在政府部门信息化建设初期,由于建设经验不足,大量存在重建设、轻安全,重应用、轻安全的问题,在建设过程中没有做到三同步,致使部分政府部门信息系统缺乏必要的安全防护措施。同时,网络安全制度不健全、落实不到位、网络安全意识薄弱等问题层出不穷,因此,需要定期开展网络安全检查,掌握网络安全总体状况,发现存在的主要问题和薄弱环节,进一步健全网络安全管理制度,完善网络安全技术措施,提高网络安全防护能力。
安全检查工作通常包括检查工作部署、信息系统基本情况梳理、日常工作情况检查、安全技术检测、检查总结整改等五个环节。
一、检查工作部署
检查工作部署通常包括制定检查方案、成立检查工作组、下达检查通知等。
1.制定检查方案
网络安全管理部门应根据中央网络与信息化领导小组办公室关于年度信息安全检查工作的统一安排,结合工作实际,制定检查方案,并报本单位网络安全主管领导批准。
检查方案应当明确如下内容:检查工作负责人、组织机构和具体实施机构;检查范围和检查重点;检查内容;检查工作组织开展方式;检查工作时间进度安排;有关工作要求。
(1)关于检查范围。检查的范围通常包括本单位各内设机构,以及为本单位信息系统(包括办公系统、业务系统、网站系统等)提供运行维护支撑服务的下属单位。可根据本单位网络安全保障工作需要,将其他为本单位信息系统提供运维服务、对本单位信息系统安全可能产生重大影响的相关单位纳入检查范围。
(2)关于检查重点。在对各类信息系统进行全面检查的基础上,应突出重点,对事关国家安全和社会稳定,对地区、部门或行业正常生产生活具有较大影响的重要信息系统进行重点检查。
(3)关于重要信息系统。可根据本单位实际,参考七方面标准进行判定:关系国家安全和社会稳定;业务依赖度高;数据集中度高(全国或省级数据集中);业务连续性要求高;系统关联性强(发生重大信息安全事件后,会对与其相连的其他系统造成较大影响,并产生连片连锁反应);面向社会公众提供服务,用户数量大,覆盖范围广;灾备等级高(系统级灾备)。
2.成立检查工作组
本单位网络安全管理部门制定完成检查方案后,应及时成立检查工作组,组织开展培训,保证工作组成员熟悉检查方案,掌握检查内容、检查工具使用方法等。工作组成员通常由信息安全管理及运维部门、信息化部门有关人员,相关业务部门中熟悉业务、具备信息安全知识的人员,以及本单位相关技术支撑机构的业务骨干等组成。
3.下达检查通知
本单位网络安全管理部门应以书面形式部署网络安全检查工作,明确检查时间、检查范围、检查内容、工作要求等具体事项。
二、信息系统基本情况梳理
对信息系统进行全面梳理,目的是及时掌握本单位信息系统基本情况,特别是变更情况,以便针对性地开展网络安全管理和防护工作。
1.基本信息梳理
查验信息系统规划设计方案、安全防护规划设计方案、网络拓扑图等相关文档,访谈信息系统管理人员与工作人员,了解掌握系统基本信息,主要包括以下三方面的具体内容。
(1)信息系统的主要功能、硬件环境部署位置、网络拓扑结构、服务对象、用户规模、业务周期、运行高峰期等;
(2)业务主管部门、运维机构、系统开发商和集成商、上线运行及系统升级日期等;
(3)定级情况、数据集中情况、灾备情况等。
2.系统构成情况梳理
重点梳理主要硬件和软件设备类型、数量、生产商(品牌)情况。其中硬件设备类型主要有服务器、路由器、交换机、防火墙、终端计算机、磁盘阵列、磁带库及其他主要安全设备;软件类型主要有操作系统、数据库、公文处理软件及主要业务应用系统。
三、日常工作情况检查
网络安全日常工作情况检查通常包括规章制度完整性、网络安全管理、安全技术防护、信息安全应急、网络安全教育培训等方面情况的检查。
1.规章制度完整性检查
调阅网络安全管理相关制度文档,检查管理制度体系是否健全,即是否涵盖人员管理、资产管理、采购管理、外包管理、应急管理、教育培训等方面。另一方面表现在检查管理制度是否以正式文件等形式发布。
2.网络安全管理情况检查
网络安全管理情况检查一定程度上是对管理制度贯彻执行程度的考核,它包含了组织管理情况检查、人员管理情况检查、资产管理情况检查、采购管理情况检查、外包服务管理情况检查、经费保障情况检查等六方面内容。
(1)组织管理情况检查
查验领导分工等文件,检查是否明确了网络安全主管领导;查验网络安全相关工作批示、会议记录等,了解主管领导履职情况;
查验本单位各内设机构职责分工等文件,检查是否指定了网络安全管理机构;查验工作计划、工作方案、规章制度、监督检查记录、教育培训记录等文档,了解管理机构履职情况;
查验网络安全员列表,检查是否每个内设机构都指定了专职或兼职网络安全员;访谈信息安全员,检查其网络安全意识和网络安全知识、技能掌握情况;查验工作计划、工作报告等相关文档,检查网络安全员日常工作开展情况。
(2)人员管理情况检查
查验岗位信息安全责任制度文件,检查系统管理员、网络管理员、信息安全员、一般工作人员等不同岗位的信息安全责任是否明确;检查重点岗位人员信息安全与保密协议签订情况;访谈部分重点岗位人员,抽查对信息安全责任的了解程度;
查验人员离岗离职管理制度文件,检查是否有终止系统访问权限、收回软硬件设备、收回身份证件和门禁卡等要求;检查离岗离职人员安全保密承诺书签署情况;查验信息系统账户,检查离岗离职人员账户访问权限是否已被终止;
查验外部人员访问机房等重要区域的审批制度文件,检查是否有访问审批、人员陪同等要求;查验访问审批记录、访问活动记录,检查记录是否清晰、完整;
查验安全事件记录及安全事件责任查处等文档,检查是否发生过因违反制度规定造成的信息安全事件、是否对信息安全事件责任人进行了处置。
(3)资产管理情况检查
查验资产管理制度文档,检查资产管理制度是否建立;
查验设备管理员任命及岗位分工等文件,检查是否明确专人负责资产管理;访谈设备管理员,检查其对资产管理制度和日常工作任务的了解程度;
查验资产台账,检查台账是否完整(包括设备编号、设备状态、责任人等信息);查验领用记录,检查是否做到统一编号、统一标识、统一发放;
随机抽取资产台账中的部分设备登记信息,查验是否有对应的实物;随机抽取一定数量的实物,查验其是否纳入资产台账,同台账是否相符;
查验相关制度文档和记录,检查设备维修维护和报废管理制度建立及落实情况。
(4)采购管理情况检查
随机抽取信息安全产品,检查该产品是否有国家统一认证的证明材料。
对比资产台账及采购清单,检查台账中是否有捐赠的信息技术产品;对于使用中的受赠信息技术产品,检查是否有安全测评报告以及与捐赠方签订的信息安全与保密协议;
查验开发、集成、运维等信息安全服务合同,检查是否有非国内厂商提供信息安全服务情况,若有,进一步检查厂商名称及其提供的服务内容;确认未采购社会第三方认证机构提供的信息安全管理体系认证服务;
查验数据中心和灾备中心建设规划文档,检查是否设立在境外。
(5) 外包服务管理情况检查
查验相关文档,检查是否有外包服务安全管理制度;
查验信息技术外包服务合同及信息安全与保密协议,检查信息安全责任是否清晰;
查验外包人员现场服务记录,查验记录是否完整(包括服务时间、服务人员、陪同人员、工作内容等信息);
访谈系统管理员和工作人员,查验安全测评报告,检查外包开发的系统、软件上线前是否进行过信息安全测评及其方式;
查验外包服务合同及技术方案等文档,检查是否存在远程在线运维服务;如确需采用远程在线服务的,检查是否对安全风险进行了充分评估并采取了书面审批、访问控制、在线监测、日志审计等安全防护措施。
(6)经费保障情况检查
会同本单位财物部门人员,查验上一年度和本年度预算文件,检查年度预算中是否有网络安全相关费用;
查验相关财务文档和经费使用账目,检查上一年度网络安全经费实际投入情况、网络安全经费是否专款专用。
3.安全技术防护情况检查
安全技术防护情况检查包括物理环境安全情况检查、网络边界安全防护情况检查、关键设备安全防护情况检查、应用系统安全防护情况检查、终端计算机安全防护情况检查、存储介质安全防护情况检查和重要数据安全防护情况检查等。
(1)物理环境安全情况检查
物理环境安全应符合《GB 9361-1988计算机场地安全要求》中B类机房要求,其他检查具体流程如下。
查验机房设计、改造、施工等相关文档,检查机房防盗窃、防破坏、防雷击、防火、防水、防潮、防静电等措施,并进行核查;现场检查机房备用电源、温湿度控制、电磁防护等安全防护设施;
现场检查机房等物理访问控制措施,确认配备门禁系统或有专人值守。
(2)网络边界安全防护情况检查
查验网络拓扑图,检查重要设备连接情况,现场核查内部办公系统等非涉密系统的交换机、路由器等网络设备,确认以上设备的光纤、网线等物理线路没有与互联网及其他公共信息网络直接连接,有相应的安全隔离措施;
查验网络拓扑图,检查接入互联网情况,统计网络外联的出口个数,检查每个出口是否均有相应的安全防护措施(互联网接入口指内部网络与公共互联网边界处的接口,如联通、电信等提供的互联网接口,不包括内部网络与其他非公共网络连接的接口);
查验网络拓扑图,检查是否在网络边界部署了访问控制(如防火墙)、入侵检测、安全审计以及非法外联检测、病毒防护等必要的安全设备;
分析网络拓扑图,检查网络隔离设备部署、交换机VLAN划分情况,检查网络是否按重要程度划分了安全区域,并确认不同区域间采用了正确的隔离措施;
查验网络日志(重点是互联网访问日志)及其分析报告,检查日志分析周期、日志保存方式和保存时限等。
(3)关键设备安全防护情况检查
对承担网络与信息系统运行的关键设备,包括服务器、网络设备、安全设备等的安全防护情况进行检查,保证安全策略配置及防护的有效性。
登录恶意代码防护设备(如防病毒网关),检查恶意代码库更新情况;
登录服务器(应用系统服务器、数据库服务器),检查口令策略配置情况,包括口令强度和更新频率;检查安全审计策略配置情况,包括审计功能是否启用、操作记录是否留存、日志是否定期分析、是否对异常访问和操作及时进行处置;检查病毒防护情况,包括防病毒软件是否安装、病毒库是否及时更新;检查补丁更新情况,包括操作系统、数据库管理系统等的补丁是否及时更新;
登录网络设备、安全设备,检查口令策略配置情况,包括口令强度和更新频率;检查安全审计策略配置情况,包括审计功能是否启用、操作记录是否留存、日志是否定期分析、是否对异常访问和操作及时进行处置。
(4)应用系统安全防护情况检查
查验信息系统定级报告,检查信息系统定级情况;
查验测评报告,检查风险评估、等级测评开展情况。
(5)门户网站安全防护情况检查
查验检测报告等相关文档,检查网站开通或新增应用时是否进行过安全测评;
查验相关记录,访谈网站管理员,检查是否定期对网站链接的安全性和有效性进行检查;采用技术工具进行扫描,检测网站链接的有效性;
查看防护设备部署情况,检查是否有网页防篡改、抗拒绝服务攻击等功能并进行必要的配置;
查验相关记录,检查网站信息发布时是否对内容进行核查、是否经过审批。
以下为隐藏内容,登录后可见。