认证主体:宁夏凯米世纪网络科技有限公司
IP属地:宁夏
统一社会信用代码/组织机构代码
91640100MA774ECW4K
1、国家网络安全检查操作指南中央网络安全和信息化领导小组办公室网络安全协调局2016年6月目录1概述11.1检查目的11.2检查工作流程12检查工作部署32.1研究制定检查方案32.2成立检查办公室32.3下达检查通知32.4组织专项培训33关键信息基础设施摸底43.1关键信息基础设施定义及范围43.2确定关键信息基础设施步骤43.3关键信息基础设施信息登记64网络安全检查74.1网络安全责任制落实情况检查74.2网络安全日常管理情况检查84.3.1人员管理检查84.3.2信息资产管理情况检查84.3.3经费保障情况检查94.3信息系统基本情况检查104.1.1
2、基本信息梳理104.1.2系统构成情况梳理104.1.2.1主要硬件构成104.1.2.2主要软件构成124.4网络安全技术防护情况检查134.4.1网络边界安全防护情况检查134.4.2无线网络安全防护情况检查134.4.3电子邮件系统安全防护情况检查144.4.4终端计算机安全防护情况检查154.4.5移动存储介质检查164.4.6漏洞修复情况检查174.5网络安全应急工作情况检查194.6网络安全教育培训情况检查204.7技术检测及网络安全事件情况214.7.1技术检测情况214.7.1.1渗透测试214.7.1.2恶意代码及安全漏洞检测214.7.2网
3、络安全事件情况234.8外包服务管理情况检查245检查总结整改265.1汇总检查结果265.2分析问题隐患265.3研究整改措施265.4编写总结报告266注意事项276.1认真做好总结276.2加强风险控制276.3加强保密管理27附件网络安全检查总结报告参考格式28国家网络安全检查操作指南为指导关键信息基础设施网络安全检查工作,依据关于开展关键信息基础设施网络安全检查的通知(中网办发20163号,以下简称检查通知),参照信息安全技术政府部门信息安全管理基本要求(gb/t29245-2012)等国家网络安全技术标准规范,制定本指南。本指南主要用于各地区、各部门、各单位
4、在开展关键信息基础设施网络安全检查工作(以下简称“检查工作”)时参考。1概述1.1检查目的为贯彻落实习近平总书记关于“加快构建关键信息基础设施安全保障体系”,“全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改”的重要指示精神,摸清关键信息基础设施底数,掌握关键信息基础设施风险和防护状况,以查“促建、促管、促改、促防”,推动建立关键信息基础设施网络安全责任制和防范体系,保障关键信息基础设施的安全稳定运行。1.2检查工作流程检查工作流程通常包括检查工作部署、关键信息基础设施摸底、网络安全检查、检查总结整改四个步骤。其中,网络安全检查包括信息系统基本情况检查、网络安全责任
5、制落实情况检查、网络安全日常管理情况检查、网络安全防护情况检查、网络安全应急工作情况检查、网络安全教育培训情况检查、技术检测及网络安全事件情况检查、信息技术外包服务机构情况检查等八个环节,如下图所示。图1网络安全检查工作流程图2检查工作部署检查工作部署通常包括研究制定检查方案、成立检查办公室、下达检查通知等具体工作。2.1研究制定检查方案本单位网络安全管理部门根据检查通知统一安排,结合工作实际,制定检查方案,并报本单位网络安全主管领导批准。检查方案应当明确以下内容:(1)检查工作负责人、组织机构和具体实施机构;(2)检查范围和检查重点;(3)检查内容;(4)检查工作组织开展方式;(5)
9、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。3.2确定关键信息基础设施步骤关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系
10、统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。(一)确定本地区、本部门、本行业的关键业务。可参考表1,结合本地区、本部门、本行业实际梳理关键业务。表1关键信息基础设施业务判定表行业关键业务能源电力l电力生产(含火电、水电、核电等)l电力传输l电力配送石油石化l油气开采l炼化加工l油气输送l油气储存煤炭l煤炭开采l煤化工金融l银行运营l证券期货交易l清算支付l保险运营交通铁路l客运服务l货运服务l运输生产l车站运行民航l空运交通管控l机场运行l订票、离港及飞行调度检查安排l航空公司运营公路l公路交通管控
11、l智能交通系统(一卡通、etc收费等)水运l水运公司运营(含客运、货运)l港口管理运营l航运交通管控水利l水利枢纽运行及管控l长距离输水管控l城市水源地管控医疗卫生l医院等卫生机构运行l疾病控制l急救中心运行环境保护l环境监测及预警(水、空气、土壤、核辐射等)工业制造(原材料、装备、消费品、电子制造)l企业运营管理l智能制造系统(工业互联网、物联网、智能装备等)l危化品生产加工和存储管控(化学、核等)l高风险工业设施运行管控市政l水、暖、气供应管理l城市轨道交通l污水处理l智慧城市运行及管控电信与互联网l语音、数据、互联网基础网络及枢纽l域名解析服务和
13、1.县级(含)以上党政机关网站。(2016年检查中,所有党政机关网站均应填写上报登记表)2.重点新闻网站。(2016年检查中,所有新闻网站均应填写上报登记表)3.日均访问量超过100万人次的网站。4.一旦发生网络安全事故,可能造成以下影响之一的:(1)影响超过100万人工作、生活;(2)影响单个地市级行政区30%以上人口的工作、生活;(3)造成超过100万人个人信息泄露;(4)造成大量机构、企业敏感信息泄露;(5)造成大量地理、人口、资源等国家基础数据泄露;(6)严重损害政府形象、社会秩序,或危害国家安全。5.其他应该认定为关键信息基础设施。b.平台类符合以下条件之一的,可认定为关键
14、信息基础设施:1.注册用户数超过1000万,或活跃用户(每日至少登陆一次)数超过100万。2.日均成交订单额或交易额超过1000万元。3.一旦发生网络安全事故,可能造成以下影响之一的:(1)造成1000万元以上的直接经济损失;(2)直接影响超过1000万人工作、生活;(3)造成超过100万人个人信息泄露;(4)造成大量机构、企业敏感信息泄露;(5)造成大量地理、人口、资源等国家基础数据泄露;(6)严重损害社会和经济秩序,或危害国家安全。4.其他应该认定为关键信息基础设施。c.生产业务类符合以下条件之一的,可认定为关键信息基础设施:1.地市级以上政府机关面向公众服务的业务系统,或与医疗、
16、定本单位所主管的关键信息基础设施,并通过填报工具填写登记表。主要包括:a)设施主管单位信息;b)设施主要负责人、网络安全管理部门负责人、运维单位负责人联系方式;c)设施提供服务的基本类型、功能描述、网页入口信息、发生网络安全事故后影响分析、投入情况、信息技术产品国产化率;e)数据存储情况;f)运行环境情况;g)运行维护情况;h)网络安全状况;i)商用密码使用情况。填报工具的使用,详见国家网络安全检查信息共享平台及关键信息基础设施填报工具使用手册4网络安全检查4.1网络安全责任制落实情况检查网络安全责任制落实情况检查通常包括网络安全管理工作单位领导、网络安全管理工作内设机构、网络安全责任制度
20、应建立外部人员访问机房等重要区域审批制度,外部人员须经审批后方可进入,并安排本单位工作人员现场陪同,对访问活动进行记录并留存;d)应对网络安全责任事故进行查处,对违反网络安全管理规定的人员给予严肃处理,对造成网络安全事故的依法追究当事人和有关负责人的责任,并以适当方式通报。4.3.1.2检查方式文档查验、人员访谈。4.3.1.3检查方法a)查验岗位网络安全责任制度文件,检查系统管理员、网络管理员、网络安全员、一般工作人员等不同岗位的网络安全责任是否明确;检查重点岗位人员网络安全与保密协议签订情况;访谈部分重点岗位人员,抽查对网络安全责任的了解程度;b)查验人员离岗离职管理制度文件,检查是否
21、有终止系统访问权限、收回软硬件设备、收回身份证件和门禁卡等要求;检查离岗离职人员安全保密承诺书签署情况;查验信息系统账户,检查离岗离职人员账户访问权限是否已被终止;c)查验外部人员访问机房等重要区域的审批制度文件,检查是否有访问审批、人员陪同等要求;查验访问审批记录、访问活动记录,检查记录是否清晰、完整;d)查验安全事件记录及安全事件责任查处等文档,检查是否发生过因违反制度规定造成的网络安全事件、是否对网络安全事件责任人进行了处置。表3人员管理检查结果记录表人员管理重点岗位人员安全保密协议:全部签订部分签订均未签订人员离岗离职安全管理规定:已制定未制定外部人员访问机房等重要区域审批制度
22、:已建立未建立4.3.2信息资产管理情况检查4.3.2.1要求a)应建立并严格执行信息资产管理制度;b)应指定专人负责信息资产管理;c)应建立信息资产台账(清单),统一编号、统一标识、统一发放;d)应及时记录信息资产状态和使用情况,保证账物相符;e)应建立并严格执行设备维修维护和报废管理制度。4.3.2.2检查方式文档查验、人员访谈。4.3.2.3检查方法a)查验信息资产管理制度文档,检查信息资产管理制度是否建立;b)查验设备管理员任命及岗位分工等文件,检查是否明确专人负责信息资产管理;访谈设备管理员,检查其对信息资产管理制度和日常工作任务的了解程度;c)查验信息资产台账,检查台账是否完
27、)品牌联想长城方正清华同方华硕宏基数量其他:1.品牌,数量2.品牌,数量使用国产cpu的台数使用国产操作系统的台数:使用windowsxp/7/8的台数:安装国产字处理软件的台数:安装国产防病毒软件的台数:路由器品牌华为中兴锐捷网络h3cciscojuniper数量其他:1.品牌,数量2.品牌,数量交换机品牌华为中兴锐捷网络h3cciscojuniper数量其他:1.品牌,数量2.品牌,数量存储设备总台数:1.品牌,数量2.品牌,数量防火墙1.品牌,数量2.品牌,数量(如有更多,可另列表)负载均衡设备1.品牌,数量2
28、.品牌,数量(如有更多,可另列表)入侵检测设备(入侵防御)1.品牌,数量2.品牌,数量(如有更多,可另列表)安全审计设备1.品牌,数量2.品牌,数量(如有更多,可另列表)其他1.设备类型:,品牌,数量2.设备类型:,品牌,数量(如有更多,可另列表)4.1.2.2主要软件构成重点梳理主要软件类型、套数、生产商(品牌)情况,记录结果(表8)。软件类型主要有:操作系统、数据库管理系统、公文处理软件、邮件系统及主要业务应用系统。表8信息系统主要软件构成梳理记录表检查项检查结果操作系统品牌红旗麒麟windowsredhathp-unixaixsolar
29、is数量其他:1.品牌,数量2.品牌,数量(如有更多,可另列表)数据库管理系统品牌金仓达梦oracledb2sqlserveraccessmysql数量其他:1.品牌,数量2.品牌,数量公文处理软件品牌数量邮件系统总数:1.品牌,数量2.品牌,数量其他1.设备类型:,品牌,数量2.设备类型:,品牌,数量(如有更多,可另列表)4.4网络安全技术防护情况检查4.4.1网络边界安全防护情况检查4.4.1.1要求a)非涉密信息系统与互联网及其他公共信息网络应实行逻辑隔离,涉密信息系统与互联网及其他公共信息网络应实行物理隔离;b)建立互联网接
30、入审批和登记制度,严格控制互联网接入口数量,加强互联网接入口安全管理和安全防护;c)应采取访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范等措施,进行网络边界防护;d)应根据承载业务的重要性对网络进行分区分域管理,采取必要的技术措施对不同网络分区进行防护、对不同安全域之间实施访问控制;e)应对网络日志进行管理,定期分析,及时发现安全风险。4.4.1.2检查方式文档查验、现场核查。4.4.1.3检查方法a)查验网络拓扑图,检查重要设备连接情况,现场核查内部办公系统等非涉密系统的交换机、路由器等网络设备,确认以上设备的光纤、网线等物理线路没有与互联网及其他公共信息网络直接连接,有相应
31、的安全隔离措施;b)查验网络拓扑图,检查接入互联网情况,统计网络外联的出口个数,检查每个出口是否均有相应的安全防护措施(互联网接入口指内部网络与公共互联网边界处的接口,如联通、电信等提供的互联网接口,不包括内部网络与其他非公共网络连接的接口);c)查验网络拓扑图,检查是否在网络边界部署了访问控制(如防火墙)、入侵检测、安全审计以及非法外联检测、病毒防护等必要的安全设备;d)分析网络拓扑图,检查网络隔离设备部署、交换机vlan划分情况,检查网络是否按重要程度划分了安全区域,并确认不同区域间采用了正确的隔离措施;e)查验网络日志(重点是互联网访问日志)及其分析报告,检查日志分析周期、日志保存方式和
35、箱口令策略配置界面,检查电子邮件系统是否设置了口令策略,是否对口令强度和更改周期等进行要求。d)查验设备部署或配置情况,检查电子邮件系统是否采取了反垃圾邮件、病毒木马防护等技术安全防护措施;表11电子邮件系统安全防护检查结果记录表电子邮件安全防护建设方式:自行建设由上级单位统一管理使用第三方服务邮件服务提供商帐户数量:个注册管理:须经审批登记任意注册注销管理:人员离职后,及时注销无管理措施口令管理:使用技术措施控制口令强度位数要求:4位6位8位其他:复杂度要求:数字字母特殊字符更换频次要求:强制定期更换,更换频次:无强制更换要求没有采取技术措施控制口令强度安全防护:
36、(可多选)采取数字证书采取反垃圾邮件措施其他:4.4.4终端计算机安全防护情况检查4.4.4.1要求a)应采用集中统一管理方式对终端计算机进行管理,统一软件下发,统一安装系统补丁,统一实施病毒库升级和病毒查杀,统一进行漏洞扫描;b)应规范软硬件使用,不得擅自更改软硬件配置,不得擅自安装软件;c)应加强账户及口令管理,使用具有一定强度的口令并定期更换;d)应对接入互联网的终端计算机采取控制措施,包括实名接入认证、ip地址与mac地址绑定等;e)应定期对终端计算机进行安全审计;f)非涉密计算机不得存储和处理国家秘密信息。4.4.4.2检查方式现场核查、工具检测。4.4.4.3检查方法a)
38、算机安全防护管理方式:集中统一管理(可多选)规范软硬件安装统一补丁升级统一病毒防护统一安全审计对移动存储介质接入实施控制统一身份管理分散管理接入互联网安全控制措施:有控制措施(如实名接入、绑定计算机ip和mac地址等)无控制措施接入办公系统安全控制措施:有控制措施(如实名接入、绑定计算机ip和mac地址等)无控制措施4.4.5移动存储介质检查4.4.5.1要求a)应严格存储阵列、磁带库等大容量存储介质的管理,采取技术措施防范外联风险,确保存储数据安全;b)应对移动存储介质进行集中统一管理,记录介质领用、交回、维修、报废、销毁等情况;c)非涉密移动存储介质不得存储涉及国家秘
40、销毁等;c)查看服务器和办公终端计算机上的杀毒软件,检查是否开启了移动存储介质接入自动查杀功能;d)查看设备台账或实物,检查是否配备了电子信息消除和销毁设备。表13存储介质安全防护检查结果记录表移动存储介质安全防护管理方式:集中管理,统一登记、配发、收回、维修、报废、销毁未采取集中管理方式信息销毁:已配备信息消除和销毁设备未配备信息消除和销毁设备4.4.6漏洞修复情况检查4.4.6.1要求a)应定期对本单位主机、网络安全防护设备、信息系统进行漏洞检测,对于发现的安全漏洞及时进行修复处置;b)重视自行监测发现与第三方漏洞通报机构告知的漏洞风险,及时处置。4.4.6.2检查方法人员访
43、、记录、总结等文档,检查本年度是否开展了应急演练;d)查验事件处置记录,检查网络安全事件报告和通报机制建立情况,是否对所有网络安全事件都进行了处置;e)查验应急技术支援队伍合同及安全协议、参与应急技术演练及应急响应等工作的记录文件,确认应急技术支援队伍能够发挥有效的应急技术支撑作用;f)查验设备或采购协议,检查是否有网络安全应急保障物资或有供应渠道;g)查验备份数据和备份系统,检查是否对重要数据和业务系统进行了备份。表15网络安全应急工作检查结果记录表应急预案已制定2015年修订情况:修订未修订未制定2015年应急预案启动次数:应急演练2015年已开展,演练次数:,其中实战演练数:
44、2015年未开展应急技术队伍本部门所属外部服务机构无4.6网络安全教育培训情况检查4.6.1要求a)应加强网络安全宣传和教育培训工作,提高网络安全意识,增强网络安全基本防护技能;b)应定期开展网络安全管理人员和技术人员专业技能培训,提高网络安全工作能力和水平;c)应记录并保存网络安全教育培训、考核情况和结果。4.6.2检查方式文档查验、人员访谈。4.6.3检查方法a)查验教育宣传计划、会议通知、宣传资料等文档,检查网络安全形势和警示教育、基本防护技能培训开展情况;b)访谈机关工作人员,检查网络安全基本防护技能掌握情况;c)查验培训通知、培训教材、结业证书等,检查网络安全管理和技术人
45、员专业技能培训情况。表16网络安全教育培训检查结果记录表培训次数2015年开展网络安全教育培训(非保密培训)的次数:_培训人数2015年参加网络安全教育培训的人数:_占本单位总人数的比例:_4.7技术检测及网络安全事件情况4.7.1技术检测情况4.7.1.1渗透测试a)应重点对认定为关键信息基础设施的信息系统进行安全检测;b)使用漏洞扫描等工具测试关键信息基础设施,检测是否存在安全漏洞;c)开展人工渗透测试,检查是否可以获取应用系统权限,验证网站是否可以被挂马、篡改页面、获取敏感信息等,检查系统是否被入侵过(存在入侵痕迹)等。表17渗透测试检查结果统计表渗透测试进行渗透测试的系统数
46、量:其中,可以成功控制的系统数量:表18信息系统渗透测试登记表1.信息系统抽查清单序号系统名称域名或ip主管部门运维单位12.存在高、中风险漏洞的信息系统情况序号系统名称高、中风险漏洞列举/级别数量13.存在入侵痕迹的信息系统情况序号系统名称入侵痕迹列举数量14.可获取系统权限的信息系统情况序号系统名称入侵痕迹列举数量14.7.1.2恶意代码及安全漏洞检测a)可根据工作实际合理安排年度检测的服务器数量,每12年对所有服务器进行一次技术检测,重要业务系统和门户网站系统的服务器应作为检测重点;b)使用病毒木马检测工具,检测服务器是否感染了病毒、木马等恶意代码;c)使用漏洞扫描等工具
47、检测服务器操作系统、端口、应用、服务及补丁更新情况,检测是否关闭了不必要的端口、应用、服务,是否存在安全漏洞。表19恶意代码、安全漏洞检测结果统计表恶意代码检测结果进行病毒木马等恶意代码检测的服务器台数:_其中,存在恶意代码的服务器台数:_进行病毒木马等恶意代码检测的终端计算机台数:_其中,存在恶意代码的终端计算机台数:_安全漏洞检测结果进行漏洞扫描的服务器台数:_其中,存在高风险漏洞的服务器台数:_进行漏洞扫描的终端计算机台数:_其中,存在高风险漏洞的终端计算机台数:_表20服务器恶意代码及安全漏洞检测结果记录表1.服务器抽查清单序号服务器名称/编号用途/承载的业务系统重要性(按等级)
48、主管部门运维单位12.感染病毒木马等恶意代码的服务器情况序号服务器名称/编号病毒木马等恶意代码名称数量123.存在高风险漏洞的服务器情况序号服务器名称/编号主要漏洞列举数量1表21终端计算机恶意代码及安全漏洞检测结果记录表1.终端计算机抽查清单序号计算机名称/编号责任人所属部门备注12.感染病毒木马等恶意代码的终端计算机情况序号计算机名称/编号病毒木马等恶意代码名称数量123.存在高风险漏洞的终端计算机情况序号服务器名称/编号主要漏洞列举数量14.7.2网络安全事件情况a)查看入侵检测、网络防火墙、web应用防火墙、数据库审计设备中日志记录,统计得出检测到的攻击数;b)查阅本年度