信息安全自查操作指南.docx
《信息安全自查操作指南.docx》由会员分享,可在线阅读,更多相关《信息安全自查操作指南.docx(32页珍藏版)》请在冰豆网上搜索。
信息安全自查操作指南
信息安全自查操作指南
二〇一二年八月
目
录
概
述...............................................2
一、自查目的......................................2
二、自查工作流程..................................2
三、检查方式......................................3
环节一
自查工作部署.................................5
一、研究制定自查实施方案..........................5
二、自查工作动员部署..............................7
环节二
基本情况自查.................................8
一、系统基本情况自查..............................8
二、安全管理情况自查.............................14
三、技术防护情况自查.............................19
四、应急处置及容灾备份情况自查...................21
五、安全技术检测.................................22
环节三
问题与风险分析..............................24
一、主要问题分析.................................24
二、国外依赖度分析...............................24
三、主要威胁分析.................................25
环节四
自查工作总结................................27
一、自查工作总结.................................27
二、自查情况上报.................................27
有关工作要求........................................28
附1.................................................30
附2.................................................32
概
述
为指导重点领域信息安全自查工作,依据《印发广东省重
点领域网络与信息安全检查工作方案和信息安全自查操作
指南的通知》(粤信办〔2012〕6号),以下简称《检查通知》),
制定本指南。
本指南主要用于本市各县(市、区)、市直各有关单位、大型
国有企业(以下统称自查单位)在开展信息安全自查具体工作时
参考。
一、自查目的
通过开展安全自查,进一步梳理、掌握本单位重要网络与信
息系统基本情况,查找突出问题和薄弱环节,分析面临的安全威
胁和风险,评估安全防护水平,有针对性地采取防范对策和改进
措施,加强网络与信息系统安全管理和技术防护,促进安全防护
能力和水平提升,预防和减少重大信息安全事件的发生,切实保
障本单位网络与信息安全。
二、自查工作流程
信息安全自查主要包括自查工作部署、基本情况自查、问题
与风险分析、自查工作总结等4个环节。
(见图1)
—2—
图1自查工作流程
—3—
三、检查方式
按照《检查通知》,此次检查按照“谁主管谁负责、谁运行
谁负责”的原则,采取自查与抽查相结合、以自查为主的方式开
展。
各地区、各部门和有关单位在具体实施安全检查时,可采用
人员访谈、文档查阅、现场核查、工具测试、人工检测等方法进
行。
—4—
环节一
自查工作部署
一、研究制定自查实施方案
认真学习《检查通知》,深刻领会文件精神和有关要求,研
究制定自查实施方案,并报主管领导批准。
(一)自查实施方案应当明确的内容
自查实施方案应当明确以下内容:
1)自查工作负责人、组
织单位和实施机构。
(2)自查范围和自查对象。
(3)自查工作的
组织方式。
(4)自查工作时间进度安排。
1.关于自查范围。
此次自查范围是政府信息系统、重点行
业和市政领域的网络与信息系统(含工业控制系统,以下同)。
检查的重点是事关国家安全和社会稳定,对地区、部门或行业正
常生产生活具有较大影响的重要网络与信息系统。
2.关于自查对象。
主要指网络与信息系统安全管理与防护
涉及到的信息安全综合管理部门、信息化部门、业务部门、生产
管理部门、财务部门、人事部门等相关部门。
各单位可根据实际
情况确定具体的自查对象。
3.关于自查工作组织。
自查单位可成立自查工作组开展检
查,也可指定专门机构负责自查实施工作。
自查工作组可由本单
位信息化与信息安全部门以及相关业务部门中熟悉业务、具备信
息安全知识、技术能力较强的人员,以及本单位相关技术支撑机
构业务骨干等组成。
单位内各部门可指定人员负责协调配合和联
—5—
(
络工作。
对于有工业控制系统的单位,可考虑生产管理部门参与
工业控制系统信息安全检查。
对于信息系统复杂、自查工作涉及部门多的单位,可根据需
要成立自查工作领导小组,负责自查工作的组织协调与资源配
置。
领导小组组长可由本单位信息安全主管领导担任,领导小组
成员可包括信息安全综合管理部门负责人(如办公室主任)、信
息化部门负责人(如信息中心主任),以及其他相关部门负责人
(如人事部门、财务部门、业务部门、生产管理部门领导)等。
(二)应当注意的有关事项
1.纳入检查范围的网络与信息系统从安全防护的角度应具
有相对的独立性。
从安全防护的角度判断网络与信息系统独立性的方法如下:
根据系统所承担业务的独立性、责任主体的独立性、网络边界的
独立性、安全防护设备设施的独立性四个因素,对网络与信息系
统进行全面梳理并综合分析,划分出相对独立的网络与信息系
统,并形成网络与信息系统清单,以便于更好地界定检查范围。
2.关于重要网络与信息系统,可从系统特征的角度,立足
本地区、本部门或本行业实际,参考以下标准进行判定:
(1)业务依赖度高。
(2)数据集中度高(全国或省级数据集中)。
(3)实时性要求高。
(4)系统关联性强(发生重大信息安全事件后,会对与其
—6—
相连的其他系统造成较大影响,并产生连片连锁反应)。
(5)直接面向社会公众提供服务,用户数量庞大,覆盖范
围广。
(6)灾备等级高(系统级灾备)。
3.关于重要工业控制系统,可从发生信息安全事件造成危
害的角度,参考以下标准进行判定:
(1)发生重大信息安全事件,致使系统出现严重故障后,
可能导致10人以上死亡或50人以上重伤。
(2)发生重大信息安全事件,致使系统出现严重故障后,
可能导致5000万元以上直接经济损失。
(3)发生重大信息安全事件,致使系统出现严重故障后,
可能影响100万人以上正常生活。
(4)发生重大信息安全事件,致使系统出现严重故障后,
可能对与其相连的其他系统造成影响,并产生连片连锁反应。
(5)发生重大信息安全事件,致使系统出现严重故障后,
可能对生态环境造成严重破坏。
(6)发生重大信息安全事件,致使系统出现严重故障后,
可能对国家安全和社会稳定产生重大影响。
二、自查工作动员部署
自查单位可通过召开会议、下发文件等方式对自查工作进行
部署,布置自查工作任务。
相关人员要切实落实自查工作责任,
各司其职,形成合力,共同推进自查工作。
—7—
环节二
基本情况自查
一、系统基本情况自查
(一)系统特征情况
1.查看系统规划设计方案、安全防护规划设计方案、网络
拓扑图等,核实系统的实时性、服务对象、连接互联网情况、数
据集中情况、灾备情况等基本情况,记录检查结果(表1)。
表1系统基本情况检查记录表
逻辑强隔离指使用逻辑强隔离设备(使用正向、反向或双向网闸)进行的网络隔离。
2.根据上述系统基本情况核查结果,分析系统停止运行后
对主要业务的影响程度、系统遭受攻击破坏后对社会公众的影响
程度等安全特征,记录分析结果(表2)。
(1)关于系统停止运行后对主要业务的影响程度判定标准
—8—
如下:
影响程度高:
系统停止运行后,主要业务无法开展或对主要
业务运行产生严重影响;
影响程度中:
系统停止运行后,对主要业务运行有一定影响,
可用手工等传统方式替代;
影响程度低:
系统停止运行后,对主要业务运行影响较小或
无影响。
(2)关于系统遭受攻击破坏后对社会公众的影响程度判定
标准如下:
影响程度高:
系统遭受攻击破坏,造成系统无法正常运行、
被劫持、信息泄露等后果后,对社会公众正常生活、公众利益等
产生严重影响;
影响程度中:
系统遭受攻击破坏,造成系统无法正常运行、
被劫持、信息泄露等后果后,对社会公众正常生活、公众利益等
产生一定影响;
影响程度低:
系统遭受攻击破坏,造成系统无法正常运行、
被劫持、信息泄露等后果后,对社会公众正常生活、公众利益等
影响较小或无影响。
—9—
表2系统特征情况分析记录表
(二)系统构成情况
1.重点检查主要硬件设备类型、数量、生产商(品牌)情
况,记录检查结果(表3)。
硬件设备类型主要有:
服务器、路由器、交换机、防火墙、
磁盘阵列、磁带库及其他主要安全设备。
硬件设备生产商(品牌)按国内、国外两类进行记录。
其中,
国内主要有浪潮、曙光、联想、方正、华为、中兴、天融信、启
明星辰、绿盟、联想网御等,国外主要有IBM、HP、DELL、Cisco、
Juniper、H3C等。
2.重点检查主要软件设备类型、套数、生产商(品牌)情
况,记录检查结果(表4)。
软件设备类型主要有:
操作系统、数据库及主要业务应用系
统。
软件设备生产商(品牌)按国内、国外两类进行记录。
其中,
国内主要有红旗、麒麟、金仓、达梦等,国外主要有Windows、
RedHat、HP-Unix、AIX、Solaris、Oracle、DB2、SQLServer等。
—10—
(三)工业控制系统类型与构成情况
通过调阅资产清单、现场查看、上机检查等方式,检查工业
控制系统类型和构成情况,汇总记录检查结果(表5)。
工业控制系统类型主要包括数据采集与监控系统、分布式控
制系统、过程控制系统、可编程控制器、就地测控设备(仪表、
智能电子设备、远端设备)等。
工业控制系统软硬件主要包括:
应用服务器-工程师工作站
(组态监控软件、系统软件、PC机/服务器)、数据服务器(数
据库软件、系统软件、PC机/服务器)等。
表3信息系统主要硬件检查记录表
—11—
表4信息系统主要软件检查记录表
—12—
1.设备类型:
,品牌
,套数
国外
2.设备类型:
,品牌
,套数
(如有更多,请另列表)
表5工业控制系统类型与构成情况检查记录表
(四)信息技术外包服务情况
重点检查信息技术外包服务类型、服务提供商、服务方式、
安全保密协议等,记录检查结果(表6)。
服务类型主要有系统集成、软件开发、系统运维、风险评估、
安全检测、安全加固、应急支持、数据存储、规划咨询、系统托
管、灾难备份等。
—13—
服务方式主要有远程在线服务和现场服务。
安全保密协议内容应包括安全责任、违约责任、协议有效期
和责任人等内容。
对于没有安全保密协议文本,但在外包服务合
同中具有相关内容的,视同签订安全保密协议。
表6信息技术外包服务检查结果记录表
二、安全管理情况自查
(一)信息安全责任制建立及落实情况
重点检查信息安全主管领导、信息安全管理机构、信息安全
—14—
工作人员履职以及岗位责任、事故责任追究情况等,记录检查结
果(表7)。
1.信息安全主管领导明确及工作落实情况。
检查方法:
调阅领导分工等文件,检查是否明确了信息安全
主管领导。
调阅信息安全相关工作批示和会议记录等文件,了解
主管领导工作落实情况。
2.信息安全管理机构指定及工作落实情况。
检查方法:
调阅单位内各部门职责分工等文件,检查是否指
定了信息安全管理机构(如省经济和信息化委指定办公室作为本
部门信息安全管理机构)。
调阅工作计划、工作方案、管理规章
制度、监督检查记录等文件,了解管理机构工作落实情况。
3.信息安全工作人员配备及工作落实情况。
检查方法:
调阅人员列表、岗位职责分工等文件,检查是否
配备了信息安全工作人员。
访谈信息安全工作人员,调阅工作计
划、工作记录、工作报告等文件,检查信息安全工作人员的工作
落实情况。
4.岗位责任和事故责任追究情况。
检查方法:
调阅安全事件记录等文件,检查是否发生过因违
反制度规定造成的信息安全事故。
调阅安全事件处置文件,检查
是否对信息安全责任事故进行了查处。
—15—
表7信息安全责任制建立及落实情况检查记录表
(二)日常安全管理制度建立和落实情况
重点检查人员管理、资产管理、存储介质管理、运行维护管
理、年度教育培训等制度建立和落实情况,记录检查结果(表8)。
1.人员管理制度。
检查方法:
调阅人员管理制度等文件,检查是否有岗位信息
安全责任、人员离岗离职管理、外部人员访问管理等相关规定。
调阅人员信息安全保密协议,检查系统管理员、网络管理员、信
息安全员等重点岗位人员是否签订了协议。
调阅人员离岗离职记
录、人员离岗离职承诺书等文件,抽查离岗离职人员信息系统访
问权限终止情况,检查人员离岗离职管理落实情况。
调阅外部人
员访问审批手续、访问记录等文件,检查外部人员访问管理落实
—16—
情况及相关记录完整性。
2.资产管理制度
检查方法:
调阅资产管理制度等文件,检查是否有设备发放、
使用、维修、维护和报废等相关规定。
调阅资产台账,抽取一定
比例的在用设备,核查其对应的资产台账记录;随机抽取资产台
账中的设备,核查其对应的实物,检查资产台账完整性和账物符
合性。
调阅设备管理员任命、岗位分工等文件,访谈设备管理员,
检查是否指定了专人负责资产管理工作。
3.存储介质管理制度。
检查方法:
调阅存储介质管理制度等文件,检查是否有介质
领用、交回、维修、报废、销毁等相关规定,调阅存储介质管理
相关记录,检查存储介质管理制度落实情况。
访谈网络管理员、
数据库管理员,了解存储阵列、磁带库等大容量存储介质是否外
联,外联时是否有安全防护措施,是否存在远程维护。
4.运行维护管理制度。
检查方法:
调阅运行维护管理制度等相关文件,检查是否包
含备份、应急、监控、审计、变更管理等相关内容。
调阅运维操
作手册和运维相关记录,检查是否有运维操作手册、运行维护管
理制度落实情况及相关记录完整性。
5.年度教育培训。
检查方法:
访谈网络管理员、系统管理员和工作人员,了解
信息安全基本防护技能掌握情况,调阅信息安全教育培训制度、
—17—
培训计划、培训记录、考核记录及试卷等相关文件,检查年度培
训计划制定情况、培训记录(培训时间、培训内容、人员签到、
培训讲师等内容),确认信息安全管理人员和技术人员培训内容
中是否包含专业技能,确认领导干部和机关工作人员培训内容中
是否包含信息安全基本技能。
表8日常安全管理制度建立和落实情况检查结果记录表
(三)信息安全经费投入情况
—18—
重点检查信息安全经费预算和投入情况,记录检查结果(表
9)。
1.本年度信息安全经费预算
检查方法:
调阅本年度经费预算文件,检查是否将信息安全
防护设施建设、运行、维护以及信息安全相关检查、测评、管理
等费用纳入了年度预算,记录本年度信息安全经费预算情况。
2.上年度信息安全经费投入
检查方法:
查阅相关财务文件,记录上一年度信息安全经费
实际投入情况。
表9信息安全经费投入情况表
三、技术防护情况自查
对纳入检查范围的每一个网络与信息系统、工业控制系统的
技术防护情况逐个进行检查,重点检查技术防护体系建设、网络
边界安全防护措施、设备安全策略配置、重要数据传输存储安全
防护措施等情况,记录检查结果(表10)。
(一)网络边界安全防护措施
检查方法:
对照网络拓扑图,检查网络实际连接情况,确认
同网络拓扑图一致。
分析网络拓扑图,查看网络隔离设备部署、
—19—
交换机VLAN划分,检查网络是否按重要程度划分安全区域,
确认不同区域采用了正确的隔离措施。
检查互联网连接情况,统
计网络外联的出口个数,检查每个出口是否都进行了安全控制。
检查网络边界防护设备部署情况,确认外部网络接入内部网络采
用了安全的加密传输方式(如VPN)等。
(二)安全策略或安全功能配置及有效性
检查方法:
分别登录服务器、网络设备、安全设备,查看安
全策略配置,检查安全策略配置是否合理,并验证其有效性,确
认按需开放端口、符合最小服务原则。
检查应用系统安全功能配
置情况,确认具有身份认证、访问控制、安全审计等安全功能,
登录系统验证安全功能的有效性。
(三)重要数据传输、存储安全防护措施
检查方法:
登录数据库,查看重要数据,确认加密存储。
采
用网络嗅探工具抓取访问系统时的通信数据包,检查是否加密传
输。
访谈数据库管理员,检查重要数据是否进行备份,确认备份
方式是本地备份还是异地备份。
核查备份数据文件,确认备份周
期。
(四)密码技术和设备情况。
检查方法:
调阅资产台账,查看在用系统,检查在用的密码
设备、密码技术,检查供应商情况、是否具有相应资质。
—20—
表10技术防护情况检查记录表
(每个系统单独成一张表)
四、应急处置及容灾备份情况自查
重点检查应急预案制修订、应急演练和灾备措施情况,记录
检查结果(表11)。
(一)信息安全事件应急预案制定和修订情况
检查方法:
调阅应急预案文本、预案年度评估记录和修订记
录等文件,检查应急预案制定和修订情况。
(二)预案演练及相关人员对预案的熟悉程度
—21—
检查方法:
调阅应急预案宣传材料、预案培训记录,访谈系
统管理员、网络管理员和工作人员,询问对应急预案的熟悉程度。
(三)灾难备份和恢复措施建设情况
检查方法:
查看重要网络设备、通信线路和服务器连接情况,
检查重要设备是否提供硬件冗余。
分析网络拓扑图,检查重要业
务系统是否配备本地或异地系统级热备份的功能。
(四)应急资源配备和建设情况
检查方法:
调阅服务合同或服务协议,检查是否明确了应急
技术支援队伍,确认应急技术支援队伍的响应时间。
查看备机备
件,或调阅设备生产商、代理商服务合同,检查是否已建立了明
确的备机备件库或有备机备件供应渠道。
表11应急处置及容灾备份情况检查结果记录表
五、安全技术检测
(一)工具检测
使用检测工具检测操作系统、数据库、网络设备、安全设备、
应用系统等的端口、应用、服务及补丁更新情况,检测是否关闭
—22—
了不必要的端口、应用、服务,是否存在安全漏洞。
常用的检测工具有:
漏洞扫描工具、密码安全检测工具、数
据库安全检测工具、协议分析工具、应用安全扫描工具、SQL
注入工具等。
(二)渗透测试
组织专业技术力量,采取模拟攻击方式对系统进行渗透测
试,检验系统防入侵、防攻击、防泄漏、防篡改等能力。
工业控制系统检查中,要慎重使用攻击性测试手段。
—23—
环节三
问题与风险分析
对检查中发现的问题和面临的威胁风险进行分析,记录分析
结果(表12)。
一、主要问题分析
1.从安全管理和技术防护两个方面,对检查中发现的主要
问题及薄弱环节逐一进行研究,深入分析问题产生的直接原因以
及深层次的原因,研究提出相应的改进措施。
2.从法律法规、政策制度、技术手段三个方面,分析制约
本单位系统安全防护能力提高的主要因素,包括当前不适应安全
管理工作或缺失的法律法规及政策制度,安全防护中缺少或严重
不足的技术手段等,研究提出关于加强信息安全工作的意见和建
议等。
二、国外依赖度分析
根据对主要软硬件设备和信息技术外包服务的检查情况,统
计国外产品和服务所占的比例,分析系统对国外产品和服务的依
赖程度,记录分析结果。
系统对国外产品和服务的依赖程度按以下标准判定:
1.高依赖:
国外停止产品更新升级、终止技术支持等服务
后,信息系统无法运行。
2.中依赖:
国外停止产品更新升级、终止技术支持等服务
—24—
后,信息系统能够运行,但系统功能、性能等受较大影响。
3.低依赖:
国外停止产品更新升级、终止技术支持等服务
后,信息系统能够正常运转或受影响较小。
三、主要威胁分析
根据安全检测发现的漏洞和隐患,分析系统存在的安全风
险,判断面临的安全威胁程度以及具备的安全防护能力,评估系
统总体安全状况。
1.系统面临的安全威胁程度按以下标准判定
系统具有下述特征之一的,为高安全威胁:
1)连接互联网,
采用远程在线方式进行运维或对国外产品和服务高度依赖;
(2)
跨地区联网运行或网络规模大、用户多,采用远程在线方式进行
运维或对国外产品和服务高度依赖;3)存在其他可能导致系统
中断或系统运行受严重影响、大量敏感信息泄露等的威胁。
系统具有下述特征之一的,为中安全威胁:
1)连接互联网,
对国外产品和服务中度依赖;2)跨地区联网运行或网络规模大、
用户多,对国外产品和服务中度依赖;3)存在其他可能导致系
统运行受较大影响、敏感信息泄露等的威胁。
系统具有下述特征之一的,为低安全威胁:
1)连接互联网,
对国外产品和服务依赖度低;2)跨地区联网运行或网络规模大、
用户多,对国外产品和服务依赖度低;3)存在其他可能导致系
统运行受影响、信息泄露等的威胁。
2.系统安全防护能力按以下标准判定
—25—
(
(
(
(
(
(
(
(
安全防护能力高:
经组织专业技术力量对系统进行攻击测
试,不能通过互联网进入或控制系统。
安全防护能力中:
经组织专业技术力量对系统进行攻击测
试,能够通过互联网进入或控制系统,但进入或控制系统的难度
较高。
安全防护能力低:
经组织专业技术力量对系统进行攻击测
试,能够轻易通过互联网进入或控制系统。
表12问题和威胁分析记录表
—26—
环节四
自查工作总结
一、自查工作总结
自查工作完成后,各单位应及时对自查工作情况进行全面总
升级会员 