（正式版）DB65∕T 4439-2021 《网络安全检查技术规范》

ICS35.040网络安全检查技术规范I 12规范性引用文件 3术语和定义 4缩略语 5检查工作流程 5.1检查准备 15.2检查实施 25.3检查分析 26通用网络安全检查 26.1网络安全等级保护落实情况检查 26.2关键信息基础设施保护落实情况检查 36.3云计算服务安全情况检查 36.4数据安全保护情况检查 46.5安全组织架构情况检查 46.6安全经费保障情况检查 56.7人员安全管理情况检查 56.8外包服务安全情况检查 66.9信息资产管理情况检查 66.10安全建设检查 76.11安全运维检查 76.12网络边界安全防护情况检查 6.13无线网络安全防护情况检查 86.14终端计算机安全防护情况检查 96.15移动存储介质检查 96.16备份与恢复检查 96.17监测预警检查 6.18应急响应与处置检查 6.19漏洞修复情况检查 16.20技术检查 17专项网络安全检查 7.1云计算服务平台专项检查 127.2工控系统专项检查 128检查总结整改 8.1汇总检查结果 8.2分析问题隐患 8.3研究整改措施 8.4编写总结报告 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定本文件由新疆维吾尔自治区互联网信息办公室提出、归口并组织实施。本文件起草单位：新疆维吾尔自治区互联网信息办公室、新疆大学、新疆维吾尔自治区产品质量监督检验研究院、中国互联网络信息中心。本文件主要起草人：袁建廷、杨天宗、艾祖鹏、石常海、张新跃、胡小明、刘宜朋、杜文茂、贾程凯、高峰、王静、贾蕊、杨楠、张文斌、姚强、张亚明。本文件实施应用中的疑问，请咨询新疆维吾尔自治区互联网信息办公室、新疆大学。对本文件的修改意见建议，请反馈至新疆维吾尔自治区互联网信息办公室(乌鲁木齐市西环北路2221号)、新疆大学(新疆乌鲁木齐市西北路499号)、新疆维吾尔自治区市场监督管理局(乌鲁木齐市新华南路167号)。新疆维吾尔自治区互联网信息办公室联系电话传真邮编：830014新疆大学联系电话传真邮编：830091新疆维吾尔自治区市场监督管理局联系电话传真邮编：8300041本文件规定了网络安全检查工作的流程、内容和方法。本文件适用于自治区开展的网络安全检查，也适用于关键信息基础设施运营者开展网络安全自查。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本信息安全技术网络安全等级保护基本要求信息安全技术网络安全等级保护定级指南信息安全技术云计算服务安全指南信息安全技术云计算服务安全能力要求信息安全技术个人信息安全规范信息安全技术工业控制系统安全检查指南DB65/T4438-2021关键信息基础设施识别指南3术语和定义DB65/T4438-2021界定的术语和定义适用于本文件。4缩略语下列缩略语适用于本文件。VLAN:虚拟局域网(VirtualLocalAreaNetwork)WPA:Wi-Fi网络安全接入(Wi-FiProtectedAccess)IP:互联网协议(InternetProtocol)MAC:介质访问控制(MediaAccessControl)5检查工作流程5.1检查准备5.1.1检查工作内容由检查方依据法律法规、政策文件要求、网络安全检查技术规范和网络安全发展态势等进行确定。如果被检查方上一年度也接受了网络安全检查，则还须查验被检方对上一年度网络安全检查发现的安全隐患以及漏洞是否及时处置，是否制定整改方案，是否落实整改措施。5.1.2检查方须制定网络安全检查方案和网络安全检查工作表。网络安全检查方案应包含概述、检查2知书。a)查看网络与信息系统的等级保护定级报告和备案表等，确定是否明确了网络与信息系统的安全保护等级，确定是否说明定级的方法和理由，确定是否组织专家对定级进行评审，确定是b)检查网络与信息系统等级测评报告，检查等级测评报告是否按照GB/等级测评，通过访谈、查验等形式对等级测评报告内容进行核查验证，验证等级测评结果是c)访谈安全管理人员对网络与信息系统等级测评中发现的安全隐患，是否制定整改方案，是否3c)查看关键信息基础设施识别认定报告和备案表等，确定是否说明了认定关键信息基础设施的方法和理由，确定是否明确了支撑关键业务完整运行的网络设施、信息系统等，确定是否组d)查看关键信息基础设施安全风险评估报告。通过访谈、查验等形式对风险评估报告内容进行e)访谈安全管理人员对关键信息基础设施安全风险评估中发现的安全风险隐患，是否制定整改31167开展网络安全检查。a)查看是否在采购使用云计算服务过程中遵守，并通过合同等手段要求云平台管理运营者遵守安全管理责任不变、数据归属关系不变、安全管理标准不变、敏感信息不出境等云计算服务b)查看是否对数据的敏感程度、业务的重要性进行分类，是否全面分析、综合平衡采用云计算服务后的安全风险和效益，是否科学规划和确定采用云计算服务的数据、业务范围和进度安c)查看是否在采购云计算服务时，通过采购文件或合同等手段，明确要求采购的云计算服务平4d)查看是否对云计算服务平台的安全控制措施执行情况、风险问题的处置情况、重大变更情况、重大安全事件的响应情况等开展持续监督；查验是否履行合同规定的责任义务，监督云平台管理运营者加强安全防护管理。查看是否要求云平台管理运营者在发生网络安全案件或重大事件时，及时向自治区主管、监管部门报告，并配合相关部门开展调查工作；e)查看是否建立健全云计算服务保密审查制度，指定机构和人员负责对迁移到云计算平台上的数据、业务进行保密审查，确保数据和业务不涉及国家秘密。查验在使用云计算服务前，是否集中组织开展工作人员网络安全和保密教育培训，明示使用云计算服务面临的安全保密风6.4数据安全保护情况检查6.4.1检查要求包括：a)应建立健全数据全生命周期的数据安全管理制度；b)应根据数据分类分级的不同，制定符合其安全需要的保护策略；c)应采取措施保护数据的完整性、保密性、可用性，防止泄露、窃取、篡改、损毁、非法使用d)不应存在超出用户授权范围或违反要求收集、存储、使用等个人信息的情况；e)应严格控制重要数据的公开、分析、交换、共享和导出等关键环节；f)应开展数据安全风险评估工作；g)对数据安全风险评估中发现的安全问题应进行整改。c)测试。6.4.3检查内容包括：a)查看是否建立包含采集、传输、存储、处理、交换和销毁各环节的数据安全管理制度，并验证内容是否详实；b)查看对数据是否采取了分类标识、逐类定级和分级管理相结合的管理措施；c)查看是否执行了数据的安全保护策略，并验证内容是否详实；d)查看是否建立了数据的容灾备份机制，验证内容是否详实，有无重大缺失；e)查看对个人信息和重要数据的传输、存储是否采用了加密等保护措施；f)查验个人信息的收集、存储、使用、共享、转让、公开披露等是否符合GB/T35273的要求。例如查验是否存在超出用户授权范围或违反要求收集、存储、使用个人信息的情况；g)应严格控制重要数据的公开、分析、交换、共享和导出等关键环节。例如查看重要数据公开前是否经过脱敏处理；查看是否明确数据分析的程度和范围；查看是否限制共享数据的类型、范围以及共享后的使用目的等；h)查看数据安全风险评估报告。通过访谈、查验等形式对评估报告内容进行核查验证，验证评估结果是否客观属实，检查整改建议是否全面、准确、合理；i)访谈安全管理人员对数据安全风险评估中发现的安全隐患，是否制定整改方案，是否落实整改措施，消除安全隐患；j)在自治区境内运营中收集、产生和存储的个人信息和重要数据，因业务需要，确需向境外提供的，应当进行安全评估。6.5安全组织架构情况检查5a)运营者应按照要求建立了网络安全管理机构，建立指导和管理网络安全工作的委员会或领导b)应设立网络安全管理负责人和关键岗位的人员等岗位，明确网络安全管理负责人和关键岗位c)应建立并实施网络安全考核及监督问责机制，对网络安全管理负责人和关键岗位的人员进行b)查看有关证明材料，验证运营者是否建立并实施网络安全考核及监督问责机制，验证是否在相关制度中对人员职责明确责任分工情况，并通过考核和监督问责相关工作记录文档查验该a)应将网络安全设施运行维护、网络安全服务采购、日常网络安全管理、网络安全教育培训、网络安全自查、等级测评、关键信息基础设施检测评估、网络安全应急处置等费用纳入部门b)应严格落实网络安全经费预算，保证网络安全经费投入。b)查验相关财务文档和经费使用账目，检查上一年度网络安全经费实际投入情况、网络安全经e)应建立网络安全责任事故追查机制，对违反网络安全管理规定的人员给予严肃处理，对造成6a)查验教育培训计划、会议通知、检查网络安全形势教育等开展情况；查验培训通知、培训教材、结业证书等；访谈网络安全管理和技术人员培训内容，查看是否具有人员安全教育培训b)查验岗位网络安全责任制度文件，检查不同岗位的网络安全责任是否明确；检查重点岗位人c)查验人员离岗离职管理制度文件，检查是否有终止系统访问权限、收回软硬件设备、收回身份证件和门禁卡等要求；检查离岗离职人员安全保密承诺书签署情况；查验信息系统账户，e)查验安全事件记录及安全事件责任查处等文档，检查是否发生过因违反制度规定造成的网络d)外包开发的关键信息基础设施软件系统上线应用前应进行了等级测评、关键信息基础设施风c)查验外包人员现场服务记录，查验记录是否完整(包括服务时间、服务人员、陪同人员、工作内容等信息);d)访谈系统管理员和工作人员，查验安全测评报告，检查外包开发的软件系统上线前是否进行c)应建立信息资产台账(清单),统一编号、统一标识、统一发放，并及时记录信息资产状态d)应建立并严格执行设备维修维护和报废管理7b)查验设备管理员任命及岗位分工等文件，检查是否明确专人负责信息资产管理；访谈设备管c)查验信息资产台账，检查台账是否完整(包括设备编号、设备状态、责任人等信息；查验领c)应与关键信息基础设施系统相关产品和服务的提供者签订了安全保密协议，明确了安全和保d)对可能影响国家安全的产品或服务，应通过了国家安全a)访谈网络安全管理人员，查看三同步落实情况相关文档，是否落实同步规划、同步建设和同步使用，包括：在项目规划阶段，是否有安全部门介入，参与规划；建设阶段是否合规进行资金预算、是否同步设计安全措施，验收时是否针对安全部分进行验收测试；使用阶段是否b)查看产品或服务运行日志，查阅新系统上线前的关键信息基础设施检测评估报告，验证系统c)查看安全运维记录，包括但不限于补丁升级、漏洞扫描、防护策略调整、远程运维审批和日8d)访谈网络运维人员安全运维情况，查看是否有远程或境外运维的产品或服务并向有关部门报备的文档，内容是否详实，有无重大缺失。6.12网络边界安全防护情况检查a)网络与信息系统与互联网及其他公共信息网络应实行逻辑隔离；b)应建立互联网接入审批和登记制度，严格控制互联网接入口数量，加强互联网接入口安全管理和安全防护；c)应采取访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范等措施，进行网络d)应根据承载业务的重要性对网络进行分区分域管理，采取必要的技术措施对不同网络分区进行防护、对不同安全域之间实施访问控制；e)应对网络日志进行管理，定期分析，及时发现安全风险。b)测试。a)查验网络拓扑图，检查重要设备连接情况，现场核查内部办公系统等的交换机、路由器等网络设备，确认以上设备的光纤、网线等物理线路没有与互联网及其他公共信息网络直接连接，有相应的安全隔离措施；b)查验网络拓扑图，检查接入互联网情况，统计网络外联的出口个数，检查每个出口是否均有相应的安全防护措施；c)查验网络拓扑图，检查是否在网络边界部署了访问控制(如防火墙)、入侵检测、安全审计以及非法外联检测、病毒防护等必要的安全设备；d)分析网络拓扑图，检查网络隔离设备部署、交换机VLAN划分情况，检查网络是否按重要程度划分了安全区域，并确认不同区域间采用了正确的隔离措施；e)查验网络日志(重点是互联网访问日志)及其分析报告，检查日志分析周期、日志保存方式和保存时限等。6.13无线网络安全防护情况检查a)应采取身份鉴别、地址过滤等措施对无线网络的接入进行管理，采用白名单管理机制，防止非授权接入造成的内网渗透事件发生；b)应修改无线路由设备的默认管理地址和管理账户默认口令，应设置复杂口令；c)用户接入认证加密应采用WPA2及更高级别算法，防止破解接入口令。b)测试。6.13.3检查内容包括：a)登录无线网络设备管理端，检查安全防护策略配置情况，包括是否设置对接入设备采取身份鉴别认证措施和地址过滤措施；b)检查用户接入认证及管理端口登录口令，包括口令强度和更新频率，查看是否登录页面采用默认地址及默认口令；9a)宜采用集中统一管理方式对终端计算机进行管理，统一软件下发，统一安装系统补丁，统一a)查看集中管理服务器，抽查终端计算机，检查是否采用了集中统一管理方式对终端计算机进c)应配备必要的电子信息消除和销毁设备，对变更用途的存储介质要消除信息，对废弃的存储d)查看关键信息基础设施中的重要系统和数据库是否实现异地备份，业务数据安全性要求高的a)应建立了完备的安全监测与预警措施，实时对关键信息基础设施运行状态进行监测，应能够a)查看是否实时对关键信息基础设施运行状态进行监测，能否第一时间发现系统中断、性能下a)应制定了应急预案，并在过去一年中至少开展一次有单位网络安全主要责任人参加的实战演a)查看应急预案文本，并在过去一年中至少开展一次有单位网络安全主要责任人参加的实战演b)查看梳理历史重大安全事故、事件的应急响应处置记录；按事件分级分类制定应急预案并定a)检查方使用漏洞检测工具对网络与信息系统进行漏洞检测，验证网络与信息系统中是否存在安全漏洞，执行的漏洞检测的类型和内容应包括：端口服务扫描、主机漏洞扫描、应用漏洞b)检查方利用系统安全漏洞，通过模拟攻击，对目标系统尝试无害的攻击测试获取测试结果，检查验证网络与信息系统安全保护策略和安全防护措施的有效性，评价网络与信息系统的安a)使用漏洞扫描等工具检测操作系统、端口、应用、服务及补丁更新情况，检测是否关闭了不b)测试检查是否可以获取系统权限；测试安全域隔离策略是否已经失效并可以突破；测试重要e)检查系统是否被入侵并被控制(存在入侵痕迹和后门)等。7专项网络安全检查7.1云计算服务平台专项检查为党政机关和关键信息基础设施运营者提供服务的云计算服务平台，应按照GB/T31168的要求开展网络安全检查，同时应符合下列要求：a)云计算服务平台，应通过云计算服务安全评估；b)云平台管理运营者应将开展云计算服务安全评估的工作情况及整改结果及时向自治区网信部门报告，并提交《云计算服务安全评估报告》;c)针对云计算服务安全评估发现的风险问题，云平台管理运营者应按计划及时进行风险处置，不断提升云计算服务安全能力水平；d)通过云计算服务安全评估的云计算服务平台，云平台管理运营者应严格按照《云计算服务系统安全计划》,落实执行相关安全控制措施；e)云平台管理运营者应对云计算服务平台重大变更(如采用的虚拟化技术版本变更，云管理平台版本变更，系统或网络架构调整、云平台机房搬迁、更换运维方等)可能产生的风险进行分析，应采取有效措施规避或降低因重大变更引发的安全风险，并按相关要求向自治区网信f)云平台管理运营者在发生网络安全案件或重大事件时，应及时向自治区网信部门报告，并配合相关部门开展调查工作；g)云平台管理运营者应严格履行合同中所规定的安全责任和义务，确保用户数据和业务的机密性、完整性、可用性，以及互操作性、可移植性；未经用户授权，不得收集、访问、修改、披露、利用、转让、销毁用户数据；云平台管理运营者应根据用户需求，确定个人信息安全要求，并按照GB/T35273要求提供相应的个人信息保护机制；h)云平台管理运营者，在服务合同终止时，应按照合同中所规定要求做好数据、文档等资源的移交和清除工作。7.2工控系统专项检查对于工控系统网络安全检查，应按照GB/T37980的规定执行，同时应符合下列要求：a)企业应明确工控系统的安全保护等级，应完成工控系统的等级保护定级和备案工作；b)企业应开展工控系统的等级测评工作，等级测评报告应客观准确地反映被测评工控系统的安全保护状况，并提供整改建议。企业对等级测评中发现的安全问题应进行整改；c)企业应开展关键信息基础设施的识别认定工作和备案工作；d)认定为关键信息基础设施的工控系统应每年开展安全风险评估工作，并对风险评估中发现的安全问题应进行整改；e)企业应对工业数据进行保护，应建立工业数据的安全保护制度，应制定工