DB11∕T 1344-2016 信息安全等级保护检查规范

1、 ICS 13.310A 90DB11北 京 市 地 方 标 准DB11/T 13442016信息安全等级保护检查规范Examination specification for information security classifiedprotection2016-08-10发布2016-12-01实施 DB11/T 13442016目 次前言. II1范围. 12规范性引用文件. 13术语和定义. 14检查流程. 15一级信息系统检查. 26二级信息系统检查. 77三级信息系统检查. 168四级信息系统检查. 27I DB11/T 13442016前言本标准按照GB/T 1.12009给

2、出的规则起草。II DB11/T 13442016信息安全等级保护检查规范1范围本标准规定了对信息安全等级保护状况进行检查的流程和内容要求，其中内容要求包括对信息安全等级保护第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全检查的要求。本标准适用于信息安全等级保护检查工作。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 5271.8信息技术词汇第8部分:安全GB 17859计算机信息系统安全保护等级划分准则GB/T 22239信息安全技术信

3、息系统安全等级保护基本要求GB/T 25069信息安全技术术语GB/T 25070信息安全技术信息系统等级保护安全设计技术要求3术语和定义GB/T 5271.8、GB 17859、 GB/T 22239、GB/T 25069和GB/T 25070界定的以及下列术语和定义适用于本文件。3.1访谈 interview检查人员通过引导信息系统相关人员进行有目的的（有针对性的）交流以帮助检查人员理解、分析或取得证据的过程。3.2查验 check检查人员通过对被检查对象（如制度文档、各类设备、安全配置等）进行观察、查阅、核查以帮助检查人员理解、分析或取得证据的过程。3.3测试 test检查人员使用预定的

4、方法/工具使被检查对象（各类设备或安全配置）产生特定的结果，将运行结果与预期的结果进行比对的过程。4检查流程1 DB11/T 134420164.1前期准备前期准备包括的内容：调阅被检查单位信息系统的备案材料；了解被检查单位情况；成立检查小组；准备必要的检查材料和检查工具；制定检查组工作计划，计划内容应包括检查对象、检查人员、检查各个阶段的工作安排等。4.2现场检查现场检查是通过对被检查单位的沟通访谈、文档审查、配置检查、工具测试和实地查验，并调阅自查、总结或等级测评报告等资料，对被检查单位信息安全保护现状进行检查，取得检查总结活动所需的资料。现场检查不应影响系统的正常运行。4.3检查总结检查

5、总结是根据现场检查结果和本标准的相关要求，列举并分析被检查单位信息系统存在的问题，针对被检查单位信息系统安全保护能力出具书面结果材料。5一级信息系统检查5.1物理安全要求5.1.1物理访问控制检查内容检查内容如下：应检查物理访问控制措施。检查方法检查方法如下：查验是否有进出机房的人员登记记录。检查结果判定检查结果判定如下：若机房出入口没有进出机房的人员登记记录，则检查结果为不符合。5.1.2支撑设施保障检查内容检查内容如下：a)应检查防水措施；b)应检查防火措施；c)应检查温湿度控制措施；d)应检查稳压设备。2 DB11/T 13442016检查方法检查方法如下：a)查验是否具备防止机房地下积

6、水转移与渗透的措施，是否对防水防潮处理结果和除湿装置运行情况进行记录；b)查验机房是否配备符合要求的灭火设备，灭火设备摆放是否合理，有效期是否合格；c)查验温湿度自动调节设施是否能够正常运行，查验温湿度控制是否合理；d)查验机房内是否有稳压设备。检查结果判定检查结果判定如下：a)若机房的墙壁或楼板的管道没有采取必要的防渗透防漏等防水保护措施，或防水防潮处理结果及除湿装置运行记录缺失，则 a）检查结果为不符合；b)若机房内没有配备符合要求的灭火设备，灭火设备摆放不合理或已过期，则 b）检查结果为不符合；c)若机房内没有配备温湿度自动调节设施，或当前温湿度不合理，则 c）检查结果为不符合；d)若机

7、房内没有设置稳压器，则 d）检查结果为不符合。5.2安全技术要求5.2.1网络结构安全检查内容检查内容如下：应检查网络拓扑图。检查方法检查方法如下：查验实际环境中的核心交换机、核心服务器、边界防火墙等是否能够在网络拓扑结构图中定位。检查结果判定检查结果判定如下：若网络拓扑图中无法定位核心交换机、核心服务器、边界防火墙等关键设备，则检查结果为不符合。5.2.2边界安全防护检查内容检查内容如下：应检查网络边界入侵检测措施。检查方法检查方法如下：a)查验网络边界设备是否采取技术手段防止地址欺骗；3 DB11/T 13442016b)查验网络入侵检测设备是否能检测以下攻击行为：端口扫描、漏洞扫描、缓冲

8、区溢出攻击、拒绝服务攻击等，查看其规则库是否为最新。检查结果判定检查结果判定如下：a)若重要地址没有采用IP/MAC绑定等手段防止地址欺骗，则 a）检查结果为不符合；b)若没有部署入侵检测设备或入侵检测设备的特征库未及时更新，则 b）检查结果为不符合。5.2.3用户身份鉴别检查内容检查内容如下：应检查网络设备、操作系统、数据库管理系统和应用系统的身份鉴别措施。检查方法检查方法如下：查验主要网络设备、服务器操作系统、数据库管理系统和应用系统的身份鉴别是否开启。检查结果判定检查结果判定如下：若主要网络设备、服务器操作系统、主要数据库管理系统和应用系统无需身份鉴别，则检查结果为不符合。5.2.4访问

9、控制检查内容检查内容如下：应检查操作系统、数据库管理系统的默认账户权限。检查方法检查方法如下：查验主要服务器操作系统和重要数据库管理系统是否已禁用或者限制匿名/默认账户的访问权限，是否重命名系统默认账户名并修改默认账户的默认口令。检查结果判定检查结果判定如下：a)操作系统和数据库管理系统默认账户名未重命名，默认口令未修改，则检查结果为不符合；b) Windows操作系统未禁用Guest默认账户、Linux操作系统未禁用默认用户（如daemon、bin、sys、adm等），则检查结果为不符合；c)其他操作系统存在未重命名的默认系统用户，则检查结果为不符合。5.2.5系统数据保护4 DB11/T

10、13442016检查内容检查内容如下：应检查应用系统数据备份介质。检查方法检查方法如下：查验是否对主要网络设备、主要数据库管理系统和主要应用系统的重要信息进行了本地备份。检查结果判定检查结果判定如下：若缺乏主要网络设备、主要数据库管理系统和主要应用系统的重要信息的备份介质，则检查结果为不符合。5.3安全管理要求5.3.1安全管理机构检查内容检查内容如下：应检查安全岗位人员配备情况。检查方法检查方法如下：查验系统、网络、安全方面的管理规定，记录系统管理员、网络管理员、数据库管理员、安全管理员的姓名。检查结果判定检查结果判定如下：若信息安全管理制度（网络、主机、密码、审计等制度）中没有明确角色和职

11、责定义，没有信息安全管理岗位人员名单，则检查结果为不符合。5.3.2安全管理制度检查内容检查内容如下：应检查信息安全工作日常安全管理制度。检查方法检查方法如下：查验是否制定日常信息安全管理制度，如机房管理制度等。检查结果判定检查结果判定如下：若没有制定日常信息安全管理制度，如机房管理制度等，则检查结果为不符合。5 DB11/T 134420165.3.3系统人员安全检查内容检查内容如下：应检查关键岗位人员劳动合同和人员离岗记录。检查方法检查方法如下：a)查验关键岗位人员的劳动合同，记录负责人员录用的部门名称或人员姓名；b)查验离岗人员办理过的调离手续记录，记录离岗员工被终止的访问权限内容。检查

12、结果判定检查结果判定如下：a)若无法提供信息安全相关岗位人员劳动合同，则 a）检查结果为不符合；b)若对离岗人员未及时终止访问权限，则 b）检查结果为不符合。5.3.4系统安全生命周期检查内容检查内容如下：应检查系统设计、系统实施、系统验收、系统运维等生命周期各阶段的安全管理制度和相应记录保存情况。检查方法检查方法如下：a)查验定级报告，记录定级报告名称和盖章批准的部门名称；b)查验安全设计方案，记录安全设计方案的名称；c)查验安全产品的销售许可证副本；d)查验负责工程实施过程管理的部门名称或人员姓名；e)查验安全性验收测试方案和测试验收报告，记录报告的名称；f)查验机房安全管理制度，记录制度

13、文档名称，核对是否规定机房物理访问、物品带入带出等；g)查验与信息系统相关的资产清单，记录资产清单名称，核对清单是否至少包括资产名称、资产位置、资产责任部门或责任人等；h)查验设备管理的部门名称或人员姓名，记录部门名称或人员姓名，查验设备维护记录；i)查验网络管理的部门名称或人员姓名，查验网络管理的日常监控记录，核对记录是否至少包括监控时间、监控内容、监控人员等；j)查验系统漏洞扫描报告，记录扫描报告的名称，核对记录是否至少包括扫描时间、扫描范围、发现的漏洞、处理措施等；k)查验和记录员工所用杀毒软件的名称和版本；l)查验安全事件报告和处置管理制度，是否规定安全事件的现场处理、事件报告和后期恢

14、复的管理职责。检查结果判定检查结果判定如下：6 DB11/T 13442016a)若无法提供系统定级报告书，无单位信息安全领导（小组）的批准盖章，则 a）检查结果为不符合；b)若无法提供安全设计方案，则 b）检查结果为不符合；c)若无法提供安全产品销售许可证副本，则 c）检查结果为不符合；d)若无法提供负责工程实施过程管理的部门名称或人员姓名，则d）检查结果为不符合；e)若无法提供安全验收测试方案和测试报告，则 e）检查结果为不符合；f)若无法提供机房安全管理制度，对机房环境、重要区域的访问、人员和物品的出入未进行规定，则 f）检查结果为不符合；g)若无法提供与信息系统相关的资产清单，清单未包

15、括资产名称、资产位置、资产责任部门或责任人等，则 g）检查结果为不符合；h)若无法提供设备管理的部门名称或人员姓名及设备维护记录，则 h）检查结果为不符合；i)若无法提供网络管理的部门名称或人员姓名，网络管理的日常监控记录中未包括监控时间、监控内容、监控人员，则 i）检查结果为不符合；j)若无法提供系统漏洞扫描报告，记录中未包括扫描时间、扫描范围、发现的漏洞、处理措施等，则 j）检查结果为不符合；k)若员工未使用杀毒软件或病毒库未及时更新，则 k）检查结果为不符合；l)若无法提供安全事件报告和处置管理制度，或内容未覆盖事件处理、报告和后期恢复的管理职责，则 l）检查结果为不符合。6二级信息系统

16、检查6.1物理安全要求6.1.1物理位置选择检查内容检查内容如下：应检查机房的选址和所在建筑物的防护能力。检查方法检查方法如下：查验机房所在楼宇的验收报告是否明确机房所在建筑的防震、防风和防雨等能力。检查结果判定检查结果判定如下：若无法提供机房所在建筑物楼宇的验收报告，或未采取防风和防雨等措施，则检查结果为不符合。6.1.2物理访问控制检查内容检查内容如下：应检查物理访问控制措施。7 DB11/T 13442016检查方法检查方法如下：a)查验机房所有出入口是否有值守记录以及进出机房的人员登记记录；b)查验是否有来访人员进入机房的审批记录，查验审批记录是否包括来访人员的访问范围。检查结果判定检

17、查结果判定如下：a)若机房任何一个出入口没有值守记录和进出人员登记记录，则a）检查结果为不符合；b)若不具有来访人员进入机房的审批记录，或审批记录中不具备来访人员的访问范围、所进行的操作等审批项，则 b）检查结果为不符合。6.1.3支撑设施保障检查内容检查内容如下：a)应检查防水措施；b)应检查防火措施；c)应检查温湿度控制措施；d)应检查防静电措施；e)应检查短期备用电源设备。检查方法检查方法如下：a)查验是否具备防止机房地下积水转移与渗透的措施，是否对防水防潮处理结果和除湿装置运行情况进行记录；b)查验机房是否设置了自动消防系统，是否有人负责维护该系统的运行；查验自动消防系统是否正常工作，

18、查看是否有运行记录、报警记录、定期检查和维修记录；c)查验温湿度自动调节设施是否能够正常运行，查验是否有温湿度记录、运行记录和维护记录；d)访谈物理安全负责人，询问机房主要设备是否采取必要的接地防静电措施；e)查验计算机系统的短期备用电源设备是否正常运行，查验是否有短期备用电源设备的检查和维护记录。检查结果判定检查结果判定如下：a)若机房的墙壁或楼板的管道没有采取必要的防渗透防漏等防水保护措施，或防水防潮处理结果及除湿装置运行记录缺失，则 a）检查结果为不符合；b)若机房内没有设置自动检测火情、自动报警、自动灭火的自动消防系统，或自动消防系统无法正常工作，运行记录、报警记录、定期检查和维修记录

19、缺失，则 b）检查结果为不符合；c)若机房内没有配备温湿度自动调节设施，或温湿度记录、运行记录和维护记录缺失，则c）检查结果为不符合；d)若机房内没有设置静电接地，则 d）检查结果为不符合；8 DB11/T 13442016e)若机房内没有设置短期备用电源设备（如UPS），或短期备用电源设备的检查和维护记录缺失，则 e）检查结果为不符合。6.2安全技术要求6.2.1网络结构安全检查内容检查内容如下：应检查网络拓扑图和重要网段划分情况。检查方法检查方法如下：a)查验实际环境中的核心交换机、核心服务器、边界防火墙等是否能够在网络拓扑结构图中定位；b)访谈网络管理员，询问网段划分情况以及划分的原则。

20、检查结果判定检查结果判定如下：a)若网络拓扑图中无法定位核心交换机、核心服务器、边界防火墙等关键设备，则 a）检查结果为不符合；b)若网络没有划分子网，则 b）检查结果为不符合。6.2.2边界安全防护检查内容检查内容如下：应检查网络边界访问控制、网络入侵检测措施。检查方法检查方法如下：a)查验防火墙等边界安全设备是否配置网段级的访问控制策略；b)查验网络边界设备是否采取技术手段防止地址欺骗；c)查验网络入侵检测设备是否能检测以下攻击行为：端口扫描、漏洞扫描、缓冲区溢出攻击、拒绝服务攻击等，查看其规则库是否为最新；d)查验边界完整性检查设备是否设置了对非法连接到外网的行为进行监控并有效阻断的配置

21、。检查结果判定检查结果判定如下：a)若没有在网络边界部署防火墙等访问控制设备或访问控制策略没有到网段级，则 a）检查结果为不符合；b)若重要地址没有采用IP/MAC绑定等手段防止地址欺骗，则 b）检查结果为不符合；c)若没有部署入侵检测设备或入侵检测设备的特征库未及时更新，则 c）检查结果为不符合；d)若没有相应的手段监控和阻止内部用户非法连接到外网，则 d）检查结果为不符合。9 DB11/T 134420166.2.3用户身份鉴别检查内容检查内容如下：应检查网络设备、操作系统、数据库管理系统和应用系统的身份鉴别措施和口令策略。检查方法检查方法如下：a)查验主要网络设备、服务器操作系统、数据库

22、管理系统和应用系统的身份鉴别是否开启，口令的复杂度情况；b)查验操作系统、应用系统是否具备登录失败账户锁定功能。检查结果判定检查结果判定如下：a)若主要网络设备、服务器操作系统、数据库管理系统和应用系统无需身份鉴别，或出现弱口令、默认口令、空口令，设置少于8位且仅由数字或字母组成的口令，则a）检查结果为不符合；b)未设置连续登录失败账户锁定功能，则 b）检查结果为不符合。6.2.4访问控制检查内容检查内容如下：应检查操作系统、数据库管理系统和应用该系统的默认账户和系统账户的权限分配情况。检查方法检查方法如下：a)查验主要服务器操作系统和重要数据库管理系统是否已禁用或者限制匿名/默认账户的访问权

23、限，是否重命名系统默认账户名并修改默认账户的默认口令；b)通过访谈询问应用系统的访问控制策略及粒度；以不同权限的用户登录应用系统，查看其拥有的权限是否与系统赋予的权限一致，验证应用系统访问控制功能是否有效。检查结果判定检查结果判定如下：a)操作系统和数据库管理系统默认账户名未重命名，默认口令未修改，则 a）检查结果为不符合；b) Windows操作系统未禁用Guest默认账户、Linux操作系统未禁用默认用户（如daemon、bin、sys、adm等），则 a）检查结果为不符合；c)其他操作系统存在未重命名的默认系统用户，则 a）检查结果为不符合；d)应用系统普通用户登录后具备系统管理等管理员

24、同样的权限，则 b）检查结果为不符合；e)权限之间未形成相互制约，如未做到管理权限和审计权限的分离，则 b）检查结果为不符合。10 DB11/T 134420166.2.5审计日志管理检查内容检查内容如下：应检查网络设备的日志、操作系统日志、数据库日志、应用系统日志的保存情况。检查方法检查方法如下：a)查验网络设备、操作系统、数据库和应用系统是否具备了审计日志;b)查验是否通过日志覆盖周期、覆盖方式、日志文件/空间大小、日志文件操作权限等设置，实现对审计记录的保护。检查结果判定检查结果判定如下：a)不具备网络设备、操作系统、数据库和应用系统的审计日志，则 a）检查结果为不符合；b)未合理配置网

25、络设备日志缓冲区大小，则 b）检查结果为不符合；c)未对各层面的审计日志设定覆盖周期、覆盖方式、读写权限等，则 b）检查结果为不符合；d)未对各层面的审计日志进行备份，则 b）检查结果为不符合；e)应用系统为用户提供日志单条删除功能，则 b）检查结果为不符合。6.2.6系统数据保护检查内容检查内容如下：a)应检查网络设备、应用系统中的口令加密情况；b)应检查应用系统数据备份介质。检查方法检查方法如下：a)b)c)查验网络设备的配置文件中用户口令是否加密存储；查验应用系统存储用户信息的数据表中用户口令字段是否加密存储；查验是否对主要网络设备、主要数据库管理系统和主要应用系统的重要信息进行了本地备

26、份，备份介质是否场外存放。检查结果判定检查结果判定如下：a)若网络设备配置文件中存储了明文用户口令，则 a）检查结果为不符合；b)若应用系统的数据库中存储了明文用户口令，则 b）检查结果为不符合；c)若缺乏主要网络设备、主要数据库管理系统和主要应用系统重要信息的备份，则 c）检查结果为不符合；d)备份介质若无场外存放，则 c）检查结果为不符合。11 DB11/T 134420166.3安全管理要求6.3.1安全管理机构检查内容检查内容如下：应检查安全岗位人员配备情况和安全制度审批机制建立情况。检查方法检查方法如下：a)查验岗位设置管理制度和工作责任书，检查是否有安全主管、安全管理员、系统管理员

27、、网络管理员等岗位的工作职责描述；b)查验系统、网络、安全方面的管理规定，记录系统管理员、网络管理员、数据库管理员、安全管理员的姓名，核对安全管理员是否专职；c)查验审批流程规定和审批记录，记录审批流程规定和审批记录的名称，核对审批记录是否至少包括审批时间、申请人、审批内容、审批人；d)查验外联单位联系列表，核对是否至少包括外联单位名称、合作内容、联系人和联系方式等信息；e)查验安全检查制度，记录安全检查制度的名称，查验定期安全检查记录，核对记录是否至少包括检查时间、检查人员、检查对象、检查结果。检查结果判定检查结果判定如下：a)若没有提供岗位设置管理制度和工作责任书，未明确安全主管、安全管理

28、员、系统管理员、网络管理员等岗位设置和工作职责，则 a）检查结果为不符合；b)若信息安全管理制度（网络、主机、密码、审计等制度）中没有明确角色和职责定义，没有信息安全管理岗位人员名单，未设置专职的信息安全管理员，或安全管理员存在兼任现象，则 b）检查结果为不符合；c)若没有建立对机房及重要区域进出、系统或网络重要操作（系统上线变更、配置变更、加固、安全管理等）的审批程序，或无法提供相关事件的审批记录，则 c）检查结果为不符合；d)若没有建立外联单位联系列表，或内容不完整，则 d）检查结果为不符合；e)若没有制定安全检查工作制度和流程，没有定期进行安全检查活动并保留检查记录，则e）检查结果为不符

29、合。6.3.2安全管理制度检查内容检查内容如下：应检查信息安全工作的总体方针和安全策略制定、发布方式和定期评审修订情况。检查方法检查方法如下：12 DB11/T 13442016a)查验信息安全管理体系总体方针、安全策略方面的相关文档，记录信息安全工作的总体方针、抽查的安全策略文档名称等；b)查验安全管理制度发布到相关人员手中的方式；c)查验安全管理制度的审定和修订记录，核对评审记录是否至少包括评审时间、评审地点、参与评审人员和评审结论，修订记录是否至少包括修订时间、修订内容、修订人等信息。检查结果判定检查结果判定如下：a)若没有制定信息安全工作的总体方针和安全策略，则 a）检查结果为不符合；

30、b)若安全管理制度没有采用文件、邮件或办公网等有效途径发布，则 b）检查结果为不符合；c)若没有定期对安全管理制度进行检查，组织召开评审会，或评审记录内容不完整，则c）检查结果为不符合。6.3.3系统人员安全检查内容检查内容如下：应检查重要岗位人员劳动合同、人员离岗记录、保密协议、人员培训和考核记录。检查方法检查方法如下：a)查验重要岗位人员的劳动合同和保密协议，记录保密协议名称，核对协议内容是否至少包括保密范围、保密责任、违约责任、协议有效期和责任人签字等；b)查验重要岗位（如安全管理员）离岗人员办理过的调离手续记录，核对记录是否至少包括人员姓名、调离岗位、调离时间、收回权限及物品、核对人签

31、字、批准人签字等；c)查验各岗位人员的安全技能和安全认知考核记录，核对记录是否至少包括考核时间、考核对象、考核内容、考核结果等；d)查验安全教育和培训计划，核对计划是否明确了培训方式、培训对象、培训内容、培训时间和地点等，查验培训记录是否至少包括培训人员、培训内容、培训结果等描述。检查结果判定检查结果判定如下：a)若无法提供信息安全相关岗位人员的劳动合同或保密协议，则a）检查结果为不符合；b)若重要岗位人员离岗记录中，未包括人员姓名、调离岗位、调离时间、收回权限及物品、核对人签字、批准人签字等，则 b）检查结果为不符合；c)若无法提供针对不同岗位人员的安全技能和安全意识考核记录，则 c）检查结

32、果为不符合；d)若无法提供安全教育和培训计划，计划或记录内容不完整，则d）检查结果为不符合。6.3.4系统安全生命周期检查内容检查内容如下：13 DB11/T 13442016应检查系统设计、系统开发、系统实施、系统测评、系统验收、系统交付、系统运维等生命周期各阶段的安全管理制度和相应记录保存情况。检查方法检查方法如下：a)查验定级报告，记录定级报告名称和盖章批准的部门名称；b)查验安全设计方案，记录安全设计方案的名称；c)查验安全产品和密码产品的销售许可证副本；d)查验软件开发管理制度，记录制度文档名称，核实有无开发过程的控制方法和人员行为准则；若为外包软件开发，请被检查机构的配合人员提供软

33、件的恶意代码检测记录和报告；e)查验工程实施方案，记录实施方案名称，核对实施方案是否至少包括背景、目的、内容、进度安排、实施人员和风险管理等；f)查验安全性验收测试方案和测试验收报告，记录报告的名称；查验测试验收报告的审定记录，记录报告签字人姓名等；g)查验系统交付清单，记录系统交付清单的名称，核对是否包括交接的设备名称及数量、软件名称及数量、文档名称及数量等；h)查验机房安全管理制度，记录制度文档名称，核对是否规定机房物理访问、物品带入带出等；i)查验资产安全管理制度，记录制度文档名称、规定的资产管理责任人或责任部门，核对是否至少包括资产管理和使用的行为；j)查验介质安全管理制度，记录制度文

34、档名称，查阅对介质的存放环境、使用、维护和销毁的规范化规定；k)查验设备安全管理制度，记录制度文档名称，查阅是否有软硬件设备的选型、采购、发放和领用的管理规定；查验信息处理设备带离机房或办公地点的审批记录；l)查验网络安全管理制度，是否覆盖网络安全配置、安全策略、升级与补丁、授权访问、日志保存时间、口令更新周期等方面内容；m)通过访谈了解是否定期对系统进行漏洞扫描，记录扫描周期，发现漏洞是否及时修补；查验系统漏洞扫描报告，扫描时间间隔与扫描周期是否一致；查验系统安全管理制度，内容是否覆盖系统安全策略、安全配置、日志管理和日常操作流程等方面；n)查验是否有恶意代码防范方面的管理制度，查看其内容是

35、否覆盖防恶意代码软件的授权使用、恶意代码库升级、定期汇报等方面；o)查验变更管理制度，是否覆盖变更前审批、变更过程记录、变更后通报等方面内容，是否包括变更申报、审批程序，是否规定需要申报的变更类型、申报流程、审批部门、批准人等方面内容；p)查验安全事件报告和处置管理制度，是否明确安全事件类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责。检查结果判定检查结果判定如下：a)若无法提供系统定级报告书，无单位信息安全领导（小组）的批准盖章，则 a）检查结果为不符合；b)若无法提供安全设计方案，则 b）检查结果为不符合；c)若无法提供安全产品和密码产品的销售许可证副本，则 c）检查结果为不符合

36、；14 DB11/T 13442016d)若无法提供软件开发管理制度，若为外包软件开发，无法提供软件的恶意代码扫描记录和检测报告，则 d）检查结果为不符合；e)若无法提供工程实施方案，实施方案未包括背景、目的、内容、进度安排、实施人员和风险管理等，则 e）检查结果为不符合；f)若无法提供安全验收测试方案和测试报告，或无测试报告结果的评审记录，则 f）检查结果为不符合；g)若无法提供详细的系统交付清单，清单中的信息不完整，或各环节无负责人员签字，则g）检查结果为不符合；h)若无法提供机房安全管理制度，对机房环境、重要区域的访问、人员和物品的出入未进行规定，则 h）检查结果为不符合；i)若无法提供

37、资产安全管理制度，未明确资产管理责任部门和人员、管理和使用行为、资产编号和分类方法、信息存储和保存发放等，则 i）检查结果为不符合；j)若无法提供介质安全管理制度，或内容未包含对介质的存放环境、使用、维护和销毁的规范化规定，则 j）检查结果为不符合；k)若无法提供设备安全管理制度，或内容不合理、不完整；无法提供设备带离办公场所或机房的审批记录，则 k）检查结果为不符合；l)若无法提供网络安全管理制度，或内容未覆盖网络安全配置、日志保存时间、安全策略、升级与补丁、口令更新周期等方面，则 l）检查结果为不符合；m)若无法提供系统安全管理制度，或内容未覆盖系统安全策略、安全配置、日志管理和日常操作流

38、程等方面；无法提供定期对服务器进行漏洞扫描的报告，则m）检查结果为不符合；n)若无法提供恶意代码防范方面的管理制度，其内容未覆盖防恶意代码软件的授权使用、恶意代码库升级、定期汇报等方面，则 n）检查结果为不符合；o)若无法提供变更管理制度，或内容未覆盖系统上线变更、配置变更和其他重要变更等，则 o）检查结果为不符合；p)若无法提供安全事件报告和处置管理制度，或内容未覆盖安全事件类型，事件处理、报告和后期恢复的管理职责，则 p）检查结果为不符合。6.3.5系统连续性保障检查内容检查内容如下：应检查业务中断影响分析报告、业务连续性技术环境、备份恢复管理制度和应急响应机制。检查方法检查方法如下：a)

39、查验业务中断影响分析报告，是否对业务中断的可能性和造成的影响进行分析；b)查验网络链路、网络设备、服务器和数据存储设备列表和说明，是否不存在关键节点单点故障；c)查验备份与恢复方面的管理制度，是否明确了备份方式、备份频度、存储介质和保存期等方面内容；d)查验应急预案；通过访谈系统运维负责人了解是否定期对应急预案进行演练并保留演练记录。检查结果判定检查结果判定如下：15 DB11/T 13442016a)若无法提供业务中断影响分析报告，内容未包括业务中断的可能性和造成的影响分析，则 a）检查结果为不符合；b)若无法提供网络链路、网络设备、服务器和数据存储设备列表和说明，关键节点存在单点故障，则

40、b）检查结果为不符合；c)若无法提供备份与恢复管理相关的安全管理制度，未明确系统和数据备份频率和方式，则 c）检查结果为不符合；d)若未制定应急预案，内容未覆盖应急预案启动的条件、应急处理所需要的人力、物力和流程、系统恢复流程、事后教育和培训等内容；或未定期开展应急预案演练并未保留记录，则d）检查结果为不符合。7三级信息系统检查7.1物理安全要求7.1.1物理位置选择检查内容检查内容如下：应检查机房的选址和所在建筑物的防护能力。检查方法检查方法如下：a)查验机房所在楼宇的验收报告是否明确机房所在建筑的防震、防风和防雨等能力；b)查验机房是否在建筑物的顶层或地下室，是否加强防水和防潮措施。检查结

41、果判定检查结果判定如下：a)若无法提供机房所在建筑物楼宇的验收报告，或未采取防风和防雨等措施，则 a）检查结果为不符合；b)如果机房选址在地下室或顶层，且未加强防水和防潮措施，则b）检查结果为不符合。7.1.2物理访问控制检查内容检查内容如下：应检查物理访问控制措施。检查方法检查方法如下：a)查验机房所有出入口是否有值守记录以及进出机房的人员登记记录；b)查验是否有来访人员进入机房的审批记录，查验审批记录是否包括来访人员的访问范围；c)查验机房内的运维区域和设备区域是否有隔离措施；d)查验电子门禁系统是否能正常工作；查验是否有电子门禁系统的运行和维护记录。检查结果判定16 DB11/T 134

42、42016检查结果判定如下：a)若机房任何一个出入口没有值守记录和进出人员登记记录，则a）检查结果为不符合；b)若没有来访人员进入机房的审批记录，或审批记录中不具备来访人员的访问范围以及所要执行的操作等审批项，则 b）检查结果为不符合；c)若机房内的运维区域和设备区域间没有隔离措施，如玻璃门等，则 c）检查结果为不符合；d)若机房内没有设置电子门禁系统，或者电子门禁系统无法正常工作，或没有电子门禁系统运行和维护记录，则 d）检查结果为不符合。7.1.3支撑设施保障检查内容检查内容如下：a)应检查防水措施；b)应检查防火措施；c)应检查温湿度控制措施；d)应检查防静电措施；e)应检查电力保障措施

43、和通信线缆保护措施。检查方法检查方法如下：a)查验是否具备防止机房地下积水转移与渗透的措施，是否对防水防潮处理结果和除湿装置运行情况进行记录；b)查验是否设置对水敏感的检测仪表或元件对机房进行防水检测和报警；查验该仪表或元件是否正常运行，是否有日常状态运行监测记录，是否有人负责其运行管理工作；c)查验机房是否设置了自动检测火情、自动报警、自动灭火的自动消防系统，查验自动消防系统是否正常工作，是否有运行记录、报警记录、定期检查和维修记录；d)查验机房及相关的工作房间和辅助房是否采用具有耐火等级的建筑材料；e)查验温湿度自动调节设施是否能够正常运行，查验是否有温湿度记录、运行记录和维护记录；f)访

44、谈物理安全负责人，询问机房主要设备是否采取必要的接地防静电措施，查验机房是否采用了防静电地板；g)查验是否有短期备用电源设备或备用供电系统及其检查和维护记录，是否有冗余或并行的电力电缆线路切换记录、备用供电系统运行记录；h)查验机房是否采取通信线缆与电源线隔离铺设等通信线缆保护措施。检查结果判定检查结果判定如下：a)若机房的墙壁或楼板的管道没有采取必要的防渗透防漏等防水保护措施，或防水防潮处理结果及除湿装置运行记录缺失，则 a）检查结果为不符合；b)若机房内没有设置对水敏感的检测仪表或元件对机房进行防水检测和报警，则 b）检查结果为不符合；17 DB11/T 13442016c)若机房内没有设

45、置自动检测火情、自动报警、自动灭火的自动消防系统，或自动消防系统无法正常工作，运行记录、报警记录、定期检查和维修记录缺失，则 c）检查结果为不符合；d)若机房及相关的工作房间和辅助房没有采用具有耐火等级的建筑材料，则d）不符合；e)若机房内没有配备温湿度自动调节设施，或温湿度记录、运行记录和维护记录缺失，则e）检查结果为不符合；f)若机房内没有设置静电接地，或机房未采用防静电地板，则 f）检查结果为不符合；g)若机房内没有设置短期备用电源设备（如UPS）或备用供电系统，则g）检查结果为不符合；h)若机房没有采取通信线缆与电源线隔离铺设，则 h）检查结果为不符合。7.2安全技术要求7.2.1网络

46、结构安全检查内容检查内容如下：应检查网络拓扑图和重要网段划分情况；应检查网络线路部署的冗余措施。检查方法检查方法如下：a)查验实际环境中的核心交换机、核心服务器、边界防火墙等是否能够在网络拓扑结构图中定位；b)访谈网络管理员，询问网段划分情况以及划分的原则；c)查验重要网段间的核心交换机或防火墙是否配置了访问控制策略；d)查验是否提供关键网络设备、主要通信线路和核心数据处理系统的热备。检查结果判定检查结果判定如下：a)若网络拓扑图中无法定位核心交换机、核心服务器、边界防火墙等关键设备，则 a）检查结果为不符合；b)若网络没有划分子网，则 b）检查结果为不符合；c)核心交换机或防火墙没有设置访问

47、控制策略（ACL），则 c）检查结果为不符合；d)若网络内关键网络设备、主要通信线路和核心数据处理系统存在单点故障，则 d）检查结果为不符合。7.2.2边界安全防护检查内容检查内容如下：应检查网络边界访问控制、网络入侵检测和网络恶意代码防范措施。检查方法检查方法如下：a)查验防火墙等边界安全设备是否配置协议端口级的访问控制策略；b)查验网络边界设备是否采取技术手段防止地址欺骗；18 DB11/T 13442016c)查验网络入侵检测设备是否能检测以下攻击行为：端口扫描、漏洞扫描、缓冲区溢出攻击、拒绝服务攻击等，查看其规则库是否为最新，并对发现的入侵行为进行阻拦；d)查验防恶意代码产品是否正常运

48、行，恶意代码库是否为最新版本；e)查验边界完整性检查设备是否设置了对非法连接到外网和非法连接到内网的行为进行监控并有效阻断的配置。检查结果判定检查结果判定如下：a)若没有在网络边界部署防火墙等访问控制设备或访问控制策略没有到端口级，则 a）检查结果为不符合；b)若重要地址没有采用IP/MAC绑定等手段防止地址欺骗，则 b）检查结果为不符合；c)若没有部署入侵检测设备或入侵检测设备的特征库未及时更新，则 c）检查结果为不符合；d)如果系统与互联网存在接口，未在边界部署网络防恶意代码产品，病毒库未进行过至少每周一次的更新，则 d）检查结果为不符合；e)若没有相应的手段监控和阻止内部用户非法连接到外

49、网，则 e）检查结果为不符合；f)若没有相应的手段监控和阻止非授权用户连接到内网，则 e）检查结果为不符合。7.2.3用户身份鉴别检查内容检查内容如下：应检查网络设备、操作系统、数据库管理系统和应用系统的身份鉴别措施、口令策略和强化的身份鉴别技术。检查方法检查方法如下：a)查验主要网络设备、服务器操作系统、数据库管理系统和应用系统的身份鉴别是否开启，口令的复杂度情况和定期修改时间；b)查验操作系统、应用系统是否具备登录失败账户锁定功能；c)查验是否采用两种或两种以上组合鉴别技术对管理用户进行身份鉴别。检查结果判定检查结果判定如下：a)若主要网络设备、服务器操作系统、数据库管理系统和应用系统无需

50、身份鉴别，或出现弱口令、默认口令、空口令，设置少于8位且仅由数字或字母组成的口令，则 a）检查结果为不符合；b)若口令修改未达到至少3个月一次，则 a）检查结果为不符合；c)未设置连续登录失败账户锁定功能，则 b）检查结果为不符合；d)若未采用两种或两种以上组合鉴别技术，则 c）检查结果为不符合。7.2.4访问控制检查内容19 DB11/T 13442016检查内容如下：应检查操作系统、数据库管理系统和应用该系统的默认账户和系统账户的权限分配情况。检查方法检查方法如下：a)查验主要服务器操作系统和重要数据库管理系统是否已禁用或者限制匿名/默认账户的访问权限，是否重命名系统默认账户名并修改默认账

51、户的默认口令；b)通过访谈询问应用系统的访问控制策略及粒度；以不同权限的用户登录应用系统，查看其拥有的权限是否与系统赋予的权限一致，验证应用系统访问控制功能是否有效。检查结果判定检查结果判定如下：a)操作系统和数据库管理系统默认账户名未重命名，默认口令未修改，则 a）检查结果为不符合；b) Windows操作系统未禁用Guest默认账户、Linux操作系统未禁用默认用户（如daemon、bin、sys、adm等），则 a）检查结果为不符合；c)其他操作系统存在未重命名的默认系统用户，则 a）检查结果为不符合；d)应用系统普通用户登录后具备系统管理等管理员同样的权限，则 b）检查结果为不符合；e

52、)权限之间未形成相互制约，如未做到管理权限和审计权限的分离，则 b）检查结果为不符合；f)超级管理员未禁止远程登录，其他默认账户未限制访问权限，则 b）检查结果为不符合。7.2.5审计日志管理检查内容检查内容如下：应检查网络设备的日志、操作系统日志、数据库日志、应用系统日志的保存和分析情况。检查方法检查方法如下：a)查验网络设备、操作系统、数据库和应用系统是否具备了审计日志；b)查验是否对网络设备日志、操作系统日志、数据库日志、应用系统日志进行浏览和分析，并根据需要生成审计报告；c)查验是否通过日志覆盖周期、覆盖方式、日志存储的空间大小、日志文件操作权限等设置，实现对审计记录的保护，日志信息是

53、否至少保存两个月以上。检查结果判定检查结果判定如下：a)不具备网络设备、操作系统、数据库和应用系统的审计日志，则 a）检查结果为不符合；b)应用系统日志字段的内容未至少包括日期、时间、用户源、访问对象、事件描述、事件结果，则 a）检查结果为不符合；20 DB11/T 13442016c)未对各层面的审计日志进行分析并生成报告，则 b）检查结果为不符合；d)未合理配置网络设备日志缓冲区大小，则 c）检查结果为不符合；e)操作系统日志文件权限设置不安全（如Windows的日志文件被授予Everyone权限；Linux日志文件权限为-rwxrwxrwx(777)），则 c）检查结果为不符合；f)未对

54、各层面的审计日志设定覆盖周期、覆盖方式、读写权限等，则 c）检查结果为不符合；g)未对各层面的审计日志进行备份，则 c）检查结果为不符合；h)应用系统为用户提供日志单条删除功能，则 c）检查结果为不符合；i)未部署网络设备日志集中收集系统（如Syslog服务器）对日志进行集中管理与备份，则c）检查结果为不符合。7.2.6系统数据保护检查内容检查内容如下：a)应检查网络设备、应用系统中的口令加密情况；b)应检查应用系统数据备份介质。检查方法检查方法如下：a)查验网络设备的配置文件中用户口令是否加密存储；b)查验应用系统存储用户信息的数据表中用户口令字段是否加密存储；c)查验主要网络设备、应用系统

55、远程管理时是否对用户口令进行了加密保护；d)查验是否对主要网络设备、主要数据库管理系统和主要应用系统的重要信息进行了本地备份，备份介质是否场外存放。检查结果判定检查结果判定如下：a)若网络设备配置文件中存储了明文用户口令，则 a）检查结果为不符合；b)若应用系统的数据库中存储了明文用户口令，则 b）检查结果为不符合；c)若网络设备采用Telnet协议进行远程管理，则 c）检查结果为不符合；d)若应用系统采用Http协议并且通过获取数据包验证未对口令进行加密，则 c）检查结果为不符合；e)若缺乏主要网络设备、主要数据库管理系统和主要应用系统重要信息的备份，则 d）检查结果为不符合。7.3安全管理

56、要求7.3.1安全管理机构检查内容检查内容如下：应检查安全管理组织架构情况、安全岗位人员配备情况和安全制度审批机制建立情况。检查方法21 DB11/T 13442016检查方法如下：a)查验信息安全工作委员会或领导小组名单、信息安全工作委员会的最高领导的授权书，记录授权书名称；通过访谈了解是否成立信息安全管理工作的职能部门，并检查安全主管的职责范围；b)查验系统、网络、安全方面的管理规定，记录系统管理员、网络管理员、数据库管理员、安全管理员的姓名，核对安全管理员是否专职；c)查验审批流程规定和审批记录，记录审批流程规定和审批记录的名称，核对审批记录是否至少包括审批时间、申请人、审批内容、审批人

57、；d)查验外联单位联系列表，核对是否至少包括外联单位名称、合作内容、联系人和联系方式等信息；e)查验安全审核和安全检查制度，记录安全审核和安全检查制度的名称，检查定期安全检查的记录和报告，核对记录是否至少包括检查时间、检查人员、检查对象、检查结果，核对报告是否至少包括报告时间、报告结论、报告撰写人、报告批准人等。检查结果判定检查结果判定如下：a)若没有提供信息安全工作委员会或领导小组名单、授权书和职责文件，或没有设立信息安全管理工作职能部门，没有岗位责任书，则 a）检查结果为不符合；b)若信息安全管理制度（网络、主机、密码、审计等制度）中没有明确角色和职责定义，没有信息安全管理岗位人员名单，未

58、设置专职的信息安全管理员，则b）检查结果为不符合；c)若没有建立对机房及重要区域进出、系统或网络重要操作（系统上线变更、配置变更、加固、安全管理等）的审批程序，或无法提供相关事件的审批记录，则 c）检查结果为不符合；d)若没有建立外联单位联系列表，或内容不完整，则 d）为不符合；e)若没有制定安全审核和安全检查工作制度和流程，没有定期进行安全审核和安全检查活动并保留检查记录；或没有对检查报告进行上报，并制定处理意见或计划，则 e）检查结果为不符合。7.3.2安全管理制度检查内容检查内容如下：应检查信息安全工作的总体方针和安全策略制定、发布方式和定期评审修订情况。检查方法检查方法如下：a)查验信

59、息安全管理体系总体方针、安全策略、管理制度、操作规程方面的相关文档，记录信息安全工作的总体方针、抽查的安全策略文档名称、抽查的管理制度名称、抽查的操作规程名称等；b)查验安全管理制度的版本控制记录、安全管理制度及其收发登记记录，记录安全管理制度的版本号；c)查验安全管理制度的审定和修订记录，核对评审记录是否至少包括评审时间、评审地点、参与评审人员和评审结论，修订记录是否至少包括修订时间、修订内容、修订人等信息。22 DB11/T 13442016检查结果判定检查结果判定如下：a)若没有制定信息安全工作的总体方针并形成文件下发；没有形成全面的信息安全管理制度体系（包括但不限于：信息安全策略、机房

60、管理制度、网络/主机/数据/密码管理等管理制度、设备操作规程、数据备份恢复操作规程等），则 a）检查结果为不符合；b)若没有对安全管理制度编写规范、格式进行统一，没有版本控制记录；或安全管理制度没有通过正式文件、邮件或办公网等有效途径发布，则 b）检查结果为不符合；c)若没有定期对安全管理制度进行检查，组织召开评审会，或评审记录内容不完整，则c）检查结果为不符合。7.3.3系统人员安全检查内容检查内容如下：应检查重要岗位人员劳动合同、保密协议、人员培训、考核记录、人员离岗管理制度和离岗记录。检查方法检查方法如下：a)查验内部人员的劳动合同和保密协议，记录保密协议名称，核对协议内容是否至少包括保