2014网络安全考核宣贯[定稿]

XX省网络安全工作考核要点和评分标准解读XX省通信管理局2014年3月26日2013年度考核情况考核指标设立依据考核指标解读目前存在的不足重点问题解答2013年度考核情况各企业2013年度均高度重视KPI考核工作，认真贯彻考核细则，在机构设置、人员配备、制度建立、网络安全应急保障、事件通报监测等方面取得长足进步。省通信管理局上报工信部时综合考量，未对各企业2013年度网络安全部分考核进行扣分，但并不代表网络安全方面工作已完全符合规定要求。2013年度考核网安部分存在问题1、在手段建设方面，各企业均没有全面完成既定的网络安全系统建设，希望企业今年加快进度，尽快完成上一年度的系统建设计划并不断完善。2、重要网络系统维护方面尚存在一些薄弱环节。3、地市公司在制度落实、人员配备等方面还需加强。4、已建成的手段和措施没有充分发挥效用，特别是在手段下沉方面还有很多工作可做。2013年度考核情况考核指标设立依据考核指标解读目前存在的不足重点问题解答考核指标设立依据•《通信网络安全防护管理办法》（工业和信息化部第11号令）•《公共互联网网络安全应急预案》（工信部保〔2009〕514号）,《XX省公共互联网网络安全应急预案》（XX通[2010]155号）•《木马僵尸网络监测与处置机制》（工信部保〔2009〕157号）,《XX省木马和僵尸网络监测与处置机制》（XX通[2009]138）•《移动互联网恶意程序监测和处置机制》（工信部保〔2011〕545号）•《网络单元安全防护检测评分方法》2014年度考核办法特点1、以工信部考核要点（工信厅保〔2014〕15号）为主导，根据XX实际情况做细化要求。2、注重对去年薄弱环节整改提高，对XX保障等有突破的内容增加了额外加分项。3、强化地市公司的责任落实，管局对地市公司的检查将做到全覆盖，并作为年底考核重要依据。4、办法发布前充分征求各公司意见建议，基本取得共识，使考核办法具有较强的可操作性。5、对铁通公司的考核内容略有调整，更加符合企业实际。2013年度考核情况考核指标设立依据考核指标解读目前存在的不足重点问题解答网络安全管理考核（1.8分，按300分计）网络安全防护（1分，按100分计，5项）网络安全应急（0.4分，按100分计，1项）网络安全环境治理（0.4分，按100分计，3项）一、网络安全防护网络安全保障设施的建设和验收（20分）网络安全人员配备（20分）网络安全检查情况（20分）网络安全防护技术手段建设情况（20分）日常工作落实情况（20分）是否在新建、改建、扩建通信网络工程项目时配套建设网络安全保障措施并同步验收（10分）；是否在投入运行前开展风险评估（10分）。检查范围为2014年1月至2014年12月立项、竣工的所有新建、改建、扩建的网络、应用系统类项目。考核指标1、网络安全保障设施的建设和验收（20分）2、网络安全人员配备（20分）3、网络安全检查情况（20分）网络运维部、信息化部等涉及网络或系统运行维护的部门均需配备至少2名专职网络安全工作人员，各地市级公司至少配备1名专职网络安全工作人员。（20分）2014年6月30日前将人员名单报送至省通信管理局。重点考核内容部省两级电信主管部门对部分重点网络单元抽查打分的平均值/100×20（20分）考核指标4、网络安全防护技术手段建设情况（20分）重点考核内容应参照《域名系统安全防护要求》（YD/T2052-2009），具备防DDOS攻击、防域名劫持或篡改、重点域名监控等安全监测能力（5分）应参照《网上营业厅安全防护要求》（YD/T2092-2010），具备防DDOS攻击、防篡改、防入侵、防病毒等安全监测能力（5分）应参照《IP承载网安全防护要求》（YD/T1746-2013），具备对DDOS攻击、虚假源地址的安全监测能力（5分）应参照《数据中心安全防护要求》（YD/T2584-2013），具备DDOS攻击、防病毒、防入侵、虚假源地址的安全监测能力（5分）注：若企业因省内无相关网络单元，该网络单元分数累加至其他可评测的单元。考核指标5、日常工作落实情况（20分）重点考核内容是否开展定级备案、自评测、自评估、整改等网络安全防护日常工作。是否及时报备路由器采样比变更、及时核查无流量路由器。是否具备营帐系统中用户信息资料与后端IP地址分配联动更新机制和技术手段。二、网络安全环境治理移动互联网恶意程序监测处置平台建设情况（40分）木马和僵尸网络监测处置平台建设情况（40分）日常监测和处置工作落实情况（20分）考核指标1、移动互联网恶意程序监测处置平台建设情况（40分）重点考核内容是否具备对移动互联网恶意程序疑似样本的捕获能力。（10分）是否具备发现省内用户感染已知移动互联网恶意程序的能力。（15分）是否具备对已知移动互联网恶意程序的传播和控制端IP、域名、URL进行处置的能力。（15分）注：若企业在省内无移动互联网业务，则该子项分数移加至“木马和僵尸网络监测处置平台建设情况”。考核指标2、木马和僵尸网络监测处置平台建设情况（40分）重点考核内容是否具备对木马和僵尸网络疑似样本的捕获能力。（10分）是否具备发现省内用户感染已知木马和僵尸网络的能力。（15分）是否具备对已知木马和僵尸网络的传播和控制端IP、域名、URL进行处置的能力。（15分）企业如实现以下要求其一，额外加5分：（1）企业针对XX会重点防护区域，具备发现感染木马和僵尸网络的能力。建议采用国家级僵木蠕特征库，以保障监测与处置的效果。（2）企业提前向电信主管部门上报和XX相关具有价值的网络安全事件或预警信息。考核指标3、日常监测和处置工作落实情况（20分）重点考核内容是否按照要求，开展木马和僵尸网络、移动互联网恶意程序的发现、分析、处置及信息报送等工作。（20分）三、网络安全应急网络安全事件应急处置情况（100分）发生网络安全突发事件时，是否按照相关要求（即不得迟报、漏报、瞒报）及时准确向电信主管部门报告。（20分）（未按照相关要求时准确向电信主管部门报告的，每一次扣2分）考核指标1、网络安全事件应急处置情况（100分）重点考核内容是否制定本企业网络安全应急预案并与电信主管部门的应急预案相衔接。（20分）（未制定本企业网络安全应急预案的，扣10分；制定但未与电信主管部门的应急预案相衔接的，扣10分）网络安全突发事件发生后，依照有关法律法规和应急预案的规定采取有效、适当的应急处置措施。（20分）（未采取有效、适当的应急处置措施的，每1次扣2分）是否配合做好电信主管部门组织的网络安全应急演练，并组织开展本企业的网络安全应急演练。（20分）（在人力、资源、时间等方面，企业在配合过程中存在拖沓、推诿等情况，每1次扣10分；未开展网络安全应急演练的，不得分）考核指标1、网络安全事件应急处置情况（100分）重点考核内容是否按照电信主管部门的要求为重要信息系统提供支撑保障。（20分）（因运营企业系统割接造成的管局侧重要信息系统故障的，每1次扣2分；可能影响到管局侧系统的企业割接未提前按相关规定申请的，每1次扣1分，专线中断每1个小时扣1分，因市政工程等不可抗力导致的中断时间不计算在内，但需提供书面情况说明；系统故障未在4小时内处置完毕的，每1次扣2分；为保障XX重要网站及应用系统安全，企业需提供机房空间及带宽支撑电信主管部门建设XX防护平台。不配合或配合不到位的，扣5分。）2013年度考核情况考核指标设立依据考核指标解读目前存在的不足重点问题解答问题1：网络安全基础资源管理有待加强IP地址报备不全、不准的问题长期存在，静态专线用户、IDC用户报备准确率亟待提高。各企业需根据本年度考核办法，落实营帐系统中用户信息资料与后端IP地址分配联动更新机制和技术手段，使前后端数据更新一致。问题2：IDC僵木蠕监测手段的覆盖仍需加强考核指标对企业自身发现僵木蠕事件的能力有明确要求。企业目前的监测范围不足。问题3：移动互联网、僵木蠕恶意样本抓取与分析能力不足本年度对移动互联网、僵木蠕恶意样本的抓取与分析提出了明确要求，但目前各企业上报的样本数量不足、分析报告质量不高。问题4：信息报送数量少，质量不高目前各企业上报的事件数量较其他省份明显偏少，应重点报送各类DDoS攻击、有影响的互联网接入中断事件、针对域名系统、网厅等重要网元的攻击事件等。不允许零上报，每季度至少上报一起描述较详细的重点事件。问题5：网络安全配合工作有待加强流数据监测的采样率提升至1:2000有额外加分（电信1:2500，移动部分1:3000，联通1：1000）。流数据监测出现采样比变动、无流量等现象，需及时配合管局处理。企业割接需提前报备，出现故障时需及时排除。2013年度考核情况考核指标设立依据考核指标解读目前存在的不足重点问题解答问题1：网络安全突发事件如何定义解答：根据工业和信息化部通信保障局《关于印发〈互联网网络安全信息通报实施办法〉的通知》（工信部保〔2009〕156号）要求，一般事件、较大事件、重大事件、特别重大事件均视为网络安全突发事件。具体定义可在工信部网站上进行查询。问题2：系统割接报备如何操作解答：报备范围为可能影响到管局侧系统的企业割接。可以按月集中报备。需加盖省公司印章。批准以后方可执行。问题3：虚假源地址流量如何定量解答：管局将在年底组织对各企业虚假源地址防护能力的测试，以最终测试结果作为考核依据。问题4：关于“网络安全防护技术手段建设情况”中域名系统、网上营业厅小项如何检测解答：管局将委托权威的第三方机构对域名系统、网上营业厅系统进行符合性评测，以评测结果作为评分依据。检测得分≥90分的，视为具备相关能力；90＜检测得分≤60分的，视为基本具备相关能力；检测得分＜60分的，视为不具备相关能力。问题5：流检测采样比是如何要求的解答：采样比满足1:3000的，可以得满分。采样比高于1:2000的，可以额外得0.5分。问题6：流检测采样格式及无流量处置是如何要求的解答：所有纳入流检测系统的路由器，均需按照标准设置采样格式。鼓励企业自行排查无流量路由器，以免被通报后因未按要求及时处置造成扣分。问题7：针对XX网络安全防护有何具体要求解答：企业需新增两个XX防护平台接入节点，每个节点提供一个机柜及相应配电，1G带宽；节点需在不同的IDC机房内。企业如实现以下要求其一，额外加5分：（1）企业针对XX会重点防护区域，具备发现感染木马和僵尸网络的能力。建议采用国家级僵木蠕特征库，以保障监测与处置的效果。（2）企业提前向电信主管部门上报和XX相关的网络安全事件或预警信息。问题8：如何定义定级备案、自评测、自评估的范围解答：根据《通信网络安全防护管理办法》（中华人民共和国工业和信息化部令第11号）、《关于贯彻落实电信网络等级保护定级工作的通知》（信电函〔2007〕101号）要求，根据网络单元级别进行相关工作。问题9：IP地址报备是如何要求的解答：考核标准分为相对值考核和绝对值考核，完整率与准确率提高10%以上或两次拨测的完整率与准确率均在95%以上的，得满分。问题10：“网络安全环境治理”中，企业利用技术手段自主发现事件是如何考核的解答：企业每月上报利用自身技术手段发现的移动互联网恶意程序、木马和僵尸恶意程序等网络安全事件，管局将统计各企业上报的情况，并与利用管局侧系统发现的事件数量进行比对，按照比例进行考核。谢谢！