ICS35.030CCSL8021DB21/T3896—2023前言 2規(guī)范性引用文件 3術語和定義 4縮略語 5總體目標 6技術手段 7檢查框架與力度 7.1檢查框架 7.2檢查力度 8關鍵信息基礎設施網絡安全檢查與等級測評的關系 9檢查過程 9.1信息收集 9.2網絡安全基線檢查 9.3技術對抗措施檢查 9.4驗證測試 附錄A（資料性）滲透測試授權委托書模板 17附錄B（資料性）滲透測試報告樣例 18DB21/T3896—2023本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由遼寧省工業(yè)和信息化廳提出并歸口。本文件起草單位：北方實驗室（沈陽）股份有限公司、遼寧鯤鵬生態(tài)創(chuàng)新中心有限公司、遼河石油勘探局有限公司信息工程分公司、遼寧省高速公路運營管理有限責任公司、遼寧省市場監(jiān)管事務服務中心、遼寧省標準化研究院。本文件主要起草人：張健楠、韓曉娜、袁洪朋、李海濤、丁琳、張鏖、朱江、劉文志、李琳、石紹群、王繼宏、何永建、馬超、吳曉峰、徐帥、方濤、葛大明、盛明、王長亮、邱學思。本文件發(fā)布實施后，任何單位和個人如有問題和意見建議，均可以通過來電和來函等方式進行反饋，我們將及時答復并認真處理，根據實際情況依法進行評估及復審。歸口管理部門通訊地址：遼寧省工業(yè)和信息化廳（沈陽市皇姑區(qū)北陵大街45-2號），聯(lián)系電話標準起草單位通訊地址：北方實驗室（沈陽）股份有限公司（沈陽市渾南新區(qū)三義街6-1號21層聯(lián)系電話83785849。1DB21/T3896—2023信息安全技術關鍵信息基礎設施網絡安全檢查實施指南本文件規(guī)定了關鍵信息基礎設施網絡安全檢查的總體目標、檢查框架、力度、技術手段和檢查內容。本文件適用于關鍵信息基礎設施網絡安全檢查服務的實施。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239—2019信息安全技術網絡安全等級保護基本要求GB/T25069信息安全技術術語GB/T28448信息安全技術網絡安全等級保護測評要求GB/T39204—2022信息安全技術關鍵信息基礎設施安全保護要求3術語和定義GB/T25069、GB/T22239、GB/T28448、GB/T39204界定的以及下列術語和定義適用于本文件。3.1關鍵信息基礎設施網絡安全檢查cybersecurityinspectionserviceofcriticalinformationinfrastructure對關鍵信息基礎設施（如金融、能源、交通、水利等行業(yè)）的網絡安全狀況進行全面、系統(tǒng)、深入的檢查和評估，以發(fā)現存在的安全漏洞、弱點和數據風險，防止網絡攻擊和數據泄露，制定相應的安全防范措施保障關鍵信息基礎設施的安全運行。3.2訪談interview測評人員（指關鍵信息基礎設施網絡安全檢查服務人員或運維人員）通過引導CII相關人員進行有目的的（有針對性的）交流以幫助測評人員理解、澄清或取得證據的過程。[來源：GB/T28448—2019，3.1，有修改]3.3檢查inspection測評人員（指關鍵信息基礎設施網絡安全檢查服務人員或運維人員）通過對測評對象（如制度文檔、各類設備、數據資源及相關安全配置等）進行觀察、查驗和分析，以幫助測評人員理解、澄清或取得證據的過程。2DB21/T3896—20233.4測試test測評人員（指關鍵信息基礎設施網絡安全檢查服務人員或運維人員）使用預定的方法／工具使測評對象（各類設備或安全配置）產生特定的結果，將運行結果與預期的結果進行比對的過程。[來源：GB/T28448—2019，3.3，有修改]3.5檢查力度Inspectionintensity在進行檢查時所采取的嚴格程度、標準。檢查力度越高，依據的標準會更加明確、嚴格，評估過程會更加全面詳盡，結果的可靠性和準確性也會更高。注：通常由檢查機構或者檢查者來掌控，也可依據被檢系統(tǒng)的影響度、數量和分布情4縮略語下列縮略語適用于本文件。CII：關鍵信息基礎設施（CriticalInformationInfrastructure）5總體目標發(fā)現CII中存在的影響設備設施正常運行的、危害國家基礎數據信息安全的風險，通過檢查給出相應優(yōu)化建議，保障CII穩(wěn)定高效安全運行。6技術手段檢查工作主要使用的技術手段見表1所示。表1關鍵信息基礎設施網絡安全檢查主要技術手段1檢查，記錄，分析網絡設備，安全設備，服務器，23456通過實時監(jiān)測系統(tǒng)日志、網絡流量和入侵檢測系統(tǒng)等手段7遠程感知受檢系統(tǒng)的網絡流量、異常行為等，并對感知情7檢查框架與力度7.1檢查框架3DB21/T3896—2023威脅及入侵痕跡分析模擬攻擊路徑設計沙盤推演/滲透測試資產信息收集威脅信息收集攻擊發(fā)現和阻斷技術對抗措施檢查收斂暴露面攻防演練威脅情報網絡安全等級保護履行通信網絡安全檢查物理安全檢查信息收集業(yè)務信息收集區(qū)域邊界安全檢查計算環(huán)境威脅及入侵痕跡分析模擬攻擊路徑設計沙盤推演/滲透測試資產信息收集威脅信息收集攻擊發(fā)現和阻斷技術對抗措施檢查收斂暴露面攻防演練威脅情報網絡安全等級保護履行通信網絡安全檢查物理安全檢查信息收集業(yè)務信息收集區(qū)域邊界安全檢查計算環(huán)境（設備）安全檢查驗證測試信息收集人員管理安全檢查項目建設管理安全檢查制度管理安全檢查運維管理安全檢查機構管理安全檢查網絡安全基線檢查商用密碼安全性評估情況履行供應鏈保護供應鏈保護安全檢查管理中心管理中心安全檢查數據保護數據保護安全檢查圖1關鍵信息基礎設施網絡安全檢查框架7.2檢查力度關鍵信息基礎設施網絡安全檢查力度描述見表2所示。表2關鍵信息基礎設施網絡安全檢查力度描述保證覆蓋全部訪談對象類型的情況下，采取抽樣根據檢查重點，針對性選取訪談對象進行訪談，訪談重要對全部被訪談對象開展詳細的全面訪談，訪談問題包括各方面所有通用及保證覆蓋全部材料類型的情況下，采取抽樣細、徹底分析、觀察和研究。開展檢查時需結合業(yè)務保證覆蓋全部設備類型、安全配置的情況下，數量，范圍上采取抽使用特定工具/方法，對范圍符合檢查要求的所有設備/配置進行逐一測試，輸8關鍵信息基礎設施網絡安全檢查與等級測評的關系8.1在等級測評中，CII通常情況下由一個或多個等級保護對象組成，先進行等級保護測評后，再后續(xù)利用測評結果針對性地進行網絡安全檢查。8.2若等級保護測評力度與網絡安全檢查力度一致，則可重用CII相關等級保護對象的等級測評結果。4DB21/T3896—20238.3若未達到網絡安全檢查力度，則網絡安全檢查與等級測評結果應是相輔相成的，要根據相應側重點進行補充測評檢查，完善檢查結果。9檢查過程9.1信息收集信息收集包含業(yè)務信息收集、資產信息收集、威脅信息收集。通過文檔審核、人員訪談、核查驗證及現場查看等方式全面獲取被檢查系統(tǒng)運行期間相關信息，為風險識別與分析做準備。9.1.1業(yè)務信息收集業(yè)務信息收集包括服務器和中間件信息收集、端口信息收集、子域名信息收集、域名目錄遍歷、目標IP收集、系統(tǒng)架構、功能模塊、操作系統(tǒng)、數據庫、安全服務、在線時段，通過直接訪問及掃描網站獲取目標信息的行為收集等信息。9.1.2資產信息收集資產信息收集包括主機資產、應用資產、Web資產、系統(tǒng)資產，具體為：a）主機資產：資產列表收集（設備型號、版本等）、服務器資產收集、進程資產收集、端口資產收集、賬戶資產收集及網絡連接資產收集等；b）應用資產：數據庫資產收集、軟件應用收集等；c）Web資產：Web站點收集、Web應用框架收集及Web服務收集等；d）系統(tǒng)資產：啟動服務、內核模塊掃描收集等。9.1.3威脅信息收集威脅信息收集包括設備報警日志收集、威脅情報信息收集、惡意軟件及病毒樣本收集等。9.2網絡安全基線檢查9.2.1網絡安全等級保護履行9.2.1.1檢查指標網絡安全等級保護履行檢查指標應按照GB/T39204—2022中7.1條執(zhí)行。9.2.1.2檢查實施實施方法如下：a）檢查其CII運營者是否執(zhí)行開展網絡和信息系統(tǒng)的定級、備案、安全建設整改和等級測評等工作；b）結合對CII已進行的網絡安全等級保護測評結果，對照相應報告對已提出的優(yōu)化建議是否正確或完全履行；c）應訪談CII保護相關人員并檢查CII建設和整改相關文檔，確認是否在規(guī)劃設計、建設和使用階段同步進行了安全措施規(guī)劃、建設和使用。9.2.1.3檢查結果輸出根據網絡安全等級保護履行情況檢查獲取到的數據及資料，可從以下方面分析并給出檢查結果：5DB21/T3896—2023a）進行等級保護測評的機構是否有相應資質，符合國家要求；b）是否按照國家網絡安全等級保護制度相關要求，按時、定期完成定級、備案等工作；c）測評工作是否符合規(guī)范；d）測評后是否按照相應優(yōu)化建議進行履行；e）是否對CII所有等級保護對象均進行了等級保護測評，并輸出合規(guī)報告。9.2.2商用密碼安全評估履行9.2.2.1檢查指標商用密碼安全評估履行檢查指標應按照GB/T39204—2022中8.2條執(zhí)行9.2.2.2檢查實施實施方法如下：a）檢查其CII運營者商用密碼應用安全性評估情況的時機b）測評機構是否符合國家資質要求。9.2.2.3檢查結果輸出根據商用密碼安全評估情況履行情況檢查獲取到的數據及資料，可從以下方面分析并給出檢查結果：商用密碼應用安全性評估情況是否符合要求、測評機構符合國家資質要求。9.2.3物理安全檢查9.2.3.1檢查指標物理安全檢查指標應按以下執(zhí)行：a）符合GB/T22239—2019中安全通用要求：8.1.1.1物理位置選擇、8.1.1.2物理訪問控制、8.1.1.3防盜竊和防破壞、8.1.1.4防雷擊、8.1.1.5防火、8.1.1.6防水和防潮、8.1.1.7防靜電、8.1.1.8溫濕度控制、8.1.1.9電力供應、8.1.1.10電磁防護；b）符合GB/T22239—2019中云計算安全擴展要求：8.2.1.1基礎設施位置；c）符合GB/T22239—2019中移動互聯(lián)安全擴展要求：8.3.1.1無線接入點的物理位置；d）符合GB/T22239—2019中物聯(lián)網安全擴展要求：8.4.1.1感知節(jié)點設備物理防護。9.2.3.2檢查實施實施方法如下：確認9.2.3.1中a）b）c）d）中的各項指標是否符合GB/T22239—2019中的要求。9.2.3.3檢查結果輸出根據物理安全檢查獲取到的數據及資料，可從以下方面分析并給出檢查結果：a）機房場地設置是否合規(guī)（防震、防風防雨的建筑內、規(guī)定設施設置境內b）機房出入口是否設置了可控制、鑒別和記錄進出人員的電子門禁系統(tǒng)；c）設備或主要部件是否進行固定、明顯標識是否完整、通信線纜是否隱蔽鋪設；d）機房內防盜系統(tǒng)是否完善或覆蓋全面（或設有專人值守e）機房設備接地是否良好、是否設置防雷保護措施；f）機房防火裝置是否設置且有效、是否使用防火建筑材料、劃分隔離區(qū)域防火；g）防水、防潮措施、防靜電設施是否完善完好完備，在頂樓或地下室的機房是否加強相關措施處6DB21/T3896—2023h）環(huán)境控制設施是否能夠正常調節(jié)機房環(huán)境，保證設備正常運行；i）電力供應設備及穩(wěn)壓安全用電設備是否正常工作無缺失；j）電磁防護是否設置到位；k）機房內是否有其他影響設備運行的無關設備；l）云計算設施是否符合要求設置于中國境內；m）無線接入設備覆蓋信號是否滿足業(yè)務最小范圍，是否過度覆蓋；n）無線接入設備電磁防護是否設置到位；o）感知節(jié)點設備所處物理環(huán)境是否滿足正常工作條件（無擠壓、強震動、強干擾、屏蔽阻斷等p）感知節(jié)點設備是否正確反映環(huán)境情況，是否安裝在不影響其測量指標的位置（如溫濕度傳感器不能安裝在陽光直射的位置）；q）關鍵感知節(jié)點設備是否具有可供長時間工作的電力供應。9.2.4制度管理安全檢查9.2.4.1檢查指標制度管理安全檢查指標應按照GB/T39204—2022中7.2條執(zhí)行。9.2.4.2檢查實施實施方法如下：a）檢查其網絡保護計劃文檔中是否已明確CII安全保護的目標，其管理體系、技術體系、運營體系、保障體系內容是否完善明確；b）檢查其管理制度相關文檔建立情況，內容應包括但不限于風險管理制度、網絡安全考核及監(jiān)督問責制度、網絡安全教育培訓制度、人員管理制度、業(yè)務連續(xù)性管理及容災備份制度、三同步制度(安全措施同步規(guī)劃、同步建設和同步使用)、供應鏈安全管理制度等；c）檢查其安全策略相關文檔情況，內容應包括但不限于全互聯(lián)策略、安全審計策略、身份管理策略、入侵防范策略、數據安全防護策略、自動化機制策略(配置、漏洞、補丁、病毒庫等)、供應鏈安全管理策略、安全運維策略等；d）檢查下發(fā)的網絡安全相關制度及本單位自行制定的安全規(guī)章制度的落實情況。e）檢查其網絡安全保護計劃的修訂周期或發(fā)生重大變化時的重新修訂情況；f）訪談CII相關人員，檢查其對已發(fā)布的網絡安全保護計劃文檔了解程度；g）檢查其網絡安全保護計劃文檔的審核及收發(fā)的內部流程信息記錄，核查其審核的合規(guī)性及收發(fā)記錄的完整性；h）檢查其管理制度及安全策略文檔，其內容是否覆蓋及側重關鍵業(yè)務鏈安全需求，是否動態(tài)根據CII面臨的安全風險和威脅的變化進行相應調整。9.2.4.3檢查結果輸出根據制度管理安全檢查獲取到的數據及資料，可從以下方面分析并給出檢查結果：a）網絡計劃保護、管理制度、安全策略等文檔材料是否合理、完善；b）網絡保護計劃文檔是否至少每年修訂或發(fā)生重大變化時修訂；c）CII相關人員對已發(fā)布的相關文檔（網絡計劃保護、管理制度、安全策略等材料）是否了解知d）網絡安全保護計劃文檔是否已經過相關部門內部審核并發(fā)布；7DB21/T3896—2023e）管理制度及安全策略文檔是否側重考慮關鍵業(yè)務鏈安全需求，并根據動態(tài)情況更新保護計劃、管理制度及安全策略；f）網絡安全相關制度及本單位自行制定的安全規(guī)章制度是否落實。9.2.5機構管理安全檢查9.2.5.1檢查指標機構管理安全檢查指標應按照GB/T39204—2022中7.3條執(zhí)行。9.2.5.2檢查實施實施方法如下：a）檢查其組織架構情況，核實網絡安全工作委員會或領導小組成立情況、是否由組織主要負責人擔任其領導職務、其專職或分管CII的首席網絡安全官是否明確由一名領導班子成員擔任；b）檢查其專職或分管CII的首席網絡安全官、網絡安全管理機構負責人對相關工作的開展情況的了解程度；c）檢查其決策文件等材料，核實專門的網絡安全管理機構設置情況、機構負責人及崗位明確情況；d）檢查其網絡安全考核制度及過程文檔，是否建立網絡安全考核制度及其實施情況；e）檢查其是否實施了監(jiān)督問責機制，相關文件是否發(fā)布（包括但不限于網絡安全問題與問責方式、問責對象的對應關系等）；f）檢查其是否對每個CII明確一名安全管理責任人；g）訪談安全機構人員，核實其是否納入本組織信息化決策體系、參與本組織信息化決策。9.2.5.3檢查結果輸出根據機構管理安全檢查獲取到的數據及資料，可從以下方面分析并給出檢查結果：a）網絡安全工作委員會或領導小組是否成立，工作落實情況（網絡安全文件，制度簽發(fā)情況、組織架構制定情況）；b）專門網絡安全管理機構、首席網絡安全官是否設置；c）首席網絡安全官、網絡安全管理機構負責人是否了解相關工作開展情況、是否稱職（主要判定其對本單位的網絡安全工作是否了解，訪談其管理機構成員及職責、等級保護工作開展情況、工作重點、是否發(fā)生過安全事件等，若均能較準確回答，即為稱職）；d）是否對每個CII明確一名安全管理責任人；e）安全管理機構人員是否納入信息化體系并參與信息化決策。9.2.6人員管理安全檢查9.2.6.1檢查指標人員管理安全檢查指標應按照GB/T39204—2022中7.4條執(zhí)行。9.2.6.2檢查實施實施方法如下：a）檢查其是否對安全管理機構負責人和關鍵崗位人員進行安全技能考核及安全背景審查，檢查其背景審查結果及考核記錄相關文檔；b）檢查其安全管理機構是否明確關鍵崗位，是否明確與關鍵業(yè)務系統(tǒng)直接相關的系統(tǒng)管理、網絡管理、安全管理等崗位，是否關鍵崗位配備專人且2人以上共同管理；8DB21/T3896—2023c）檢查其是否定期安排安全機構管理人員參加國家、行業(yè)或業(yè)界網絡安全相關活動，檢查是否具有過程記錄（包括但不限于簽到記錄、活動照片、培訓記錄、總結等）；d）檢查其是否建立網絡安全教育培訓制度，CII從業(yè)人員培訓時長是否不少于每人每年30學時，該制度內規(guī)定的教育培訓內容應包括但不限于網絡安全相關法律法規(guī)、政策標準、網絡安全風險意識、安全責任，以及網絡安全保護技術、網絡安全管理等，核查參與培訓人員學習總結、心得等材料或相關方面關聯(lián)工作材料；e）檢查其安全機構負責人和關鍵崗位身份、安全背景等發(fā)生變化(例如：取得非中國國籍等)或必要時，是否根據情況按照規(guī)定重新進行安全背景審查；f）檢查其在人員發(fā)生內部調動時，是否重新評估調動人員對CII的邏輯和物理訪問權限，修改訪問權限并通知相關人員或角色，核查相關記錄文檔；g）檢查其在人員離崗時，是否及時終止離崗人員的所有訪問權限，收回與身份鑒別相關的軟硬件設備，進行面談并通知相關人員或角色；應核查交接記錄是否記錄了訪問權限、軟硬件設備的交接、經辦情況及離崗人員本人、經辦人、軟硬件接收部門、權限處理部門人員簽字確認情況；h）檢查其網絡安全技能考核開展情況，核查過程記錄文檔，文檔記錄內容應包括但不限于考核人員總人數，通過/未通過人數，考核人員分數，考核人員崗位職責，未通過人員處理措施等；i）檢查CII從業(yè)人員是否明確安全保密責任和義務，簽訂安全保密協(xié)議,保密協(xié)議是否約定保密范圍、保密責任、違約責任、協(xié)議的有效期限、離崗后的脫密期限、獎懲機制等內容。9.2.6.3檢查結果輸出根據人員管理安全檢查獲取到的數據及資料，可從以下方面分析并給出檢查結果：a）安全管理機構負責人和關鍵崗位人員進行安全考核及安全背景審查調查的材料是否完善、符合崗位實際；b）安全管理機構對關鍵崗位是否明確且全面，需要專人負責且多人管理的崗位是否責任到人；c）安全管理機構人員是否能夠及時參加國家、行業(yè)或業(yè)界網絡安全相關活動，是否能夠及時了解、學習國家網絡安全政策法規(guī)、網絡安全動態(tài)；d）CII從業(yè)人員執(zhí)行網絡安全培訓制度是否到位，對于文件內規(guī)定的網絡安全相關法律法規(guī)、政策標準、網絡安全風險意識、安全責任，以及網絡安全保護技術、網絡安全管理等學習內容能否全面學習；e）CII從業(yè)人員考核制度執(zhí)行是否到位，培訓時長是否足夠、培訓內容是否符合制度規(guī)定等；f）安全機構負責人和關鍵崗位的身份、安全背景等發(fā)生變化(例如：取得非中國國籍等)或在必要時，是否對其進行重新審查，重新審查材料是否全面（重新審核原因、審核經辦人、重新審核結論、審核后調整情況、審批人等）；g）人員離崗時對其權限、物理設備的處理是否到位，交接記錄是否據實記錄，是否完整無缺項；h）CII從業(yè)人員是否簽訂安全保密協(xié)議，明確安全保密責任及義務，相關部門對CII從業(yè)人員的保密問題是否有相關監(jiān)管措施及審計。9.2.7通信網絡安全檢查9.2.7.1檢查指標通信網絡安全檢查指標應按照GB/T39204—2022中7.5.1條，7.5.2條，7.5.4條執(zhí)行。9.2.7.2檢查實施實施方法如下：9DB21/T3896—2023a）檢查不同網絡安全等級保護系統(tǒng)之間、不同業(yè)務系統(tǒng)之間、不同區(qū)域的系統(tǒng)之間、不同運營者運營的系統(tǒng)之間安全策略的存在性和合理性；b）檢查通信線路“一主雙備”多電信運營商多路由保護的設置情況；c）檢查同一用戶其用戶身份和訪問控制策略等在不同網絡安全等級保護系統(tǒng)、不同業(yè)務系統(tǒng)、不同區(qū)域中的一致性；d）檢查不同局域網之間遠程通信時采取安全防護措施的設置使用情況；e）可利用威脅情報聯(lián)防阻斷系統(tǒng)、入侵防范等相關安全檢測、態(tài)勢感知設備，分析運營單位網絡流量，匹配情報源，初步分析系統(tǒng)異常情況，研判運營單位通信網絡安全基礎情況。9.2.7.3檢查結果輸出根據通信網絡安全檢查獲取到的數據及資料，可從以下方面分析并給出檢查結果：a）不同網絡安全等級保護系統(tǒng)之間、不同業(yè)務系統(tǒng)之間、不同區(qū)域的系統(tǒng)之間、不同運營者運營的系統(tǒng)之間是否建立了安全策略，策略是否合理；b）CII通信線路是否設置了“一主雙備”多電信運營商多路由保護；c）同一用戶其用戶身份和訪問控制策略等在不同網絡安全等級保護系統(tǒng)、不同業(yè)務系統(tǒng)、不同區(qū)域中是否一致；d）不同局域網之間遠程通信時采取是否設置了安全防護措施；e）運營單位通信網絡安全基礎情況（可從正面攻擊、受控外聯(lián)等角度分析得出結果）。9.2.8區(qū)域邊界安全檢查9.2.8.1檢查指標區(qū)域邊界安全檢查指標應按照GB/T39204—2022中7.5.3條執(zhí)行。9.2.8.2檢查實施實施方法如下：a）檢查不同網絡安全等級保護系統(tǒng)之間、不同業(yè)務系統(tǒng)之間、不同區(qū)域的系統(tǒng)之間、不同運營者運營的系統(tǒng)之間的互操作、數據交換和信息流向控制情況；b）檢查CII系統(tǒng)對非授權設備的檢測發(fā)現能力，檢查有無未通過運營者授權的軟硬件在系統(tǒng)內運c）檢查邊界設備訪問控制的有效性。9.2.8.3檢查結果輸出根據區(qū)域邊界安全檢查獲取到的數據及資料，可從以下方面分析并給出檢查結果：a）不同網絡安全等級保護系統(tǒng)之間、不同業(yè)務系統(tǒng)之間、不同區(qū)域的系統(tǒng)之間、不同運營者運營的系統(tǒng)之間的互操作、數據交換和信息流向是否設置了訪問控制措施，措施是否有效；b）CII系統(tǒng)內對未授權設備的檢測是否有力有效；c）是否有未通過邊界設備接入內部網絡的情況。9.2.9計算環(huán)境（設備）安全檢查9.2.9.1檢查指標計算環(huán)境（設備）安全檢查指標應按照GB/T39204—2022中7.6.1條，7.6.2條，7.6.3條執(zhí)行。DB21/T3896—20239.2.9.2檢查實施實施方法如下：a）檢查重要業(yè)務操作日志、重要用戶操作日志和異常用戶操作行為日志的建立情況、日志留存情況是否滿足要求（留存六個月或以上）；b）檢查對于重要業(yè)務操作、重要用戶操作或異常用戶操作行為，是否建立動態(tài)的身份鑒別方式，或者采用多因子身份鑒別等方式；c）檢查針對重要業(yè)務數據資源的訪問控制策略是否明確了基于安全標記技術實現；d）檢查登錄用戶的鑒別信息是否存在空口令或弱口令，且不易被破解；e）檢查發(fā)生網絡攻擊事件時，安全防御系統(tǒng)能否識別，告警并防御攻擊；f）檢查是否使用自動化工具對系統(tǒng)賬戶、配置信息、漏洞信息、補丁及病毒庫等進行自動化管理；g）檢查自動化工具操作記錄，對于漏洞的修補和補丁的更新是否經過驗證后進行，對于漏洞的修補和補丁的更新是否成功；h）檢查自動化工具本身是否存在漏洞或經過安全檢查。9.2.9.3檢查結果輸出根據計算環(huán)境（設備）安全檢查獲取到的數據及資料，可從以下方面分析并給出檢查結果：a）重要業(yè)務操作清單、重要用戶操作清單和異常用戶操作行為清單是否建立且無缺失；b）重要業(yè)務操作日志、重要用戶操作日志和異常用戶操作行為日志留存時間是否符合要求（六個月或以上）；c）重要業(yè)務操作、重要用戶操作或異常用戶操作行為的身份鑒別方式是否管控嚴格有效（采用動態(tài)的身份鑒別方式，或者多因子身份鑒別）；d）用戶鑒別系統(tǒng)有效性（是否存在空口令、弱口令、易被破解的口令、因未設置登陸失敗處理導致的暴力破解，未設置定期更改口令周期等）；e）是否具有網絡攻擊入侵防范能力（檢測，告警，防御能力）；f）系統(tǒng)賬戶、配置信息、漏洞信息、補丁及病毒庫等是否使用自動化工具管理；g）自動化工具是否存在漏洞或經過安全檢查。9.2.10項目建設管理安全檢查9.2.10.1檢查指標項目建設管理安全檢查指標應按照GB/T39204—2022中7.7條執(zhí)行。9.2.10.2檢查實施實施方法如下：a）檢查CII在建設、改造、升級過程中是否落實了網絡安全技術措施與主體工程同步規(guī)劃、同步建設、同步使用的相關要求；b）檢查其是否進行了測試、評審、攻防演練環(huán)節(jié)等形式驗證其可用性及安全性，是否建設了關鍵業(yè)務仿真驗證環(huán)境。9.2.10.3檢查結果輸出根據項目建設管理安全檢查獲取到的數據及資料，可從以下方面分析并給出檢查結果：a）是否進行了攻防演練等安全驗證，是否關鍵建設業(yè)務仿真驗證環(huán)境，若已建設，應檢查其仿真驗證環(huán)境是否可用、有效，仿真環(huán)境與真實環(huán)境的相關參數是否相符；DB21/T3896—2023b）CII建設管理材料是否完整無缺失。9.2.11運維管理安全檢查9.2.11.1檢查指標運維管理安全檢查指標應按照GB/T39204—2022中7.8條執(zhí)行。9.2.11.2檢查實施實施方法如下：a）檢查CII運維地點是否位于中國境內，訪談運維相關人員；b）檢查以往運維操作前與運維人員簽訂的安全保密協(xié)議存檔；c）檢查是否使用已在本組織登記備案的運維工具進行運維，應將運維記錄與設備使用記錄對比，若存在使用非登記備案設備運維，核查運維設備檢查記錄是否記錄了惡意代碼檢測等其他檢測結果。9.2.11.3檢查結果輸出根據運維管理安全檢查獲取到的數據及資料，可從以下方面分析并給出檢查結果：a）CII運維地點是否合規(guī)（是否位于中國境內，若有境外/遠程運維，則應向網信部門和保護工作部門報備）；b）運維管理記錄是否完整（包括運維時間，事由、使用設備、人員管理等）；c）運維安全保密協(xié)議簽訂工作是否到位（是否逐個簽訂、是否全部存檔）；d）運維設備管理是否嚴格（運維設備備案登記管理，運維設備使用記錄管理，非備案設備登記檢查記錄）。9.2.12管理中心安全檢查9.2.12.1檢查指標管理中心安全檢查指標應按照GB/T22239—2019中8.1.5.1條，8.1.5.2條，8.1.5.3條執(zhí)行。9.2.12.2檢查實施實施方法如下：a）檢查是否對系統(tǒng)管理員、審計管理員、安全管理員進行身份鑒別，核查其審計記錄文檔；b）檢查系統(tǒng)管理員、審計管理員、安全管理員是否按照自身角色分配權限、策略等信息，是否存在使用同一高權限賬號多人使用的問題。9.2.12.3檢查結果輸出根據管理中心安全檢查獲取到的數據及資料，可從以下方面分析并給出檢查結果：a）管理員身份鑒別工作是否到位，審計記錄是否明確、完整（包括但不限于操作用戶、操作IP、操作行為、操作結果等對于異常操作用戶是否有相關處理措施（包括但不限于訪談、使用設備檢查等）；b）管理員角色間權限分配是否符合工作實際、是否合理；c）是否有其他安全管理疏忽問題（多人使用同一權限賬號等）。9.2.13供應鏈保護安全檢查DB21/T3896—20239.2.13.1檢查指標供應鏈保護安全檢查指標應按照GB/T39204—2022中7.9條執(zhí)行。9.2.13.2檢查實施實施方法如下：a）檢查是否具有供應鏈安全管理策略文件，策略文件內容至少應包括險管理策略、供應方選擇和管理策略、產品開發(fā)采購策略、安全維護策略等內容；b）檢查其采購的網絡關鍵設備和網絡安全專用產品目錄中的設備產品，是否具有國家檢測認證及銷售許可；c）檢查其是否具有年度采購網絡產品和服務清單；d）訪談運營單位供應商對接負責人，詢問其選擇供應方的控制措施，是否具有合格供應商目錄，是否有定期維護記錄；e）檢查其使用的網絡產品或服務商是否明確了安全責任和義務，是否有相關聲明（聲明不非法使用、控制、操縱用戶數據、設備或謀取不正當利益或其他強迫用戶的行為）；f）檢查其是否與網絡產品和服務的提供者簽訂安全保密協(xié)議，保密協(xié)議內容至少應包括安全職責、保密內容、獎懲機制、有效期等內容；g）檢查其對該單位定制開發(fā)的軟件是否進行源代碼安全檢測，檢查其是否具有由供應方提供第三方網絡安全服務機構出具的代碼安全檢測報告；h）檢查其是否定期對網絡產品、服務進行缺陷、漏洞修復，檢查其消除隱患的相關措施，是否存在檢查記錄，修復記錄，修復后檢查等相關材料，如遇重大問題是否及時上報。9.2.13.3檢查結果輸出根據供應鏈保護安全檢查獲取到的數據及資料，可從以下方面分析并給出檢查結果：a）該單位供應鏈安全管理策略文件是否完整（具有/不具有，內容包括，內容覆蓋是否全面）；b）網絡關鍵設備和網絡安全專用產品目錄中的設備產品的檢測認證及銷售許可證是否缺失；c）年度采購網絡產品和服務清單是否完整（具有/不具有，相關產品，服務是否符合國家要求）；d）運營單位對供應商的控制措施、供應商名錄是否完整，是否定期維護（記錄相關文檔名稱，內）；e）其網絡產品或服務商對安全責任和義務的明確情況（具有/不具有用戶、數據、不謀取不正當利益、不強迫用戶等相關聲明）；f）簽訂的安全保密協(xié)議是否完整（具有/不具有，包括的內容，內容覆蓋是否全面）；g）定制開發(fā)軟件的源代碼安全檢測報告（具有/不具有），提供報告的第三方是否具有相關資質（此處應考慮運營單位是否有定制開發(fā)，如有，應標注是自行開發(fā)還是外包開發(fā)，自行開發(fā)的，應提供源代碼安全檢測報告及第三方安全機構資質，外包開發(fā)的，應提供開發(fā)服務商資質、源代碼安全檢測報告及第三方安全機構資質）；h）隱患，漏洞的發(fā)現、整改、修復后復查報告（具有/不具有），重大安全風險上報記錄（具有/不具有/不適用）。9.2.14數據保護安全檢查9.2.14.1檢查指標數據保護安全檢查指標應按照GB/T39204—2022中7.10條執(zhí)行。DB21/T3896—20239.2.14.2檢查實施實施方法如下：a）檢查其是否具有數據安全管理責任和評價考核制度，數據安全保護計劃及數據安全事件應急預b）檢查其是否具有數據安全保護策略，并是否按照數據分級分類制定相應安全保護策略；c）檢查其境內收集及產生的個人信息和重要數據是否儲存在境內，無數據出境行為，若有，則按照國家相關規(guī)定及標準進行安全評估，法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定執(zhí)行。d）檢查其敏感數據安全保護情況（重要數據的使用、加工、傳輸、提供和公開等關鍵環(huán)節(jié)，是否采取加密、脫敏、去標識化等技術手段）；e）檢查其業(yè)務連續(xù)性及容災備份機制，根據運營單位實際情況，核查其是否采用數據庫異地實時備份、系統(tǒng)實時備份等措施，核查其備份記錄等文檔；f）檢查其關鍵信息基礎設施退役廢棄時，是否按照已制定的數據安全保護策略對相關數據進行處9.2.14.3檢查結果輸出根據數據保護安全檢查獲取到的數據及資料，可從以下方面分析并給出檢查結果：a）數據安全管理責任和評價考核制度是否完整（具有/不具有，文檔包括哪些內容，可記錄表頭b）數據安全保護計劃及數據安全應急預案是否完整（具有/不具有，文檔包括哪些內容，可記錄表頭）；c）數據安全保護策略是否完整，是否按照實際的數據分級分類制定相應安全保護策略；d）在我國境內運營收集產生的數據是否存在數據出境行為，確需出境的，是否符合相關規(guī)定；e）運營單位容災備份機制是否合理有效（根據業(yè)務要求或數據要求）；f）重要數據、敏感數據在使用、加工、傳輸、提供和公開時是否有脫敏、加密等技術措施；g）關鍵信息基礎設施退役廢棄時，處理相關數據時，其已制定的數據安全保護策略的落實情況。9.3技術對抗措施檢查9.3.1收斂暴露面9.3.1.1檢查指標收斂暴露面檢查指標應按照GB/T39204—2022中10.1條執(zhí)行。9.3.1.2檢查實施實施方法如下：a）檢查其互聯(lián)網和內網資產的互聯(lián)網協(xié)議地址、端口、應用服務等是否已記錄并梳理，是否已壓縮相關內網端口或服務；b）檢查內部信息（組織架構、郵箱賬號、組織通信錄、內網賬號等）和技術文檔（網絡拓撲圖、源代碼、互聯(lián)網協(xié)議地址規(guī)劃等）是否采取了對外暴露控制的相關措施，通過信息收集，社會工程學手段核查是否有在公共儲存空間（例如：代碼托管平臺、文庫、網盤等）上泄露的相關情況。9.3.1.3檢查結果輸出根據收斂暴露面檢查獲取到的數據及資料，可從以下方面分析并給出檢查結果：DB21/T3896—2023a）是否已壓縮互聯(lián)網出口、內網端口、服務數量；b）內部信息及技術文檔是否有泄露或泄露風險。9.3.2攻擊發(fā)現和阻斷9.3.2.1檢查指標攻擊發(fā)現和阻斷檢查指標應按照GB/T39204—2022中10.2條執(zhí)行。9.3.2.2檢查實施實施方法如下：a）檢查CII攻擊技術應對策略和方案，是否針對網絡攻擊的方法、手段、針對拒絕服務攻擊等采取有針對性地防護策略和技術措施；b）檢查CII運營者是否能夠針對檢測發(fā)現的攻擊活動，分析攻擊路線、攻擊目標，是否設置多道防線，采取相應技術手段，切斷攻擊；c）檢查CII運營者是否能夠利用網絡誘捕手段發(fā)現攻擊活動；d）檢查CII運營者是否在發(fā)生網絡攻擊活動時及時開展溯源分析，是否能夠還原攻擊行為、攻擊策略、攻擊路徑等，對攻擊者畫像；e）檢查CII運營者是否能系統(tǒng)全面地分析網絡攻擊意圖、技術與過程，進行關聯(lián)分析與還原；是否根據實際情況改進安全防護策略及技術措施。9.3.2.3檢查結果輸出根據攻擊發(fā)現和阻斷檢查獲取到的數據及資料，可從以下方面分析并給出檢查結果：a）是否制定了有效的攻擊技術應對策略和方案；b）是否能夠及時對攻擊活動進行溯源，對攻擊者進行畫像；c）是否在發(fā)生網絡攻擊時能夠系統(tǒng)全面分析網絡攻擊意圖、技術與過程，進行關聯(lián)分析與還原d）是否及時按照實際情況改進CII安全防護措施及技術措施。9.3.3攻防演練9.3.3.1檢查指標攻防演練檢查指標應按照GB/T39204—2022中10.3條執(zhí)行。9.3.3.2檢查實施實施方法如下：a）檢查是否圍繞關鍵業(yè)務的可持續(xù)運行設定演練場景；b）檢查攻防演練技術方案文檔，攻防演練開展記錄相關文檔；c）檢查是否開展實網攻防演練或沙盤推演方式進行的攻防演練；d）檢查演練范疇是否包含基礎設施核心供應鏈、緊密上下游產業(yè)鏈等業(yè)務相關單位；e）檢查攻防演練暴露出的安全問題及風險是否及時整改，消除結構性、全局性風險。9.3.3.3檢查結果輸出根據攻防演練檢查獲取到的數據及資料，可從以下方面分析并給出檢查結果：a）是否能夠定期開展攻防演練（攻防演練時間是否具有周期性或規(guī)律性）；b）攻防演練就是方案文檔是否完整全面（是否圍繞關鍵業(yè)務的可持續(xù)運行設定演練場景）；DB21/T3896—2023c）CII跨組織、跨地域運行的，是否組織或參加了實網攻防演練；d）攻防演練范疇是否包含基礎設施核心供應鏈、緊密上下游產業(yè)鏈；e）攻防演練中的安全問題、全局性風險是否已經消除及整改到位。9.3.4威脅情報9.3.4.1檢查指標收斂暴露面檢查指標應按照GB/T39204—2022中10.4條執(zhí)行。9.3.4.2檢查實施實施方法如下：a）檢查其運營單位部門、運營單位及上下級單位是否建立網絡威脅情報共享機制；b）檢查向CII運營者提供威脅情報的第三方威脅情報服務提供商數量，應不少于三家；c）檢查CII運營者是否對已有威脅情報建立情報庫（包括但不限于攻擊者的IP地址、攻擊方式、攻擊目標、影響范圍、攻擊工具和攻擊時段等信息）；d）檢查CII運營者是否建立外部協(xié)同網絡威脅情報共享機制（與國家、地方、行業(yè)的網絡與信息安全信息通報與威脅情報共享機制）。9.3.4.3檢查結果輸出根據威脅情報檢查獲取到的數據及資料，可從以下方面分析并給出檢查結果：a）威脅情報共享機制是否完善；b）其第三方威脅情報服務提供商數量是否符合要求（不少于三家）；c）威脅情報信息庫是否完善（是否已經建立，是否已覆蓋已有信息，是否正常使用）；d）是否建立了外部協(xié)同網絡威脅情報共享機制。9.4驗證測試9.4.1威脅及入侵痕跡分析根據9.1-9.3中檢查收集到的數據和資料，對CII進行威脅及入侵痕跡分析時，應從以下方面入手：a）分析威脅方式和種類（包括但不限于偽裝或假冒、否認或抵賴、破壞完整性、破壞機密性、重放、拒絕服務、惡意軟件、社會工程學等），通過上述內容對威脅進行分析；b）分析威脅來源、目的、目標、影響范圍等進行全面評估；c）通過查看系統(tǒng)日志記錄（包括但不限于系統(tǒng)日志、應用日志等），分析是否有被入侵痕跡；d）通過分析異常進程、異常流量，通過抓包等手段獲取相關信息分析是否存在有異常數據包；e）通過異常文件分析，CII系統(tǒng)是否有木馬后門等威脅。9.4.2模擬攻擊路徑設計一般情況下，攻擊者主要通過外網縱向突破、內網橫向拓展、近源攻擊等方式，則在進行模擬攻擊路徑設計時，可從三個這角度開展：a）外網路徑：通過用戶角度設置外網路徑測試，包括但不限于外網用戶、內網用戶、管理員用戶等