《DB11_T1344-2016信息安全等级保护检查规范.pdf-2020-09-08-20-22-50-260》由会员分享,可在线阅读,更多相关《DB11_T1344-2016信息安全等级保护检查规范.pdf-2020-09-08-20-22-50-260(43页珍藏版)》请在金锄头文库上搜索。
1、ICS 13.310A 90DB11北京市地方标 准DB11/T 13442016信息安全等级保护检查规范Examination specification for information security classified protection2016 - 08 - 10 发布2016 - 12 - 01 实施北京市质量技术监督局发 布DB11/T 13442016目 次前言II1范围12规范性引用文件13术语和定义14检查流程15一级信息系统检查26二级信息系统检查77三级信息系统检查168四级信息系统检查27IDB11/T 13442016前言本标准按照GB/T 1.12009给出的
2、规则起草。本标准由北京市公安局提出并归口。本标准由北京市公安局组织实施。本标准主要起草单位:北京市公安局网络安全保卫总队、公安部信息安全等级保护评估中心、信息产业信息安全测评中心、北京中软华泰信息技术有限责任公司。本标准主要起草人:叶漫青、朱华池、白鸥、石锐、吴贤、俞诗源、朱晓莉、高媛、马荣欣、周永战、游书明、赵悦、徐燕、赵志巍、金镁、王峥、周堃、李小玲、王凯晨、梁萌萌、张淮、王一婷、赵永军、李梦娇、陈益、宋扬、张昕、菅强、高瑗泽、傅珩轩、刘晓雪、李君白、张远彬、王熙、张玮、杨潇、石浩、王佳、赵勇、罗铮、袁静、于东升、霍珊珊、刘健、张益、董晶晶。IIDB11/T 13442016信息安全等级保
3、护检查规范1 范围本标准规定了对信息安全等级保护状况进行检查的流程和内容要求,其中内容要求包括对信息安全等级保护第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全检查的要求。本标准适用于信息安全等级保护检查工作。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 5271.8信息技术 词汇 第 8 部分:安全GB 17859计算机信息系统安全保护等级划分准则GB/T 22239 信息安全技术 信息系统安全等级保护基本要求 GB/T 25069
4、 信息安全技术 术语GB/T 25070信息安全技术 信息系统等级保护安全设计技术要求3 术语和定义GB/T 5271.8、GB 17859、 GB/T 22239、GB/T 25069 和 GB/T 25070 界定的以及下列术语和定义适用于本文件。3.1访谈 interview检查人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助检查人员理解、分析或取得证据的过程。3.2查验 check检查人员通过对被检查对象(如制度文档、各类设备、安全配置等)进行观察、查阅、核查以帮助检查人员理解、分析或取得证据的过程。3.3测试 test检查人员使用预定的方法/工具使被检查对象(各类设备
5、或安全配置)产生特定的结果,将运行结果与预期的结果进行比对的过程。4 检查流程1DB11/T 134420164.1前期准备前期准备包括的内容:调阅被检查单位信息系统的备案材料;了解被检查单位情况;成立检查小组;准备必要的检查材料和检查工具;制定检查组工作计划,计划内容应包括检查对象、检查人员、检查各个阶段的工作安排等。4.2现场检查现场检查是通过对被检查单位的沟通访谈、文档审查、配置检查、工具测试和实地查验,并调阅自查、总结或等级测评报告等资料,对被检查单位信息安全保护现状进行检查,取得检查总结活动所需的资料。现场检查不应影响系统的正常运行。4.3检查总结检查总结是根据现场检查结果和本标准的
6、相关要求,列举并分析被检查单位信息系统存在的问题,针对被检查单位信息系统安全保护能力出具书面结果材料。5 一级信息系统检查5.1物理安全要求5.1.1物理访问控制5.1.1.1检查内容检查内容如下:应检查物理访问控制措施。5.1.1.2检查方法检查方法如下:查验是否有进出机房的人员登记记录。5.1.1.3检查结果判定检查结果判定如下:若机房出入口没有进出机房的人员登记记录,则检查结果为不符合。5.1.2支撑设施保障5.1.2.1检查内容检查内容如下:a) 应检查防水措施;b) 应检查防火措施;c) 应检查温湿度控制措施;d) 应检查稳压设备。2DB11/T 134420165.1.2.2检查方
7、法检查方法如下:a) 查验是否具备防止机房地下积水转移与渗透的措施,是否对防水防潮处理结果和除湿装置运行情况进行记录;b) 查验机房是否配备符合要求的灭火设备,灭火设备摆放是否合理,有效期是否合格;c) 查验温湿度自动调节设施是否能够正常运行,查验温湿度控制是否合理;d) 查验机房内是否有稳压设备。5.1.2.3检查结果判定检查结果判定如下:a) 若机房的墙壁或楼板的管道没有采取必要的防渗透防漏等防水保护措施,或防水防潮处理结果及除湿装置运行记录缺失,则5.1.2.2 a)检查结果为不符合;b) 若机房内没有配备符合要求的灭火设备,灭火设备摆放不合理或已过期,则5.1.2.2 b)检查结果为不
8、符合;c) 若机房内没有配备温湿度自动调节设施,或当前温湿度不合理,则5.1.2.2 c)检查结果为不符合;d) 若机房内没有设置稳压器,则5.1.2.2 d)检查结果为不符合。5.2安全技术要求5.2.1网络结构安全5.2.1.1检查内容检查内容如下:应检查网络拓扑图。5.2.1.2检查方法检查方法如下:查验实际环境中的核心交换机、核心服务器、边界防火墙等是否能够在网络拓扑结构图中定位。5.2.1.3检查结果判定检查结果判定如下:若网络拓扑图中无法定位核心交换机、核心服务器、边界防火墙等关键设备,则5.2.1.2检查结果为不符合。5.2.2边界安全防护5.2.2.1检查内容检查内容如下:应检
9、查网络边界入侵检测措施。5.2.2.2检查方法检查方法如下:a) 查验网络边界设备是否采取技术手段防止地址欺骗;3DB11/T 13442016b) 查验网络入侵检测设备是否能检测以下攻击行为:端口扫描、漏洞扫描、缓冲区溢出攻击、拒绝服务攻击等,查看其规则库是否为最新。5.2.2.3检查结果判定检查结果判定如下:a) 若重要地址没有采用IP/MAC绑定等手段防止地址欺骗,则5.2.2.2 a)检查结果为不符合;b) 若没有部署入侵检测设备或入侵检测设备的特征库未及时更新,则5.2.2.2 b)检查结果为不符合。5.2.3用户身份鉴别5.2.3.1检查内容检查内容如下:应检查网络设备、操作系统、
10、数据库管理系统和应用系统的身份鉴别措施。5.2.3.2检查方法检查方法如下:查验主要网络设备、服务器操作系统、数据库管理系统和应用系统的身份鉴别是否开启。5.2.3.3检查结果判定检查结果判定如下:若主要网络设备、服务器操作系统、主要数据库管理系统和应用系统无需身份鉴别,则5.2.3.2检查结果为不符合。5.2.4访问控制5.2.4.1检查内容检查内容如下:应检查操作系统、数据库管理系统的默认账户权限。5.2.4.2检查方法检查方法如下:查验主要服务器操作系统和重要数据库管理系统是否已禁用或者限制匿名/默认账户的访问权限,是否重命名系统默认账户名并修改默认账户的默认口令。5.2.4.3检查结果
11、判定检查结果判定如下:a) 操作系统和数据库管理系统默认账户名未重命名,默认口令未修改,则5.2.4.2检查结果为不符合;b) Windows操作系统未禁用Guest默认账户、Linux操作系统未禁用默认用户(如daemon、bin、sys、adm等),则5.2.4.2检查结果为不符合;c) 其他操作系统存在未重命名的默认系统用户,则5.2.4.2检查结果为不符合。5.2.5系统数据保护4DB11/T 134420165.2.5.1检查内容检查内容如下:应检查应用系统数据备份介质。5.2.5.2检查方法检查方法如下:查验是否对主要网络设备、主要数据库管理系统和主要应用系统的重要信息进行了本地备
12、份。5.2.5.3检查结果判定检查结果判定如下:若缺乏主要网络设备、主要数据库管理系统和主要应用系统的重要信息的备份介质,则5.2.5.2检查结果为不符合。5.3安全管理要求5.3.1安全管理机构5.3.1.1检查内容检查内容如下:应检查安全岗位人员配备情况。5.3.1.2检查方法检查方法如下:查验系统、网络、安全方面的管理规定,记录系统管理员、网络管理员、数据库管理员、安全管理员的姓名。5.3.1.3检查结果判定检查结果判定如下:若信息安全管理制度(网络、主机、密码、审计等制度)中没有明确角色和职责定义,没有信息安全管理岗位人员名单,则5.3.1.2检查结果为不符合。5.3.2安全管理制度5.3.2.1检查内容检查内容如下:应检查信息安全工作日常安全管理制度。5.3.2.2检查方法检查方法如下:查验是否制定日常信息安全管理制度,如机房管理制度等。5.3.2.3检查结果判定检查结果判定如下:若没有制定日常信息安全管理制度,如机房管理制度等,则5.3.2.2检查结果为不符合。5DB11/T 134420165.3.3系统人员安全5.3.3.1检查内容检查内容如下:应检查关键岗位人员劳动合同和人员离岗记录。
