等保三级-网络安全检查技术检查评分表

等保三级——网络安全检查技术检查评分表

部1得分

序检查分

检查指标检查方法评分准则现场记录

号项目值

应明确一名负曲人，负贡本部i.直看部门分工等文件,检查网络安全负1,未明确网络安全负曲人，本项。分，应记录网络安全负说人情况，网络

门网络安全管理工作，根据国责人落实俯况。2.明确网络安全负责人,但没有网络安全相关工作批安全相关工作批示、会议记录等文

家法律法规有关要求，结合实2.行春网籍安全相关工作批示、会议记录示、会议记录等文件记录负资人履职情况，木项3分。件记录仅费人权职情况，

14

际组织制定M络安全管理制等文件,检查负责人履耿情况.工明确M络安全员贵人，有网络安全相关工作批示、会

网络度，完善技术防护措雁，仍调处议记录等文件记录负责人现职情况，木项1分.

安全理术大网络安全事件.

责任应指定一个机构J!体承担网1.查看本部门各内设机构职曲分工等文1.未指定网络安全管理机构.本项。分.应记录掐定河结安全管理机构情

树落端安全管理工作,负责组织落件.检查廿定网爆安全管理机构情况.2.指定网络安全管理机构,本项3分.况.本都门各内设机构职近分工骅

2实情4实网络安全管理制度和网络安2.杏彩工作计划、工作方案、规章制3.指定网络安全当理机构.并且有本部门各内设机构职文件与工作计划、工作方案、规章

况全技术防护措饱.度、监竹检查记录，教育培训记录等文责分工等文件与工作计划、工作方案、规章制度、教育制度、监音检查记录.教育培调记

档.检杳管理机构收职情况.培调记求等文档,本项4分.朵等文档详细情况.

应定期对各类人员进行安全.意1.检簧对各类人由进行安全意识教可、1,无相关培训记录，本项0分。应具体记录文件、制度名妆；培训

34识教行、岗位技能培训和相关岗位技健身训和相关安全技术培训的记2,仅有相关制度或仅有培训记录,本项2分.记录相关内容.

安全技术培训.录文件。3.有相关制度、培训记录等,木项，1分.

陶与变点岗位的计匏机使用和1.饯石阳也网络安全所任制度文件1.无词位网络女企贡任制度文件,本项。分.院具体记录两位网络安全责任制度

管理人m的贡任.2.检查系黛管理分、网络管理员、陷络安2.有向位网络安全责任制度文件,系统管理员,网格管文件情水.

44

全员、•般工作人员等不同岗位的网络安理员、网络安全员、-量工作人员等不同身位的网挤安

全责任明确情况.全资任明确.本项4分.

应与近点岗位的计算机使用和1.检簧正点岗位人员河络安全与保密桥1,未笠罟保密例位，本项0分。应记录比要岗位人员笠署保密办议

54管理人员签订网络安全与保密议签订情况.2.访谈法分由点岗位人员.2.有班亶岗位人员任命文件，与全部重要岗位人员能密情况以公正卷内容，与全部班些岗

协议。抽代对网络安全贯仕的了拆程度。保由处以，本项4分，位人员备杵保密疥以的具体情况。

序检查分得

检查指标检查方法评分准则现场记录

号项目值分

应建立外部人员访问机房等重1.花价外部人员访问机房等Hi较区域1.未外部人员访问机房等旗要区域的审批制度文件,本应记录存外部人员访问机房等重要

网络钱区域审批制度，外部人员须的审批制度文件，检我有访问审批、人员项。分.区域的审批制度文件具体情况,记

安全经审批后方可进入，并安排本陪同等要求.2.有外套人员访问机房等次要区域的审批制度文件，无录有人员陪同等钱求,审批记录.

6日常4例门工作人员现场陪同，对访2.衽籽访问审批记录、访问活动记录.人m陪同等要求，木项3分.访问活动记录的具体伪况,检衣记

管理何活动进行记录并附存，检汽记录海限、完整的情况，工有外部人员访问机房等市耍区域的审批制度文件,有录清晰、完整情况.

情况人员陪同等要求，审批记录、访问活动记录，检式记录

（人消嘛、完整，木项4分。

员管组织进行过专业技术检测.测1.查看进行专业技术检测、测试、评估等1.未进行专业技术检测.测试、评估等工作,本项0分.记录风应评估.海透测试等评估报

7理）4试、评估等工作.工作记录.2.进行过风险评法、涉透测试等工作且出具报告.本项告名称、险测时间.

2.查卷风险评估.清选测试等评估报告.4分.

应有与当前运行情况相符的收1.35/网经拓扑图。1,无拓扑图,木痂0分。应记录扣簧主要网络设分的情况

络拓扑结构图，2.抽杳网络拓扑图中主要网络设符、安全2.抽花主要网络殳符、安全设符及服务器，若与拓扑情（包含但不限于设招品赭、型号等

84

设符及服务器，检资与网络拓扑图的一致况不同，本项3分内容），对现场情况与拓扑图的添

性。3.拓扑图与现状一致，本项4分.异进行具体描述.

应根期工作职能、郃门重要性1.登录服务器,用ping命令查看内部划1.内部未划分子网或网段,本项。分.应记录以分情况及访问控制策略.

网络

和所涉及信息的重要程发等因分子网或网段.2.选取不同网段进行互访,若违反访问控制原则.本项

边界

94<K.划分不同的广网或网段并2.选取不同网段进行互访•检食符合访问3分.

安全

设置访问规则.授制原则情况.3.内部划分子网且锐测试现状与访问控制策略相同,本

防护

项4分.

情况

遐免将很桎服务或设瞽所在网1.登录服务罂,用pins命令查看近要服1.血锭厦务域设务所在网段直接连接外制系统，本项0应记录边界信息及部署的设务品

段部哲在网络边界处旦口接连务或设备所在网段真接连接外部系统,分.牌、型号等.

104接外部信息系统。（工业控制系2.检15部署防火墙、IDS、网闲等网络防护2.未部罟安全设务,但有其他安全防护措施，本项3分。

统部署工业网闸、工业防火堵设符或者其他安全防护措施情况。3,都罟防火塔、：DS、网闸等网络防护设招.本项4分。

等"用安全设缶。）

序检查分得

检查指标检查方法评分准则现场记录

号项目值分

网络安全设％限留合理。1.抽杳防火培、IDS、防病毋四关等网络交1.抽资防火堵、IDS.防病毒M关等网络安全设法，使用应具体记录设得品牌、型号，简要

公设符，校者使用默认僮置或未配置的情默认配置或未配找，本项0分。记录部分策略功能.

II4况.2.安全设笛未完全按照需求期M或有多余策略，本项2

2.松在安全设在存在未完全按照甯求配分.

置或有多余策略，3.策略设区合理有效，无多余策珞，本项4分.

身份鉴别梁施合理有效.1.查西口令8位以上且包含字母、数字、1.□令8位以E且包含字母、数字'特殊字符至少两种.成具体记录某台设备n体设置情

特殊字符其中两种或两种以上鉴别方式.2.限制管理员登录范附.况.

123

2.查看跟制管理员登录范圉.3.采用两种或两寸以上鉴别方式.

以上全部满足则本项3分.

网络设招应记录及要事件.1.一看有无日志记录.1,无H志记录，本项。分.应具体记录设招类型以及其记录的

2.H志记录网络田要事件、管理员操作、2.日志记录内容初单或可读性较先,木项2分.日志记录情况。

134

设备运行状态的情况。3.记录M络重要H件、管理员操作、设的运行状态,本

项4分.

无线无线视络安全防护.1.登录无境网络设备管理端,检含安全防1.无线网络采取身份鉴别指命.应只体记录无线设备情况，畸要记

网络护策略配冗情况,包括设置对接入设备采2.无线网络采取地址过漉措施.泉部分排施.

14安全3取身份鉴别认证措他和坨址过油措燧.3.无线路由耦未改用状认设置-

防护2.右右无级网络采取身份鉴别措施.地址以上满足则本项3分.

情况过滤排施,无线路由器未使用默认设置.

电子应加强电子邮件系统安全防1.检15电子邮件系铳建设方式.1.无电子邮件系琉安全防护,木项0分.应记录弓子邮件系统女全防护情

15邮件2护,采取反垃圾如件等技术指2.检森电及附系铳安全防护情况,采取2.有电子部件系统安全防护，采取反垃圾郎件等技术指况，并指述采取的具体技术措施。

系统施,反垃城邮件等技术措施情况.施,本项2分.

安全的规范电子耻箱的注册管理.1.4右服务母上曲:希账户列表•向本郃门1.有事本部门人员使用,本项。分.具体记或电子花箱的注册管理情

16防护2原则上只限于本部门工作人分人M名单进行核对.2.仅限于本部n人员使用本项2分.况,记录使用范围.

情况注册仅用.2.检查前#本邵”人员使用.

序检查分得

检查指标检查方法评分准则现场记录

号项目值分

应具得眼务器、终端接入陷络1.检查采取MAC绑定、实名接入或部署上1无指雁.本项。分。（首先具体记录所查服务舞、终瑚

安全控制措施.网行为管理、网络准入等设在，2,未部罟自动化设企但可通过其他方式限制隼法接入为哪一伶，可记录IP、用途等信息）

174网络及互联网,本项2分.应具体记录所采取哪项措施，筒单

3.采取MAC绑定•实名接入或部署上网行为管•理、网络记录部分设置.

准入等设i&，本项4分。

桎合理、疗效管理服务器、终1.查岩服务器、终期采用集中管理系统进1.无管理措施,本项0分.应总体记录集中管理所采用的系统

端.行幔件、防病毒、补丁、移动存储介质等2.有部分措施,本项3分.或设备名梆、型号.分散管理的.而

安全措施管理或采JII合理有效的分侬管3.采用佻中管理系统进行梭件、防病理、补丁、移动存要记录部分管理措施.

18服务4理措笳.工业控制系跳部署白名单软件情福介历等安全指皓管理城采用合理有效的分散管理措

器、况.施,工业控制系域部署白名单软件,本项4分.

终端2.查着眼务潺、终端险查安装育与工作无

安全关的软件.

防护应严格服务器安全管理策略•1.检唐极势涔配置服务宗安全管理策略1,开启口令复杂度策略。应具体记录策略符合情况,若部署

情况情况.2.开启日志记录.数据库，记录数据库相关内容.

193

3.未使用超级管理员进行管理，

何个项目1分，以上全部满足则本项3分。

服务器采用两种或两种以上组1.登录服务器查看权限.1.未采用两种或树种以上组合的方式进行身份鉴别,本应具体记泉使用何种鉴别方式.若

台的方式进行身份鉴别.2.检台服务器采用两种或两种以上组合项。分郃署数据库,记录数据庠相关内容.

的方式进行身份箔别.2.仅使用8位以上口令且包含字母、数字、特殊字符至

203

少两种,本项2分

3.采用两种或两种以上组合的方式进行身份饕别.本项

3分.

序检查分得

检查指标检查方法评分准则现场记录

号项目值分

身份监别防护措施合理.1.访谈网络管理员.1.口令8位以上才包含字母、数字、特殊字符至少两种，（应具体记录应用系统数据库品

2.检先身份签别口令情况，以及管理员2,限制管理员登录范困。牌、版本）

213

的登录范目.3.采用两种或两斗以上'要别方式.应具体记录策略符合俯况.

以上全部涌足则立顶3分.

访问控制措施合理.1.松注有元超皴用户.1.未按用户功能分配访问权限.本项0分.应简要记录权限划分情况，不同权

应用2.枪查访向控制措施按照不同需求用户2.有部分用户角色设置.但不鲂详细或部分管理用户未限管理与情况.

22原务4分配不同。何权限.分权.本项3分.

安全3.无超级用户,或照不同需求用户分配不同访何权限.

防护本项1分.

情况应严格记录用户操作.1.检资记录所有用户操作,旗点记录各级1.记录所有用户掾作，市点记录各级操作员正要操作.应具体记录策略符合情况，

操作公血也掾作的情况,记录的内容至少2.记录的内容至少应包括时问的11期、时间、发起者信

应包括时何的H朝、时间、发起者信息、息、类木、描述和结果等。

233

类型、描述和结果等，3.无法单独中断审计进程,无法删除、修改和W包审计

2.检侥无法单独中断审计迸程，无法副记录.

除、传软和国茨审计记录的情况。以上全部淌足则本项3分.

的制定网络安全事件应急项1.在方应急预案文本等文件.1.未制定网络安全事件应急预案,本项0分.应具体记录应念预案制定时间'更

案,JS则上每年评估一次.并根2.依查应急预案制定和年度评估悔订忸2.制定网络安全不件应急预案.但没有年度评估修订情新时间,演练记录.

24网络2抠实际情况适时修订.根抠网况况,本项1分.

安全济变化情况更新并进行演练.3.应制定网络安全事件应急预案.有年度评估修订情

应急况,本项2分.

工作期年应开展网络安全应急演1.钱看演练计划、方案、记录、总结等1,未每年开展网络安全应急海猿，本项0分.具体记京本年度开展应急演练，以

情况练，检验应急预案的可操作性.文档，检交本年度开展应急演练情况.2,每年开展网络安全应急演练,但记录文件不全面,本及演练计划、方案、记录、总结等文

252

并将演潦情况报网络安全主管2.荏行应急技术支援队伍合同及安全项1分.档情况。具体记录应急技术支援队

他门。协伏、室与应念技人演雄及曲总晌应等1.3,姆年开展网络女全匝电演缭，并旦记求文档全皿详依合同及安全协以、会与应a技术

序检查分得

检查指标检查方法评分准则现场记录

号项目值分

作的记录N件，确认应急技术支援队伍能细，本JS2分.演练及应急咆应等工作的记录文件