等保三级——网络安全检查技术检查评分表.doc

等保三级——网络安全检查技术检查评分表 部门 得分 序号 检查 项目 分值 检查指标 检查方法 评分准则 现场记录 得分 1 网络安全责任制落实情况 4 应明确一名负责人,负责本部门网络安全管理工作,根据国家法律法规有关要求，结合实际组织制定网络安全管理制度,完善技术防护措施,协调处理重大网络安全事件。 1.查看部门分工等文件，检查网络安全负责人落实情况。 2.查看网络安全相关工作批示、会议记录等文件，检查负责人履职情况。 1.未明确网络安全负责人，本项0分。 2.明确网络安全负责人，但没有网络安全相关工作批示、会议记录等文件记录负责人履职情况，本项3分。 3.明确网络安全负责人，有网络安全相关工作批示、会议记录等文件记录负责人履职情况，本项4分。 应记录网络安全负责人情况，网络安全相关工作批示、会议记录等文件记录负责人履职情况。 2 4 应指定一个机构,具体承担网络安全管理工作,负责组织落实网络安全管理制度和网络安全技术防护措施。 1.查看本部门各内设机构职责分工等文件，检查指定网络安全管理机构情况。 2.査看工作计划、工作方案、规章制度、监督检査记录、教育培训记录等文档，检查管理机构履职情况。 1.未指定网络安全管理机构，本项0分。 2.指定网络安全管理机构，本项3分。 3.指定网络安全管理机构，并且有本部门各内设机构职责分工等文件与工作计划、工作方案、规章制度、教育培训记录等文档，本项4分。 应记录指定网络安全管理机构情况，本部门各内设机构职责分工等文件与工作计划、工作方案、规章制度、监督检査记录、教育培训记录等文档详细情况。 3 4 应定期对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。 1.检查对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训的记录文件。 1.无相关培训记录，本项0分。 2.仅有相关制度或仅有培训记录，本项2分。 3.有相关制度、培训记录等，本项4分。 应具体记录文件、制度名称；培训记录相关内容。 4 网络安全日常管理情况（人员管理） 4 应与重点岗位的计算机使用和管理人员的责任。 1.查看岗位网络安全责任制度文件 2.检查系统管理员、网络管理员、网络安全员、一般工作人员等不同岗位的网络安全责任明确情况。 1.无岗位网络安全责任制度文件，本项0分。 2.有岗位网络安全责任制度文件，系统管理员、网络管理员、网络安全员、一般工作人员等不同岗位的网络安全责任明确，本项4分。 应具体记录岗位网络安全责任制度文件情况。 5 4 应与重点岗位的计算机使用和管理人员签订网络安全与保密协议。 1.检查重点岗位人员网络安全与保密协议签订情况。2.访谈部分重点岗位人员，抽查对网络安全责任的了解程度。 1.未签署保密协议，本项0分。 2.有重要岗位人员任命文件，与全部重要岗位人员签署保密协议，本项4分。 应记录重要岗位人员签署保密协议情况以及重要内容，与全部重要岗位人员签署保密协议的具体情况。 6 4 应建立外部人员访问机房等重要区域审批制度，外部人员须经审批后方可进入，并安排本部门工作人员现场陪同，对访问活动进行记录并留存。 查看外部人员访问机房等重要区域的审批制度文件，检查有访问审批、人员陪同等要求。 查看访问审批记录、访问活动记录，检查记录清晰、完整的情况。 1.未外部人员访问机房等重要区域的审批制度文件，本项0分。 2.有外部人员访问机房等重要区域的审批制度文件，无人员陪同等要求，本项3分。 3.有外部人员访问机房等重要区域的审批制度文件，有人员陪同等要求，审批记录、访问活动记录，检查记录清晰、完整，本项4分。 应记录有外部人员访问机房等重要区域的审批制度文件具体情况，记录有人员陪同等要求，审批记录、访问活动记录的具体情况，检查记录清晰、完整情况。 7 4 组织进行过专业技术检测、测试、评估等工作。 1.查看进行专业技术检测、测试、评估等工作记录。 2.查看风险评估、渗透测试等评估报告。 1.未进行专业技术检测、测试、评估等工作，本项0分。 2.进行过风险评估、渗透测试等工作且出具报告，本项4分。 记录风险评估、渗透测试等评估报告名称、检测时间。 8 网络边界安全防护情况 4 应有与当前运行情况相符的网络拓扑结构图。 1.查看网络拓扑图。 2.抽查网络拓扑图中主要网络设备、安全设备及服务器，检查与网络拓扑图的一致性。 1.无拓扑图，本项0分。 2.抽查主要网络设备、安全设备及服务器，若与拓扑情况不同，本项3分 3.拓扑图与现状一致，本项4分。 应记录抽查主要网络设备的情况（包含但不限于设备品牌、型号等内容），对现场情况与拓扑图的差异进行具体描述。 9 4 应根据工作职能、部门重要性和所涉及信息的重要程度等因素，划分不同的子网或网段并设置访问规则。 1.登录服务器，用ping命令查看内部划分子网或网段。 2.选取不同网段进行互访，检查符合访问控制原则情况。 1.内部未划分子网或网段，本项0分。 2.选取不同网段进行互访，若违反访问控制原则，本项3分。 3.内部划分子网且经测试现状与访问控制策略相同，本项4分。 应记录划分情况及访问控制策略。 10 4 避免将重要服务或设备所在网段部署在网络边界处且直接连接外部信息系统。（工业控制系统部署工业网闸、工业防火墙等专用安全设备。） 1.登录服务器，用ping命令查看重要服务或设备所在网段直接连接外部系统。 2.检查部署防火墙、IDS、网闸等网络防护设备或者其他安全防护措施情况。 1.重要服务或设备所在网段直接连接外部系统，本项0分。 2.未部署安全设备，但有其他安全防护措施，本项3分。 3.部署防火墙、IDS、网闸等网络防护设备，本项4分。 应记录边界信息及部署的设备品牌、型号等。 11 4 网络安全设备配置合理。 1.抽查防火墙、IDS、防病毒网关等网络安全设备，检查使用默认配置或未配置的情况。 2.检查安全设备存在未完全按照需求配置或有多余策略。 1.抽查防火墙、IDS、防病毒网关等网络安全设备，使用默认配置或未配置，本项0分。 2.安全设备未完全按照需求配置或有多余策略，本项2分。 3.策略设置合理有效，无多余策略，本项4分。 应具体记录设备品牌、型号，简要记录部分策略功能。 12 3 身份鉴别措施合理有效。 1.查看口令8位以上且包含字母、数字、特殊字符其中两种或两种以上鉴别方式。 2.查看限制管理员登录范围。 1.口令8位以上且包含字母、数字、特殊字符至少两种。 2.限制管理员登录范围。 3.采用两种或两种以上鉴别方式。 以上全部满足则本项3分。 应具体记录某台设备具体设置情况。 13 4 网络设备应记录重要事件。 1.查看有无日志记录。 2.日志记录网络重要事件、管理员操作、设备运行状态的情况。 1.无日志记录，本项0分。 2.日志记录内容简单或可读性较差，本项2分。 3.记录网络重要事件、管理员操作、设备运行状态，本项4分。 应具体记录设备类型以及其记录的日志记录情况。 14 无线网络安全防护情况 3 无线网络安全防护。 1.登录无线网络设备管理端，检查安全防护策略配置情况，包括设置对接入设备采取身份鉴别认证措施和地址过滤措施。 2.查看无线网络采取身份鉴别措施、地址过滤措施，无线路由器未使用默认设置。 1.无线网络采取身份鉴别措施。 2.无线网络采取地址过滤措施。 3.无线路由器未使用默认设置。 以上满足则本项3分。 应具体记录无线设备情况，简要记录部分措施。 15 电子邮件系统安全防护情况 2 应加强电子邮件系统安全防护，采取反垃圾邮件等技术措施。 1.检查电子邮件系统建设方式。 2.检查电子邮件系统安全防护情况，采取反垃圾邮件等技术措施情况。 1.无电子邮件系统安全防护，本项0分。 2.有电子邮件系统安全防护，采取反垃圾邮件等技术措施，本项2分。 应记录电子邮件系统安全防护情况，并描述采取的具体技术措施。 16 2 应规范电子邮箱的注册管理，原则上只限于本部门工作人员注册使用。 1.查看服务器上邮箱账户列表，同本部门人员名单进行核对。 2.检查有非本部门人员使用。 1.有非本部门人员使用，本项0分。 2.仅限于本部门人员使用本项2分。 具体记录电子邮箱的注册管理情况，记录使用范围。 17 服务器、终端安全防护情况 4 应具备服务器、终端接入网络安全控制措施。 1.检查采取MAC绑定、实名接入或部署上网行为管理、网络准入等设备。 1无措施，本项0分。 2.未部署自动化设备但可通过其他方式限制非法接入网络及互联网，本项2分。 3.采取MAC绑定、实名接入或部署上网行为管理、网络准入等设备，本项4分。 （首先具体记录所查服务器、终端为哪一台，可记录IP、用途等信息） 应具体记录所采取哪项措施，简单记录部分设置。 18 4 应合理、有效管理服务器、终端。 1.查看服务器、终端采用集中管理系统进行硬件、防病毒、补丁、移动存储介质等安全措施管理或采用合理有效的分散管理措施，工业控制系统部署白名单软件情况。 2.查看服务器、终端检查安装有与工作无关的软件。 1.无管理措施，本项0分。 2.有部分措施，本项3分。 3.采用集中管理系统进行硬件、防病毒、补丁、移动存储介质等安全措施管理或采用合理有效的分散管理措施，工业控制系统部署白名单软件，本项4分。 应具体记录集中管理所采用的系统或设备名称、型号。分散管理的，简要记录部分管理措施。