關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查報告

-7-關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查結(jié)果及整改建議表序號檢查項(xiàng)目檢查指標(biāo)檢查方法現(xiàn)場檢查記錄整改建議1網(wǎng)絡(luò)安全責(zé)任制落實(shí)情況應(yīng)明確一名主管領(lǐng)導(dǎo),負(fù)責(zé)本單位網(wǎng)絡(luò)安全管理工作,根據(jù)國家法律法規(guī)有關(guān)要求，結(jié)合實(shí)際組織制定網(wǎng)絡(luò)安全管理制度,完善技術(shù)防護(hù)措施,協(xié)調(diào)處理重大網(wǎng)絡(luò)安全事件。查看領(lǐng)導(dǎo)分工等文件，檢查網(wǎng)絡(luò)安全主管領(lǐng)導(dǎo)落實(shí)情況；查看網(wǎng)絡(luò)安全相關(guān)工作批示、會議記錄等文件，檢查主管領(lǐng)導(dǎo)履職情況；檢查有無成立網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組的紅頭文件。2應(yīng)指定一個機(jī)構(gòu),具體承擔(dān)網(wǎng)絡(luò)安全管理工作,負(fù)責(zé)組織落實(shí)網(wǎng)絡(luò)安全管理制度和網(wǎng)絡(luò)安全技術(shù)防護(hù)措施。應(yīng)制定數(shù)據(jù)安全專門管理辦法。查看本單位各內(nèi)設(shè)機(jī)構(gòu)職責(zé)分工等文件，檢查指定網(wǎng)絡(luò)安全管理機(jī)構(gòu)情況；查看工作計劃、工作方案、規(guī)章制度、監(jiān)督檢查記錄、教育培訓(xùn)記錄等文檔，檢查管理機(jī)構(gòu)履職情況；查看數(shù)據(jù)安全管理辦法，本單位數(shù)據(jù)安全檢查次數(shù)，數(shù)據(jù)安全管理人員數(shù)量。3應(yīng)定期對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)。檢查對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)的記錄文件。4組織進(jìn)行過專業(yè)技術(shù)檢測、測試、評估等工作。查看進(jìn)行專業(yè)技術(shù)檢測、測試、評估等工作記錄；查看風(fēng)險評估、滲透測試等評估報告。5網(wǎng)絡(luò)安全日常管理情況（人員管理）應(yīng)明確重點(diǎn)崗位的計算機(jī)使用和管理人員的責(zé)任。查看崗位網(wǎng)絡(luò)安全責(zé)任制度文件；檢查系統(tǒng)管理員、網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全員、一般工作人員等不同崗位的網(wǎng)絡(luò)安全責(zé)任明確情況；檢查確認(rèn)統(tǒng)管理員、網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全員是否為同一人，安全管理員不能兼任網(wǎng)絡(luò)管理員和系統(tǒng)管理員。6應(yīng)與重點(diǎn)崗位的計算機(jī)使用和管理人員簽訂網(wǎng)絡(luò)安全與保密協(xié)議。應(yīng)制定人員離崗離職安全管理規(guī)定。檢查重點(diǎn)崗位人員網(wǎng)絡(luò)安全與保密協(xié)議簽訂情況；訪談部分重點(diǎn)崗位人員，抽查對網(wǎng)絡(luò)安全責(zé)任的了解程度；檢查是否制定了人員離崗離職安全管理規(guī)定。7應(yīng)建立外部人員訪問審批制度（包括但不限于：進(jìn)入機(jī)房等重要區(qū)域、維護(hù)網(wǎng)絡(luò)/服務(wù)器/云資源池等信息化設(shè)施、接觸業(yè)務(wù)/政務(wù)數(shù)據(jù)等敏感信息，下同）。外部人員須經(jīng)審批后方可訪問；應(yīng)采取措施對外部人員的訪問活動進(jìn)行記錄并留存日志。查看外部人員訪問審批制度文件，檢查是否有訪問審批、日志記錄等要求；查看記錄，檢查記錄內(nèi)容清晰、完整的情況。8網(wǎng)絡(luò)邊界安全防護(hù)情況應(yīng)有與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。查看網(wǎng)絡(luò)拓?fù)鋱D；抽查網(wǎng)絡(luò)拓?fù)鋱D中主要網(wǎng)絡(luò)設(shè)備、安全設(shè)備及服務(wù)器，檢查與網(wǎng)絡(luò)拓?fù)鋱D的一致性。9應(yīng)根據(jù)工作職能、部門重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段并設(shè)置訪問規(guī)則。登錄服務(wù)器，用ping命令查看內(nèi)部劃分子網(wǎng)或網(wǎng)段；選取不同網(wǎng)段進(jìn)行互訪，檢查符合訪問控制原則情況。10避免將重要服務(wù)或設(shè)備所在網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)。（工業(yè)控制系統(tǒng)部署工業(yè)網(wǎng)閘、工業(yè)防火墻等專用安全設(shè)備。）登錄服務(wù)器，用ping命令查看重要服務(wù)或設(shè)備所在網(wǎng)段直接連接外部系統(tǒng)；檢查部署防火墻、IDS、網(wǎng)閘等網(wǎng)絡(luò)防護(hù)設(shè)備或者其他安全防護(hù)措施情況。11網(wǎng)絡(luò)安全設(shè)備配置合理。抽查防火墻、IDS、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全設(shè)備，檢查使用默認(rèn)配置或未配置的情況；檢查安全設(shè)備存在未完全按照需求配置或有多余策略。12身份鑒別措施合理有效。查看口令8位以上且包含字母、數(shù)字、特殊字符鑒別方式情況；查看限制管理員登錄范圍。13網(wǎng)絡(luò)設(shè)備應(yīng)記錄重要事件。查看有無日志記錄。日志記錄網(wǎng)絡(luò)重要事件、管理員操作、設(shè)備運(yùn)行狀態(tài)的情況。網(wǎng)絡(luò)安全設(shè)備的日志記錄應(yīng)最短留存為6個月。14無線網(wǎng)絡(luò)安全防護(hù)情況無線網(wǎng)絡(luò)安全防護(hù)。登錄無線網(wǎng)絡(luò)設(shè)備管理端，檢查安全防護(hù)策略配置情況，包括設(shè)置對接入設(shè)備采取身份鑒別認(rèn)證措施和地址過濾措施；查看無線網(wǎng)絡(luò)采取身份鑒別措施、地址過濾措施，無線路由器未使用默認(rèn)設(shè)置。15電子郵件系統(tǒng)安全防護(hù)情況應(yīng)加強(qiáng)電子郵件系統(tǒng)安全防護(hù)，采取反垃圾郵件等技術(shù)措施。檢查電子郵件系統(tǒng)建設(shè)方式；檢查電子郵件系統(tǒng)安全防護(hù)情況，采取反垃圾郵件等技術(shù)措施情況。16應(yīng)規(guī)范電子郵箱的注冊管理，原則上只限于本單位工作人員注冊使用。查看服務(wù)器上郵箱賬戶列表，同本單位人員名單進(jìn)行核對；檢查有非本單位人員使用。17服務(wù)器、終端安全防護(hù)情況應(yīng)具備服務(wù)器、終端接入網(wǎng)絡(luò)安全控制措施。檢查采取MAC綁定、實(shí)名接入或部署上網(wǎng)行為管理、網(wǎng)絡(luò)準(zhǔn)入等設(shè)備。18應(yīng)合理、有效管理服務(wù)器、終端。查看服務(wù)器、終端采用集中管理系統(tǒng)進(jìn)行硬件、防病毒、補(bǔ)丁、移動存儲介質(zhì)等安全措施管理或采用合理有效的分散管理措施，工業(yè)控制系統(tǒng)部署白名單軟件情況。查看服務(wù)器、終端檢查安裝有與工作無關(guān)的軟件。19應(yīng)嚴(yán)格服務(wù)器安全管理策略。檢查服務(wù)器配置服務(wù)器安全管理策略情況。20服務(wù)器進(jìn)行身份鑒別。登錄服務(wù)器查看權(quán)限；檢查服務(wù)器進(jìn)行身份鑒別情況。21應(yīng)用服務(wù)安全防護(hù)情況身份鑒別防護(hù)措施合理。訪談網(wǎng)絡(luò)管理員；檢查身份鑒別口令情況，以及管理員的登錄范圍。22訪問控制措施合理。檢查有無超級用戶；檢查訪問控制措施按照不同需求用戶分配不同訪問權(quán)限；檢查應(yīng)用是否設(shè)置了審計管理員以及其他功能性的管理員或用戶，權(quán)限需要分離，普通管理員無法刪除修改日志。23應(yīng)嚴(yán)格記錄用戶操作。檢查記錄所有用戶操作，重點(diǎn)記錄各級操作員重要操作的情況。記錄的內(nèi)容至少應(yīng)包括時間的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；檢查無法單獨(dú)中斷審計進(jìn)程，無法刪除、修改和覆蓋審計記錄的情況；應(yīng)用的操作日志需最低留存6個月。24網(wǎng)絡(luò)安全應(yīng)急工作情況應(yīng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，原則上每年評估一次，并根據(jù)實(shí)際情況適時修訂。根據(jù)網(wǎng)絡(luò)變化情況更新并進(jìn)行演練。查看應(yīng)急預(yù)案文本等文件；檢查應(yīng)急預(yù)案制定和年度評估修訂情況。25每年應(yīng)開展網(wǎng)絡(luò)安全應(yīng)急演練，檢驗(yàn)應(yīng)急預(yù)案的可操作性，并將演練情況報網(wǎng)絡(luò)安全主管部門。查看演練計劃、方案、記錄、總結(jié)等文檔，檢查本年度開展應(yīng)急演練情況；查看應(yīng)急技術(shù)支援隊伍合同及安全協(xié)議、參與應(yīng)急技術(shù)演練及應(yīng)急響應(yīng)等工作的記錄文件，確認(rèn)應(yīng)急技術(shù)支援隊伍能夠發(fā)揮有