关键信息基础设施网络安全检查操作指引.docx

国家网络安全检查操作指南中央网络安全和信息化领导小组办公室网络安全协调局2016 年 6 月目 录1 概述 11.1 检查目的 11.2 检查工作流程 12 检查工作部署 32.1 研究制定检查方案 32.2 成立检查办公室 32.3 下达检查通知 32.4 组织专项培训 33 关键信息基础设施摸底 43.1 关键信息基础设施定义及范围 43.2 确定关键信息基础设施步骤 43.3 关键信息基础设施信息登记 64 网络安全检查 74.1 网络安全责任制落实情况检查 74.2 网络安全日常管理情况检查 84.3.1 人员管理检查 84.3.2 信息资产管理情况检查 84.3.3 经费保障情况检查 94.3 信息系统基本情况检查 104.1.1 基本信息梳理 104.1.2 系统构成情况梳理 114.1.2.1 主要硬件构成 114.1.2.2 主要软件构成 124.4 网络安全技术防护情况检查 134.4.1 网络边界安全防护情况检查 134.4.2 无线网络安全防护情况检查 144.4.3 电子邮件系统安全防护情况检查 144.4.4 终端计算机安全防护情况检查 154.4.5 移动存储介质检查 164.4.6 漏洞修复情况检查 174.5 网络安全应急工作情况检查 194.6 网络安全教育培训情况检查 204.7 技术检测及网络安全事件情况 214.7.1 技术检测情况 214.7.1.1 渗透测试 214.7.1.2 恶意代码及安全漏洞检测 214.7.2 网络安全事件情况 234.8 外包服务管理情况检查 245 检查总结整改 265.1 汇总检查结果 265.2 分析问题隐患 265.3 研究整改措施 265.4 编写总结报告 266 注意事项 276.1 认真做好总结 276.2 加强风险控制 276.3 加强保密管理 27附件 网络安全检查总结报告参考格式 28国家网络安全检查操作指南为指导关键信息基础设施网络安全检查工作，依据《关于开展关键信息基础设施网络安全检查的通知》（中网办发﹝ 2016﹞3号，以下简称《检查通知》），参照《信息安全技术 政府部门信息安全管理基本要求》（GB/T 29245-2012）等国家网络安全技术标准规范，制定本指南。

本指南主要用于各地区、各部门、各单位在开展关键信息基础设施网络安全检查工作（以下简称“检查工作”）时参考1 概述1.1 检查目的为贯彻落实习近平总书记关于“加快构建关键信息基础设施安全保障体系”，“全面加 强网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改 ”的重要指示精神，摸清关键信息基础设施底数，掌握关键信息基础设施风险和防护状况，以查“促建、促管、促改、促防”，推动建立关键信息基础设施网络安全责任制和防范体系，保障关键信息基础设施的安全稳定运行1.2 检查工作流程检查工作流程通常包括检查工作部署、关键信息基础设施摸底、网络安全检查、检查总结整改四个步骤其中，网络安全检查包括信息系统基本情况检查、网络安全责任制落实情况检查、网络安全日常管理情况检查、网络安全防护情况检查、网络安全应急工作情况检查、网络安全教育培训情况检查、技术检测及网络安全事件情况检查、信息技术外包服务机构情况检查等八个环节，如下图所示1图1 网络安全检查工作流程图22 检查工作部署检查工作部署通常包括研究制定检查方案、成立检查办公室、下达检查通知等具体工作2.1 研究制定检查方案本单位网络安全管理部门根据《检查通知》统一安排，结合工作实际，制定检查方案，并报本单位网络安全主管领导批准。

检查方案应当明确以下内容：（ 1）检查工作负责人、组织机构和具体实施机构；（2） 检查范围和检查重点；（3）检查内容；（4）检查工作组织开展方式；（5）检查工作时间进度安排；（6）有关工作要求1. 关于检查范围检查的范围通常包括本单位各内设机构，以及为本单位信息系统（包括网站系统、平台系统、生产业务系统等）提供运行维护支撑服务的下属单位可根据本单位网络安全保障工作需要，将其他为本单位信息系统提供运维服务、对本单位信息系统安全可能产生重大影响的相关单位纳入检查范围2. 关于检查重点在对各类信息系统进行全面检查的基础上，应突出重点，对事关 国家安全和社会稳定，对地区、部门或行业正常生产生活具有较大影响的关键信息基础设施进行重点检查3. 关于关键信息基础设施确定，应结合本单位实际，参考《关于开展关键信息基础设施网络安全检查的通知》中的《关键信息基础设施确定指南》进行确定2.2 成立检查办公室本单位网络安全管理部门制定完成检查方案后，应及时成立检查办公室，明确人员、经费和技术保障；组织开展培训，保证办公室成员熟悉检查方案，掌握检查内容、填报工具使用方法等办公室成员通常由网络安全管理及运维部门、信息化部门有关人员，相关业务部门中熟悉业务、具备网络安全知识的人员，以及本单位相关技术支撑机构的业务骨干等组成。

对于网络与信息系统复杂、检查工作涉及部门多的单位，可根据需要成立检查工作领导小组，负责检查工作的组织协调与资源配置领导小组组长可由本单位主要负责同志担任，领导小组成员可包括网络安全管理机构负责人（如办公厅主任）、信息化部门负责人（如信息中心主任），以及其他相关部门负责人（如人事部门、财务部门、业务部门领导）等2.3 下达检查通知本单位网络安全管理部门应以书面形式部署关键信息基础设施网络安全检查工作，明确检查时间、检查范围、检查内容、工作要求等具体事项2.4 组织专项培训本单位要组织专项培训，对本单位负责检查工作的干部、专家、技术人员、有关关键信息基础设施运维人员等进行广泛培训，确保检查工作质量，培训内容应包括检查目的意义、流程方法、关键信息基础设施确定方法及登记表填报说明、网络安全检查方法等33 关键信息基础设施摸底3.1 关键信息基础设施定义及范围关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统，且这些系统一旦发生网络安全事 故，会影响重要行业正常运行，对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。

关键信息基础设施包括网站类，如党政机关网站、企事业单位网站、新闻网站等；平台类，如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台；生产业务类，如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等3.2 确定关键信息基础设施步骤关键信息基础设施的确定，通常包括三个步骤，一是确定关键业务，二是确定支撑关键业务的信息系统或工业控制系统，三是根据关键业务对信息系统或工业控制系统的依赖程度，以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施一）确定本地区、本部门、本行业的关键业务可参考表1，结合本地区、本部门、本行业实际梳理关键业务表1 关键信息基础设施业务判定表行业关键业务电力能源石油石化煤炭金融铁路交通民航公路水运llllllllllllllllllllllll电力生产（含火电、水电、核电等）电力传输电力配送油气开采炼化加工油气输送油气储存煤炭开采煤化工 银行运营证券期货交易清算支付保险运营客运服务货运服务运输生产车站运行空运交通管控机场运行订票、离港及飞行调度检查安排航空公司运营公路交通管控智能交通系统（一卡通、ETC 收费等）水运公司运营（含客运、货运）4水利医疗卫生环境保护lllllllll港口管理运营航运交通管控水利枢纽运行及管控长距离输水管控城市水源地管控医院等卫生机构运行疾病控制急救中心运行环境监测及预警（水、空气、土壤、核辐射等）l工业制造l（原材料、装备、消费品、电子制l造）l企业运营管理智能制造系统（工业互联网、物联网、智能装备等） 危化品生产加工和存储管控（化学、核等）高风险工业设施运行管控l市政电信与互联网广播电视政府部门lllllllllll水、暖、气供应管理城市轨道交通污水处理智慧城市运行及管控语音、数据、互联网基础网络及枢纽域名解析服务和国家顶级域注册管理数据中心/云服务电视播出管控广播播出管控信息公开面向公众服务办公业务系统（二）确定关键业务相关的信息系统或工业控制系统。

根据关键业务，逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统，形成候选关键信息基础设施清单如电力行业火电企业的发电机组控制系统、管理信息系统等；市政供水相关的水厂生产控制系统、供水管网监控系统等三）认定关键信息基础设施对候选关键信息基础设施清单中的信息系统或工业控制系统，根据本地区、本部门、本行业实际，参照以下标准认定关键信息基础设施A. 网站类符合以下条件之一的，可认定为关键信息基础设施：1. 县级（含）以上党政机关网站 2016年检查中，所有党政机关网站均应填写上报登记表）2. 重点新闻网站2016年检查中，所有新闻网站均应填写上报登记表）3. 日均访问量超过100万人次的网站4. 一旦发生网络安全事故，可能造成以下影响之一的：（1） 影响超过100万人工作、生活；（2） 影响单个地市级行政区30%以上人口的工作、生活；（3） 造成超过100万人个人信息泄露；（4） 造成大量机构、企业敏感信息泄露；（5） 造成大量地理、人口、资源等国家基础数据泄露；（6） 严重损害政府形象、社会秩序，或危害国家安全5. 其他应该认定为关键信息基础设施5B. 平台类符合以下条件之一的，可认定为关键信息基础设施：1. 注册用户数超过1000万，或活跃用户（每日至少登陆一次）数超过100万。

2. 日均成交订单额或交易额超过1000万元3. 一旦发生网络安全事故，可能造成以下影响之一的：（1） 造成1000万元以上的直接经济损失；（2） 直接影响超过1000万人工作、生活；（3） 造成超过100万人个人信息泄露；（4） 造成大量机构、企业敏感信息泄露；（5） 造成大量地理、人口、资源等国家基础数据泄露；（6） 严重损害社会和经济秩序，或危害国家安全4. 其他应该认定为关键信息基础设施C.生产业务类符合以下条件之一的，可认定为关键信息基础设施：1. 地市级以上政府机关面向公众服务的业务系统，或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统2. 规模超过1500个标准机架的数据中心3. 一旦发生安全事故，可能造成以下影响之一的：（1） 影响单个地市级行政区30%以上人口的工作、生活；（2） 影响10万人用水、用电、用气、用油、取暖或交通出行等；（3） 导致5人以上死亡。