全省信息系统安全大检查

1、全省公安交通管理信息系统安全检查方案根据部交管局关于印发公安交通管理信息系统安全检查方 案的通知（公交管2014137号）文件要求，总队决定组织开展全 省公安交通管理信息系统安全检查。工作方案如下：一、工作目标通过信息系统安全检查，发现安全漏洞与隐患，完善安全管理 机制，落实安全防护措施，提高安全管理工作水平，确保信息系统 安全稳定运行。二、检查内容（）综合应用平台安全管理1、综合应用平台授权管理2、综合应用平台运行环境安全3、综合应用平台数据维护管理（二）机动车缉查布控系统安全管理1、机动车缉查布控系统授权管理2、机动车缉查布控系统运行环境安全（三）综合应用平台外挂软件安全管理1、外挂请求服

2、务安全管理2、外挂软件安全设计与管理3、驾驶人考试系统安全管理4、机动车安全技术检验系统安全管理5、网络边界安全管理（四）跨部门信息共享和信息发布1、跨部门信息共享2、网上发布数据（五）互联网服务安全管理（六）信息安全组织保障1、安全管理机构和人员2、信息安全经费保障3、信息安全制度建设（七）信息系统安全工作机制1、安全技术教育培训机制2、异常业务监管和通报机制（八）其他日常工作安全管理1、服务器管理2、安全备份管理3、安全防护管理4、软硬件平台续保管理上述检查内容详见公交管【2014】137号文。三、职责分工（）总队1、制定方案。全省信息系统安全检查工作方案，应明确工作 目标、职责分工、检查

3、方法、时间安排和工作要求。2、进行总队本级安全检查。主要是按照要求，对总队本级综 合应用平台及相关系统、数据库、网络进行安全检查。3、指导全省开展自查工作。组织开展全省信息系统安全检查 培训，指导各支队开展信息系统安全检查自查自纠工作。4、抽查支队工作情况。对各支队信息系统安全管理的相关内 容进行抽查，推动全省安全检查工作有序开展。5、整改和完善。针对检查过程中反映出的问题及时进行整改, 并完善安全管理工作机制。（二）支队1、制定方案。制定本支队及所辖各大队信息系统安全检查工 作方案，应明确工作目标、职责分工、检查方法、时间安排和工作 要求。2、进行支队本级安全检查。负责对支队及所辖各大队稽查

4、布 控系统、综合应用平台相关外挂系统、数据库、网络进行安全检查。3、整改和完善相关工作。针对检查过程中反映出的问题及时 进行整改，并完善安全管理工作机制。四、检查方法（一）自查和上级抽查相结合。各支队先行自查本级和所辖各 大队情况，总队组织对各支队信息安全管理工作进行抽查。（二）异常数据后台远程检测。总队将通过异常数据检测脚本 对综合应用平台中各地数据进行数据库远程后台检测。（三）报表与通报。各支队要按照检查项目表（见附件）要求 认真填写并及时上报检查结果，总队将对检查结果及整改情况汇总 整理，并进行全省通报。五、时间安排按照部交管局公安交通管理信息系统安全检查方案要求， 结合我省实际，全省的

5、安全检查工作从5月19日起至7月20日结 束，分为以下四个阶段实施。（-）启动阶段（5月19日-5月31日）。总队组织开展全省 信息系统安全检查培训。各支队报送本级安全检查联系人信息，掌 握本级及所辖各大队信息系统安全管理基本情况，根据检查方案整 理详细的检查对象清单。（二）自查整改阶段（6月1日-6月22日）。各支队组织开展 信息系统自查工作，完成数据汇总和表格填写工作，并上报总队， 统计分析自查阶段检查结果，对发现的安全漏洞和隐患进行整改， 完善安全制度，落实安全措施，提高安全管理水平。（三）抽查阶段（6月23 ei -7月6日）。总队组织对各支队安 全检查的相关内容进行抽查，主要抽查内容

6、包括外挂软件、跨部门 信息共享和信息发布、服务器和安全备份、安全防护等管理情况。（四）总结通报阶段（7月7日-7月20日）。总队对自查、抽 查阶段情况进行汇总分析，对信息安全检查工作进行总结和通报。六、工作要求（一）加强组织领导。各支队要成立由分管领导负责的专门工 作小组，落实责任部门和人员。检查人员应具备一定的信息安全法 律法规知识和安全技术检查技能，全面掌握检查内容和要求，如实 填报检查结果。（二）强化部门协作。各支队安全检查工作由支队科技部门负 责牵头组织，相关业务部门应积极参加、密切配合。（三）明确纪律要求。各支队要切实加强对检查活动、检查人 员以及相关文档和数据的安全保密管理，确保安

7、全检查有序开展。 检查人员应严格遵守检查工作纪律，严守公安工作秘密。检查过程 中涉及用户密码的，禁止以任何形式记录密码内容。完成检查后， 被检查单位应及时修改相关密码。（四）全面检查。对于各地自行研发的其它信息系统，支队也 要按要求开展安全检查，确保检查工作不留死角。附件:公安交通管理信息系统安全检查项目表%1. 综合应用平台安全管理说明：总队集中的，仅总队检查；支队集中的，总队和支队都需要检查，每个单位填写一张单位名称：序号检查内容检查结果检查方法1授权管理部门权限是否超出部门职责是共检査出个超权部门否实际查看综合应用平台部门授权，主要查看部门可处 理业务范围和管辖行政区划，并与该部门实际业

8、务范 围和管辖区域比较2人员权限是否超出人员工作范围是共检查出个超权用户否实际查看综合应用平台用户授权，宝要查看川户ip地 址限制、川户类型和操作菜单权限，并与该人员实际 业务工作比较3是否存在离岗、离职人员用户未清理是共检査出个未清理用户否根据近一年来人员调动情况，通过综合应用平台用户 维护功能核查这些用户是否及时调整、淸理4是否存在长期不使用用户是共检査出个长期不使用用户否通过执行下发脚木，査询出最近3个月无登录使用记 录的用户，核査这些用户的权限、借况，确定是否应 当清理5总队、支队系统管理员、业务管理员密 码是否满足复杂性要求（8位以上，且为 数字、人、小写字母和特姝字符的组合）是否个

9、用户密码不满足姮杂性要求询问管理员用户密码，并实际登录测试6webshperewebsphere管理控制台密码是否满足复共冇应用服务器台，其中：记录综合应用平台应用服务器数量；密码管理杂性要求（8位以上，且为数字、大、小 写字母和特殊字符的组合）台未设置密码台密码不满足复杂性要求登录websphere背理控制台，査看是否需要密码登录； 询问登录密码，并实际登录测试7websphere管理控制台密码更换频率偶尔或从不每月每季度询问密码更换频率，査看相应证明文档。按照公安 交通管理信息系统运行管理规定要求，至少每季度 史换一次密码。超过每季度的，即为偶尔或从不8数据库密 码管理数据库密码是否满足复

10、杂性要求（8位 以上，且为数字、大、小写字母和特殊 字符的组合）是 否 建库脚本默认密码询问登录密码，并实际登录测试9数据库sys、system等默认帐号密码是 否满足复朵性要求（8位以上，且为数 字、大、小写字母和特殊字符的组合）是 否使用"changeon .install"等通用密码询问登录密码，并实际登录测试10数据库密码更换频率偶尔或从不口每月每季同本表第7条11数据库审ii-数据库登录日志是否开启是 否查看数据库设置，确认是否开启12数据库操作日志审计是否开启是 否查看数据库设置，确认是否开启13是否定期对日志进行分析未开启未分析是分析周期：查看分析记录14数据

11、库访 问控制数据库是否限定访问ip肚限宦方式：否询问数据库是否限定访问ip和限定的方式，根据限定 情况在不同ip地址登录测试15是否违规在数据库中添加触发器是触发器用途：否登录综介应用平台数据库，査看是否存在触发器（综 合应用平台木身无触发機）16是否存在可直接访问综合应用平台数 据库的其他数据库用户无有，仅用于运维，密码、权限符合要求有，仅用于运维，密码、权限不符合要求有，不仅用于运维使用数据库dba用户登录，逐个核査每个数据库用户 权限、用途，并登录测试用户密码17运行监控是否通过安全管理软件对综合应用平 台系统运行、访问进行监控和分析是软件名称：查看安全管理软件功能18是否通过安全管理软

12、件对数据库操作 进行监控和分析是否软件名称：查看安全管理软件功能19数据维护和修改是否经过审批，并有完整的工作日志是否审批人：填写总队领导、支队领导或业务处室名称现场查看维护工作日志和审批记录%1. 缉查布控系统安全管理说明：总队集中的，仅总队检查：支队集中的，总队和支队都需要检查，每个单位填写一张单位名称：序号检查内容检查结果检查方法1授权管理人员权限是否超出人员工作范围（重点 检査车辆轨迹査询功能）是共检査出个超权用户否实际査看纽査布控用户授权，主要査看用户操作菜单 权限，并与该人员实际业务工作比较2检査外警种用户授权是否冇申请、审批 工作流程，是否按照需要授权并设定使 用期限是共检査出个

13、超权用户査看申请和审批记录；通过组查布控系统用户权限菜 单、用户有效期3是否存在长期不使用用户是共检杳出个长期不使用用户否通过执行下发脚木，査询出最近3个月无登录使用记 录的用户，核査这些用户的权限、借况，确定是否应 当停用4系统管理员等重点用户密码是否满足 复朵性要求（8位以上，且为数字、大、 小写字母和特殊字符的纽.合）是否个用户密码不满足复杂性要求询问用户密码，并实际登录测试5webshpere 密码管理websphere管理控制台密码是否满足复 朵性要求（8位以上，且为数字、大、小 写字母和特殊字符的组合）共有应用服务器台，其中：台未设置密码台密码不满足复杂性耍求记永缉查布控系统应用服

14、务器数量；登录websphere管理控制台，询问登录密码，并实际 登录测试6websphere管理控制台密码更换频率偶尔或从不每月每季度询问密码更换频率，查看相应证明文档。按照公安 交通管理信息系统运行管理规定要求，至少每季度 更换一次密码。超过每季度的，即为偶尔或从不7数据库密 码管理数据库密码是否满足复杂性要求（8位 以上，且为数字、大、小写字母和特殊 字符的组合）是 否 建库脚本默认密码询问登录密码，并实际登录测试8数据库sys、system等默认帐号密码是是 否询问登录密码，并实际登录测试否满足复杂性要求（8位以上，且为数 字、大、小写字母和特殊字符的组合）使用"change

15、_on_install"等通用密码9数据库密码更换频率偶尔或从不每月毎季同木表第7条10数据库审计数据库登录日志是否开启是 否查看数据库设置，确认是否开启11数据库操作日志审计是否开启是 否查看数据库设置，确认是否开启12是否定期对日志进行分析未开启未分析是分析周期：查看分析记录13数据库访问控制数据库是否限定访问ip是限丘方式：询问数据库是否限定访问ip和限定的方式，根拥限处 情况在不同ip地址登录测试14是否违规在数据库中添加触发器是触发器用途：否甥录缉査布控系统数据库，査看是否存在触发器（不 包括安全接入平台）15是否存在可直接访问缉查布控系统数 据库的其他数据库用户有，仅用于

16、运维，密码、权限符合要求有，仅用于运维，密码、权限不符合要求有，不仅用于运维使用数据库dba用户甥录，逐个核査毎个数据库用户 权限、用途，并登录测试用户密码%1. 综合应用平台外挂软件安全管理k外挂软件通用检查项目说明：一个外挂软件（含驾驶人科目一、二、三系统、机动车安全技术检验系统等所有外挂软件）填写一张表单位名称：序号检查内容检查结果检查方法1外挂软件名称和功能名称： 功能：记录外挂软件名称、功能2外挂请求 服务安全 管理访问综合应用平台方式接口访问应用库访问手工数据导出口 工作库访问记录外挂软件访问综合应用平台方式；查看应用软件发布配 置，记录数据库连接对象;对丁-数据库连接对象不是综合

17、应 川平台工作库的，登录外挂软件数据库，查看是否授权访问 综合应用平台工作库或建立了连接综合应用平台链路 选择“工作库访问”，则3必须填写，否则不填；选择“接口访问”，则4、5、6、7必须填写，否则不填3访问综合应用平台工作库方式应用软件直接连接综合平台工作库应用软件数据库授权访问综合平台工作库应用软件数据库建立综合平台工作库链路4请求服务接口访问量设置是否介 理是 否通过综合应川平台查看外挂软件接口最近3个月的日访问 量，是否存在设置访问量远超实际访问量的情况。注：设置访问量允许在最高日访问量的基础上预留20%空间5是否川请了实际并不需要的请求 服务接口是 否通过综合应用平台査看外挂软件接口

18、最近3个月的日访问 量，是否存在无访问记录或访问记录极少的接口，核査这些 接口是否实际需要6请求服务接口实际访问量是否异 常是核査结果：否通过综合应用平台査看外挂软件接口最近3个月的日访问 量，是否存在高频访问、界常波动等情况，并记录核査结果7是否与其他外挂软件共用访问授 权码是 否8外挂软件是否按照规定具有详细的操作日无 有，但未覆盖所有系统功能登录外挂软件，进行系统操作，査看日志记录情况安全设计 与管理志记录功能有，但记录内容不详尽有，覆盖所有系统功能，记录详尽9外挂软件登录密码在数据库中是 否加密未加密 仅对密码木身加密混合用户密码和其他信息后加密询问系统登录密码,并实际登录确认,登录数

19、据库查看该用 户密码是否加密存储；对于已经加密存储的，将该用户密码 拷贝覆盖其他用户密码字段，测试是否可以通过该密码登录 其他用户，确定是否仅对密码本身加密10系统管理员密码是否满足复杂性 要求（8位以上，且为数字、大、 小写字母和特殊字符的组合）是否个用户密码不满足奴杂性耍求询问管理员用户密码，并实际登录测试11外挂软件部署方式c/s 版webspheretomcatdweblogic口其他:记录外挂软件部署方式，对于websphere wcblogic等冇管 理控制台的部署方式，填写12项，不填第13项；对于c/s 版、tomcat部署等情况，填写13项，不填第12项12管理控制台密码是否

20、满足复杂性 要求（8位以上，且为数字、大、 小写字母和特殊字符的组合）共有应用服务器台，其中：台未设置密码台密码不满足复杂性耍求记录综合应用平台应用服务器数量；登录websphere管理控制台，询问登录密码，并实际登录测 试13外挂软件连接数期库用户密码是 否以明码方式存储在配置文件中否 是询问外挂软件数据库用八密码存储方式，并实际查看外挂软 件配置文件中是否包含有用户密码信息14数据廂密码是否满足复杂性要求 （8位以上，且为数字、大、小写 字母和特殊字符的组合）是 否询问登录密码，并实际登录测试15数据库sys、system等默认帐号密 码是否满足复杂性要求（8位以 上，且为数字、大、小写字

21、母和 特殊字符的组合）是 否使用4tchange_on_instahm等通用密码询问登录密码，并实际登录测试16是否存在违反法律法规、工作规 定及相关纪律要求的功能是功能描述：否登录数据库,查看菜单表:登录外挂软件，实际测试系统功 能17外挂软件上线前是否经过专门的 安全测试是测试机构：否询问外挂软件上线前是否经过专门的安全测试，査看测试报 告，记录测试机构18网络边界公安网与专网数拥交换方式不涉及 内外网边界接入平台査阅系统建设方案，査看系统实际运行配置安全管理网闸双网卡ip保护手工数据交换口其他:19是否将公安网数据库直接映射至 专网是 否査阅系统建设方案，查看系统实际运行配置20公安网与

22、互联网数据交换方式不涉及 单向光闸光盘摆渡机手工数据交换其他:查阅系统建设方案，查看系统实际运行配置21公安网与无线网络数据交换方式不涉及无线网边界接入平台査阅系统建设方案，査看系统实际运行配置2.驾驶人考试系统安全管理说明：检查驾驶人科日一、二、三系统，非直辖市一个支队填写一张表，直辖市总队填写单位名称：序号检查内容检查结果检查方法1科目一考试服务器管理单位服务器台，其中台由交警部门负责管理，台由驾校等单位管理记录服务器实际管理单位情况2科0一考试系统是否存在除系统管理员、考试 员以外的其他用户具冇系统管理和考试权限是检查出个违规用户否实际査看系统用户及用户权限，根据考试员备案信息进行比 对

23、3科目一考试终端是否启用或安装远程控制功 能，是否安装答案口动比对等非法软件共检查台考试终端是检查出台问题考试终端否对考试终端进行抽査。資看远程控制服务是否启用；査看系 统安装软件是否冇远程控制和答案h动比对等非法软件；查 看系统进程是否有可疑进程运行4科目二考试服务器管理单位服务器台，其中台由交警部门负责管理，台由驾校等外单位管理记录服务器实际管理单位情况5科目二考试系统是否存在除系统管理员、考试 员以外的其他用户具有系统管理和考试权限是检查出个违规用户否实际查看系统川户及川户权限，根据考试员备案信息进行比 对6科目二考试系统是否有违规功能模块成绩录入修改增加考试次数屏蔽考试扣分项目无违规功

24、能模块査看系统软件功能7科目二考试系统是否有安全管理功能指纹识别、二代身份证阅读等设备界常业务监督分析其他无安全管理功能查看系统软件功能8科目三考试服务器管理单位服务器台，其中台由交警部门负责管理，台由驾校等外单位管理记录服务器实际管理单位情况9科0三考试系统是否存在除系统管理员、考试 员以外的其他用户具冇系统管理和考试权限是检查出个违规用户否实际査看系统用户及用户权限，根据考试员备案信息进行比 对10科h三考试系统是否有违规功能模块成绩录入修改增加考试次数屏蔽考试扣分项目无违规功能模块査看系统软件功能11科h三考试系统是否有安全管理功能指纹识别、二代身份证阅读等设备异常业务监督分析其他无安全

25、管理功能查看系统软件功能3x机动车安全技术检验系统安全管理说明：非直辖市一个支队填写一张表，直辖市总队填写单位名称：序号检查内容检查结果检查方法1是否存在除系统管理员以外的其他用户具冇系 统管理、系统标定和检测项目设置的权限是检查出个违规用户否实际査看系统用户及用户权限2系统是否有违规功能模块手工修改检测结果不上线生成检验报告 口其他:无违规功能模块査看系统软件功能%1. 跨部门信息共享和信息发布说明：本表主要指综合应用平台数据信息共享和信息发布。总队集中的，仅总队检查：支队集中的，总队和支队都需要检查，每个单位填写一张单位名称：序号检查内容检查结果检查方法1是否为其他单位提供数据共享是个单位

26、，说明否填写数据使用单位数量，并在说明栏记录单位名称、数据内 容、使用用途2是否制定跨部门信息共享管理制度是否查看管理制度文件3数据共享方式内外网实时交换公安网内使用离线更新一次性抽収4数据共享是否泄露了车辆所有人、驾驶人的个 人信息是说明否实际查看数据共享内容5数据共享是否经过审核并由主管领导批准是否查看批准数据共享的相关文件6数据发布是否经过审批是否查看批准数据发布的相关文件7发布数据是否泄蘇了车辆所冇人、驾驶人的个 人信息是说明否实际查看数据共亨内容%1. 互联网服务安全管理说明：非直辖市总队、支队都要检查并填写，直辖市总队填写单位名称：序号检查内容检查结果检查方法1网站首页urlurl

27、：査看备案文档，并记录网站url2网站防护措施网页防篡改web防火墙抗拒绝服务攻击防病毒、防木马工具其他查看网站服务器相关配置，检查是否部署有相关女全设备、 工具3信息发布是否有审核制度是名称否查看上网信息审批制度文件，并记录名称4机动车及其违法信息查询是否增加了车辆识 别代号验证是否 其他登录网站，或操作査询服务终端，查看是否需要字段验证5驾驶证及其违法信息查询是否增加了档案编 号验证是否 其他登录网站，或操作査询服务终端，查看是否需要字段验证6机动车号牌互联网口编口选系统是否对数据 库关键信息加密是否登录数据库,査看关键信息是否加密7机动下号牌互联网自编自选系统与终端用户 交互是否采取了传

28、输加密是否查看系统建设文档8机动下号牌互联网自编自选系统是否增加了 査询验证码是否登录软件，查看查询界面是否有查询验证码9是否定期对网站和系统访问日志进行安全分 析是否查看分析结果相关文档%1. 信息安全组织保障说明：本表检查对彖为支队、总队，每个单位填写一张单位名称：序号检查内容检查结果检查方法1负责信息安全工作的主管领导的姓名和职务姓名：职务：记录分管信息安全工作的领导的姓名和职务2是否设立公安信息安全管理机构管理机构名称： 负责人姓名： 职务： 电话：如果设置了信息安全管理机构，则查看单位组织机构设置悄 况，记录机构名称、负责人姓名、职务、电话3是否设立有安全管理岗位口是匚占姓名：电话：

29、如果设置了安全管理岗位，查阅岗位设置和人员安排文件4安全管理员是否兼任系统管理岗、应川管理岗 或数据库管理岗是匚否兼任岗位：同上5信息安全工作经费是否纳入年度预算是 否查看本年度预算项11中，是否包含信息女全防护设施的建设、 运行、维护、检查及管理等经费6本年度信息安全工作预算经费¥:力元查看本年度单位经费预算，并记录具体数据7本年度实际已投入信息安全工作的费用¥:力元査看木年度信息安全丁作经费实际使用悄况，并记录具体数 据8是否制定相关信息安全制度信息安全保密制度信息系统安全运行管理联网计算机及软件注册管理机房安全管理存储介质使用、维修、销毁安全管理査阅木单位信息安全管理

30、文件应急预案聘用人员管理其他相关安全管理。%1. 信息系统安全工作机制说明：本表检查对彖为支队、总队，其中民警信息安全知识培训和警示教育包括机关单位和基层队所所有民警，每个单位填写一张单位名称：序号检查内容检查结果检查方法1本年度系统管理员、安全管理员、数据库管理 员安全技能培训管理员总人数：参加培训人数：组织培训次数：记录本年度系统管理员、安全管理员、数据库管理员参加安 全技能培训情况2本年度民警信息安全知识培训和警示教育组织安全教育培训次数：单位民警总数：接受信息安全教育人数：査阅安全教育培训通知、签到等文件，记录本年度安全教育 培训情况3上一年度开展信息系统安全检査次数次记录上一年度（2

31、013年度）开展信息系统安全检查次数4是否制定异常业务临督和通报制度是 否査阅异常业务监督和通报制度文件5是否定期开展异常业务通报是 否査看异常业务通报6开展异常业务通报频次月 季度 半年 年同上7界常业务通报内容是否得到及时核査和处理？是 否査看界常业务核査和处理的相关报告%1. 其他日常工作安全管理1服务器管理说明：检查对彖为综合应用平台、外挂软件和网站和关数据库服务器和应用服务器，每台服务器填写-张单位名称：序号检查内容检查结果检查方法1主机ip地址： windows主机:cmd中输入ipconfig回车，记录得到的ip地址；linux/unix主机：以root身份逐永进入linux,命令终端输入ifconfig,记录得到的ip 地址2所属单位记录主机服务器所属单位3主要用途记录主机服务器主要用途4主机是否做过系统漏洞扫描检査口是口否査看上次漏洞扫描结果5按漏洞打描工具厂商提供的漏洞 分类标准,其中危害等级为中高级 别的漏洞个数统计岛危漏洞： 个； 中危漏洞： 个进行漏洞扫描，査看漏洞扫描结果，记录高危漏洞、中危