检查网站安全性测试

国家网络安全检查操作指南中央网络安全和信息化领导小组办公室网络安全协调局2016年6月目录1概述11.
1检查目的11.
2检查工作流程12检查工作部署32.
1研究制定检查方案32.
2成立检查办公室32.
3下达检查通知32.
4组织专项培训33关键信息基础设施摸底43.
1关键信息基础设施定义及范围43.
2确定关键信息基础设施步骤43.
3关键信息基础设施信息登记64网络安全检查74.
1网络安全责任制落实情况检查74.
2网络安全日常管理情况检查84.
3.
1人员管理检查84.
3.
2信息资产管理情况检查84.
3.
3经费保障情况检查94.
3信息系统基本情况检查104.
1.
1基本信息梳理104.
1.
2系统构成情况梳理104.
1.
2.
1主要硬件构成104.
1.
2.
2主要软件构成124.
4网络安全技术防护情况检查134.
4.
1网络边界安全防护情况检查134.
4.
2无线网络安全防护情况检查134.
4.
3电子邮件系统安全防护情况检查144.
4.
4终端计算机安全防护情况检查154.
4.
5移动存储介质检查164.
4.
6漏洞修复情况检查174.
5网络安全应急工作情况检查194.
6网络安全教育培训情况检查204.
7技术检测及网络安全事件情况214.
7.
1技术检测情况214.
7.
1.
1渗透测试214.
7.
1.
2恶意代码及安全漏洞检测214.
7.
2网络安全事件情况234.
8外包服务管理情况检查245检查总结整改265.
1汇总检查结果265.
2分析问题隐患265.
3研究整改措施265.
4编写总结报告266注意事项276.
1认真做好总结276.
2加强风险控制276.
3加强保密管理27网络安全检查总结报告参考格式28国家网络安全检查操作指南为指导关键信息基础设施网络安全检查工作,依据《关于开展关键信息基础设施网络安全检查的通知》(中网办发﹝2016﹞3号,以下简称《检查通知》),参照《信息安全技术政府部门信息安全管理基本要求》(GB/T29245-2012)等国家网络安全技术标准规范,制定本指南.
本指南主要用于各地区、各部门、各单位在开展关键信息基础设施网络安全检查工作(以下简称"检查工作")时参考.
概述检查目的为贯彻落实习近平总书记关于"加快构建关键信息基础设施安全保障体系","全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改"的重要指示精神,摸清关键信息基础设施底数,掌握关键信息基础设施风险和防护状况,以查"促建、促管、促改、促防",推动建立关键信息基础设施网络安全责任制和防范体系,保障关键信息基础设施的安全稳定运行.

检查工作流程检查工作流程通常包括检查工作部署、关键信息基础设施摸底、网络安全检查、检查总结整改四个步骤.
其中,网络安全检查包括信息系统基本情况检查、网络安全责任制落实情况检查、网络安全日常管理情况检查、网络安全防护情况检查、网络安全应急工作情况检查、网络安全教育培训情况检查、技术检测及网络安全事件情况检查、信息技术外包服务机构情况检查等八个环节,如下图所示.

图1网络安全检查工作流程图检查工作部署检查工作部署通常包括研究制定检查方案、成立检查办公室、下达检查通知等具体工作.
研究制定检查方案本单位网络安全管理部门根据《检查通知》统一安排,结合工作实际,制定检查方案,并报本单位网络安全主管领导批准.
检查方案应当明确以下内容:(1)检查工作负责人、组织机构和具体实施机构;(2)检查范围和检查重点;(3)检查内容;(4)检查工作组织开展方式;(5)检查工作时间进度安排;(6)有关工作要求.

1.
关于检查范围.
检查的范围通常包括本单位各内设机构,以及为本单位信息系统(包括网站系统、平台系统、生产业务系统等)提供运行维护支撑服务的下属单位.
可根据本单位网络安全保障工作需要,将其他为本单位信息系统提供运维服务、对本单位信息系统安全可能产生重大影响的相关单位纳入检查范围.

2.
关于检查重点.
在对各类信息系统进行全面检查的基础上,应突出重点,对事关国家安全和社会稳定,对地区、部门或行业正常生产生活具有较大影响的关键信息基础设施进行重点检查.
3.
关于关键信息基础设施确定,应结合本单位实际,参考《关于开展关键信息基础设施网络安全检查的通知》中的《关键信息基础设施确定指南》进行确定.
成立检查办公室本单位网络安全管理部门制定完成检查方案后,应及时成立检查办公室,明确人员、经费和技术保障;组织开展培训,保证办公室成员熟悉检查方案,掌握检查内容、填报工具使用方法等.
办公室成员通常由网络安全管理及运维部门、信息化部门有关人员,相关业务部门中熟悉业务、具备网络安全知识的人员,以及本单位相关技术支撑机构的业务骨干等组成.
对于网络与信息系统复杂、检查工作涉及部门多的单位,可根据需要成立检查工作领导小组,负责检查工作的组织协调与资源配置.
领导小组组长可由本单位主要负责同志担任,领导小组成员可包括网络安全管理机构负责人(如办公厅主任)、信息化部门负责人(如信息中心主任),以及其他相关部门负责人(如人事部门、财务部门、业务部门领导)等.

下达检查通知本单位网络安全管理部门应以书面形式部署关键信息基础设施网络安全检查工作,明确检查时间、检查范围、检查内容、工作要求等具体事项.
组织专项培训本单位要组织专项培训,对本单位负责检查工作的干部、专家、技术人员、有关关键信息基础设施运维人员等进行广泛培训,确保检查工作质量,培训内容应包括检查目的意义、流程方法、关键信息基础设施确定方法及登记表填报说明、网络安全检查方法等.

关键信息基础设施摸底关键信息基础设施定义及范围关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失.

关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等.

确定关键信息基础设施步骤关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施.

(一)确定本地区、本部门、本行业的关键业务.
可参考表1,结合本地区、本部门、本行业实际梳理关键业务.
表1关键信息基础设施业务判定表行业关键业务能源电力电力生产(含火电、水电、核电等)电力传输电力配送石油石化油气开采炼化加工油气输送油气储存煤炭煤炭开采煤化工金融银行运营证券期货交易清算支付保险运营交通铁路客运服务货运服务运输生产车站运行民航空运交通管控机场运行订票、离港及飞行调度检查安排航空公司运营公路公路交通管控智能交通系统(一卡通、ETC收费等)水运水运公司运营(含客运、货运)港口管理运营航运交通管控水利水利枢纽运行及管控长距离输水管控城市水源地管控医疗卫生医院等卫生机构运行疾病控制急救中心运行环境保护环境监测及预警(水、空气、土壤、核辐射等)工业制造(原材料、装备、消费品、电子制造)企业运营管理智能制造系统(工业互联网、物联网、智能装备等)危化品生产加工和存储管控(化学、核等)高风险工业设施运行管控市政水、暖、气供应管理城市轨道交通污水处理智慧城市运行及管控电信与互联网语音、数据、互联网基础网络及枢纽域名解析服务和国家顶级域注册管理数据中心/云服务广播电视电视播出管控广播播出管控政府部门信息公开面向公众服务办公业务系统(二)确定关键业务相关的信息系统或工业控制系统.
根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单.
如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等.

(三)认定关键信息基础设施.
对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施.
A.
网站类符合以下条件之一的,可认定为关键信息基础设施:1.
县级(含)以上党政机关网站.
(2016年检查中,所有党政机关网站均应填写上报登记表)2.
重点新闻网站.
(2016年检查中,所有新闻网站均应填写上报登记表)3.
日均访问量超过100万人次的网站.
4.
一旦发生网络安全事故,可能造成以下影响之一的:(1)影响超过100万人工作、生活;(2)影响单个地市级行政区30%以上人口的工作、生活;(3)造成超过100万人个人信息泄露;(4)造成大量机构、企业敏感信息泄露;(5)造成大量地理、人口、资源等国家基础数据泄露;(6)严重损害政府形象、社会秩序,或危害国家安全.
5.
其他应该认定为关键信息基础设施.
B.
平台类符合以下条件之一的,可认定为关键信息基础设施:1.
注册用户数超过1000万,或活跃用户(每日至少登陆一次)数超过100万.
2.
日均成交订单额或交易额超过1000万元.
3.
一旦发生网络安全事故,可能造成以下影响之一的:(1)造成1000万元以上的直接经济损失;(2)直接影响超过1000万人工作、生活;(3)造成超过100万人个人信息泄露;(4)造成大量机构、企业敏感信息泄露;(5)造成大量地理、人口、资源等国家基础数据泄露;(6)严重损害社会和经济秩序,或危害国家安全.
4.
其他应该认定为关键信息基础设施.
C.
生产业务类符合以下条件之一的,可认定为关键信息基础设施:1.
地市级以上政府机关面向公众服务的业务系统,或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统.
2.
规模超过1500个标准机架的数据中心.
3.
一旦发生安全事故,可能造成以下影响之一的:(1)影响单个地市级行政区30%以上人口的工作、生活;(2)影响10万人用水、用电、用气、用油、取暖或交通出行等;(3)导致5人以上死亡或50人以上重伤;(4)直接造成5000万元以上经济损失;(5)造成超过100万人个人信息泄露;(6)造成大量机构、企业敏感信息泄露;(7)造成大量地理、人口、资源等国家基础数据泄露;(8)严重损害社会和经济秩序,或危害国家安全.
4.
其他应该认定为关键信息基础设施.
关键信息基础设施信息登记各单位梳理确定本单位所主管的关键信息基础设施,并通过填报工具填写登记表.
主要包括:a)设施主管单位信息;b)设施主要负责人、网络安全管理部门负责人、运维单位负责人联系方式;c)设施提供服务的基本类型、功能描述、网页入口信息、发生网络安全事故后影响分析、投入情况、信息技术产品国产化率;e)数据存储情况;f)运行环境情况;g)运行维护情况;h)网络安全状况;i)商用密码使用情况.
填报工具的使用,详见《国家网络安全检查信息共享平台及关键信息基础设施填报工具使用手册》网络安全检查网络安全责任制落实情况检查网络安全责任制落实情况检查通常包括网络安全管理工作单位领导、网络安全管理工作内设机构、网络安全责任制度建设和落实情况的检查.
4.
2.
1要求a)应明确一名主管领导,负责本单位网络安全管理工作,根据国家法律法规有关要求,结合实际组织制定网络安全管理制度,完善技术防护措施,协调处理重大网络安全事件;b)应指定一个机构,具体承担网络安全管理工作,负责组织落实网络安全管理制度和网络安全技术防护措施,开展网络安全教育培训和监督检查等;c)应建立健全岗位网络安全责任制度,明确岗位及人员的网络安全责任.
4.
2.
2检查方式文档查验、人员访谈.
4.
2.
3检查方法a)查验领导分工等文件,检查是否明确了网络安全主管领导;查验网络安全相关工作批示、会议记录等,了解主管领导履职情况;b)查验本单位各内设机构职责分工等文件,检查是否指定了网络安全管理机构(如工业和信息化部指定办公厅为网络安全管理机构);c)查验工作计划、工作方案、规章制度、监督检查记录、教育培训记录等文档,了解管理机构履职情况;d)查验岗位网络安全责任制度文件,检查系统管理员、网络管理员、网络安全员、一般工作人员等不同岗位的网络安全责任是否明确;e)访谈关键岗位网络安全员,检查其网络安全意识和网络安全知识、技能掌握情况;f)查验工作计划、工作报告等相关文档,检查网络安全员日常工作开展情况.
表2网络安全责任制落实情况检查表负责网络安全管理工作的单位领导①负责网络安全管理工作的领导:已明确未明确②姓名:③职务:④是否本单位主要负责同志:是否负责网络安全管理的内设机构①负责网络安全管理的内设机构:已明确未明确②机构名称:③负责人:职务:④联系人:办公电话:移动电话:网络安全责任制度建设和落实情况①网络安全责任制度:已建立未建立②网络安全检查责任:已明确未明确③本年度网络安全检查专项经费:已落实,______万无专项经费网络安全日常管理情况检查4.
3.
1人员管理检查4.
3.
1.
1要求a)应与重点岗位的计算机使用和管理人员签订网络安全与保密协议,明确网络安全与保密要求和责任;b)应制定并严格执行人员离岗离职网络安全管理规定,人员离岗离职时应终止信息系统访问权限,收回各种软硬件设备及身份证件、门禁卡等,并签署安全保密承诺书;c)应建立外部人员访问机房等重要区域审批制度,外部人员须经审批后方可进入,并安排本单位工作人员现场陪同,对访问活动进行记录并留存;d)应对网络安全责任事故进行查处,对违反网络安全管理规定的人员给予严肃处理,对造成网络安全事故的依法追究当事人和有关负责人的责任,并以适当方式通报.
4.
3.
1.
2检查方式文档查验、人员访谈.
4.
3.
1.
3检查方法a)查验岗位网络安全责任制度文件,检查系统管理员、网络管理员、网络安全员、一般工作人员等不同岗位的网络安全责任是否明确;检查重点岗位人员网络安全与保密协议签订情况;访谈部分重点岗位人员,抽查对网络安全责任的了解程度;b)查验人员离岗离职管理制度文件,检查是否有终止系统访问权限、收回软硬件设备、收回身份证件和门禁卡等要求;检查离岗离职人员安全保密承诺书签署情况;查验信息系统账户,检查离岗离职人员账户访问权限是否已被终止;c)查验外部人员访问机房等重要区域的审批制度文件,检查是否有访问审批、人员陪同等要求;查验访问审批记录、访问活动记录,检查记录是否清晰、完整;d)查验安全事件记录及安全事件责任查处等文档,检查是否发生过因违反制度规定造成的网络安全事件、是否对网络安全事件责任人进行了处置.
表3人员管理检查结果记录表人员管理①重点岗位人员安全保密协议:全部签订部分签订均未签订②人员离岗离职安全管理规定:已制定未制定③外部人员访问机房等重要区域审批制度:已建立未建立4.
3.
2信息资产管理情况检查4.
3.
2.
1要求a)应建立并严格执行信息资产管理制度;b)应指定专人负责信息资产管理;c)应建立信息资产台账(清单),统一编号、统一标识、统一发放;d)应及时记录信息资产状态和使用情况,保证账物相符;e)应建立并严格执行设备维修维护和报废管理制度.
4.
3.
2.
2检查方式文档查验、人员访谈.
4.
3.
2.
3检查方法a)查验信息资产管理制度文档,检查信息资产管理制度是否建立;b)查验设备管理员任命及岗位分工等文件,检查是否明确专人负责信息资产管理;访谈设备管理员,检查其对信息资产管理制度和日常工作任务的了解程度;c)查验信息资产台账,检查台账是否完整(包括设备编号、设备状态、责任人等信息);查验领用记录,检查是否做到统一编号、统一标识、统一发放;d)随机抽取台账中的部分设备登记信息,查验是否有对应的实物;随机抽取一定数量的实物,查验其是否纳入信息资产台账,同台账是否相符;e)查验相关制度文档和记录,检查设备维修维护和报废管理制度建立及落实情况.
表4信息资产管理检查记录表信息资产管理①信息资产管理制度:已建立未建立②设备维修维护和报废管理:已建立管理制度,且记录完整已建立管理制度,但记录不完整未建立管理制度4.
3.
3经费保障情况检查4.
3.
3.
1要求a)应将网络安全设施运行维护、网络安全服务采购、日常网络安全管理、网络安全教育培训、网络安全检查、网络安全风险评估、网络安全应急处置等费用纳入部门年度预算;b)应严格落实网络安全经费预算,保证网络安全经费投入.
4.
3.
3.
2检查方式文档查验.
4.
3.
3.
3检查方法a)会同本单位财物部门人员,查验上一年度和本年度预算文件,检查年度预算中是否有网络安全相关费用;b)查验相关财务文档和经费使用账目,检查上一年度网络安全经费实际投入情况、网络安全经费是否专款专用.
表5经费保障检查结果记录表经费保障①上一年度信息化总投入:_______万元,网络安全实际投入:_______万元,其中采购网络安全服务比例:②本年度信息化总预算(含网络安全预算)万元,网络安全预算:_______万元,其中采购网络安全服务比例:信息系统基本情况检查对本单位主管信息系统进行全面检查,及时掌握本单位信息系统基本情况,特别是变更情况,以便针对性地开展网络安全管理和防护工作.
4.
1.
1基本信息梳理查验信息系统规划设计方案、安全防护规划设计方案、网络拓扑图等相关文档,访谈信息系统管理人员与工作人员,了解掌握系统基本信息并记录结果(表6),包括:a)主要功能、部署位置、网络拓扑结构、服务对象、用户规模、业务周期、运行高峰期等;b)业务主管部门、运维机构、系统开发商和集成商、上线运行及系统升级日期等;c)定级情况、数据集中情况、灾备情况等.
表6系统基本信息梳理记录表(每个系统一张表)编号系统名称主要功能部署位置网络拓扑结构服务对象用户规模业务周期业务主管部门运维机构系统开发商系统集成商上线运行及最近一次系统升级时间定级情况数据集中情况灾备情况4.
1.
2系统构成情况梳理4.
1.
2.
1主要硬件构成重点梳理主要硬件设备类型、数量、生产商(品牌)情况,记录结果(表7).
硬件设备类型主要有:服务器、终端计算机、路由器、交换机、存储设备、防火墙、终端计算机、磁盘阵列、磁带库及其他主要安全设备.
表7信息系统主要硬件构成梳理记录表检查项检查结果服务器品牌联想曙光浪潮华为IBMHPDELLOracle数量其他:1.
品牌,数量2.
品牌,数量①使用国产CPU的台数:②使用国产操作系统的台数:终端计算机(含笔记本)品牌联想长城方正清华同方华硕宏基数量其他:1.
品牌,数量2.
品牌,数量①使用国产CPU的台数②使用国产操作系统的台数:使用Windowsxp/7/8的台数:③安装国产字处理软件的台数:④安装国产防病毒软件的台数:路由器品牌华为中兴锐捷网络H3CCiscoJuniper数量其他:1.
品牌,数量2.
品牌,数量交换机品牌华为中兴锐捷网络H3CCiscoJuniper数量其他:1.
品牌,数量2.
品牌,数量存储设备总台数:1.
品牌,数量2.
品牌,数量防火墙1.
品牌,数量2.
品牌,数量(如有更多,可另列表)负载均衡设备1.
品牌,数量2.
品牌,数量(如有更多,可另列表)入侵检测设备(入侵防御)1.
品牌,数量2.
品牌,数量(如有更多,可另列表)安全审计设备1.
品牌,数量2.
品牌,数量(如有更多,可另列表)其他1.
设备类型:品牌,数量2.
设备类型:品牌,数量(如有更多,可另列表)4.
1.
2.
2主要软件构成重点梳理主要软件类型、套数、生产商(品牌)情况,记录结果(表8).
软件类型主要有:操作系统、数据库管理系统、公文处理软件、邮件系统及主要业务应用系统.
表8信息系统主要软件构成梳理记录表检查项检查结果操作系统品牌红旗麒麟WindowsRedHatHP-UnixAIXSolaris数量其他:1.
品牌,数量2.
品牌,数量(如有更多,可另列表)数据库管理系统品牌金仓达梦OracleDB2SQLServerAccessMysql数量其他:1.
品牌,数量2.
品牌,数量公文处理软件品牌数量邮件系统总数:1.
品牌,数量2.
品牌,数量其他1.
设备类型:品牌,数量2.
设备类型:品牌,数量(如有更多,可另列表)网络安全技术防护情况检查4.
4.
1网络边界安全防护情况检查4.
4.
1.
1要求a)非涉密信息系统与互联网及其他公共信息网络应实行逻辑隔离,涉密信息系统与互联网及其他公共信息网络应实行物理隔离;b)建立互联网接入审批和登记制度,严格控制互联网接入口数量,加强互联网接入口安全管理和安全防护;c)应采取访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范等措施,进行网络边界防护;d)应根据承载业务的重要性对网络进行分区分域管理,采取必要的技术措施对不同网络分区进行防护、对不同安全域之间实施访问控制;e)应对网络日志进行管理,定期分析,及时发现安全风险.
4.
4.
1.
2检查方式文档查验、现场核查.
4.
4.
1.
3检查方法a)查验网络拓扑图,检查重要设备连接情况,现场核查内部办公系统等非涉密系统的交换机、路由器等网络设备,确认以上设备的光纤、网线等物理线路没有与互联网及其他公共信息网络直接连接,有相应的安全隔离措施;b)查验网络拓扑图,检查接入互联网情况,统计网络外联的出口个数,检查每个出口是否均有相应的安全防护措施(互联网接入口指内部网络与公共互联网边界处的接口,如联通、电信等提供的互联网接口,不包括内部网络与其他非公共网络连接的接口);c)查验网络拓扑图,检查是否在网络边界部署了访问控制(如防火墙)、入侵检测、安全审计以及非法外联检测、病毒防护等必要的安全设备;d)分析网络拓扑图,检查网络隔离设备部署、交换机VLAN划分情况,检查网络是否按重要程度划分了安全区域,并确认不同区域间采用了正确的隔离措施;e)查验网络日志(重点是互联网访问日志)及其分析报告,检查日志分析周期、日志保存方式和保存时限等.
表9网络边界安全防护检查结果记录表网络边界安全防护①网络安全防护设备部署(可多选):防火墙入侵检测设备安全审计设备防病毒网关抗拒绝服务攻击设备Web应用防火墙其它②设备安全策略配置:使用默认配置根据需要配置③网络访问日志:留存日志未留存日志4.
4.
2无线网络安全防护情况检查4.
4.
2.
1要求a)采取身份鉴别、地址过滤等措施对无线网络的接入进行管理,采用白名单管理机制,防止非授权接入造成的内网渗透事件发生;b)修改无线路由设备的默认管理地址;c)修改无线路由管理账户默认口令,设置复杂口令,防止暴力破解后台;d)用户接入认证加密采用WPA2及更高级别算法,防止破解接入口令.
4.
4.
2.
2检查方式现场核查.
4.
4.
2.
3检查方法a)登录无线设备管理页面,查看加密方认证方式是否采用WPA2以上;b)检查用户接入认证及管理端口登录口令,包括口令强度和更新频率,查看是否登录页面采用默认地址及默认口令;c)登录无线网络设备管理端,检查安全防护策略配置情况,包括是否设置对接入设备采取身份鉴别认证措施和地址过滤措施;表10无线网络安全防护情况检查结果记录表无线网络安全防护①本单位使用无线路由器数量:②无线路由器用途:访问互联网:个访问业务/办公网络:个③安全防护策略(可多选):采取身份鉴别措施采取地址过滤措施未设置安全防护策略④无线路由器使用默认管理地址情况:存在不存在⑤无线路由器使用默认管理口令情况:存在不存在4.
4.
3电子邮件系统安全防护情况检查4.
4.
3.
1要求a)应加强电子邮件系统安全防护,采取反垃圾邮件等技术措施;b)应规范电子邮箱的注册管理,原则上只限于本部门工作人员注册使用;c)应严格管理邮箱账户及口令,采取技术和管理措施确保口令具有一定强度并定期更换.
4.
4.
3.
2检查方式文档查验、现场核查.
4.
4.
3.
3检查方法a)查验电子邮件系统采购合同或部署文档,检查电子邮件系统建设方式;b)查验电子邮件系统管理相关规定文档,检查是否有注册审批流程要求;查验服务器上邮箱账户列表,同本单位人员名单进行核对,检查是否有非本单位人员使用;c)查看邮箱口令策略配置界面,检查电子邮件系统是否设置了口令策略,是否对口令强度和更改周期等进行要求.
d)查验设备部署或配置情况,检查电子邮件系统是否采取了反垃圾邮件、病毒木马防护等技术安全防护措施;表11电子邮件系统安全防护检查结果记录表电子邮件安全防护①建设方式:自行建设由上级单位统一管理使用第三方服务邮件服务提供商②帐户数量:个③注册管理:须经审批登记任意注册④注销管理:人员离职后,及时注销无管理措施⑤口令管理:使用技术措施控制口令强度位数要求:4位6位8位其他:复杂度要求:数字字母特殊字符更换频次要求:强制定期更换,更换频次:无强制更换要求没有采取技术措施控制口令强度⑥安全防护:(可多选)采取数字证书采取反垃圾邮件措施其他:4.
4.
4终端计算机安全防护情况检查4.
4.
4.
1要求a)应采用集中统一管理方式对终端计算机进行管理,统一软件下发,统一安装系统补丁,统一实施病毒库升级和病毒查杀,统一进行漏洞扫描;b)应规范软硬件使用,不得擅自更改软硬件配置,不得擅自安装软件;c)应加强账户及口令管理,使用具有一定强度的口令并定期更换;d)应对接入互联网的终端计算机采取控制措施,包括实名接入认证、IP地址与MAC地址绑定等;e)应定期对终端计算机进行安全审计;f)非涉密计算机不得存储和处理国家秘密信息.
4.
4.
4.
2检查方式现场核查、工具检测.
4.
4.
4.
3检查方法a)查看集中管理服务器,抽查终端计算机,检查是否部署了终端管理系统或采用了其他集中统一管理方式对终端计算机进行管理,包括统一软硬件安装、统一补丁升级、统一病毒防护、统一安全审计等;b)查看终端计算机,检查是否安装有与工作无关的软件;c)使用终端检查工具或采用人工方式,检查终端计算机是否配置了口令策略;d)访谈网络管理员和工作人员,检查是否采取了实名接入认证、IP地址与MAC地址绑定等措施对接入本单位网络的终端计算机进行控制;将未经授权的终端计算机接入网络,测试是否能够访问互联网,验证控制措施的有效性;e)查验审计记录,检查是否对终端计算机进行了安全审计.
表12终端计算机安全防护检查结果记录表终端计算机安全防护①管理方式:集中统一管理(可多选)规范软硬件安装统一补丁升级统一病毒防护统一安全审计对移动存储介质接入实施控制统一身份管理分散管理②接入互联网安全控制措施:有控制措施(如实名接入、绑定计算机IP和MAC地址等)无控制措施③接入办公系统安全控制措施:有控制措施(如实名接入、绑定计算机IP和MAC地址等)无控制措施4.
4.
5移动存储介质检查4.
4.
5.
1要求a)应严格存储阵列、磁带库等大容量存储介质的管理,采取技术措施防范外联风险,确保存储数据安全;b)应对移动存储介质进行集中统一管理,记录介质领用、交回、维修、报废、销毁等情况;c)非涉密移动存储介质不得存储涉及国家秘密的信息,不得在涉密计算机上使用;d)移动存储介质在接入本部门计算机和信息系统前,应当查杀病毒、木马等恶意代码;e)应配备必要的电子信息消除和销毁设备,对变更用途的存储介质要消除信息,对废弃的存储介质要进行销毁.
4.
4.
5.
2检查方式文档查验、人员访谈、现场核查.
4.
4.
5.
3检查方法a)访谈网络管理员,检查大容量存储介质是否存在远程维护,对于有远程维护的,进一步检查是否有相应的安全风险控制措施;查看光纤、网线等物理线路连接情况,检查大容量存储介质是否在无防护措施情况下与互联网及其他公共信息网络直接连接;b)查验相关记录,检查是否对移动存储介质进行统一管理,包括统一领用、交回、维修、报废、销毁等;c)查看服务器和办公终端计算机上的杀毒软件,检查是否开启了移动存储介质接入自动查杀功能;d)查看设备台账或实物,检查是否配备了电子信息消除和销毁设备.
表13存储介质安全防护检查结果记录表移动存储介质安全防护①管理方式:集中管理,统一登记、配发、收回、维修、报废、销毁未采取集中管理方式②信息销毁:已配备信息消除和销毁设备未配备信息消除和销毁设备4.
4.
6漏洞修复情况检查4.
4.
6.
1要求a)应定期对本单位主机、网络安全防护设备、信息系统进行漏洞检测,对于发现的安全漏洞及时进行修复处置;b)重视自行监测发现与第三方漏洞通报机构告知的漏洞风险,及时处置.
4.
4.
6.
2检查方法人员访谈、现场核查4.
4.
6.
3检查要求a)查看相关漏洞扫描记录,确定扫描时间和周期;b)查验收到的漏洞风险通报,访谈网站安全管理人员是否对漏洞风险进行及时处置;c)查验事件处置记录,检查网络安全事件报告和通报机制建立情况,是否对所有网络安全事件都进行了处置.
表14漏洞修复情况检查结果记录表漏洞修复情况①漏洞检测周期:每月每季度每年不进行漏洞检测②2015年自行发现漏洞数量:个收到漏洞风险通报数量:个其中已得到处置的漏洞风险数量:个网络安全应急工作情况检查4.
5.
1要求a)应制定网络安全事件应急预案,原则上每年评估一次,并根据实际情况适时修订;b)应组织开展应急预案的宣贯培训,确保相关人员熟悉应急预案;c)每年应开展网络安全应急演练,检验应急预案的可操作性,并将演练情况报网络安全主管部门;d)应建立网络安全事件报告和通报机制,提高预防预警能力;e)应明确应急技术支援队伍,做好应急技术支援准备;f)应做好网络安全应急物资保障,确保必要的备机、备件等资源到位;g)应根据业务实际需要对重要数据和业务系统进行备份.
4.
5.
2检查方式文档查验、人员访谈.
4.
5.
3检查方法a)查验应急预案文本等,检查应急预案制定和年度评估修订情况;b)查验宣贯材料和培训记录,检查是否开展过预案宣贯培训;访谈系统管理员、网络管理员和工作人员,检查其对应急预案的熟悉程度;c)查验演练计划、方案、记录、总结等文档,检查本年度是否开展了应急演练;d)查验事件处置记录,检查网络安全事件报告和通报机制建立情况,是否对所有网络安全事件都进行了处置;e)查验应急技术支援队伍合同及安全协议、参与应急技术演练及应急响应等工作的记录文件,确认应急技术支援队伍能够发挥有效的应急技术支撑作用;f)查验设备或采购协议,检查是否有网络安全应急保障物资或有供应渠道;g)查验备份数据和备份系统,检查是否对重要数据和业务系统进行了备份.
表15网络安全应急工作检查结果记录表应急预案已制定2015年修订情况:修订未修订未制定2015年应急预案启动次数:应急演练2015年已开展,演练次数:其中实战演练数:2015年未开展应急技术队伍本部门所属外部服务机构无网络安全教育培训情况检查4.
6.
1要求a)应加强网络安全宣传和教育培训工作,提高网络安全意识,增强网络安全基本防护技能;b)应定期开展网络安全管理人员和技术人员专业技能培训,提高网络安全工作能力和水平;c)应记录并保存网络安全教育培训、考核情况和结果.
4.
6.
2检查方式文档查验、人员访谈.
4.
6.
3检查方法a)查验教育宣传计划、会议通知、宣传资料等文档,检查网络安全形势和警示教育、基本防护技能培训开展情况;b)访谈机关工作人员,检查网络安全基本防护技能掌握情况;c)查验培训通知、培训教材、结业证书等,检查网络安全管理和技术人员专业技能培训情况.
表16网络安全教育培训检查结果记录表培训次数2015年开展网络安全教育培训(非保密培训)的次数:_____培训人数2015年参加网络安全教育培训的人数:_____占本单位总人数的比例:_____%技术检测及网络安全事件情况4.
7.
1技术检测情况4.
7.
1.
1渗透测试a)应重点对认定为关键信息基础设施的信息系统进行安全检测;b)使用漏洞扫描等工具测试关键信息基础设施,检测是否存在安全漏洞;c)开展人工渗透测试,检查是否可以获取应用系统权限,验证网站是否可以被挂马、篡改页面、获取敏感信息等,检查系统是否被入侵过(存在入侵痕迹)等.
表17渗透测试检查结果统计表渗透测试进行渗透测试的系统数量:其中,可以成功控制的系统数量:表18信息系统渗透测试登记表1.
信息系统抽查清单序号系统名称域名或IP主管部门运维单位1…2.
存在高、中风险漏洞的信息系统情况序号系统名称高、中风险漏洞列举/级别数量1…3.
存在入侵痕迹的信息系统情况序号系统名称入侵痕迹列举数量1…4.
可获取系统权限的信息系统情况序号系统名称入侵痕迹列举数量1…4.
7.
1.
2恶意代码及安全漏洞检测a)可根据工作实际合理安排年度检测的服务器数量,每1~2年对所有服务器进行一次技术检测,重要业务系统和门户网站系统的服务器应作为检测重点;b)使用病毒木马检测工具,检测服务器是否感染了病毒、木马等恶意代码;c)使用漏洞扫描等工具检测服务器操作系统、端口、应用、服务及补丁更新情况,检测是否关闭了不必要的端口、应用、服务,是否存在安全漏洞.
表19恶意代码、安全漏洞检测结果统计表恶意代码检测结果①进行病毒木马等恶意代码检测的服务器台数:其中,存在恶意代码的服务器台数:②进行病毒木马等恶意代码检测的终端计算机台数:其中,存在恶意代码的终端计算机台数:安全漏洞检测结果①进行漏洞扫描的服务器台数:其中,存在高风险漏洞的服务器台数:②进行漏洞扫描的终端计算机台数:其中,存在高风险漏洞的终端计算机台数:表20服务器恶意代码及安全漏洞检测结果记录表1.
服务器抽查清单序号服务器名称/编号用途/承载的业务系统重要性(按等级)主管部门运维单位1…2.
感染病毒木马等恶意代码的服务器情况序号服务器名称/编号病毒木马等恶意代码名称数量12…3.
存在高风险漏洞的服务器情况序号服务器名称/编号主要漏洞列举数量1…表21终端计算机恶意代码及安全漏洞检测结果记录表1.
终端计算机抽查清单序号计算机名称/编号责任人所属部门备注1…2.
感染病毒木马等恶意代码的终端计算机情况序号计算机名称/编号病毒木马等恶意代码名称数量12…3.
存在高风险漏洞的终端计算机情况序号服务器名称/编号主要漏洞列举数量1…4.
7.
2网络安全事件情况a)查看入侵检测、网络防火墙、Web应用防火墙、数据库审计设备中日志记录,统计得出检测到的攻击数;b)查阅本年度风险评估及系统安全测评评估报告等相关记录文档,统计出网络安全事件数;c)查阅年度收到各平台发布的网络安全风险提示数.
表22网络安全事件检查结果表网络安全事件情况①监测到的网络攻击次数:其中:本单位遭受DDoS攻击次数:系统被嵌入恶意代码次数:②网络安全事件次数:其中:服务中断次数:信息泄露次数:网页被篡改次数:外包服务管理情况检查4.
8.
1要求a)应建立并严格执行信息技术外包服务安全管理制度;b)应与信息技术外包服务提供商签订服务合同和网络安全与保密协议,明确网络安全与保密责任,要求服务提供商不得将服务转包,不得泄露、扩散、转让服务过程中获知的敏感信息,不得占有服务过程中产生的任何资产,不得以服务为由强制要求委托方购买、使用指定产品;c)信息技术现场服务过程中应安排专人陪同,并详细记录服务过程;d)外包开发的系统、软件上线应用前应进行安全测评,要求开发方及时提供系统、软件的升级、漏洞等信息和相应服务;e)信息系统运维外包不得采用远程在线运维服务方式;4.
8.
2检查方式文档查验、人员访谈.
4.
8.
3检查方法a)查验相关制度文档,检查是否有外包服务安全管理制度;b)查验信息技术外包服务合同及网络安全与保密协议,检查网络安全责任是否清晰;c)查验外包人员现场服务记录,查验记录是否完整(包括服务时间、服务人员、陪同人员、工作内容等信息);d)访谈系统管理员和工作人员,查验安全测评报告,检查外包开发的系统、软件上线前是否进行过网络安全测评及其方式;e)查验外包服务合同及技术方案等文档,检查是否存在远程在线运维服务;如确需采用远程在线服务的,检查是否对安全风险进行了充分评估并采取了书面审批、访问控制、在线监测、日志审计等安全防护措施.

表23外包服务管理检查结果记录表外包服务机构1机构名称机构性质国有单位民营企业外资企业合资企业服务内容系统集成系统运维风险评估安全检测安全加固应急支持数据存储数据分析灾难备份安全监测流量清洗其他外包服务机构2机构名称机构性质国有单位民营企业外资企业合资企业服务内容系统集成系统运维风险评估安全检测安全加固应急支持数据存储数据分析灾难备份安全监测流量清洗其他检查总结整改汇总检查结果检查实施完成后,检查办公室应及时对检查结果进行梳理、汇总,从安全管理、技术防护等方面对检查发现的问题和隐患进行分类整理.
分析问题隐患检查办公室应对检查发现的问题和隐患逐项进行研究,深入分析产生的原因.
结合年度网络安全形势,对本单位面临的网络安全威胁和风险程度、信息系统抵御网络攻击的能力进行评估.
研究整改措施检查办公室在深入分析问题隐患的基础上,研究提出针对性的改进措施建议.
本单位网络安全管理部门应根据检查办公室的建议,组织相关单位和人员进行整改,对于不能及时整改的,要制定整改计划和时间表,整改完成后应及时进行再评估.

编写总结报告本单位网络安全管理部门应组织检查办公室对检查工作进行全面总结,编写检查报告,使用填报工具填报关键信息基础设施清单、自查检查结果统计表,并按要求及时报送.
注意事项认真做好总结要按照年度网络安全检查工作的统一要求,进行全面总结,认真编写检查报告.
要如实填写检查情况报告表,避免出现漏项、错项、前后不一致等情况.
要根据检查报告内容的敏感程度,确定密级并在首页明确标识.

加强风险控制要明确相关工作纪律并严格执行.
要识别检查中的安全风险,周密制定应急预案,强化风险控制措施,明确发生重大安全事件时的处置流程,确保被检查信息系统的正常运行.
要对技术检测活动的安全风险进行评估,防止引入新的风险,并要求相关人员严格遵守操作规程.
应对重要数据和配置进行备份,尽量避开业务高峰期进行技术检测.

需委托外部检测机构进行检测的,要对相关检测机构的安全可靠性及其技术能力、管理水平等严格把关,明确检测机构和检测人员的安全责任.
可参考以下条件选取检测机构:①机构安全可控(如事业单位);②开展网络安全检查或相关工作2年以上;③拥有专业安全检查人员10人以上,全部为机构编制内人员或与机构签订2年以上劳动合同的聘用人员;④拥有与开展安全检查相适应的安全检测设备与检测工具;⑤网络安全与保密管理、项目管理、质量管理、人员管理、教育培训等规章制度健全;⑥参与安全检查的人员无犯罪记录,并与机构签订安全保密协议.

加强保密管理要高度重视保密工作,指定专人负责,对检查活动、检查实施人员以及相关文档和数据进行严格管理,确保检查工作中涉及到的敏感信息得到有效控制;对检查人员进行保密培训,确保检查工作中获知的信息不被泄露,检查数据和检查结果不向其他单位透露.