DB21∕T 2082.2-2013 信息系統(tǒng)安全檢查規(guī)范 第2部分：技術(shù)規(guī)范.doc

ICS35.020L70DB21遼寧省地方標(biāo)準(zhǔn)DB 21/ XXXXXXXXX信息系統(tǒng)安全檢查規(guī)范第2部分：技術(shù)規(guī)范Specification for information system security checksPart2: technical Criterion（本稿完成日期：2012-9-13）XXXX - XX - XX發(fā)布XXXX - XX - XX實(shí)施遼寧省質(zhì)量技術(shù)監(jiān)督局發(fā)布DBXX/ XXXXXXXXX目次前言V引言VI1范圍12規(guī)范性引用文件13術(shù)語(yǔ)和定義14要求25信息安全防護(hù)體系25.1物理安全25.2平臺(tái)安全25.3數(shù)據(jù)安全25.4通信安全35.5應(yīng)用安全35.6運(yùn)行安全35.7管理安全36信息系統(tǒng)基礎(chǔ)產(chǎn)品檢查36.1IT及相關(guān)產(chǎn)品36.1.1檢查準(zhǔn)備36.1.2檢查對(duì)象46.1.3檢查項(xiàng)46.1.4檢查實(shí)施46.1.5檢查評(píng)估46.2信息安全產(chǎn)品46.2.1檢查準(zhǔn)備46.2.2檢查對(duì)象46.2.3檢查項(xiàng)46.2.4檢查實(shí)施46.2.5檢查評(píng)估57信息安全等級(jí)保護(hù)檢查57.1檢查準(zhǔn)備57.2檢查對(duì)象57.3檢查項(xiàng)57.4檢查實(shí)施57.5檢查評(píng)估58技術(shù)要求68.1風(fēng)險(xiǎn)評(píng)估68.1.1檢查準(zhǔn)備68.1.2檢查對(duì)象68.1.3檢查項(xiàng)68.1.4檢查實(shí)施68.1.5檢查評(píng)估68.2物理安全68.2.1檢查準(zhǔn)備78.2.2檢查對(duì)象78.2.3檢查項(xiàng)78.2.4檢查實(shí)施78.2.5檢查評(píng)估78.3網(wǎng)絡(luò)基礎(chǔ)平臺(tái)安全78.3.1檢查準(zhǔn)備78.3.2檢查對(duì)象78.3.3檢查項(xiàng)78.3.4檢查實(shí)施88.3.4.1測(cè)試88.3.4.2設(shè)備檢查88.3.4.3結(jié)構(gòu)檢查88.3.4.4安全功能檢查88.3.5檢查評(píng)估88.4系統(tǒng)平臺(tái)安全98.4.1檢查準(zhǔn)備98.4.2檢查對(duì)象98.4.3檢查項(xiàng)98.4.4檢查實(shí)施98.4.4.1測(cè)試98.4.4.2安全配置檢查98.4.4.3安全監(jiān)控檢查108.4.5檢查評(píng)估108.5應(yīng)用系統(tǒng)安全108.5.1檢查準(zhǔn)備108.5.2檢查對(duì)象108.5.3檢查項(xiàng)108.5.4檢查實(shí)施108.5.4.1測(cè)試118.5.4.2防護(hù)措施檢查118.5.4.2關(guān)鍵字過(guò)濾檢查118.5.5檢查評(píng)估118.6系統(tǒng)安全平臺(tái)檢查118.6.1檢查準(zhǔn)備118.6.2檢查對(duì)象128.6.3檢查項(xiàng)128.6.4檢查實(shí)施128.6.4.1測(cè)試128.6.4.2設(shè)備檢查128.6.4.3安全管理檢查128.6.4.4密碼使用和管理128.6.5檢查評(píng)估138.7數(shù)據(jù)安全檢查138.7.1檢查準(zhǔn)備138.7.2檢查對(duì)象138.7.3檢查項(xiàng)138.7.4檢查實(shí)施138.7.4.1測(cè)試138.7.4.2設(shè)備檢查148.7.4.3數(shù)據(jù)管理檢查148.7.4.4備份容災(zāi)檢查148.7.5檢查評(píng)估148.8通信安全檢查148.8.1檢查準(zhǔn)備148.8.2檢查對(duì)象148.8.3檢查項(xiàng)158.8.4檢查實(shí)施158.8.4.1測(cè)試158.8.4.2安全域檢查158.8.4.3數(shù)據(jù)傳輸檢查158.8.5檢查評(píng)估158.9運(yùn)行安全檢查158.9.1檢查準(zhǔn)備158.9.2檢查對(duì)象168.9.3檢查項(xiàng)168.9.4檢查實(shí)施168.9.4.1系統(tǒng)運(yùn)行檢查168.9.4.2IT服務(wù)檢查168.9.4.3工作環(huán)境檢查168.9.4.4應(yīng)急管理檢查168.9.4.5事件管理檢查168.9.5檢查評(píng)估178.10管理安全檢查178.10.1檢查準(zhǔn)備178.10.2檢查對(duì)象178.10.3檢查項(xiàng)178.10.4檢查實(shí)施188.10.4.1規(guī)范管理檢查188.10.4.2人員管理檢查188.10.4.3資產(chǎn)管理檢查188.10.5檢查評(píng)估188.11教育培訓(xùn)檢查198.11.1檢查準(zhǔn)備198.11.2檢查對(duì)象198.11.3檢查項(xiàng)198.11.4檢查實(shí)施198.11.5檢查評(píng)估19前言DB21/Txxxx分為2部分：第1部分：管理規(guī)范第2部分：技術(shù)規(guī)范本部分是DB21/Txxxx的第2部分。本標(biāo)準(zhǔn)依據(jù)GB/T1.1-2009標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)與編寫(xiě)制定。本標(biāo)準(zhǔn)由大連市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組提出。本標(biāo)準(zhǔn)由遼寧省經(jīng)濟(jì)和信息化委員會(huì)歸口。本標(biāo)準(zhǔn)起草單位：大連市經(jīng)濟(jì)和信息化委員會(huì)、大連市網(wǎng)絡(luò)與信息安全專(zhuān)家組。本標(biāo)準(zhǔn)主要起草人：郎慶斌、孫鵬、劉剛、李持見(jiàn)、仉宏、董晶、孫毅、楊莉、王小庚、尹宏、汪祖民、夏炳俐。引言信息技術(shù)，特別是物聯(lián)網(wǎng)、云計(jì)算、移動(dòng)互聯(lián)、社交網(wǎng)絡(luò)、三網(wǎng)融合等新興IT技術(shù)的廣泛應(yīng)用和迅速發(fā)展，極大地促進(jìn)了社會(huì)發(fā)展、經(jīng)濟(jì)繁榮和人民生活進(jìn)步，網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)性、社會(huì)性、全局性日益凸顯，社會(huì)、經(jīng)濟(jì)對(duì)信息化應(yīng)用的依賴(lài)度愈來(lái)愈高，對(duì)網(wǎng)絡(luò)與信息安全也提出了更高要求。網(wǎng)絡(luò)安全問(wèn)題嚴(yán)重影響我國(guó)政治、經(jīng)濟(jì)、文化等領(lǐng)域的和諧發(fā)展，近年來(lái)一些較大級(jí)別的基礎(chǔ)網(wǎng)絡(luò)安全事件增多，安全風(fēng)險(xiǎn)繼續(xù)處于高危水平，網(wǎng)絡(luò)攻擊和網(wǎng)頁(yè)篡改事件頻繁發(fā)生，用戶(hù)密碼、賬號(hào)被盜比例上升到安全事件的第一位（2010年統(tǒng)計(jì)達(dá)到27），社會(huì)影響力和關(guān)注度已達(dá)到前所未有的高度。 “震網(wǎng)”病毒攻擊、“谷歌地圖事件”等都警示我們，網(wǎng)絡(luò)信息安全已上升到國(guó)家安全的重要層面。為應(yīng)對(duì)日益嚴(yán)峻的信息安全形勢(shì)，保證信息系統(tǒng)的可信、安全、可控，國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組推進(jìn)重要領(lǐng)域信息系統(tǒng)安全檢查，是重要的保障措施。本規(guī)范是為建立科學(xué)、規(guī)范、有序的信息系統(tǒng)安全檢查環(huán)境編制。20信息系統(tǒng)安全檢查規(guī)范1 范圍本標(biāo)準(zhǔn)規(guī)定了基于信息系統(tǒng)安全防護(hù)體系，信息系統(tǒng)基礎(chǔ)產(chǎn)品檢查、信息安全等級(jí)保護(hù)檢查、信息系統(tǒng)安全檢查技術(shù)要求、檢查方式的基本要求。本標(biāo)準(zhǔn)適用于各級(jí)黨政機(jī)關(guān)、行業(yè)主管部門(mén)為履行職能提供支撐的信息系統(tǒng)的檢查。其它面向社會(huì)提供服務(wù)的重要行業(yè)信息系統(tǒng)檢查可參照本標(biāo)準(zhǔn)執(zhí)行。本標(biāo)準(zhǔn)不適用于涉及國(guó)家秘密的信息系統(tǒng)安全檢查。2 規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 5271.8 信息技術(shù) 詞匯 第8部分：安全GB/T 20269 信息安全技術(shù) 信息系統(tǒng)安全管理要求GB/T 20984 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/T 20988 信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范GB/T 21671 基于以太網(wǎng)技術(shù)的局域網(wǎng)系統(tǒng)驗(yàn)收測(cè)評(píng)規(guī)范GB/T 22239 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T 22240 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南GB/Z 24364 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南中華人民共和國(guó)國(guó)務(wù)院令（147號(hào)） 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例國(guó)密局發(fā)200910號(hào) 關(guān)于印發(fā)實(shí)施意見(jiàn)的通知DB21/T 1799.1 信息服務(wù)管理規(guī)范 第1部分：總則DB21/T 1799.3 信息服務(wù)管理規(guī)范 第3部分：計(jì)算機(jī)信息系統(tǒng)運(yùn)營(yíng)和維護(hù)管理DB21/Txxxx.1 信息系統(tǒng)安全檢察規(guī)范 第1部分：管理規(guī)范3 術(shù)語(yǔ)和定義GB/T 5271.8和DB21/Txxxx.1界定的以及下列術(shù)語(yǔ)和定義適用于本部分。3.1 信息系統(tǒng)生命周期 life cycle of information system信息系統(tǒng)開(kāi)發(fā)方法，包括可行性分析、需求管理、總體規(guī)劃、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施、系統(tǒng)運(yùn)行、系統(tǒng)服務(wù)和系統(tǒng)評(píng)估等階段。3.2 安全策略 information security policy為實(shí)現(xiàn)安全目標(biāo)制定的約束所有信息安全管理相關(guān)活動(dòng)的一組規(guī)則。由實(shí)施信息安全的組織建立、描述、實(shí)施和實(shí)現(xiàn)。4 要求信息系統(tǒng)安全檢查技術(shù)規(guī)范，遵循GB/T 20269確立的信息系統(tǒng)安全管理要求。本部分遵循DB21/Txxxx.1確立的管理原則和要求，重點(diǎn)描述信息系統(tǒng)安全檢查邊界、檢查評(píng)估內(nèi)容。信息系統(tǒng)安全檢查技術(shù)規(guī)范的一般原則和要求， 參照DB21/Txxxx.1執(zhí)行。在信息系統(tǒng)安全檢查中，應(yīng)同時(shí)使用DB21/Txxxx.1和本部分。在信息系統(tǒng)安全檢查中，應(yīng)根據(jù)DB21/Txxxx.1確立的管理原則和要求，制定技術(shù)方案，明確檢查措施、技術(shù)手段。5 信息安全防護(hù)體系5.1 物理安全物理安全主要包括：a）電源管理：將電源有效分配到系統(tǒng)中不同的設(shè)備組件。應(yīng)考慮電源設(shè)備參數(shù)對(duì)設(shè)備的影響，如過(guò)壓、過(guò)流、浪涌、短路等；應(yīng)考慮電源系統(tǒng)的裕量（包括UPS）；b）等電位管理：設(shè)置配電系統(tǒng)、各類(lèi)電子設(shè)備及附屬設(shè)施（包括所有金屬件）、防雷、防靜電等的接地等電位體，應(yīng)考慮靜電防護(hù)、感應(yīng)雷電可能形成的電磁脈沖和過(guò)電壓的干擾和毀壞等；c）設(shè)備管理：信息系統(tǒng)相關(guān)設(shè)備的日常運(yùn)行和管理；防電磁信息輻射泄漏、防電磁干擾、防線路截獲、電源保護(hù)等；d）媒介安全：各種存儲(chǔ)媒介內(nèi)容和媒介本身安全；e）場(chǎng)地環(huán)境：應(yīng)考慮機(jī)房?jī)?nèi)通風(fēng)、溫度、濕度、灰塵、燈光等的配置；考慮機(jī)柜放置與冷卻效率和制冷單元熱點(diǎn)的關(guān)系；以及可能因功能擴(kuò)大引起的冷卻效率問(wèn)題等；f）災(zāi)害預(yù)防：應(yīng)考慮物理和自然災(zāi)害發(fā)生的可能性，制定應(yīng)急預(yù)案；考慮設(shè)備防盜、防毀等；g）布線系統(tǒng)：監(jiān)控設(shè)備間、弱電井、機(jī)房等區(qū)域配線設(shè)備、信息插座等設(shè)施及線纜狀態(tài)，以及網(wǎng)絡(luò)通信線路的工作狀態(tài)和可能的故障狀態(tài)；h）監(jiān)控系統(tǒng)管理：監(jiān)控門(mén)禁系統(tǒng)、各類(lèi)監(jiān)控設(shè)備等的運(yùn)行狀態(tài)、參數(shù)變化、提示信息等。5.2 平臺(tái)安全信息系統(tǒng)平臺(tái)主要包括：a）網(wǎng)絡(luò)基礎(chǔ)平臺(tái)：路由設(shè)備、網(wǎng)絡(luò)交換設(shè)備、存儲(chǔ)設(shè)備等網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性、可靠性、可用性和可擴(kuò)展性，及網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化等；b）系統(tǒng)平臺(tái)：操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)及網(wǎng)絡(luò)協(xié)議等的安全性、可靠性和可用性；c）應(yīng)用系統(tǒng)平臺(tái)：支撐系統(tǒng)應(yīng)用的Web、DNS、Mail、中間件等服務(wù)設(shè)施和其它支撐系統(tǒng)應(yīng)用的軟件系統(tǒng)的安全性、可靠性和可用性；d）系統(tǒng)安全平臺(tái)：信息系統(tǒng)安全設(shè)施、安全策略、安全機(jī)制、安全級(jí)別、病毒防護(hù)、補(bǔ)丁管理等的安全性、有效性和可用性。5.3 數(shù)據(jù)安全a）存儲(chǔ)設(shè)備：服務(wù)器設(shè)備、集群系統(tǒng)、存儲(chǔ)陣列、存儲(chǔ)網(wǎng)絡(luò)等，以及支撐數(shù)據(jù)存儲(chǔ)設(shè)施運(yùn)行的軟件平臺(tái)等數(shù)據(jù)存儲(chǔ)設(shè)施的安全性、可靠性和可用性；b）數(shù)據(jù)管理：1）數(shù)據(jù)質(zhì)量：數(shù)據(jù)的完整性、可靠性、可用性及數(shù)據(jù)管理和數(shù)據(jù)恢復(fù)策略；2）數(shù)據(jù)訪問(wèn)控制：數(shù)據(jù)訪問(wèn)控制策略、訪問(wèn)權(quán)限控制策略、非授權(quán)訪問(wèn)處理策略等；3）數(shù)據(jù)存儲(chǔ)與容災(zāi)：數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)容災(zāi)策略，制定數(shù)據(jù)存儲(chǔ)事件處理預(yù)案；4）數(shù)據(jù)交換安全：規(guī)劃建設(shè)數(shù)據(jù)安全交換平臺(tái)，保證內(nèi)、外網(wǎng)絡(luò)之間數(shù)據(jù)交換的安全。制定數(shù)據(jù)安全交換、交換過(guò)程中數(shù)據(jù)的完整性、可靠性、安全性策略；制定數(shù)據(jù)交換事件處理預(yù)案。5.4 通信安全a）數(shù)據(jù)傳輸線路和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性；b）各項(xiàng)網(wǎng)絡(luò)協(xié)議的安全性；c）數(shù)據(jù)傳輸?shù)陌踩约皵?shù)據(jù)通信的安全策略，制定數(shù)據(jù)通信應(yīng)急處理預(yù)案。5.5 應(yīng)用安全a）應(yīng)用系統(tǒng)可靠性、安全性、可用性測(cè)試；b）應(yīng)用系統(tǒng)安全策略；c）應(yīng)用系統(tǒng)訪問(wèn)控制策略；d）應(yīng)用系統(tǒng)訪問(wèn)終端安全檢查；e）日志審計(jì)等。5.6 運(yùn)行安全a）信息系統(tǒng)運(yùn)行狀況監(jiān)測(cè)、預(yù)警和管理；b）工作環(huán)境管理，包括工作場(chǎng)地、個(gè)人計(jì)算機(jī)終端安全性等；c）系統(tǒng)性能評(píng)估，包括系統(tǒng)整體架構(gòu)、系統(tǒng)平臺(tái)、應(yīng)用系統(tǒng)、數(shù)據(jù)管理、系統(tǒng)安全平臺(tái)等的整體安全性、可用性，及業(yè)務(wù)融合度評(píng)估等；d）應(yīng)急管理和災(zāi)難預(yù)防恢復(fù)機(jī)制；e）系統(tǒng)更新、升級(jí)等。5.7 管理安全a）制定安全防護(hù)體系各個(gè)層次和整體的安全管理策略和機(jī)制，建立完善的管理制度；b）日常管理規(guī)范化和標(biāo)準(zhǔn)化；c）制定信息系統(tǒng)安全總體發(fā)展規(guī)劃，包括信息系統(tǒng)安全中長(zhǎng)期建設(shè)、應(yīng)用、發(fā)展規(guī)劃；資源整合規(guī)劃安全性；IT治理模式；標(biāo)準(zhǔn)建設(shè)等；d）優(yōu)化、提高系統(tǒng)基礎(chǔ)架構(gòu)（包括硬件基礎(chǔ)平臺(tái)、系統(tǒng)平臺(tái)、安全平臺(tái)、數(shù)據(jù)管理平臺(tái)等）的可用性、可靠性和安全性。6 信息系統(tǒng)基礎(chǔ)產(chǎn)品檢查6.1 IT及相關(guān)產(chǎn)品6.1.1 檢查準(zhǔn)備a）IT及相關(guān)產(chǎn)品技術(shù)文檔；b）進(jìn)網(wǎng)許可證、安全審查相關(guān)文檔；c）其它必要的文檔。6.1.2 檢查對(duì)象IT產(chǎn)品及相關(guān)文檔。6.1.3 檢查項(xiàng)a）IT產(chǎn)品國(guó)產(chǎn)化情況；b）系統(tǒng)軟件、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等的國(guó)產(chǎn)化情況；c）IT產(chǎn)品應(yīng)用情況；d）國(guó)外產(chǎn)品的安全審查情況。6.1.4 檢查實(shí)施a）查閱IT產(chǎn)品技術(shù)文檔（包括軟件應(yīng)用），確認(rèn)其應(yīng)用范圍；b）查看現(xiàn)有IT產(chǎn)品國(guó)產(chǎn)化應(yīng)用；c）如選用國(guó)外IT產(chǎn)品，查閱安全審查記錄。6.1.5 檢查評(píng)估評(píng)估以下各項(xiàng)：a）在滿(mǎn)足應(yīng)用需求情況下，優(yōu)先選用國(guó)產(chǎn)化產(chǎn)品；b）IT產(chǎn)品在規(guī)定的應(yīng)用范圍內(nèi)使用；c）如選用國(guó)外產(chǎn)品，具有安全審查記錄，且記錄完整、清晰。則此項(xiàng)檢查結(jié)果應(yīng)通過(guò)。6.2 信息安全產(chǎn)品6.2.1 檢查準(zhǔn)備a）信息安全產(chǎn)品技術(shù)文檔；b）信息安全產(chǎn)品認(rèn)證、銷(xiāo)售許可相關(guān)文檔；c）其它必要文檔。6.2.2 檢查對(duì)象信息安全產(chǎn)品及相關(guān)文檔。6.2.3 檢查項(xiàng)a）信息安全產(chǎn)品國(guó)產(chǎn)化情況；b）信息安全產(chǎn)品應(yīng)用情況；c）信息安全產(chǎn)品認(rèn)證、銷(xiāo)售許可情況。6.2.4 檢查實(shí)施a）查閱信息安全產(chǎn)品技術(shù)文檔，確認(rèn)其應(yīng)用范圍；b）查看現(xiàn)有信息安全產(chǎn)品國(guó)產(chǎn)化情況；c）查閱信息安全產(chǎn)品清單、認(rèn)證和銷(xiāo)售許可證明。6.2.5 檢查評(píng)估a）完全選用國(guó)產(chǎn)信息安全產(chǎn)品；b）信息安全產(chǎn)品在規(guī)定的應(yīng)用范圍內(nèi)使用；c）信息安全產(chǎn)品已獲得版權(quán)局、公安部、國(guó)家密碼管理局等相關(guān)認(rèn)證和銷(xiāo)售許可。則此項(xiàng)檢查結(jié)果應(yīng)通過(guò)。7 信息安全等級(jí)保護(hù)檢查7.1 檢查準(zhǔn)備a）信息安全等級(jí)保護(hù)測(cè)評(píng)相關(guān)文檔；b）信息安全等級(jí)保護(hù)定級(jí)相關(guān)文檔；c）信息安全等級(jí)保護(hù)備案文檔；d）信息安全等級(jí)保護(hù)整改相關(guān)文檔；e）其它相關(guān)文檔。7.2 檢查對(duì)象信息安全等級(jí)保護(hù)定級(jí)、評(píng)測(cè)、整改、備案情況及相關(guān)管理機(jī)制。7.3 檢查項(xiàng)a）已建、新建信息系統(tǒng)定級(jí)、備案；b）信息系統(tǒng)等級(jí)準(zhǔn)確性；c）定級(jí)報(bào)告與信息系統(tǒng)的符合性；d）信息系統(tǒng)變更后定級(jí)、備案；e）依據(jù)國(guó)家標(biāo)準(zhǔn)選擇測(cè)評(píng)機(jī)構(gòu)；f）依據(jù)國(guó)家標(biāo)準(zhǔn)開(kāi)展信息系統(tǒng)測(cè)評(píng)；g）依據(jù)國(guó)家標(biāo)準(zhǔn)和實(shí)際情況實(shí)施整改；h）等級(jí)保護(hù)責(zé)任機(jī)構(gòu)、責(zé)任人；i）等級(jí)保護(hù)規(guī)章制度、相關(guān)培訓(xùn)；j）等級(jí)保護(hù)建設(shè)規(guī)劃。7.4 檢查實(shí)施a）定級(jí)、備案范圍已覆蓋相關(guān)業(yè)務(wù)系統(tǒng)；b）等級(jí)報(bào)告符合國(guó)家標(biāo)準(zhǔn)；c）等級(jí)報(bào)告與信息系統(tǒng)實(shí)際情況相符合；d）信息系統(tǒng)變更后及時(shí)定級(jí)、備案；e）測(cè)評(píng)機(jī)構(gòu)選擇 和等級(jí)評(píng)測(cè)、等級(jí)保護(hù)整改和相應(yīng)報(bào)告符合相關(guān)標(biāo)準(zhǔn)；f）相關(guān)規(guī)章制度明確了等級(jí)保護(hù)工作；g）明確等級(jí)保護(hù)責(zé)任機(jī)構(gòu)、責(zé)任主體、責(zé)任人及其職責(zé)；h）等級(jí)保護(hù)相關(guān)培訓(xùn)文檔清晰、完整；i）制定等級(jí)保護(hù)建設(shè)規(guī)劃、部署和計(jì)劃等級(jí)保護(hù)開(kāi)展。7.5 檢查評(píng)估評(píng)估以下各項(xiàng)：a）具有符合等級(jí)保護(hù)定級(jí)要求的定級(jí)報(bào)告、備案證書(shū)；b）等級(jí)報(bào)告符合GB/T 22240要求；c）定級(jí)報(bào)告符合信息系統(tǒng)實(shí)際情況；d）信息系統(tǒng)變更后及時(shí)定級(jí)、備案；e）定期展開(kāi)信息系統(tǒng)測(cè)評(píng)，測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)符合公信安2010303號(hào)要求；f）整改報(bào)告滿(mǎn)足公信安20091429號(hào)要求，且記錄清晰、完整；g）明確等級(jí)保護(hù)責(zé)任機(jī)構(gòu)、責(zé)任主體、責(zé)任人，且職責(zé)明確；h）規(guī)章制度明確信息安全等級(jí)保護(hù)工作；i）定期開(kāi)展等級(jí)保護(hù)培訓(xùn)，記錄完整、清晰；j）等級(jí)保護(hù)建設(shè)規(guī)劃、工作機(jī)制有效。則此項(xiàng)檢查結(jié)果應(yīng)通過(guò)。8 技術(shù)要求8.1 風(fēng)險(xiǎn)評(píng)估8.1.1 檢查準(zhǔn)備a）信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告；b）其它相關(guān)文檔。8.1.2 檢查對(duì)象a）信息系統(tǒng)安全管理機(jī)制；b）信息系統(tǒng)安全防護(hù)體系。8.1.3 檢查項(xiàng)a）信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制；b）依據(jù)相關(guān)標(biāo)準(zhǔn)實(shí)施風(fēng)險(xiǎn)評(píng)估工作。8.1.4 檢查實(shí)施a）信息系統(tǒng)生命周期內(nèi)，信息安全風(fēng)險(xiǎn)評(píng)估工作情況（包括配置變更、業(yè)務(wù)變化等）；b）信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)規(guī)章制度；c）風(fēng)險(xiǎn)評(píng)估報(bào)告的嚴(yán)謹(jǐn)性、規(guī)范性和有效性。8.1.5 檢查評(píng)估評(píng)估以下各項(xiàng)：a）信息安全風(fēng)險(xiǎn)評(píng)估的有效性和GB/T 20984、GB/Z 24364的符合性；b）管理機(jī)制的科學(xué)性、有效性（包括管理規(guī)章的完整性）；c）風(fēng)險(xiǎn)評(píng)估的時(shí)效和周期；d）風(fēng)險(xiǎn)評(píng)估報(bào)告完整、規(guī)范、有效。則此項(xiàng)檢查結(jié)果應(yīng)通過(guò)。8.2 物理安全8.2.1 檢查準(zhǔn)備a）信息系統(tǒng)物理環(huán)境各項(xiàng)技術(shù)圖紙及其它相關(guān)資料；b）信息系統(tǒng)物理環(huán)境相關(guān)的各項(xiàng)文檔；c）信息系統(tǒng)物理環(huán)境檢測(cè)、驗(yàn)收文檔。8.2.2 檢查對(duì)象信息系統(tǒng)物理環(huán)境，包括機(jī)房、設(shè)備間、其它配套房間、8.2.1所列各項(xiàng)等。8.2.3 檢查項(xiàng)a）5.1所列各項(xiàng)；b）5.1所列各項(xiàng)相關(guān)設(shè)備、設(shè)施運(yùn)行、維護(hù)狀況；c）信息系統(tǒng)物理環(huán)境檢測(cè)、驗(yàn)收狀況。8.2.4 檢查實(shí)施a）查閱8.2.1所列各項(xiàng)的完整性、規(guī)范性；b）信息系統(tǒng)物理環(huán)境檢測(cè)、驗(yàn)收數(shù)據(jù)的合理性、有效性；c）實(shí)地察看信息系統(tǒng)物理環(huán)境現(xiàn)狀。8.2.5 檢查評(píng)估評(píng)估以下各項(xiàng)：a）獲得正規(guī)、可鑒證的檢測(cè)、驗(yàn)收?qǐng)?bào)告，且結(jié)論認(rèn)定符合設(shè)計(jì)要求、達(dá)到質(zhì)量目標(biāo)、滿(mǎn)足檢測(cè)、驗(yàn)收條件；b）5.1所列各項(xiàng)相關(guān)設(shè)備、設(shè)施運(yùn)行狀態(tài)正常、穩(wěn)定，維護(hù)措施有效；c）經(jīng)實(shí)地察看，信息系統(tǒng)物理環(huán)境符合國(guó)家相關(guān)標(biāo)準(zhǔn)，5.1所列各項(xiàng)均安全、合理、有效；d）8.2.1所列各項(xiàng)完整、規(guī)范。則此項(xiàng)檢查結(jié)果應(yīng)通過(guò)。8.3 網(wǎng)絡(luò)基礎(chǔ)平臺(tái)安全8.3.1 檢查準(zhǔn)備a）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖、網(wǎng)絡(luò)配置文檔；b）網(wǎng)絡(luò)基礎(chǔ)平臺(tái)規(guī)劃設(shè)計(jì)相關(guān)文檔；c）網(wǎng)絡(luò)基礎(chǔ)平臺(tái)測(cè)試、驗(yàn)收相關(guān)文檔；d）其它網(wǎng)絡(luò)基礎(chǔ)設(shè)施相關(guān)文檔。8.3.2 檢查對(duì)象網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)安全策略、網(wǎng)絡(luò)基礎(chǔ)平臺(tái)相關(guān)文檔。8.3.3 檢查項(xiàng)a）網(wǎng)絡(luò)基礎(chǔ)設(shè)施性能；b）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)合理性；c）網(wǎng)絡(luò)配置、安全域劃分合理性；d）網(wǎng)絡(luò)設(shè)備安全性；e）網(wǎng)絡(luò)冗余配置；f）網(wǎng)絡(luò)基礎(chǔ)設(shè)施測(cè)試、驗(yàn)收文檔；g）網(wǎng)絡(luò)基礎(chǔ)平臺(tái)其它文檔完整性、規(guī)范性。8.3.4 檢查實(shí)施8.3.4.1 測(cè)試a）網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)工具發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，比對(duì)異同；b）網(wǎng)絡(luò)性能測(cè)試工具測(cè)試網(wǎng)絡(luò)設(shè)備性能；c）漏洞掃描工具掃描網(wǎng)絡(luò)設(shè)備；d）配置核查工具或手工檢查配置核查網(wǎng)絡(luò)設(shè)備。形成測(cè)試報(bào)告。8.3.4.2 設(shè)備檢查a）網(wǎng)絡(luò)設(shè)備運(yùn)行、維護(hù)、管理狀況；b）檢查設(shè)備管理記錄、設(shè)備無(wú)故障運(yùn)行時(shí)間、故障率等；c）網(wǎng)絡(luò)設(shè)備更新?tīng)顩r：更新時(shí)間、更新記錄、定期檢測(cè)等；d）檢查設(shè)備日志內(nèi)容。8.3.4.3 結(jié)構(gòu)檢查a）查看測(cè)試文檔，分析網(wǎng)絡(luò)性能、業(yè)務(wù)應(yīng)用滿(mǎn)足度；b）查看網(wǎng)絡(luò)基礎(chǔ)平臺(tái)設(shè)計(jì)、驗(yàn)收文檔，分析設(shè)計(jì)、驗(yàn)收數(shù)據(jù)的合理性、適宜性；c）網(wǎng)絡(luò)配置合理性；不同網(wǎng)段（子網(wǎng)）劃分，與工作職能、業(yè)務(wù)重要程度的關(guān)聯(lián)性；內(nèi)、外網(wǎng)安全性；網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與實(shí)際業(yè)務(wù)需求的滿(mǎn)足度；d）網(wǎng)絡(luò)重要節(jié)點(diǎn)、關(guān)鍵路徑的冗余配置；e）查看網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行、維護(hù)文檔，分析設(shè)備故障率；根據(jù)測(cè)試報(bào)告，分析網(wǎng)絡(luò)性能；f）實(shí)地查看網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行狀況；g）網(wǎng)絡(luò)基礎(chǔ)平臺(tái)文檔管理完整、規(guī)范、有效。8.3.4.4 安全功能檢查a）業(yè)務(wù)高峰期網(wǎng)絡(luò)帶寬分配和業(yè)務(wù)優(yōu)先級(jí)設(shè)置功能；b）依據(jù)安全策略實(shí)施嚴(yán)格的訪問(wèn)控制措施；c）全面檢測(cè)、記錄網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為；d）具備邊界完整性檢查功能，及時(shí)定位、報(bào)警、阻斷非法外聯(lián)行為；e）具備基本的網(wǎng)絡(luò)入侵防范功能，監(jiān)控入侵事件，及時(shí)報(bào)警；f）網(wǎng)絡(luò)地址管理策略；g）核心交換機(jī)配置、預(yù)留數(shù)據(jù)鏡像端口。8.3.5 檢查評(píng)估評(píng)估以下各項(xiàng)：a）網(wǎng)絡(luò)拓?fù)渑c實(shí)際網(wǎng)絡(luò)系統(tǒng)一致，且滿(mǎn)足當(dāng)前業(yè)務(wù)應(yīng)用需求；b）網(wǎng)絡(luò)配置、網(wǎng)段劃分、安全域設(shè)置合理，且根據(jù)安全策略有效隔離；c）網(wǎng)絡(luò)重要節(jié)點(diǎn)、關(guān)鍵路徑冗余配置；d）各項(xiàng)安全功能均安全、合理、有效；e）網(wǎng)絡(luò)基礎(chǔ)平臺(tái)設(shè)計(jì)合理，測(cè)試、驗(yàn)收符合GB/T 21671要求；f）網(wǎng)絡(luò)基礎(chǔ)平臺(tái)運(yùn)行狀態(tài)良好，運(yùn)行、維護(hù)文檔完整、規(guī)范，真實(shí)記錄網(wǎng)絡(luò)運(yùn)行狀況；g）其它網(wǎng)絡(luò)基礎(chǔ)平臺(tái)文檔管理規(guī)范、有效；h）經(jīng)實(shí)地查看，網(wǎng)絡(luò)基礎(chǔ)平臺(tái)運(yùn)行符合國(guó)家相關(guān)標(biāo)準(zhǔn)。則此項(xiàng)檢查結(jié)果應(yīng)通過(guò)。8.4 系統(tǒng)平臺(tái)安全8.4.1 檢查準(zhǔn)備a）軟件設(shè)計(jì)、部署、應(yīng)用相關(guān)文檔；b）數(shù)據(jù)庫(kù)系統(tǒng)設(shè)計(jì)、部署、應(yīng)用相關(guān)文檔； c）應(yīng)用服務(wù)器（web、e-mail、中間件等）設(shè)計(jì)、配置、應(yīng)用文檔及網(wǎng)絡(luò)協(xié)議等相關(guān)文件；d）系統(tǒng)平臺(tái)測(cè)試、驗(yàn)收文檔；e）其它相關(guān)文檔。8.4.2 檢查對(duì)象操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、中間件及網(wǎng)絡(luò)協(xié)議等、應(yīng)用服務(wù)器、應(yīng)用系統(tǒng)平臺(tái)，系統(tǒng)平臺(tái)相關(guān)文檔。8.4.3 檢查項(xiàng)a）操作系統(tǒng)性能和資源占用；b）系統(tǒng)應(yīng)用平臺(tái)設(shè)計(jì)、部署；c）數(shù)據(jù)庫(kù)系統(tǒng)設(shè)計(jì)、部署、應(yīng)用現(xiàn)狀；d）應(yīng)用服務(wù)器設(shè)計(jì)、配置、應(yīng)用；e）測(cè)試、驗(yàn)收文檔；f）其它相關(guān)文檔完整性、規(guī)范性。8.4.4 檢查實(shí)施8.4.4.1 測(cè)試a）漏洞掃描工具檢查操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)平臺(tái)和應(yīng)用系統(tǒng)的中、高風(fēng)險(xiǎn)安全漏洞；b）配置核查工具配置核查操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)；c）數(shù)據(jù)庫(kù)滲透測(cè)試、SQL注入、TDS協(xié)議安全性分析；d）應(yīng)用服務(wù)器失效性檢查等。形成測(cè)試報(bào)告。8.4.4.2 安全配置檢查a）系統(tǒng)性能和資源占用情況；b）安全策略配置（如密碼設(shè)置、系統(tǒng)審核、開(kāi)放端口、訪問(wèn)權(quán)限、帳戶(hù)管理等）；c）桌面軟件正版和安全漏洞更新；d）應(yīng)用服務(wù)器配置、日志、運(yùn)行狀況及日常檢查；e）虛擬技術(shù)的安全性檢查（虛擬軟件、工具、管理等）；f）桌面級(jí)安全產(chǎn)品部署和應(yīng)用（防病毒、桌面防火墻等）。8.4.4.3 安全監(jiān)控檢查a）服務(wù)器和重要客戶(hù)端部署桌面管理系統(tǒng)；b）系統(tǒng)使用行為、系統(tǒng)資源狀況監(jiān)控、審計(jì)；c）虛擬機(jī)管理策略、采用虛擬技術(shù)的網(wǎng)絡(luò)訪問(wèn)控制策略、虛擬軟件更新策略；d）監(jiān)控記錄的記錄形式、內(nèi)容等。8.4.5 檢查評(píng)估評(píng)估以下各項(xiàng)：a）操作系統(tǒng)的CPU使用率低于30%、內(nèi)存使用率低于60%、系統(tǒng)盤(pán)剩余空間大于30%，系統(tǒng)運(yùn)行狀態(tài)良好；b）系統(tǒng)平臺(tái)密碼設(shè)置、系統(tǒng)審核、開(kāi)放端口、訪問(wèn)權(quán)限、帳戶(hù)管理等安全策略配置合理、有效；c）服務(wù)器和重要客戶(hù)端已安裝、部署并啟動(dòng)桌面管理系統(tǒng)；d）正版軟件并隨時(shí)更新安全漏洞；e）系統(tǒng)平臺(tái)不存在中、高安全風(fēng)險(xiǎn)漏洞（如弱口令、SQL注入等）；f）虛擬機(jī)管理策略、虛擬工具使用、虛擬軟件更新、網(wǎng)絡(luò)訪問(wèn)控制策略等配置合理、有效；g）安全監(jiān)控記錄完整、存儲(chǔ)方式合理，包括：1）監(jiān)控內(nèi)容包括時(shí)間和日期、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)、事件結(jié)果等；2）監(jiān)控記錄存儲(chǔ)空間滿(mǎn)足安全策略要求，且出現(xiàn)異常時(shí)應(yīng)有相應(yīng)處理機(jī)制，保證記錄完整；3）監(jiān)控記錄保存時(shí)間應(yīng)在30天左右；4）監(jiān)控記錄應(yīng)由專(zhuān)人負(fù)責(zé)管理、統(tǒng)計(jì)和分析；h）系統(tǒng)平臺(tái)相關(guān)文檔完整、規(guī)范。則此項(xiàng)檢查結(jié)果應(yīng)通過(guò)。8.5 應(yīng)用系統(tǒng)安全8.5.1 檢查準(zhǔn)備a）應(yīng)用系統(tǒng)設(shè)計(jì)書(shū)及相關(guān)文檔；b）應(yīng)用系統(tǒng)部署、應(yīng)用相關(guān)文檔；c）應(yīng)用系統(tǒng)測(cè)試、驗(yàn)收文檔；d）其它相關(guān)文檔。8.5.2 檢查對(duì)象業(yè)務(wù)系統(tǒng)、網(wǎng)站等重要應(yīng)用系統(tǒng)及相關(guān)文檔管理、內(nèi)容審計(jì)系統(tǒng)。8.5.3 檢查項(xiàng)a）應(yīng)用系統(tǒng)設(shè)計(jì)、驗(yàn)收和測(cè)試文檔；b）應(yīng)用系統(tǒng)代碼安全；c）系統(tǒng)可用性、可控性；d）防篡改和恢復(fù)功能；e）web應(yīng)用層防護(hù)功能；f）應(yīng)用系統(tǒng)應(yīng)用現(xiàn)狀。8.5.4 檢查實(shí)施8.5.4.1 測(cè)試a）漏洞掃描工具檢查應(yīng)用系統(tǒng)中、高風(fēng)險(xiǎn)安全漏洞；b）代碼安全測(cè)試（黑、白盒等）；c）網(wǎng)站監(jiān)測(cè)、CC攻擊檢測(cè)；d）SQL注入檢查等。形成測(cè)試報(bào)告。8.5.4.2 防護(hù)措施檢查a）安全策略（如密碼設(shè)置、身份鑒別、系統(tǒng)審核、開(kāi)放端口、訪問(wèn)控制和權(quán)限、帳戶(hù)管理等）；b）資源控制、容錯(cuò)機(jī)制、變更管理；c）系統(tǒng)交付管理（開(kāi)發(fā)環(huán)節(jié)和過(guò)程控制、測(cè)試驗(yàn)收管理、交付管理、文檔管理等）；d）防篡改和恢復(fù)功能；e）web應(yīng)用層防護(hù)功能。8.5.4.2 關(guān)鍵字過(guò)濾檢查a）內(nèi)容審計(jì)系統(tǒng)關(guān)鍵字過(guò)濾功能設(shè)置；b）內(nèi)容審計(jì)系統(tǒng)關(guān)鍵字過(guò)濾記錄；c）關(guān)鍵字過(guò)濾的安全策略設(shè)定。8.5.5 檢查評(píng)估評(píng)估以下各項(xiàng)：a）密碼設(shè)置、身份鑒別、系統(tǒng)審核、開(kāi)放端口、訪問(wèn)控制和權(quán)限、帳戶(hù)管理等設(shè)置合理、有效；b）某一時(shí)間段內(nèi)系統(tǒng)并發(fā)會(huì)話連接數(shù)限制合理、有效；c）訪問(wèn)帳戶(hù)或進(jìn)程分配資源最大和最小限額，并在達(dá)到閾值時(shí)自動(dòng)監(jiān)測(cè)、報(bào)警；d）建立數(shù)據(jù)處理容錯(cuò)機(jī)制，并可有效實(shí)現(xiàn)；e）系統(tǒng)交付過(guò)程符合國(guó)家相關(guān)標(biāo)準(zhǔn)，規(guī)范、完整、有效；f）網(wǎng)站存儲(chǔ)空間無(wú)有害程序（病毒、木馬、惡意代碼、域名劫持等），測(cè)試未發(fā)現(xiàn)安全漏洞、后門(mén)；g）建立網(wǎng)站頁(yè)面定期監(jiān)測(cè)機(jī)制，及時(shí)處理可能出現(xiàn)的信息破壞事件、有害程序事件等；h）建立網(wǎng)站信息內(nèi)容安全定期監(jiān)測(cè)機(jī)制，監(jiān)測(cè)法規(guī)禁止、敏感、涉密信息等； i）具備防篡改和恢復(fù)功能； j）具備web應(yīng)用層防護(hù)功能；k）應(yīng)用系統(tǒng)運(yùn)行狀況正常；l）內(nèi)容審計(jì)系統(tǒng)設(shè)置關(guān)鍵字過(guò)濾功能；m）關(guān)鍵字過(guò)濾記錄清晰、完整；n）安全策略設(shè)定關(guān)鍵字過(guò)濾規(guī)定；o）應(yīng)用系統(tǒng)運(yùn)行日志完整；p）文檔管理完整、規(guī)范。則此項(xiàng)檢查結(jié)果應(yīng)通過(guò)。8.6 系統(tǒng)安全平臺(tái)檢查8.6.1 檢查準(zhǔn)備a）系統(tǒng)安全平臺(tái)設(shè)計(jì)、配置文檔及其它相關(guān)文檔；b）系統(tǒng)安全平臺(tái)測(cè)試、驗(yàn)收文檔；c）設(shè)備運(yùn)行維護(hù)文檔；d）其它相關(guān)文檔。8.6.2 檢查對(duì)象各類(lèi)安全設(shè)備及信息安全防御技術(shù)、安全策略、安全機(jī)制、安全審計(jì)、設(shè)備運(yùn)行管理等。8.6.3 檢查項(xiàng)a）系統(tǒng)安全平臺(tái)設(shè)計(jì)、配置文檔；b）系統(tǒng)安全平臺(tái)測(cè)試、驗(yàn)收文檔；c）各類(lèi)安全設(shè)備性能、功能及運(yùn)行管理現(xiàn)狀；d）安全管理策略；e）日志記錄、保存、使用；f）安全設(shè)備更新?tīng)顩r。8.6.4 檢查實(shí)施8.6.4.1 測(cè)試a）采用相關(guān)網(wǎng)絡(luò)安全工具（如威脅發(fā)現(xiàn)系統(tǒng)、安全掃描技術(shù)、木馬監(jiān)測(cè)系統(tǒng)、防病毒設(shè)備、網(wǎng)絡(luò)故障綜合分析系統(tǒng)等）檢測(cè)網(wǎng)絡(luò)系統(tǒng)惡意代碼等；b）采用相關(guān)系統(tǒng)安全工具（如系統(tǒng)分析軟件、惡意代碼清查軟件、防病毒軟件等）檢測(cè)系統(tǒng)平臺(tái)惡意代碼等；c）采用網(wǎng)絡(luò)嗅探工具，檢查重要線路數(shù)據(jù)包的密碼使用；d）采用漏洞掃描工具，掃描測(cè)試網(wǎng)絡(luò)設(shè)備、系統(tǒng)平臺(tái)、系統(tǒng)安全平臺(tái)等。形成測(cè)試報(bào)告。8.6.4.2 設(shè)備檢查a）安全設(shè)備運(yùn)行、維護(hù)、管理狀況；b）檢查設(shè)備管理記錄、設(shè)備無(wú)故障運(yùn)行時(shí)間、故障率等；c）安全設(shè)備更新?tīng)顩r：更新時(shí)間、更新記錄、定期檢測(cè)等；d）檢查設(shè)備日志內(nèi)容。 8.6.4.3 安全管理檢查a）根據(jù)第5章和信息資源安全需求，制定不同的安全策略的合理性、有效性；b）安全設(shè)備的安全策略設(shè)置的合理性、有效性；c）安全機(jī)制（包括數(shù)據(jù)加密、身份驗(yàn)證、訪問(wèn)控制等）設(shè)置的合理性、有效性；d）系統(tǒng)安全監(jiān)測(cè)系統(tǒng)的適宜性、合理性和有效性。8.6.4.4 密碼使用和管理a）密碼生成、分發(fā)、存儲(chǔ)、使用、更新、備份、恢復(fù)、導(dǎo)入、導(dǎo)出、歸檔、銷(xiāo)毀等按照國(guó)家相關(guān)法規(guī)、政策、標(biāo)準(zhǔn)管理；b）重要線路采用加密方式保護(hù)；c）重要數(shù)據(jù)、文檔采取加密保護(hù)措施。8.6.5 檢查評(píng)估評(píng)估以下各項(xiàng)：a）安全設(shè)備正常運(yùn)行，且運(yùn)行狀態(tài)良好，故障率在安全策略允許范圍內(nèi)；b）安全設(shè)備軟件、特征庫(kù)、防病毒系統(tǒng)保持更新至最新版本；c）建立深層信息安全防御體系，具備入侵防范功能，檢測(cè)、監(jiān)控端口掃描、強(qiáng)力攻擊、木馬攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、蠕蟲(chóng)攻擊等入侵事件，并提示報(bào)警，有效阻斷；d）建立準(zhǔn)入控制機(jī)制，使入網(wǎng)所有終端合法、合規(guī)、可信。e）網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等不存在惡意代碼（如木馬、蠕蟲(chóng)、ARP病毒等）；f）安全策略、安全機(jī)制配置有效；g）安全設(shè)備日志采用合理方式存儲(chǔ)，記錄完整、保存時(shí)限適當(dāng)，有專(zhuān)人管理；h）重要數(shù)據(jù)、文檔、線路加密保護(hù)； i）密碼管理符合國(guó)密局發(fā)200910號(hào)，密碼使用符合安全策略規(guī)定；j）文檔管理完整、規(guī)范；k）經(jīng)實(shí)地察看，安全設(shè)備安裝、運(yùn)行符合國(guó)家相關(guān)標(biāo)準(zhǔn)。則此項(xiàng)檢查結(jié)果應(yīng)通過(guò)。8.7 數(shù)據(jù)安全檢查8.7.1 檢查準(zhǔn)備a）數(shù)據(jù)存儲(chǔ)設(shè)計(jì)、配置文檔及其它相關(guān)文檔；b）數(shù)據(jù)存儲(chǔ)測(cè)試、驗(yàn)收相關(guān)文檔；c）數(shù)據(jù)管理相關(guān)文檔；d）數(shù)據(jù)存儲(chǔ)設(shè)備運(yùn)行、維護(hù)相關(guān)文檔；e）其它相關(guān)文檔。8.7.2 檢查對(duì)象數(shù)據(jù)存儲(chǔ)設(shè)備、數(shù)據(jù)管理安全策略、數(shù)據(jù)備份容災(zāi)、數(shù)據(jù)交換等。8.7.3 檢查項(xiàng)a）數(shù)據(jù)存儲(chǔ)設(shè)計(jì)、配置文檔；b）數(shù)據(jù)存儲(chǔ)測(cè)試、驗(yàn)收文檔；c）數(shù)據(jù)存儲(chǔ)設(shè)備參數(shù)配置、性能、運(yùn)行管理狀況；d）數(shù)據(jù)管理安全策略（數(shù)據(jù)存儲(chǔ)、訪問(wèn)、使用等）；e）數(shù)據(jù)安全交換策略（網(wǎng)內(nèi)、內(nèi)外網(wǎng)之間等）；f）數(shù)據(jù)備份容災(zāi)策略、管理和實(shí)施；g）相關(guān)文檔的完整性。8.7.4 檢查實(shí)施8.7.4.1 測(cè)試參照8.4.4.1測(cè)試數(shù)據(jù)安全性，并形成測(cè)試報(bào)告。8.7.4.2 設(shè)備檢查a）存儲(chǔ)設(shè)備運(yùn)行、維護(hù)現(xiàn)狀；b）存儲(chǔ)系統(tǒng)的管理機(jī)制和管理流程；c）存儲(chǔ)設(shè)備管理方式；d）存儲(chǔ)設(shè)備管理記錄、設(shè)備無(wú)故障運(yùn)行時(shí)間。8.7.4.3 數(shù)據(jù)管理檢查a）數(shù)據(jù)管理安全策略設(shè)置的合理性、有效性；b）數(shù)據(jù)交換平臺(tái)的安全性、可靠性；c）數(shù)據(jù)交換策略的合理性、有效性；d）數(shù)據(jù)質(zhì)量的一致性、準(zhǔn)確性和規(guī)范性。8.7.4.4 備份容災(zāi)檢查a）重要數(shù)據(jù)備份、恢復(fù)安全策略合理性；b）數(shù)據(jù)備份記錄完整，符合安全策略要求；c）備份數(shù)據(jù)恢復(fù)后可用、準(zhǔn)確、規(guī)范；d）備份介質(zhì)、數(shù)據(jù)備份和恢復(fù)指定專(zhuān)人管理；e）容災(zāi)備份系統(tǒng)災(zāi)難恢復(fù)能力等級(jí)；f）容災(zāi)備份系統(tǒng)建設(shè)、使用和管理情況。8.7.5 檢查評(píng)估評(píng)估以下各項(xiàng)：a）存儲(chǔ)系統(tǒng)正常運(yùn)行，且運(yùn)行狀態(tài)良好，故障率在安全策略允許范圍內(nèi)；b）存儲(chǔ)系統(tǒng)管理規(guī)范；管理機(jī)制、流程、方式合理、有效；c）數(shù)據(jù)管理策略與數(shù)據(jù)庫(kù)管理系統(tǒng)一致，合理、有效；d）數(shù)據(jù)交換平臺(tái)不存在安全威脅（如信息探測(cè)攻擊、非法使用、完整性破壞等）；e）數(shù)據(jù)備份策略、介質(zhì)選擇、備份頻率等適當(dāng)、有效；f）數(shù)據(jù)備份管理規(guī)范、合理、有效；g）容災(zāi)備份系統(tǒng)建設(shè)、使用、管理符合GB/T 20988要求；h）容災(zāi)備份系統(tǒng)災(zāi)難恢復(fù)能力等級(jí)符合系統(tǒng)安全策略；i）備份數(shù)據(jù)恢復(fù)可用、完整、有效； j）備份容災(zāi)有專(zhuān)人維護(hù)、管理；k）各項(xiàng)文檔管理規(guī)范、完整。則此項(xiàng)檢查結(jié)果應(yīng)通過(guò)。8.8 通信安全檢查8.8.1 檢查準(zhǔn)備a）數(shù)據(jù)通信設(shè)計(jì)、配置相關(guān)文檔；b）數(shù)據(jù)通信測(cè)試、驗(yàn)收文檔；c）數(shù)據(jù)通信應(yīng)用、維護(hù)、管理相關(guān)文檔。8.8.2 檢查對(duì)象網(wǎng)絡(luò)安全域劃分及域間數(shù)據(jù)交換、網(wǎng)絡(luò)協(xié)議安全、數(shù)據(jù)傳輸安全等。8.8.3 檢查項(xiàng)a）網(wǎng)絡(luò)安全域劃分及域間數(shù)據(jù)交換安全策略、相關(guān)文檔；b）數(shù)據(jù)傳輸線路相關(guān)文檔；c）數(shù)據(jù)傳輸相關(guān)安全策略；d）網(wǎng)絡(luò)協(xié)議安全性；e）數(shù)據(jù)通信維護(hù)、管理現(xiàn)狀；f）相關(guān)文檔完整性。8.8.4 檢查實(shí)施8.8.4.1 測(cè)試a）參照8.3.4.1測(cè)試網(wǎng)絡(luò)安全域的安全性；b）數(shù)據(jù)加密方法和測(cè)試等。形成測(cè)試報(bào)告。8.8.4.2 安全域檢查a）安全域劃分的合理性；b）是否依重要性劃分安全域等級(jí)，并依據(jù)不同的等級(jí)制定相應(yīng)的安全策略；c）不同安全域（域內(nèi)不同分區(qū)）的邊界防護(hù)策略的合理性和有效性；8.8.4.3 數(shù)據(jù)傳輸檢查a）數(shù)據(jù)傳輸線路的可靠性（傳輸介質(zhì)、線路備份等）；b）數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性、一致性；c）內(nèi)外網(wǎng)數(shù)據(jù)交換的安全性。8.8.5 檢查評(píng)估評(píng)估以下各項(xiàng)：a）依據(jù)資產(chǎn)價(jià)值、安全需求等的重要性劃分不同等級(jí)的安全域；b）依據(jù)不同等級(jí)制定域安全策略（不同域的訪問(wèn)控制策略、數(shù)據(jù)傳輸?shù)耐暾院鸵恢滦?、?shù)據(jù)審核等）；c）依據(jù)不同安全域部署安全設(shè)備、安全產(chǎn)品；d）高等級(jí)安全域的安全威脅降至最低；e）日志信息完整，存儲(chǔ)適當(dāng)；f）數(shù)據(jù)傳輸線路適宜、可靠，數(shù)據(jù)質(zhì)量完整、一致；g）各項(xiàng)文檔完整、規(guī)范。則此項(xiàng)檢查結(jié)果應(yīng)通過(guò)。8.9 運(yùn)行安全檢查8.9.1 檢查準(zhǔn)備a）系統(tǒng)驗(yàn)收和交付文檔、項(xiàng)目監(jiān)理文檔、IT服務(wù)相關(guān)文檔；b）系統(tǒng)運(yùn)行、管理相關(guān)文檔；c）系統(tǒng)性能評(píng)估相關(guān)文檔；d）應(yīng)急管理相關(guān)文檔；e）其它相關(guān)文檔。8.9.2 檢查對(duì)象信息系統(tǒng)運(yùn)行現(xiàn)狀、信息系統(tǒng)性能評(píng)估、應(yīng)急管理等。8.9.3 檢查項(xiàng)a）信息系統(tǒng)運(yùn)行相關(guān)文檔；b）工作環(huán)境管理；c）系統(tǒng)性能管理；d）應(yīng)急管理；e）相關(guān)文檔的完整性。8.9.4 檢查實(shí)施8.9.4.1 系統(tǒng)運(yùn)行檢查a）規(guī)定系統(tǒng)運(yùn)行、使用權(quán)限管理；b）規(guī)定系統(tǒng)運(yùn)行維護(hù)操作流程；c）系統(tǒng)性能管理，自動(dòng)監(jiān)測(cè)、自動(dòng)報(bào)警、有效分配系統(tǒng)資源；d）系統(tǒng)變更、更新管理；e）文檔管理、完整。8.9.4.2 IT服務(wù)檢查如IT服務(wù)組織提供系統(tǒng)運(yùn)維服務(wù)，應(yīng)實(shí)施此項(xiàng)檢查。a）與IT服務(wù)組織的服務(wù)合同；b）IT服務(wù)組織的資質(zhì)、技術(shù)能力、服務(wù)能力、人員素質(zhì)；c）IT服務(wù)組織運(yùn)維管理現(xiàn)狀。8.9.4.3 工作環(huán)境檢查a）計(jì)算機(jī)桌面和辦公桌面管理；b）文檔管理；c）辦公設(shè)備（包括移動(dòng)設(shè)備、移動(dòng)通訊設(shè)備）管理。8.9.4.4 應(yīng)急管理檢查a）制訂應(yīng)急預(yù)案，并根據(jù)實(shí)際情況定期修訂；b）根據(jù)應(yīng)急預(yù)案實(shí)施應(yīng)急演練，相關(guān)記錄完整、清晰；c）根據(jù)應(yīng)急預(yù)案，建立重大信息安全事件、災(zāi)難處置、恢復(fù)機(jī)制；d）應(yīng)急支援隊(duì)伍的制度建設(shè)；e）與外部應(yīng)急支援隊(duì)伍簽訂服務(wù)合同；f）應(yīng)急支援隊(duì)伍能力能夠滿(mǎn)足業(yè)務(wù)需求。8.9.4.5 事件管理檢查a）信息安全事件處置情況；b）信息安全事件完整記錄；c）信息安全事件報(bào)告；d）信息安全事件責(zé)任認(rèn)定。8.9.5 檢查評(píng)估評(píng)估以下各項(xiàng)：a）系統(tǒng)運(yùn)行維護(hù)符合DB21/T 1799.3要求；b）IT服務(wù)符合DB21/T 1799.1要求；c）系統(tǒng)運(yùn)行、使用權(quán)限設(shè)計(jì)合理、實(shí)際；d）系統(tǒng)運(yùn)行、使用相關(guān)文檔與相關(guān)制度相符；e）系統(tǒng)變更審批備案相關(guān)規(guī)定合理、符合實(shí)際；f）計(jì)算機(jī)桌面、辦公桌面未涉及敏感信息、重要文件；g）與網(wǎng)絡(luò)連接的辦公終端、移動(dòng)設(shè)備、存儲(chǔ)介質(zhì)等無(wú)重要文檔；h）存放重要文檔的辦公終端、移動(dòng)設(shè)備等無(wú)上網(wǎng)殘留信息；i）復(fù)印機(jī)、打印機(jī)、掃描儀、傳真機(jī)等接入網(wǎng)絡(luò)符合安全策略，且管理、維護(hù)良好；j）移動(dòng)設(shè)備、移動(dòng)通訊設(shè)備、存儲(chǔ)介質(zhì)等的使用符合系統(tǒng)安全策略；k）已存儲(chǔ)過(guò)重要數(shù)據(jù)的辦公設(shè)備、移動(dòng)設(shè)備、存儲(chǔ)介質(zhì)等，其重復(fù)使用或銷(xiāo)毀有嚴(yán)格的控制程序和措施，并切實(shí)執(zhí)行；l）已建立信息安全應(yīng)急預(yù)案，內(nèi)容清晰、完整，并根據(jù)實(shí)際情況定期修訂；m）應(yīng)急預(yù)案完全覆蓋信息系統(tǒng)，具備可操作性；n）定期開(kāi)展應(yīng)急預(yù)案演練，相關(guān)記錄完整、清晰；o）應(yīng)急支援隊(duì)伍各項(xiàng)制度建設(shè)完善，能夠滿(mǎn)足業(yè)務(wù)需求；p）重大信息安全事件、災(zāi)難處置、恢復(fù)機(jī)制有效、適用；q）如果運(yùn)行維護(hù)服務(wù)外包，已與IT服務(wù)組織簽訂相關(guān)合同且簽署保密安全協(xié)議。則此項(xiàng)檢查結(jié)果應(yīng)通過(guò)。8.10 管理安全檢查8.10.1 檢查準(zhǔn)備a）信息系統(tǒng)管理各項(xiàng)規(guī)章、制度；b）信息系統(tǒng)組織機(jī)構(gòu)相關(guān)文檔； c）系統(tǒng)日常管理各項(xiàng)文檔； d）信息系統(tǒng)安全建設(shè)、發(fā)展規(guī)劃；e）其它必要的文檔。8.10.2 檢查對(duì)象信息系統(tǒng)日常管理。8.10.3 檢查項(xiàng)a）信息系統(tǒng)組織機(jī)構(gòu)建立和運(yùn)行情況； b）針對(duì)信息安全各個(gè)層次和整體制定的安全管理策略和機(jī)制； c）健全、完善的管理規(guī)章、制度； d）日常管理措施； e）根據(jù)系統(tǒng)安全策略，制定信息安全建設(shè)、發(fā)展規(guī)劃；f）文檔管理規(guī)范、完整。8.10.4 檢查實(shí)施8.10.4.1 規(guī)范管理檢查a）信息安全組織機(jī)構(gòu)相關(guān)文件、管理架構(gòu)、人員崗位配備合理、有