)絡(luò)外聯(lián)的出口個(gè)數(shù)，檢查每個(gè)出口是否均有相應(yīng)的安全防護(hù)措施（互聯(lián)網(wǎng)接入口指內(nèi)部網(wǎng)絡(luò)與公共互聯(lián)網(wǎng)邊界處的接口，如聯(lián)通、電信等提供的互聯(lián)網(wǎng)接口，不包括內(nèi)部網(wǎng)絡(luò)與其他非公共網(wǎng)絡(luò)連接的接口）；c）查驗(yàn)網(wǎng)絡(luò)拓?fù)鋱D，檢查是否在網(wǎng)絡(luò)邊界部署了訪問(wèn)控制（如防火墻）、入侵檢測(cè)、安全審

31、計(jì)以及非法外聯(lián)檢測(cè)、病毒防護(hù)等必要的安全設(shè)備；d）分析網(wǎng)絡(luò)拓?fù)鋱D，檢查網(wǎng)絡(luò)隔離設(shè)備部署、交換機(jī)VLAN劃分情況，檢查網(wǎng)絡(luò)是否按重要程度劃分了安全區(qū)域，并確認(rèn)不同區(qū)域間采用了正確的隔離措施；e）查驗(yàn)網(wǎng)絡(luò)日志（重點(diǎn)是互聯(lián)網(wǎng)訪問(wèn)日志）及其分析報(bào)告，檢查日志分析周期、日志保存方式和保存時(shí)限等。表9網(wǎng)絡(luò)邊界安全防護(hù)檢查結(jié)果記錄表網(wǎng)絡(luò)邊界安全防護(hù)網(wǎng)絡(luò)安全防護(hù)設(shè)備部署（可多選）：防火墻入侵檢測(cè)設(shè)備安全審計(jì)設(shè)備防病毒網(wǎng)關(guān)抗拒絕服務(wù)攻擊設(shè)備DWeb應(yīng)用防火墻其它設(shè)備安全策略配置：使用默認(rèn)配置根據(jù)需要配置網(wǎng)絡(luò)訪問(wèn)日志：留存日志未留存日志無(wú)線網(wǎng)絡(luò)安全防護(hù)情況檢查要求a）采取身份鑒別、地址過(guò)濾等措施對(duì)無(wú)線網(wǎng)絡(luò)的接入進(jìn)

32、行管理，采用白名單管理機(jī)制，防止非授權(quán)接入造成的內(nèi)網(wǎng)滲透事件發(fā)生；b）修改無(wú)線路由設(shè)備的默認(rèn)管理地址；c）修改無(wú)線路由管理賬戶默認(rèn)口令，設(shè)置復(fù)雜口令，防止暴力破解后臺(tái)；d）用戶接入認(rèn)證加密采用WPA2及更高級(jí)別算法，防止破解接入口令。4.4.2.2檢查方式現(xiàn)場(chǎng)核查。4.4.2.3檢查方法a）登錄無(wú)線設(shè)備管理頁(yè)面，查看加密方認(rèn)證方式是否采用WPA2以上；b）檢查用戶接入認(rèn)證及管理端口登錄口令，包括口令強(qiáng)度和更新頻率，查看是否登錄頁(yè)面采用默認(rèn)地址及默認(rèn)口令；c）登錄無(wú)線網(wǎng)絡(luò)設(shè)備管理端，檢查安全防護(hù)策略配置情況，包括是否設(shè)置對(duì)接入設(shè)備采取身份鑒別認(rèn)證措施和地址過(guò)濾措施；表10無(wú)線網(wǎng)絡(luò)安全防護(hù)情況檢查

33、結(jié)果記錄表無(wú)線網(wǎng)絡(luò)安全防護(hù)本單位使用無(wú)線路由器數(shù)量：無(wú)線路由器用途：訪問(wèn)互聯(lián)網(wǎng)：個(gè)訪問(wèn)業(yè)務(wù)/辦公網(wǎng)絡(luò)：個(gè)安全防護(hù)策略（可多選）：采取身份鑒別措施采取地址過(guò)濾措施未設(shè)置安全防護(hù)策略無(wú)線路由器使用默認(rèn)管理地址情況：存在不存在無(wú)線路由器使用默認(rèn)管理口令情況：存在不存在電子郵件系統(tǒng)安全防護(hù)情況檢查要求a）應(yīng)加強(qiáng)電子郵件系統(tǒng)安全防護(hù)，采取反垃圾郵件等技術(shù)措施；b）應(yīng)規(guī)范電子郵箱的注冊(cè)管理，原則上只限于本部門工作人員注冊(cè)使用；c）應(yīng)嚴(yán)格管理郵箱賬戶及口令，采取技術(shù)和管理措施確?？诹罹哂幸欢◤?qiáng)度并定期更換。4.4.3.2檢查方式文檔查驗(yàn)、現(xiàn)場(chǎng)核查。4.4.3.3檢查方法a）查驗(yàn)電子郵件系統(tǒng)采購(gòu)合同或部署文檔

34、，檢查電子郵件系統(tǒng)建設(shè)方式；b）查驗(yàn)電子郵件系統(tǒng)管理相關(guān)規(guī)定文檔，檢查是否有注冊(cè)審批流程要求；查驗(yàn)服務(wù)器上郵箱賬戶列表，同本單位人員名單進(jìn)行核對(duì)，檢查是否有非本單位人員使用；c）查看郵箱口令策略配置界面，檢查電子郵件系統(tǒng)是否設(shè)置了口令策略，是否對(duì)口令強(qiáng)度和更改周期等進(jìn)行要求。d）查驗(yàn)設(shè)備部署或配置情況，檢查電子郵件系統(tǒng)是否采取了反垃圾郵件、病毒木馬防護(hù)等技術(shù)安全防護(hù)措施；表11電子郵件系統(tǒng)安全防護(hù)檢查結(jié)果記錄表電子郵件安全防護(hù)建設(shè)方式：自行建設(shè)由上級(jí)單位統(tǒng)一管理使用第三方服務(wù)郵件服務(wù)提供商帳戶數(shù)量：個(gè)注冊(cè)管理：須經(jīng)審批登記任意注冊(cè)注銷管理：人員離職后，及時(shí)注銷無(wú)管理措施口令管理：使用技術(shù)措施控

35、制口令強(qiáng)度位數(shù)要求：口4位口6位口8位其他：復(fù)雜度要求：數(shù)字字母特殊字符更換頻次要求：強(qiáng)制定期更換，更換頻次：無(wú)強(qiáng)制更換要求沒有米取技術(shù)措施控制口令強(qiáng)度安全防護(hù)：（可多選）采取數(shù)字證書采取反垃圾郵件措施其他：終端計(jì)算機(jī)安全防護(hù)情況檢查要求a）應(yīng)采用集中統(tǒng)一管理方式對(duì)終端計(jì)算機(jī)進(jìn)行管理，統(tǒng)一軟件下發(fā)，統(tǒng)一安裝系統(tǒng)補(bǔ)丁，統(tǒng)一實(shí)施病毒庫(kù)升級(jí)和病毒查殺，統(tǒng)一進(jìn)行漏洞掃描；b）應(yīng)規(guī)范軟硬件使用，不得擅自更改軟硬件配置，不得擅自安裝軟件；c）應(yīng)加強(qiáng)賬戶及口令管理，使用具有一定強(qiáng)度的口令并定期更換；d）應(yīng)對(duì)接入互聯(lián)網(wǎng)的終端計(jì)算機(jī)采取控制措施，包括實(shí)名接入認(rèn)證、IP地址與MAC地址綁定等；e）應(yīng)定期對(duì)終端計(jì)算

36、機(jī)進(jìn)行安全審計(jì)；f）非涉密計(jì)算機(jī)不得存儲(chǔ)和處理國(guó)家秘密信息。4.4.4.2檢查方式現(xiàn)場(chǎng)核查、工具檢測(cè)。4.4.4.3檢查方法a）查看集中管理服務(wù)器，抽查終端計(jì)算機(jī)，檢查是否部署了終端管理系統(tǒng)或采用了其他集中統(tǒng)一管理方式對(duì)終端計(jì)算機(jī)進(jìn)行管理，包括統(tǒng)一軟硬件安裝、統(tǒng)一補(bǔ)丁升級(jí)、統(tǒng)一病毒防護(hù)、統(tǒng)一安全審計(jì)等；b）查看終端計(jì)算機(jī)，檢查是否安裝有與工作無(wú)關(guān)的軟件；c）使用終端檢查工具或采用人工方式，檢查終端計(jì)算機(jī)是否配置了口令策略；d）訪談網(wǎng)絡(luò)管理員和工作人員，檢查是否采取了實(shí)名接入認(rèn)證、IP地址與MAC地址綁定等措施對(duì)接入本單位網(wǎng)絡(luò)的終端計(jì)算機(jī)進(jìn)行控制；將未經(jīng)授權(quán)的終端計(jì)算機(jī)接入網(wǎng)絡(luò)，測(cè)試是否能夠訪問(wèn)

37、互聯(lián)網(wǎng)，驗(yàn)證控制措施的有效性；e）查驗(yàn)審計(jì)記錄，檢查是否對(duì)終端計(jì)算機(jī)進(jìn)行了安全審計(jì)。表12終端計(jì)算機(jī)安全防護(hù)檢查結(jié)果記錄表終端計(jì)算機(jī)安全防護(hù)管理方式：集中統(tǒng)一管理（可多選）規(guī)范軟硬件安裝統(tǒng)一補(bǔ)丁升級(jí)統(tǒng)一病毒防護(hù)統(tǒng)一安全申計(jì)對(duì)移動(dòng)存儲(chǔ)介質(zhì)接入實(shí)施控制統(tǒng)一身份管理分散管理接入互聯(lián)網(wǎng)安全控制措施：有控制措施（如實(shí)名接入、綁定計(jì)算機(jī)IP和MAC地址等）無(wú)控制措施接入辦公系統(tǒng)安全控制措施：有控制措施（如實(shí)名接入、綁定計(jì)算機(jī)IP和MAC地址等）無(wú)控制措施4.4.5移動(dòng)存儲(chǔ)介質(zhì)檢查要求a）應(yīng)嚴(yán)格存儲(chǔ)陣列、磁帶庫(kù)等大容量存儲(chǔ)介質(zhì)的管理，采取技術(shù)措施防范外聯(lián)風(fēng)險(xiǎn)，確保存儲(chǔ)數(shù)據(jù)安全；b）應(yīng)對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行集中統(tǒng)

38、一管理，記錄介質(zhì)領(lǐng)用、交回、維修、報(bào)廢、銷毀等情況；c）非涉密移動(dòng)存儲(chǔ)介質(zhì)不得存儲(chǔ)涉及國(guó)家秘密的信息，不得在涉密計(jì)算機(jī)上使用；d）移動(dòng)存儲(chǔ)介質(zhì)在接入本部門計(jì)算機(jī)和信息系統(tǒng)前，應(yīng)當(dāng)查殺病毒、木馬等惡意代碼；e）應(yīng)配備必要的電子信息消除和銷毀設(shè)備，對(duì)變更用途的存儲(chǔ)介質(zhì)要消除信息，對(duì)廢棄的存儲(chǔ)介質(zhì)要進(jìn)行銷毀。4.4.5.2檢查方式文檔查驗(yàn)、人員訪談、現(xiàn)場(chǎng)核查。4.4.5.3檢查方法a）訪談網(wǎng)絡(luò)管理員，檢查大容量存儲(chǔ)介質(zhì)是否存在遠(yuǎn)程維護(hù)，對(duì)于有遠(yuǎn)程維護(hù)的，進(jìn)一步檢查是否有相應(yīng)的安全風(fēng)險(xiǎn)控制措施；查看光纖、網(wǎng)線等物理線路連接情況，檢查大容量存儲(chǔ)介質(zhì)是否在無(wú)防護(hù)措施情況下與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)直接連接

39、；b）查驗(yàn)相關(guān)記錄，檢查是否對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行統(tǒng)一管理，包括統(tǒng)一領(lǐng)用、交回、維修、報(bào)廢、銷毀等；c）查看服務(wù)器和辦公終端計(jì)算機(jī)上的殺毒軟件，檢查是否開啟了移動(dòng)存儲(chǔ)介質(zhì)接入自動(dòng)查殺功能；d）查看設(shè)備臺(tái)賬或?qū)嵨?，檢查是否配備了電子信息消除和銷毀設(shè)備。表13存儲(chǔ)介質(zhì)安全防護(hù)檢查結(jié)果記錄表移動(dòng)存儲(chǔ)介質(zhì)安全防護(hù)管理方式：集中管理，統(tǒng)一登記、配發(fā)、收回、維修、報(bào)廢、銷毀未采取集中管理方式信息銷毀：已配備信息消除和銷毀設(shè)備未配備信息消除和銷毀設(shè)備4.4.6漏洞修復(fù)情況檢查要求a）應(yīng)定期對(duì)本單位主機(jī)、網(wǎng)絡(luò)安全防護(hù)設(shè)備、信息系統(tǒng)進(jìn)行漏洞檢測(cè)，對(duì)于發(fā)現(xiàn)的安全漏洞及時(shí)進(jìn)行修復(fù)處置；b）重視自行監(jiān)測(cè)發(fā)現(xiàn)與第三方漏洞通

40、報(bào)機(jī)構(gòu)告知的漏洞風(fēng)險(xiǎn)，及時(shí)處置。4.4.6.2檢查方法人員訪談、現(xiàn)場(chǎng)核查4.4.6.3檢查要求a）查看相關(guān)漏洞掃描記錄，確定掃描時(shí)間和周期；b）查驗(yàn)收到的漏洞風(fēng)險(xiǎn)通報(bào)，訪談網(wǎng)站安全管理人員是否對(duì)漏洞風(fēng)險(xiǎn)進(jìn)行及時(shí)處置；c）查驗(yàn)事件處置記錄，檢查網(wǎng)絡(luò)安全事件報(bào)告和通報(bào)機(jī)制建立情況，是否對(duì)所有網(wǎng)絡(luò)安全事件都進(jìn)行了處置。表14漏洞修復(fù)情況檢查結(jié)果記錄表漏洞修復(fù)情況漏洞檢測(cè)周期：每月每季度每年不進(jìn)行漏洞檢測(cè)2015年自行發(fā)現(xiàn)漏洞數(shù)量：個(gè)收到漏洞風(fēng)險(xiǎn)通報(bào)數(shù)量：個(gè)其中已得到處置的漏洞風(fēng)險(xiǎn)數(shù)量：個(gè)4.5網(wǎng)絡(luò)安全應(yīng)急工作情況檢查4.5.1要求a）應(yīng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，原則上每年評(píng)估一次，并根據(jù)實(shí)際情況適時(shí)

41、修訂；b）應(yīng)組織開展應(yīng)急預(yù)案的宣貫培訓(xùn)，確保相關(guān)人員熟悉應(yīng)急預(yù)案；c）每年應(yīng)開展網(wǎng)絡(luò)安全應(yīng)急演練，檢驗(yàn)應(yīng)急預(yù)案的可操作性，并將演練情況報(bào)網(wǎng)絡(luò)安全主管部門；d）應(yīng)建立網(wǎng)絡(luò)安全事件報(bào)告和通報(bào)機(jī)制，提高預(yù)防預(yù)警能力；e）應(yīng)明確應(yīng)急技術(shù)支援隊(duì)伍，做好應(yīng)急技術(shù)支援準(zhǔn)備；f）應(yīng)做好網(wǎng)絡(luò)安全應(yīng)急物資保障，確保必要的備機(jī)、備件等資源到位；g）應(yīng)根據(jù)業(yè)務(wù)實(shí)際需要對(duì)重要數(shù)據(jù)和業(yè)務(wù)系統(tǒng)進(jìn)行備份。4.5.2檢查方式文檔查驗(yàn)、人員訪談。4.5.3檢查方法a）查驗(yàn)應(yīng)急預(yù)案文本等，檢查應(yīng)急預(yù)案制定和年度評(píng)估修訂情況；b）查驗(yàn)宣貫材料和培訓(xùn)記錄，檢查是否開展過(guò)預(yù)案宣貫培訓(xùn)；訪談系統(tǒng)管理員、網(wǎng)絡(luò)管理員和工作人員，檢查其對(duì)應(yīng)急預(yù)

42、案的熟悉程度；c）查驗(yàn)演練計(jì)劃、方案、記錄、總結(jié)等文檔，檢查本年度是否開展了應(yīng)急演練；d）查驗(yàn)事件處置記錄，檢查網(wǎng)絡(luò)安全事件報(bào)告和通報(bào)機(jī)制建立情況，是否對(duì)所有網(wǎng)絡(luò)安全事件都進(jìn)行了處置；e）查驗(yàn)應(yīng)急技術(shù)支援隊(duì)伍合同及安全協(xié)議、參與應(yīng)急技術(shù)演練及應(yīng)急響應(yīng)等工作的記錄文件，確認(rèn)應(yīng)急技術(shù)支援隊(duì)伍能夠發(fā)揮有效的應(yīng)急技術(shù)支撐作用；f）查驗(yàn)設(shè)備或采購(gòu)協(xié)議，檢查是否有網(wǎng)絡(luò)安全應(yīng)急保障物資或有供應(yīng)渠道；g）查驗(yàn)備份數(shù)據(jù)和備份系統(tǒng)，檢查是否對(duì)重要數(shù)據(jù)和業(yè)務(wù)系統(tǒng)進(jìn)行了備份。表15網(wǎng)絡(luò)安全應(yīng)急工作檢查結(jié)果記錄表應(yīng)急預(yù)案已制定2015年修訂情況：修訂未制定未修訂2015年應(yīng)急預(yù)案啟動(dòng)次數(shù)：應(yīng)急演練2015年已開展，演練

43、次數(shù)：2015年未開展-，其中實(shí)戰(zhàn)演練數(shù)：應(yīng)急技術(shù)隊(duì)伍本部門所屬外部服務(wù)機(jī)構(gòu)無(wú)網(wǎng)絡(luò)安全教育培訓(xùn)情況檢查4.6.1要求a）應(yīng)加強(qiáng)網(wǎng)絡(luò)安全宣傳和教育培訓(xùn)工作，提高網(wǎng)絡(luò)安全意識(shí)，增強(qiáng)網(wǎng)絡(luò)安全基本防護(hù)技能；b）應(yīng)定期開展網(wǎng)絡(luò)安全管理人員和技術(shù)人員專業(yè)技能培訓(xùn)，提高網(wǎng)絡(luò)安全工作能力和水平；c）應(yīng)記錄并保存網(wǎng)絡(luò)安全教育培訓(xùn)、考核情況和結(jié)果。4.6.2檢查方式文檔查驗(yàn)、人員訪談。4.6.3檢查方法a）查驗(yàn)教育宣傳計(jì)劃、會(huì)議通知、宣傳資料等文檔，檢查網(wǎng)絡(luò)安全形勢(shì)和警示教育、基本防護(hù)技能培訓(xùn)開展情況；b）訪談機(jī)關(guān)工作人員，檢查網(wǎng)絡(luò)安全基本防護(hù)技能掌握情況；c）查驗(yàn)培訓(xùn)通知、培訓(xùn)教材、結(jié)業(yè)證書等，檢查網(wǎng)絡(luò)安全管理

44、和技術(shù)人員專業(yè)技能培訓(xùn)情況。表16網(wǎng)絡(luò)安全教育培訓(xùn)檢查結(jié)果記錄表培訓(xùn)次數(shù)2015年開展網(wǎng)絡(luò)安全教育培訓(xùn)（非保密培訓(xùn)）的次數(shù)：培訓(xùn)人數(shù)2015年參加網(wǎng)絡(luò)安全教育培訓(xùn)的人數(shù)：占本單位總?cè)藬?shù)的比例：技術(shù)檢測(cè)及網(wǎng)絡(luò)安全事件情況4.7.1技術(shù)檢測(cè)情況4.7.1.1滲透測(cè)試a）應(yīng)重點(diǎn)對(duì)認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的信息系統(tǒng)進(jìn)行安全檢測(cè)；b）使用漏洞掃描等工具測(cè)試關(guān)鍵信息基礎(chǔ)設(shè)施，檢測(cè)是否存在安全漏洞；c）開展人工滲透測(cè)試，檢查是否可以獲取應(yīng)用系統(tǒng)權(quán)限，驗(yàn)證網(wǎng)站是否可以被掛馬、篡改頁(yè)面、獲取敏感信息等，檢查系統(tǒng)是否被入侵過(guò)（存在入侵痕跡）等。表17滲透測(cè)試檢查結(jié)果統(tǒng)計(jì)表滲透測(cè)試進(jìn)行滲透測(cè)試的系統(tǒng)數(shù)量：其中，可以成

45、功控制的系統(tǒng)數(shù)量：表18信息系統(tǒng)滲透測(cè)試登記表1.信息系統(tǒng)抽杳清單序號(hào)系統(tǒng)名稱域名或IP主管部門運(yùn)維單位12.存在高、中風(fēng)險(xiǎn)漏洞的信息系統(tǒng)情況序號(hào)系統(tǒng)名稱咼、中風(fēng)險(xiǎn)漏洞列舉/級(jí)別數(shù)量13.存在入侵痕跡的信息系統(tǒng)情況序號(hào)系統(tǒng)名稱入侵痕跡列舉數(shù)量14.可獲取系統(tǒng)權(quán)限的信息系統(tǒng)情況序號(hào)系統(tǒng)名稱入侵痕跡列舉數(shù)量14.7.1.2惡意代碼及安全漏洞檢測(cè)a）可根據(jù)工作實(shí)際合理安排年度檢測(cè)的服務(wù)器數(shù)量，每12年對(duì)所有服務(wù)器進(jìn)行次技術(shù)檢測(cè)，重要業(yè)務(wù)系統(tǒng)和門戶網(wǎng)站系統(tǒng)的服務(wù)器應(yīng)作為檢測(cè)重點(diǎn)；b）使用病毒木馬檢測(cè)工具，檢測(cè)服務(wù)器是否感染了病毒、木馬等惡意代碼；c）使用漏洞掃描等工具檢測(cè)服務(wù)器操作系統(tǒng)、端口、應(yīng)用、服

46、務(wù)及補(bǔ)丁更新情況,檢測(cè)是否關(guān)閉了不必要的端口、應(yīng)用、服務(wù)，是否存在安全漏洞。表19惡意代碼、安全漏洞檢測(cè)結(jié)果統(tǒng)計(jì)表惡意代碼檢測(cè)結(jié)果進(jìn)行病毒木馬等惡意代碼檢測(cè)的服務(wù)器臺(tái)數(shù)：其中，存在惡意代碼的服務(wù)器臺(tái)數(shù)：進(jìn)行病毒木馬等惡意代碼檢測(cè)的終端計(jì)算機(jī)臺(tái)數(shù)：其中，存在惡意代碼的終端計(jì)算機(jī)臺(tái)數(shù)：安全漏洞檢測(cè)結(jié)果進(jìn)行漏洞掃描的服務(wù)器臺(tái)數(shù)：其中，存在高風(fēng)險(xiǎn)漏洞的服務(wù)器臺(tái)數(shù)：進(jìn)行漏洞掃描的終端計(jì)算機(jī)臺(tái)數(shù)：其中，存在咼風(fēng)險(xiǎn)漏洞的終端計(jì)算機(jī)臺(tái)數(shù)：表20服務(wù)器惡意代碼及安全漏洞檢測(cè)結(jié)果記錄表1.服務(wù)器抽杳清單序號(hào)服務(wù)器名稱/編號(hào)用途/承載的業(yè)務(wù)系統(tǒng)重要性（按等級(jí)）主管部門運(yùn)維單位12.感染病毒木馬等惡意代碼的服務(wù)器情況

47、序號(hào)服務(wù)器名稱/編號(hào)病毒木馬等惡意代碼名稱數(shù)量123.存在咼風(fēng)險(xiǎn)漏洞的服務(wù)器情況序號(hào)服務(wù)器名稱/編號(hào)主要漏洞列舉數(shù)量1表21終端計(jì)算機(jī)惡意代碼及安全漏洞檢測(cè)結(jié)果記錄表1.終端計(jì)算機(jī)抽查清單序號(hào)計(jì)算機(jī)名稱/編號(hào)責(zé)任人所屬部門備注12.感染病毒木馬等惡意代碼的終端計(jì)算機(jī)情況序號(hào)計(jì)算機(jī)名稱/編號(hào)病毒木馬等惡意代碼名稱數(shù)量123.存在高風(fēng)險(xiǎn)漏洞的終端計(jì)算機(jī)情況序號(hào)服務(wù)器名稱/編號(hào)主要漏洞列舉數(shù)量14.7.2網(wǎng)絡(luò)安全事件情況a）查看入侵檢測(cè)、網(wǎng)絡(luò)防火墻、Web應(yīng)用防火墻、數(shù)據(jù)庫(kù)審計(jì)設(shè)備中日志記錄，統(tǒng)計(jì)得出檢測(cè)到的攻擊數(shù)；b）查閱本年度風(fēng)險(xiǎn)評(píng)估及系統(tǒng)安全測(cè)評(píng)評(píng)估報(bào)告等相關(guān)記錄文檔，統(tǒng)計(jì)出網(wǎng)絡(luò)安全事件數(shù)；c

48、）查閱年度收到各平臺(tái)發(fā)布的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提示數(shù)。表22網(wǎng)絡(luò)安全事件檢查結(jié)果表網(wǎng)絡(luò)安全事件情況監(jiān)測(cè)到的網(wǎng)絡(luò)攻擊次數(shù)：其中：本單位遭受DDoS攻擊次數(shù)：系統(tǒng)被嵌入惡意代碼次數(shù)：網(wǎng)絡(luò)安全事件次數(shù)：其中：服務(wù)中斷次數(shù)：信息泄露次數(shù)：網(wǎng)頁(yè)被篡改次數(shù)：外包服務(wù)管理情況檢查4.8.1要求a）應(yīng)建立并嚴(yán)格執(zhí)行信息技術(shù)外包服務(wù)安全管理制度；b）應(yīng)與信息技術(shù)外包服務(wù)提供商簽訂服務(wù)合同和網(wǎng)絡(luò)安全與保密協(xié)議，明確網(wǎng)絡(luò)安全與保密責(zé)任，要求服務(wù)提供商不得將服務(wù)轉(zhuǎn)包，不得泄露、擴(kuò)散、轉(zhuǎn)讓服務(wù)過(guò)程中獲知的敏感信息，不得占有服務(wù)過(guò)程中產(chǎn)生的任何資產(chǎn)，不得以服務(wù)為由強(qiáng)制要求委托方購(gòu)買、使用指定產(chǎn)品；c）信息技術(shù)現(xiàn)場(chǎng)服務(wù)過(guò)程中應(yīng)安排專人陪同，并詳細(xì)記錄服務(wù)過(guò)程；d）外包開發(fā)的系統(tǒng)、軟件上線應(yīng)用前應(yīng)進(jìn)行安全測(cè)評(píng)，要求開發(fā)方及時(shí)提供系統(tǒng)、軟件的升級(jí)、漏洞等信息和相應(yīng)服務(wù)；e）信息系統(tǒng)運(yùn)維外包不得采用遠(yuǎn)程在線運(yùn)維服務(wù)方式；4.8.2檢查方式文檔查驗(yàn)、人員訪談。4.8.3檢查方法a）查驗(yàn)相關(guān)制度文檔，檢查是否有外包服務(wù)安全管理制度；b）查驗(yàn)信息技術(shù)外包服務(wù)合同及網(wǎng)絡(luò)安全與保密協(xié)議，檢查網(wǎng)絡(luò)安全責(zé)任是否清晰；c）查驗(yàn)外包人員現(xiàn)場(chǎng)服務(wù)記錄，查驗(yàn)記錄是否完整（包括服務(wù)時(shí)間、服務(wù)人員、陪同人員、工作內(nèi)容等信息）；d）訪談系統(tǒng)管理員和工作人員，查驗(yàn)安全測(cè)評(píng)報(bào)告，檢查外包開發(fā)的系統(tǒng)、軟件