DB65/T 4439-2021 网络安全检查技术规范.pdf
- 文档部分内容预览:
DB65/T 4439-2021 网络安全检查技术规范
6.3.2检查要求包括
应落实云计算服务网络安全管理的基本要求; b) 应合理确定采用云计算服务的数据和业务范围; c) 应要求采购的云计算服务通过云计算安全评估; d) 应加强云计算服务过程的持续指导和监督; e) 应强化云计算服务保密审查和安全意识培养, 6.3.3检查方法:
6.3.4检查内容包括:
a)查看是否在采购使用云计算服务过程中遵守,并通过合同等手段要求云平台管理运营者遵守 安全管理责任不变、数据归属关系不变、安全管理标准不变、敏感信息不出境等云计算服务 网络安全管理的基本要求; 6 查看是否对数据的敏感程度、业务的重要性进行分类,是否全面分析、综合平衡采用云计算 服务后的安全风险和效益出口标准,是否科学规划和确定采用云计算服务的数据、业务范围和进度安 排; 查看是否在采购云计算服务时,通过采购文件或合同等手段,明确要求采购的云计算服务平 台通过云计算服务安全评估:
DB65/T44392021
d)查看是否对云计算服务平台的安全控制措施执行情况、风险问题的处置情况、重大变更情况、 重大安全事件的响应情况等开展持续监督;查验是否履行合同规定的责任义务,监督云平台 管理运营者加强安全防护管理。查看是否要求云平台管理运营者在发生网络安全案件或重大 事件时,及时向自治区主管、监管部门报告,并配合相关部门开展调查工作; 查看是否建立健全云计算服务保密审查制度,指定机构和人员负责对迁移到云计算平台上的 数据、业务进行保密审查,确保数据和业务不涉及国家秘密。查验在使用云计算服务前,是 否集中组织开展工作人员网络安全和保密教育培训,明示使用云计算服务面临的安全保密风 险。
6.4数据安全保护情况检查
6.4.1检查要求包括:
a) 应建立健全数据全生命周期的数据安全管理制度; b 应根据数据分类分级的不同,制定符合其安全需要的保护策略; C) 应采取措施保护数据的完整性、保密性、可用性,防止泄露、窃取、篡改、损毁、非法使用 等; d 不应存在超出用户授权范围或违反要求收集、存储、使用等个人信息的情况; e) 应严格控制重要数据的公开、分析、交换、共享和导出等关键环节; f 应开展数据安全风险评估工作: g 对数据安全风险评估中发现的安全问题应进行整改,
6.4.3检查内容包括:
6.5安全组织架构情况检查
6.5.1检查要求包括:
DB65/T44392021
6.5.3检查内容包括
a)查看有关安全管理机构设置和人员安全管理情况的证明材料,验证是否属实; b 查看有关证明材料,验证运营者是否建立并实施网络安全考核及监督问责机制,验证是否在 相关制度中对人员职责明确责任分工情况,并通过考核和监督问责相关工作记录文档查验该 机制是否正确有效运行; C 查看安全管理机构人员的背景审查资料、记录、人员资质证明文件等。
6.6安全经费保障情况检查
6.6.1检查要求包括
应将网络安全设施运行维护、网络安全服务采购、日常网络安全管理、网络安全教育培训、 网络安全自查、等级测评、关键信息基础设施检测评估、网络安全应急处置等费用纳入部门 年度预算。 b) 应严格落实网络安全经费预算,保证网络安全经费投入。 6.6.2 检查方法:
6.6.3检查内容包括
a) 查验上一年度和本年度预算文件,检查年度预算中是否明确有网络安全相关费用; b 查验相关财务文档和经费使用账目,检查上一年度网络安全经费实际投入情况、网络安全 费是否专款专用
6.7人员安全管理情况检查
6.7.1检查要求包括
a 应定期开展网络安全管理人员和技术人员专业技能培训; b 应与重点岗位的维护和管理人员签订网络安全与保密协议,明确网络安全与保密责任; 应制定并严格执行人员离岗离职网络安全管理规定并严格执行: d 应建立外部人员访问机房等重要区域审批制度,应认真执行并对访问活动进行记录留存 e) 应建立网络安全责任事故追查机制,对违反网络安全管理规定的人员给予严肃处理,对造成 网络安全事故的依法追究当事人和有关负责人的责任,并以适当方式通报。 .7.2检查方法:
6.7.3检查内容包括:
a)查验教育培训计划、会议通知、检查网络安全形势教育等开展情况:查验培训通知、培训教 材、结业证书等;访谈网络安全管理和技术人员培训内容,查看是否具有人员安全教育培训 记录资料; 查验岗位网络安全责任制度文件,检查不同岗位的网络安全责任是否明确;检查重点岗位人 员网络安全与保密协议签订情况;访谈部分重点岗位人员,抽查对网络安全责任的了解程度: C 查验人员离岗离职管理制度文件,检查是否有终止系统访问权限、收回软硬件设备、收回身 份证件和门禁卡等要求;检查离岗离职人员安全保密承诺书签署情况;查验信息系统账户, 检查离岗离职人员账户访问权限是否已被终止; d 查验外部人员访问机房等重要区域的审批制度文件,检查是否有访问审批、人员陪同等要求 查验访问审批记录、访问活动记录,检查记录是否清晰、完整; e 查验安全事件记录及安全事件责任查处等文档,检查是否发生过因违反制度规定造成的网络 安全事件、是否对网络安全事件责任人进行了处置
6.8外包服务安全情况检查
6.8.1检查要求包括:
a 应建立并严格执行信息技术外包服务安全管理制度: 6) 应与信息技术服务外包服务商签订网络安全与保密协议,明确网络安全与保密责任; C 关键信息基础设施使用了第三方外包服务过程中应安排专人陪同并提供详细记录; d 外包开发的关键信息基础设施软件系统上线应用前应进行了等级测评、关键信息基础设施风 险评估,应要求开发方及时提供系统软件的升级、漏洞修复等相应的服务: e) 关键信息基础设施运维外包应严格执行非远程在线运维服务方式。 6.8.2检查方法:
6.8.3检查内容包括
查验相关制度文档,检查是否有外包服务安全管理制度; 6) 查验信息技术外包服务合同及网络安全与保密协议,检查网络安全与保密责任是否清晰; 查验外包人员现场服务记录,查验记录是否完整(包括服务时间、服务人员、陪同人员、工 作内容等信息); 访谈系统管理员和工作人员,查验安全测评报告,检查外包开发的软件系统上线前是否进行 过关键信息基础设施检测评估; 查验外包服务合同及技术方案等文档,检查是否存在远程在线运维服务
6.9信息资产管理情况检查
6.9.1检查要求包括
应建立并严格执行信息资产管理制度: b) 应指定专人负责信息资产管理; C) 应建立信息资产台账(清单),统一编号、统一标识、统一发放,并及时记录信息资产状态 和使用情况,保证账物相符; d) 应建立并严格执行设备维修维护和报废管理制度。 6.9.2检查方法:
6.9.3检查内容包括:
DB65/T44392021
a)查验信息资产管理制度文档,检查信息资产管理制度是否建立; b) 查验设备管理员任命及岗位分工等文件,检查是否明确专人负责信息资产管理;访谈设备管 理员,检查其对信息资产管理制度和日常工作任务的了解程度; C 查验信息资产台账,检查台账是否完整(包括设备编号、设备状态、责任人等信息;查验领 用记录,随机抽取一定数量的实物,查验其是否纳入信息资产台账,同台账是否相符; d 查验相关制度文档和记录,检查设备维修维护和报废管理制度建立及落实情况
6.10.1检查要求包括: a.) 应严格执行关键信息基础设施建设与安全技术措施同步规划、同步建设和同步使用; b) 查看产品或服务运行日志,新系统上线运行或发生变更前应通过关键信息基础设施检测评估; C) 应与关键信息基础设施系统相关产品和服务的提供者签订了安全保密协议,明确了安全和保 密义务与责任; d 对可能影响国家安全的产品或服务,应通过了国家安全审查。 5.10.2 检查方法: a) 访谈; b) 查验。 .10.3 检查内容包括: a) 访谈网络安全管理人员,查看三同步落实情况相关文档,是否落实同步规划、同步建设和同 步使用,包括:在项目规划阶段,是否有安全部门介入,参与规划;建设阶段是否合规进行 资金预算、是否同步设计安全措施,验收时是否针对安全部分进行验收测试;使用阶段是否 部署相应安全技术措施、技术手段; b) 查看产品或服务运行日志,查阅新系统上线前的关键信息基础设施检测评估报告,验证系统 正式运行前或发生变更前是否通过关键信息基础设施检测评估; 查看与产品和服务的提供者签订的安全保密协议; 查看购买的网络安全产品和服务的国家安全审查报告
6.10.1检查要求包括
a) 应严格执行关键信息基础设施建设与安全技术措施同步规划、同步建设和同步使用; 6) 查看产品或服务运行日志,新系统上线运行或发生变更前应通过关键信息基础设施检测评 C 应与关键信息基础设施系统相关产品和服务的提供者签订了安全保密协议,明确了安全 密义务与责任; d) 对可能影响国家安全的产品或服务,应通过了国家安全审查。 10.2检查方法:
6.11.1检查要求包括
6.12网络边界安全防护情况检查
6.12.1检查要求包括
网络与信息系统与互联网及其他公共信息网络应实行逻辑隔离; 应建立互联网接入审批和登记制度,严格控制互联网接入口数量,加强互联网接入口安全管 理和安全防护; 应采取访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范等措施,进行网络 边界防护; 应根据承载业务的重要性对网络进行分区分域管理,采取必要的技术措施对不同网络分区进 行防护、对不同安全域之间实施访问控制; 应对网络日志进行管理,定期分析,及时发现安全风险。 伦杰注
理和安全防护; c) 应采取访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范等措施,进行网络 边界防护; 应根据承载业务的重要性对网络进行分区分域管理,采取必要的技术措施对不同网络分区进 行防护、对不同安全域之间实施访问控制; e) 应对网络日志进行管理,定期分析,及时发现安全风险。 6.12.2 检查方法: a) 查验; b) 测试。 6.12.3 检查内容包括: a 查验网络拓扑图,检查重要设备连接情况,现场核查内部办公系统等的交换机、路由器等网 络设备,确认以上设备的光纤、网线等物理线路没有与互联网及其他公共信息网络直接连接, 有相应的安全隔离措施; 查验网络拓扑图,检查接入互联网情况,统计网络外联的出口个数,检查每个出口是否均有 ? 相应的安全防护措施; C) 查验网络拓扑图,检查是否在网络边界部署了访问控制(如防火墙)、入侵检测、安全审计 以及非法外联检测、病毒防护等必要的安全设备; d 分析网络拓扑图,检查网络隔离设备部署、交换机VLAN划分情况,检查网络是否按重要程 度划分了安全区域,并确认不同区域间采用了正确的隔离措施: e) 查验网络日志(重点是互联网访问日志)及其分析报告,检查日志分析周期、日志保存方式 和保存时限等。
6.13无线网络安全防护情况检查
6.13.1检查要求包括
5.13.3 检查内容包括: a 登录无线网络设备管理端,检查安全防护策略配置情况,包括是否设置对接入设备采取身份 鉴别认证措施和地址过滤措施; b) 检查用户接入认证及管理端口登录口令,包括口令强度和更新频率,查看是否登录页面采用 默认地址及默认口令:
3.3检查内容包括: a) 登录无线网络设备管理端,检查安全防护策略配置情况,包括是否设置对接入设备采取 鉴别认证措施和地址过滤措施; b) 检查用户接入认证及管理端口登录口令,包括口令强度和更新频率,查看是否登录页面采 默认地址及默认口令:
登录无线设备管理页面,查看加密方认证方式是否采用WPA2及更高级别算法。
6.14终端计算机安全防护情况检查
6.14.1检查要求包括
a) 宜采用集中统一管理方式对终端计算机进行管理,统一软件下发,统一安装系统补丁,统 实施病毒库升级和病毒查杀等; b) 应规范软硬件使用,不应擅自更改软硬件配置,不应擅自安装软件; C) 应加强账户及口令管理,使用具有一定强度的口令并定期更换; d) 应对接入互联网终端计算机采取控制措施,包括实名接入认证、IP地址与MAC地址绑定等 e) 应定期对终端计算机进行安全审计。 6.14.2 检查方法: a) 访谈; b) 查验; 测试。 6.14.3 检查内容包括: a 查看集中管理服务器,抽查终端计算机,检查是否采用了集中统一管理方式对终端计算机进 行管理,包括统一软件安装、统一补丁升级、统一病毒库升级、统一病毒查杀等; b) 查看终端计算机,检查是否安装有与工作无关的软件; C 检查终端计算机是否配置了口令策略; d 访谈网络管理员和工作人员,检查是否采取了实名接入认证、IP地址与MAC地址绑定等措施 对接入本单位网络的终端计算机进行控制; ) 查验审计记录,检查是否对终端计算机进行了安全审计。
6.15移动存储介质检查
6.15.1 检查要求包括: a) 应进行严格的存储阵列、磁带库等大容量存储介质的管理,确保存储数据安全; b) 应对移动存储介质进行集中统一管理,记录介质领用、交回、维修、报废、销毁等情况; C 应配备必要的电子信息消除和销毁设备,对变更用途的存储介质要消除信息,对废弃的存储 介质应进行销毁。 6.15.2 检查方法: a) 访谈; b 查验; 测试。 6.15.3 检查内容包括: a) 访谈网络管理员,检查大容量存储介质是否存在远程维护,是否有相应的安全风险控制措施; 查看光纤、网线等物理线路的连接情况和防护措施; b)查验相关记录,检查是否对移动存储介质进行统一管理,包括统一领用、交回、维修、报废、 销毁等; c)查看设备台账或实物,检查是否配备了电子信息消除和销毁设备并执行了电子信息消除措施
应进行严格的存储阵列、磁带库等大容量存储介质的管理,确保存储数据安全; 应对移动存储介质进行集中统一管理,记录介质领用、交回、维修、报废、销毁等情况; 应配备必要的电子信息消除和销毁设备,对变更用途的存储介质要消除信息,对废弃的存储 介质应进行销毁。
6.16备份与恢复检查
6.16.1检查要求包括:
应制定了备份恢复制度以及方案
应制定了备份恢复制度以及方案:
DB65/T44392021
b)应根据关键信息基础设施关键属性要求,采取了必要的备份和恢复措施; ) 应按照关键信息基础设施的备份和恢复管理要求制定备份恢复策略; d) 应在近一年进行了灾备恢复演练,并做记录: e) 近一年内发生的网络安全事件,应启用了备份与恢复手段保障业务正常运行。 6.16.2 检查方法: a) 访谈; b) 查验; C) 测试。 6.16.3 检查内容包括: a) 查看是否有备份恢复制度及方案; b) 查看是否有必要的备份和恢复措施: c) 查看近一年灾备恢复演练记录,包括但不限于灾备和恢复演练周期、相关人员响应时间等; d) 查看关键信息基础设施中的重要系统和数据库是否实现异地备份,业务数据安全性要求高的 是否实现数据的异地备份。
6.17.1检查要求包括:
a)应建立了完备的安全监测与预警措施,实时对关键信息基础设施运行状态进行监测,应能够 第一时间发现系统中断、性能下降或其他运行异常情况 应留存不少于六个月的的网络日志,并安排专人定期对日志进行审计: 应对网络威胁进行监测,开展网络安全态势分析; d 应有固定、周期性的网络安全威胁信息来源; e) 应能够在知悉新出现的威胁后迅速部署监测策略; f 应有安全事件通报制度,核查历史安全事件通报记录。 6.17.2 检查方法: a) 访谈; b) 查验; C) 测试。 5.17.3 检查内容包括: a 查看是否实时对关键信息基础设施运行状态进行监测,能否第一时间发现系统中断、性能下 降或其他运行异常情况; 6 查看网络日志留存时间,是否安排专人定期对日志进行审计 C 查看是否对网络威胁进行监测,开展网络安全态势分析; d) 查看是否有固定、周期性的网络安全威胁信息来源; e 查看是否能够在知悉新出现的威胁后迅速部署监测策略; f 查看是否有安全事件通报制度和历史安全事件通报记录。
6.18应急响应与处置
6.18.1检查要求包括
应制定了应急预案,并在过去一年中至少开展一次有单位网络安全主要责任人参加的实 练; 应对安全事件进行了分级分类处置; 应对被通报预警的网络安全事件或威胁及时处置并反馈:
DB65/T44392021
d)应有安全事件上报机制,并对已发生的安全事件进行了上报,形成上报记录。 6.18.2 检查方法: 访谈; b) 查验。 6.18.3 检查内容包括: a) 查看应急预案文本,并在过去一年中至少开展一次有单位网络安全主要责任人参加的实战演 练;访谈网络网络安全管理员、运维人员、工作人员对应急预案的熟悉程度; b) 查看梳理历史重大安全事故、事件的应急响应处置记录;按事件分级分类制定应急预案并定 期演练: C) 查看是否对被通报预警的网络安全事件或威胁及时处置并反馈; d 查看是否建立安全事件举报投诉机制的有效性,查看上报记录文件。
6.19漏洞修复情况检查
6.19.1检查要求包括:
应定期对本单位主机、网络安全防护设备、信息系统等进行漏洞检测,对于漏洞检测中 层、系统层、应用层等漏洞应进行验证并及时进行修复处置,记录检测及修复结果。 6.19.2检查方法:
a访谈; b)查验; c测试。 6.19.3检查内容包括: 查看相关漏洞扫描记录,确定扫描时间和周期。查看漏洞验证记录,访谈网络安全管理人员是否对 漏洞风险进行及时处置并查看漏洞处置记录。
6.19.3检查内容包括
6.20.1检查要求包括:
检查方使用漏洞检测工具对网络与信息系统进行漏洞检测,验证网络与信息系统中是否存在 安全漏洞,执行的漏洞检测的类型和内容应包括:端口服务扫描、主机漏洞扫描、应用漏洞 扫描,新近爆出的重大高危漏洞以及同类型系统发现存在的高危漏洞: 检查方利用系统安全漏洞,通过模拟攻击,对目标系统尝试无害的攻击测试获取测试结果, 检查验证网络与信息系统安全保护策略和安全防护措施的有效性,评价网络与信息系统的安 全防护能力。 6.20.2 检查方法: 渗透测试。 6.20.3检查内容包括: a) 使用漏洞扫描等工具检测操作系统、端口、应用、服务及补丁更新情况,检测是否关闭了不 必要的端口、应用、服务,是否存在安全漏洞; b) 测试检查是否可以获取系统权限;测试安全域隔离策略是否已经失效并可以突破;测试重要 的业务逻辑和流程是否可以被篡改; C) 测试高连续性的业务是否可以被中断,是否影响绝大多数人使用; d 测试传播的重要信息是否可以被篡改;测试重要敏感的信息数据是否可以越权获取等; e 检查系统是否被入侵并被控制(存在入侵痕迹和后门)等,
a)检查方使用漏洞检测工具对网络与信息系统进行漏洞检测,验证网络与信息系统中是否 安全漏洞,执行的漏洞检测的类型和内容应包括:端口服务扫描、主机漏洞扫描、应用清 扫描,新近爆出的重大高危漏洞以及同类型系统发现存在的高危漏洞; b 检查方利用系统安全漏洞,通过模拟攻击,对目标系统尝试无害的攻击测试获取测试结果 检查验证网络与信息系统安全保护策略和安全防护措施的有效性,评价网络与信息系统的 全防护能力。
6.20.3检查内容包括
DB65/T44392021
为党政机关和关键信息基础设施运营者提供服务的云计算服务平台,应按照GB/T31168的要求开展 冈络安全检查,同时应符合下列要求: a)云计算服务平台,应通过云计算服务安全评估; 云平台管理运营者应将开展云计算服务安全评估的工作情况及整改结果及时向自治区网信部 门报告,并提交《云计算服务安全评估报告》; c 针对云计算服务安全评估发现的风险问题,云平台管理运营者应按计划及时进行风险处置, 不断提升云计算服务安全能力水平; d) 通过云计算服务安全评估的云计算服务平台,云平台管理运营者应严格按照《云计算服务系 统安全计划》,落实执行相关安全控制措施; e 云平台管理运营者应对云计算服务平台重大变更(如采用的虚拟化技术版本变更,云管理平 台版本变更,系统或网络架构调整、云平台机房搬迁、更换运维方等)可能产生的风险进行 分析,应采取有效措施规避或降低因重大变更引发的安全风险,并按相关要求向自治区网信 部门报备; 云平台管理运营者在发生网络安全案件或重大事件时,应及时向自治区网信部门报告,并配 合相关部门开展调查工作; 名 云平台管理运营者应严格履行合同中所规定的安全责任和义务,确保用户数据和业务的机密 性、完整性、可用性市政常用表格,以及互操作性、可移植性;未经用户授权,不得收集、访问、修改、 披露、利用、转让、销毁用户数据;云平台管理运营者应根据用户需求,确定个人信息安全 要求,并按照GB/T35273要求提供相应的个人信息保护机制; h 云平台管理运营者,在服务合同终止时,应按照合同中所规定要求做好数据、文档等资源的 移交和清除工作。
7.2工控系统专项检查
对于工控系统网络安全检查,应按照GB/T37980的规定执行,同时应符合下列要求: a)企业应明确工控系统的安全保护等级,应完成工控系统的等级保护定级和备案工作; 企业应开展工控系统的等级测评工作,等级测评报告应客观准确地反映被测评工控系统的安 全保护状况,并提供整改建议。企业对等级测评中发现的安全问题应进行整改; C 企业应开展关键信息基础设施的识别认定工作和备案工作: 认定为关键信息基础设施的工控系统应每年开展安全风险评估工作,并对风险评估中发现的 安全问题应进行整改; 企业应对工业数据进行保护,应建立工业数据的安全保护制度,应制定工业数据保护策略。 f 企业应建立工业数据分类分级管理制度,应建立重要工业数据清单; g 企业应采取备份、加密等措施保护重要工业数据的安全性; h) 企业应开展工业数据安全风险评估工作,并对工业数据安全风险评估中发现的安全问题应进 行整改。
检查实施完成后,检查方应及时对检查结果进行梳理、汇总,对检查发现的问题和隐患进行分类整 理。
检省方应对检合发现的问题和稳需诊 深入分析产生的原因。结合年度网络安全形势 对被检查单位面临的网络安全威胁和风险程度、网络与信息系统抵衡网络攻击的能力进行评估。
检查方在深入分析问题隐患的基础上,研究提出针对性的改进措施建议。被检单位网络安全管理部 门应根据检查方的建议,组织相关单位和人员进行整改,对于不能及时整改的,要制定整改计划和时间 表,整改完成后应及时进行再评估。
被检查单位网络安全管理部门应对检查 偏写整改报告公路工程,并按要求及时报送。
....- 安全标准
- 相关专题: