信运科技〔2014〕151号
关于印发《信阳市道路运输管理局局机关网络和信息安全检查操作指南(试行)》的通知
浉河区、平桥区运管所,局属各单位、局机关各科室:
为进一步做好我局机关网络与信息安全检查工作,市局制定了《信阳市道路运输管理局局机关网络和信息安全检查操作指南(试行)》,现印发给你们,请认真贯彻执行。执行中有什么问题,请与市局科技信息科联系(联系电话:6533012)。
附件:信阳市道路运输管理局局机关网络和信息安全检查操作指南(试行)(电子版,请到各单位邮箱下载或与局科技信息科联系)
信阳市道路运输管理局
2014年8月14日
附件
信阳市道路运输管理局局机关网络和信息安全检查操作指南(试行)
一、概述
按照市交通运输局《关于转发河南省交通运输厅<关于开展2014年度河南省交通运输行业网络安全检查工作的通知>的通知》(信交[2014]329号)要求,为开展好我局机关(含使用市局机关网络的局属单位,浉河、平桥区运管所,下同)网络和信息安全自查工作,依据省厅《网络安全检查工作操作指南》,制定本指南。
二、信息系统基本情况梳理
(一)基本信息梳理
查验信息系统规划设计方案、安全防护规划设计方案、网络拓扑图等相关文档,访谈相关单位信息系统管理人员和工作人员,了解掌握系统基本信息并记录结果(表1),包括:
1.主要功能、部署位置、网络拓扑结构、服务对象、用户规模、业务周期、运行高峰期等;
2.业务主管部门、运维机构、系统开发商和集成商、上线运行及系统升级日期等;
3.定级情况、数据集中情况、灾备情况等。
表1系统基本信息梳理记录表(每个系统填写一张)
编号 | |
系统名称 | |
主要功能 | |
部署位置 | |
网络拓扑结构 | |
服务对象 | |
用户规模 | |
业务周期 | |
业务主管部门 | |
运维机构 | |
系统开发商 | |
系统集成商 | |
上线运行及最近一次系统升级时间 | |
定级情况 | |
数据集中情况 | |
灾备情况 |
(二)系统构成情况梳理
1.主要硬件构成
重点梳理硬件设备类型、数量、品牌等情况。硬件设备类型主要有:服务器、路由器、交换机、防火墙、终端计算机、磁盘阵列、磁带库及其它主要安全设备。
表2信息系统主要硬件构成梳理记录表
检查项 目 | 检查结果 | ||||||||||||||||
服务器 | 品牌 | 浪潮 | 曙光 | 联想 | 方正 | IBM | HP | DELL | |||||||||
数量 | |||||||||||||||||
其他: 1.品牌:_____________________,数量:_____________________ 2.品牌:_____________________,数量:_____________________ (如有更多,可另列表) | |||||||||||||||||
路由器 | 品牌 | 华为 | 中兴 | H3C | Cisco | Juniper | |||||||||||
数量 | |||||||||||||||||
其他: 1.品牌:_____________________,数量:_____________________ 2.品牌:_____________________,数量:_____________________ (如有更多,可另列表) | |||||||||||||||||
交换机 | 品牌 | 华为 | 中兴 | H3C | Cisco | Juniper | |||||||||||
数量 | |||||||||||||||||
其他: 1.品牌:_____________________,数量:_____________________ 2.品牌:_____________________,数量:_____________________ (如有更多,可另列表) | |||||||||||||||||
防火墙 | 1.品牌:_____________________,数量:_____________________ 2.品牌:_____________________,数量:_____________________ (如有更多,可另列表) | ||||||||||||||||
终端计算机(含笔记本) | 品牌 | 联想 | 方正 | 长城 | HP | DELL | 三星 | 索尼 | |||||||||
数量 | |||||||||||||||||
其他: 1.品牌:_____________________,数量:_____________________ 2.品牌:_____________________,数量:_____________________ (如有更多,可另列表) | |||||||||||||||||
负载均衡设备 | 1.品牌:_____________________,数量:_____________________ 2.品牌:_____________________,数量:_____________________ (如有更多,可另列表) | ||||||||||||||||
防火墙 | 1.品牌:_____________________,数量:_____________________ 2.品牌:_____________________,数量:_____________________ (如有更多,可另列表) | ||||||||||||||||
入侵检测设备(入侵防御) | 1.品牌:_____________________,数量:_____________________ 2.品牌:_____________________,数量:_____________________ (如有更多,可另列表) | ||||||||||||||||
安全审计设备 | 1.品牌:_____________________,数量:_____________________ 2.品牌:_____________________,数量:_____________________ (如有更多,可另列表) | ||||||||||||||||
其他 | 1.设备类型:________________,品牌:________________,数量:_______ 2.设备类型:________________,品牌:________________,数量:_______ (如有更多,可另列表) | ||||||||||||||||
2.主要软件构成
重点梳理主要软件类型、套数、品牌等情况并记录结果(表3)。软件类型主要有:操作系统、数据库、公文处理软件及主要业务应用系统。
表3信息系统主要软件构成梳理记录表
检查项 | 检查结果 | ||||||||||||
操作系统 | 品牌 | 红旗 | 麒麟 | Windows | RedHat | HP-Unix | AIX | Solaris | |||||
数量 | |||||||||||||
其他: 1.品牌:_____________________,数量:______________ 2.品牌:_____________________,数量:________________ (如有更多,可另列表) | |||||||||||||
数据库 | 品牌 | 金仓 | 达梦 | Oracle | DB2 | SQLServer | |||||||
数量 | |||||||||||||
其他: 1.品牌:_____________________,数量:______________ 2.品牌:_____________________,数量:________________ (如有更多,可另列表) | |||||||||||||
公文处理软件 | 品牌 | ||||||||||||
数量 | |||||||||||||
其他:1.品牌:_____________________,数量:______________ 2.品牌:_____________________,数量:________________ (如有更多,可另列表) | |||||||||||||
其他 | 1.设备类型:________________,品牌:________________,数量:_______ 2.设备类型:________________,品牌:________________,数量:_______ (如有更多,可另列表) | ||||||||||||
三、日常工作情况检查
包括规章制度完整性、网络安全管理、安全技术防护、网络安全应急、网络安全教育培训等方面的情况。
(一)规章制度完整性检查
通过调阅网络安全管理相关制度文档,检查管理制度体系是否健全,规章制度应涵盖人员管理、资产管理、采购管理、外包管理、应急管理、教育培训等方面;检查管理制度是否以正式文件形式发布。
(二)网络安全管理情况检查
1.组织管理情况检查
通过文档查验、人员访谈等方式,对网络安全主管领导、管理机构、及网络安全人员管理进的检查并记录(表4)。
检查方法:查验领导分工等文件,检查是否明确了网络安全主管领导;查验网络安全相关工作批示、会议记录等,了解主管领导履职情况。查验本单位各内设机构职责分工等文件,检查是否指定了网络安全管理机构;查验工作计划、工作方案、规章制度、监督检查记录、教育培训记录等文档,了解管理机构履职情况。查验网络安全员列表,检查是否每个内设机构都指定了专职或兼职网络安全员,检查其网络安全意识和网络安全知识、技能掌握情况;查验工作计划、工作报告等相关文档,检查网络安全员日常工作开展情况。
表4组织管理检查结果记录表
网络安全主管领导 | 1. 姓名:________________ 2.职务:_________________(本单位 正职 / 副职 领导) 3.本年度对网络安全工作进行过批示: □ 是,批示次数:________ □ 否 4.本年度主持召开过网络安全专题会议: □ 是,会议次数:________ □ 否 |
网络安全管理机构 | 1.名称:(如:办公厅) 2.负责人:_____________ 职务:_________________ 3.联系人:_____________电话:__________________ |
网络安全专职工作处室 | 1.名称:_______________________________(如:信息中心网络安全处) 2.负责人:_____________电话:__________________ |
网络安全员 | 1.内设机构数量:________________________ 2.网络安全员数量:______________________ |
2.人员管理情况检查
包括对人员管理制度以及管理制度落实情况的检查,记录结果(表5)。
检查方法:调阅人员管理制度等文件,检查是否有岗位网络安全责任、人员离岗离职管理、外部人员访问管理等相关规定。调阅人员网络安全保密协议,检查系统管理员、网络管理员、网络安全员等重点岗位人员是否签订了协议。调阅人员离岗离职记录、人员离岗离职承诺书等文件,抽查离岗离职人员信息系统访问权限终止情况,检查人员离岗离职管理落实情况。调阅外部人员访问审批手续、访问记录等文件,检查外部人员访问管理落实情况及相关记录完整性。调阅安全事件记录等文件,检查是否发生过因违反制度规定造成的网络安全事故、是否对网络安全责任人进行了处置。
表5人员管理检查结果记录表
人员管理 | 1.岗位网络安全责任制度: □ 已建立 □ 未建立 2.重点岗位人员网络安全与保密协议: □ 全部签订 □ 部分签订 □ 均未签订 3.人员离岗离职安全管理规定: □ 已制定 □ 未制定 4.离岗离职安全管理措施(可多选): □ 终止系统访问权限 □ 收回软硬件设备 □ 收回身份证件和门禁卡 □ 签署离岗离职安全承诺书 5.离岗离职安全保密承诺书: □ 全部签订 □ 部分签订 □ 均未签订 6.外部人员访问机房等重要区域审批制度: □ 已建立 □ 未建立 7.外部人员访问机房等重要区域记录: □ 完整 □ 不完整 8.本年度网络安全事故发生及处置情况: □ 发生过 □ 已做处置,其中:网络安全责任事故当事人和有关责任人_________人,已处理_________人,其中:通报批评_________人,警告_________人,记过及以上______人 □ 未做处置 □ 未发生过 |
3.资产管理情况检查
包括对资产管理相关制度及落实情况的检查并记录结果(表6)。
检查方法:查验资产管理制度文档,检查资产管理制度是否建立;查验设备管理员任命及岗位分工等文件,检查是否明确专人负责资产管理;访谈设备管理员,检查其对资产管理制度和日常工作任务的了解程度;查验资产台账,检查台账是否完整(包括设备编号、设备状态、责任人等信息);查验领用记录,检查是否做到统一编号、统一标识、统一发放;随机抽取资产台账中的设备,核查其对应的实物,检查资产台账完整性和账物符合性;查验相关制度文档和记录,检查设备维修维护和报废管理制度建立和落实情况。
表6 资产管理检查结果记录表
资产管理 | 1.资产管理制度: □ 已建立 □ 未建立 2.资产管理人员:______人,姓名:___________________ 3.账物相符程度(抽查结果): □ 完全相符 □ 大部分相符 □ 严重不符 4.资产管理方式: □ 统一编号、统一发放 □ 各内设机构分别管理 □ 其他 5.设备维修维护和报废管理 □ 已建立管理制度,且维修维护和报废信息(时间、地点、内容、责任人等)记录完整 □ 已建立管理制度,但维修维护和报废记录不完整 □ 尚未建立管理制度 |
4.采购管理情况
包括对采购网络安全产品检查、对捐赠产品安全管理的检查并记录结果(表7)。
检查方法:随机抽取网络安全产品,检查该产品是否有国家统一认证的证明材料,如中国信息安全认证中心颁发的信息安全产品认证证书;对比资产台账及采购清单,检查台账中是否有捐赠的信息技术产品;对于使用中的受赠信息技术产品,检查是否有安全测评报告以及与捐赠方签订的网络安全与保密协议;查验开发、集成、运维等网络安全服务合同,检查是否有非国内厂商提供网络安全服务情况,若有,进一步检查厂商名称及其提供的服务内容;确认未采购社会第三方认证机构提供的网络安全管理体系认证服务;查验数据中心和灾备中心建设规划文档,检查是否设立在境外。
表7 采购管理检查结果记录表
网络安全产品 | 1.网络安全产品认证情况: □ 全部通过认证 □ 部分通过认证 未通过认证的安全产品品牌及型号:________________________________________________________ |
接受捐赠的信息技术产品 | □ 无 □ 有 1.受赠产品品牌及型号:______________________________________________________________________________________________ 2.使用前安全评估:□ 经过测评 □ 未经测评 3.网络安全与保密协议(与捐赠方): □ 全部签订 □ 部分签订 □ 均未签订 |
数据中心与灾备中心 | 1.数据中心数量:_________个 2.灾备中心数量:_________个 3.境外设立数据中心和灾备中心情况: □ 无 □ 有,境外设立位置:______________________ |
5.经费保障情况检查
包括对网络安全经费预算及专项经费使用情况的检查并记录结果(表8)。
检查方法:会同本单位财物部门人员,查验上一年度和本年度预算文件,检查年度预算中是否有网络安全相关费用;查验相关财物文档和经费使用账目,检查上一年度网络安全经费实际投入情况、网络安全经费是否专款专用。
表8 经费保障检查结果记录表
经费保障 | 1.网络安全预算范围(可多选): □ 网络安全防护设施建设费用 □ 运行维护费用 □ 日常网络安全管理费用 □ 教育培训费用 □ 应急处置费用 □ 检查评估(含风险评估、等级测评等)费用 □ 无相关预算 2.上一年度网络安全经费预算额:_______________万元 3.上一年度网络安全经费实际投入额:__________万元 4.本年度网络安全经费预算额:_______________万元 |
(三)安全技术防护情况检查
1.物理环境安全检查
检查方法:查验机房设计、改造、施工等相关文档,检查机房防盗窃、防破坏、防雷击、防火、防水、防潮、防静电等措施并进行核查;现场检查机房备用电源、温湿度控制、电磁防护等安全防护设施;现场检查机房等物理访问控制措施,确认配备门禁系统或有专人值守。
2.网络边界安全防护情况检查
重点对网络拓扑结构、互联网接口防护设备部署、防护策略、等的检查并记录结果(表9)。
检查方法:查验网络拓扑图,检查重要设备连接情况,现场核查内部办公系统等非涉密系统的交换机、路由器等网络设备,确认以上设备的光纤、网线等物理线路没有与互联网及其他公共信息网络直接连接,有相应的安全隔离措施;对照网络拓扑图,检查接入互联网情况,统计网络外联的出口个数,检查每个出口是否都进行了安全控制。查验网络拓扑图,检查是否在网络边界部署了访问控制(如防火墙)、入侵检测、安全审计以及非法外联检测、病毒防护等必要的安全设备;分析网络拓扑图,检查网络隔离设备部署、交换机VLAN划分,检查网络是否按重要程度划分安全区域,确认不同区域采用了正确的隔离措施。查验网络日志(重点是互联网访问日志)及其分析报告,检查日志分析周期、日志保存方式和保存时限等。
表9 网络边界安全防护检查结果记录表
互联网接入情况 | 互联网接入口总数:__________个,其中: □ 联通 接入口数量:____个 接入带宽:_____兆 □ 电信 接入口数量:____个 接入带宽:_____兆 □ 其他:_________ 接入口数量:_______个 接入带宽:_______兆 |
网络隔离 | 1.非涉密信息系统与互联网及其他公共信息网络隔离情况: □ 物理隔离 □ 逻辑隔离 □ 无隔离 2.涉密信息系统与互联网及其他公共信息网络隔离情况: □ 物理隔离 □ 逻辑隔离 □ 无隔离 |
网络边界防护措施 | 1.网络边界防护措施: □ 访问控制 □ 安全审计 □ 边界完整性检查 □ 入侵防范 □ 恶意代码防范 □ 无措施 2.网络访问日志: □ 留存日志 □ 未留存日志 |
3.关键设备安全防护情况检查
包括对服务器、网络设备和安全设备安全防护情况检查并记录结果(表10)。
检查方法:登录恶意代码防护设备,检查恶意代码库更新情况;登录服务器(应用系统服务器、数据库服务器),检查口令策略配置情况,包括审计功能是否启用、操作记录是否留存、日志是否定期分析、是否对异常访问和操作及时进行处置;检查病毒防护情况,包括防病毒软件是否安装、病毒库是否及时更新;检查补丁更新情况,包括操作系统、数据库管理系统等的补丁是否及时更新;登录网络设备、安全设备,检查口令策略配置情况,包括口令强度和更新频率;检查安全审计策略配置情况,包括审计功能是否启用、操作记录是否留存、日志是否定期分析、是否对异常访问和操作及时进行处置。
表10关键设备安全防护情况检查结果记录表
关键设备安全防护情况 | 1.恶意代码防护情况: □ 已配备防护设备(如:防病毒网关) □ 定期更新恶意代码库 □ 未定期更新恶意代码库或从未更新 □ 未配备 2.服务器口令策略配置: 口令长度最低要求:______位,口令更新频率:__________ 口令组成(可多选): □ 字母 □ 数字 □ 特殊字符 3.服务器安全审计: □ 启用安全审计功能 □ 定期分析,分析周期:____________________ □ 不定期分析 □ 未启用安全审计功能 4.服务器补丁(操作系统和数据库管理系统补丁)更新情况: □ 及时更新 □ 更新,但不及时 □ 从未更新 5.网络设备口令策略配置: 口令长度最低要求:_____位,口令更新频率:__________ 口令组成(可多选): □ 字母 □ 数字 □ 特殊字符 6.安全设备口令策略配置: 口令长度最低要求:_______位,口令更新频率:_________ 口令组成(可多选): □ 字母 □ 数字 □ 特殊字符 |
4.应用系统安全防护情况检查
包括对应用系统定级和测评情况的检查并记录结果(表11)。
(1)基本情况检查
检查方法:查验信息系统定级报告,检查信息系统定级情况;查验测评报告,检查风险评估、等级测评开展情况。
表11 应用系统防护基本情况检查结果记录表
基本情况 | 1.系统总数:________________________个 2.已定级系统:_______个,其中:第一级:______个; 第二级:________个;第三级:________个; 第四级:________个;第五级:________个。 3.本年度经过风险评估、等级测评等的系统数:______个 |
5.终端计算机安全防护情况检查
重点对终端计算机安全管理方式、账户口令策略及接入互联网安全控制措施、终端计算机安全审计情况进行检查,记录结果(表12)。
检查方法:查看集中管理服务器,抽查终端计算机,检查是否部署了终端管理系统或采用了其他集中统一管理方式对终端计算机进行管理,包括统一软硬件安装、统一补丁升级、统一病毒防护、统一安全审计等;查看终端计算机,检查是否安装有与工作无关的软件;使用终端检查工具或采用人工方式,检查终端计算机是否配置了口令策略;访谈网络管理员和工作人员,检查是否采取了实名接入认证、IP地址与MAC地址绑定等措施对接入本单位网络的终端计算机进行控制;将未经授权的终端计算机接入网络,测试是否能够访问互联网,验证控制措施的有效性;查验审计记录,检查是否对终端计算机进行了安全审计。
表12 终端计算机安全防护检查结果记录表
终端计算机安全防护 | 1.安全管理方式:□ 集中统一管理(可多选): □ 规范软硬件安装 □ 统一补丁升级 □ 统一病毒防护 □ 统一安全审计 □ 对移动存储介质接入实施控制 □ 分散管理 2.账户口令策略: □ 所有终端计算机均配置 □ 部分终端计算机配置 □ 均未配置 3.接入互联网安全控制措施: □ 有控制措施,控制措施为: □ 实名接入 □ 绑定计算机IP和MAC地址 □ 其他:________________________________ □ 无控制措施 4. 接入办公系统安全控制措施:□有控制措施 控制措施为:□实名接入 □绑定计算机IP和MAC地址 其他:________________________ □无控制措施 5.终端计算机安全审计: □ 有审计 □ 无审计 |
6.存储介质安全防护情况检查
重点对存储阵列、磁带库等大容量存储介质安全防护措施和移动存储介质安全管理等进行检查,记录结果(表13)。
检查方法:检查大容量存储介质是否存在远程维护,对于有远程维护的,进一步检查是否有相应的安全风险控制措施;查看光纤、网线等物理线路连接情况,检查大容量存储介质是否在无防护措施情况下与互联网及其他公共信息网络直接连接;查看相关记录、检查是否对移动存储介质进行统一管理,包括统一领用、交回、维修、报废、销毁等情况;查看服务器和办公终端上的杀毒软件,检查是否开启了移动存储介质接入自动查杀功能;查看设备台账或实物,检查是否配备了电子信息消除和销毁设备。
表13 存储介质安全防护检查结果记录表
存储介质安全防护 | 1.存储阵列、磁带库等大容量存储介质安全防护: □ 不外联 □ 外联,但采取了技术防范措施控制风险 □ 外联,无技术防范措施 2.移动存储介质管理方式: □ 集中统一管理 □ 未采取集中管理方式 3.移动存储介质接入本单位系统前: □ 查杀病毒木马 □ 直接接入 4.电子信息保护: □ 已配备信息消除或销毁设备 □ 未配备信息消除或销毁设备 |
7.重要数据安全防护情况检查
重点对重要数据存储安全防护情况和传输安全防护情况进行检查,记录结果(表14)。
检查方法:登陆数据存储设备、数据库管理系统,检查是否对重要数据进行了分区分域存储,或者进行加密存储;查验存储设备是否配置了数据传输加密和校验的功能。
表14 重要数据安全防护检查结果记录表
重要数据安全防护情况 | 1.存储安全防护: □ 加密存储 □ 分区分域存储 □ 无防护措施 2.传输安全防护: □ 加密传输 □ 数据校验 □ 无防护措施 |
(四)网络安全应急工作情况检查
重点检查应急预案制修订、应急演练和灾备措施情况,记录检查结果(表15)。
1.网络安全事件应急预案制定和修订情况
检查方法:调阅应急预案文本、预案年度评估记录和修订记录等文件,检查应急预案制定和修订情况。
2.预案演练及相关人员对预案的熟悉程度
检查方法:调阅应急预案宣传材料、预案培训记录,访谈系统管理员、网络管理员和工作人员,询问对应急预案的熟悉程度;查验演练计划、方案、记录等文档,检查本年度是否开展了应急演练;
3.应急处置工作开展情况
检查方法:查验事件处置记录,检查网络安全事件报告和通报机制建立情况,是否对所有网络安全事件都进行了处置;
4.应急资源配备和建设情况
检查方法:查验应急技术支援队伍服务合同及安全协议、参与应急技术演练及应急响应等工作的记录文件,确认应急技术支援队伍能够发挥有效的应急技术支撑作用。查验设备或采购协议,检查是否有网络安全应急保障物资或有供应渠道;查验备份数据和备份系统,检查是否对重要数据和业务系统进行了备份。
表15 网络安全应急工作检查结果记录表
重要数据安全防护情况 | 1.应急预案制修订情况: □ 已制定,本年度评估修订情况: □ 评估并修订 □ 评估但未修订 □ 未评估 □ 未制定 2.应急演练情况: □ 本年度已开展,演练时间: □本年度未开展 3.网络安全事件报告和通报情况: □ 一年内无重大网络安全事件 □ 一年内有重大网络安全事件,均已处置并上报 □ 一年内有未处置的重大网络安全事件 4.应急支援队伍: □ 部门所属单位 □ 外部专业机构 □ 无 5.备机备件等应急物资: □ 有现成物资□ 无现成物资但已明确供应渠道□ 无 6.重要数据备份: □ 已备份,备份周期: □ 实时 □ 日 □ 周 □ 月 □ 不定期 □ 未备份 7.重要信息系统备份: □ 已备份,备份周期:□ 实时 □ 日 □ 周 □ 月 □ 不定期 □ 未备份 |
(五)网络安全教育培训情况检查
重点对安全教育培训工作开展情况及成效进行检查,记录结果(表16)。
检查方法:查验教育宣传计划、会议通知、宣传资料等文档,检查网络安全形势和警示教育、基本防护技能培训开展情况;访谈机关工作人员,检查网络安全基本防护技能掌握情况;查验网络安全教育培训制度、培训教材、培训记录、结业证书等相关文件,检查网络安全管理人员和技术人员专业技能情况。
表16 网络安全教育培训检查结果记录表
网络安全教育培训 | 1.本年度网络安全形势和警示教育、基本防护技能培训情况: (1)次数:_________次 (2)人数:_____人(占本单位总人数的比例:_________%) 2.本年度网络安全管理和技术人员专业技能培训情况: (1)人次:_________ (2)参加专业技能培训的人员比率:_________% |
四、年度重要工作检查
(一)WindowsXP停止安全服务应对工作情况检查
1.查验设备台账,检查仍使用WindowsXP的设备和升级为Windows8的设备进行归类,纳入重点防护范围;
2.检查安全防护制度,访谈网络管理人员,确认是否针对WindowsXP停止服务制定了安全保护方案,部署了安全防护产品;
3.抽取仍使用WindowsXP的计算机,检查安全防护方案的落实情况,检查安装程序列表,查验是否卸载了与工作无关的应用程序;尝试安装或运行程序,查验是否采用了白名单管控技术措施;检查是否关闭了不必要的服务,是否关闭了不必要的端口。
4.访谈网络管理人员和采购管理人员,检查国产操作系统和应用软件的推广使用工作落实情况。
表17 WindowsXP停止安全服务应对工作情况检查结果记录表
WindowsXP停止安全服务应对工作情况 | 1.使用WindowsXP系统的计算机台数: 其中,连接互联网的计算机台数:_________台 升级为Windows8系统的计算机台数:_________台 其中,连接互联网的计算机台数:_________台 2.针对WindowsXP停止安全服务的安全保护方案: □已制定 □未制定 3.针对使用WindowsXP系统的计算机的安全防护产品 □已部署 产品名称_________ □未部署 4.不必要的服务和端口:□已关闭 □未关闭 5.国产操作系统和应用软件推广使用情况:___________________________________________________ |
(二)数据泄露及系统被控情况检查
1.查验数据中心设计文档、验收文档,确认数据中心位置;
2.查验信息系统设计方案文档,访谈系统运维、使用人员,确认是否采用了第三方的云计算服务,记录云计算服务商情况;
3.查验信息技术外包服务合同,检查服务过程记录文档,确认外包服务商提供服务过程是否有专人陪同,是否远程在线维护。
表18 数据泄露及系统被控情况检查结果记录表
数据泄露及系统被控情况检查 | 1.数据中心: □已建设或建设中,地理位置_________ □无数据中心 2.第三方云服务: □采用,云服务提供商________________ □未采用 3.系统被境外控制 □存在,被控制原因:_________(如:远程运维、非法控制等)被控制系统名称____________ □不存在 4.系统数据被提交至境外机构: □存在,数据被提交至境外原因:_________(如:业务咨询、业务运行需要、外包商认证) □不存在 |
五、安全技术检测
(一)网络设备及安全设备安全检测
每1-3年对所有网络设备及安全设备进行一次技术检测。重要业务系统和门户网站系统的网络设备和安全设备应作为检测重点。网络设备主要包括交换机、路由器等,安全设备主要包括访问控制设备(如防火墙)、入侵检测设备、安全审计产品、VPN、恶意代码防护设备、网页防篡改产品等。记录检查结果(表19)。
检测方法:使用漏洞扫描等工具检测网络设备及安全设备端口、应用、服务及补丁更新情况,检测是否关闭了不必要的端口、应用、服务,是否存在安全漏洞。
表19 网络设备及安全设备检测结果记录表
1.网络设备及安全设备抽查清单 | |||||
序号 | 设备名称/编号 | 部署位置 | 主管部门 | 运维单位 | |
1 | |||||
…… | |||||
2.存在高风险漏洞的网络设备及安全设备情况 | |||||
序号 | 设备名称/编号 | 主要漏洞列举 | 数量 | ||
1 | |||||
…… | |||||
(二)服务器安全检测
每1-2年对所有服务器进行一次技术检测,重要业务系统和门户网站系统的服务器作为检测重点。记录检查结果(表20)。
检测方法:使用漏洞扫描等工具检测服务器操作系统、端口、应用、服务及补丁更新情况,检测是否关闭了不必要的端口、应用、服务,是否存在安全漏洞;使用病毒木马检测工具,检测服务器是否感染了病毒,木马等恶意代码。
表20 服务器安全检测结果记录表
1.服务器抽查清单 | ||||
序号 | 服务器名称/编号 | 用途/承载的业务系统重要性(按等级) | 主管部门 | 运维单位 |
1 | ||||
…… | ||||
2.感染病毒木马等恶意代码的服务器情况 | ||||
序号 | 服务器名称/编号 | 病毒木马等恶意代码名称 | 数量 | |
1 | ||||
…… | ||||
3.存在高风险漏洞的服务器情况 | ||||
序号 | 服务器名称/编号 | 主要漏洞列举 | 数量 | |
1 | ||||
…… | ||||
(三)终端计算机安全检测
每1-3年对所有终端计算机进行一次技术检测。抽取终端计算机应根据使用者身份划分,合理选择不同级别、不同工作岗位人员的终端计算机。记录检查结果(表21)。
检测方法:使用漏洞扫描等工具检测终端计算机操作系统漏洞情况及补丁更新情况;使用病毒木马检测工具,检测终端计算机是否感染了病毒,木马等恶意代码;使用计算机违规检查和取证工具,检查是否使用非涉密计算机处理涉密信息,是否使用了涉密移动介质。
表21 终端计算机安全检测结果记录表
1.终端计算机抽查清单 | |||||
序号 | 终端名称/编号 | 部门 | 使用人 | 使用人职级 | |
1 | |||||
…… | |||||
2.感染病毒木马等恶意代码的终端计算机情况 | |||||
序号 | 终端名称/编号 | 病毒木马等恶意代码名称 | 数量 | ||
1 | |||||
…… | |||||
3.存在高风险漏洞的终端计算机情况 | |||||
序号 | 终端名称/编号 | 主要漏洞列举 | 数量 | ||
1 | |||||
…… | |||||
4.非涉密计算机处理涉密信息情况 | |||||
序号 | 终端名称/编号 | 数量 | 涉密文件名称 | ||
1 | 1. ____________________________ 2. ____________________________ | ||||
…… | |||||
5.非涉密计算机使用涉密移动存储介质信息情况 | |||||
序号 | 终端名称/编号 | 数量 | 涉密移动存储介质编号 | ||
1 | 1. ____________________________ 2. _____________________________ | ||||
…… | |||||
(四)应用系统安全检测
对业务系统、办公系统和网站系统等相关应用系统进行安全检测,重要业务系统、门户网站至少每年进行一次检测,其它1-2年进行一次检测。记录检查结果(表22)。
检测方法:使用漏洞扫描等工具测试重要业务系统及网站,检测是否存在安全漏洞;开展渗透测试,检查是否可以获取应用系统权限,验证网站是否可以被挂马、篡改页面、获取敏感信息等,检查系统是否被入侵(存在入侵痕迹)等。
表22 应用系统安全检测结果记录表
1.应用系统抽查清单 | ||||
序号 | 系统名称 | 域名或IP | 主管部门 | 运维单位 |
1 | ||||
…… | ||||
2.存在高、中风险漏洞的应用系统情况 | ||||
序号 | 系统名称 | 高、中风险漏洞列举/级别 | 数量 | |
1 | ||||
…… | ||||
3.存在入侵痕迹的应用系统情况 | ||||
序号 | 系统名称 | 入侵痕迹列举 | 数量 | |
1 | ||||
…… | ||||
六、本指南自发布之日起试行。