關鍵信息基礎設施網絡安全檢查操作指引

1、國家網絡安全檢查操作指南中央網絡安全和信息化領導小組辦公室網絡安全協(xié)調局2016年6月目 錄1 概述11.1 檢查目的11.2 檢查工作流程12 檢查工作部署32.1 研究制定檢查方案32.2 成立檢查辦公室32.3 下達檢查通知32.4 組織專項培訓33 關鍵信息基礎設施摸底43.1 關鍵信息基礎設施定義及范圍43.2 確定關鍵信息基礎設施步驟43.3 關鍵信息基礎設施信息登記64 網絡安全檢查74.1 網絡安全責任制落實情況檢查74.2 網絡安全日常管理情況檢查84.3.1人員管理檢查84.3.2信息資產管理情況檢查84.3.3 經費保障情況檢查94.3 信息系統(tǒng)基本情況檢查104.1.1

2、 基本信息梳理104.1.2系統(tǒng)構成情況梳理104.1.2.1 主要硬件構成104.1.2.2 主要軟件構成124.4 網絡安全技術防護情況檢查134.4.1 網絡邊界安全防護情況檢查134.4.2 無線網絡安全防護情況檢查134.4.3 電子郵件系統(tǒng)安全防護情況檢查144.4.4 終端計算機安全防護情況檢查154.4.5 移動存儲介質檢查164.4.6 漏洞修復情況檢查174.5 網絡安全應急工作情況檢查194.6 網絡安全教育培訓情況檢查204.7 技術檢測及網絡安全事件情況214.7.1 技術檢測情況214.7.1.1 滲透測試214.7.1.2 惡意代碼及安全漏洞檢測214.7.2 網

3、絡安全事件情況234.8 外包服務管理情況檢查245 檢查總結整改265.1 匯總檢查結果265.2 分析問題隱患265.3 研究整改措施265.4 編寫總結報告266 注意事項276.1 認真做好總結276.2 加強風險控制276.3 加強保密管理27附件網絡安全檢查總結報告參考格式28國家網絡安全檢查操作指南為指導關鍵信息基礎設施網絡安全檢查工作，依據(jù)關于開展關鍵信息基礎設施網絡安全檢查的通知（中網辦發(fā)20163號，以下簡稱檢查通知），參照信息安全技術 政府部門信息安全管理基本要求（GB/T 29245-2012）等國家網絡安全技術標準規(guī)范，制定本指南。本指南主要用于各地區(qū)、各部門、各單位

4、在開展關鍵信息基礎設施網絡安全檢查工作（以下簡稱“檢查工作”）時參考。1 概述1.1 檢查目的為貫徹落實習近平總書記關于“加快構建關鍵信息基礎設施安全保障體系”，“全面加強網絡安全檢查，摸清家底，認清風險，找出漏洞，通報結果，督促整改”的重要指示精神，摸清關鍵信息基礎設施底數(shù)，掌握關鍵信息基礎設施風險和防護狀況，以查“促建、促管、促改、促防”，推動建立關鍵信息基礎設施網絡安全責任制和防范體系，保障關鍵信息基礎設施的安全穩(wěn)定運行。1.2 檢查工作流程檢查工作流程通常包括檢查工作部署、關鍵信息基礎設施摸底、網絡安全檢查、檢查總結整改四個步驟。其中，網絡安全檢查包括信息系統(tǒng)基本情況檢查、網絡安全責任

5、制落實情況檢查、網絡安全日常管理情況檢查、網絡安全防護情況檢查、網絡安全應急工作情況檢查、網絡安全教育培訓情況檢查、技術檢測及網絡安全事件情況檢查、信息技術外包服務機構情況檢查等八個環(huán)節(jié)，如下圖所示。圖1 網絡安全檢查工作流程圖2 檢查工作部署檢查工作部署通常包括研究制定檢查方案、成立檢查辦公室、下達檢查通知等具體工作。2.1 研究制定檢查方案 本單位網絡安全管理部門根據(jù)檢查通知統(tǒng)一安排，結合工作實際，制定檢查方案，并報本單位網絡安全主管領導批準。檢查方案應當明確以下內容：（1）檢查工作負責人、組織機構和具體實施機構；（2）檢查范圍和檢查重點；（3）檢查內容；（4）檢查工作組織開展方式；（5）

6、檢查工作時間進度安排；（6）有關工作要求。1. 關于檢查范圍。檢查的范圍通常包括本單位各內設機構，以及為本單位信息系統(tǒng)（包括網站系統(tǒng)、平臺系統(tǒng)、生產業(yè)務系統(tǒng)等）提供運行維護支撐服務的下屬單位。可根據(jù)本單位網絡安全保障工作需要，將其他為本單位信息系統(tǒng)提供運維服務、對本單位信息系統(tǒng)安全可能產生重大影響的相關單位納入檢查范圍。2. 關于檢查重點。在對各類信息系統(tǒng)進行全面檢查的基礎上，應突出重點，對事關國家安全和社會穩(wěn)定，對地區(qū)、部門或行業(yè)正常生產生活具有較大影響的關鍵信息基礎設施進行重點檢查。3. 關于關鍵信息基礎設施確定，應結合本單位實際，參考關于開展關鍵信息基礎設施網絡安全檢查的通知中的關鍵信息

7、基礎設施確定指南進行確定。2.2 成立檢查辦公室本單位網絡安全管理部門制定完成檢查方案后，應及時成立檢查辦公室，明確人員、經費和技術保障；組織開展培訓，保證辦公室成員熟悉檢查方案，掌握檢查內容、填報工具使用方法等。辦公室成員通常由網絡安全管理及運維部門、信息化部門有關人員，相關業(yè)務部門中熟悉業(yè)務、具備網絡安全知識的人員，以及本單位相關技術支撐機構的業(yè)務骨干等組成。對于網絡與信息系統(tǒng)復雜、檢查工作涉及部門多的單位，可根據(jù)需要成立檢查工作領導小組，負責檢查工作的組織協(xié)調與資源配置。領導小組組長可由本單位主要負責同志擔任，領導小組成員可包括網絡安全管理機構負責人（如辦公廳主任）、信息化部門負責人（如

8、信息中心主任），以及其他相關部門負責人（如人事部門、財務部門、業(yè)務部門領導）等。2.3 下達檢查通知本單位網絡安全管理部門應以書面形式部署關鍵信息基礎設施網絡安全檢查工作，明確檢查時間、檢查范圍、檢查內容、工作要求等具體事項。2.4 組織專項培訓本單位要組織專項培訓，對本單位負責檢查工作的干部、專家、技術人員、有關關鍵信息基礎設施運維人員等進行廣泛培訓，確保檢查工作質量，培訓內容應包括檢查目的意義、流程方法、關鍵信息基礎設施確定方法及登記表填報說明、網絡安全檢查方法等。3 關鍵信息基礎設施摸底3.1 關鍵信息基礎設施定義及范圍關鍵信息基礎設施是指面向公眾提供網絡信息服務或支撐能源、通信、金融、

9、交通、公用事業(yè)等重要行業(yè)運行的信息系統(tǒng)或工業(yè)控制系統(tǒng)，且這些系統(tǒng)一旦發(fā)生網絡安全事故，會影響重要行業(yè)正常運行，對國家政治、經濟、科技、社會、文化、國防、環(huán)境以及人民生命財產造成嚴重損失。關鍵信息基礎設施包括網站類，如黨政機關網站、企事業(yè)單位網站、新聞網站等；平臺類，如即時通信、網上購物、網上支付、搜索引擎、電子郵件、論壇、地圖、音視頻等網絡服務平臺；生產業(yè)務類，如辦公和業(yè)務系統(tǒng)、工業(yè)控制系統(tǒng)、大型數(shù)據(jù)中心、云計算平臺、電視轉播系統(tǒng)等。3.2 確定關鍵信息基礎設施步驟關鍵信息基礎設施的確定，通常包括三個步驟，一是確定關鍵業(yè)務，二是確定支撐關鍵業(yè)務的信息系統(tǒng)或工業(yè)控制系統(tǒng)，三是根據(jù)關鍵業(yè)務對信息系

10、統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度，以及信息系統(tǒng)發(fā)生網絡安全事件后可能造成的損失認定關鍵信息基礎設施。（一）確定本地區(qū)、本部門、本行業(yè)的關鍵業(yè)務?？蓞⒖急?，結合本地區(qū)、本部門、本行業(yè)實際梳理關鍵業(yè)務。表1 關鍵信息基礎設施業(yè)務判定表行業(yè)關鍵業(yè)務能源電力l 電力生產（含火電、水電、核電等）l 電力傳輸l 電力配送石油石化l 油氣開采l 煉化加工l 油氣輸送l 油氣儲存煤炭l 煤炭開采l 煤化工金融l 銀行運營l 證券期貨交易l 清算支付l 保險運營交通鐵路l 客運服務l 貨運服務l 運輸生產l 車站運行民航l 空運交通管控l 機場運行l(wèi) 訂票、離港及飛行調度檢查安排l 航空公司運營公路l 公路交通管控

11、l 智能交通系統(tǒng)（一卡通、ETC收費等）水運l 水運公司運營（含客運、貨運）l 港口管理運營l 航運交通管控水利l 水利樞紐運行及管控l 長距離輸水管控l 城市水源地管控醫(yī)療衛(wèi)生l 醫(yī)院等衛(wèi)生機構運行l(wèi) 疾病控制l 急救中心運行環(huán)境保護l 環(huán)境監(jiān)測及預警（水、空氣、土壤、核輻射等）工業(yè)制造（原材料、裝備、消費品、電子制造）l 企業(yè)運營管理l 智能制造系統(tǒng)（工業(yè)互聯(lián)網、物聯(lián)網、智能裝備等）l 危化品生產加工和存儲管控（化學、核等）l 高風險工業(yè)設施運行管控市政l 水、暖、氣供應管理l 城市軌道交通l 污水處理l 智慧城市運行及管控電信與互聯(lián)網l 語音、數(shù)據(jù)、互聯(lián)網基礎網絡及樞紐l 域名解析服務和

12、國家頂級域注冊管理l 數(shù)據(jù)中心/云服務廣播電視l 電視播出管控l 廣播播出管控政府部門l 信息公開l 面向公眾服務l 辦公業(yè)務系統(tǒng)（二）確定關鍵業(yè)務相關的信息系統(tǒng)或工業(yè)控制系統(tǒng)。根據(jù)關鍵業(yè)務，逐一梳理出支撐關鍵業(yè)務運行或與關鍵業(yè)務相關的信息系統(tǒng)或工業(yè)控制系統(tǒng)，形成候選關鍵信息基礎設施清單。如電力行業(yè)火電企業(yè)的發(fā)電機組控制系統(tǒng)、管理信息系統(tǒng)等；市政供水相關的水廠生產控制系統(tǒng)、供水管網監(jiān)控系統(tǒng)等。（三）認定關鍵信息基礎設施。對候選關鍵信息基礎設施清單中的信息系統(tǒng)或工業(yè)控制系統(tǒng)，根據(jù)本地區(qū)、本部門、本行業(yè)實際，參照以下標準認定關鍵信息基礎設施。A.網站類符合以下條件之一的，可認定為關鍵信息基礎設施：

13、1. 縣級（含）以上黨政機關網站。（2016年檢查中，所有黨政機關網站均應填寫上報登記表）2. 重點新聞網站。（2016年檢查中，所有新聞網站均應填寫上報登記表）3. 日均訪問量超過100萬人次的網站。4. 一旦發(fā)生網絡安全事故，可能造成以下影響之一的：（1）影響超過100萬人工作、生活；（2）影響單個地市級行政區(qū)30%以上人口的工作、生活；（3）造成超過100萬人個人信息泄露；（4）造成大量機構、企業(yè)敏感信息泄露；（5）造成大量地理、人口、資源等國家基礎數(shù)據(jù)泄露；（6）嚴重損害政府形象、社會秩序，或危害國家安全。5. 其他應該認定為關鍵信息基礎設施。B.平臺類符合以下條件之一的，可認定為關鍵

14、信息基礎設施：1. 注冊用戶數(shù)超過1000萬，或活躍用戶（每日至少登陸一次）數(shù)超過100萬。2. 日均成交訂單額或交易額超過1000萬元。3. 一旦發(fā)生網絡安全事故，可能造成以下影響之一的：（1）造成1000萬元以上的直接經濟損失；（2）直接影響超過1000萬人工作、生活；（3）造成超過100萬人個人信息泄露；（4）造成大量機構、企業(yè)敏感信息泄露；（5）造成大量地理、人口、資源等國家基礎數(shù)據(jù)泄露；（6）嚴重損害社會和經濟秩序，或危害國家安全。4.其他應該認定為關鍵信息基礎設施。C.生產業(yè)務類符合以下條件之一的，可認定為關鍵信息基礎設施：1. 地市級以上政府機關面向公眾服務的業(yè)務系統(tǒng)，或與醫(yī)療、

15、安防、消防、應急指揮、生產調度、交通指揮等相關的城市管理系統(tǒng)。2. 規(guī)模超過1500個標準機架的數(shù)據(jù)中心。3. 一旦發(fā)生安全事故，可能造成以下影響之一的：（1）影響單個地市級行政區(qū)30%以上人口的工作、生活；（2）影響10萬人用水、用電、用氣、用油、取暖或交通出行等；（3）導致5人以上死亡或50人以上重傷；（4）直接造成5000萬元以上經濟損失；（5）造成超過100萬人個人信息泄露；（6）造成大量機構、企業(yè)敏感信息泄露；（7）造成大量地理、人口、資源等國家基礎數(shù)據(jù)泄露；（8）嚴重損害社會和經濟秩序，或危害國家安全。4.其他應該認定為關鍵信息基礎設施。3.3 關鍵信息基礎設施信息登記各單位梳理確

16、定本單位所主管的關鍵信息基礎設施，并通過填報工具填寫登記表。主要包括：a）設施主管單位信息；b）設施主要負責人、網絡安全管理部門負責人、運維單位負責人聯(lián)系方式；c）設施提供服務的基本類型、功能描述、網頁入口信息、發(fā)生網絡安全事故后影響分析、投入情況、信息技術產品國產化率；e）數(shù)據(jù)存儲情況；f）運行環(huán)境情況；g）運行維護情況；h）網絡安全狀況；i）商用密碼使用情況。填報工具的使用，詳見國家網絡安全檢查信息共享平臺及關鍵信息基礎設施填報工具使用手冊4 網絡安全檢查4.1 網絡安全責任制落實情況檢查網絡安全責任制落實情況檢查通常包括網絡安全管理工作單位領導、網絡安全管理工作內設機構、網絡安全責任制度

17、建設和落實情況的檢查。4.2.1 要求a）應明確一名主管領導，負責本單位網絡安全管理工作，根據(jù)國家法律法規(guī)有關要求，結合實際組織制定網絡安全管理制度，完善技術防護措施，協(xié)調處理重大網絡安全事件；b）應指定一個機構，具體承擔網絡安全管理工作，負責組織落實網絡安全管理制度和網絡安全技術防護措施，開展網絡安全教育培訓和監(jiān)督檢查等；c）應建立健全崗位網絡安全責任制度，明確崗位及人員的網絡安全責任。4.2.2 檢查方式文檔查驗、人員訪談。4.2.3 檢查方法a）查驗領導分工等文件，檢查是否明確了網絡安全主管領導；查驗網絡安全相關工作批示、會議記錄等，了解主管領導履職情況；b）查驗本單位各內設機構職責分工

18、等文件，檢查是否指定了網絡安全管理機構（如工業(yè)和信息化部指定辦公廳為網絡安全管理機構）；c）查驗工作計劃、工作方案、規(guī)章制度、監(jiān)督檢查記錄、教育培訓記錄等文檔，了解管理機構履職情況；d）查驗崗位網絡安全責任制度文件，檢查系統(tǒng)管理員、網絡管理員、網絡安全員、一般工作人員等不同崗位的網絡安全責任是否明確；e）訪談關鍵崗位網絡安全員，檢查其網絡安全意識和網絡安全知識、技能掌握情況；f）查驗工作計劃、工作報告等相關文檔，檢查網絡安全員日常工作開展情況。表2 網絡安全責任制落實情況檢查表負責網絡安全管理工作的單位領導負責網絡安全管理工作的領導：已明確 未明確姓名：_職務：_是否本單位主要負責同志：是 否

19、負責網絡安全管理的內設機構負責網絡安全管理的內設機構：已明確 未明確機構名稱：_負責人：_職 務：_聯(lián)系人：_辦公電話：_移動電話：_網絡安全責任制度建設和落實情況網絡安全責任制度：已建立 未建立網絡安全檢查責任：已明確 未明確本年度網絡安全檢查專項經費：已落實，_萬 無專項經費4.2 網絡安全日常管理情況檢查4.3.1人員管理檢查4.3.1.1 要求a）應與重點崗位的計算機使用和管理人員簽訂網絡安全與保密協(xié)議，明確網絡安全與保密要求和責任；b）應制定并嚴格執(zhí)行人員離崗離職網絡安全管理規(guī)定，人員離崗離職時應終止信息系統(tǒng)訪問權限，收回各種軟硬件設備及身份證件、門禁卡等，并簽署安全保密承諾書；c）

20、應建立外部人員訪問機房等重要區(qū)域審批制度，外部人員須經審批后方可進入，并安排本單位工作人員現(xiàn)場陪同，對訪問活動進行記錄并留存；d）應對網絡安全責任事故進行查處，對違反網絡安全管理規(guī)定的人員給予嚴肅處理，對造成網絡安全事故的依法追究當事人和有關負責人的責任，并以適當方式通報。4.3.1.2 檢查方式文檔查驗、人員訪談。4.3.1.3 檢查方法a）查驗崗位網絡安全責任制度文件，檢查系統(tǒng)管理員、網絡管理員、網絡安全員、一般工作人員等不同崗位的網絡安全責任是否明確；檢查重點崗位人員網絡安全與保密協(xié)議簽訂情況；訪談部分重點崗位人員，抽查對網絡安全責任的了解程度；b）查驗人員離崗離職管理制度文件，檢查是否

21、有終止系統(tǒng)訪問權限、收回軟硬件設備、收回身份證件和門禁卡等要求；檢查離崗離職人員安全保密承諾書簽署情況；查驗信息系統(tǒng)賬戶，檢查離崗離職人員賬戶訪問權限是否已被終止；c）查驗外部人員訪問機房等重要區(qū)域的審批制度文件，檢查是否有訪問審批、人員陪同等要求；查驗訪問審批記錄、訪問活動記錄，檢查記錄是否清晰、完整；d）查驗安全事件記錄及安全事件責任查處等文檔，檢查是否發(fā)生過因違反制度規(guī)定造成的網絡安全事件、是否對網絡安全事件責任人進行了處置。表3 人員管理檢查結果記錄表人員管理重點崗位人員安全保密協(xié)議：全部簽訂 部分簽訂 均未簽訂人員離崗離職安全管理規(guī)定：已制定 未制定外部人員訪問機房等重要區(qū)域審批制度

22、：已建立 未建立4.3.2信息資產管理情況檢查4.3.2.1要求a）應建立并嚴格執(zhí)行信息資產管理制度；b）應指定專人負責信息資產管理；c）應建立信息資產臺賬（清單），統(tǒng)一編號、統(tǒng)一標識、統(tǒng)一發(fā)放；d）應及時記錄信息資產狀態(tài)和使用情況，保證賬物相符；e）應建立并嚴格執(zhí)行設備維修維護和報廢管理制度。4.3.2.2 檢查方式文檔查驗、人員訪談。4.3.2.3 檢查方法a）查驗信息資產管理制度文檔，檢查信息資產管理制度是否建立；b）查驗設備管理員任命及崗位分工等文件，檢查是否明確專人負責信息資產管理；訪談設備管理員，檢查其對信息資產管理制度和日常工作任務的了解程度；c）查驗信息資產臺賬，檢查臺賬是否完

23、整（包括設備編號、設備狀態(tài)、責任人等信息）；查驗領用記錄，檢查是否做到統(tǒng)一編號、統(tǒng)一標識、統(tǒng)一發(fā)放；d）隨機抽取臺賬中的部分設備登記信息，查驗是否有對應的實物；隨機抽取一定數(shù)量的實物，查驗其是否納入信息資產臺賬，同臺賬是否相符；e）查驗相關制度文檔和記錄，檢查設備維修維護和報廢管理制度建立及落實情況。表4 信息資產管理檢查記錄表信息資產管理信息資產管理制度：已建立 未建立設備維修維護和報廢管理： 已建立管理制度，且記錄完整 已建立管理制度，但記錄不完整 未建立管理制度4.3.3 經費保障情況檢查4.3.3.1 要求a）應將網絡安全設施運行維護、網絡安全服務采購、日常網絡安全管理、網絡安全教育培

24、訓、網絡安全檢查、網絡安全風險評估、網絡安全應急處置等費用納入部門年度預算；b）應嚴格落實網絡安全經費預算，保證網絡安全經費投入。4.3.3.2 檢查方式文檔查驗。4.3.3.3 檢查方法a）會同本單位財物部門人員，查驗上一年度和本年度預算文件，檢查年度預算中是否有網絡安全相關費用；b）查驗相關財務文檔和經費使用賬目，檢查上一年度網絡安全經費實際投入情況、網絡安全經費是否?？顚Ｓ?。表5 經費保障檢查結果記錄表經費保障上一年度信息化總投入：_萬元，網絡安全實際投入：_萬元，其中采購網絡安全服務比例：_本年度信息化總預算（含網絡安全預算）：_萬元，網絡安全預算：_萬元，其中采購網絡安全服務比例：_

25、4.3 信息系統(tǒng)基本情況檢查對本單位主管信息系統(tǒng)進行全面檢查，及時掌握本單位信息系統(tǒng)基本情況，特別是變更情況，以便針對性地開展網絡安全管理和防護工作。4.1.1 基本信息梳理查驗信息系統(tǒng)規(guī)劃設計方案、安全防護規(guī)劃設計方案、網絡拓撲圖等相關文檔，訪談信息系統(tǒng)管理人員與工作人員，了解掌握系統(tǒng)基本信息并記錄結果（表6），包括：a）主要功能、部署位置、網絡拓撲結構、服務對象、用戶規(guī)模、業(yè)務周期、運行高峰期等；b）業(yè)務主管部門、運維機構、系統(tǒng)開發(fā)商和集成商、上線運行及系統(tǒng)升級日期等；c）定級情況、數(shù)據(jù)集中情況、災備情況等。表6 系統(tǒng)基本信息梳理記錄表（每個系統(tǒng)一張表）編號系統(tǒng)名稱主要功能部署位置網絡拓撲

26、結構服務對象用戶規(guī)模業(yè)務周期業(yè)務主管部門運維機構系統(tǒng)開發(fā)商系統(tǒng)集成商上線運行及最近一次系統(tǒng)升級時間定級情況數(shù)據(jù)集中情況災備情況4.1.2系統(tǒng)構成情況梳理4.1.2.1 主要硬件構成重點梳理主要硬件設備類型、數(shù)量、生產商（品牌）情況，記錄結果（表7）。硬件設備類型主要有：服務器、終端計算機、路由器、交換機、存儲設備、防火墻、終端計算機、磁盤陣列、磁帶庫及其他主要安全設備。表7 信息系統(tǒng)主要硬件構成梳理記錄表檢查項檢查結果服務器品牌聯(lián)想曙光浪潮華為IBMHPDELL Oracle數(shù)量其他：1. 品牌 ，數(shù)量 2. 品牌 ，數(shù)量 使用國產CPU的臺數(shù)： 使用國產操作系統(tǒng)的臺數(shù)： 終端計算機（含筆記本

27、）品牌聯(lián)想長城方正清華同方華碩宏基數(shù)量其他：1. 品牌 ，數(shù)量 2. 品牌 ，數(shù)量 使用國產CPU的臺數(shù)使用國產操作系統(tǒng)的臺數(shù)： 使用Windows xp/7/8的臺數(shù)： 安裝國產字處理軟件的臺數(shù)： 安裝國產防病毒軟件的臺數(shù)： 路由器品牌華為中興銳捷網絡H3CCiscoJuniper數(shù)量其他：1. 品牌 ，數(shù)量 2. 品牌 ，數(shù)量 交換機品牌華為中興銳捷網絡H3CCiscoJuniper數(shù)量其他：1. 品牌 ，數(shù)量 2. 品牌 ，數(shù)量 存儲設備總臺數(shù)： 1. 品牌 ，數(shù)量 2. 品牌 ，數(shù)量 防火墻1. 品牌 ，數(shù)量 2. 品牌 ，數(shù)量 （如有更多，可另列表）負載均衡設備1. 品牌 ，數(shù)量 2

28、. 品牌 ，數(shù)量 （如有更多，可另列表）入侵檢測設備（入侵防御）1. 品牌 ，數(shù)量 2. 品牌 ，數(shù)量 （如有更多，可另列表）安全審計設備1. 品牌 ，數(shù)量 2. 品牌 ，數(shù)量 （如有更多，可另列表）其 他1. 設備類型： ，品牌 ，數(shù)量 2. 設備類型： ，品牌 ，數(shù)量 （如有更多，可另列表）4.1.2.2 主要軟件構成重點梳理主要軟件類型、套數(shù)、生產商（品牌）情況，記錄結果（表8）。軟件類型主要有：操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、公文處理軟件、郵件系統(tǒng)及主要業(yè)務應用系統(tǒng)。表8 信息系統(tǒng)主要軟件構成梳理記錄表檢查項檢查結果操作系統(tǒng)品牌紅旗麒麟WindowsRedHatHP-UnixAIXSolar

29、is數(shù)量其他：1. 品牌 ，數(shù)量 2. 品牌 ，數(shù)量 （如有更多，可另列表）數(shù)據(jù)庫管理系統(tǒng)品牌金倉達夢OracleDB2SQLServerAccessMysql數(shù)量其他：1. 品牌 ，數(shù)量 2. 品牌 ，數(shù)量 公文處理軟件品牌數(shù)量郵件系統(tǒng)總數(shù)： 1. 品牌 ，數(shù)量 2. 品牌 ，數(shù)量 其 他1. 設備類型： ，品牌 ，數(shù)量 2. 設備類型： ，品牌 ，數(shù)量 （如有更多，可另列表）4.4 網絡安全技術防護情況檢查4.4.1 網絡邊界安全防護情況檢查4.4.1.1 要求a）非涉密信息系統(tǒng)與互聯(lián)網及其他公共信息網絡應實行邏輯隔離，涉密信息系統(tǒng)與互聯(lián)網及其他公共信息網絡應實行物理隔離；b）建立互聯(lián)網接

30、入審批和登記制度，嚴格控制互聯(lián)網接入口數(shù)量，加強互聯(lián)網接入口安全管理和安全防護；c）應采取訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范等措施，進行網絡邊界防護；d）應根據(jù)承載業(yè)務的重要性對網絡進行分區(qū)分域管理，采取必要的技術措施對不同網絡分區(qū)進行防護、對不同安全域之間實施訪問控制；e）應對網絡日志進行管理，定期分析，及時發(fā)現(xiàn)安全風險。4.4.1.2 檢查方式文檔查驗、現(xiàn)場核查。4.4.1.3 檢查方法a）查驗網絡拓撲圖，檢查重要設備連接情況，現(xiàn)場核查內部辦公系統(tǒng)等非涉密系統(tǒng)的交換機、路由器等網絡設備，確認以上設備的光纖、網線等物理線路沒有與互聯(lián)網及其他公共信息網絡直接連接，有相應

31、的安全隔離措施；b）查驗網絡拓撲圖，檢查接入互聯(lián)網情況，統(tǒng)計網絡外聯(lián)的出口個數(shù)，檢查每個出口是否均有相應的安全防護措施（互聯(lián)網接入口指內部網絡與公共互聯(lián)網邊界處的接口，如聯(lián)通、電信等提供的互聯(lián)網接口，不包括內部網絡與其他非公共網絡連接的接口）；c）查驗網絡拓撲圖，檢查是否在網絡邊界部署了訪問控制（如防火墻）、入侵檢測、安全審計以及非法外聯(lián)檢測、病毒防護等必要的安全設備；d）分析網絡拓撲圖，檢查網絡隔離設備部署、交換機VLAN劃分情況，檢查網絡是否按重要程度劃分了安全區(qū)域，并確認不同區(qū)域間采用了正確的隔離措施；e）查驗網絡日志（重點是互聯(lián)網訪問日志）及其分析報告，檢查日志分析周期、日志保存方式和

32、保存時限等。表9 網絡邊界安全防護檢查結果記錄表網絡邊界安全防護網絡安全防護設備部署（可多選）：防火墻 入侵檢測設備 安全審計設備防病毒網關 抗拒絕服務攻擊設備 Web應用防火墻其它設備安全策略配置：使用默認配置 根據(jù)需要配置網絡訪問日志：留存日志 未留存日志4.4.2 無線網絡安全防護情況檢查4.4.2.1 要求a）采取身份鑒別、地址過濾等措施對無線網絡的接入進行管理，采用白名單管理機制，防止非授權接入造成的內網滲透事件發(fā)生；b）修改無線路由設備的默認管理地址；c）修改無線路由管理賬戶默認口令，設置復雜口令，防止暴力破解后臺；d）用戶接入認證加密采用WPA2及更高級別算法，防止破解接入口令。

33、4.4.2.2 檢查方式現(xiàn)場核查。4.4.2.3 檢查方法a）登錄無線設備管理頁面，查看加密方認證方式是否采用WPA2以上；b）檢查用戶接入認證及管理端口登錄口令，包括口令強度和更新頻率，查看是否登錄頁面采用默認地址及默認口令；c）登錄無線網絡設備管理端，檢查安全防護策略配置情況，包括是否設置對接入設備采取身份鑒別認證措施和地址過濾措施；表10 無線網絡安全防護情況檢查結果記錄表無線網絡安全防護本單位使用無線路由器數(shù)量： 無線路由器用途：訪問互聯(lián)網： 個訪問業(yè)務/辦公網絡： 個安全防護策略（可多選）：采取身份鑒別措施 采取地址過濾措施未設置安全防護策略無線路由器使用默認管理地址情況：存在 不存

34、在無線路由器使用默認管理口令情況：存在 不存在4.4.3 電子郵件系統(tǒng)安全防護情況檢查4.4.3.1 要求a）應加強電子郵件系統(tǒng)安全防護，采取反垃圾郵件等技術措施；b）應規(guī)范電子郵箱的注冊管理，原則上只限于本部門工作人員注冊使用；c）應嚴格管理郵箱賬戶及口令，采取技術和管理措施確?？诹罹哂幸欢◤姸炔⒍ㄆ诟鼡Q。4.4.3.2 檢查方式文檔查驗、現(xiàn)場核查。4.4.3.3 檢查方法a）查驗電子郵件系統(tǒng)采購合同或部署文檔，檢查電子郵件系統(tǒng)建設方式；b）查驗電子郵件系統(tǒng)管理相關規(guī)定文檔，檢查是否有注冊審批流程要求；查驗服務器上郵箱賬戶列表，同本單位人員名單進行核對，檢查是否有非本單位人員使用；c）查看郵

35、箱口令策略配置界面，檢查電子郵件系統(tǒng)是否設置了口令策略，是否對口令強度和更改周期等進行要求。d）查驗設備部署或配置情況，檢查電子郵件系統(tǒng)是否采取了反垃圾郵件、病毒木馬防護等技術安全防護措施；表11 電子郵件系統(tǒng)安全防護檢查結果記錄表電子郵件安全防護建設方式：自行建設 由上級單位統(tǒng)一管理使用第三方服務 郵件服務提供商 帳戶數(shù)量： 個注冊管理：須經審批登記 任意注冊注銷管理：人員離職后，及時注銷 無管理措施口令管理：使用技術措施控制口令強度位數(shù)要求：4位 6位 8位 其他： 復雜度要求：數(shù)字 字母 特殊字符更換頻次要求：強制定期更換，更換頻次： 無強制更換要求沒有采取技術措施控制口令強度安全防護：

36、（可多選）采取數(shù)字證書采取反垃圾郵件措施其他： 4.4.4 終端計算機安全防護情況檢查4.4.4.1 要求a）應采用集中統(tǒng)一管理方式對終端計算機進行管理，統(tǒng)一軟件下發(fā)，統(tǒng)一安裝系統(tǒng)補丁，統(tǒng)一實施病毒庫升級和病毒查殺，統(tǒng)一進行漏洞掃描；b）應規(guī)范軟硬件使用，不得擅自更改軟硬件配置，不得擅自安裝軟件；c）應加強賬戶及口令管理，使用具有一定強度的口令并定期更換；d）應對接入互聯(lián)網的終端計算機采取控制措施，包括實名接入認證、IP地址與MAC地址綁定等；e）應定期對終端計算機進行安全審計；f）非涉密計算機不得存儲和處理國家秘密信息。4.4.4.2 檢查方式現(xiàn)場核查、工具檢測。4.4.4.3 檢查方法a）

37、查看集中管理服務器，抽查終端計算機，檢查是否部署了終端管理系統(tǒng)或采用了其他集中統(tǒng)一管理方式對終端計算機進行管理，包括統(tǒng)一軟硬件安裝、統(tǒng)一補丁升級、統(tǒng)一病毒防護、統(tǒng)一安全審計等；b）查看終端計算機，檢查是否安裝有與工作無關的軟件；c）使用終端檢查工具或采用人工方式，檢查終端計算機是否配置了口令策略；d）訪談網絡管理員和工作人員，檢查是否采取了實名接入認證、IP地址與MAC地址綁定等措施對接入本單位網絡的終端計算機進行控制；將未經授權的終端計算機接入網絡，測試是否能夠訪問互聯(lián)網，驗證控制措施的有效性；e）查驗審計記錄，檢查是否對終端計算機進行了安全審計。表12終端計算機安全防護檢查結果記錄表終端計

38、算機安全防護管理方式： 集中統(tǒng)一管理（可多選）規(guī)范軟硬件安裝 統(tǒng)一補丁升級 統(tǒng)一病毒防護統(tǒng)一安全審計 對移動存儲介質接入實施控制統(tǒng)一身份管理 分散管理接入互聯(lián)網安全控制措施： 有控制措施（如實名接入、綁定計算機IP和MAC地址等） 無控制措施接入辦公系統(tǒng)安全控制措施： 有控制措施（如實名接入、綁定計算機IP和MAC地址等） 無控制措施4.4.5 移動存儲介質檢查4.4.5.1 要求a）應嚴格存儲陣列、磁帶庫等大容量存儲介質的管理，采取技術措施防范外聯(lián)風險，確保存儲數(shù)據(jù)安全；b）應對移動存儲介質進行集中統(tǒng)一管理，記錄介質領用、交回、維修、報廢、銷毀等情況；c）非涉密移動存儲介質不得存儲涉及國家秘

39、密的信息，不得在涉密計算機上使用；d）移動存儲介質在接入本部門計算機和信息系統(tǒng)前，應當查殺病毒、木馬等惡意代碼；e）應配備必要的電子信息消除和銷毀設備，對變更用途的存儲介質要消除信息，對廢棄的存儲介質要進行銷毀。4.4.5.2 檢查方式文檔查驗、人員訪談、現(xiàn)場核查。4.4.5.3 檢查方法a）訪談網絡管理員，檢查大容量存儲介質是否存在遠程維護，對于有遠程維護的，進一步檢查是否有相應的安全風險控制措施；查看光纖、網線等物理線路連接情況，檢查大容量存儲介質是否在無防護措施情況下與互聯(lián)網及其他公共信息網絡直接連接；b）查驗相關記錄，檢查是否對移動存儲介質進行統(tǒng)一管理，包括統(tǒng)一領用、交回、維修、報廢、

40、銷毀等；c）查看服務器和辦公終端計算機上的殺毒軟件，檢查是否開啟了移動存儲介質接入自動查殺功能；d）查看設備臺賬或實物，檢查是否配備了電子信息消除和銷毀設備。表13 存儲介質安全防護檢查結果記錄表移動存儲介質安全防護管理方式： 集中管理，統(tǒng)一登記、配發(fā)、收回、維修、報廢、銷毀 未采取集中管理方式信息銷毀：已配備信息消除和銷毀設備 未配備信息消除和銷毀設備4.4.6 漏洞修復情況檢查4.4.6.1 要求a）應定期對本單位主機、網絡安全防護設備、信息系統(tǒng)進行漏洞檢測，對于發(fā)現(xiàn)的安全漏洞及時進行修復處置；b）重視自行監(jiān)測發(fā)現(xiàn)與第三方漏洞通報機構告知的漏洞風險，及時處置。4.4.6.2 檢查方法人員訪

41、談、現(xiàn)場核查4.4.6.3 檢查要求a）查看相關漏洞掃描記錄，確定掃描時間和周期；b）查驗收到的漏洞風險通報，訪談網站安全管理人員是否對漏洞風險進行及時處置；c）查驗事件處置記錄，檢查網絡安全事件報告和通報機制建立情況，是否對所有網絡安全事件都進行了處置。表14 漏洞修復情況檢查結果記錄表漏洞修復情況漏洞檢測周期：每月 每季度 每年 不進行漏洞檢測2015年自行發(fā)現(xiàn)漏洞數(shù)量： 個收到漏洞風險通報數(shù)量： 個其中已得到處置的漏洞風險數(shù)量： 個4.5 網絡安全應急工作情況檢查4.5.1 要求a）應制定網絡安全事件應急預案，原則上每年評估一次，并根據(jù)實際情況適時修訂；b）應組織開展應急預案的宣貫培訓，

42、確保相關人員熟悉應急預案；c）每年應開展網絡安全應急演練，檢驗應急預案的可操作性，并將演練情況報網絡安全主管部門；d）應建立網絡安全事件報告和通報機制，提高預防預警能力；e）應明確應急技術支援隊伍，做好應急技術支援準備；f）應做好網絡安全應急物資保障，確保必要的備機、備件等資源到位；g）應根據(jù)業(yè)務實際需要對重要數(shù)據(jù)和業(yè)務系統(tǒng)進行備份。4.5.2 檢查方式文檔查驗、人員訪談。4.5.3 檢查方法a）查驗應急預案文本等，檢查應急預案制定和年度評估修訂情況；b）查驗宣貫材料和培訓記錄，檢查是否開展過預案宣貫培訓；訪談系統(tǒng)管理員、網絡管理員和工作人員，檢查其對應急預案的熟悉程度；c）查驗演練計劃、方案

43、、記錄、總結等文檔，檢查本年度是否開展了應急演練；d）查驗事件處置記錄，檢查網絡安全事件報告和通報機制建立情況，是否對所有網絡安全事件都進行了處置；e）查驗應急技術支援隊伍合同及安全協(xié)議、參與應急技術演練及應急響應等工作的記錄文件，確認應急技術支援隊伍能夠發(fā)揮有效的應急技術支撐作用；f）查驗設備或采購協(xié)議，檢查是否有網絡安全應急保障物資或有供應渠道；g）查驗備份數(shù)據(jù)和備份系統(tǒng)，檢查是否對重要數(shù)據(jù)和業(yè)務系統(tǒng)進行了備份。表15 網絡安全應急工作檢查結果記錄表應急預案已制定 2015年修訂情況：修訂 未修訂未制定2015年應急預案啟動次數(shù)： 應急演練2015年已開展，演練次數(shù)： ，其中實戰(zhàn)演練數(shù)：

44、2015年未開展應急技術隊伍本部門所屬 外部服務機構 無4.6 網絡安全教育培訓情況檢查4.6.1 要求a）應加強網絡安全宣傳和教育培訓工作，提高網絡安全意識，增強網絡安全基本防護技能；b）應定期開展網絡安全管理人員和技術人員專業(yè)技能培訓，提高網絡安全工作能力和水平；c）應記錄并保存網絡安全教育培訓、考核情況和結果。4.6.2 檢查方式文檔查驗、人員訪談。4.6.3 檢查方法a）查驗教育宣傳計劃、會議通知、宣傳資料等文檔，檢查網絡安全形勢和警示教育、基本防護技能培訓開展情況；b）訪談機關工作人員，檢查網絡安全基本防護技能掌握情況；c）查驗培訓通知、培訓教材、結業(yè)證書等，檢查網絡安全管理和技術人

45、員專業(yè)技能培訓情況。表16 網絡安全教育培訓檢查結果記錄表培訓次數(shù)2015年開展網絡安全教育培訓（非保密培訓）的次數(shù)：_培訓人數(shù)2015年參加網絡安全教育培訓的人數(shù)：_ 占本單位總人數(shù)的比例：_4.7 技術檢測及網絡安全事件情況4.7.1 技術檢測情況4.7.1.1 滲透測試a）應重點對認定為關鍵信息基礎設施的信息系統(tǒng)進行安全檢測；b）使用漏洞掃描等工具測試關鍵信息基礎設施，檢測是否存在安全漏洞；c）開展人工滲透測試，檢查是否可以獲取應用系統(tǒng)權限，驗證網站是否可以被掛馬、篡改頁面、獲取敏感信息等，檢查系統(tǒng)是否被入侵過（存在入侵痕跡）等。表17 滲透測試檢查結果統(tǒng)計表滲透測試進行滲透測試的系統(tǒng)數(shù)

46、量： 其中，可以成功控制的系統(tǒng)數(shù)量： 表18 信息系統(tǒng)滲透測試登記表1. 信息系統(tǒng)抽查清單序號系統(tǒng)名稱域名或IP主管部門運維單位12. 存在高、中風險漏洞的信息系統(tǒng)情況序號系統(tǒng)名稱高、中風險漏洞列舉/級別數(shù)量13. 存在入侵痕跡的信息系統(tǒng)情況序號系統(tǒng)名稱入侵痕跡列舉數(shù)量14. 可獲取系統(tǒng)權限的信息系統(tǒng)情況序號系統(tǒng)名稱入侵痕跡列舉數(shù)量14.7.1.2 惡意代碼及安全漏洞檢測a）可根據(jù)工作實際合理安排年度檢測的服務器數(shù)量，每12年對所有服務器進行一次技術檢測，重要業(yè)務系統(tǒng)和門戶網站系統(tǒng)的服務器應作為檢測重點；b）使用病毒木馬檢測工具，檢測服務器是否感染了病毒、木馬等惡意代碼；c）使用漏洞掃描等工具

47、檢測服務器操作系統(tǒng)、端口、應用、服務及補丁更新情況，檢測是否關閉了不必要的端口、應用、服務，是否存在安全漏洞。表19 惡意代碼、安全漏洞檢測結果統(tǒng)計表惡意代碼檢測結果進行病毒木馬等惡意代碼檢測的服務器臺數(shù)：_其中，存在惡意代碼的服務器臺數(shù)：_進行病毒木馬等惡意代碼檢測的終端計算機臺數(shù)：_其中，存在惡意代碼的終端計算機臺數(shù)：_安全漏洞檢測結果進行漏洞掃描的服務器臺數(shù)：_其中，存在高風險漏洞的服務器臺數(shù)：_進行漏洞掃描的終端計算機臺數(shù)：_其中，存在高風險漏洞的終端計算機臺數(shù)：_表20 服務器惡意代碼及安全漏洞檢測結果記錄表1. 服務器抽查清單序號服務器名稱/編號用途/承載的業(yè)務系統(tǒng)重要性（按等級）

48、主管部門運維單位12. 感染病毒木馬等惡意代碼的服務器情況序號服務器名稱/編號病毒木馬等惡意代碼名稱數(shù)量123. 存在高風險漏洞的服務器情況序號服務器名稱/編號主要漏洞列舉數(shù)量1表21 終端計算機惡意代碼及安全漏洞檢測結果記錄表1. 終端計算機抽查清單序號計算機名稱/編號責任人所屬部門備注12. 感染病毒木馬等惡意代碼的終端計算機情況序號計算機名稱/編號病毒木馬等惡意代碼名稱數(shù)量123. 存在高風險漏洞的終端計算機情況序號服務器名稱/編號主要漏洞列舉數(shù)量14.7.2 網絡安全事件情況a）查看入侵檢測、網絡防火墻、Web應用防火墻、數(shù)據(jù)庫審計設備中日志記錄，統(tǒng)計得出檢測到的攻擊數(shù)；b）查閱本年度

49、風險評估及系統(tǒng)安全測評評估報告等相關記錄文檔，統(tǒng)計出網絡安全事件數(shù)；c）查閱年度收到各平臺發(fā)布的網絡安全風險提示數(shù)。表22 網絡安全事件檢查結果表網絡安全事件情況監(jiān)測到的網絡攻擊次數(shù)： 其中：本單位遭受DDoS攻擊次數(shù)： 系統(tǒng)被嵌入惡意代碼次數(shù)： 網絡安全事件次數(shù)： 其中：服務中斷次數(shù)： 信息泄露次數(shù)： 網頁被篡改次數(shù)： 4.8 外包服務管理情況檢查4.8.1 要求a）應建立并嚴格執(zhí)行信息技術外包服務安全管理制度；b）應與信息技術外包服務提供商簽訂服務合同和網絡安全與保密協(xié)議，明確網絡安全與保密責任，要求服務提供商不得將服務轉包，不得泄露、擴散、轉讓服務過程中獲知的敏感信息，不得占有服務過程中產生的任何資產，不得以服務為由強制要求委托方購買、使用指定產品；c）信息技術現(xiàn)場服務過程中應安排專人陪同，并詳細記錄服務過程；d）外包開發(fā)的系統(tǒng)、軟件上線應用前應進行安全測評，要求開發(fā)方及時提供系統(tǒng)、軟件的升級、漏洞等信息和相應服務；e）信息系統(tǒng)運維外包不得采用遠程在線運維服務方式；4.8.2 檢查方式文檔查驗、人員訪談。4.8.3 檢查方法a）查驗相關制度文檔，檢查是否有外包服務安全管理制度；b）查驗信息技術外