<4D F736F F D CDF8C9CFD3AAD2B5CCFCB0B2C8ABB7C0BBA4BCECB2E2D2AAC7F32E646F63>

Size: px

Start display at page:

Download "<4D F736F F D CDF8C9CFD3AAD2B5CCFCB0B2C8ABB7C0BBA4BCECB2E2D2AAC7F32E646F63>"

贞简赵
5 years ago
Views:

1 ICS M 30 YD 中华人民共和国通信行业标准 YD/T 网上营业厅安全防护检测要求 Security Protection Testing Requirements for Online Business Hall ( 报批稿 ) - - 发布 - - 实施中华人民共和国工业和信息化部发布

3 目次前言... I 1 范围规范性引用文件术语定义和缩略语术语和定义缩略语网上营业厅安全防护检测概述网上营业厅安全防护检测范围网上营业厅安全防护检测对象网上营业厅安全防护检测内容网上营业厅安全防护检测结果判定网上营业厅安全等级保护检测要求第 1 级要求第 2 级要求第 3.1 级要求第 3.2 级要求第 4 级要求第 5 级要求网上营业厅安全风险评估网上营业厅安全风险评估范围网上营业厅安全风险评估内容网上营业厅安全风险评估要素网上营业厅安全风险评估赋值原则网上营业厅安全风险评估计算方法网上营业厅安全风险评估文件类型网上营业厅安全风险评估文件记录网上营业厅灾难备份及恢复检测要求第 1 级要求第 2 级要求第 3.1 级要求第 3.2 级要求第 4 级要求第 5 级要求... 39

5 前言本标准文件是电信网和互联网安全防护体系系列标准文件之一该系列标准文件预计结构及名称如下 : 1. 电信网和互联网安全防护管理指南 2. 电信网和互联网安全等级保护实施指南 3. 电信网和互联网安全风险评估实施指南 4. 电信网和互联网灾难备份及恢复实施指南 5. 固定通信网安全防护要求 6. 移动通信网安全防护要求 7. 互联网安全防护要求 8. 增值业务网消息网安全防护要求 9. 增值业务网智能网安全防护要求 10. 接入网安全防护要求 11. 传送网安全防护要求 12. IP 承载网安全防护要求 13. 信令网安全防护要求 14. 同步网安全防护要求 15. 支撑网安全防护要求 16. 非核心生产单元安全防护要求 17. 电信网和互联网物理环境安全等级保护要求 18. 电信网和互联网管理安全等级保护要求 19. 固定通信网安全防护检测要求 20. 移动通信网安全防护检测要求 21. 互联网安全防护检测要求 22. 增值业务网消息网安全防护检测要求 23. 增值业务网智能网安全防护检测要求 24. 接入网安全防护检测要求 25. 传送网安全防护检测要求 26. IP 承载网安全防护检测要求 27. 信令网安全防护检测要求 28. 同步网安全防护检测要求 29. 支撑网安全防护检测要求 30. 非核心生产单元安全防护检测要求 31. 电信网和互联网物理环境安全等级保护检测要求 32. 电信网和互联网管理安全等级保护检测要求 33. 域名系统安全防护要求 34. 域名系统安全防护检测要求 35. 网上营业厅安全防护要求 I

6 36. 网上营业厅安全防护检测要求 ( 本标准 ) 本标准文件与网上营业厅安全防护要求配套使用随着电信网和互联网的发展, 将不断补充和完善电信网和互联网安全防护体系的相关标准本标准文件由中国通信标准化协会提出并归口本标准文件起草单位 : 工业和信息化部电信研究院中国电信集团公司中国移动集团公司中国联通集团公司北京神州绿盟科技有限公司恒安嘉新 ( 北京 ) 科技有限公司本标准文件主要起草人 : 卜哲赵阳田峰张春玲金波王红阳杨满智 II

7 网上营业厅安全防护检测要求 1 范围本标准文件规定了网上营业厅在安全等级保护风险评估灾难备份及恢复等方面的安全防护检测要求本标准文件适用于公众电信网中的网上营业厅 2 规范性引用文件下列文件中的条款通过本标准文件的引用而成为本标准文件的条款凡是注日期的引用文件, 其随后所有的修改单 ( 不包括勘误的内容 ) 或修订版均不适用于本标准文件, 然而, 鼓励根据本标准文件达成协议的各方研究是否可使用这些文件的最新版本凡是不注日期的引用文件, 其最新版本适用于本标准文件 GB/T xxxx-xxxx 信息安全技术信息系统安全等级保护基本要求 ( 报批稿 ) YD/T YD/T YD/T YD/T YD/T YD/T 电信网和互联网安全防护管理指南电信网和互联网安全等级保护实施指南电信网和互联网安全风险评估实施指南电信网和互联网物理环境安全等级保护要求电信网和互联网管理安全等级保护要求支撑网安全防护要求 3 术语定义和缩略语 3.1 术语和定义下列术语和定义适用于本标准网上营业厅 Online Business Hall 电信运营商为客户提供的可在互联网上查询办理受理电信相关业务的服务平台, 位于互联网与 BOSS 系统之间用户通过登录网上营业厅网站自助办理各种电信业务, 如查询服务充值缴费业务办理积分兑换网上商城等, 并可获知最新动态, 投诉或提出建议等网上营业厅安全等级 security classification of Online Business Hall 3

8 网上营业厅安全重要程度的表征重要程度可从网上营业厅受到破坏后, 对国家安全社会秩序经济建设公共利益网络和业务运营商造成的损害来衡量网上营业厅安全等级保护 classified security protection of Online Business Hall 对网上营业厅分等级实施安全保护组织 organization 由不同作用的个体为实施共同的业务目标而建立的结构, 组织的特性在于为完成目标而分工合作 ; 一个单位是一个组织, 某个业务部门也可以是一个组织网上营业厅安全风险 security risk of Online Business Hall 人为或自然的威胁可能利用网上营业厅中存在的脆弱性导致安全事件的发生及其对组织造成的影响网上营业厅安全风险评估 security risk assessment of Online Business Hall 指运用科学的方法和手段, 系统地分析网上营业厅所面临的威胁及其存在的脆弱性, 评估安全事件一旦发生可能造成的危害程度, 提出有针对性的抵御威胁的防护对策和安全措施防范和化解网上营业厅安全风险, 或者将风险控制在可接受的水平, 为最大限度地为保障网上营业厅的安全提供科学依据网上营业厅资产 asset of Online Business Hall 网上营业厅中具有价值的资源, 是安全防护保护的对象网上营业厅中的资产可能是以多种形式存在, 无形的有形的硬件软件, 包括物理布局通信设备物理线路数据软件文档规程业务人员管理等各种类型的资源网上营业厅资产价值 asset value of Online Business Hall 网上营业厅中资产的重要程度或敏感程度资产价值是资产的属性, 也是进行资产识别的主要内容

9 3.1.9 网上营业厅威胁 threat of Online Business Hall 可能导致对网上营业厅产生危害的不希望事故潜在起因, 它可能是人为的, 也可能是非人为的 ; 可能是无意失误, 也可能是恶意攻击常见的网上营业厅威胁有黑客入侵硬件故障人为操作失误火灾水灾等等网上营业厅脆弱性 vulnerability of Online Business Hall 网上营业厅中存在的弱点缺陷与不足, 不直接对资产造成危害, 但可能被威胁所利用从而危害资产的安全网上营业厅灾难 disaster of Online Business Hall 由于各种原因, 造成网上营业厅故障或瘫痪, 使网上营业厅的功能停顿或服务水平不可接受达到特定的时间的突发性事件网上营业厅灾难备份 backup for disaster recovery of Online Business Hall 为了网上营业厅灾难恢复而对相关网络要素进行备份的过程网上营业厅灾难恢复 disaster recovery of Online Business Hall 为了将网上营业厅从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态并将其功能从灾难造成的不正常状态恢复到可接受状态, 而设计的活动和流程网上营业厅业务流程 sevice process of Online Business Hall 网上营业厅支持的业务过程, 通常包括多步活动, 并与用户客服等多人间有交互, 例如网上选号入网网上办理停机业务等中间件 MiddleWare 5

10 一种独立的系统软件或服务程序, 中间件位于客户机 / 服务器的操作系统之上, 管理计算机资源和网络通讯, 是连接两个独立应用程序或独立系统的软件, 针对不同的操作系统和硬件平台, 中间件可以有符合接口和协议规范的多种实现实现网上营业厅功能的应用程序运行在中间件之上, 此时中间件包括 Web 服务器和应用服务器功能模块跨站脚本攻击 Cross-Site Scripting 入侵者在远程 Web 页面的 HTML 代码中插入具有恶意目的的数据, 用户认为该页面是可信赖的, 但是当浏览器下载该页面, 嵌入其中的脚本将被解释执行, 从而威胁用户浏览过程的安全 SQL 注入攻击 SQL Injection attack 攻击者构造恶意的字符串, 欺骗应用系统用于构造数据库查询语句并执行, 从而达到盗取或修改数据库中存储的数据的目的路径遍历攻击 Path Traversal attack 攻击者操纵输入参数使应用系统执行或透露任意文件内容, 或对服务器任意文件目录进行读写删除等操作命令注入攻击 Command Injection attack 攻击者操纵输入参数使应用系统执行额外的指令, 例如操作系统命令等 BOSS 系统敏感信息 sensitive information in BOSS systerm BOSS 系统中存贮的用户鉴权信息用户隐私数据, 例如 BOSS 服务密码通话详单短信记录用户个人信息 BOSS 系统敏感功能 sensitive function provided by BOSS 运营商 BOSS 接口规范中规定的调用时必须同时提供服务鉴权信息的接口功能, 如详单查询业务办理等

11 访谈 interview 检测人员通过与网上营业厅有关人员 ( 个人 / 群体 ) 进行交流讨论等活动, 检查网上营业厅安全等级保护网上营业厅安全风险评估和网上营业厅灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法检查 examination 检测人员通过对检测对象进行观察查验和分析等活动, 检查网上营业厅安全等级保护网上营业厅安全风险评估和网上营业厅灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法测试 testing 检测人员通过对检测对象按照预定的方法 / 工具使其产生特定行为的活动, 查看分析输出结果, 检查网上营业厅安全等级保护网上营业厅安全风险评估和网上营业厅灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法 3.2 缩略语下列缩略语适用于本标准 BOSS Business and Operation support systerm 电信业务运营支撑系统 SQL Structured Query Language 结构化查询语言 4 网上营业厅安全防护检测概述 4.1 网上营业厅安全防护检测范围网上营业厅位于互联网与 BOSS 系统之间, 是由 Web 服务器设备数据库服务器设备以及其他网络设备组成的网络, 用户通过登录网上营业厅网站自助办理各种电信业务, 如查询服务充值缴费业务办理积分兑换网上商城等, 并可获知最新动态, 投诉或提出建议等 4.2 网上营业厅安全防护检测对象本标准文件中网上营业厅的定级对象为网上营业厅系统, 可按照全国省和地市将各个系统分为不同级别安全等级保护的检测对象确定以后, 风险评估的检测对象灾难备份及恢复的检测对象应与安全等级保护的检测对象相一致 4.3 网上营业厅安全防护检测内容 7

12 按照网上营业厅安全防护检测的需要, 将网上营业厅安全防护检测分为网上营业厅安全等级保护检测网上营业厅安全风险评估检测和网上营业厅灾难备份及恢复检测等三个部分网上营业厅安全防护检测要求包括以下内容 : 网上营业厅安全等级保护检测主要包括业务安全检测网络安全检测主机安全检测中间件安全检测应用安全检测数据加密与备份物理安全检测管理安全检测等 ; 网上营业厅安全风险评估检测主要包括安全风险评估范围检测安全风险评估内容检测安全风险评估要素检测安全风险评估赋值原则检测安全风险评估计算方法检测安全风险评估文件类型检测和安全风险评估文件记录检测等 ; 网上营业厅灾难备份及恢复检测主要包括冗余系统冗余设备及冗余链路检测备份数据检测人员和技术支持能力检测运行维护管理能力检测和灾难恢复预案检测等 4.4 网上营业厅安全防护检测结果判定网上营业厅安全防护检测包括对网上营业厅的安全等级保护安全风险评估灾难备份及恢复三个部分的检测, 应对三个部分的检测结果分别进行判定, 并根据检测结果分别出具检测报告网上营业厅安全防护检测应采取打分的方式进行量化操作, 对每一个测试项打分, 如果属于判断结果为是或否的测试项, 结果为是则评 5 分, 为否则评 1 分其他测试项可根据具体实施情况进行评估, 并参照表 1 将评估结果换算成评分表 1 实施情况评分方法评估结果评分实施很好 5 实施较好 4 实施一般 3 实施较差 2 实施很差 1 对于安全等级保护, 将同一子类测试项的评分结果进行算术平均得到该等级保护子类的分数, 然后在将各子类的分数进行加权平均得到整个网上营业厅的安全等级保护的总分数网上营业厅安全等级保护中各项的权重如表 2 对于安全风险评估和灾难备份及恢复检测, 可将所有检测项目进行算术平均得到最终总分数

13 表 2 安全等级保护各子类的权重权重 (%) 等级保护子类 10 业务安全 10 网络安全 10 主机安全 10 中间件安全 10 应用安全 10 数据安全及备份恢复 15 物理环境安全 25 管理安全根据总分数对网上营业厅的安全等级保护安全风险评估和灾难备份及恢复测结果进行等级化评定, 总分数和评定等级的关系如表 3 所示表 3 总分数和评定等级的关系总分数 x 评定等级 4.5 x 5 很好 3.5 x < 4.5 较好 2.5 x < 3.5 一般 1.5 x < 2.5 较差 1 x < 1.5 很差 5 网上营业厅安全等级保护检测要求 5.1 第 1 级要求业务安全检测方式访谈, 检查, 测试检测对象网上营业厅检测实施 a) 询问网上营业厅管理人员, 是否按照用户登录网上营业厅的不同方式 ( 服务密码登录或手机随机码登录 ), 实现用户操作功能权限的横向纵向隔离, 保证用户登录后只能访 9

14 问该用户的相关信息, 不能非法访问其它用户相关信息, 并且只能实现运营商开放给用户的网上营业厅功能, 检查并通过测试帐号验证 ; 网络安全结构安全不做要求访问控制不做要求安全审计不做要求入侵防范检测方式访谈检查检测对象网上营业厅 Web 服务器防火墙检测实施 a) 访谈网上营业厅技术人员, 询问直接面向互联网为用户提供服务的网上营业厅设备 ( 如 Web 服务器设备 ) 是否仅开放为登录网上营业厅用户提供服务所必须的服务端口 ( 如 HTTP HTTPS 对应端口及向 BOSS 系统开放的端口 ), 检查是否采用技术手段监控其他端口通信情况 ; b) 检查网上营业厅与 BOSS 系统之间是否部署防火墙等设备, 是否监控网上营业厅发起的到 BOSS 网络的通信连接网络设备防护不做要求主机安全不做要求中间件安全不做要求应用安全身份鉴别检测方式访谈检查测试检测对象

15 网上营业厅检测实施 a) 访谈网上营业厅管理人员, 询问网上营业厅是否提供专用的登录控制模块对登录网上营业厅的用户进行身份标识和鉴别, 检查网上营业厅相关文档是否有对登录控制模块进行记录描述 ; b) 检查网上营业厅数据库中用户身份标识是否重复, 身份鉴别信息是否不易被冒用, 测试网上营业厅是否对用户身份标识的唯一和鉴别信息复杂度检查功能 ; 访问控制检测方式访谈测试检测对象网上营业厅检测实施 a) 访谈网上营业厅管理人员, 询问网上营业厅是否具备登录失败处理功能, 测试网上营业厅是否具备限制非法登录次数等失败处理功能安全审计不做要求通信完整性不做要求通信保密性不做要求软件质量不做要求资源控制不做要求数据安全及备份检测方式访谈检查检测对象网上营业厅 11

16 检测实施 a) 访谈网上营业厅设计技术人员, 询问 BOSS 敏感信息如详单用户信息等是否没有存贮在网上营业厅中, 检查网上营业厅中 Web 服务器设备文件系统数据网上营业厅数据库中是否没有 BOSS 敏感信息 ; b) 访谈网上营业厅设计技术人员, 若网上营业厅中存储有以下但不限于以下重要信息 : 用户登录口令交易记录充值卡密, 是否对这些重要信息数据进行备份 ; c) 访谈网上营业厅设计技术人员, 询问网上营业厅是否对网上营业厅存储的数据划分安全等级, 若网上营业厅中存储有以下但不限于以下重要信息 : 用户登录口令交易记录充值卡密, 是否对这些重要信息数据进行加密存贮物理环境安全应满足 YD/T 电信网和互联网物理环境安全等级保护检测要求中第 1 级检测要求管理安全应满足 YD/T 电信网和互联网管理安全等级保护检测要求中第 1 级检测要求 5.2 第 2 级要求业务安全除按内容进行检测外, 还应按照本届内容进行检测检测方式检查检测对象网上营业厅检测实施 a) 查看网厅运行故障记录, 检查网上营业厅向用户提供相关服务的可用性是否不低于 99.99% 网络安全结构安全除按内容进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象

17 网络设备, 网络拓扑图, 网络配置数据检测实施 a) 访谈网上营业厅管理员, 检查网上营业厅网络设备, 查看关键网络设备是否具备冗余空间保障的业务处理能力, 满足业务高峰期需要 ; b) 检查网络拓扑结构图, 是否与当前运行情况相符访问控制除按内容进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查, 测试检测对象网络设备, 访问控制设备检测实施 a) 访谈网上营业厅管理员, 询问是否对从互联网进入网上营业厅的流量进行过滤, 测试网上营业厅是否实现对应用层 HTTP FTP TELNET SMTP POP3 等协议命令级的控制 ; b) 访谈网上营业厅管理员, 询问用户通过互联网与网上营业厅 Web 服务器建立的会话处于非活跃一定时间后, 网上营业厅 Web 服务器设备是否自动终止会话, 通过测试验证该功能 ; c) 访谈网上营业厅管理员, 询问是否限制网上营业厅与互联网接口处的网络流量不超出接口带宽的 60%, 是否限制自互联网发起的会话并发连接数不超出网上营业厅设计容量的 80% 安全审计除按内容进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象网络设备, 网络设备运行状况日志网络流量日志用户行为日志, 审计记录检测实施 a) 访谈网上营业厅管理员, 询问是否对网络系统中的网络设备运行状况网络流量用户行为等进行日志记录 ; 检查各项日志记录 ; b) 访谈网上营业厅管理员, 询问是否有审计记录 ; 检查审计记录, 查看是否包括事件的日 13

18 期和时间用户事件类型事件是否成功及其他与审计相关的信息入侵防范除按内容进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象网络设备, 监视记录检测实施 a) 访谈网络管理员, 询问是否在网上营业厅与互联网的网络边界处检测防御以下攻击行为 : 端口扫描强力攻击木马后门攻击拒绝服务攻击缓冲区溢出攻击 IP 碎片攻击和网络蠕虫攻击等 ; 查看相关配置及网络攻击监视记录 ; b) 访谈网络管理员, 询问网上营业厅是否不能够调用 BOSS 系统未开放功能接口网络设备防护除按内容进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查, 测试检测对象网络设备, 网络设备用户标识检测实施 a) 访谈网络管理员, 询问是否对登录网络设备的用户进行身份鉴别 ; b) 访谈网络管理员, 询问是否对网络设备的管理员登录地址进行限制 ; c) 访谈网络管理员, 询问是否对网络设备用户做唯一标识 ; d) 访谈网络管理员, 询问用户口令是否具有一定复杂度 ( 长度至少 8 位, 是数字大写字母小写字母的组合 ), 并且是否定期 ( 更换周期小于 90 天 ) 更换 ; e) 访谈网络管理员, 询问是否具有登录失败处理功能, 是否可采取结束会话限制非法登录次数和当网络登录连接超时自动退出等措施, 通过测试检验该功能 ; f) 访谈网络管理员, 询问当对网络设备进行远程管理时, 是否采取必要措施防止鉴别信息在网络传输过程中被窃听主机安全身份鉴别

19 除按内容进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象主机设备, 操作系统, 数据库检测实施 a) 访谈网络管理员, 询问是否对登录操作系统和数据库系统的用户进行身份标识和鉴别 ; b) 访谈网络管理员, 询问操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点, 口令是否具有一定复杂度 ( 长度至少 8 位, 是数字大写字母小写字母的组合 ), 并且是否定期 ( 更换周期小于 90 天 ) 更换, 检查用户身份标识, 检查口令更改记录 c) 访谈网络管理员, 询问是否启用登录失败处理功能, 是否采取结束会话限制非法登录次数和自动退出等措施 ; d) 访谈网络管理员, 询问当对服务器进行远程管理时, 是否采取必要措施, 防止鉴别信息在网络传输过程中被窃听 ; e) 访谈网络管理员, 询问是否为操作系统和数据库系统的不同用户分配不同的用户名, 确保用户名具有唯一性访问控制除按内容进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象主机设备, 操作系统, 数据库检测实施 a) 访谈网络管理员, 询问是否实现操作系统和数据库系统特权用户的权限分离 ; b) 访谈网络管理员, 询问是否限制默认帐户的访问权限, 重命名系统默认帐户, 修改这些帐户的默认口令 ; c) 访谈网络管理员, 询问是否及时删除多余的过期的帐户, 避免共享帐户的存在安全审计除按内容进行检测外, 还应按照本节内容进行检测检测方式 15

20 访谈, 检查检测对象主机设备, 操作系统, 数据库, 审计记录检测实施 a) 访谈网络管理员, 询问审计范围是否覆盖到服务器上的每个操作系统用户和数据库用户 ; b) 访谈网络管理员, 询问是否审计内容是否包括重要用户行为系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件 ; c) 检查审计记录, 是否包括事件的日期时间类型主体标识客体标识和结果等 ; d) 访谈网络管理员, 询问是否保护审计记录, 避免受到未预期的删除修改或覆盖等入侵防范除按内容进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象主机设备, 操作系统检测实施 a) 访谈网络管理员, 询问操作系统是否遵循最小安装的原则, 仅安装需要的组件和应用程序, 保持系统补丁及时得到更新恶意代码防范检测方式访谈, 检查检测对象主机设备, 防恶意代码软件, 防恶意代码软件更新记录, 恶意代码库更新记录检测实施 a) 访谈网络管理员, 询问是否安装防恶意代码软件, 是否及时更新防恶意代码软件版本和恶意代码库 ; 检查防恶意代码软件和恶意代码库的更新记录 ; 资源控制除按内容进行检测外, 还应按照本节内容进行检测检测方式

21 访谈, 检查, 测试检测对象主机设备, 安全策略检测实施 a) 访谈网络管理员, 询问是否通过设定终端接入方式网络地址范围等条件限制终端登录 ; b) 访谈网络管理员, 询问是否根据安全策略设置登录终端的操作超时锁定, 通过测试检验该功能 ; c) 访谈网络管理员, 询问是否限制单个用户对系统资源的最大或最小使用限度, 查看配置数据中间件安全身份鉴别检测方式访谈检查检测对象网络设备服务器检测实施 a) 访谈网上营业厅管理人员, 询问是否实现操作系统和中间件用户的权限分离, 中间件是否使用独立用户, 查看不同用户权限 ; b) 访谈网上营业厅管理人员, 询问是否实现中间件用户和网上营业厅应用软件用户的权限分离, 查看不同用户权限访问控制检测方式访谈检查检测对象 Web 服务器检测实施 a) 访谈管理员, 询问是否启用了 SSL 若启用 SSL, 是否采用不低于 3.0 版本的 SSL, 且是否按商用密码产品生产管理规定规定, 采用经国家密码管理局认可的密码算法 ; b) 访谈管理员, 询问服务器使用的操作系统级别的服务用户的权限是否遵循最小权限原则, 即中间件用户不能是 root 用户, 中间件用户权限不应能访问操作系统中一些关键进程, 检查中间件用户是否是操作系统 root 用户 17

22 安全审计检测方式访谈检查检测对象监控软件检测实施 a) 访谈网上营业厅管理人员, 询问是否采用技术手段 ( 如定期运行文件完整性监控软件 ) 及时发现中间件关键系统数据或文件被非授权更改, 是否在发现后能及时通知相关人员, 是否至少每周对关键文件进行比较, 查看相关配置数据 b) 访谈网上营业厅管理人员, 询问是否中间件安全日志, 查看安全日志入侵防范检测方式访谈检查测试检测对象中间件检测实施 a) 访谈网上营业厅管理人员, 询问中间件 Web 服务器的安装是否遵循最小安装的原则, 检查是否关闭或限制与系统正常运行无关, 但可能造成安全隐患的默认扩展功能, 例如示例程序后台管理不必要的存储过程等, 并通过测试验证访谈反馈 ; b) 访谈网上营业厅管理人员, 询问是否禁用中间件 Web 服务器的目录列出功能, 并通过测试验证访谈反馈 ; c) 访谈网上营业厅管理人员, 询问协议级的配置时是否禁用中间件 Web 服务器的不必要的 HTTP 方法 ( 如 PUT,TRACE,DELETE 等 ), 询问是否启用了 HTTPS, 若启用检查则禁用 HTTP, 通过测试验证访谈反馈 d) 访谈网上营业厅管理人员, 询问并检查是否已经启用了必要的语言安全设置, 例如 PHP 语言设置,JAVA 语言设置 ; e) 访谈网上营业厅管理人员, 是否对安装时自动生成的帐号 ( 如 : 演示账号 ) 做了清理或者修改密码 ; f) 访谈网上营业厅管理人员, 询问并检查是否已经配置 HTTP 服务标识, 使其不泄露 Web 服务器以及操作系统的版本, 并通过测试验证访谈反馈应用安全身份鉴别除按内容进行检测外, 还应按照本节内容进行检测

23 检测方式访谈测试检测对象网上营业厅检测实施 a) 访谈网上营业厅管理人员, 询问用户登录网上营业厅时是否需要输入图片验证码或其他防御账号暴力猜测的手段, 记录图片验证码类型 ( 数字大写字母小写字母或上述组合 ), 通过检查网上营业厅设计文档中图片验证码生成模块, 多次刷新图片验证码的测试, 验证图片验证码或其他手段的安全性访问控制除按内容进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查, 测试检测对象网上营业厅 BOSS 系统规范检测实施 a) 访谈网上营业厅管理人员, 询问用户登录网上营业厅办理相关业务时, 若需要网上营业厅通过应用层接口向 BOSS 系统调用敏感功能如查询通话详单短信记录业务状态时, 办理业务用户应是否需要再次输入服务密码或其它可信凭证, 进行二次验证 b) 查看运营商 BOSS 系统开发规范中对 BOSS 功能敏感功能相关规定, 测试网上营业厅二次认证功能安全审计除按内容进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象应用软件, 审计记录检测实施 a) 访谈网络管理员, 询问是否应用程序重要安全事件进行审计 ; b) 访谈网络管理员, 询问是否能够保证无法删除修改或覆盖审计记录 ; 19

24 c) 检查审计记录的内容, 查看是否至少包括事件日期时间发起者信息类型描述和结果等 ; d) 访谈网络管理员, 询问是否提供对审计记录数据进行统计查询分析及生成审计报表的功能, 查看审计报表通信完整性除按内容进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象应用软件, 软件设计文档检测实施 a) 访谈网上营业厅管理员, 询问是否采用校验码技术保证通信过程中数据的完整性, 查看软件设计文档, 是否具备该功能通信保密性除按内容进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查, 测试检测对象应用软件检测实施 a) 访谈网络管理员, 询问网上营业厅内部主机之间网上营业厅与 BOSS 系统之间是否没有物理旁路 ; b) 访谈网络管理员, 询问是否对通信过程中的敏感信息字段进行加密, 通过测试验证访谈反馈软件质量除按内容进行检测外, 还应按照本节内容进行检测检测方式访谈检测对象应用软件检测实施

25 a) 访谈网上营业厅管理员, 询问是否提供数据有效性检验功能, 保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求资源控制除按内容进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查, 测试检测对象应用软件检测实施 a) 访谈网络管理员, 询问是否能够对单个帐户的多重并发会话进行限制, 通过测试检验该功能数据安全及备份恢复数据完整性除按内容进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象鉴别信息, 重要业务数据检测实施 a) 访谈网上营业厅管理员, 询问是否能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏数据保密性除按内容进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象鉴别信息检测实施 a) 访谈网上营业厅管理员, 询问是否加密存储敏感信息, 如管理员密码等 ; 21

26 b) 访谈网上营业厅管理员, 询问系统是否避免将重要文件 ( 如日志文件代码备份文件数据库文件等 ) 存放在 Web 内容目录下, 防止被攻击者直接下载备份和恢复除按内容进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象重要信息的备份和恢复记录, 关键网络设备, 通信线路, 数据处理系统检测实施 a) 访谈网上营业厅管理员, 询问是否提供关键网络设备通信线路和数据处理系统的硬件冗余, 保证系统的可用性物理环境安全应满足电信网和互联网物理环境安全等级保护检测要求中第 2 级检测要求管理安全应满足电信网和互联网管理安全等级保护检测要求中第 2 级检测要求 5.3 第 3.1 级要求业务安全除按内容进行检测外, 还应按照本节内容进行检测检测方式访谈检查检测对象网上营业厅检测实施 a) 访谈网上营业厅管理人员, 询问网上营业厅同一业务流程中每个数据交互环节, 服务器端是否保证客户端前后操作的身份一致并经过授权 ; b) 访谈网上营业厅管理人员, 询问网上营业厅同一业务流程中每个数据交互环节, 若存在写操作 ( 或会对后续流程环节内容有影响 ), 业务流程设计时限制的不应篡改的数据 ( 如产品金额 ) 是否在程序实现中的完整性得到保证 ; c) 访谈网上营业厅管理人员, 询问网上营业厅业务流程是否具有必要的流程安全控制, 保证流程衔接正确, 防止关键鉴别步骤被绕过重复乱序网络安全结构安全

27 除按内容进行检测外, 还应按照本节内容进行检测检测方式访谈检查检测对象网络拓扑应用软件数据库软件检测实施 a) 访谈网上营业厅管理人员, 询问网上营业厅应用程序是否部署在专用的主机上, 是否避免将网上营业厅数据库应用程序或其他核心应用程序与网上营业厅应用程序安装在同一台主机上, 查看部署情况访问控制与检测方法相同安全审计除按内容进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象网络设备, 审计记录检测实施 a) 访谈网络管理员, 询问是否能够根据记录数据进行分析, 并生成审计报表 ; 检查审计记录 ; b) 访谈网络管理员, 询问是否对审计记录进行保护, 避免受到未预期的删除修改或覆盖等入侵防范除按照的要求进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象网络设备, 入侵事件记录检测实施 a) 访谈网络管理员, 询问当检测到攻击行为时, 是否能记录攻击源 IP 攻击类型攻击目 23

28 的攻击时间, 在发生严重入侵事件时是否能及时报警, 检查入侵事件记录和告警信息网络设备防护除按照的要求进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象网络设备检测实施 a) 访谈网络管理员, 询问是否实现设备特权用户的权限分离 ; b) 访谈网络管理员, 询问身份鉴别信息是否具有不易被冒用的特点, 口令是否具有一定的复杂度 ( 长度至少 8 位, 是数字大写字母小写字母特殊字符中任意三种的组合 ), 是否定期 ( 更换周期小于 30 天 ) 更换恶意代码防范除按内容进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象网络设备, 恶意代码库检测实施 a) 访谈网络管理员, 询问是否是否在互联网与网上营业厅边界处对恶意代码进行检测和清除 ; b) 访谈网络管理员, 询问是否维护恶意代码库的升级和检测系统的更新, 检查恶意代码苦的升级记录和系统更新记录 ; c) 访谈网络管理员, 询问是否对主机防恶意代码软件及网络设备防恶意代码软件进行统一管理主机安全身份鉴别除按照的要求进行检测外, 还应按照本节内容进行检测检测方式访谈检查检测对象

29 主机设备检测实施 a) 访谈网络管理员, 询问操作系统和数据库系统管理用户身份标识是否不易被冒用, 口令是否具有一定复杂度 ( 长度至少 8 位, 是数字大写字母小写字母特殊字符中任意三种的组合 ), 是否定期 ( 更换周期小于 30 天 ) 更换访问控制除按照的要求进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象主机设备检测实施 a) 访谈网络管理员, 询问是否根据管理用户的角色分配权限, 实现管理用户的权限分离, 仅授予管理用户所需的最小权限, 检查用户权限设置数据 ; b) 访谈网络管理员, 询问是否对重要信息资源设置敏感标记, 检查具体标记 ; c) 访谈网络管理员, 询问是否依据安全策略严格控制用户对有敏感标记重要信息资源的操作安全审计除按照的要求进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象主机设备, 审计报表检测实施 a) 访谈网络管理员, 询问是否能够根据记录数据进行分析, 并生成审计报表 ; b) 访谈网络管理员, 询问是否能保护审计进程, 避免受到未预期的中断入侵防范除按照的要求进行检测外, 还应按照本节内容进行检测检测方式 25

30 访谈, 检查, 测试检测对象主机设备, 入侵记录, 完整性测试记录, 恢复记录检测实施 a) 访谈网络管理员, 询问是否能够检测到对重要服务器进行入侵的行为, 是否能够记录入侵的源 IP 攻击的类型攻击的目的攻击的时间, 并在发生严重入侵事件时提供报警, 检查入侵记录 ; b) 访谈网络管理员, 询问是否能够对主机上重要应用程序的完整性进行检测, 并在检测到完整性受到破坏后具有恢复的措施, 检查完整性测试和恢复记录恶意代码防范除按照的要求进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象主机设备, 防恶意代码产品检测实施 a) 访谈网络管理员, 询问是否对用户通过网上营业厅从主机上下载的程序进行扫描, 避免传播病毒 b) 访谈网络管理员, 询问主机防恶意代码产品是否具有与网络设备防恶意代码产品不同的恶意代码库资源控制除按照的要求进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查, 测试检测对象主机设备检测实施 a) 访谈网络管理员, 询问是否对网上营业厅重要主机进行监视, 包括监视主机的 CPU 硬盘内存网络等资源的使用情况 ; 中间件安全与测试方法相同

31 5.3.5 应用安全身份鉴别除按照的要求进行检测外, 还应按照本节内容进行检测检测方式访谈, 测试检测对象网上营业厅系统检测实施 a) 访谈网络管理员, 询问网上营业厅 Web 服务器设备为每个会话分配的会话标识是否随机, 测试验证会话标识的随机性, 预防攻击者猜测标识或依据当前标识推导后续的标识 ; b) 访谈网络管理员, 询问同一用户登录后网上营业厅 Web 服务器设备是否分配新的会话标识, 测试并验证不能继续使用用户未登录前所使用的标识访问控制与的检测方法相同审计安全与的检测方法相同通信完整性与的检测方法相同通信保密性与的检测方法相同软件质量除按照的要求进行检测外, 还应按照本节内容进行检测检测方式访谈测试检测对象网上营业厅检测实施 a) 检查网上营业厅上线前或升级后, 对网上营业厅进行代码审核的报告, 检查针对报告中出现问题进行代码升级完善的记录 ; 27

32 b) 访谈开发人员, 了解开发过程是否注意了防范常见的输入参数造成的安全漏洞, 如 SQL 注入跨站脚本等等, 了解开发人员是如何防范这些漏洞的, 并通过安全工具对网上营业厅进行扫描, 找出可能存在的漏洞 ; c) 访谈开发人员, 了解系统是否提供了上传下载功能, 是否在实现的时候注意防止用户任意下载服务器文件或是上传恶意脚本 ; d) 测试网上营业厅, 是否防止通过用户控制的参数来重定向到另外一个网址或包含另外一个网址的内容 ; e) 访谈开发人员采用了哪些第三方的组件, 了解开发团队是否有相应的流程来跟踪这些第三方组件的安全性, 并及时更新到安全的版本 ; f) 访谈网上营业厅网络管理人员, 询问网上营业厅是否不能向用户提示过多的技术细节, 以避免被攻击者利用, 采用构造非法请求方法对网上营业厅进行测试, 查看网上营业厅错误提示信息中不应包含 SQL 语句技术性的注释语句等资源控制除按照的要求进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查, 测试检测对象应用软件检测实施 a) 访谈网络管理员, 询问是否能够对一个时间段内可能的并发会话连接数进行限制, 通过测试检验是否具备并发会话连接数限制功能 ; b) 访谈网络管理员, 询问是否能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额, 通过测试检验是否具备资源限额功能 ; c) 访谈网络管理员, 询问是否能够对系统服务水平降低到预先规定的最小值进行检测和报警, 查看报警信息 ; d) 访谈网络管理员, 询问是否提供服务优先级设定功能, 并在安装后根据安全策略设定访问帐户或请求进程的优先级, 根据优先级分配系统资源, 查看服务优先设定功能的配置数据数据安全及备份恢复数据完整性

33 与的检测方法相同数据保密性除按照的要求进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象数据, 系统管理数据, 鉴别信息数据, 重要业务数据, 软件设计文档检测实施 a) 访谈网上营业厅管理员, 询问是否按商用密码产品生产管理规定规定, 采用经国家密码管理局认可的密码算法对信息进行加密, 采用的密码算法是否符合算法的应用场景, 是否有文档化的密钥管理办法, 是否按管理办法严格执行, 查看相密钥关管理办法及执行记录备份和恢复与测试方法相同物理环境安全应满足 Y/DT xxxx-2008 电信网和互联网物理环境安全等级保护检测要求中第 3.1 级检测要求管理安全除按照 Y/DT xxxx-2008 电信网和互联网管理安全防等级保护检测要求中第 3.1 级检测要求之外, 还应按照本节内容进行检测安全建设管理检测方式访谈检查检测对象网上安全营业厅测试系统检测实施 a) 访谈网上营业厅网络管理人员, 询问网上营业厅的测试系统是否可以通过公网访问, 如果可以检查网上营业厅测试系统是否采取与正式系统类似的保护措施 b) 检查网上营业厅系统交付时, 是否提交了系统安全信息采集表, 主要包含但不限于如下信息 : 系统数据分类 ( 例如用户口令业务数据加密密钥等 ) 与安全等级系统对基 29

34 础设施的依赖关系系统要求配置的防火墙与路由器策略系统与其他应用间的数据流与调用接口系统生成的日志文件及其保存位置安全运维管理检测方式访谈检查检测对象网络设备网络配置数据检测实施 a) 访谈网上营业厅网络管理人员, 询问是否至少每六个月检查一次防火墙和路由器的规则设置 ; b) 访谈网上营业厅网络管理人员, 询问是否每三个月进行一次应用层弱点扫描 ; c) 访谈网上营业厅网络管理人员, 询问在基础设施或应用完成重大的升级或调整 ( 例如, 环境中增加了一个子网或增加了一台 Web 服务器开放新业务功能模块 ) 后是否进行应用层弱点扫描 ; d) 访谈网上营业厅网络管理人员, 询问是否至少每年进行一次应用层渗透测试 ; e) 访谈网上营业厅网络管理人员, 询问在基础设施或应用完成重大的升级或调整 ( 例如, 环境中增加了一个子网或增加了一台 Web 服务器开放新业务功能模块 ) 后是否进行应用层渗透测试 ; f) 访谈网上营业厅网络管理人员, 询问是否至少每六个月更改加密密钥 5.4 第 3.2 级要求业务安全除按照的要求进行检测之外, 还应按照本节内容进行检测检测方式访谈, 检查, 测试检测对象网上营业厅检测实施 a) 检查网上营业厅重要信息数据是否在异址 ( 同城不同地点的机房或异地 ) 进行备份网上营业厅业务数据和操作维护日志数据进行备份, 记录备份介质, 备份频率是否为每周做全量备份, 备份数据保存期限是否至少 1 个月以上, 并定期对备份数据进行有效性检查 ; 网上营业厅系统及网络配置性能检测告警等相关数据是否进行备份, 记录备份介质, 备份频率是否为每月做全量备份, 备份数据保存期限是否至少 1 年网络安全

35 与的检测内容相同主机安全与的检测内容相同中间件安全与的检测内容相同应用安全与的检测内容相同数据备份及备份恢复与的检测内容相同物理环境安全应满足电信网和互联网物理环境安全等级保护检测要求中第 3.2 级检测要求管理安全应满足电信网和互联网管理安全防护检测要求中第 3.2 级检测要求 5.5 第 4 级要求待补充 5.6 第 5 级要求待补充 6 网上营业厅安全风险评估 6.1 网上营业厅安全风险评估范围检测方式访谈, 检查检测对象风险评估报告, 风险评估负责人检测实施 a) 应访谈风险评估负责人, 询问进行网上营业厅风险评估时, 选择的风险评估范围是什么 6.2 网上营业厅安全风险评估内容检测方式访谈, 检查检测对象 31

36 风险评估报告, 风险评估负责人检测实施 a) 应访谈网上营业厅风险评估负责人查看风险评估报告, 检查网上营业厅风险评估是否覆盖了技术安全和管理安全 b) 应访谈网上营业厅风险评估负责人查看风险评估报告, 检查网上营业厅风险评估中技术安全是否覆盖了业务安全网络安全主机安全和物理环境安全等方面 ; c) 应访谈网上营业厅风险评估负责人查看风险评估报告, 检查网上营业厅风险评估中管理安全是否覆盖了安全管理机构安全管理制度人员安全管理安全建设管理安全运维管理等方面 6.3 网上营业厅安全风险评估要素检测方式访谈, 检查检测对象风险评估报告, 风险评估负责人, 历史记录检测实施 a) 应访谈风险评估负责人, 询问进行网上营业厅风险评估时采用了哪些风险评估的要素 ; 查看风险评估报告, 检查网上营业厅风险评估时是否包含了资产脆弱性威胁安全措施风险和残余风险等要素 ; b) 应访谈风险评估负责人, 询问进行网上营业厅风险评估时考虑了哪些风险评估要素的相关属性 ; 查看风险评估报告, 检查网上营业厅风险评估报告时是否包含了与评估要素密切相关的业务战略资产价值安全需求和安全事件等属性 ; c) 应访谈风险评估负责人, 询问进行网上营业厅风险评估时评估了哪些资产 ; 检查风险评估报告, 查看风险评估报告中资产是否包含了各类设备 (Web 服务器数据库服务器网络设备安全设备 ) 的硬件和软件设备中的各种重要数据 ( 配置数据交易记录充值卡密等 ) 网络和业务运营商向用户提供的服务各类人员( 开发人员管理人员及操作人员等 ) 纸质文件和规章制度等; d) 应访谈风险评估负责人, 询问计算网上营业厅各资产的资产价值时考虑了哪些因素 ; 检查风险评估报告, 查看风险评估报告中资产价值的计算是否主要考虑了社会影响力资产价值和可用性等因素, 同时采用了合理的计算方法 ;

37 e) 应访谈风险评估负责人, 询问识别了网上营业厅各资产的脆弱性时考虑了哪些方面的脆弱性 ; 检查风险评估报告, 查看风险评估报告中脆弱性识别是否包含了技术脆弱性和管理脆弱性等方面, 技术脆弱性是否包含了业务 / 应用脆弱性网络脆弱性设备脆弱性和物理环境脆弱性, 管理脆弱性是否包含安全管理机构方面的脆弱性人员管理方面脆弱性建设管理方面的脆弱性运维管理方面的脆弱性 ; f) 应访谈风险评估负责人, 询问识别了网上营业厅各资产的脆弱性时考虑了哪些方面的脆弱性 ; 检查风险评估报告, 查看风险评估报告中威胁识别是否依据了已有安全事件报告数据检测工具检测数据和国内外同行业报告数据等多个方面综合考虑 ; g) 应访谈风险评估负责人, 询问对网上营业厅存在哪些威胁 ; 检查风险评估报告, 查看风险评估报告中威胁是否包含了网络设备自身的威胁环境威胁人员威胁和管理制度中的隐患造成的威胁 ; h) 应访谈风险评估负责人, 询问威胁识别依据了哪些历史数据 ; 查看风险评估报告, 检查网上营业厅风险评估中威胁识别是否依据了已有安全事件报告数据检测工具检测数据和国内外同行业报告数据等多个方面 ; i) 应访谈风险评估负责人, 询问风险值的计算采用了哪种计算方法 ; 查看风险评估报告, 检查网上营业厅风险评估中风险值的计算是否主要考虑了资产威胁和脆弱性等因素, 是否采用了合理的计算方法 ; j) 应访谈风险评估负责人, 询问如何确定的风险阈值 ; 查看风险评估报告, 检查网上营业厅风险评估中确定的风险阈值是否合理, 是否与资产所在网络或系统的安全等级相结合 ; k) 应访谈风险评估负责人, 询问对于不可接收的风险, 是否制定了相应的风险处理计划 ; 查看风险评估报告, 检查网上营业厅风险评估中对于不可接收的风险, 是否制定了相应的风险处理计划, 采用风险处理计划以后, 风险值是否满足阈值要求 6.4 网上营业厅安全风险评估赋值原则检测方式访谈, 检查检测对象风险评估报告, 风险评估负责人检测实施 33

38 a) 应访谈风险评估负责人, 询问网上营业厅风险评估时对资产的赋值遵循了什么样的原则 ; 查看风险评估报告, 检查看网上营业厅各资产的赋值是否从资产的社会影响力资产价值和可用性三个方面和 5 个等级进行赋值 ; b) 应访谈风险评估负责人, 询问网上营业厅风险评估时对脆弱性的赋值遵循了什么样的原则 ; 查看风险评估报告, 检查看网上营业厅脆弱性的赋值是否考虑赋值对象对资产损害程度等因素, 同时是否按照 5 个等级进行赋值 ; c) 应访谈风险评估负责人, 询问网上营业厅风险评估时对威胁的赋值遵循了什么样的原则 ; 查看风险评估报告, 检查看网上营业厅威胁的赋值是否依据威胁发生的频率, 同时是否按照 5 个等级进行赋值 6.5 网上营业厅安全风险评估计算方法检测方式访谈, 检查检测对象风险评估报告, 风险评估负责人检测实施 a) 应访谈风险评估负责人, 询问网上营业厅风险评估中采用了什么样的方法计算资产价值 ; 查看风险评估报告, 检查网上营业厅资产价值的计算方法是否合理, 是否有对于所采用计算方法的理论分析 ; b) 应访谈风险评估负责人, 询问网上营业厅风险评估中采用了什么样的方法计算风险值 ; 查看风险评估报告, 检查网上营业厅风险值的计算方法是否合理, 是否具有对于所采用计算方法的理论分析 6.6 网上营业厅安全风险评估文件类型检测方式访谈, 检查检测对象风险评估方案, 风险评估程序, 资产识别清单, 重要资产清单, 脆弱性列表, 威胁列表, 已有安全措施确认表, 风险评估报告, 风险评估记录, 风险处理计划等风险评估文件检测实施

39 a) 应访谈风险评估负责人, 询问是否制定了风险评估方案 ; 查看此文件, 检查是否包括风险评估的目标范围人员评估方法评估结果的形式和实施进度等内容 ; b) 应访谈风险评估负责人, 询问是否制定了风险评估程序 ; 查看此文件, 检查是否包括风险评估的目的职责过程相关的文件要求, 以及实施本次评估所需要的各种资产威胁脆弱性识别和判断依据等内容 ; c) 应访谈风险评估负责人, 询问是否制定了资产识别清单 ; 查看此文件, 检查是否根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别, 形成资产识别清单, 明确资产的责任人 / 部门等内容 ; d) 应访谈风险评估负责人, 询问是否制定了重要资产清单 ; 查看此文件, 检查是否根据资产识别和赋值的结果, 形成重要资产列表, 包括重要资产名称描述类型重要程度责任人 / 部门等内容 ; e) 应访谈风险评估负责人, 询问是否根据威胁识别和赋值的结果, 制定了威胁列表 ; 查看此文件, 检查是否包括威胁名称种类来源动机及出现的频率等内容 ; f) 应访谈风险评估负责人, 询问是否根据脆弱性识别和赋值的结果, 形成脆弱性列表 ; 查看此文件, 检查是否包括具体脆弱性的名称描述类型及严重程度等 ; g) 应访谈风险评估负责人, 询问是否根据已采取的安全措施确认的结果, 形成已有安全措施确认表 ; 查看此文件, 检查是否包括已有安全措施名称类型功能描述及实施效果等 ; h) 应访谈风险评估负责人, 询问是否有风险评估报告 ; 查看此文件, 检查是否对整个风险评估过程和结果进行总结, 详细说明被评估对象, 风险评估方法, 资产威胁脆弱性的识别结果, 风险分析风险统计和结论等内容 ; i) 应访谈风险评估负责人, 询问是否有风险处理计划 ; 查看此文件, 检查是否对评估结果中不可接受的风险制定风险处理计划, 选择适当的控制目标及安全措施, 明确责任进度资源, 并通过对残余风险的评价以确定所选择安全措施的有效性 ; j) 应访谈风险评估负责人, 询问是否有风险评估记录 ; 查看此文件, 检查风险评估过程中的各种现场记录是否可复现评估过程, 是否能够作为产生歧义后解决问题的依据 6.7 网上营业厅安全风险评估文件记录检测方式访谈, 检查 35

40 6.7.2 检测对象风险评估方案, 风险评估程序, 资产识别清单, 重要资产清单, 脆弱性列表, 威胁列表, 已有安全措施确认表, 风险评估报告, 风险评估记录, 风险处理计划等风险评估文件检测实施 a) 应访谈风险评估负责人, 询问风险评估文件发布以前是否需要批准 ; 应查看风险评估文件, 检查文件发布以前是否得到批准 ; b) 应访谈风险评估负责人, 询问风险评估文件的更改和现行修订状态是如何进行识别的 ; 应查看风险评估文件, 检查文件的更改和现行修订状态是否是可识别的 ; c) 应访谈风险评估负责人, 询问风险评估文件的版本如何管理 ; 应查看风险评估文件, 检查是否有版本划分以及相应的版本使用说明 ; d) 应访谈风险评估负责人, 询问作废文件是如何管理的 ; 应查看风险评估文件, 检查是否对于作废文件作了标识 ; e) 应访谈风险评估负责人, 询问如何对文件进行控制 ; 应查看风险评估文件, 检查是否规定其标识储存保护检索保存期限以及处置所需的控制 7 网上营业厅灾难备份及恢复检测要求 7.1 第 1 级要求不作要求 7.2 第 2 级要求网上营业厅冗余系统冗余设备及冗余链路检测方式访谈, 检查检测对象网上营业厅系统设计 / 验收文档, 网上营业厅设备检测实施 a) 应检查重要服务器重要部件重要数据库是否采用本地双机备份的方式进行容灾保护 ; b) 应检查演练文档, 查看网上营业厅网络灾难演练恢复时间是否满足行业管理和企业应急预案的相关要求网上营业厅数据备份检测方式访谈, 检查

41 检测对象网上营业厅设计 / 验收文档, 网上营业厅设备检测实施 a) 访谈网上营业厅安全管理人员, 询问网上营业厅关键信息数据 ( 如设备配置软件配置应用程序用户账号交易记录充值卡密 ) 是否提供本地备份 ; b) 应检查设计 / 验收文档, 查看网上营业厅是否支持关键信息数据定期备份, 查看数据备份日志, 记录备份周期网上营业厅人员和技术支持能力检测方式访谈, 检查检测对象机房管理人员, 技术支持人员, 安全管理人员, 历史值班记录, 培训记录检测实施 a) 应访谈安全管理人员, 询问并察看历史值班记录, 是否安排机房管理人员数据备份人员和相关的软硬件支持人员 ( 不要求是专职人员 ); b) 应检查培训记录, 查看技术人员是否定期得到灾难备份及恢复方面的技能培训网上营业厅运行维护管理能力检测方式访谈, 检查检测对象管理制度, 安全管理人员检测实施 a) 应访谈安全管理人员, 询问是否有相应的介质存取验证和转储管理制度, 是否可确保备份数据授权访问 ; b) 应检查网上营业厅相关管理制度, 查看其是否按介质特性对备份数据进行定期的有效性验证 ; c) 应检查网上营业厅相关管理制度, 查看其是否具有相关服务器设备的灾难备份及恢复的管理制度网上营业厅灾难恢复预案 37

42 检测方式访谈, 检查检测对象灾难恢复预案, 设计 / 验收文档, 演练记录, 管理制度, 安全管理人员检测实施 a) 应访谈安全管理人员, 询问网上营业厅是否具有灾难恢复预案, 是否演练过灾难恢复, 是否具有灾难恢复的管理制度 ; b) 应检查网上营业厅灾难恢复预案设计 / 验收文档, 查看其是否具备完整的网上营业厅灾难恢复预案 ; c) 应检查网上营业厅灾难恢复预案演练记录, 查看其是否已经过灾难恢复预案演练以及灾难恢复预案演练的效果是否达到设计要求 7.3 第 3.1 级要求网上营业厅冗余系统冗余设备及冗余链路与的检测内容相同网上营业厅数据备份与的检测内容相同网上营业厅人员和技术支持能力与的检测内容相同网上营业厅运行维护管理能力与的检测内容相同网上营业厅灾难恢复预案与的检测内容相同 7.4 第 3.2 级要求网上营业厅冗余系统冗余设备及冗余链路除按照的要求进行检测之外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象网上营业厅系统设计 / 验收文档, 网上营业厅设备检测实施 a) 应检查网上营业厅重要服务器重要部件重要数据库是否采用异址 ( 可为同城不同地点的机房 ) 方式进行容灾保护 ;

43 b) 应检查网上营业厅与互联网之间是否具备冗余链路 ; c) 应检查网上营业厅网络中关键设备之间 ( 如 Web 服务器设备与数据库服务器设备之间 ) 是否通过多条物理链路连接 ; d) 应检查网上营业厅与 BOSS 系统之间是否具备冗余链路网上营业厅数据备份除按照的要求进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象网上营业厅重要信息数据检测实施 a) 访谈网上营业厅安全管理人员, 询问网上营业厅重要信息数据是否提供异址备份网上营业厅人员和技术支持能力与的检测内容相同网上营业厅运行维护管理能力与的检测内容相同网上营业厅灾难恢复预案除按照的要求进行检测外, 还应按照本节内容进行检测检测方式访谈, 检查检测对象灾难恢复预案, 设计 / 验收文档, 演练记录, 管理制度, 安全管理人员检测实施 a) 应检查网上营业厅管理制度, 查看其是否具有灾难恢复预案管理制度 7.5 第 4 级要求待补充 7.6 第 5 级要求待补充 39

标准名称

标准名称 ICS 35.040 L80 中华人民共和国国家标准 GB/T 信息安全技术信息系统安全等级保护实施指南 Information Security Technology- Implementation guide for classified protection of information system - - 发布 - - 实施中