DB11T 1344-2016 信息安全等级保护检查规范

ICS13.310A90DB11北京市地方标准DB11/T1344—2016信息安全等级保护检查规范Examinationspecificationforinformationsecurityclassifiedprotection2016-08-10发布2016-12-01实施北京市质量技术监督局发布DB11/T1344—2016I目次前言.............................................................................II1范围...............................................................................12规范性引用文件.....................................................................13术语和定义.........................................................................14检查流程...........................................................................15一级信息系统检查...................................................................26二级信息系统检查...................................................................77三级信息系统检查..................................................................168四级信息系统检查..................................................................27DB11/T1344—2016II前言本标准按照GB/T1.1—2009给出的规则起草。本标准由北京市公安局提出并归口。本标准由北京市公安局组织实施。本标准主要起草单位：北京市公安局网络安全保卫总队、公安部信息安全等级保护评估中心、信息产业信息安全测评中心、北京中软华泰信息技术有限责任公司。本标准主要起草人：叶漫青、朱华池、白鸥、石锐、吴贤、俞诗源、朱晓莉、高媛、马荣欣、周永战、游书明、赵悦、徐燕、赵志巍、金镁、王峥、周堃、李小玲、王凯晨、梁萌萌、张淮、王一婷、赵永军、李梦娇、陈益、宋扬、张昕、菅强、高瑗泽、傅珩轩、刘晓雪、李君白、张远彬、王熙、张玮、杨潇、石浩、王佳、赵勇、罗铮、袁静、于东升、霍珊珊、刘健、张益、董晶晶。DB11/T1344—20161信息安全等级保护检查规范1范围本标准规定了对信息安全等级保护状况进行检查的流程和内容要求，其中内容要求包括对信息安全等级保护第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全检查的要求。本标准适用于信息安全等级保护检查工作。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T5271.8信息技术词汇第8部分:安全GB17859计算机信息系统安全保护等级划分准则GB/T22239信息安全技术信息系统安全等级保护基本要求GB/T25069信息安全技术术语GB/T25070信息安全技术信息系统等级保护安全设计技术要求3术语和定义GB/T5271.8、GB17859、GB/T22239、GB/T25069和GB/T25070界定的以及下列术语和定义适用于本文件。3.1访谈interview检查人员通过引导信息系统相关人员进行有目的的（有针对性的）交流以帮助检查人员理解、分析或取得证据的过程。3.2查验check检查人员通过对被检查对象（如制度文档、各类设备、安全配置等）进行观察、查阅、核查以帮助检查人员理解、分析或取得证据的过程。3.3测试test检查人员使用预定的方法/工具使被检查对象（各类设备或安全配置）产生特定的结果，将运行结果与预期的结果进行比对的过程。4检查流程DB11/T1344—201624.1前期准备前期准备包括的内容：——调阅被检查单位信息系统的备案材料；——了解被检查单位情况；——成立检查小组；——准备必要的检查材料和检查工具；——制定检查组工作计划，计划内容应包括检查对象、检查人员、检查各个阶段的工作安排等。4.2现场检查现场检查是通过对被检查单位的沟通访谈、文档审查、配置检查、工具测试和实地查验，并调阅自查、总结或等级测评报告等资料，对被检查单位信息安全保护现状进行检查，取得检查总结活动所需的资料。现场检查不应影响系统的正常运行。4.3检查总结检查总结是根据现场检查结果和本标准的相关要求，列举并分析被检查单位信息系统存在的问题，针对被检查单位信息系统安全保护能力出具书面结果材料。5一级信息系统检查5.1物理安全要求5.1.1物理访问控制5.1.1.1检查内容检查内容如下：应检查物理访问控制措施。5.1.1.2检查方法检查方法如下：查验是否有进出机房的人员登记记录。5.1.1.3检查结果判定检查结果判定如下：若机房出入口没有进出机房的人员登记记录，则检查结果为不符合。5.1.2支撑设施保障5.1.2.1检查内容检查内容如下：a)应检查防水措施；b)应检查防火措施；c)应检查温湿度控制措施；d)应检查稳压设备。DB11/T1344—201635.1.2.2检查方法检查方法如下：a)查验是否具备防止机房地下积水转移与渗透的措施，是否对防水防潮处理结果和除湿装置运行情况进行记录；b)查验机房是否配备符合要求的灭火设备，灭火设备摆放是否合理，有效期是否合格；c)查验温湿度自动调节设施是否能够正常运行，查验温湿度控制是否合理；d)查验机房内是否有稳压设备。5.1.2.3检查结果判定检查结果判定如下：a)若机房的墙壁或楼板的管道没有采取必要的防渗透防漏等防水保护措施，或防水防潮处理结果及除湿装置运行记录缺失，则5.1.2.2a）检查结果为不符合；b)若机房内没有配备符合要求的灭火设备，灭火设备摆放不合理或已过期，则5.1.2.2b）检查结果为不符合；c)若机房内没有配备温湿度自动调节设施，或当前温湿度不合理，则5.1.2.2c）检查结果为不符合；d)若机房内没有设置稳压器，则5.1.2.2d）检查结果为不符合。5.2安全技术要求5.2.1网络结构安全5.2.1.1检查内容检查内容如下：应检查网络拓扑图。5.2.1.2检查方法检查方法如下：查验实际环境中的核心交换机、核心服务器、边界防火墙等是否能够在网络拓扑结构图中定位。5.2.1.3检查结果判定检查结果判定如下：若网络拓扑图中无法定位核心交换机、核心服务器、边界防火墙等关键设备，则5.2.1.2检查结果为不符合。5.2.2边界安全防护5.2.2.1检查内容检查内容如下：应检查网络边界入侵检测措施。5.2.2.2检查方法检查方法如下：a)查验网络边界设备是否采取技术手段防止地址欺骗；DB11/T1344—20164b)查验网络入侵检测设备是否能检测以下攻击行为：端口扫描、漏洞扫描、缓冲区溢出攻击、拒绝服务攻击等，查看其规则库是否为最新。5.2.2.3检查结果判定检查结果判定如下：a)若重要地址没有采用IP/MAC绑定等手段防止地址欺骗，则5.2.2.2a）检查结果为不符合；b)若没有部署入侵检测设备或入侵检测设备的特征库未及时更新，则5.2.2.2b）检查结果为不符合。5.2.3用户身份鉴别5.2.3.1检查内容检查内容如下：应检查网络设备、操作系统、数据库管理系统和应用系统的身份鉴别措施。5.2.3.2检查方法检查方法如下：查验主要网络设备、服务器操作系统、数据库管理系统和应用系统的身份鉴别是否开启。5.2.3.3检查结果判定检查结果判定如下：若主要网络设备、服务器操作系统、主要数据库管理系统和应用系统无需身份鉴别，则5.2.3.2检查结果为不符合。5.2.4访问控制5.2.4.1检查内容检查内容如下：应检查操作系统、数据库管理系统的默认账户权限。5.2.4.2检查方法检查方法如下：查验主要服务器操作系统和重要数据库管理系统是否已禁用或者限制匿名/默认账户的访问权限，是否重命名系统默认账户名并修改默认账户的默认口令。5.2.4.3检查结果判定检查结果判定如下：a)操作系统和数据库管理系统默认账户名未重命名，默认口令未修改，则5.2.4.2检查结果为不符合；b)Windows操作系统未禁用Guest默认账户、Linux操作系统未禁用默认用户（如daemon、bin、sys、adm等），则5.2.4.2检查结果为不符合；c)其他操作系统存在未重命名的默认系统用户，则5.2.4.2检查结果为不符合。5.2.5系统数据保护DB11/T1344—201655.2.5.1检查内容检查内容如下：应检查应用系统数据备份介质。5.2.5.2检查方法检查方法如下：查验是否对主要网络设备、主要数据库管理系统和主要应用系统的重要信息进行了本地备份。5.2.5.3检查结果判定检查结果判定如下：若缺乏主要网络设备、主要数据库管理系统和主要应用系统的重要信息的备份介质，则5.2.5.2检查结果为不符合。5.3安全管理要求5.3.1安全管理机构5.3.1.1检查内容检查内容如下：应检查安全岗位人员配备情况。5.3.1.2检查方法检查方法如下：查验系统、网络、安全方面的管理规定，记录系统管理员、网络管理员、数据库管理员、安全管理员的姓名。5.3.1.3检查结果判定检查结果判定如下：若信息安全管理制度（网络、主机、密码、审计等制度）中没有明确角色和职责定义，没有信息安全管理岗位人员名单，则5.3.1.2检查结果为不符合。5.3.2安全管理制度5.3.2.1检查内容检查内容如下：应检查信息安全工作日常安全管理制度。5.3.2.2检查方法检查方法如下：查验是否制定日常信息安全管理制度，如机房管理制度等。5.3.2.3检查结果判定检查结果判定如下：若没有制定日常信息安全管理制度，如机房管理制度等，则5.3.2.2检查结果为不符合。DB11/T1344—201665.3.3系统人员安全5.3.3.1检查内容检查内容如下：应检查关键岗位人员劳动合同和人员离岗记录。5.3.3.2检查方法检查方法如下：a)查验关键岗位人员的劳动合同，记录负责人员录用的部门名称或人员姓名；b)查验离岗人员办理过的调离手续记录，记录离岗员工被终止的访问权限内容。5.3.3.3检查结果判定检查结果判定如下：a)若无法提供信息安全相关岗位人员劳动合同，则5.3.3.2a）检查结果为不符合；b)若对离岗人员未及时终止访问权限，则5.3.3.2b）检查结果为不符合。5.3.4系统安全生命周期5.3.4.1检查内容检查内容如下：应检查系统设计、系统实施、系统验收、系统运维等生命周期各阶段的安全管理制度和相应记录保存情况。5.3.4.2检查方法检查方法如下：a)查验定级报告，记录定级报告名称和盖章批准的部门名称；b)查验安全设计方案，记录安全设计方案的名称；c)查验安全产品的销售许可证副本；d)查验负责工程实施过程管理的部门名称或人员姓名；e)查验安全性验收测试方案和测试验收报告，记录报告的名称；f)查验机房安全管理制度，记录制度文档名称，核对是否规定机房物理访问、物品带入带出等；g)查验与信息系统相关的资产清单，记录资产清单名称，核对清单是否至少包括资产名称、资产位置、资产责任部门或责任人等；h)查验设备管理的部门名称或人员姓名，记录部门名称或人员姓名，查验设备维护记录；i)查验网络管理的部门名称或人员姓名，查验网络管理的日常监控记录，核对记录是否至少包括监控时间、监控内容、监控人员等；j)查验系统漏洞扫描报告