全市网络安全检查方案.docx

全市网络安全检查方案.docx

《全市网络安全检查方案.docx》由会员分享，可在线阅读，更多相关《全市网络安全检查方案.docx（42页珍藏版）》请在冰豆网上搜索。

全市网络安全检查方案

2014年南京市网络安全检查工作方案

一、检查目的

通过开展网络安全检查，以查促建、以查促管、以查促改、以查促防，增强安全意识，落实安全责任，分析安全风险，评估安全状况，排查安全隐患，健全管理制度，完善防护措施，提升自主可控水平和安全防护能力，预防和减少网络安全事件的发生，切实保障我市重要网络与信息系统的安全运行。

二、检查范围

检查范围主要包括党政机关各部门、各人民团体，以及轨道交通、供水供气等重点行业的重要网络与信息系统。

检查重点是非涉密网络中的重要业务系统和网站系统。

涉及国家秘密的信息系统安全检查，按照国家保密管理规定执行，不在此次检查范围中。

三、检查内容

（一）网络安全管理情况

按照国家、省和我市网络安全政策和标准规范要求，建立健全网络安全管理制度及落实情况。

重点检查网络安全主管领导、管理机构和信息安全员岗位设置及履职情况，网络安全责任制落实及事故责任追究情况，人员、资产、采购、外包服务等日常安全管理情况，网络安全经费保障情况等。

（二）技术防护情况

按照国家、省和我市网络安全政策和标准规范要求，建立健全技术防护体系及安全防护情况。

重点检查防病毒、防攻击、防篡改、防瘫痪、防泄密措施及有效性；风险评估与等级保护等保障工作落实情况；网络边界防护措施，互联网接入安全措施，无线网络安全防护策略；服务器、网络设备、安全设备等安全策略配置，应用系统安全功能及有效性；终端计算机、移动存储介质安全防护措施；重要数据传输、存储的安全防护措施等。

（三）应急工作情况

按照国家、省和我市信息安全事件应急预案要求，建立健全网络安全应急工作体系情况。

重点检查网络安全事件应急预案制定、应急演练情况；应急技术支撑队伍、灾难备份措施建设情况、重大网络安全事件处置情况等。

（四）宣传教育培训情况

重点检查网络安全宣传教育、领导干部及各级人员网络安全基础培训、信息安全员接受持证上岗培训情况等。

（五）WindowsXP停止安全服务应对工作情况

重点检查WindowsXP使用情况，安全保护方案制定情况，安全防护产品部署情况，采取白名单、卸载与工作无关的应用程序、关闭不必要服务和端口等安全措施情况，推广国产操作系统和应用软件的工作落实情况等。

（六）数据及系统可控可管

重点检查数据中心及使用的云计算服务设施是否设在境外，采用系统设计开发、系统集成、运行维护、数据处理、数据备份、灾难恢复、系统托管、安全测评等外包服务过程中数据是否被提交给境外机构，系统是否被境外机构远程控制等情况。

（七）安全问题整改情况

上一年度安全检查问题的整改情况及整改效果，本年度安全检查发现问题的整改情况及整改效果，进一步分析安全风险状况。

四、检查方式

网络安全检查以自查为主，市委网信办、市经信委将对部分重要网络及信息系统进行安全抽查。

（一）安全自查

党政机关各部门、各人民团体、各重点行业按要求开展自查。

各部门、各单位应制定检查实施方案，明确检查范围，周密计划，精心部署，认真实施。

为确保检查工作取得实效，各部门、各单位可组织开展安全抽查和技术检测，深入挖掘安全隐患，及时整改安全问题。

为全面评价网络安全管理工作，各部门、各单位应根据《网络安全检查材料》（附件1），从网络安全组织管理、日常管理、防护管理、应急管理、教育培训、安全检查等方面进行量化评估，总结成绩、查找不足，更好地推动网络安全管理工作。

（二）安全抽查

由主管部门和专业技术队伍组成的抽查组，对重要网站、重要信息网络和系统进行安全抽查，将抽查中发现的问题通报给相关单位，督促其进行核查和整改，对不认真整改的单位予以通报批评，并通报公安机关，按照相关法规予以警告或停机整顿。

有关安全抽查工作将另行部署。

五、检查组织

市级党政机关各部门、各人民团体、各重点行业网络安全检查工作由市委网信办、市经信委具体组织实施；

各部门、人民团体下属单位网络安全检查工作由各部门、人民团体组织实施，并汇总整理《网络安全检查材料》（附件1）；

轨道交通、供水供气等重点行业的重要网络与信息系统由各相关单位汇总整理《南京市重点行业网络安全检查材料》（附件2）；

各区（开发区）网络安全检查工作由各区信息安全主管部门（区网信办）参照本工作方案组织开展。

六、结果上报

各区、各部门、各单位在检查工作完成后，应对检查情况进行汇总分析和总结评估，按照要求编制自查总结报告报送市委网信办和市经信委，包括纸质文档和电子文档（光盘形式）。

各部门、人民团体汇总整理《网络安全检查材料》（附件1），各重点行业相关单位汇总整理《南京市重点行业网络安全检查材料》（附件2）。

各区信息安全主管部门参照附件1中重要信息系统情况调查表，汇总地方重要信息系统情况，并总结地方工作后上报。

七、工作要求

（一）加强领导，落实责任

各区、各部门、各单位要把网络安全检查工作列入重要议事日程，加强组织领导，明确检查责任，落实检查机构、检查人员、检查经费及其他保障条件，确保检查工作顺利进行。

（二）认真实施，确保成效

各区、各部门、各单位要周密制定检查实施方案，全面深入查找安全问题和隐患，切实做到不走过场、不漏环节、不留死角。

对发现的问题要及时整改，举一反三，标本兼治，因条件不具备暂时不能整改的问题应采取临时防范措施。

（三）控制风险，强化保密

各区、各部门、各单位要强化风险控制，有针对性地制定检查工作应急预案，确保被检查系统的正常运行。

要加强对检查活动、检查人员及相关文档和数据的安全保密管理。

委托外部机构进行安全检测，要对其机构背景、技术能力、服务水平、人员资质及安全保密管理措施等进行严格审查，并明确外部机构及人员的安全责任。

附件：

1、网络安全检查材料

2、南京市重点行业网络安全检查材料

附件1：

网络安全检查材料

（2014年）

部门：

（签章）

联系人：

联系电话：

填表时间：

填表说明：

一、如实认真填写各表各项内容。

二、如本单位有下属单位或部门，应组织下属单位或部门一并开展信息安全检查，并填写检查材料。

下属单位的《外包服务机构情况表》及《重要信息系统情况调查表》与本单位表格一并装订。

三、《外包服务机构情况表》及《重要信息系统情况调查表》如不够填写，可自行复制增补。

四、网络安全检查总结附在本材料末，统一装订后上交。

五、涉密信息系统不在此次调查范围内。

网络安全自查表

评估指标

评价要素

权重（V）

评价标准（P为量化值）

计分

（P*V）

组织管理

分管领导

3

明确一名主管领导负责本部门网络安全工作。

已明确，本年度就网络安全工作作出批示或主持召开专题会议，P=1;已明确，本年度未就网络安全工作作出批示或主持召开专题会议，P=0.5;未明确，P=0。

责任部门

2

明确一个部门具体承担网络安全管理工作。

（应为本单位二级机构）。

已以正式文件等形式明确其职责，P=1;未明确，P=0。

信息安全员

2

各本单位及下属部门指定一名专职或兼职信息安全员。

P=指定网络安全员的机构数量与机构总数的比率。

网络安全

日常管理

规章制度

制度完整性

3

建立网络安全管理制度体系，涵盖人员管理、资产管理、采购管理、外包管理、教育培训等方面。

制度完整，P=1；制度不完整，P=0.5；无制度,P=0。

制度发布

2

安全管理制度以正式文件等形式发布。

符合，P=1;不符合，P=0。

人员管理

保密协议

2

重点岗位人员（系统管理员、网络管理员、网络安全员等）签订网络安全与保密协议。

P=重点岗位人员中签订网络安全与保密协议的比率。

离岗管理

2

人员离岗离职时，收回其相关权限，签署安全保密承诺书。

符合，P=1；不符合，P=0。

到访管理

2

外部人员访问机房等重要区域时采取审批、人员陪同、进出记录等安全管理措施。

符合，P=1；不符合，P=0。

资产管理

责任落实

2

指定专人负责资产管理，并明确责任人职责。

符合，P=1；不符合，P=0。

建立台账

2

建立完整资产台账，统一编号、统一标识、统一发放。

符合，P=1；不符合，P=0。

评估指标

评价要素

权重（V）

评价标准（P为量化值）

计分

（P*V）

网络安全

日常管理

资产管理

账物相符

2

资产台账和设备相一致。

符合，P=1；不符合，P=0。

维修报废

2

完整记录设备维修维护和报废信息（时间、地点、内容、责任人等）。

记录完整，P=1；记录不完整，P=0.5；无记录，P=0。

经费保障

3

将网络安全设施运维、日常管理、教育培训、检查评估等费用纳入年度预算。

符合，P=1；不符合，P=0。

外包管理

服务协议

2

与信息技术外包服务提供商签订网络安全与保密协议，或在服务合同中明确网络安全与保密责任。

符合，P=1；不符合，P=0。

现场管理

2

现场服务过程中安排专人管理，并记录服务过程。

记录完整，P=1；记录不完整，P=0.5；无记录，P=0。

开发管理

2

外包开发的系统、软件上线前通过信息安全测评。

P=外包开发的系统、软件上线前通过信息安全测评的比率。

运维方式

2

原则上不得采用远程在线方式，确需采用时采取书面审批、访问控制、在线监测、日志审计等安全防护措施。

符合，P=1；不符合，P=0。

网络安全

防护管理

物理环境

机房安全

2

具备防盗窃、防破坏、防雷击、防火、防水、防潮、防静电及备用电力供应、温湿度控制、电磁防护等安全措施。

符合，P=1；不符合，P=0。

访问控制

1

机房配备门禁系统或有专人值守。

符合，P=1；不符合，P=0。

边界安全

访问控制

3

网络边界部署访问控制设备，能够阻断非授权访问。

符合，P=1；有设备。

但未配置侧咧，P=0.5；无设备,P=0。

入侵检测

2

网络边界部署入侵检测设备，定期更新检测规则库。

符合，P=1；有设备，但未定期更新，P=0.5；无设备，P=0。

评估指标

评价要素

权重（V）

评价标准（P为量化值）

计分

（P*V）

网络安全防护管理

边界安全

安全审计

2

网络边界部署安全审计设备，对网络访问情况进行定期分析审计并记录审计情况。

符合，P=1；有设备，但未定期分析，P=0.5；无设备，P=0。

入口数量

2

同一办公区域内互联网接入口不超过2个。

符合，P=1；不符合，P=0。

设备安全

恶意代码

2

部署防病毒网关或统一安装防病毒软件，并定期更新恶意代码库。

符合，P=1；有设备，但未定期更新，P=0.5；无设备，P=0。

漏洞扫描

2

定期对服务器、网络设备、安全设备等进行安全漏洞扫描。

符合，P=1；不符合，P=0。

服务器

口令策略

1

配置口令策略保证服务器口令强度和更新频率。

P=配置了口令策略的服务器比率。

服务器

安全审计

1

启用安全审计功能并进行定期分析。

P=安全审计日志进行定期分析的服务器比率。

服务器

补丁更新

2

及时对服务器操作系统补丁和数据库管理系统补丁进行更新。

P=补丁得到及时更新的服务器比率。

网络设备和安全设备

口令策略

1

配置口令策略保证网络设备和安全设备（指重要设备）口令强度和更新频率。

P=网络设备和安全设备中配置了口令策略的比率。

终端计算机统一防护

2

采取集中统一管理方式对终端进行防护，统一软件下发、安装系统补丁。

符合，P=1；不符合，P=0。

终端计算机接入控制

1

采取技术措施（如部署集中管理系统、将IP地址与MAC地址绑定等）对接入单位网络的终端计算机进行控制。

符合，P=1；不符合，P=0。

存储安全

1

配备必要的电子信息消除和销毁设备，对变更用途的存储介质进行信息消除，对废弃的存储介质进行销毁。

符合，P=1；不符合，P=0。

评估指标

评价要素

权重（V）

评价标准（P为量化值）

计分

（P*V）

网络安全防护管理

应用系统

（无门户网站或邮件系统则相应项P=1）

风险评估与等级保护

2

按《信息化条例》要求，对本单位信息系统实施等级保护，开展风险评估。

等级保护定级未备案或风险评估未采取备案机构开展P=0.5;未实施等级保护或未开展风险评估P=0。

门户网站

防篡改

2

门户网站采取网页防篡改措施。

符合，P=1；不符合，P=0。

门户网站

抗拒绝服务攻击措施

1

门户网站采取抗拒绝服务攻击措施。

符合，P=1；不符合，P=0。

门户网站信息发布审核

2

网站信息发布前采取内容核查、审批等安全管理措施。

符合，P=1；不符合，P=0。

电子邮件账号审批注册

1

建立邮件账号开通审批程序，防止邮件账号任意注册使用。

符合，P=1；不符合，P=0。

电子邮箱账户口令策略

1

配置口令策略保证电子邮箱口令强度和更新频率。

符合，P=1；不符合，P=0。

邮件清理

1

定期清理工作邮件。

符合，P=1；不符合，P=0。

数据安全

存储保护

2

采取技术措施（如加密、分区存储等）对存储的重要数据进行保护。

符合，P=1；不符合，P=0。

传输保护

2

采取技术措施对传输的重要数据进行加密和校验。

符合，P=1；不符合，P=0。

数据和系统备份

2

采取技术措施对重要数据和系统进行定期备份。

符合，P=1；不符合，P=0。

数据中心、灾备中心设立

1

数据中心、灾备中心应设在境内。

符合，P=1；不符合，P=0。

网络安全应急管理

应急预案

2

制定网络安全事件应急预案（部门级预案，非单个系统的应急预案），并使相关人员熟悉应急预案。

符合，P=1;不符合，P=0。

评估指标

评价要素

权重（V）

评价标准（P为量化值）

计分

（P*V）

网络安全应急管理

应急演练

2

开展应急演练，留存演练计划、方案、记录、总结等文档。

符合，P=1;不符合，P=0。

应急资源

1

制定应急技术支援队伍，配备必要的备件等应急物质。

符合，P=1;不符合，P=0。

事件处理

2

发生网络安全事件后，及时向主管领导报告，按照预案开展处置工作；重大事件及时通报网络安全主管部门。

及时按照省信息安全主管部门处置网络安全事件。

发生过事件并按要求及时处置，或未发生事件，P=1;发生过事件未按要求及时处置，P=0。

网络安全教育培训

意识教育

3

面向全体人员开展网络安全形势与警示教育、基本技能培训等活动。

本年度开展活动的次数>2，P=1;次数=2，P=0.7;次数=1，P=0.3;次数=0，P=0。

专业培训

3

参加全省统一组织的管理人员和技术人员专业培训。

符合，P=1;不符合，P=0。

网络安全检查

工作部署

1

下发检查工作相关文件或者组织召开专题会议，对年度检查工作进行部署。

符合，P=1;不符合，P=0。

工作机制

1

明确检查工作负责人、检查机构和检查人员。

符合，P=1；不符合，P=0。

技术检测

2

使用技术手段进行安全检测。

符合，P=1；不符合，P=0。

检查经费

1

安排并落实检查工作经费。

符合，P=1；不符合，P=0。

整改落实

3

完成上一年度信息安全检查整改，并针对本年度自查问题制定整改工作方案。

符合，P=1；无前一年度整改记录或本年度整改方案，P=0.5；不符合，P=0。

网络安全情况表

部门组织情况

分管领导

姓名

职务

责任处室

名称

负责人

职务

电话

信息安全员

姓名

移动电话

电话

信息系统基本情况

信息系统情况

信息系统总数

可以通过互联网访问的系统数量

不能通过互联网访问的系统数量

面向社会公众提供服务的系统数量

重要信息系统数量

本年度经过安全测评的系统数量

互联网接入情况

互联网入口总数

电信入口数量

带宽（M）

联通入口数量

带宽（M）

其他入口数量

带宽（M）

系统定级数量

第一级

第二级

第三级

第四级

第五级

未定级

门户网站情况

域名

IP地址

运维主体

信息技术产品使用情况

服务器

总台数

国内品牌台数

其中国产CPU台数：

国外品牌台数

使用国产操作系统台数：

使用国外操作系统台数：

终端计算机

（含笔记本）

总台数

国内品牌台数

其中国产CPU台数：

国外品牌台数

使用国产操作系统台数：

使用国外操作系统台数：

使用windowsXP台数：

安装国产字处理软件的终端计算机台数：

安装国产防病毒软件的终端计算机台数：

路由器

总台数

国内品牌台数

国外品牌台数

交换机

总台数

国内品牌台数

国外品牌台数

存储设备

总台数

国内品牌台数

国外品牌台数

数据库管理系统

总台数

国内品牌台数

国外品牌台数

邮件系统

总数

品牌

数量

品牌

数量

负载均衡设备

总数

品牌

数量

品牌

数量

防火墙

总数

品牌

数量

品牌

数量

入侵检测设备

总数

品牌

数量

品牌

数量

安全审计设备

总数

品牌

数量

品牌

数量

外包服务机构情况表

外包服务机构1

机构名称

机构性质

□国有单位□民营企业□外资企业

服务内容

□系统集成□系统运维□风险评估

□安全检测□安全加固□应急支持

□数据存储□灾难备份

□其他：

_________________

网络安全保密协议

□已签订□未签订

信息安全管理体系认证

□已通过认证

认证机构：

_______________

□未通过认证

外包服务机构2

机构名称

机构性质

□国有单位□民营企业□外资企业

服务内容

□系统集成□系统运维□风险评估

□安全检测□安全加固□应急支持

□数据存储□灾难备份

□其他：

_________________

网络安全保密协议

□已签订□未签订

信息安全管理体系认证

□已通过认证

认证机构：

_______________

□未通过认证

重要信息系统情况调查表

信息系统基本情况

信息系统名称

信息系统类型

☐□互联网系统☐□内网/专网系统☐□工业控制系统

（请根据系统类型选填下表内容）

基本功能简介：

等级保护定级：

______级（未定级留空）

互联网系统

IP地址

域名

是否面向社会公众提供服务

☐□是☐□否

系统运转连续性要求

可容忍中断时间：

□小于30分钟

□30分钟至12小时

□大于12小时

日PV量

（页面浏览量）

日UV量

（IP访问量）

数据备份情况

☐□存储介质备份☐□数据级灾备☐□系统级灾备

开发单位简介：

运维单位简介：

内网/专网系统

是否与互联网数据交换

☐□是☐□否

系统运转连续性要求

可容忍中断时间：

□小于30分钟

□30分钟至12小时

□大于12小时

数据备份情况

☐□存储介质备份☐□数据级灾备☐□系统级灾备

开发单位简介：

运维单位简介：

工业控制系统

是否连接互联网

☐□是☐□否

系统运转连续性要求

可容忍中断时间：

□小于30分钟

□30分钟至12小时

□大于12小时

系统中断后可能造成的损失

☐□人身伤害☐□经济损失☐□环境污染☐□其它

简要描述可能损害情况：

信息系统密码应用情况

密码设备

使用情况

IPsecVPN密码机

□已采用□未采用

使用国产算法

□是□否

数量

厂家及型号

SSLVPN密码机

□已采用□未采用

使用国产算法

□是□否

数量

厂家及型号

服务器密码机

□已采用□未采用

使用国产算法

□是□否

数量

厂家及型号

第三方电子

认证证书

□已采用□未采用

认证机构名称

安全认证网关

□已采用□未采用

使用国产算法

□是□否

数量

厂家及型号

签名验证服务器

□已采用□未采用

使用国产算法

□是□否

数量

厂家及型号

智能密码钥匙

□已采用□未采用

使用国产算法

□是□否

数量

厂家及型号

电子签章系统

□已采用□未采用

使用国产算法

□是□否

数量

厂家及型号

动态令牌

□已采用□未采用

使用国产算法

□是□否

数量

厂家及型号

智能IC卡

□已采用□未采用

使用国产算法

□是□否

数量

厂家及型号

加密U盘/加密硬盘

□已采用□未采用

使用国产算法

□是□否

数量

厂家及型号

加密路由器

□已采用□未采用

使用国产算法

□是□否

数量

厂家及型号

自建证书认证系统

□自建□未自建

使用国产算法

□是□否

数量

厂家及型号

自建密钥管理系统

□已自建□未自建

使用国产算法

□是□否

数量

厂家及型号

金融数据密码机

□已采用□未采用

使用国产算法

□是□否

数量

厂家及型号

支付服务密码机

□已采用□未采用

使用国产算法

□是□否

数量

厂家及型号

密码产品备案

□已备案□未备案

系统密码测评

□已测评□未测评

密码方案审查

□已审查□未审查

网络安全检查总结

（内容提要）

1、工作组织

（工作部署时间、方式、承担部门、经费保障等情况）

2、检查方式

（自查、管理检查、技术检查等情况）

3、检查结果

（至少包括网络安全管理情况、技术防护情况、风险评估与等级保护工作落实情况、应急工作情况、宣传教育培训情况、WinXP停止更新应对情况等）

4、整改措施

（下一步工作方向）

5、意见建议

（对我市信息安全工作的具体建议）

附件2：

南京市重点行业

网络安全检查材料

（2014年）

部门：

（签章）

联系人：

___________________

联系电话：

___________________

填表时间：

___________________

填表说明：

一、如实认真填写各表各项内容。

二、行业主管部门填写统计表，并将各行业内重要信息系统表逐一附后。

三、行业网络安全检查工作总结结合本行业业务特点描述，与前述材料一并装订。

四、涉密信息系统不在此次调查范围内。

重点行业网络安全检查结果统计表

一、行业基本情况