设备入网安全验收管理办法文档格式.docx

1、第四条 本办法所指“设备”包括通信网、业务系统（如基地业务、第三方合作业务等）和各支撑系统的设备，如各种应用服务器、网络设备、交换机以及网络安全设备等。第二章 组织与职责第五条 按照“谁主管谁负责，谁维护谁负责，谁使用谁负责，谁接入谁负责”原则，通信网、业务系统和各支撑系统的维护管理部门是各所辖专业网的安全验收执行部门，应安排专人负责所辖系统安全验收工作。第六条 系统建设部门负责提出入网安全测试申请，主要职责如下：（一）负责在安全验收前按本管理办法落实安全配置要求，提出对准备入网设备的安全验收请求，同时提供验收必需材料（参见附录2）。（二）对安全验收结果进行确认，并对需整改的问题进行限期整改，

2、对整改不了的遗留问题督促设备供应商/系统集成商进行备案。备案材料需对无法进行整改的问题进行说明，设备供应商/系统集成商需承诺对于遗留问题可能引发的信息安全问题负责并盖章确认，并对备案证明归档（备案证明的格式参考附录4）。第七条 安全验收执行部门负责对安全检查进行执行和验收，主要职责如下：（一）审核、确认验收工单，依据前期项目技术规范书中的安全相关要求拟定验收方案。（二）负责对入网验收工单的设备清单进行必要的安全检查（内容可参考附录3），提出相关检查报告。（三）核查入网设备需求部门所提供验收必需材料是否真实和是否符合安全验收标准。（四）输出安全验收报告，给出入网结论。（五）督促系统建设部门对遗留

3、问题进行整改，对完成整改的系统进行再次验收，并对遗留问题归档做好确认工作。（六）如需第三方安全验收技术支持单位支持，对其提供的技术支持服务进行评分和考核。第三章 入网安全验收流程第八条 系统建设部门在完成设备安全配置后系统上线前申请入网安全测试并提交新设备安全验收所需相关文档（具体见内容可参考附录2）。第九条 安全验收执行部门自收到入网安全验收任务工单后5个工作日内按照安全验收内容及标准进行验收，完成入网设备的安全评估，并提供安全验收报告。如安全验收未通过，则不允许接入现网。第一十条 在需求紧急等特殊情况下，如入网安全验收未通过，经安全验收执行部门及维护部门的领导特批许可后可予以批准系统上线，

4、并同时要求需求系统建设方制定整改计划和提供备案证明，在完成整改前应实施有效的替代措施。第一十一条 安全验收通过后，双方在安全验收报告上签字确认，并留档后，准予设备接入公司网络。第一十二条 入网安全验收报告作为系统初验的重要依据。如在系统终验前未作其他后续安全验收，则入网安全验收报告也作为系统终验的重要依据。后续安全验收需覆盖入网安全验收的全部内容。入网安全验收详细流程参考附录1：安全验收流程。第四章 入网安全验收内容第一十三条 系统入网安全验收应对入网设备进行安全检查和测试，包括：网络安全架构检查、帐号安全检查、服务端口检查、防火墙策略检查、防病毒软件检查、系统日志安全检查、漏洞扫描检查、安全

5、配置检查、弱口令检查和渗透测试。其中防病毒软件检查仅针对Windows系统设备，渗透检查可根据实际情况选择进行。第一十四条 网络安全架构检查的主要检查项包括对安全域及防火墙、路由器配置进行检查，检验其是否依照建设方案建设（设计方案应符合安全域要求），安全域拓扑、安全域内资产情况、VLAN访问控制策略、边界互联情况。第一十五条 内容包括但不限于网络结构评估、设备配置检查、帐号口令核查、设备安全功能检验、外部渗透测试等，过程包括评估、验收、问题的整改和处理。第一十六条 帐号安全检查的主要检查项包括是否存在无主帐号、内置帐号。第一十七条 服务端口检查的主要检查项包括检查设备是否已按服务与端口管理办法

6、要求，对系统的端口和服务等基础安全信息进行备案。所有必须开放的端口其对应的应用软件和功用必须列表登记，不允许存在非必要的开放端口。第一十八条 防火墙策略检查的主要检查项包括检查防火墙的策略是否有详细的用途说明，要求防火墙进行双向访问控制并且已按照最小化权限的原则配置防护墙策略。第一十九条 防病毒软件检查的主要检查项包括检查windows设备是否已经安装指定授权的防病毒软件，并且检查病毒库是否已更新到最新。第二十条 系统日志安全检查的主要检查项包括检查设备的系统层、数据库和应用层是否已为用户越权访问、用户权限升级、更改口令、新建用户、非正常时间登陆、多次错误登陆、审计策略更改或其他异常事件具备日

7、志记录功能，如不能具备相关日志记录功能必须备案。第二十一条 漏洞扫描检查主要通过评估工具以本地扫描的方式对评估范围内的系统和网络进行安全扫描，查找网络结构、网络设备、服务器主机、数据和用户帐号/口令等安全对象目标存在的安全漏洞，不允许存在已被CVE（Common Vulnerabilities and Exposures，公共漏洞库）定义的高风险漏洞和中风险漏洞。第二十二条 安全配置检查主要依据入网设备所属设备类别的配置规范进行，根据安全基线检查，如果没有对应设备类型的规范，则参照类似设备规范或设备通用安全功能和配置规范配置规范进行检查。第二十三条 弱口令检查主要对口令复杂度进行检查（对于采用

8、静态口令认证技术的设备，口令至少由6位及以上大小写字母、数字及特殊符号等混合、随机组成，不能以姓名、电话号码以及出生日期等作为口令或者口令的组成部分；涉及客户信息的系统口令应至少由8位组成）。第二十四条 具有对外提供服务的系统，如网站应用等，可以通过渗透测试，漏洞扫描等，检查深层次安全问题，如缓冲区溢出、跨站脚本攻击、SQL注入等编程漏洞、业务流程和通信协议中存在的漏洞等。第五章 审核管理第二十五条 安全验收执行部门根据本办法的相关要求，定期或不定期对入网验收测试的执行情况进行自查与复核。对发现的严重违反相关要求的情况，应及时整改。如发现重大安全隐患，应向集团归口领导部门及时汇报。第二十六条 省公司网络信息安全管理办公室对入网安全测试验收工作的执行情况开展专项检查，并不定期的进行评测与抽查。对违反管理规定的情况要通报批评；对严重违反规定、可能或者己经造成重大安全事故的要立即汇报上级领导。第六章 附则第二十七条 本办法解释权归属省公司网络信息安全管理办公室。各单位可根据本办法制定有关的实施细则。第二十八条 本办法自颁布之日起实施。附录1安全验收流程附录2提交安全验收工单前所需填写表格第二十九条 附录3 安全验收执行部门所填写表格第三十条 附录4 备案证明