DB21∕T 2082.2-2013 信息系統(tǒng)安全檢查規(guī)范 第2部分：技術規(guī)范.doc

ICS35.020L70DB21遼寧省地方標準DB 21/ XXXXXXXXX信息系統(tǒng)安全檢查規(guī)范第2部分：技術規(guī)范Specification for information system security checksPart2: technical Criterion（本稿完成日期：2012-9-13）XXXX - XX - XX發(fā)布XXXX - XX - XX實施遼寧省質量技術監(jiān)督局發(fā)布DBXX/ XXXXXXXXX目次前言V引言VI1范圍12規(guī)范性引用文件13術語和定義14要求25信息安全防護體系25.1物理安全25.2平臺安全25.3數據安全25.4通信安全35.5應用安全35.6運行安全35.7管理安全36信息系統(tǒng)基礎產品檢查36.1IT及相關產品36.1.1檢查準備36.1.2檢查對象46.1.3檢查項46.1.4檢查實施46.1.5檢查評估46.2信息安全產品46.2.1檢查準備46.2.2檢查對象46.2.3檢查項46.2.4檢查實施46.2.5檢查評估57信息安全等級保護檢查57.1檢查準備57.2檢查對象57.3檢查項57.4檢查實施57.5檢查評估58技術要求68.1風險評估68.1.1檢查準備68.1.2檢查對象68.1.3檢查項68.1.4檢查實施68.1.5檢查評估68.2物理安全68.2.1檢查準備78.2.2檢查對象78.2.3檢查項78.2.4檢查實施78.2.5檢查評估78.3網絡基礎平臺安全78.3.1檢查準備78.3.2檢查對象78.3.3檢查項78.3.4檢查實施88.3.4.1測試88.3.4.2設備檢查88.3.4.3結構檢查88.3.4.4安全功能檢查88.3.5檢查評估88.4系統(tǒng)平臺安全98.4.1檢查準備98.4.2檢查對象98.4.3檢查項98.4.4檢查實施98.4.4.1測試98.4.4.2安全配置檢查98.4.4.3安全監(jiān)控檢查108.4.5檢查評估108.5應用系統(tǒng)安全108.5.1檢查準備108.5.2檢查對象108.5.3檢查項108.5.4檢查實施108.5.4.1測試118.5.4.2防護措施檢查118.5.4.2關鍵字過濾檢查118.5.5檢查評估118.6系統(tǒng)安全平臺檢查118.6.1檢查準備118.6.2檢查對象128.6.3檢查項128.6.4檢查實施128.6.4.1測試128.6.4.2設備檢查128.6.4.3安全管理檢查128.6.4.4密碼使用和管理128.6.5檢查評估138.7數據安全檢查138.7.1檢查準備138.7.2檢查對象138.7.3檢查項138.7.4檢查實施138.7.4.1測試138.7.4.2設備檢查148.7.4.3數據管理檢查148.7.4.4備份容災檢查148.7.5檢查評估148.8通信安全檢查148.8.1檢查準備148.8.2檢查對象148.8.3檢查項158.8.4檢查實施158.8.4.1測試158.8.4.2安全域檢查158.8.4.3數據傳輸檢查158.8.5檢查評估158.9運行安全檢查158.9.1檢查準備158.9.2檢查對象168.9.3檢查項168.9.4檢查實施168.9.4.1系統(tǒng)運行檢查168.9.4.2IT服務檢查168.9.4.3工作環(huán)境檢查168.9.4.4應急管理檢查168.9.4.5事件管理檢查168.9.5檢查評估178.10管理安全檢查178.10.1檢查準備178.10.2檢查對象178.10.3檢查項178.10.4檢查實施188.10.4.1規(guī)范管理檢查188.10.4.2人員管理檢查188.10.4.3資產管理檢查188.10.5檢查評估188.11教育培訓檢查198.11.1檢查準備198.11.2檢查對象198.11.3檢查項198.11.4檢查實施198.11.5檢查評估19前言DB21/Txxxx分為2部分：第1部分：管理規(guī)范第2部分：技術規(guī)范本部分是DB21/Txxxx的第2部分。本標準依據GB/T1.1-2009標準化工作導則 第1部分：標準的結構與編寫制定。本標準由大連市網絡與信息安全協(xié)調小組提出。本標準由遼寧省經濟和信息化委員會歸口。本標準起草單位：大連市經濟和信息化委員會、大連市網絡與信息安全專家組。本標準主要起草人：郎慶斌、孫鵬、劉剛、李持見、仉宏、董晶、孫毅、楊莉、王小庚、尹宏、汪祖民、夏炳俐。引言信息技術，特別是物聯網、云計算、移動互聯、社交網絡、三網融合等新興IT技術的廣泛應用和迅速發(fā)展，極大地促進了社會發(fā)展、經濟繁榮和人民生活進步，網絡應用的基礎性、社會性、全局性日益凸顯，社會、經濟對信息化應用的依賴度愈來愈高，對網絡與信息安全也提出了更高要求。網絡安全問題嚴重影響我國政治、經濟、文化等領域的和諧發(fā)展，近年來一些較大級別的基礎網絡安全事件增多，安全風險繼續(xù)處于高危水平，網絡攻擊和網頁篡改事件頻繁發(fā)生，用戶密碼、賬號被盜比例上升到安全事件的第一位（2010年統(tǒng)計達到27），社會影響力和關注度已達到前所未有的高度。 “震網”病毒攻擊、“谷歌地圖事件”等都警示我們，網絡信息安全已上升到國家安全的重要層面。為應對日益嚴峻的信息安全形勢，保證信息系統(tǒng)的可信、安全、可控，國家網絡與信息安全協(xié)調小組推進重要領域信息系統(tǒng)安全檢查，是重要的保障措施。本規(guī)范是為建立科學、規(guī)范、有序的信息系統(tǒng)安全檢查環(huán)境編制。20信息系統(tǒng)安全檢查規(guī)范1 范圍本標準規(guī)定了基于信息系統(tǒng)安全防護體系，信息系統(tǒng)基礎產品檢查、信息安全等級保護檢查、信息系統(tǒng)安全檢查技術要求、檢查方式的基本要求。本標準適用于各級黨政機關、行業(yè)主管部門為履行職能提供支撐的信息系統(tǒng)的檢查。其它面向社會提供服務的重要行業(yè)信息系統(tǒng)檢查可參照本標準執(zhí)行。本標準不適用于涉及國家秘密的信息系統(tǒng)安全檢查。2 規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 5271.8 信息技術 詞匯 第8部分：安全GB/T 20269 信息安全技術 信息系統(tǒng)安全管理要求GB/T 20984 信息安全技術 信息安全風險評估規(guī)范GB/T 20988 信息安全技術 信息系統(tǒng)災難恢復規(guī)范GB/T 21671 基于以太網技術的局域網系統(tǒng)驗收測評規(guī)范GB/T 22239 信息安全技術 信息系統(tǒng)安全等級保護基本要求GB/T 22240 信息安全技術 信息系統(tǒng)安全等級保護定級指南GB/Z 24364 信息安全技術 信息安全風險管理指南中華人民共和國國務院令（147號） 計算機信息系統(tǒng)安全保護條例國密局發(fā)200910號 關于印發(fā)實施意見的通知DB21/T 1799.1 信息服務管理規(guī)范 第1部分：總則DB21/T 1799.3 信息服務管理規(guī)范 第3部分：計算機信息系統(tǒng)運營和維護管理DB21/Txxxx.1 信息系統(tǒng)安全檢察規(guī)范 第1部分：管理規(guī)范3 術語和定義GB/T 5271.8和DB21/Txxxx.1界定的以及下列術語和定義適用于本部分。3.1 信息系統(tǒng)生命周期 life cycle of information system信息系統(tǒng)開發(fā)方法，包括可行性分析、需求管理、總體規(guī)劃、系統(tǒng)設計、系統(tǒng)實施、系統(tǒng)運行、系統(tǒng)服務和系統(tǒng)評估等階段。3.2 安全策略 information security policy為實現安全目標制定的約束所有信息安全管理相關活動的一組規(guī)則。由實施信息安全的組織建立、描述、實施和實現。4 要求信息系統(tǒng)安全檢查技術規(guī)范，遵循GB/T 20269確立的信息系統(tǒng)安全管理要求。本部分遵循DB21/Txxxx.1確立的管理原則和要求，重點描述信息系統(tǒng)安全檢查邊界、檢查評估內容。信息系統(tǒng)安全檢查技術規(guī)范的一般原則和要求， 參照DB21/Txxxx.1執(zhí)行。在信息系統(tǒng)安全檢查中，應同時使用DB21/Txxxx.1和本部分。在信息系統(tǒng)安全檢查中，應根據DB21/Txxxx.1確立的管理原則和要求，制定技術方案，明確檢查措施、技術手段。5 信息安全防護體系5.1 物理安全物理安全主要包括：a）電源管理：將電源有效分配到系統(tǒng)中不同的設備組件。應考慮電源設備參數對設備的影響，如過壓、過流、浪涌、短路等；應考慮電源系統(tǒng)的裕量（包括UPS）；b）等電位管理：設置配電系統(tǒng)、各類電子設備及附屬設施（包括所有金屬件）、防雷、防靜電等的接地等電位體，應考慮靜電防護、感應雷電可能形成的電磁脈沖和過電壓的干擾和毀壞等；c）設備管理：信息系統(tǒng)相關設備的日常運行和管理；防電磁信息輻射泄漏、防電磁干擾、防線路截獲、電源保護等；d）媒介安全：各種存儲媒介內容和媒介本身安全；e）場地環(huán)境：應考慮機房內通風、溫度、濕度、灰塵、燈光等的配置；考慮機柜放置與冷卻效率和制冷單元熱點的關系；以及可能因功能擴大引起的冷卻效率問題等；f）災害預防：應考慮物理和自然災害發(fā)生的可能性，制定應急預案；考慮設備防盜、防毀等；g）布線系統(tǒng)：監(jiān)控設備間、弱電井、機房等區(qū)域配線設備、信息插座等設施及線纜狀態(tài)，以及網絡通信線路的工作狀態(tài)和可能的故障狀態(tài)；h）監(jiān)控系統(tǒng)管理：監(jiān)控門禁系統(tǒng)、各類監(jiān)控設備等的運行狀態(tài)、參數變化、提示信息等。5.2 平臺安全信息系統(tǒng)平臺主要包括：a）網絡基礎平臺：路由設備、網絡交換設備、存儲設備等網絡基礎設施的安全性、可靠性、可用性和可擴展性，及網絡結構的優(yōu)化等；b）系統(tǒng)平臺：操作系統(tǒng)、數據庫系統(tǒng)及網絡協(xié)議等的安全性、可靠性和可用性；c）應用系統(tǒng)平臺：支撐系統(tǒng)應用的Web、DNS、Mail、中間件等服務設施和其它支撐系統(tǒng)應用的軟件系統(tǒng)的安全性、可靠性和可用性；d）系統(tǒng)安全平臺：信息系統(tǒng)安全設施、安全策略、安全機制、安全級別、病毒防護、補丁管理等的安全性、有效性和可用性。5.3 數據安全a）存儲設備：服務器設備、集群系統(tǒng)、存儲陣列、存儲網絡等，以及支撐數據存儲設施運行的軟件平臺等數據存儲設施的安全性、可靠性和可用性；b）數據管理：1）數據質量：數據的完整性、可靠性、可用性及數據管理和數據恢復策略；2）數據訪問控制：數據訪問控制策略、訪問權限控制策略、非授權訪問處理策略等；3）數據存儲與容災：數據存儲、數據容災策略，制定數據存儲事件處理預案；4）數據交換安全：規(guī)劃建設數據安全交換平臺，保證內、外網絡之間數據交換的安全。制定數據安全交換、交換過程中數據的完整性、可靠性、安全性策略；制定數據交換事件處理預案。5.4 通信安全a）數據傳輸線路和網絡基礎設施的安全性；b）各項網絡協(xié)議的安全性；c）數據傳輸的安全性及數據通信的安全策略，制定數據通信應急處理預案。5.5 應用安全a）應用系統(tǒng)可靠性、安全性、可用性測試；b）應用系統(tǒng)安全策略；c）應用系統(tǒng)訪問控制策略；d）應用系統(tǒng)訪問終端安全檢查；e）日志審計等。5.6 運行安全a）信息系統(tǒng)運行狀況監(jiān)測、預警和管理；b）工作環(huán)境管理，包括工作場地、個人計算機終端安全性等；c）系統(tǒng)性能評估，包括系統(tǒng)整體架構、系統(tǒng)平臺、應用系統(tǒng)、數據管理、系統(tǒng)安全平臺等的整體安全性、可用性，及業(yè)務融合度評估等；d）應急管理和災難預防恢復機制；e）系統(tǒng)更新、升級等。5.7 管理安全a）制定安全防護體系各個層次和整體的安全管理策略和機制，建立完善的管理制度；b）日常管理規(guī)范化和標準化；c）制定信息系統(tǒng)安全總體發(fā)展規(guī)劃，包括信息系統(tǒng)安全中長期建設、應用、發(fā)展規(guī)劃；資源整合規(guī)劃安全性；IT治理模式；標準建設等；d）優(yōu)化、提高系統(tǒng)基礎架構（包括硬件基礎平臺、系統(tǒng)平臺、安全平臺、數據管理平臺等）的可用性、可靠性和安全性。6 信息系統(tǒng)基礎產品檢查6.1 IT及相關產品6.1.1 檢查準備a）IT及相關產品技術文檔；b）進網許可證、安全審查相關文檔；c）其它必要的文檔。6.1.2 檢查對象IT產品及相關文檔。6.1.3 檢查項a）IT產品國產化情況；b）系統(tǒng)軟件、應用系統(tǒng)、數據庫管理系統(tǒng)等的國產化情況；c）IT產品應用情況；d）國外產品的安全審查情況。6.1.4 檢查實施a）查閱IT產品技術文檔（包括軟件應用），確認其應用范圍；b）查看現有IT產品國產化應用；c）如選用國外IT產品，查閱安全審查記錄。6.1.5 檢查評估評估以下各項：a）在滿足應用需求情況下，優(yōu)先選用國產化產品；b）IT產品在規(guī)定的應用范圍內使用；c）如選用國外產品，具有安全審查記錄，且記錄完整、清晰。則此項檢查結果應通過。6.2 信息安全產品6.2.1 檢查準備a）信息安全產品技術文檔；b）信息安全產品認證、銷售許可相關文檔；c）其它必要文檔。6.2.2 檢查對象信息安全產品及相關文檔。6.2.3 檢查項a）信息安全產品國產化情況；b）信息安全產品應用情況；c）信息安全產品認證、銷售許可情況。6.2.4 檢查實施a）查閱信息安全產品技術文檔，確認其應用范圍；b）查看現有信息安全產品國產化情況；c）查閱信息安全產品清單、認證和銷售許可證明。6.2.5 檢查評估a）完全選用國產信息安全產品；b）信息安全產品在規(guī)定的應用范圍內使用；c）信息安全產品已獲得版權局、公安部、國家密碼管理局等相關認證和銷售許可。則此項檢查結果應通過。7 信息安全等級保護檢查7.1 檢查準備a）信息安全等級保護測評相關文檔；b）信息安全等級保護定級相關文檔；c）信息安全等級保護備案文檔；d）信息安全等級保護整改相關文檔；e）其它相關文檔。7.2 檢查對象信息安全等級保護定級、評測、整改、備案情況及相關管理機制。7.3 檢查項a）已建、新建信息系統(tǒng)定級、備案；b）信息系統(tǒng)等級準確性；c）定級報告與信息系統(tǒng)的符合性；d）信息系統(tǒng)變更后定級、備案；e）依據國家標準選擇測評機構；f）依據國家標準開展信息系統(tǒng)測評；g）依據國家標準和實際情況實施整改；h）等級保護責任機構、責任人；i）等級保護規(guī)章制度、相關培訓；j）等級保護建設規(guī)劃。7.4 檢查實施a）定級、備案范圍已覆蓋相關業(yè)務系統(tǒng)；b）等級報告符合國家標準；c）等級報告與信息系統(tǒng)實際情況相符合；d）信息系統(tǒng)變更后及時定級、備案；e）測評機構選擇 和等級評測、等級保護整改和相應報告符合相關標準；f）相關規(guī)章制度明確了等級保護工作；g）明確等級保護責任機構、責任主體、責任人及其職責；h）等級保護相關培訓文檔清晰、完整；i）制定等級保護建設規(guī)劃、部署和計劃等級保護開展。7.5 檢查評估評估以下各項：a）具有符合等級保護定級要求的定級報告、備案證書；b）等級報告符合GB/T 22240要求；c）定級報告符合信息系統(tǒng)實際情況；d）信息系統(tǒng)變更后及時定級、備案；e）定期展開信息系統(tǒng)測評，測評機構和測評符合公信安2010303號要求；f）整改報告滿足公信安20091429號要求，且記錄清晰、完整；g）明確等級保護責任機構、責任主體、責任人，且職責明確；h）規(guī)章制度明確信息安全等級保護工作；i）定期開展等級保護培訓，記錄完整、清晰；j）等級保護建設規(guī)劃、工作機制有效。則此項檢查結果應通過。8 技術要求8.1 風險評估8.1.1 檢查準備a）信息安全風險評估報告；b）其它相關文檔。8.1.2 檢查對象a）信息系統(tǒng)安全管理機制；b）信息系統(tǒng)安全防護體系。8.1.3 檢查項a）信息安全風險評估機制；b）依據相關標準實施風險評估工作。8.1.4 檢查實施a）信息系統(tǒng)生命周期內，信息安全風險評估工作情況（包括配置變更、業(yè)務變化等）；b）信息安全風險評估相關規(guī)章制度；c）風險評估報告的嚴謹性、規(guī)范性和有效性。8.1.5 檢查評估評估以下各項：a）信息安全風險評估的有效性和GB/T 20984、GB/Z 24364的符合性；b）管理機制的科學性、有效性（包括管理規(guī)章的完整性）；c）風險評估的時效和周期；d）風險評估報告完整、規(guī)范、有效。則此項檢查結果應通過。8.2 物理安全8.2.1 檢查準備a）信息系統(tǒng)物理環(huán)境各項技術圖紙及其它相關資料；b）信息系統(tǒng)物理環(huán)境相關的各項文檔；c）信息系統(tǒng)物理環(huán)境檢測、驗收文檔。8.2.2 檢查對象信息系統(tǒng)物理環(huán)境，包括機房、設備間、其它配套房間、8.2.1所列各項等。8.2.3 檢查項a）5.1所列各項；b）5.1所列各項相關設備、設施運行、維護狀況；c）信息系統(tǒng)物理環(huán)境檢測、驗收狀況。8.2.4 檢查實施a）查閱8.2.1所列各項的完整性、規(guī)范性；b）信息系統(tǒng)物理環(huán)境檢測、驗收數據的合理性、有效性；c）實地察看信息系統(tǒng)物理環(huán)境現狀。8.2.5 檢查評估評估以下各項：a）獲得正規(guī)、可鑒證的檢測、驗收報告，且結論認定符合設計要求、達到質量目標、滿足檢測、驗收條件；b）5.1所列各項相關設備、設施運行狀態(tài)正常、穩(wěn)定，維護措施有效；c）經實地察看，信息系統(tǒng)物理環(huán)境符合國家相關標準，5.1所列各項均安全、合理、有效；d）8.2.1所列各項完整、規(guī)范。則此項檢查結果應通過。8.3 網絡基礎平臺安全8.3.1 檢查準備a）網絡拓撲結構圖、網絡配置文檔；b）網絡基礎平臺規(guī)劃設計相關文檔；c）網絡基礎平臺測試、驗收相關文檔；d）其它網絡基礎設施相關文檔。8.3.2 檢查對象網絡基礎設施、網絡拓撲結構、網絡安全策略、網絡基礎平臺相關文檔。8.3.3 檢查項a）網絡基礎設施性能；b）網絡拓撲結構、網絡結構設計合理性；c）網絡配置、安全域劃分合理性；d）網絡設備安全性；e）網絡冗余配置；f）網絡基礎設施測試、驗收文檔；g）網絡基礎平臺其它文檔完整性、規(guī)范性。8.3.4 檢查實施8.3.4.1 測試a）網絡拓撲發(fā)現工具發(fā)現網絡拓撲結構，比對異同；b）網絡性能測試工具測試網絡設備性能；c）漏洞掃描工具掃描網絡設備；d）配置核查工具或手工檢查配置核查網絡設備。形成測試報告。8.3.4.2 設備檢查a）網絡設備運行、維護、管理狀況；b）檢查設備管理記錄、設備無故障運行時間、故障率等；c）網絡設備更新狀況：更新時間、更新記錄、定期檢測等；d）檢查設備日志內容。8.3.4.3 結構檢查a）查看測試文檔，分析網絡性能、業(yè)務應用滿足度；b）查看網絡基礎平臺設計、驗收文檔，分析設計、驗收數據的合理性、適宜性；c）網絡配置合理性；不同網段（子網）劃分，與工作職能、業(yè)務重要程度的關聯性；內、外網安全性；網絡拓撲結構與實際業(yè)務需求的滿足度；d）網絡重要節(jié)點、關鍵路徑的冗余配置；e）查看網絡基礎設施運行、維護文檔，分析設備故障率；根據測試報告，分析網絡性能；f）實地查看網絡基礎設施運行狀況；g）網絡基礎平臺文檔管理完整、規(guī)范、有效。8.3.4.4 安全功能檢查a）業(yè)務高峰期網絡帶寬分配和業(yè)務優(yōu)先級設置功能；b）依據安全策略實施嚴格的訪問控制措施；c）全面檢測、記錄網絡設備運行狀況、網絡流量、用戶行為；d）具備邊界完整性檢查功能，及時定位、報警、阻斷非法外聯行為；e）具備基本的網絡入侵防范功能，監(jiān)控入侵事件，及時報警；f）網絡地址管理策略；g）核心交換機配置、預留數據鏡像端口。8.3.5 檢查評估評估以下各項：a）網絡拓撲與實際網絡系統(tǒng)一致，且滿足當前業(yè)務應用需求；b）網絡配置、網段劃分、安全域設置合理，且根據安全策略有效隔離；c）網絡重要節(jié)點、關鍵路徑冗余配置；d）各項安全功能均安全、合理、有效；e）網絡基礎平臺設計合理，測試、驗收符合GB/T 21671要求；f）網絡基礎平臺運行狀態(tài)良好，運行、維護文檔完整、規(guī)范，真實記錄網絡運行狀況；g）其它網絡基礎平臺文檔管理規(guī)范、有效；h）經實地查看，網絡基礎平臺運行符合國家相關標準。則此項檢查結果應通過。8.4 系統(tǒng)平臺安全8.4.1 檢查準備a）軟件設計、部署、應用相關文檔；b）數據庫系統(tǒng)設計、部署、應用相關文檔； c）應用服務器（web、e-mail、中間件等）設計、配置、應用文檔及網絡協(xié)議等相關文件；d）系統(tǒng)平臺測試、驗收文檔；e）其它相關文檔。8.4.2 檢查對象操作系統(tǒng)、數據庫系統(tǒng)、中間件及網絡協(xié)議等、應用服務器、應用系統(tǒng)平臺，系統(tǒng)平臺相關文檔。8.4.3 檢查項a）操作系統(tǒng)性能和資源占用；b）系統(tǒng)應用平臺設計、部署；c）數據庫系統(tǒng)設計、部署、應用現狀；d）應用服務器設計、配置、應用；e）測試、驗收文檔；f）其它相關文檔完整性、規(guī)范性。8.4.4 檢查實施8.4.4.1 測試a）漏洞掃描工具檢查操作系統(tǒng)、數據庫系統(tǒng)、應用系統(tǒng)平臺和應用系統(tǒng)的中、高風險安全漏洞；b）配置核查工具配置核查操作系統(tǒng)、數據庫管理系統(tǒng)；c）數據庫滲透測試、SQL注入、TDS協(xié)議安全性分析；d）應用服務器失效性檢查等。形成測試報告。8.4.4.2 安全配置檢查a）系統(tǒng)性能和資源占用情況；b）安全策略配置（如密碼設置、系統(tǒng)審核、開放端口、訪問權限、帳戶管理等）；c）桌面軟件正版和安全漏洞更新；d）應用服務器配置、日志、運行狀況及日常檢查；e）虛擬技術的安全性檢查（虛擬軟件、工具、管理等）；f）桌面級安全產品部署和應用（防病毒、桌面防火墻等）。8.4.4.3 安全監(jiān)控檢查a）服務器和重要客戶端部署桌面管理系統(tǒng)；b）系統(tǒng)使用行為、系統(tǒng)資源狀況監(jiān)控、審計；c）虛擬機管理策略、采用虛擬技術的網絡訪問控制策略、虛擬軟件更新策略；d）監(jiān)控記錄的記錄形式、內容等。8.4.5 檢查評估評估以下各項：a）操作系統(tǒng)的CPU使用率低于30%、內存使用率低于60%、系統(tǒng)盤剩余空間大于30%，系統(tǒng)運行狀態(tài)良好；b）系統(tǒng)平臺密碼設置、系統(tǒng)審核、開放端口、訪問權限、帳戶管理等安全策略配置合理、有效；c）服務器和重要客戶端已安裝、部署并啟動桌面管理系統(tǒng)；d）正版軟件并隨時更新安全漏洞；e）系統(tǒng)平臺不存在中、高安全風險漏洞（如弱口令、SQL注入等）；f）虛擬機管理策略、虛擬工具使用、虛擬軟件更新、網絡訪問控制策略等配置合理、有效；g）安全監(jiān)控記錄完整、存儲方式合理，包括：1）監(jiān)控內容包括時間和日期、類型、主體標識、客體標識、事件結果等；2）監(jiān)控記錄存儲空間滿足安全策略要求，且出現異常時應有相應處理機制，保證記錄完整；3）監(jiān)控記錄保存時間應在30天左右；4）監(jiān)控記錄應由專人負責管理、統(tǒng)計和分析；h）系統(tǒng)平臺相關文檔完整、規(guī)范。則此項檢查結果應通過。8.5 應用系統(tǒng)安全8.5.1 檢查準備a）應用系統(tǒng)設計書及相關文檔；b）應用系統(tǒng)部署、應用相關文檔；c）應用系統(tǒng)測試、驗收文檔；d）其它相關文檔。8.5.2 檢查對象業(yè)務系統(tǒng)、網站等重要應用系統(tǒng)及相關文檔管理、內容審計系統(tǒng)。8.5.3 檢查項a）應用系統(tǒng)設計、驗收和測試文檔；b）應用系統(tǒng)代碼安全；c）系統(tǒng)可用性、可控性；d）防篡改和恢復功能；e）web應用層防護功能；f）應用系統(tǒng)應用現狀。8.5.4 檢查實施8.5.4.1 測試a）漏洞掃描工具檢查應用系統(tǒng)中、高風險安全漏洞；b）代碼安全測試（黑、白盒等）；c）網站監(jiān)測、CC攻擊檢測；d）SQL注入檢查等。形成測試報告。8.5.4.2 防護措施檢查a）安全策略（如密碼設置、身份鑒別、系統(tǒng)審核、開放端口、訪問控制和權限、帳戶管理等）；b）資源控制、容錯機制、變更管理；c）系統(tǒng)交付管理（開發(fā)環(huán)節(jié)和過程控制、測試驗收管理、交付管理、文檔管理等）；d）防篡改和恢復功能；e）web應用層防護功能。8.5.4.2 關鍵字過濾檢查a）內容審計系統(tǒng)關鍵字過濾功能設置；b）內容審計系統(tǒng)關鍵字過濾記錄；c）關鍵字過濾的安全策略設定。8.5.5 檢查評估評估以下各項：a）密碼設置、身份鑒別、系統(tǒng)審核、開放端口、訪問控制和權限、帳戶管理等設置合理、有效；b）某一時間段內系統(tǒng)并發(fā)會話連接數限制合理、有效；c）訪問帳戶或進程分配資源最大和最小限額，并在達到閾值時自動監(jiān)測、報警；d）建立數據處理容錯機制，并可有效實現；e）系統(tǒng)交付過程符合國家相關標準，規(guī)范、完整、有效；f）網站存儲空間無有害程序（病毒、木馬、惡意代碼、域名劫持等），測試未發(fā)現安全漏洞、后門；g）建立網站頁面定期監(jiān)測機制，及時處理可能出現的信息破壞事件、有害程序事件等；h）建立網站信息內容安全定期監(jiān)測機制，監(jiān)測法規(guī)禁止、敏感、涉密信息等； i）具備防篡改和恢復功能； j）具備web應用層防護功能；k）應用系統(tǒng)運行狀況正常；l）內容審計系統(tǒng)設置關鍵字過濾功能；m）關鍵字過濾記錄清晰、完整；n）安全策略設定關鍵字過濾規(guī)定；o）應用系統(tǒng)運行日志完整；p）文檔管理完整、規(guī)范。則此項檢查結果應通過。8.6 系統(tǒng)安全平臺檢查8.6.1 檢查準備a）系統(tǒng)安全平臺設計、配置文檔及其它相關文檔；b）系統(tǒng)安全平臺測試、驗收文檔；c）設備運行維護文檔；d）其它相關文檔。8.6.2 檢查對象各類安全設備及信息安全防御技術、安全策略、安全機制、安全審計、設備運行管理等。8.6.3 檢查項a）系統(tǒng)安全平臺設計、配置文檔；b）系統(tǒng)安全平臺測試、驗收文檔；c）各類安全設備性能、功能及運行管理現狀；d）安全管理策略；e）日志記錄、保存、使用；f）安全設備更新狀況。8.6.4 檢查實施8.6.4.1 測試a）采用相關網絡安全工具（如威脅發(fā)現系統(tǒng)、安全掃描技術、木馬監(jiān)測系統(tǒng)、防病毒設備、網絡故障綜合分析系統(tǒng)等）檢測網絡系統(tǒng)惡意代碼等；b）采用相關系統(tǒng)安全工具（如系統(tǒng)分析軟件、惡意代碼清查軟件、防病毒軟件等）檢測系統(tǒng)平臺惡意代碼等；c）采用網絡嗅探工具，檢查重要線路數據包的密碼使用；d）采用漏洞掃描工具，掃描測試網絡設備、系統(tǒng)平臺、系統(tǒng)安全平臺等。形成測試報告。8.6.4.2 設備檢查a）安全設備運行、維護、管理狀況；b）檢查設備管理記錄、設備無故障運行時間、故障率等；c）安全設備更新狀況：更新時間、更新記錄、定期檢測等；d）檢查設備日志內容。 8.6.4.3 安全管理檢查a）根據第5章和信息資源安全需求，制定不同的安全策略的合理性、有效性；b）安全設備的安全策略設置的合理性、有效性；c）安全機制（包括數據加密、身份驗證、訪問控制等）設置的合理性、有效性；d）系統(tǒng)安全監(jiān)測系統(tǒng)的適宜性、合理性和有效性。8.6.4.4 密碼使用和管理a）密碼生成、分發(fā)、存儲、使用、更新、備份、恢復、導入、導出、歸檔、銷毀等按照國家相關法規(guī)、政策、標準管理；b）重要線路采用加密方式保護；c）重要數據、文檔采取加密保護措施。8.6.5 檢查評估評估以下各項：a）安全設備正常運行，且運行狀態(tài)良好，故障率在安全策略允許范圍內；b）安全設備軟件、特征庫、防病毒系統(tǒng)保持更新至最新版本；c）建立深層信息安全防御體系，具備入侵防范功能，檢測、監(jiān)控端口掃描、強力攻擊、木馬攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、蠕蟲攻擊等入侵事件，并提示報警，有效阻斷；d）建立準入控制機制，使入網所有終端合法、合規(guī)、可信。e）網絡系統(tǒng)、操作系統(tǒng)、應用系統(tǒng)、數據庫系統(tǒng)等不存在惡意代碼（如木馬、蠕蟲、ARP病毒等）；f）安全策略、安全機制配置有效；g）安全設備日志采用合理方式存儲，記錄完整、保存時限適當，有專人管理；h）重要數據、文檔、線路加密保護； i）密碼管理符合國密局發(fā)200910號，密碼使用符合安全策略規(guī)定；j）文檔管理完整、規(guī)范；k）經實地察看，安全設備安裝、運行符合國家相關標準。則此項檢查結果應通過。8.7 數據安全檢查8.7.1 檢查準備a）數據存儲設計、配置文檔及其它相關文檔；b）數據存儲測試、驗收相關文檔；c）數據管理相關文檔；d）數據存儲設備運行、維護相關文檔；e）其它相關文檔。8.7.2 檢查對象數據存儲設備、數據管理安全策略、數據備份容災、數據交換等。8.7.3 檢查項a）數據存儲設計、配置文檔；b）數據存儲測試、驗收文檔；c）數據存儲設備參數配置、性能、運行管理狀況；d）數據管理安全策略（數據存儲、訪問、使用等）；e）數據安全交換策略（網內、內外網之間等）；f）數據備份容災策略、管理和實施；g）相關文檔的完整性。8.7.4 檢查實施8.7.4.1 測試參照8.4.4.1測試數據安全性，并形成測試報告。8.7.4.2 設備檢查a）存儲設備運行、維護現狀；b）存儲系統(tǒng)的管理機制和管理流程；c）存儲設備管理方式；d）存儲設備管理記錄、設備無故障運行時間。8.7.4.3 數據管理檢查a）數據管理安全策略設置的合理性、有效性；b）數據交換平臺的安全性、可靠性；c）數據交換策略的合理性、有效性；d）數據質量的一致性、準確性和規(guī)范性。8.7.4.4 備份容災檢查a）重要數據備份、恢復安全策略合理性；b）數據備份記錄完整，符合安全策略要求；c）備份數據恢復后可用、準確、規(guī)范；d）備份介質、數據備份和恢復指定專人管理；e）容災備份系統(tǒng)災難恢復能力等級；f）容災備份系統(tǒng)建設、使用和管理情況。8.7.5 檢查評估評估以下各項：a）存儲系統(tǒng)正常運行，且運行狀態(tài)良好，故障率在安全策略允許范圍內；b）存儲系統(tǒng)管理規(guī)范；管理機制、流程、方式合理、有效；c）數據管理策略與數據庫管理系統(tǒng)一致，合理、有效；d）數據交換平臺不存在安全威脅（如信息探測攻擊、非法使用、完整性破壞等）；e）數據備份策略、介質選擇、備份頻率等適當、有效；f）數據備份管理規(guī)范、合理、有效；g）容災備份系統(tǒng)建設、使用、管理符合GB/T 20988要求；h）容災備份系統(tǒng)災難恢復能力等級符合系統(tǒng)安全策略；i）備份數據恢復可用、完整、有效； j）備份容災有專人維護、管理；k）各項文檔管理規(guī)范、完整。則此項檢查結果應通過。8.8 通信安全檢查8.8.1 檢查準備a）數據通信設計、配置相關文檔；b）數據通信測試、驗收文檔；c）數據通信應用、維護、管理相關文檔。8.8.2 檢查對象網絡安全域劃分及域間數據交換、網絡協(xié)議安全、數據傳輸安全等。8.8.3 檢查項a）網絡安全域劃分及域間數據交換安全策略、相關文檔；b）數據傳輸線路相關文檔；c）數據傳輸相關安全策略；d）網絡協(xié)議安全性；e）數據通信維護、管理現狀；f）相關文檔完整性。8.8.4 檢查實施8.8.4.1 測試a）參照8.3.4.1測試網絡安全域的安全性；b）數據加密方法和測試等。形成測試報告。8.8.4.2 安全域檢查a）安全域劃分的合理性；b）是否依重要性劃分安全域等級，并依據不同的等級制定相應的安全策略；c）不同安全域（域內不同分區(qū)）的邊界防護策略的合理性和有效性；8.8.4.3 數據傳輸檢查a）數據傳輸線路的可靠性（傳輸介質、線路備份等）；b）數據傳輸的保密性、完整性、一致性；c）內外網數據交換的安全性。8.8.5 檢查評估評估以下各項：a）依據資產價值、安全需求等的重要性劃分不同等級的安全域；b）依據不同等級制定域安全策略（不同域的訪問控制策略、數據傳輸的完整性和一致性、數據審核等）；c）依據不同安全域部署安全設備、安全產品；d）高等級安全域的安全威脅降至最低；e）日志信息完整，存儲適當；f）數據傳輸線路適宜、可靠，數據質量完整、一致；g）各項文檔完整、規(guī)范。則此項檢查結果應通過。8.9 運行安全檢查8.9.1 檢查準備a）系統(tǒng)驗收和交付文檔、項目監(jiān)理文檔、IT服務相關文檔；b）系統(tǒng)運行、管理相關文檔；c）系統(tǒng)性能評估相關文檔；d）應急管理相關文檔；e）其它相關文檔。8.9.2 檢查對象信息系統(tǒng)運行現狀、信息系統(tǒng)性能評估、應急管理等。8.9.3 檢查項a）信息系統(tǒng)運行相關文檔；b）工作環(huán)境管理；c）系統(tǒng)性能管理；d）應急管理；e）相關文檔的完整性。8.9.4 檢查實施8.9.4.1 系統(tǒng)運行檢查a）規(guī)定系統(tǒng)運行、使用權限管理；b）規(guī)定系統(tǒng)運行維護操作流程；c）系統(tǒng)性能管理，自動監(jiān)測、自動報警、有效分配系統(tǒng)資源；d）系統(tǒng)變更、更新管理；e）文檔管理、完整。8.9.4.2 IT服務檢查如IT服務組織提供系統(tǒng)運維服務，應實施此項檢查。a）與IT服務組織的服務合同；b）IT服務組織的資質、技術能力、服務能力、人員素質；c）IT服務組織運維管理現狀。8.9.4.3 工作環(huán)境檢查a）計算機桌面和辦公桌面管理；b）文檔管理；c）辦公設備（包括移動設備、移動通訊設備）管理。8.9.4.4 應急管理檢查a）制訂應急預案，并根據實際情況定期修訂；b）根據應急預案實施應急演練，相關記錄完整、清晰；c）根據應急預案，建立重大信息安全事件、災難處置、恢復機制；d）應急支援隊伍的制度建設；e）與外部應急支援隊伍簽訂服務合同；f）應急支援隊伍能力能夠滿足業(yè)務需求。8.9.4.5 事件管理檢查a）信息安全事件處置情況；b）信息安全事件完整記錄；c）信息安全事件報告；d）信息安全事件責任認定。8.9.5 檢查評估評估以下各項：a）系統(tǒng)運行維護符合DB21/T 1799.3要求；b）IT服務符合DB21/T 1799.1要求；c）系統(tǒng)運行、使用權限設計合理、實際；d）系統(tǒng)運行、使用相關文檔與相關制度相符；e）系統(tǒng)變更審批備案相關規(guī)定合理、符合實際；f）計算機桌面、辦公桌面未涉及敏感信息、重要文件；g）與網絡連接的辦公終端、移動設備、存儲介質等無重要文檔；h）存放重要文檔的辦公終端、移動設備等無上網殘留信息；i）復印機、打印機、掃描儀、傳真機等接入網絡符合安全策略，且管理、維護良好；j）移動設備、移動通訊設備、存儲介質等的使用符合系統(tǒng)安全策略；k）已存儲過重要數據的辦公設備、移動設備、存儲介質等，其重復使用或銷毀有嚴格的控制程序和措施，并切實執(zhí)行；l）已建立信息安全應急預案，內容清晰、完整，并根據實際情況定期修訂；m）應急預案完全覆蓋信息系統(tǒng)，具備可操作性；n）定期開展應急預案演練，相關記錄完整、清晰；o）應急支援隊伍各項制度建設完善，能夠滿足業(yè)務需求；p）重大信息安全事件、災難處置、恢復機制有效、適用；q）如果運行維護服務外包，已與IT服務組織簽訂相關合同且簽署保密安全協(xié)議。則此項檢查結果應通過。8.10 管理安全檢查8.10.1 檢查準備a）信息系統(tǒng)管理各項規(guī)章、制度；b）信息系統(tǒng)組織機構相關文檔； c）系統(tǒng)日常管理各項文檔； d）信息系統(tǒng)安全建設、發(fā)展規(guī)劃；e）其它必要的文檔。8.10.2 檢查對象信息系統(tǒng)日常管理。8.10.3 檢查項a）信息系統(tǒng)組織機構建立和運行情況； b）針對信息安全各個層次和整體制定的安全管理策略和機制； c）健全、完善的管理規(guī)章、制度； d）日常管理措施； e）根據系統(tǒng)安全策略，制定信息安全建設、發(fā)展規(guī)劃；f）文檔管理規(guī)范、完整。8.10.4 檢查實施8.10.4.1 規(guī)范管理檢查a）信息安全組織機構相關文件、管理架構、人員崗位配備合理、有