1、ICS 35.040 CCS L 80 日065新疆维吾尔自 J口区地方标准。B65/丁4439-2021网络安全检查技术规范Inspection technical specification for cybersecurity 20210917发布2021 -11 -01实施新疆维吾尔自治区市场监督管理局发布DB 65/T 4439-2021 目次口1ji-1222233435nbnbJ788999001122222333查检H否一况UHHHuu金青HHHHH查HUHHHH刷刷如随随附情落杳一HH查实护检查查查查查在二甜甜哺H检落果况检检检检检tun-juHH王-H员HH附脱销刷刷刷刷刷制
2、附附绵阳中1酣恤的阻中中查级础安护构障理全剧幢幢她抬恨倾她随轨制查平项果患施告检等基务保架果管安管检务专结隐措报划程备施析全全息服全织如全务产献脱脱阴暗阳城耀帕惋恤金服统改查题改结用义流准实午,J安安中一一口算安组经安服j安算系整检问整总引定作查查查络络销计据全全员包息金全络线端动份测急涧木络计控结总析先写性和语工检检检网网关云数安安人外优安安网无终移备监应漏技网云工总汇分研编围范语略查123用123456789叩门山UM阴阳口阻四川项12查12范规术缩检丘丘瓦迪队队队tap队队队也队队队队队队队aaaa专11检怠。队。仇。也AmH1i9quA峰AFhdpO叮iQUI DB 65/T 4439
3、一2021参考文献.14II DB 65fT 4439-2021 自IJ昌本文件按照GB/T1.1-2020 (标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件由新疆维吾尔自治区互联网信息办公室提出、归口并组织实施。本文件起草单位:新疆维吾尔自治区互联网信息办公室、新疆大学、新疆维吾尔自治区产品质量监督检验研究院、中国互联网络信息中心。本文件主要起草人:袁建廷、杨天京、艾袒鹏、石常海、张新跃、胡小明、刘宜朋、杜文茂、贾程凯、高峰、王静、贾忠、杨楠、张文斌、姚强、张亚明。本文件实施应用中的疑问,请咨询新疆维吾尔自治区互联网信息办公室、新疆大学。对本文件的修改意见建议,请反馈至
4、新疆维吾尔自治区互联网信息办公室(乌鲁木齐市西环北路2221号)、新疆大学(新疆乌鲁木齐市西北路499号)、新疆维吾尔自治区市场监督管理局(乌鲁木齐市新华南路167号)。新疆维吾尔自治区互联网信息办公室联系电话:0991-2384760;传真:0991-2384760;邮编:830014 新疆大学联系电话0991-4558654;传真0991-4558654;邮编830091新疆维吾尔自治区市场监督管理局联系电话:0991-2818750;传真:0991-2321250;邮编:830004 III DB 65/T 4439-2021 网络安全检查技术规范1 范围本文件规定了网络安全检查工作的流
5、程、内容和方法。本文件适用于自治区开展的网络安全检查,由适用于关键信息基础设施运营者开展网络安全自查。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不住日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 22239 信息安全技术网络安全等级保护基本要求GB/T 22240 信息安全技术网络安全等级保护定级指南GB/T 31167 信息安全技术云计算服务安全指南GB/T 31168 信息安全技术云计算服务安全能力要求GB/T 35273 信息安全技术个人信息安全规范GB/T 37980
6、信息安全技术工业控制系统安全检查指南DB65/T 4438 -2021 关键信息基础设施识别指南3 术语和定义DB65/T 4438 -2021界定的术语和定义适用于本文件。4 缩略语下列缩略语适用于本文件。VLAN:虚拟局域网CVirtualLocal Area Network) WPA: Wi-Fi网络安全接入CWi-FiProtected Access) IP:互联网协议CIntemet Protocol) MAC:介质访问控制CMediaAccess ControD 5 检查工作流程5.1 检查准备5. 1. 1 检查工作内容由检查方依据法律法规、政策文件要求、网络安全检查技术规范和网
7、络安全发展态势等进行确定。如果被检查方上一年度也接受了网络安全检查,则还须查验被检方对上一年度网络安全检查发现的安全隐患以及漏洞是否及时处置,是否制定整改方案,是否落实整改措施。5.1.2 检查方须制定网络安全检查方案和网络安全检查工作表。网络安全检查方案应包含概述、检查DB 65月4439-2021依据、技术思路、被检查网络与信息系统的范围、业务情况、安全防护情况、检查内容和检查组成员、工作计划和内容安排等。5.2 检查实施5.2.1 依据检查方案开展现场检查工作,通过使用各种检查方法,检查网络安全的保护措施与本文件要求的符合情况。5.2.2 在现场检查过程中,检查方需辨别检查项的不适用情况
8、即检查项所防范的威胁在被检查方中是否存在,如果不存在,则该检查项应标为不适用项。5.2.3 在进行漏洞扫描、渗透测试等安全测试时,应确保检测工具本身不得存在恶意程序、漏洞及其他安全缺陷。检查方应与被检查方充分沟通,被检查方应提供满足检测工作要求的接入点和接入环境。检查方在测试前应全面评估漏洞扫描、渗透测试可能造成的风险,给出风险规避和应急处置措施,宜尽可能避免因安全测试对业务系统运行造成不良影响。5.2.4 被检查方应协助检查方完成业务相关内容的问询、验证和测试,如对某些需要验证、测试的内容进行上机操作,协助检查人员实施测试并提供有效建议,对检查结果进行确认,检查完成之后确认被检查系统工作正常
9、等。5.3 检查分析5. 3. 1 总结被检查网络与信息系统的整体安全防护能力进行综合评价。5.3.2 根据现场检查结果和本文件的相关要求,定位整个被检单位网络安全防护现状与本文件安全要求之间的差距,并分析这些差距导致网络与倍息系统面临的风险,给出检查结论,形成检查报告和整改通知书。6 通用网络安全检查6.1 网络安全等级保护落实情况检查6. 1. 1 检查要求包括:a) 运营者应完成网络与信息系统的等级保护定级和备案工作:b) 运营者应每年开展网络与信息系统的等级测评工作:c) 等级测评报告应客观准确地反映被测评网络与信息系统的安全保护状况,并提供整改建议:d) 运营者对等级测评中发现的安全
10、问题应进行整改。6.1.2 检查方法:a) 访谈;b) 查验:c) 测试。6.1.3 检查内容包括:a) 查看网络与信息系统的等级保护定级报告和备案表等,确定是否明确了网络与信息系统的安全保护等级,确定是否说明定级的方法和理由,确定是否组织专家对定级进行评审,确定是否具有等级保护备案证明等:b) 检查网络与信息系统等级测评报告,检查等级测评报告是否按照GB/T22240的要求逐项进行等级测评,通过访谈、查验等形式对等级测评报告内容进行核查验证,验证等级测评结果是否客观属实。检查报告中整改建议是否准确合理、是否完整,是否覆盖所有安全问题:c) 访谈安全管理人员对网络与信息系统等级测评中发现的安全
11、隐患,是否制定整改方案,是否落实整改措施,消除安全隐患。2 6. 2 关键倍患基础设施保护落实情况检查6.2.1 检查要求包括:a) 检查运营者关键信息基础设施清单,不应存在漏报、误报、蹒报的情况:b) 运营者应确定关键业务,并且有详细的关键业务描述:c) 运营者应完成关键信息基础设施识别识别工作和备案工作:d) 运营者应每年开展关键信息基础设施安全风险评估工作:e) 运营者对关键信息基础设施风险评估中发现的安全问题应进行整改。6.2.2 检查方法:a) 访谈:b) 查验:c) 测试。6.2.3 检查内容包括:DB 65月4439-2021a) 王军看关键信息基础设施识别认定报告和备案表等,确
12、定是否存在漏报、误报、蹒报的情况:b) 查看关键信息基础设施识别认定报告和备案表等,确定是否有关键业务详细的描述:c) 查看关键信息基础设施识别认定报告和备案表等,确定是否说明了认定关键信息基础设施的方法和理由,确定是否明确了支撑关键业务完整运行的网络设施、信息系统等,确定是否组织专家对识别认定进行评审,确定是否具有关键信息基础设施登记备案证明等;d) 查看关键信息基础设施安全风险评估报告。通过访谈、查验等形式对风险评估报告内容进行核查验证,验证评估结果是否客观属实。检查整改建议是否全面、准确、合理;e) 访谈安全管理人员对关键信息基础设施安全风险评估中发现的安全风险隐患,是否制定整改方案,是
13、否落实整改措施,消除风险隐患。6. 3 云计算服务安全情况检查6.3.1 对于已将业务及数据迁移到去计算服务平台的党政机关、关键信息基础设施运营者,参照GB/T31167开展网络安全栓查。6.3.2 检查要求包括:a) 应落实云计算服务网络安全管理的基本要求:b) 应合理确定采用云计算服务的数据和业务范围:c) 应要求采购的云计算服务通过云计算安全评估:d) 应加强云计算服务过程的持续指导和监督:e) 应强化云计算服务保密审查和安全意识培养。6.3.3 检查方法:a) 访谈:b) 查验。6.3.4 检查内容包括:a) 查看是否在采购使用云计算服务过程中遵守,并通过合同等手段要求云平台管理运营者
14、遵守安全管理责任不变、数据归属关系不变、安全管理标准不变、敏感信息不出境等云计算服务网络安全管理的基本要求:b) 查看是否对数据的敏感程度、业务的重要性进行分类,是否全面分析、综合平衡采用云计算服务后的安全风险和效益,是否科学规划和确定采用云计算服务的数据、业务范围和进度安排:c) 查看是否在采购云计算服务时,通过采购文件或合同等手段,明确要求采购的云计算服务平台通过云计算服务安全评估:3 DB 65月4439-2021d) 查看是否对云计算服务平台的安全控制措施执行情况、风险问题的处置情况、重大变更情况、重大安全事件的响应情况等开展持续监督;查验是否履行合同规定的责任义务,监督云平台管理运营
15、者加强安全防护管理。查看是否要求云平台管理运营者在发生网络安全案件或重大事件时,及时向自治区主管、监管部门报告,并配合相关部门开展调查工作:e) 查看是否建立健全云计算服务保密审查制度,指定机构和人员负责对迁移到云计算平台上的数据、业务进行保密审查,确保数据和业务不涉及国家秘密。查验在使用云计算服务前,是否集中组织开展工作人员网络安全和保密教育培训,明示使用云计算服务面临的安全保密风险。6.4 数据安全保护情况检查6.4.1 检查要求包括:a) 应建立健全数据全生命周期的数据安全管理制度:b) 应根据数据分类分级的不间,制定符合其安全需要的保护策略:c) 应采取措随保护数据的完整性、保密性、可
16、用性,防止泄露、窃取、篡改、损毁、非法使用等;的不应存在超出用户授权沼围或违反要求收集、存储、使用等个人信息的情况:e) 应严格控制重要数据的公开、分析、交换、共草和导出等关键环节:f) 网开展数据安全风险评估工作:g) 对数据安全风险评估中发现的安全问题应进行整改。6.4.2 检查方法:a) 访谈:b) 查验:c) 测试。6.4.3 检查内容包括:a) 查看是否建立包含采集、传输、存储、处理、交换和销毁各环节的数据安全管理制度,并验证内容是否详实:b) 查看对数据是否采取了分类标识、逐类定级和分级管理相结合的管理措施:c) 查看是否执行了数据的安全保护策略,并验证内容是否详实:d) 查看是否
17、建立了数据的容灾备份机制,验证内容是否详实,有无重大缺失:e) 查看对个人信息和重要数据的传输、存储是否采用了加密等保护措施:f) 查验个人信息的收集、存储、使用、共亭、转让、公开披露等是否符合GB/T35273的要求。例如查验是否存在超出用户授权范围或违反要求收集、存储、使用个人倍息的情况:g) 应严格控制重要数据的公开、分析、交换、共享和导出等关键环节。例如查看重要数据公开前是否经过脱敏处理:查看是否明确数据分析的程度和范围:查看是否限制共享数据的类型、范围以及共享后的使用目的等;h) 查看数据安全风险评估报告。通过访谈、查验等形式对评估报告内容进行核查验证,验证评估结果是否客观属实,检查
18、整改建议是否全面、准确、合理:i) 访谈安全管理人员对数据安全风险评估中发现的安全隐患,是否制定整改方案,是否落实整改措施,消除安全隐患:j) 在自治区境内运营中收集、产生和存储的个人信息和重要数据,因业务需要,确需向境外提供的,应当进行安全评估。6.5 安全组织架构情况检查4 DB 65月4439-20216.5.1 检查要求包括:a) 运营者应按照要求建立了网络安全管理机构,建立指导和管理网络安全工作的委员会或领导小组,网络安全第一责任人应由主要领导担任;b) 应设立网络安全管理负责人和关键岗位的人员等岗位,明确网络安全管理负责人和关键岗位的人员的安全责任:c) 应建立并实施网络安全考核及
19、监督问责机制,对网络安全管理负责人和关键岗位的人员进行了安全背景审查。6.5.2 检查方法:a) 访谈;b) 查验。6.5.3 检查内容包括:a) 查看有关安全管理机构设置和人员安全管理情况的证明材料,验证是否属实:b) 查看有关证明材料,验证运营者是否建立并实施网络安全考核及监督问贵机制,验证是否在相关制度中对人员职责明确责任分工情况,并通过考核和监督问贵相关工作记录文档查验该机制是否正确有效运行;c) 查看安全管理机构人员的背景审查资料、记录、人员资质证明文件等。6.6 安全经费保障情况检查6.6.1 检查要求包括:a) 应将网络安全设施运行维护、网络安全服务采购、日常网络安全管理、网络安
20、全教育培训、网络安全自查、等级测评、关键信息基础设施检测评估、网络安全应急处置等费用纳入部门年度预算。b) 应严格落实网络安全经费预算,保证网络安全经费投入。6.6.2 检查方法:a) 访谈:b) 查验。6.6.3 检查内容包括:a) 查验上一年度和本年度预算文件,检查年度预算中是否明确有网络安全相关费用:b) 查验相关财务文档和经费使用张目,检查上一年度网络安全经费实际投入情况、网络安全经费是否专款专用。6. 7 人员安全管理情况检查6.7.1 检查要求包括:a) 应定期开展网络安全管理人员和技术人员专业技能培训:b) 应与重点岗位的维护和管理人员签订网络安全与保密协议,明确网络安全与保密责
21、任:c) 应制定并严格执行人员离岗离职网络安全管理规定并严格执行:d) 应建立外部人员访问机房等重要区域审批制度,应认真执行并对访问活动进行记录留存;e) 应建立网络安全责任事故追查机制,对违反网络安全管理规定的人员给予严肃处理,对造成网络安全事故的依法追究当事人和有关负责人的责任,并以适当方式通报。6.7.2 检查方法:的访谈:b) 查验。6.7.3 检查内容包括:5 DB 65月4439-2021a) 查验教育培训计划、会议通知、检查网络安全形势教育等开展情况:查验培训通知、培训|教材、结业证书等:访谈网络安全管理和技术人员培训内容,查看是否具有人员安全教育培训记录资料:b) 查验岗位网络
22、安全责任制度文件,检查不同岗位的网络安全责任是否明确:检查重点岗位人员网络安全与保密协议签订情况:访谈部分重点岗位人员,抽查对网络安全责任的了解程度:c) 查验人员离岗离职管理制度文件,检查是否有终止系统访问权限、收回软硬件设备、收回身份证件和门禁卡等要求:检查离岗离职人员安全保密承诺书签署情况:查验信息系统账户,检查离岗离职人员账户访问权限是否巳被终止;d) 查验外部人员访问机房等重要区域的审批制度文件,检查是否有访问审批、人员陪同等要求:查验访问审批记录、访问活动记录,检查记录是否清晰、完整:e) 查验安全事件记录及安全事件责任查处等文档,检查是否发生过因违反制度规定造成的网络安全事件、是
23、否对网络安全事件责任人进行了处置。6.8 外包服务安全情况检查6.8.1 检查要求包括:a) 应建立并严格执行信息技术外包服务安全管理制度:b) 应与信息技术服务外包服务商签订网络安全与保密协议,明确网络安全与保密责任:c) 关键信息基础设施使用了第三方外包服务过程中应安排专人陪同并提供详细记录:d) 外包开发的关键信息基础设施软件系统上线应用前应进行了等级测评、关键信息基础设施风险评估,应要求开发方及时提供系统软件的升级、漏洞修复等相应的服务;e) 关键信息基础设施运维外包应严格执行非远程在线运维服务方式。6.8.2 检查方法:a) 访谈:b) 查验。6.8.3 检查内容包括:a) 查验相关
24、制度文档,检查是否有外包服务安全管理制度:b) 查验信息技术外包服务合同及网络安全与保密协议,检查网络安全与保密责任是否清晰:c) 查验外包人员现场服务记录,查验记录是否完整(包括服务时间、服务人员、陪同人员、作内容等信息); d) 访谈系统管理员和工作人员,查验安全测评报告,检查外包开发的软件系统上线前是否进行过关键信息基础设施检测评估:e) 查验外包服务合同及技术方案等文档,检查是否存在远程在线运维服务。6.9 信息资产管理情况检查6.9.1 检查要求包括:a) 应建立并严格执行信息资产管理制度;b) 应指定专人负责信息资产管理:c) 应建立信息资产台账(清单),统一编号、统一标识、统一发
25、放,并及时记录信息资产状态和使用情况,保证账物相符;d) 应建立并严格执行设备维修维护和报废管理制度。6.9.2 检查方法:a) 访谈:b) 查验。6 DB 65/T 4439-2021 6.9.3 检查内容包括:a) 查验信息资产管理制度文档,检查信息资产管理制度是否建立:b) 查验设备管理员任命及岗位分工等文件,检查是否明确专人负责信息资产管理:访谈设备管理员,检查其对倍息资产管理制度和日常工作任务的了解程度;c) 查验信息资产台帐,检查台账是否完整(包括设备编号、设备状态、责任人等信息:查验领用记录,随机抽取一定数量的实物,查验其是否纳入信息资产台胀,同台账是否相符:d) 查验相关制度文
26、档和记录,检查设备维修维护和报废管理制度建立及落实情况。6.10 安全建设检查6.10.1 检查要求包括:a) 应严格执行关键信息基础设施建设与安全技术措施同步规划、间步建设和问步使用;b) 查看产品或服务运行日志,新系统上线运行或发生变更前应通过关键倍息基础设施检测评估:c) 应与关键信息基础设施系统相关产品和服务的提供者签订了安全保密协议,明确了安全和保密义务与责任:d) 对可能影响国家安全的产品或服务,应通过了国家安全审查。6.10.2 检查方法:a) 访谈:b) 查验。6.10.3 检查内容包括:a) 访谈网络安全管理人员,查看三同步落实情况相关文档,是否落实间步规划、闰步建设和同步使
27、用,包括:在项目规划阶段,是否有安全部门介入,参与规划;建设阶段是否合规进行资金预算、是否间步设计安全措施,验收时是否针对安全部分进行验收测试:使用阶段是否部署相应安全技术措施、技术手段:b) 查看产品或服务运行日志,查阅新系统上线前的关键信息基础设施检测评估报告,验证系统正式运行前或发生变更前是否通过关键信息基础设施检测评估;c) 查看与产品和服务的提供者签订的安全保密协议:d) 查看购买的网络安全产品和服务的国家安全审查报告。6. 11 安全运维检查6. 11. 1 检查要求包括:a) 网络设备和信息系统清单内容应详实,应无重大缺失:b) 机房出入记录,内容应详实,应无重大缺失;c) 应进
28、行定期安全运维记录,以及重大事件、重大威肋、出现时的运维记录或报告:d) 如果使用了远程或境外运维的产品或服务,应向网信部门和保护工作部门报备。6. 11.2 检查方法:a) 访谈:b) 查验。6. 11.3 检查内容包括:a) 查看网络设备和倍思、系统清单:b) 查看机房管理制度和工作人员机房出入记录:c) 查看安全运维记录,包括但不限于补丁升级、漏洞扫描、防护策略调整、远程运维审批和日志审计,查看重大安全事件的运维记录或报告:7 DB 65/T 4439-2021 d) 访谈网络运维人员安全运维情况,查看是否有远程或境外运维的产品或服务并向有关部门报备的文档,内容是否详实,有无重大缺失。6
29、.12 网络边界安全防护情况检查6. 12. 1 检查要求包括:a) 网络与信息系统与互联网及其他公共信息网络应实行逻辑隔离:b) 应建立互联网接入审批和登记制度,严格控制互联网接入口数量,加强互联网接入口安全管理和安全防护:c) 应采取访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范等措施,进行网络边界防护:d) 应根据敢载业务的重要性对网络进行分区分域管理,采取必要的技术措施对不同网络分区进行防护、对不同安全域之间实施访问控制:e) 应对网络日志进行管理,定期分析,及时发现安全风险。6.12.2 检查方法:a) 查验;b) 测试。6.12.3 检查内容包括:a) 查验网络拓扑眉,
30、检奇重要设备连接情况,现场核查内部办公系统等的交换机、路由器等阿络设备,确认以上设备的光纤、网线等物理线路没有与互联网及其他公共信息网络直接连接,有相应的安全隔离措施:b) 查验网络拓扑圈,检查接入互联网情况,统计网络外联的出口个数,检查每个出口是否均有相应的安全防护措施:c) 查验网络拓扑图,检查是否在网络边界部署了访问控制(如防火墙)、入侵检测、安全审计以及非法外联检测、病毒防护等必要的安全设备:d) 分析网络拓扑图,检查网络隔离设备部署、交换机VLAN划分情况,检查网络是否按重要程度划分了安全区域,并确认不同区域问采用了正确的隔离措施:e) 查验网络日志(重点是互联网访问日志)及其分析报
31、告,检查日志分析周期、日志保存方式和保存时限等。6.13 光线网络安全防护情况检查6. 13. 1 检查要求包括:a) 应采取身份鉴别、地址过滤等措施对无线网络的接入进行管理,采用自名单管理机制,防止非授权接入造成的内网渗透事件发生:b) 应修改无线路由设备的默认管理地址和管理账户默认口令,应设置复杂口令:c) 用户接入认证加密应采用WPA2及更高级别算法,防止破解接入口令。6.13.2 检查方法:a) 查验:b) 测试。6.13.3 检查内容包括:a) 登录无线网络设备管理端,检查安全防护策略配置情况,包括是否设置对接入设备采取身份鉴别认证措施和地址过滤措施:b) 检查用户接入认证及管理端口
32、登录口令,包括口令强度和更新频率,查看是否登录页面采用默认地址及默认口令:8 DB 65/T 4439-2021 c) 登录无线设备管理页面,查看加密方认证方式是否采用WPA2及更高级别算法。6. 14 终端计算机安全防护情况检查6. 14. 1 检查要求包括:a) 宜采用集中统一管理方式对终端计算机进行管理,统一软件下发,统一安装系统补丁,统一实施病毒库升级和病毒查杀等:b) 应规范软硬件使用,不应擅自更改软硬件配置,不应擅自安装软件;c) 应加强账户及口令管理,使用具有一定强度的口令并定期更换:d) 应对接入互联网终端计算机采取控制措施,包括实名接入认证、IP地址与MAC地址绑定等:e)
33、应定期对终端计算机进行安全审计。6. 14.2 检查方法:a) 访谈:b) 查验:c) 测试。6.14.3 检查内容包括:a) 查看集中管理服务器,抽查终端计算机,检查是否采用了集中统一管理方式对终端计算机进行管理,包括统一软件安装、统一补丁升级、统一病毒库升级、统一病毒查杀等:b) 查看终端计算机,检查是否安装有与工作无关的软件:c) 检查终端计算机是否配置了口令策略:d) 访谈网络管理员和工作人员,检查是否采取了实名接入认证、IP地址与MAC地址绑定等措施对接入本单位网络的终端计算机进行控制:e) 查验审计记录,检查是否对终端计算机进行了安全审计。6.15 移动存储介质检查6. 15. 1
34、 检查要求包括:a) 应进行严格的存储阵列、磁带库等大容量存储介质的管理,确保存储数据安全:b) 应对移动存储介质进行集中统一管理,记录介质领用、交回、维修、报废、销毁等情况:c) J5Q配备必要的电子信息消除和销毁设备,对变更用途的存储介质要消除信息,对废弃的存储介质应进行销毁。6.15.2 检查方法:a) 访谈:b) 查验:c) 测试。6.15.3 检查内容包括:a)访谈网络管理员,检查大容量存储介质是否存在远程维护,是否有相应的安全风险控制措施:查看光纤、网线等物理线路的连接情况和防护措施:b)查验相关记录,检查是否对移动存储介质进行统一管理,包括统一领用、交团、维修、报废、销毁等;c)
35、查看设备台胀或实物,检查是否配备了电子信息消除和销毁设备并执行了电子信息消除措施。6.16 备份与恢复检查6. 16. 1 检查要求包括:a) 应制定了备份恢复制度以及方案:9 DB 65/T 4439-2021 b) 应根据关键信息基础设施关键属性要求,采取了必要的备份和恢复措施:c) 应按照关键信息基础设施的备份和恢复管理要求制定备份恢复策略:d) 应在近一年进行了灾备恢复演练,并做记录:e) 近一年内发生的网络安全事件,应启用了备份与恢复手段保障业务正常运行。6.16.2 检查方法:a) 访谈:b) 查验:c) 测试。6.16.3 检查内容包括:a) 查看是否有备份恢复制度及方案:b)
36、查看是否有必要的各份和恢复措施;c) 查看近一年灾备恢复演练记录,包括但不限于灾备和恢复演练周期、相关人员响应时间等;d) 查看关键倍息基础设施中的重要系统和数据库是否实现异地备份,业务数据安全性要求高的是否实现数据的异地备份。6.17 监测预警检查6.17. 1 检查要求包括:a) 应建立了完备的安全监测与预警措施,实时对关键倍息基础设施运行状态进行监测,应能够第一时间发现系统中断、性能下降或其他运行异常情况:b) 应留存不少于六个月的的网络日志,并安排专人定期对日志进行审计:c) 应对网络威胁进行监测,开展网络安全态势分析:d) 应有固定、周期性的网络安全威胁信息来源:e) 应能够在知悉新
37、出现的威胁后迅速部署监测策略:f) 应有安全事件通报制度,核查历史安全事件通报记录。6.17.2 检查方法:a) 访谈:b) 查验;c) 测试。6.17.3 检查内容包括:a) 查看是否实时对关键信息基础设施运行状态进行监测,能否第一时间发现系统中断、性能下降或其他运行异常情况:b) 查看网络日志留存时间,是否安排专人定期对日志进行审计:c) 查看是否对网络威胁进行监测,开展网络安全态势分析:d) 查看是否有商定、周期性的网络安全威胁信息来源:e) 查看是否能够在知悉新出现的威胁眉迅速部署监测策略:f) 查看是否有安全事件通报制度和历史安全事件通报记录。6.18 应急晌应与处置检查6. 18.
38、 1 检查要求包括:a) 应制定了应急预案,并在过去一年中至少开展一次有单位网络安全主要责任人参加的实战演练;b) 应对安全事件进行了分级分类处置;c) 应对被通报预警的网络安全事件或威胁及时处置并反馈;10 DB 65/T 4439-2021 d) 应有安全事件上报机制,并对己发生的安全事件进行了上报,形成上报记录。6.18.2 检查方法:a) 访谈;b) 查验。6.18.3 检查内容包括:a) 查看应急预案文本,并在过去一年中至少开展一次有单位网络安全主要责任人参加的实战演练、:访谈网络网络安全管理员、运维人员、工作人员对应急预案的熟悉程度:b) 查看梳理历史重大安全事故、事件的应急响应处
39、置记录:按事件分级分类制定应急预案并定期演练:c) 王军看是否对被通报预警的网络安全事件或威肋及时处置并反馈:d) 查看是否建立安全事件举报投诉机制的有效性,查看上报记录文件。6.19 漏洞修复情况检查6. 19. 1 检查要求包括:应定期对本单位主机、网络安全防护设备、信息系统等进行漏洞检测,对于漏洞检测中发现的网络层、系统层、应用层等漏洞应进行验证并及时进行修复处置,记录检测及修复结果。6.19.2 检查方法:a) 访谈:b) 查验:c) 测试。6.19.3 检查内容包括:查看相关漏洞扫描记录,确定扫描时间和周期。查看漏洞验证记录,访谈网络安全管理人员是否对漏洞风险进行及时处置并查看漏洞处
40、置记录。6. 20 技术检查6. 20. 1 检查要求包括:a) 检查方使用漏洞检测工具对网络与信息系统进行漏洞检测,验证网络与倍息系统中是否存在安全漏洞,执行的漏洞检测的类型和内容应包括:端口服务扫描、主机漏洞扫描、应用漏洞扫描,新近爆出的重大高危漏洞以及间类型系统发现存在的高危漏洞:b) 检查方利用系统安全漏洞,通过模拟攻击,对目标系统尝试无害的攻击测试获取测试结果,检查验证网络与信息系统安全保护策略和安全防护措施的有效性,评价网络与信息系统的安全防护能力。6. 20. 2 检查方法:渗透测试。6. 20. 3 检查内容包括:a) 使用漏洞扫描等工具检测操作系统、端口、应用、服务及补丁更新
41、情况,检测是否关闭了不必要的端口、应用、服务,是否存在安全漏洞:b) 测试检查是否可以获取系统权限:测试安全域隔离策略是否已经失效并可以突破;测试重要的业务逻辑和流程是否可以被篡改:c) 测试高连续性的业务是否可以被中断,是否影响绝大多数人使用:d) 测试传播的重要信息是否可以被篡改:测试重要敏感的信息数据是否可以越权获取等;e) 检查系统是否被入侵并被控制(存在入侵瘦迹和后门)等。11 DB 65月4439-20217 专项网络安全检查7. 1 去计算服务平台专项检查为党政机关和关键倍息基础设施运营者提供服务的云计算服务平台,应按照GB/31168的要求开展网络安全检查,同时应符合下列要求:
42、a) 云计算服务平台,应通过云计算服务安全评估;b) 云平台管理运营者应将开展去计算服务安全评估的工作情况及整改结果及时向自治区网倍部门报告,并提交云计算服务安全评估报告); c) 针对云计算服务安全评估发现的风险问题,云平台管理运营者应按计划及时进行风险处置,不断提升云计算服务安全能力水平:d) 通过去计算服务安全评估的云计算服务平台,云平台管理运营者应严格按照云计算服务系统安全计划),落实执行相关安全控制措施:e) 去平台管理运营者应对云计算服务平台重大变更(如采用的虚拟化技术版本变更,云管理平台版本变更,系统或网络架构调整、云平台机房搬迁、更换运维方等)可能产生的风险进行分析,应采取有效
43、措施规避或降低因重大变更引发的安全风险,并按相关要求向自泊在网信部门报备:f) 云平台管理运营者在发生网络安全案件或重大事件时,应及时向自治区网信部门报告,并配合相关部门开展调查工作:g) 云平台管理运营者应严格履行合同中所规定的安全责任和义务,确保用户数据和业务的机密性、完整性、可用性,以及互操作性、可移植性:未经用户授权,不得收集、访问、修改、披露、利用、转让、销毁用户数据:云平台管理运营者应根据用户需求,确定个人信息安全要求,并按照GB/T35273要求提供相应的个人信息保护机制;h) 云平台管理运营者,在服务合同终止时,应按照合同中所规定要求做好数据、文档等资源的移交和清除工作。7.
44、2 工控系统专项检查对于工控系统网络安全检查,应按照GB/T37980的规定执行,同时应符合下列要求:a) 企业应明确工控系统的安全保护等级,应完成工控系统的等级保护定级和备案工作:b) 企业应开展工控系统的等级测评工作,等级测评报告应客观准确地反映被测评工控系统的安全保护状况,并提供整改建议。企业对等级测评中发现的安全问题应进行室主改:c) 企业应开展关键信息基础设施的识别认定工作和备案工作:d) 认定为关键信息基础设施的工控系统应每年开展安全风险评估工作,并对风险评估中发现的安全问题应进行整改:e) 企业应对工业数据进行保护,应建立工业数据的安全保护制度,应制定工业数据保护策略。f) 企业
45、应建立工业数据分类分级管理制度,应建立重要工业数据清单:g) 企业应采取备份、加密等措施保护重要工业数据的安全性:h) 企业应开展工业数据安全风险评估工作,并对工业数据安全风险评估中发现的安全问题应进行整改。8 检查总结整改8.1 汇总检查结果12 DB 65月4439-2021检查实施完成后,检查方应及时对检查结果进行梳理、汇总,对检查发现的问题和隐患进行分类整理。8.2 分析问题隐患检查方应对检查发现的问题和隐患逐项进行研究,深入分析产生的原因。结合年度网络安全形势,对被检查单位面临的网络安全威胁和风险程度、网络与信息系统抵御网络攻击的能力进行评估。8. 3 研究整改措施检查方在深入分析问
46、题隐患的基础上,研究提出针对性的改进措施建议。被检单位网络安全管理部门应根据检查方的建议,组织相关单位和人员进行整改,对于不能及时整改的,要制定整改计划和时间表,整改完成后应及时进行再评估。8.4 编写总结报告被检查单位网络安全管理部门应对检查工作进行全面整改,编写整改报告,并按要求及时报送。13 DB 65/T 44392021 1 中华人民共和国网络安全法向中华人民共和国数据安全法3 中华人民共和国个人信息保护法4 关键信息基础设施安全保护条例参考文献5 新疆维吾尔自治区网络安全管理条例6 关于开展关键信息基础设施网络安全检查的通知)(中央网倍办发2016口号)7 关于开展关键信息基础设施
47、普查工作的通知)(新党网信明电201810号)8 国家网络安全检查操作指南,中央阿信办网络安全协调局,2016年9 GB/T 22080-2016倍息技术安全技术信息安全管理体系要求10 GB/T 22081016信息技术安全技术倍息安全控制实践指南11 GB/T 22239-2019 信息安全技术网络安全等级保护基本要求12 GB/T 36047-2018 信息安全技术电力倍息系统安全检查规范13 GB/T 25069-2010信息安全技术术语14 GB/T 31167-2014信患安全技术云计算服务安全指南15 GB/T 31168-2014 信息安全技术云计算服务安全能力要求16 GB/T 35273-2020信息安全技术个人信息安全规范17 GB/T37973-2019倍患安全技术大数据安全管理指南18 工业控制系统信息安全防护指南,工业和信息化部,2016年19 GB/T 37980-2019 信息安全技术工业控制系统安全检查指南20 NIST Special Publication 800-53叶,Security and Privacy Controls for Federal Infonnation Systems and Organizations, 2013.4 14
浙ICP备2021020529号-1 | 浙B2-20240490 
