《网络安全检查工作指南(试行)》

《网络安全检查工作指南(试行)》网络安全检查工作以贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》等法律法规为核心，以防范网络安全风险、提升关键信息基础设施和重要信息系统防护能力为目标，重点对网络运行、数据处理、安全管理等全流程开展合规性与有效性检查，确保被检查对象持续满足国家网络安全等级保护、关键信息基础设施安全保护等制度要求。检查范围覆盖本行政区域内关键信息基础设施运营者、网络安全等级保护第三级及以上信息系统运营者、数据处理者（含重要数据和个人信息处理者），以及为上述主体提供云计算、大数据、物联网等服务的网络运营者。检查对象包括网络系统（含物理环境、通信网络、计算环境）、数据资源（含重要数据、个人信息）、安全技术措施（含防护设备、监测系统、应急工具）、安全管理体系（含制度文件、人员管理、应急演练）等。检查工作由属地网络安全和信息化委员会办公室统筹，联合公安、通信管理、行业主管部门组成专项检查组实施。检查组成员应具备网络安全等级保护测评、关键信息基础设施保护、数据安全评估等专业资质，熟悉相关法律法规和技术标准，检查前须签订保密协议，明确纪律要求。检查内容分为技术核查与管理核查两类，具体如下：技术核查重点包括：1.物理环境安全：检查机房是否符合国家标准（GB/T21052）要求，包括防火、防盗、防雷击、防电磁干扰等防护措施；电力供应是否采用双路供电或备用发电机，UPS续航时间是否满足系统中断恢复需求（一般不低于1小时）；监控系统是否覆盖机房全区域，录像存储时间是否不少于90天；设备标识是否清晰，机柜访问是否实行双人双锁管理。2.网络边界防护：核查防火墙、入侵检测/防御系统（IDS/IPS）、Web应用防火墙（WAF）等边界设备的策略配置，重点检查是否存在默认规则、冗余规则或过度开放的端口（如非必要开放的22、3389端口）；查看日志记录完整性，包括访问源地址、时间、操作类型、响应结果等，日志留存时间是否符合《网络安全法》要求（不少于6个月）；检测是否存在未备案的私接网络设备（如无线路由器、代理服务器）。3.计算环境安全：检查服务器、终端设备的操作系统及数据库是否开启自动更新，补丁安装是否及时（高危补丁应在发布后72小时内完成安装）；账户管理是否符合最小权限原则，特权账户是否启用多因素认证（如短信验证码+动态令牌），是否存在长期未使用的僵尸账户；防病毒软件是否安装并开启实时监控，病毒库更新是否保持最新（至少每日更新）；是否部署主机入侵防御系统（HIPS），是否存在异常进程或可疑文件（如挖矿程序、远控木马）。4.数据安全保护：核查数据分类分级制度落实情况，重要数据和个人信息是否标注敏感等级（如“核心”“重要”“一般”）；数据传输是否采用加密措施（如HTTPS/TLS1.2及以上、IPSecVPN），存储是否使用加密算法（如AES-256、SM4），密钥管理是否独立于数据存储（如通过硬件安全模块HSM集中管理）；数据脱敏是否在输出前完成（如对身份证号、手机号进行部分掩码或哈希处理），数据删除是否采用安全擦除（如覆写3次以上或物理销毁存储介质）；数据跨境流动是否按规定完成安全评估或备案（依据《数据出境安全评估办法》）。5.应用系统安全：检测Web应用是否存在SQL注入、XSS跨站脚本、文件上传漏洞等常见安全隐患（可通过自动化扫描工具如AWVS、BurpSuite辅助检测）；接口调用是否验证身份（如使用OAuth2.0、API密钥），是否限制调用频率（如每分钟不超过100次）；用户注册、登录、支付等关键功能是否记录完整操作日志（包括用户ID、时间戳、操作内容、IP地址），日志是否加密存储且不可篡改；第三方插件或开源组件是否存在已知漏洞（参考CVE漏洞库，如Struts2、Log4j等高危漏洞）。管理核查重点包括：1.制度体系建设：检查是否制定网络安全责任制文件，明确主要负责人、分管负责人、安全管理机构（如网络安全办公室）的职责；是否建立网络安全事件应急预案（应包含监测预警、事件报告、响应处置、损害评估、恢复重建等环节）、数据安全管理制度（涵盖数据采集、存储、使用、共享、删除全流程）、安全培训制度（每年至少组织2次全员培训，关键岗位人员每半年1次）。2.人员安全管理：核查安全管理人员是否具备相应资质（如CISP、CISSP认证），是否签订保密协议；外部人员（如运维服务商、第三方合作方）访问系统是否经过审批，是否限制访问范围并全程监控；是否建立安全违规行为处罚机制（如账号盗用、日志篡改等行为的处理流程）。3.监测与应急处置：检查是否部署网络安全监测平台，能否实时监测攻击事件（如DDoS攻击、暴力破解）、异常流量（如突发大流量外传）、漏洞利用行为；是否与属地网络安全监测预警平台对接，按要求报送网络安全事件（一般事件24小时内报送，重大事件1小时内报送）；是否开展应急演练（每年至少1次实战演练，覆盖数据泄露、系统宕机等场景），演练记录是否完整（包括方案、过程记录、总结报告）。4.合规备案情况：核查网络安全等级保护备案是否完成（三级及以上系统应在投入使用后30日内备案），备案信息是否与实际系统一致（如设备数量、拓扑结构）；关键信息基础设施认定是否按程序上报行业主管部门，保护方案是否通过评审；数据处理活动是否按规定向行业主管部门或网信部门备案（如处理100万人以上个人信息的数据处理者应备案）。检查工作分为准备、实施、总结三个阶段。准备阶段，检查组提前10个工作日向被检查对象发送检查通知，明确检查时间、范围和需提供的材料（包括网络拓扑图、安全设备配置表、制度文件、日志记录等）；被检查对象应在3个工作日内提交自查报告，内容涵盖自查范围、发现问题及整改情况。实施阶段，通过现场访谈（与安全管理负责人、技术运维人员座谈，了解安全措施落实情况）、资料核查（核对制度文件与实际操作的一致性，如查看培训签到表与培训内容是否匹配）、技术检测（使用扫描工具、渗透测试等手段验证防护措施有效性）等方式开展；对检查中发现的疑似问题，需通过至少两种方法交叉验证（如日志分析+设备配置核查）。总结阶段，检查组在检查结束后5个工作日内形成检查报告，列出问题清单（区分一般问题、较大问题、重大问题），并附具体证据（如漏洞扫描截图、日志摘录）；向被检查对象反馈报告，听取意见后形成最终结论。检查结果处理遵循“边查边改、限期整改、跟踪复查”原则。对一般问题（如日志留存时间不足6个月），要求15个工作日内完成整改；较大问题（如未部署入侵检测系统），要求30个工作日内完成整改；重大问题（如重要数据未加密传输导致泄露风险），要求立即启动应急响应，7个工作日内制定整改方案并报送整改计划，60个工作日内完成整改。整改完成后，被检查对象应提