中国电信CTG-MBOSS安全基线达标考评细则.doc

CTG-MBOSS安全基线达标考评细则(60分制)分类项目及分值标准及要求标准分考评方式计（扣）分办法实得分小计分备注组织架构管理（10分）组织落实（4分）信息化安全领导小组由主管信息化的总经理或副总经理任组长,信息化部及其他主要相关业务部门经理组成，对整个省公司MBOSS系统的信息化安全的工作负责；信息化安全工作小组由企业信息化部牵头与其它部门构成，企业信息化部下成立的安全管理部门或岗位负责日常安全管理工作，安全工作小组负责起草并报批省公司MBOSS系统信息安全保障工作的规章和制度，协调专家顾问等各方面的资源，对领导小组颁发的信息安全指导方针做技术与标准的支持。4人员访谈、文档检查(1)未以文件或会议纪要等形式明确安全领导小组及成员名单，扣1分；(2)缺少安全领导小组工作职责，扣1分；(3)未以文件或会议纪要等形式明确安全工作小组及成员名单，扣1分；(4)缺少安全工作小组工作职责，扣1分。岗位设置（2分）信息化安全工作的执行层由MBOSS信息系统建设维护使用的各个参与主体构成，具体包括：信息安全负责人、安全管理员、安全审计员、IT系统安全责任人等，执行层主要工作是对安全领导小组、安全工作小组制定的关于信息安全建设的指导方针进行目标分解，结合本单位部门的业务发展需求及信息系统现状制定具体的信息安全建设策略、计划、流程，并进行信息系统安全建设与运维。省公司层面应设置信息安全负责人、安全管理员、安全审计员、IT系统安全责任人等岗位，本地网层面应设立安全管理员岗位，并明确每个岗位的岗位职责。2人员访谈、文档检查(1)信息安全负责人、安全管理员、安全审计员、系统管理员等岗位缺少一个扣0.25分，扣完1分为止；(2)未以文件形式明确信息安全负责人、安全管理员、安全审计员、系统管理员等的岗位职责缺少一个扣0.25分，扣完1分为止。人员配备（4分）信息化安全工作的执行要落实到具体责任人，省公司应建立信息化安全执行工作的人员配备要求管理文档和人员名单，要求在省公司层面应设置信息安全负责人1名（由信息化部总经理兼职）、安全管理员1名（建议专职）、安全审计员1名（建议专职）、IT系统安全责任人n名（n=系统个数，可兼职）等岗位，每个本地网层面应设立安全管理员岗位1名（可兼职），有条件的省份可增设AB角色。加分项：设立独立的信息化安全室加分项：设立专职的安全管理员岗位加分项：设立专职的安全审计员岗位4人员访谈、文档检查(1)安全管理员岗位的人员配备数量未达到1人，扣1分；(2)安全审计员岗位的人员配备数量未达到1人，扣1分；(3)IT系统安全责任人岗位的人员配备数量未达到n（n=系统个数）人，扣1分。(4)每个本地网安全管理员岗位的人员配备数量未达到1人，扣1分。人员安全管理（8分）人员上岗管理（1分）省公司建立了用户及其权限设置的管理流程，对MBOSS系统的用户创建和授权必须通过业务部门主管人员审批后，方可由相关的系统管理员在系统中创建用户账号。1文档检查(1)检查省公司对系统的用户创建、权限设置和授权的管理流程文档。缺少省公司用户、权限设置创建管理流程文档 ，扣0.5分；(2)抽查3个系统，检查用户创建和授权审批文档。缺少1个系统的用户创建和授权审批文档，扣0.2分，扣完0.5分为止；人员离岗管理（0.6分）在员工工作调动或离职等工作职能发生变化时，及时由人力资源部门或用户部门正式书面通知系统维护部门，由系统管理员更新或删除其在MBOSS系统中相应的访问权限。0.6文档检查检查人力资源部门或用户部门发出的人员访问权限修改或删除的书面通知。缺少人力资源部门或用户部门发出的人员访问权限修改或删除的书面通知样本，扣0.6分。操作系统管理账号授权（1分）MBOSS系统的操作系统管理账号仅限于经授权的系统管理员，其账号须经业务主管部门（如企业信息化部）或业务支撑中心（如IT中心）主管人员的书面授权审批。1文档检查(1)抽查3个系统，检查系统的操作系统的管理账号清单。缺少1个系统的系统的操作系统管理员账号清单，扣0.2分，扣完0.5分为止；(2)检查上述清单中某一操作系统管理账号的审批文件。缺少1个系统的操作系统管理账号的审批文件样本，扣0.2分，扣完0.5分为止。数据库管理账号授权（1分）MBOSS系统数据库的管理账号仅限于经授权的数据库管理员，其账号须经业务主管部门（如企业信息化部）或业务支撑中心（如IT中心）主管人员的书面授权审批。1文档检查(1)抽查3个系统，检查系统数据库管理员账号清单。缺少1个系统的系统数据库管理员账号清单，扣0.2分，扣完0.5分为止；(2)检查上述清单中某一数据库管理账号的审批文件。缺少1个系统的数据库管理账号的审批文件样本，扣0.2分，扣完0.5分为止。应用系统特权用户授权（1分）MBOSS系统的特权用户（例如具有增加/变更/删除用户等权限）仅限于经授权的系统管理人员或业务人员，其账号须经业务主管部门（如企业信息化部）或业务支撑中心（如IT中心）主管人员的书面授权审批。1文档检查(1)抽查3个系统，检查系统的管理员用户账号清单。缺少1个系统的应用系统管理员用户账号清单，扣0.2分，扣完0.5分为止；(2)检查上述清单中某一管理员用户账号的审批文件。缺少1个系统的应用系统管理员账号的审批文件样本，扣0.2分，扣完0.5分为止。管理账号安全管理（0.6分）MBOSS系统的管理账号（包括操作系统、数据库和应用程序层面）如果由于系统限制存在共享，不能删除该账号，则该账号密码在其中任一管理员离职时需及时更改，以防止非法访问。0.6文档检查抽查3个系统的管理员用户离职时的密码修改记录。缺少1个系统的管理员用户离职时的密码修改记录样本，扣0.2分，扣完0.6分为止。人员安全意识教育和培训 （1分）为了提高维护人员的安全技能，员工的安全意识，使员工充分了解既定的信息安全策略，安全工作小组应通过下发通知、下发电子文档、集中培训等培训方式，提高员工信息安全的意识，使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题。省公司层面的安全管理员、安全审核员、系统安全责任人和本地网层面的安全管理员必须接受安全培训，培训周期为1年至少1次；同时安全管理员必须每年通过各种培训方式对企业信息化部所辖员工进行安全宣贯，安全宣贯覆盖率超过50%。1人员访谈、文档检查(1)检查培训记录，过去1年内安全教育和各类培训记录缺失，或未对安全岗位人员进行安全意识教育、岗位技能培训和相关安全技术培训，扣0.5分；(2)检查宣贯记录，过去1年内未组织员工安全意识教育宣贯或者宣贯文档缺失的，或者宣贯对象不超过员工覆盖率50%的，扣0.5分。（参与培训员工数目主要是统计省公司企业信息化部以及下辖所管范围内的电信员工）。第三方人员安全管理（1.8分）为了加强对第三方人员（第三方是指从事MBOSS系统相关工作的非局方人员）的安全管理，安全工作小组应对第三方人员建立相关安全管理制度，明文规定第三方人员的机房出入管理、网络接入管理以及陪同人员管理等方面的内容。1.8文档检查(1)未制订第三方人员机房出入管理制度，扣0.6分(2)未制订第三方人员网络接入管理制度，扣0.6分；(2)未制订第三方人员陪同人员管理制度，扣0.6分；运维安全管理（15分）系统上线安全管理（3分）上线安全管理制度：针对所有MBOSS系统新采购和新建设的系统，建立新系统上线安全管理制度，明确上线前的系统安全性保障、安全评估测试、代码安全评测和上线时新系统安全交付的相关流程和管理细则。1文档检查检查新系统上线安全管理制度，缺少新系统上线安全管理制度，扣0.5分。抽查3个系统，检查省公司/地市分公司新系统上线安全管理流程，并注意是否具有管理层审批记录。缺少1个系统的省公司/地市分公司新系统上线安全管理流程文档（包括管理层审批记录）扣0.2分，扣完0.5分为止。上线安全保障：针对所有MBOSS系统新采购和建设的新系统，上线前要求各提供服务的厂商对新上线系统进行安全配置加固、补丁升级、漏洞扫描等基本保障。1文档检查抽查3个系统，检查新入网业务系统是否具有安全加固、配置、补丁和安全测试的相关文档记录。缺少1个系统的省公司/地市分公司系统上线安全测试等相关文档（包括管理层审批记录）扣0.4分，扣完1分为止。上线交付流程：针对所有MBOSS系统新采购和建设的新系统，加强上线交付环节管理，要求交付时清除测试、调试等临时程序和脚本，明确交付过程中提供的相关系统文档、维护手册、系统端口服务清单和应急措施等，明确交付时账号、密码的交付流程和确认记录。1文档检查抽查3个系统，检查交付确认记录，是否包含临时文件清除、文档清单、系统端口服务清单、权限交接等记录，缺少1个系统的上线交付确认记录样本扣0.4分，扣完1分为止。资产安全管理（1分）为了方便、高效地管理各类信息资产（此处资产专指网络设备、主机设备、安全设备等硬件和应用系统软件资产），省公司要建立信息资产管理制度，要在信息资产管理清单或者管理系统中实时更新MBOSS系统的信息资产信息，如硬件设备的信息（设备重要性赋值、设备配置信息、版本信息、变更信息、资产领用信息、资产责任人信息等）和软件资产信息（如应用系统的软件版本号，上线日期等）信息资产内部属性。加分项：建立信息资产管理系统对信息资产进行管理1人员访谈、文档检查、现场检查(1)未建立信息资产管理制度，扣0.5分；(2)抽查3个系统，每个系统选取20台资产，当信息资产内部属性发生变更时，检查是否及时更新到信息资产管理清单中，发现1台不符合扣0.1分，扣完0.5分为止。机房访问记录（0.5分）安装MBOSS系统应用程序、操作系统和数据库的硬件设备应存放在安全的机房中，所有出入口均具备电子门禁系统或门锁的保护，人员进出机房应在机房门禁系统或机房进出日志中留下记录。0.5文档检查抽查3个系统所在的主要机房（机房检查数目不超过3个，含3个），从门禁系统或机房进出登记日志中检查人员进出机房的记录。缺少1个机房的门禁系统或机房进出登记日志样本，扣0.2分，扣完0.5分为止。机房访问审批制度（0.5分）只有经授权的人员可对存放MBOSS系统的计算机机房和设备进行物理访问，对机房的访问授权需经系统维护部门主管人员审批，非授权人员出入机房必须由机房工作人员陪同。0.5文档检查抽查3个系统，检查某一授权人员的审批文件，确保已经得到审批。缺少1个系统的机房访问的审批文件样本，扣0.2分，扣完0.5分为止。内网与互联网连接防护（1分）建立互联网接入安全管理规定，在规定中清晰定义哪些业务系统可以与互联网连接，对于不需要访问互联网的网络区域限制其访问互联网；梳理IT系统与互联网的连接，关闭不必要的互联网接口；对于特殊的业务需要访问互联网的设备，应当建立相应的申请、审批和报备流程，并对结果进行记录，形成互联网接口信息备案表，其表中可以包含设备名称、IP地址、所属业务系统、功能、申请人等内容，当设备发生变化时更新是否及时，是否及时取消了不需要的访问设备权限。1人工抽查、人员访谈(1)检查是否建立互联网接入安全管理规定，并注意是否具有业务主管部门（如企业信息化部）或业务支撑中心（如IT中心）主管人员的审批记录。缺少互联网接入安全管理规定，扣0.5分；(2)检查是否建立互联网出口信息备案表，未建立互联网出口信息备案表扣0.25分，查看实际情况是否与互联网出口信息备案表相符，与互联网出口信息备案表不相符，扣0.25分。终端安全管理（1分） 建立针对业务系统的管理终端和维护终端的终端安全管理制度（在制度中明确规定的安全配置、软件安装标准、终端信息保护管理、补丁管理、防病毒管理、防火墙管理、文件共享管理、访问互联网行为管理、网络接入和使用管理等方面内容），强调终端不得同时连接内网与互联网，对于需要访问互联网的特殊情况，应设置专门独立终端访问互联网，满足其工作要求；对可访问互联网的终端进行登记备案。加分项：建立终端接入和监控系统对终端进行安全管理1文档检查(1)检查是否建立终端安全管理制度，并注意是否具有业务主管部门（如企业信息化部）或业务支撑中心（如IT中心）主管人员的审批记录。缺少终端安全管理制度，扣0.5分；文档检查(2)检查是否建立可访问互联网的终端列表清单，未建立可访问互联网的终端列表清单扣0.25分，抽查20台终端的互联网访问历史，查看实际情况是否与可访问互联网的终端列表清单相符，与可访问互联网的终端列表清单不相符，扣0.25分。备份策略（0.5分）考虑MBOSS系统的重要性及恢复成本，制定备份策略，并明确相关人员进行系统备份的职责。在备份策略中说明备份方法, 备份频率, 以及备份数据保存时间等内容。备份策略由业务主管部门（如企业信息化部）或业务支撑中心（如IT中心）主管人员审批通过。0.5文档检查抽查3个系统，检查系统的备份策略，并注意是否具有业务主管部门（如企业信息化部）或业务支撑中心（如IT中心）主管人员的审批记录。缺少1个系统的备份策略，扣0.2分，扣完0.5分为止。备份日志记录（1分）对MBOSS系统的备份保留备份日志（自动或手工记录），业务主管部门（如企业信息化部）或业务支撑中心（如IT中心）维护人员定期（周期为最短备份频次）检查备份日志，以发现备份错误或其它异常现象并及时跟进解决。1文档检查，人工检查(1)抽查3个系统，检查系统的备份日志，确认备份是否已按照备份策略执行。缺少1个系统的备份日志样本，扣0.2分，扣完0.5分为止；(2)抽查3个系统，检查业务主管部门（如企业信息化部）或业务支撑中心（如IT中心）维护人员对备份日志的定期检查（周期为最短备份频次），并签名确认。缺少1个系统的备份运行人员对备份日志的每天检查记录样本，扣0.2分，扣完0.5分为止。备份介质异地存放（0.5分）MBOSS系统的数据备份介质根据数据重要程度，至少每月执行一次异地存放在系统所处的楼宇之外的建筑。异地备份数据至少要包括全部业务系统原始数据（例如计费联采原始数据）和恢复系统必须的静态数据。0.5文档检查抽查3个系统，检查备份介质异地存放记录。缺少1个系统的备份介质异地存放记录样本，扣0.2分，扣完0.5分为止。备份策略和恢复性测试（1分）MBOSS系统的备份策略中明确规定对备份介质恢复性测试的要求和步骤。根据备份介质使用寿命等情况至少每年进行一次恢复性测试，并记录测试结果。1文档检查，人工检查(1)抽查3个系统，检查系统备份策略中是否有对备份介质恢复性测试的规定。缺少1个系统的备份介质恢复性测试的规定，扣0.2分，扣完0.5分为止；(2)抽查3个系统，检查恢复性测试结果记录。缺少1个系统的恢复性测试结果记录样本，扣0.2分，扣完0.5分为止。补丁管理（1分）明文制订了网络设备和主机系统的补丁安全管理制度，制度中明确了补丁管理的对象、补丁下载的步骤、站点说明、补丁实验等内容。补丁信息是否需要更新以集团公司安全管理平台发布为准。1文档检查(1)检查网络设备补丁安全管理制度，缺少网络设备补丁安全管理制度，扣0.5分；(2)检查主机系统补丁安全管理制度，缺少主机系统补丁安全管理制度，扣0.5分。漏洞检测（1分）明文制订了安全漏洞扫描管理制度，制度中明确了扫描对象、扫描频率、扫描策略等内容。省公司对MBOSS系统所有资产每年至少进行一次安全漏洞自评估，自评估工作可以采用外部评估方式（即采用购买第三方安全服务提供商的风险评估服务来完成）。1文档检查(1)检查安全漏洞扫描管理制度，缺少安全漏洞扫描管理制度，扣0.5分；进行安全漏洞扫描时应进行记录，在记录中标明扫描时间、扫描对象、操作人员等信息，省公司应根据扫描结果制定整改方案。(2)检查最近一年内的漏洞扫描评估记录，缺少最近一年内的MBOSS系统漏洞扫描评估记录和相应整改方案，扣0.5分。安全应急响应（1分）为了有序高效地落实MBOSS系统信息系统突发事件发生时的应急处理工作，最大限度地减少信息安全突发事件对系统业务造成的损失和对社会的不良影响，提高各级单位信息系统的安全稳定运行水平，应制定MBOSS系统信息系统安全应急响应制度；同时，为了保证安全应急行动的能力，应每年至少组织一次系统运维人员的安全应急行动演练，以提高处理安全应急事件的能力。加分项：对核心系统的应用级可用性不间断安全演练成功1文档检查(1)检查系统安全应急管理制度，缺少系统安全应急管理制度，扣0.5分；(2)检查最近一年内的应急演练记录，缺少最近一年内的MBOSS系统应急演练记录，扣0.5分。代维人员账号/权限管理规范（2分）明文制订了代维人员安全管理制度，制度中至少应包含以下内容：针对代维人员账号管理方面的要求，对代维人员掌握的账号（尤其是管理员账号）和权限进行限制或约束，要求定期检查和定期清理无用的管理/维护账号；明文制订了系统账号权限清单，系统中的每个账号对应每个代维人员，同时避免代维人员拥有管理员账号或账号权限过高等情况；与代维厂家明文制订了保密协议；代维厂商每周应提交一份系统维护操作记录，记录本周对系统所作的维护操作。加分项：建立统一的维护操作集中审计平台2人员访谈、文档检查(1)检查代维人员安全管理制度，缺少代维人员安全管理制度，扣0.5分；(2)抽查3个系统的代维情况，检查系统账号权限清单，缺少1个系统的系统代维账号权限清单，扣0.5分，扣完0.5分为止；(3)抽查3个系统的代维情况，缺少与第三方厂家或人员保密协议记录，扣0.2分，扣完0.5分为止；(4)抽查3个系统的代维情况，检查代维厂商提交的最近一周的系统维护操作记录，缺少1个系统的代维厂商最近一周的系统维护操作记录，扣0.2分，扣完0.5分为止。应用安全（8分）应用端口服务（1分）定期对应用所开放的端口服务列表清单进行备案，及时清理其中的未备案的服务。1文档检查、人工抽查、工具扫描(1)抽查3个系统，检查应用程序开放端口服务列表备案清单，并注意是否具有业务主管部门（如企业信息化部）或业务支撑中心（如IT中心）主管人员的审批记录。缺少1个系统的应用程序开放端口服务列表备案清单，扣0.2分，扣完0.5分为止；(2)抽查3个系统，发现1个系统应用程序的开放端口服务列表和备案清单不符扣0.2分，扣完0.5分为止；应用账号安全（3分）定期对数据库、中间件、应用系统的管理员用户账号列表清单进行备案，及时清理其中的默认账号、测试账号和离岗账号；应用系统数据库、中间件等用户账号不能存在空口令和弱口令；不能存在写死在程序中的账号口令（账号用于数据库、FTP、Telnet等用途）；应用系统用户登录口令是否复杂性检查，发现用户是弱口令时强制要求用户修改登录口令后再登录；WEB应用系统登录页面应具有防范暴力破解风险的措施，如设置图形验证码、短信认证等。加分项：建立应用账号统一认证系统3人工检查、工具检查(1)抽查3个系统，在每个系统中抽查主数据库，发现1台数据库的管理员账号列表和系统数据库管理员账号清单（本清单来自“人员安全管理”-“数据库管理账号授权”部分）不符扣0.2分，扣完0.5分为止；(2)抽查3个系统，在每个系统中抽查应用系统，发现1个应用系统管理员账号列表和应用系统管理员用户账号清单（本清单来自“人员安全管理”-“应用系统特权用户授权”部分）不符扣0.2分，扣完0.5分为止；(3)抽查3个系统，在每个系统中使用扫描工具对应用系统的数据库和中间件进行安全扫描，发现一个空口令、弱口令或者数据库默认口令扣0.2分，扣完0.5分为止；(4)抽查3个系统，在每个系统中检查是否存在写死在程序中的账号口令（账号用于数据库、FTP、Telnet等），发现一个写死账号扣0.5分，扣完0.5分为止；(5)抽查3个系统，在每个系统应用程序中新建测试用户后进行更改用户密码操作，并设置更改密码为弱密码，发现1个系统应用程序更改弱密码成功，扣0.3分，扣完0.5分为止；(6)抽查3个WEB应用系统，检查每个WEB应用系统登录页面是否具有防范暴力破解风险的措施，如设置图形验证码、短信认证等。发现1个系统应用程序登录页面未采用具有防范暴力破解风险的措施扣0.2分，扣完0.5分为止。Web应用常见漏洞加固（4分）定期使用WEB应用漏洞扫描工具进行评估检查发现安全风险，及时修补WEB应用常见的SQL注入攻击、跨站攻击等安全漏洞，对系统进行安全加固。4人工检查、工具检查(1)抽查B/S结构的MBOSS系统，使用扫描器检查是否存在SQL注入攻击漏洞，每发现一个SQL注入漏洞，并通过该漏洞成功获取系统的数据库名，扣2分，扣完4分为止；主机安全（6分）主机账号口令（2.5分）定期对主机用户账号列表清单进行备案，及时清理其中的混用账号、默认账号、测试账号和离岗账号；定期修改所有账号的口令，保证主机不存在空口令和弱口令。加分项：建立主机账号统一认证系统。2.5文档检查、人工抽查、工具扫描(1)抽查3个系统，在每个系统中抽查10台主机，发现1台主机上的管理员账号列表和系统的操作系统管理员账号清单（本清单来自“人员安全管理”-“操作系统管理账号授权”部分）不符扣0.1分，扣完0.5分为止；(2)使用扫描工具对MBOSS所属的主机进行远程口令探测扫描，检查是否存在具有空口令和弱口令的账号，发现一个存在空口令或弱口令的账号扣0.5分，扣完2分为止。主机端口服务（2.5分）定期对主机所开放的端口服务列表清单进行备案，及时清理其中的未备案的服务；定期检查所开放服务（如FTP、Sendmail 、SNMP等）。2.5文档检查、人工抽查、工具扫描(1)抽查3个系统，检查系统的主机开放端口服务列表备案清单，并注意是否具有业务主管部门（如企业信息化部）或业务支撑中心（如IT中心）主管人员的审批记录。缺少1个系统的主机开放端口服务列表备案清单，扣0.1分，扣完0.5分为止；(2)抽查3个系统，在每个系统中抽查10台主机，发现1台主机上的开放端口服务列表和备案清单不符扣0.1分，扣完0.5分为止；(3)使用扫描工具对MBOSS所属的主机进行SNMP服务探测扫描，检查是否使用了缺省SNMP连接串，发现一个public或者private等默认连接串，扣0.1分，扣完0.5分为止；(4)使用扫描工具对MBOSS所属的主机进行FTP服务探测扫描，检查是否存在就有空口令或者弱口令的账号，发现一个存在空口令或弱口令的FTP账号扣0.1分，扣完0.5分为止；(5)使用扫描工具对MBOSS所属的主机进行Sendmail服务探测扫描，检查是否存在不必要的Sendmail服务，发现一台存在Sendmail服务扣0.1分，扣完0.5分为止。Windows主机防病毒管理（1分）在所有的Windows主机上安装防病毒软件，更新周期小于1周，以及保持病毒库状态为最新状态。加分项：使用集中控制的防病毒软件，在防病毒服务器设置了客户端统一升级的管理策略。1人工抽查抽查3个系统，在每个系统中抽查10台Windows主机，发现1台主机上的防病毒不符合要求扣0.1分，扣完1分为止。网络安全（7分）网络区域防护（1分）MBOSS系统提出相应的系统纵向和横向的互访需求，保证系统之间应有明晰的网络边界，合理划分业务系统间和系统内部的区域，相互之间互访采取隔离和访问控制策略，避免安全事件在各系统间扩散，造成网络瘫痪，影响正常业务。网络边界访问控制策略符合网络区域防护策略中的相关策略。加分项：在防火墙控制准则的设置上采用了“禁止所有除非被明确允许”的策略原则1人工抽查、人员访谈(1)抽查3个系统，检查系统的网络区域防护策略，并注意是否具有业务主管部门（如企业信息化部）或业务支撑中心（如IT中心）主管人员的审批记录。缺少1个系统的网络区域防护策略，扣0.2分，扣完0.5分为止；(2)抽查3个系统，查看网络拓扑和边界网络设备配置，检查边界划分情况，同时每个系统抽查2台防火墙等边界访问控制设备，查看边界访问控制策略是否符合网络区域防护策略中的相关策略。确认1个系统实际的网络拓扑和防火墙等访问控制策略与网络区域防护策略不相符，扣0.2分，扣完0.5分为止。网络设备账号口令（2分）定期对网络设备用户账号列表清单进行备案，及时清理其中的混用账号、默认账号、测试账号和离岗账号；定期修改所有账号的口令，保证网络设备不存在空口令和弱口令。加分项：建立网络账号统一认证系统。2文档检查、人工抽查、工具扫描(1)抽查3个系统，检查系统的网络设备用户账号列表备案清单，并注意是否具有业务主管部门（如企业信息化部）或业务支撑中心（如IT中心）主管人员的审批记录。缺少1个系统的网络设备用户账号列表备案清单，扣0.2分，扣完0.5分为止；(2)抽查3个系统，在每个系统中抽查10台网络设备，发现1台设备上的用户账号列表和备案清单不符扣0.1分，扣完0.5分为止；(3)使用扫描工具对MBOSS所属的网络设备进行远程口令探测扫描，检查是否存在具有空口令和弱口令的账号，发现一个存在空口令或弱口令的账号扣0.5分，扣完1分为止。网络设备端口服务（2.5分）定期对网络设备所开放的端口服务列表清单进行备案，及时清理其中的不必要或不安全服务（如SNMP、FTP、HTTP等）；定期检查所开放服务中不存在空口令和弱口令。检查是否禁止开放路由器、交换机上不需要的其他服务，至少应关闭TCP小型服务（echo、chargen、discard、daytime）、UDP小型服务（echo、chargen、discard）、查找器服务（Finger server）等。2.5文档检查、人工抽查、工具扫描(1)抽查3个系统，检查系统的网络设备开放端口服务列表备案清单，并注意是否具有业务主管部门（如企业信息化部）或业务支撑中心（如IT中心）主管人员的审批记录。缺少1个系统的网络设备开放端口服务列表备案清单，扣0.2分，扣完0.5分为止；(2)抽查3个系统，在每个系统中抽查10台网络设备，发现1台设备上的开放端口服务列表和备案清单不符扣0.1分，扣完0.5分为止；(3)使用扫描工具对MBOSS所属的网络设备进行SNMP服务探测扫描，检查是否使用了缺省SNMP连接串，发现一个public或者private等默认连接串，扣0.2分，扣完0.5分为止；(4)使用扫描工具对MBOSS所属的网络设备进行FTP、HTTP服务探测扫描，检查是否存在就有空口令或者弱口令的账号，发现一个存在空口令或弱口令的账号扣0.2分，扣完0.5分为止；(5)抽查3个系统，在每个系统中抽查10台网络设备，发现1台设备上存在Finger、Echo、Discard、Daytime、Chargen等服务之一扣0.1分，扣完0.5分为止。网络设备安全防护（1.5分）所有交换机、路由器等网络设备应启用对用户口令的加密功能，对本地保存的用户口令进行加密存放；应建立VTY线路访问控制列表；应设置控制口和远程登录口的空闲超时，控制口或远程登录口在空闲一定时间后自动断开。1.5人工抽查(1)抽查3个系统，在每个系统中抽查10台网络设备，发现1台设备上用户口令未启用加密存放扣0.2分，扣完0.5分为止；(2)抽查3个系统，在每个系统中抽查10台网络设备，发现1台设备上未启用控制VTY线路访问扣0.1分，扣完0.5分为止；(3)抽查3个系统，在每个系统中抽查10台网络设备，发现1台设备上未设置控制口和远程登录口的空闲超时扣0.1分，扣完0.5分为止。审计安全管理（6分）机房访问权限审计（1分）系统维护部门主管人员每半年对机房访问权限清单进行审阅，若发现存在不合适的用户，及时通知机房管理人员取消其相应的授权。1文档检查抽查3个系统所在的主要机房（机房检查数目不超过3个，含3个），检查系统维护部门主管人员对机房访问权限清单的每半年一次的审阅书面记录。缺少1个机房访问权限清单的每半年一次的定期审阅书面记录样本，扣0.4分，扣完1分为止。主机访问权限审计（1分）为了减少未经授权或不适当的对系统进行访问而带来的风险，系统主管人员或业务部门应对MBOSS系统的用户账号和用户访问权限进行每季度审阅，以发现任何不合适的系统访问权限，并及时跟进解决。1文档检查抽查3个系统，检查MBOSS系统用户账号和访问权限的每季度一次的审阅记录。缺少1个系统的系统用户账号和访问权限的每季度一次的定期审阅记录样本，扣0.4分，扣完1分为止。应用访问权限审计（1分）为了减少未经授权或不适当的对系统或数据进行访问而带来的风险，系统主管人员或业务部门应对MBOSS系统的用户账号和用户访问权限进行每季度审阅，以发现任何不合适的系统访问权限，并及时跟进解决。1文档检查抽查3个系统，检查MBOSS系统应用系统用户账号和访问权限的每季度一次的审阅记录。缺少1个系统的应用系统用户账号和访问权限的每季度一次的定期审阅记录样本，扣0.4分，扣完1分为止。数据库访问权限审计（1分）为了减少未经授权或不适当的对系统或数据进行访问而带来的风险，系统主管人员或业务部门应对MBOSS系统的数据库用户账号和用户访问权限进行每季度审阅，以发现任何不合适的系统访问权限，并及时跟进解决。1文档检查抽查3个系统，检查MBOSS系统数据库用户账号和访问权限的每季度一次的审阅记录。缺少1个系统的数据库用户账号和访问权限的每季度一次的定期审阅记录样本，扣0.4分，扣完1分为止。应用操作审计（2分）对重要应用系统的关键操作（例如客户资料的增加/删除/修改操作、批量查询下载客户资料、修改客户卡余额等）必须有相应的日志记录，操作日志保存时间不小于3个月。2人工检查(1)抽查3个系统，通过模拟应用系统用户进行关键功能操作，检查是否有相应的操作行为和日志记录，尤其是检查应用系统批量导出用户数据是否有操作行为的记录，发现1个应用系统日志记录缺失，扣0.5分，扣完1分为止。(2)抽查3个系统，检查应用系统日志记录保存日期是否超过3个月，发现1个应用系统日志记录保存时间小于3个月，扣0.5分，扣完1分为止。附：补充说明1、各单项考评项目扣分，标准分扣完为止，不再另行扣分；2、系统抽查原则是考评省公司日期前3个工作日，采取抽签方式从CTG-MBOSS核心系统中抽取三个系统作为抽查对象。3、本文所指的CTG-MBOSS核心系统包括了CRM、计费结算、网厅、企业运营数据、OA办公等5个系统。中国电信CTG-MBOSS安全基线扩展加分项(40分制)分类项目标准及要求标准分考评方式计（加）分办法实得分小计分备注加分项人员配备设立独立的信